劇場版『名探偵コナン ゼロの執行人』に出てきた「Nor」を解説してみた|セキュリティごった煮ブログ

ネットエージェント
セキュリティごった煮ブログ

 コース:あっさり

劇場版『名探偵コナン ゼロの執行人』に出てきた「Nor」を解説してみた

セキュ松

※本記事内容には『名探偵コナン ゼロの執行人』の若干のネタバレを含みます。
※物語の核心を突くようなものではないですが、まだご覧になっていない方はお気をつけください。

前回のブログでは「キャンプをする女子高生」になりたがっていましたが、
この数ヶ月で「安室の女」になってきました。

オタクはすぐコンテンツに影響されてしまうので、
1,2ヶ月後には趣味の筋トレが高じて、「地上最強の男」を目指しているかもしれません。
男と生まれたからには、誰でも一生の内一度は夢見る地上最強の男ッッ

kakutouka

どうも、死ぬほどアニメの技術監修がやりたいセキュ松です。

さて、安室さんのドラテクがめちゃくちゃ格好良く、
「え......?彼女は日本に住んでる人たち皆ってこと......?じゃあ俺も彼女じゃん......」
と思わず 迷推理してしまうようなシーンがあった話題の映画ですが、
Norと呼ばれる通信を隠す仕組みによる不正アクセスが、犯人によって行われていました。

劇中ではNorのアイコンが白菜だったので、応援上映ではNorが出てくるたびに
「白菜ーー!!」
のコールが起きていたそうですね。

hakusai

それでは、犯人から不正アクセスを受けた毛利小五郎が、
建物爆破の容疑をかけられて誤認逮捕されてしまった際、
実際にどのようなことが起きていたのかを解説していきたいと思います。
※劇中で明らかにされていない部分については推測を含みます。

Norについて劇中でも解説がありましたが、大半の人は
「あー、そーゆーことね。完全に理解した。」←わかってない

doyagao

な状態だったのではないでしょうか?

Norとは、おそらく実在するTorが元になったと思われます。
映画中では「匿名通信を行うためのもの」として扱われていました。

このNorTorはなんなのかという話ですが、現実に存在するTorも匿名通信を行うためのものです。
「The Onion Router」の略で、玉ねぎの皮のように、複数の端末を経由して匿名性を高める通信のことを指します。

例えばWebページを見に行く際に、下図のように直接Webサーバを見に行くのではなく、

下図のように複数の端末を経由して見に行きます。

Torの入り口となったノードだけ、元のオレンジの端末のIPアドレスが分かりますが、
毛利探偵事務所のホームページには、 Torの出口となる端末のIPアドレスだけが伝わるため、
元のオレンジの端末のIPアドレスは隠蔽されてしまいます。

そのため、Webサーバは最後に経由された端末の情報しか分からず、閲覧した人の素性が辿れなくなります。

こうして毛利小五郎の知らない間に、ノートパソコンは犯人によって不正操作をされていました。

また、不正操作を受けたのが、ノートパソコンであったことと、毛利小五郎はパソコンにあまり詳しくなかったことから、
公開しているサーバの脆弱性を突いた不正侵入などではなく、マルウェアによる不正操作が行われたのではないかと推測できます。

以下のWebページで紹介されている「DreamBot」は、Torを通して外部のC2サーバと通信を行うマルウェアであり、遠隔操作の機能も兼ね備えています。

日本を狙うインターネットバンキングマルウェア「DreamBot」を利用する攻撃者 | セキュリティ対策のラック
https://www.lac.co.jp/lacwatch/people/20170523_001291.html

これらをまとめると、実際には毛利小五郎のノートパソコンは下のような図のような攻撃を受けていたことになります。

  1. マルウェアが添付されたメールを開き、マルウェアを間違って実行してしまう
  2. マルウェアに感染したノートパソコンがTor上にあるC2サーバに接続する
  3. 犯人はTorを経由してC2サーバに接続し、そこからノートパソコンへアクセスする
  4. 犯人が接続元の端末を隠蔽して毛利小五郎のノートパソコンを不正操作する

という流れです。

また、このマルウェアの感染経路として、下図のようなバラマキ型のメールが一般的に知られています。

しかし、犯人の目的が毛利小五郎の誤認逮捕であったことを考えると、
調査依頼に偽装したメールにこのマルウェアを添付するような、標的型攻撃だった可能性が大きいです。
(原作の第76巻では、探偵事務所のホームページに書かれていたメールアドレス宛に事件の依頼が来ています)

そのため、毛利小五郎は気付かない内に、添付されていた実行ファイルを実行してしまったと推測できます。

では、実際にマルウェアと通信を行えるようなサーバをTor上に立ててみたいと思います。

不正操作を行うようなマルウェアはパソコンで実行された後、
C2(Command and Control)サーバと呼ばれる、HTTP通信を行うサーバに接続します。
ですので、実際に不正操作をする際に使うサーバと、ブログ記事を公開するようなWebサーバは大差ありません。

今回はherokuの上に毛利探偵事務所のホームページを模したWebサーバを立ててみます。

これをこうして......
$ git add .
$ git commit -m "There is always only one truth."

こう!!!
$ git push heroku master

無事deployできました。

http://gottani20180719.herokuapp.com
http://h4vbas7gobkhig5n.onion

普通のWebブラウザからでは、
http://gottani20180719.herokuapp.com
の方にしかアクセスできないはずです。

今回は同一のWebページに対して、Torと通常のWebブラウザのどちらかからでもアクセスできるようにしました。
しかし、普通のWebブラウザとTorと経由してアクセスした場合では、IPアドレスが変わっているはずです。

それでは、Tor上のhttp://h4vbas7gobkhig5n.onionにアクセスしてみましょう。
Tor上のサービスにアクセスするためには、専用のアプリケーションを使う必要があります。
今回はWebサービスなので、Tor Browserを使えば解決です。

Tor Browser
https://www.torproject.org/projects/torbrowser.html

Tor上のWebページは通常のWebブラウザでは見れないことから、「ディープウェブ」などと呼ばれたりもします。

また、匿名であることを利用して薬物取引やマルウェアの販売などが行いやすいことから、
ブラックマーケットなども設置されています。
これらの犯罪に関わるようなWebサイトを「ダークウェブ」と呼びます。

話が逸れましたが、今回はTor Browserをインストールするだけです。
なので、Tor上のWebページを閲覧するだけであれば、何も難しいことはありません。

Tor経由でアクセスできましたでしょうか?
皆さんも普段お使いのWebブラウザで http://h4vbas7gobkhig5n.onion
にアクセスできないことを確かめた後に、Tor Browserでアクセスしてみてください。

これで今日からあなたもディープなウェッブにアクセスできるマンです!

以下、宣伝です。

劇場版『名探偵コナン ゼロの執行人』
http://www.conan-movie.jp/

本記事で解説した映画は、現在(2018/7/19)も大ヒット上映中です!
今回、Torについて学んだことで、また違った見方ができるかもしれません。
一度見に行った方も、もう一度見に行ってみてください!

また、ネットエージェントでは、
オタクコンテンツ(アニメ、漫画、ゲーム、ライトノベル、ドラマ)に登場する
ハッキングサイバー攻撃の技術的監修のご依頼を心の底から求めています!
下記のWebページから、お気軽にご相談ください!!!!!!!!
https://www.netagent.co.jp/inq/contact/webform.cgi

それでは!

※「名探偵コナン」は株式会社小学館集英社プロダクションの登録済み商標です。
  (登録番号 第5033653号)

メルマガ読者募集 セキュリティを学ぶ

月別