犯行予告事件、身元隠す「Tor（トーア）」の悪用と犯人像

　遠隔操作ウイルス（なりすましウイルス）を使って、犯行予告を行った事件が拡大している。真犯人は通信ルートを巧妙に隠す手段を使っており、警察の捜査の問題もあって、逮捕には時間がかかりそうだ。

犯行声明メールで10件以上の余罪が判明

　遠隔操作ウイルス（なりすましウイルス）事件の全貌がようやくわかってきた。先週の記事「遠隔操作ウイルスはオリジナル？ 作者は腕の立つ人物か」でも手口を詳しく取り上げたが、さらに犯人のものと断定できる犯行声明メールが届いたことで、余罪があることが判明している。

　犯行声明メールは、テレビで事件を解説していた落合洋司弁護士に届き、さらに、落合弁護士がTBSラジオの番組「ニュース探究ラジオDig」に出演している生放送の最中に、TBSにも届いた。筆者は偶然にも、この番組に落合弁護士と共にゲスト出演し、手口や犯人像を解説していた。生放送の本番中に、堂々とメールを送ってくることからも、犯人がいかに自分の技術に自信があるか、身元を隠す手口にたけているかがわかる。

　犯行声明のメールや今までの手口などから、犯人像が見えてきている。筆者が考える犯人像を挙げてみよう。

筆者のイメージする犯人像

　・「男性」
　犯行声明の書き方、内容を見ると男性である可能性が強い。

　・「30歳代」
　比較的古いネットのマニアがよく使う「したらば掲示板」を利用すること、２ちゃんねるを足場に使うこと、Winnyでの暴露ウイルスの手口を参考にしていると思われる節があることなどから、10代や20代である可能性は低いと思う。逆に脅迫手口に出てくるアニメの知識などを考えると、40代以上とも考えにくい。30歳代と考えていいのではないか。

　・「警察・検察に恨みがある」
　犯行声明のメールだけでなく手口からしても、警察・検察をバカにするような動きをしている。繰り返し同じような手口で、なりすましの脅迫を行っていることからも、「捕まえてみろよ」と言わんばかりの行動が目立つ。警察に逮捕・事情聴取されたことがあって恨みがある、もしくは、警察に何かを訴えたが相手にされずに悔しい思いをした、などの経験があるのではないか。

　・「プログラミングの知識があるマニア」
　犯人はプログラミングの知識があり（最低でもスクリプトを自分で書ける）、インターネットのプロトコルに理解がある。先週の記事「遠隔操作ウイルスはオリジナル？ 作者は腕の立つ人物か」、および犯行声明メールを見ても明らかだ

匿名システム「Tor（トーア）」利用が濃厚

Tor（トーア）のウェブサイト。本来はプライバシー保護・検閲回避のために使われるが、犯人が身元を隠すのに使った可能性が高い

　今回の事件については、犯人は様々な痕跡を残している。トロイの木馬、掲示板での指令、メール送受信など、通常であれば犯人逮捕につながるような情報を出している。なぜ平気でメールを送ることができるのだろうか。それは、身元を隠すためのシステムを使っていると思われるからだ。

　犯人が使っていると思われるのは、「Tor（トーア）」と呼ばれる中継システムだ。トーアとは、通信ルートを秘匿するためのソフトやシステムのこと。Tor＝トーアは、The Onion Routerの略で、Onionはタマネギ。タマネギのように皮がいくつも重なる形、言い換えると、多重に覆い隠すことでインターネット上のルートを隠す。

　トーアではネット上の複数ユーザーがお互いに接続し、P2Pネットワーク（ユーザー間ネットワーク）の形で動いている。いくつものユーザーを、ルートがわからない形で中継するため、大元の発信者が誰かわからないようになっている。インターネットでは、プロキシと呼ばれる中継サーバーがよく使われるが、このプロキシを多重に使い、かつ複数をランダムに使うシステムだと考えてもいいだろう。

　Torは米軍が開発したものだが、現在ではプライバシーの保護や、ネット検閲を避ける手段として利用されることが多い。たとえば、中国で規制されたネットサービスにアクセスする際に、トーアを利用する場合が多いと言われている。

　このトーアを使うと、発信元へのルートを追跡するのが非常に困難になる。アクセスログは残っていないし、そもそも経由されたサーバーがどこにあるのかすらも、判明しないからだ。犯人はトーアを使うことで「身元がたどれないだろう」と考えているはずで、だからこそ犯行声明メールを堂々と送ってくるのだろう。

　TBSラジオに送られてきた犯行声明メールは、ヨーロッパやアメリカのサーバーを経由していることが判明している。しかしながら、これもトーアの末端のサーバーが、ヨーロッパやアメリカにあるというだけの話で、そこから先をたどることが非常に難しい。捜査は難航するだろう。

自分の技術を過信する犯人。小さなミスを追跡するしかない

　今回の事件では、警察側の対応が大きな問題となっている。足場として遠隔操作に利用されたパソコンの持ち主4人を誤認逮捕しており、そのうちの少なくとも2人を「自白」させていること。これは、自白強要があったと考えるしかないだろう。また、捜査の時点でネットに対する知識が少なすぎて、IPアドレスだけで逮捕してしまっていること。県警・府警単位で動いているために、事件の全体像をつかむのが遅れていることなど、警察の問題が大きい。

　犯人は警察・検察をバカにするような行動を取っており、誤認逮捕の汚名を返上するためにも、警察は必死になって捜査するだろう。

　前述したように、犯人は追跡されにくい巧妙な手段を使っている。しかしながら筆者が考えるに、犯人は「自分の技術・身元隠匿に自信を持ちすぎている」面があるようだ。堂々と犯行声明メールを送ってくることからも、自分の技術を過信している。過信しすぎて、小さな落ち度があるかもしれない。文章の表現、サーバー接続の時間帯、掲示板利用のクセ、といった面から何かのヒントがあるのではなかろうか。トーアについても、国内のトーアのサーバーを全調査すれば、何らかのヒントがあると思われる（犯人自体もトーアのサーバーを動かしている可能性があるため）。

　警察・検察は、誤認逮捕と自白強要について謝罪するとともに、迅速に捜査を進めるべきだ。ようやく19日になって合同捜査本部ができているが、この対応からして遅すぎる。合同捜査本部の人数を増やす、専門家を投入するなどの方法で、早く遠隔操作ウイルスの真犯人をつきとめてほしい。（ITジャーナリスト・三上洋）