パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

遠隔操作ウイルス事件で真犯人を名乗る人物がネットに書き込み、ただし証拠はなし?」記事へのコメント

  • オフトピだが (スコア:3, 参考になる)

    by Anonymous Coward on 2013年03月05日 10時32分 (#2336910)

    現状でアレゲ方面に関心があるのは、C#で作成した実行ファイルから、作成したPCが特定出来るという事ではないだろうか。
    もし本当であれば、意図しない情報漏洩に繋がる恐れがあると思う。
    例えば、顧客に末端の下請けの情報が漏れれば、営業上問題が起こる事もあるでしょう。

    前にアセンブリ情報に書かれたGUIDから特定したんじゃないかという情報があったけども、
    それならばPC内に他のソース一式が見つかってもおかしくないでしょう。
    同じくアセンブリ情報に会社名や著作権者名があったとしても、PCまでは特定出来ないでしょう。

    作成元の証明という観点で、コードサイニング以外にどういう手段があるのか、興味は尽きません。

    • by genzin (23225) on 2013年03月05日 13時39分 (#2337074) 日記

      私も実行ファイルや、USBメモリに入っていたソースがあるなら、GUIDを使って
      犯人のPCかどうか検証できると思っていたのですが、現在使われているGUIDは
      MACアドレス(の一部)は含まれていないそうで

      たとえば、ここGUIDの謎(遠隔操作ウィルス事件) [nebula2.asks.jp]とか。
      スラド的には下部にあるリンク先のStack overflowのQ&A [stackoverflow.com]のほうが分かりやすいかも

      ほんとうに、何をもって作成したPCと特定したのやら

      親コメント
      • by Anonymous Coward

        押収したPCにプロジェクトファイルが残っていたりするとわかりやすいんだけどね。
        コンパイル実行すると、同じバイナリが出てきたとか。

    • by Anonymous Coward on 2013年03月05日 12時34分 (#2336998)

      C#で作成した実行ファイルから、作成したPCが特定出来るという事ではないだろうか。

      警察から発表されている情報では、実行ファイルから作成したPCを特定したとは言い切れないのでは?
      明らかにされている情報では、
      dropbox内に、これまで作成された全バージョンの、ウイルスソフトの情報がみつかった
      該当dropboxの情報は、容疑者が勤務していた会社内からアップロードされた形跡があった
      というだけなので。

      今回の犯人はdropboxでバイナリ公開を行っていますが、同じアカウントで(非公開で)ソースなりプロジェクトなりをdropbox内に保存していた可能性も否定できない。ネコの首輪につけられたSDカード内のソースとdropbox内のソースが一致した、という可能性もあるでしょう。

      同じくアセンブリ情報に会社名や著作権者名があったとしても、PCまでは特定出来ないでしょう。

      アセンブリ情報に含まれるGUIDはPCの情報およびアセンブリの作成時刻からほぼ一意に作成されますよ。異なるPC上で作成された別々のアセンブリのGUIDが「衝突」する確率は、ほぼゼロと考えていいと思います。

      親コメント
      • by Anonymous Coward

        アセンブリ情報に含まれるGUIDはPCの情報およびアセンブリの作成時刻からほぼ一意に作成されますよ。異なるPC上で作成された別々のアセンブリのGUIDが「衝突」する確率は、ほぼゼロと考えていいと思います。

        今のWindowsにおいて、GUIDは擬似乱数で生成する方式(バージョン4)が一般的です。そのため、GUIDから作成したPCの情報は判別できないと思います。

        • by Anonymous Coward on 2013年03月05日 13時58分 (#2337097)

          > そのため、GUIDから作成したPCの情報は判別できない
          GUIDV4の値から、そのプログラムを作成したPCを探すことはできません。それはおっしゃるとおり。
          しかしながら生成されたGUIDはアセンブリ情報としてファイル中に書き込まれますし、ocx開発を行えばレジストリ中にも記録されます。
          このため、プログラム作成につかったプロジェクトファイルと、そのプロジェクトをビルド&デバッグするのに使用したPCとを突き合わせてセクタスキャンやレジストリスキャンを行えば、そのプログラムがそのPC上でビルドされたものであるかどうかを検証することができます。

