パソコン遠隔操作事件

本項目に出典を追加される方へ： 記事のタイトルに本項目で「男性X」と呼称される人物の実名が含まれる出典を追加する際、実名を出さないなどの修正をしてから追加してください

パソコン遠隔操作事件（パソコンえんかくそうさじけん）とは、2012年（平成24年）の初夏から秋にかけて、日本国内で発生したサイバー犯罪事件である。インターネット電子掲示板「2ちゃんねる」を介して複数人のパソコンが遠隔操作され、これを踏み台として襲撃や殺人などの犯罪予告が行われた。遠隔操作ウイルス事件（えんかくそうさウイルスじけん）とも呼ばれる。

なお、事件で使用されたプログラムはコンピューターウイルスと表現されることもあるが、正確にはトロイの木馬である。これら悪意のあるプログラム等は総称してマルウェアと呼ばれている。

真犯人である男Xが、インターネット掲示板を介して、東京都の男性A・大阪府の男性B・愛知県の男性C・福岡県の男性D・三重県の男性Eの少なくとも5人が所有するPCに対して不正な指令を与え、所有者の認識しないところでPCを操り、少なくとも計13件の襲撃・殺害予告を行わせた。なお、PCを遠隔操作された被害者は、前述の5人のほかに、神奈川県にさらにもう1人いるとの見方もある（後述）。トロイの木馬の一種iesys.exeを感染させ、犯罪予告の書き込み動作を行わせるために2ちゃんねる（現・5ちゃんねる）やしたらば掲示板などのネット掲示板が用いられた。

興味を持たせ、開かせたくなるような巧みな言葉で指定したウェブサイトへのリンクに少なくとも5人を誘導し、これをクリックさせることで最終的にPCが遠隔操作される仕組みになっていた。男X自身はTorを利用して複数の海外のサーバーを経由して掲示板にアクセスしており、自分のIPアドレスを隠蔽していた。

7件の襲撃・殺害予告については、書き込み時のログに残ったIPアドレスを手がかりにした捜査で男性A・B・D・Eの計4人の人間が逮捕された。このなかでも、大阪府の男性Bについては、犯罪予告の内容が特定の航空機の爆破であり当該機が途中で引き返すという大きな実害が生じていたこと、また、アニメ業界で名前が知られていた著名人だったことから、逮捕が大きく報道された。なお、逮捕理由は大阪市のウェブサイトに大量殺人の予告を書きこんで市と府警の業務を妨害したことによる威力業務妨害であり、航空機爆破予告事件では逮捕はされなかった。

ほかの男性A・D・Eの3人が逮捕された時点では、従前よりネット上でしばしば見られた犯罪予告投稿に関する事件に過ぎないと認識されており、これが遠隔操作の結果であると知られてから社会的に注目されるようになった。なお、愛知県の男性Cは逮捕されなかった。

警察の捜査に対して男性A・B・D・Eの4人とも当初は否認したが、取り調べの過程で東京都の男性Aと福岡県の男性Dが容疑を認め、男性Aは未成年であったことから保護観察処分となった。一方で、否認し続けた大阪府の男性Bについてはオタロード殺人予告で市や府警の業務を妨害した業務妨害罪で起訴に至った。

しかし、三重県の男性EのPCから、事件に関与したと思われるトロイプログラムが発見されたことから、逮捕後に勾留されていた男性Eは釈放された。また、これを受けて男性BのPCを再度調査したところ、やはり同様のトロイプログラムに感染していた痕跡があったことが判明したため釈放された。トロイ発覚時点ではこの2件の関連性が注目されていた。のちに事件で容疑を認めていた男性Dも、三重県の事件と同様のトロイプログラム感染が明らかになったことで釈放されていたが、後述の男Xからの犯行声明までは男性Dが釈放されていたことは報道されていなかった。10月7日になって男性Eと男性Bをめぐる逮捕の経緯がメディアに報道された。

その後、弁護士やラジオ局に「自分が真犯人」と名乗る電子メールが届いた。このメールの中で、それまでメディアで報道されていなかった6件について触れられていたことや、既に報道されていた7件についても犯罪予告の文言などが報道時に伏せられていた部分の一字一句まで同じであるなど、報道されていない多数の秘密の暴露があったため、真犯人からのメールと断定された。

釈放された男性D、Eの2人は嫌疑なしの不起訴処分となり、起訴された大阪府の男性Bは起訴取り消し、未成年の男性Aは保護観察取り消し処分となった。

IPアドレスを根拠とした捜査で特定したPCの所有者を容疑者と断定して4人を検挙したことに対しては、1人を除いてPCが遠隔操作されるなりすましの可能性が考慮されなかった点、また、取り調べの中で無関係の2人をして「自身の犯行であると認める」と全面自白に至らしめた経緯についても問題が提起された。

警察は真犯人の男Xについて、脅迫罪、威力業務妨害罪、不正指令電磁的記録作成・同供用罪などの適用を視野に捜査を進めた。

2013年1月1日未明に、複数の報道機関や記者に「謹賀新年」のタイトルでメールが送付される。発信元は以前と同じメールアドレスであり、従前ここに宛てて送られてきた質問等への回答や、iesys.exeのソースコード・関連ツール等を先着1名に提供するとしていた。

