McAfeeフェローが語る Melissaウイルス作成者追跡劇情報セキュリティEXPO

1999年3月末に登場したウイルス「Melissa」。このウイルス作成者は逮捕に至っている。7月7日から東京・有明で開かれている「情報セキュリティ EXPO」で、捜査に協力した米McAfeeのMcAfeeフェロー、チェンギ・ジミー・クオ氏が、その経緯を講演した。

» 2004年07月07日 21時59分 公開
[ITmedia]

 USENETに掲載されるメッセージのウイルスチェックを行っているVirus PatrolがMelissaのファイルを最初に発見したのは、1999年3月26日のこと。「alt.sex」のニューズグループにSkyroket@aol.comから投稿されていた。「ウイルス捜査には一番初めの事象が重要になる」とジミー・クオ氏は話し、これをきっかけに追跡劇が始まることになった。

 これを受けたAOLは、このアドレスを利用する人物をワシントン州のリンウッドに住むS・シュタインメッツ(当時:32)と特定した。

 土木技師で既婚の同氏の趣味は、コンピュータゲームなど、「ティーンエイジャーでないこと以外は、ウイルス作成者によくある傾向に一致していた」(ジミー・クオ氏)という。

 S・シュタインメッツの追跡調査が始まった。インターネットを活用して、S・シュタインメッツを追ったが、その時点でワシントン州に住むたった一人のS・シュタインメッツは別の地域に存在していることが判明。リンウッドに住むシュタインメッツも2人いたものの、これらも別の人間であることが分かった。インターネットだけでは、実際のS・シュタインメッツにたどり着くことはできなかった。

 だが、この時点でMelissa作成者追跡に興味を持ったSeattle Times紙記者とWired magazine誌の記者が、S・シュタインメッツの追跡に協力を申し出た。電話帳に記載のなかったS・シュタインメッツだが、この2人の記者が電話番号を割り出し、コンタクトをとることに成功。その結果、AOLのログインIDが盗まれており、S・シュタインメッツは被害者であると分かった。

 ログインIDのなりすましが判明したことにより、この時点で警察が捜査に乗り出した。ジミー・クオ氏は「警察が出てきたことで迅速な対応ができた。これは結果としてよかった。ウイルス犯人探しには素早さが大切だからだ」と振り返る。

 AOLと警察は、犯人の使用したIPアドレスをサーバ名・時間などさまざまな角度からつきとめることに成功し、そのアドレスはニュージャージー州にあるMonmouth ISPのものであることが分かった。

 捜査令状を携えてこのISPを捜査すると、このIPアドレスはダイアルアップで接続されたものであり、電話番号をつきとめた。FBIと警察が犯人宅に向かうともぬけの殻だったが、近所の人が兄弟の家を伝え、この家で犯人デビッド・L・スミスは御用となった。

 逮捕されたデビッド・L・スミスだが、はじめウイルス作成を否認したという。これまでの証拠で作成は白状したものの、「こんなに大きな被害になるとは」と故意でなかったことを主張した――。

 一方、「VicodinES」の名で知られるウイルス作成者がいた。ジミー・クオ氏は、「デビッド・L・スミスとVicodinESが同一であることを証明したかった」と言う。Mellisaはフロリダのトップレスダンサーの名前から取られていたが、両者のメールを調査していくとスミスは過去フロリダに住んでいたころが分かり、さらに解析していくと共にハードロック好きである共通点があった。

 決定打となったのはメールの最後の文句に両者とも「Peace」を利用していた点だった。またPeaceの後に付けられる本来「.」の文字に「,」を使う癖も一致していた。

 これらの証拠を提示されたスミスは有罪を認めた。

Sobig.Fのケース

 ジミー・クオ氏はSobig.Fの作成者追跡も説明している。Sobig.Fの犯人はまだ逮捕されていない。

 2003年大きな被害を出したSobig.F。ジミー・クオ氏によれば、Message Labsの調査でも、ごく小さなISPで10日前後のわずかな期間で3000万規模のSobig.Fメールが飛び交った。以前のKLez.Hに比べてもとてつもなく大きな規模だったという。そのためスパムのように一斉配信されたものだと思われたが、ニュージーランドのVirus PatrolリサーチャーがUSENETへの投稿である関係性を発見した。

 同じメールサービスを通じてのUSENETへの投稿3通に、ウイルスの前に同じコードが含まれていた。そのため、これらをFBIに情報提供することとなった。

 この連絡を受けたコネチカットのFBIは捜査を開始。アリゾナ州のインターネットサービス会社EasyNews.comのサーバを召喚した。結果、メールのアカウントは盗難クレジットカードで、ウイルスをリリースする直前に開かれたものだった。

 アカウントから使用されたIPアドレスをたどると、カナダ・バンクーバー郊外のバーナビーの老夫婦のPCが使用したものと分かる。困惑する夫婦のPCを調べ、このPCにはバックドアが仕掛けられていた。捜査はいったんここで行き詰っりを見せたという。

 だがその後、アリゾナ州フェニックスでSobig.Fの作成者を特定した(ジミー・クオ氏)とも言うが、コンピュータをクリーンアップされていたため、現在も捜査は再び行き詰ったとしている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