          さらに余談ですが、USBフラッシュメモリをPCに刺した場合もレジストリ中にUSBフラッシュメモリのベンダIDが残ります。これも突き合わせには使用できますね。

          親コメント
          • by Anonymous Coward

            > しかしながら生成されたGUIDはアセンブリ情報としてファイル中に書き込まれますし、ocx開発を行えばレジストリ中にも記録されます。

            ファイルってAssemblyInfo.csですか?そのファイルがあるなら、ソースもあってGUID使わずとも、そのPCで開発した事は確定でしょう。
            レジストリって線も、COM登録とかしたとはとても思えませんね。
            ウィルス作ってる時に、会社のPCで試すとは思えない。
            まぁそれくらい間抜けかもしれないので断言は出来ませんが。

            ビルドにしたって、万が一会社のウィルス対策ソフトの、ヒューリスティック検知とかに引っ掛かったりしたら、と考えるとどうなんでしょう。
            現実的では無いような気がしています。

            ソースを保存していたUSBメモリが見つかれば、シリアル番号とかで突き合わせも出来るかもしれないですね。
            指紋とかDNAとか物理的な証拠も見つかるかも知れませんし。
            SDカードってレジストリやログにシリアル残ったりしないのかな。

            • by Anonymous Coward

              > レジストリって線も、COM登録とかしたとはとても思えませんね。
              今回捜索されたDropboxのアカウント内に真に「ウイルス本体とウイルスのソース」だけを保存していたのならそうかもしれませんね。
              ただ、そのアカウントで真にウイルス関連の情報だけを保存していたのかどうかはわかりません。もしかすると他の「有用なソフト」の開発ソースも保存してたかもしれないわけで、そこらへんはなんともいえませんね。

      • by Anonymous Coward

        報道されている事が警察の発表と等しい保証もなく、
        警察の発表した事が捜査員達の認識と等しい保証もない。
        ぶっちゃけ、全てが間違っている可能性がある。
        なんとも不毛。雑談にしたって不毛過ぎる。

    • by Anonymous Coward on 2013年03月05日 13時12分 (#2337043)

      iesys.exe にPCベンダ情報と思われる物が埋め込まれていたようです。

      http://nebula2.asks.jp/86966.html [nebula2.asks.jp]

      親コメント
      • by Anonymous Coward

        > AssemblyInfoは、プログラミング言語のアセンブラとは関係ない。名前が似ているだけ。一応念のため。
        そのアセンブリってのは「アセンブラでアセンブルしてアセンブリを作る」のアセンブリと同じで名前が似てるどころか同じ単語の変化形で関係も大有りなんだけどな・・・
        人のことバカにする前に知ったかぶるのをどーにかせいよと。
        そもそもアセンブラって書くと言語じゃなくて翻訳機を指すこと多いし素直にアセンブリ言語って呼べよ・・・全く同じ単語になるぞ。

        とか突っ込みたかったけどACコメント禁止だったちくせう

    • by Anonymous Coward

      Windowsをインストールしたときの会社名とか、そういうのって入ってないんだろうか。

      • by lcc (46023) on 2013年03月05日 13時07分 (#2337037) 日記

        C#はどうだったか忘れましたけど、
        Cだと初期設定のままだとビルドした時のパスが埋め込まれますね。
        マイドキュメント等で作業してるとユーザ名がバレバレ。
        アプリ公開した時の初期バージョンでやらかしたorz

        親コメント
        • by Anonymous Coward on 2013年03月05日 13時46分 (#2337084)
          何周前の話題だか知らんが犯人は外部USBメモリ上で作業してたらしいですね。ウチの会社ではリパースポイントだかジャンクションだか知らんけどフォルダを仮想のXドライブだかどこだかに割り当てて、全員同じパスで作業できるようにしてる。
          親コメント
      • by Anonymous Coward

        入ってたとしてもそんなのいくらでも捏造できるわな。

        • by Anonymous Coward

          証拠として、捏造できるものは挙げてない、という保証もないわな。

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

処理中...