1月5日未明に、複数の報道機関等に再度メールが送付される。発信元は以前のメールアドレスをわずかに変えたものである。「江の島にいる猫にiesys.exeのソースや犯人の主張を記したテキストファイルを記録したチップを預けた」としており、5日午前中に報道機関の撮影するなかで警察が回収した（4か月後の同年5月に別の場所で同じ内容を記録したUSBメモリーも回収されている）。

2013年2月10日未明、合同捜査本部^[1]は、都内に住むIT関連会社社員の当時30歳の男性Xが事件に関与している疑いが強いとして威力業務妨害容疑で逮捕した。竹田真や佐藤博史らが弁護士として担当している^[2]。

意図せず犯罪予告に加担させられた少なくとも5人のPC所有者のうち、1人はウェブサイトのセキュリティーの不備をついたクロスサイトリクエストフォージェリ（CSRF）を仕掛けられた。その他の所有者は、iesys.exeを仕込まれたアプリケーションソフトをダウンロード・実行し、そのトロイを介してPCが遠隔操作された。

東京都男性Aの事件 - CSRFによる殺害予告の書き込み

トロイを用いた遠隔操作ではなく、男XはCSRFを仕掛けたウェブサイトを用意し、これを指し示すリンクを掲示板に書き込んでクリックさせることで、殺害予告文をターゲットのウェブサイトである横浜市の公式サイトに自動送信を行わせたと判明している。なお横浜市のサイトは、投稿されたデータが入力フォームを介したものであるかを検証していなかったうえ、文章を投稿すると確認画面を経ず、ただちに投稿文を受け入れる設計でありCSRF攻撃への対策が取られていなかった。

その他のPC所有者の事件 - トロイプログラムによる遠隔操作

男Xはバックドア機能を持つトロイプログラムである "iesys.exe"を仕込んだフリーソフトをサーバー^{[注釈 1]}上に配置したうえで、言葉巧みにこれをダウンロードするように仕向ける紹介文を掲示板に書き込み、ユーザーにダウンロード・実行させてバックドアを開いた。男Xは、このバックドアを介してユーザーのPCに対し情報取得や、ターゲットとなるウェブサイトへの犯罪予告書き込みの指示を与え、PC所有者の認識しないところで脅迫行為に加担させた。

ユーザーを誘導する舞台となった2ちゃんねるにおいて、大半の掲示板では海外サーバーからの書き込みを制限しているが、代行スレッドの掲示板ではTorも含む海外のサーバーからの書き込みも可能となっていた。男XはTorで身元を伏せつつ、この代行スレッドの掲示板において「ユーザーをフリーソフトに誘導する文言をソフトウェア板の指定のスレッドに書き込みをしてほしい」と依頼することで、他人の手を借りて目的の書き込みを実行し、ユーザーをリンクに誘導する目的を達成した。

トロイプログラム IESYS.EXEには「2・00」「2・23」「2・35」などのバージョンが確認されている。なお、報道ではコンピューターウイルスと呼ばれるが、このプログラム単体には他のPCなどへ感染を広める機能はなく、厳密にはトロイプログラムに分類される。

IESYS.EXEへの指示

このトロイは稼働中に特定の掲示板（したらば掲示板）を監視しており、ここに書き込まれる命令を読み取って指示された動作を行う。命令は暗号化されており、ここへの書き込みはTorを介して行われた。また、動作完了時には、別の掲示板に動作完了の旨の書き込みを行う。

IESYS.EXEの機能^[3]

ウイルス対策ソフト会社の解析によれば、このトロイは以下の機能を持つとされる。

キーロガー（キーボード入力情報の取得）

スクリーンショットの取得

ファイルのアップロード（PC内のファイルを外部に転送する）

ファイルのダウンロード（ネットから当該PCにファイルを転送する）

指定ウェブページへのPOST（自動投稿）

アップデート

自身の消去

これにより、PC所有者に関する情報を得ることも可能であり、実際に男Xからの犯行声明の中には、乗っ取ったPCの所有者について言及した事例がいくつか見られる。

IESYS.EXEの特徴

流通しているウイルス作成ツールで製作したものや既存のウイルスの亜種などではなく、スクラッチから製作されたまったくの新種である。従来のボットタイプのウイルスがIRC経由で指示を受けるのに対して、IESYS.EXEは特定の掲示板を監視し、そこに書き込まれた命令を解釈・実行する点が異なる。開発ツールとしてMicrosoft Visual Studio 2010を使い、C#（シーシャープ、プログラミング言語）で記述されている。なお、iesys.exeの解析者のコメントとして、Visual Studio 2010は高価な専門ツールであることから、素人が購入するとは考えにくいという見解を示したと報道された^[4]が、解析者本人はそれを否定している。また、Visual Studioには無償エディション（Express）のほか、学生であればDreamSpark会員限定でPro版を無料で入手することもでき、解析ではそれらエディションの違いまでは判別できないという。

セキュリティソフトベンダーによる命名

トレンドマイクロ：BKDR_SYSIE.A^[5]

シマンテック：Backdoor.Rabasheeta^[6]

マカフィー：BackDoor-FIT^[7]

G DATA Software：Trojan.Agent.AXAG^[要出典]

マイクロソフト：Backdoor:Win32/Rabasheeta.A^[8]

少なくとも13件の犯罪予告が確認されている。当初は7件が報道され、6件は10月の犯行声明で言及されるまで報道されていなかった。また13件以外でも、犯行声明でも言及されなかった1件が男Xによる犯罪予告の可能性がある。また、一部は犯罪予告が送られてきたことに気付かなかったり、まともに取り合わなかった例もある。

遠隔操作されたPCの所有者は東京都に住む男子大学生である。

神奈川県警は男性Aをこの事件の容疑者として7月2日に逮捕し、多少不審な点はあるものの男性Aの犯行であると断定して厳しく追及した。男性Aは当初は否認していたが、取り調べの過程で容疑を認め、未成年であったことから8月15日に保護観察処分（実質的な有罪扱い）となった。

男Xからの犯行声明で遠隔操作の手口が明かされたことからようやく、男性Aが犯罪予告の当事者ではないことが明らかになり、10月30日に保護観察処分取消処分となった。

遠隔操作されたPCの所有者は大阪府のアニメ演出家の男性である。

• 7月29日21時45分ごろ - 大阪市公式サイトの相談窓口ページに「8月5日にヲタロード^{[注釈 2]}でトラックとナイフで無差別殺人をする」という内容の犯罪予告が投稿される。秋葉原通り魔事件を想起させる内容であった。この犯罪予告を受け、当該場所には警察官約90人が警戒にあたることになった。
• 7月29日 - 首相官邸の公式サイトへ「桜田門前で皇居ランナーを無差別殺人」という予告（当初はメディア非公開）がある。
• 8月1日13時25分ごろ - 日本航空公式サイトの顧客対応窓口に「日本航空の成田発ニューヨーク行きの006便に爆弾を仕掛けた」という脅迫メールが送られる。麻原彰晃とオウム真理教信徒全員の釈放を要求する内容があった。「さらに地下鉄で硫化水素散布を行う用意もある」との記述があり、地下鉄サリン事件を想起させる内容であった。同便（乗客247人・乗員18人・計265人）はメールが届く前の11時54分ごろに成田空港を離陸していたが、離陸から1時間半後に犯罪予告が届いたことを受け、日本航空は15時10分ごろにアリューシャン列島付近の上空を飛行中だった同便を成田空港に引き返すことを決定した。20時10分ごろに成田空港に着陸したあとで、千葉県警空港警備隊爆弾処理班によって機内や手荷物等の点検が行われた。成田空港に戻った乗客は別の日本航空の便に乗り換え、22時36分ごろに成田を離陸してニューヨークへ出発した。

オタロード事件についてログに残っていたIPアドレスから男性BのPCが特定された。8月上旬に男性BはPCを任意提出する一方で、任意の取り調べの中では容疑を否認した。捜査機関は約1か月間任意捜査で、「無線LAN無断使用」「CSRF攻撃」「遠隔操作ウイルス感染」「時限設定自動書き込みウイルス」などの可能性を考慮し、第三者の関与を想定して捜査を行った^[9]。しかし、捜査機関の当時の解析能力では遠隔操作ウイルスの痕跡は見つけられず、また複数のウイルス対策ソフトによる検査でも不正プログラムが見つからず、第三者の関与の可能性が低いと判断した。

8月26日に、警察はこの男性Bの犯行と断定して、オタロード事件の容疑で威力業務妨害罪で逮捕した。しかし男性Bは、逮捕後も容疑を否認し続けたため、9月14日に偽計業務妨害罪で起訴された。その後、三重県の事件で新種のトロイ感染が発見されたことを受けて改めてPCを調査したところ、同種のトロイプログラムに感染していた痕跡が確認されたため、9月21日に釈放され、10月19日に起訴取り消し処分となった。

遠隔操作されたPCは愛知県の男性Cが勤務する会社の事務所内のものである。犯行声明では具体的な社名について言及しているが、大手メディアの報道では会社の業種に触れているものはあっても具体的な社名には触れている例はない。

• 8月9日10時41分ごろ - 2ちゃんねるにコミケで殺害予告が5回書き込まれる（当初はメディア非公開）。8月10日から8月12日までの3日間、東京ビッグサイトで「コミックマーケット82」が開催予定であった。なお、2013年2月10日に逮捕された男性Xの逮捕容疑は、このコミケ襲撃事件に関する威力業務妨害であった。
• 8月9日10時59分 - 2ちゃんねるに天皇殺害予告の書き込みがある（当初はメディア非公開）。

この事件については男性Cは逮捕されなかった。

• 8月27日17時ごろ - お茶の水女子大学附属幼稚園の公式サイトへ始業式に悠仁親王および園児らへの殺害を予告するメールが送られる。「わるい天皇制を終わりにしてやる」の文言があった。
• 8月27日夕方 - 学習院初等科の公式サイトへ始業式に愛子内親王および児童らへの殺害を予告するメールが届く（当初はメディア非公開）。お茶の水女子大学附属幼稚園事件同様に「わるい天皇制を終わりにしてやる」の文言があった。この犯罪予告メールは迷惑メールに分類されていたため、男Xの犯行声明で言及されるまで犯罪予告が送られてきたことに気付かなかった。
• 8月27日 - 芸能事務所ジョビィキッズプロダクション（芦田愛菜の所属事務所）の公式サイトへ芦田愛菜の殺害を予告するメールが送られる。
• 8月27日 - 部落解放同盟中央本部の公式サイトへ部落民殺害と本部襲撃予告のメールが送られる（当初はメディア非公開）。部落解放同盟は「本気とは思わず、その後も何も起きなかったので警察に届けなかった」と説明している。

2012年9月1日、福岡県に住む男性Dがお茶の水女子大学附属幼稚園事件で逮捕された。当初は否認していたが、取り調べの過程で容疑を認めた。罪を認めたのは同居女性が予告に関与していたと考え、これをかばい罪が及ぶのを防ぐためだったと報道されている。しかし、東京地検に送致されたあとは否認に転じた。勾留期限満了日となった9月21日にお茶の水女子大学附属幼稚園事件で起訴不起訴の判断をせずに処分保留として継続捜査の対象とする一方で、芦田愛菜所属事務所事件で再逮捕をして身柄拘束を続けた。男性DのPCには、マイドキュメントフォルダに芦田愛菜所属事務所への犯罪予告メールと同じ内容のテキストファイルが残っていた。

9月21日は三重県の事件における男性EのPCがトロイに感染していると判明した日であるが、再逮捕時点では男性DのPCに関連があると判明していなかった。その後、男性DのPCも同様にトロイプログラムに感染していたことが判明していたため9月27日に釈放され、10月23日に嫌疑なしの不起訴処分となった。10月7日に大阪府の事件と三重県の事件が遠隔操作であったことが報道されていたが、釈放されていた福岡県の事件については同様の遠隔操作であったと報道されておらず、10月10日の男Xからの犯行声明で世間に遠隔操作事件であることが知られることになった。

• 9月10日15時34分〜15時43分 - 2ちゃんねるに3連休中における伊勢神宮への爆破予告が4回書き込まれる。「悪い日本の全体主義、軍国主義を打破」「伊勢神宮のボスは今すぐ従軍慰安婦・強制連行・南京大虐殺被害者に土下座したあと切腹しろ」の文言があった。これにより、神宮司庁の職員らの配置人数を増やし警備を強化することになった。
• 9月10日15時40分〜15時49分 - 2ちゃんねるにドコモショップ秋葉原中央通り店への襲撃予告に4回書き込み^[10]（当初はメディア非公開）。これにより、ドコモショップ秋葉原中央通り店は3日間臨時休業することになった^[11]。2012年10月の犯行声明では言及されていなかったため当時は報道されなかったが、PCを解析した結果、この書き込みが男Xの遠隔操作によって書き込まれた可能性が浮上し、男性Xが再逮捕された2013年5月に遠隔操作事件の一つとして報道された。また、15時40分の襲撃予告に向けての、15時41分から15時43分にかけてほかの人物が警察に捕まることを示唆するレスに対して、15時49分に男Xが対象のレス番をつけながら自分に否定的な書き込みに反発する書き込みを返している。つまり、男Xはあらかじめ用意された犯行予告文と投稿先だけ決めて投稿していたのではなく、リアルタイムで投稿先を監視して反応ができる状況にいたことになる。
• 9月10日16時10分〜16時45分 - 2ちゃんねるに任天堂本社爆破予告が5回書き込まれる。「花札屋の歴史はこれで最後だ」の文言があった。任天堂は9月13日に新型ゲーム機「Wii U」の発売日や価格等に関する新発表が予定されていた。

9月14日に三重県に住む男性Eが伊勢神宮事件で逮捕された。トロイプログラム感染に絡む今回の事件において、2ちゃんねるへの書き込みで逮捕者が出たのは初めて。

逮捕された男性Eは容疑を否認。大学時代に電気学科に在籍して、PCに精通していた男性Eは三重県警察の尋問に対し、一例として遠隔操作の手法を説明^[12]。逮捕から4日後の9月18日ごろより詳細な解析を実施したところ、この男性EのPCについては、ほかの3人とは異なりトロイプログラムが消去されずに残っていたことから新種のトロイプログラムに感染していたことが判明した。逮捕から7日後の9月21日に釈放され、10月23日に嫌疑なしの不起訴処分となった。

ほかの男性B・C・Dの3人の被疑者のPCと異なり、男性EのPCにのみトロイプログラムが残っていたことについて、男Xの犯行声明では「この時だけ、わざとトロイ（ウイルス）を消さないでおきました。彼らを釈放するのか、犯人扱いのままか、警察がどう出るか試す意図がありました」とあり、トロイプログラムを意図的に残していたと主張している。一方で男性EのPCは誘導サイトからトロイプログラムを仕込まれたフリーソフトをダウンロードした約30分後に、最初の犯罪予告事件である伊勢神宮爆破予告が書き込まれているが、普段からまめにCPUの使用率をチェックしていた男性EはPCの動きが遅くなった際にCPUの使用率が不自然に高くなっていたことを察知し、ダウンロードから約1時間後にトロイプログラムを自分で停止させており、このため男Xによる遠隔操作が不可能となってトロイプログラムの削除もできなくなった可能性もある^[13][14]。

以下は8月27日の福岡県の男性DのPC遠隔操作事件より後、9月10日の三重県の男性EのPC遠隔操作事件より前の事件である。

• 8月29日20時21分 - 2ちゃんねるに東京ビッグサイト^{[注釈 3]}で9月2日行われるAKB48の握手会でのAKBメンバーの殺害予告が書き込まれる（当初はメディア非公開）。なお書き込みには「はだしのゲンの勝子みたいになれ^[15]」の文言など、AKB48メンバーにネガティブな表現が書かれていた。

男Xは犯行声明において、8月29日のAKB48握手会事件は男性DのPCを遠隔操作したと主張しているが、実際には神奈川県内のIPアドレスが残されており、神奈川県の男性FのPCをウイルス感染させて遠隔操作した可能性があると報道されている^[16][17]。

男性Fは2013年6月の時点で専門学校生と報じられている^[18]。

男XはTorで書き込むことができる2ちゃんねるのシベリア超速報板・レス代行スレ関連でサイトに誘導するため、以下のような書き込みを行い、IPアドレスから身元が判明できないように細工していた。ただし、1回のみ代行スレに書き込まず直接書き込みをしており、Torを使用せずに直接書き込みをしていたと報じられている。

• 6月29日13時44分 - 男Xが代行スレに書き込み。
• 6月29日15時17分 - 男Xが代行スレに書き込み。
• 7月27日13時21分 - 男Xが代行スレに書き込み。
• 8月24日19時5分 - 男Xが代行スレに書き込み。
• 8月28日15時6分 - 男Xがスレに直接書き込み。
• 8月28日16時26分 - 男Xが代行スレに書き込み。
• 9月10日14時29分 - 男Xが代行スレに書き込み。

これまでに2012年10月、同年11月、2013年1月1日、同月5日、2014年5月の5回、真犯人を名乗る者から自身の犯行についての電子メールが、弁護士や報道機関に届いている。

• 2012年10月9日23時22分 - インターネット上のトラブルに詳しい弁護士・落合洋司宛に男Xから上記事件の犯行告白を主旨とする電子メールが送信される^[19]。
• 2012年10月10日22時20分ごろ - TBSラジオの番組『ニュース探究ラジオ Dig』宛に、番組生放送中に男Xから前述の事件に関して犯行目的や犯行内容の詳細、およびほかの類似の犯罪予告事件への関与などが記述された投稿が送られてくる^[20]。なお、この日はコンピューターウイルスの問題を取り上げており、「ネットウイルスの実態」を放送中であった^[21]。落合もこの日の番組に生出演していた。
• 2012年11月13日23時54分 - 落合や報道機関宛てに「ミスをした。捕まるのが嫌なので自殺する」旨の自殺予告メールが送信される。メールに添付された写真には人形^[22]と、首吊りの縄に見立てた青いLANケーブル・カッターナイフ・梱包用テープと当日朝刊の神奈川新聞が写っていた^[23]。写真のEXIF情報には撮影時の位置情報が記録されており、千葉県鎌ケ谷市の畑地を示すデータが記録されていた^[24]。なお、本来は位置情報は緯度・経度の度・分・秒の小数点以下については60進数表記で示されるものだが、これを100分率表記と見做すと横浜市のある団地にあたり、近傍に東京の男性Aの事件で襲撃が予告された小学校があった^[24]。ここから横浜市の団地と千葉県鎌ケ谷市の畑地周辺に警察が聞き込みをかけるも、自殺者や送信元に関する情報は確認されなかった^[24]。また、EXIF情報には通常含まれるはずのデータが欠けているなど不自然な点が見られることから改竄されている可能性があり、捜査かく乱を目的に電子メールを送信した可能性がある^[24]。
• 2013年1月
  • 1日午前0時18分 - 男Xから「謹賀新年」のタイトルで複数の報道機関や記者に電子メールが送られた。メールには添付ファイルの中にある5題のクイズが出題されており、一つの問題を解いて得られる解答をパスワード等として次の問題を入手できるようになっている。
    • （第1問）問題として与えられる画像では、韓国の漫画キャラクターが話しているハングルとテレビゲーム「テイルズ・オブ・エターニア」のキャラクターが話している架空言語のセリフが現れ、これを翻訳することでパスワードが得られる^[25]。
    • （第2問）パスワードでファイルを開くと85個のPNGファイルが得られる。そのうち84個はアイドルグループ「モーニング娘。」の顔写真であり、1つは画像ではない^[26]。これらのファイルを画像結合ソフト「Love Machine」（ファイル偽装・分割を行うためのツール）で結合し、第一問で得たパスワードを与えると本来の画像ファイルが復元される^[26]。この画像ファイルが第3問になる。
    • （第3問）問題で与えられるのは画像ファイルとその解読方法であり、画像ファイルは13手詰みの詰め将棋である。将棋専門誌「将棋世界」2012年1月号に掲載された詰め将棋の問題と同一であった^[27]。詰将棋の解答の棋譜がパスワードになる。
    • （第4問）問題で与えられるのは音声ファイルである。単純に再生すると判別できないが、逆再生すると「パスワードは警察庁長官の氏名、ヘボン式ローマ字半角小文字で」と聴こえ、それが次のパスワードになる^[28]。
    • （第5問）第4問で得たパスワードを使うと2枚の写真ならびにテキストファイルが得られる。写真は山頂三角点を写したもので、EXIF情報から東京都奥多摩町の雲取山（東京都、埼玉県、山梨県の三都県境付近）の場所が示される。この三角点の傍にIESYS.EXE関連資料やFAQを記録した記憶媒体を埋めたとする内容^[29][28]。
  • 1月2日午後になって警察が該当する地点を捜索したが、記憶媒体は見つからなかった^[30]。写真の画像データは撮影日などの情報が含まれず、メールに添付された雲取山の写真には登山愛好家のサイトに掲載された写真と構図や影の位置などが酷似していたため、写真流用疑惑が浮上し、登頂を疑う見方が出た。男Xは5日のメール等で、埋め方が浅く飛ばされたと主張している。なお、2013年5月下旬に山頂付近を実況見分した際に、袋に入ったUSBメモリーが発見された。1月には凍結して掘れなかった部分の土に埋まっていたとされ^[31]、江の島の猫の首輪から見つかった記録媒体とほぼ同じ内容が記録されていると報道されている^[32]。
  • 1月5日午前0時34分、男Xから「新春パズル 〜延長戦〜」のタイトルで25人の弁護士・個人や報道機関に電子メールが送られた。メールには添付ファイルの中にある3題のクイズが出題された。
    • 第1問 - テレビゲーム「ファイナルファンタジーX」に登場する架空言語を翻訳する内容^[33]。
    • 第2問 - 隠されたファイルを復元する内容^[33]。
    • 第3問 - 4枚の写真から記憶媒体のチップとともにピンク色の首輪をつけられた江の島の地域猫を探す内容^[34]。また、うち1枚の写真は、2013年1月4日付の神奈川新聞の上に置かれたピンクの首輪が掲載されていた。
  • 住民によれば、この猫は人懐こく、人と接するのを嫌がらないといい、その毛並から「グレー」ないし「シルバー」と呼ばれていたという^[35]。
  • 同日9時ごろに報道機関と警察が当該猫を発見し、警察がSDカードを回収した^[36]。
  • 江の島の防犯カメラと目撃情報から当該猫に首輪がつけられたのは1月3日の15時から15時15分にかけてと見られている一方で、5日に送られたメールに含まれた写真の背景には1月4日の新聞が使用されている。これは複数の首輪を用意して首輪を装着した日時を偽装することで捜査を攪乱する意図であると推理された。江の島の防犯カメラでは、不審な男性複数が猫に首輪を装着し、写真を撮る様子が記録されているという^[37]。江の島では1か月前の2012年12月21日に万引き防止のために35台の防犯カメラが更新・新設されていた^[33]。男Xは犯行声明の中で、この猫を「ゆたかくん」と命名しているが、当時の警察庁長官は片桐裕であった。
• 2014年5月16日 - 報道機関宛に真犯人を名乗る者からメールが送信された^[38]。

男Xの行為で複数の男性が冤罪となったことについて、マスメディアのみならず、警察庁OBからも問題を指摘する声が上がっている^[39]。特に自白強要や、IPアドレスを人間の指紋と同様に取り扱っていることが問題点として挙げられる^[39]。

• 男Xからの犯行声明によれば^[40]、関与したものには東京都の男性Aが小学校を襲撃するという書き込みを行ったとして神奈川県警に逮捕された事件（横浜市小学校襲撃予告事件）も含まれており、この事件では被疑者が当初犯行を否認していたにもかかわらず、最終的に犯行を認めて保護観察が確定している^[41]。ことに、殺害予告で名乗った「鬼殺銃蔵」の自称につき、日本酒の銘柄「鬼殺し」からとった、忌み数である13からジュウゾウと読ませたなどの合理的な根拠ある説明がなされ、小学校を狙った理由についても具体的に動機を供述した自白調書や上申書が作成されていた^[42]。そのため何らかの誘導により、自白の強要を迫ったのではないかという疑いが浮上し、神奈川県警はすでに審判が確定した男性Aに再度事情聴取を行うこととなった。
• また、約250字の予告文を書き込むのに要した時間がわずか2秒であり、書き込みを受けた横浜市も疑問を抱いていたが、警察側は、特殊なソフトを使えば可能と判断し、裏付け捜査を怠っていた^[43]。2秒で250文字を書き込んだ方法について男性Aを厳しく追及し「一心不乱に打ち込んだ」という自白を引き出した^[44]。
• 神奈川県警は「自白の強要や誘導はなかった」と検証結果を12月15日に発表し、また横浜地検は、検察官の取り調べに違法、不適正な行為は認められなかったと発表した。

• 三重県の男性Eについては捜査段階でなりすましに気付いたのに対して、大阪府の男性Bを逮捕した大阪府警は不正プログラムを使ったなりすましに気付かず、IPアドレスが「指紋」に相当する証拠と位置づけ、これを根拠に起訴まで行っていた^[45]。また、書き込みには男性Bの実名が漢字で記載されており、犯罪予告としては不可解な点が見られる一方で、振り仮名は漢字の別の読み方をしており間違っているなど不自然な内容であった^[46]。なお「間違った振り仮名」については、本人が過去にPCで使用していたニックネームだったと指摘する報道も出ている^[47]。
• 男性Bが犯行を否認し続けたにもかかわらず、上記の「実名を添えた」点については「ほかに証拠がなければ警察も手が出せまい」と舐めてかかる「警察に対する挑発」であり、「振り仮名を誤っている点」は「この期に及んで人違いを偽装する」警察の捜査能力を愚弄するもので、「警察に対する挑発」と断定して起訴を行った^[46]。そのため、三重県の事件で遠隔操作が判明しなければ有罪になる可能性があった^[45]。
• 大阪地方検察庁内部では「大人数で警戒して大騒ぎになったので、立件するしかないという空気になっていた」という^[48]。男性Bは「犯行を認めれば罪が軽くなる」（利益誘導にあたる）と言われたと証言している^[49]ことから、冤罪を招くとして禁止されている日本国憲法第38条に対する違憲であり、違法な捜査を行っていた可能性が示唆されているが、警察は利益誘導を否定している。なお、利益誘導による取り調べは現在の判例では利益誘導による自白は任意性を欠き、証拠として認められず、過去にも自白の強要があった事件は多数報告されている。
• 男性Bについては逮捕前にパソコンウイルスやCSRF等の第三者による犯行の可能性が考慮されて捜査されていたが、それ以外の3人については逮捕前にパソコンウイルスやCSRF等の第三者による犯行の可能性が考慮されていなかった。

男Xが逮捕されるまで、真犯人の犯人像について学者、ネット関係者、評論家、マスコミなどでは以下のことが推理された。

日本人（または日本語話者）である可能性が高い

プログラムに見えるメッセージの一部に日本語が含まれていること、動作結果を掲示板に書き込む際に日本語を用いていることから、トロイの作成者や関係者に日本人（または日本語話者）が関わっていると見られる^[50]。また、指示を出すにあたり日本語の掲示板を介しており、日本のインターネット事情に通じていると指摘されている。

プログラムの作成に長けており、C#が使える

トロイプログラムは、既存のウイルス制作ツールを用いて作られたものでも、既存のウイルスを改造した亜種でもなく、独自に作られたものと見られる^[51]。なお、犯行声明にも自身でスクラッチから作成したと表明されている。

男性の可能性が高い

芦田愛菜殺害予告における殺害手法は女性としての人格を否定するような表現であることなどから^[52]。

几帳面な性格の人間の可能性が高い

個人作成のウイルスに番号をつけるのは珍しい中で、プログラムの改良を重ねた際にバージョン番号「2・23」「2・35」がネット上で確認されていることから^[53]。

普段文章を作成する際に一文ごとに改行する人間の可能性が高い

犯罪予告および犯行声明メールの文章はすべて一文ごとに改行されていることから。

「大阪→オタロード」「三重→伊勢神宮」「福岡→福岡ドーム・太宰府天満宮」「東京からの僻地遠路→稚内・利尻島」を連想する人間の可能性が高い

2012年10月の犯行声明メールや2013年1月の真犯人の記録媒体によると、真犯人は襲撃対象をPCをウイルスに感染をさせた人間の居住地に絡めて以下のことを考えていた。

大阪府の男性BのPCを感染させた際には「大阪に住んでいることも分かったので、日本橋のオタロード^{[注釈 2]}を対象に選定」と書いており、大阪府の男性のPCには大阪絡みの場所として大阪府にあるオタロードを襲撃対象にした。

三重県の男性EのPCを感染させた際には「三重在住だと分かったので伊勢神宮をターゲット」と書いており、三重県の男性EのPCには三重絡みの場所として三重県にある伊勢神宮を襲撃対象にした。なお、男性Eが誘導サイトからダウンロードした約30分後に伊勢神宮爆破予告が書き込まれており^[54]、真犯人は長くても約30分間の時間で三重から伊勢神宮を連想した可能性がある（ただし、あらかじめ47都道府県分の襲撃対象に対応した脅迫文をあらかじめ用意しておき、たまたまユーザーの所在地が三重県と分かったことから「伊勢神宮襲撃」を選んだ可能性もある）。

福岡県の男性CのPCを感染させた際には「福岡の人だったと分かり、福岡ドームとか太宰府天満宮とかを脅迫する文言を書きかけた」としている。なお、「（東京の）警視庁の方たちに、遠路はるばる福岡までガサ入れしに行かせてあげるのも一興」「単純に警察に対する嫌がらせ」「わざと東京のターゲットにしました」とし、実際の襲撃対象は東京の場所になっている。

また、「（東京の）警視庁の方たちの遠路として、稚内とか利尻島とかも思いついた」としたが、「僻地すぎて無視される」としている。

「伊勢神宮襲撃」に「悪い日本の全体主義、軍国主義を打破」「従軍慰安婦・強制連行・南京大虐殺に対する謝罪要求」を連想する人間の可能性が高い

伊勢神宮事件では乗っ取った男性のPCの所在地が三重県とわかってから伊勢神宮を襲撃対象とした際に、「悪い日本の全体主義、軍国主義を打破」「従軍慰安婦・強制連行・南京大虐殺に対する謝罪要求」と送信していることから。

真犯人は長くても約40分の時間で伊勢神宮への脅迫内容として「悪い日本の全体主義、軍国主義を打破」「従軍慰安婦・強制連行・南京大虐殺に対する謝罪要求」を考えた可能性がある（ただし、あらかじめ47都道府県分の襲撃対象に対応した脅迫文をあらかじめ用意しておき、たまたまユーザーの所在地が三重県と分かったことから伊勢神宮への「悪い日本の全体主義、軍国主義を打破」「従軍慰安婦・強制連行・南京大虐殺に対する謝罪要求」の脅迫をした可能性もある）。

横浜市の某小学校を知っている人間

知名度が高い他の場所と異なり、1件のみ社会的知名度がない横浜市の某小学校を襲撃対象にしたことから^[55]。最初に起こした事件であり、連続放火などでも身近な場所から始める傾向があるとして、事件前から横浜市の某小学校に何かしらの因縁がある可能性があるが、事件直前に自分にまったく関係のない場所にある横浜市の某小学校をネット検索等で偶然見つけた可能性もある。

2012年11月の自殺予告メールおよび2013年1月の新春メールが届いた際には、添付された写真には同日の神奈川新聞が映っているのが確認できるが、新聞の入手方法は自宅宅配か遠方の店舗購入かは不明。しかし、捜査撹乱目的による自殺予告メールで添付された写真に神奈川新聞が映っていることや、撮影位置情報では横浜市の某小学校近くを意図しており所在地を「神奈川県横浜市」とミスリードしていたことから、横浜市や神奈川県とは縁が薄い可能性もある。

首都圏にゆかりのある人間の可能性がある

犯行声明メールで『（自己削除コマンド名について）「自殺」を意味する英語「suicide」にしようと思ったのですが、プログラム実装してたときにスペルをド忘れしてしまったので、適当に設定しました』とあるため、自己削除コマンド名を「suica」としたのはとっさの判断と考えられるが、「suic」（suicideの最初4文字）という文字配列について横浜市を含む首都圏とゆかりがあるために無意識にJR東日本で使われるICカード乗車券の「Suica」を連想した可能性がある^[56]。

また関東広域圏のラジオ局であるTBSラジオにメールを送っていることから、TBSラジオの聴取者であることも想定されるが、『ニュース探究ラジオ Dig』はJRNの一部系列局でも放送されており（ニュース探究ラジオ Dig#ネット局を参照）、同時にインターネットでのサイマル放送も行われているため全世界で聴くことが可能であり、TBSラジオ聴取という理由から真犯人が首都圏在住とは特定できない。

2012年11月13日および2013年1月4日の神奈川新聞の朝刊を入手した人間

犯人からのメールに神奈川新聞2012年11月13日と2013年1月4日の朝刊が写真が載っていることから。

神奈川新聞は約22万の発行部数で神奈川県内の個人宅や事業所に配達されているが、神奈川県内のコンビニエンスストアなどの売店でも購読できる。神奈川県内でも地方ごとで異なる点があるが、写真に写っている新聞紙では地方の違いは確認できなかった。また、写真がメール送信されたのは神奈川新聞を入手してから送信までの時間が長くて18時間もあるため、メール送信場所が神奈川県内とは特定できない。

真犯人側が本当に犯人にでっちあげたかった人物は、神奈川県在住である可能性を示唆している。

漫画やアニメやゲーム等のサブカルチャーへの親和性がある人間の可能性が高い

犯罪予告に「はだしのゲン」を出したり、オタロード^{[注釈 2]}・コミケ・任天堂を襲撃対象にしたり、パズルの題材にテレビゲーム「テイルズ・オブ・エターニア」や「ファイナルファンタジーX」を出したり、漫画やアニメやゲームなどのサブカルチャーがテーマになっていることから^[57]。

また、サブカルチャーへの親和性は大阪絡みの場所としてオタロード^{[注釈 2]}を連想するレベル、またはゲーム会社の任天堂は花札が主力商品だった過去について知っているレベル、テレビゲームで登場する架空言語を知っているほどゲームをプレイしているレベル、自殺予告メールで添付された写真に写っている人形を所有するレベルであると推理される。一方で、犯罪予告においてオタロード^{[注釈 2]}やコミケに集まる人たちのことを「キモヲタ^{[注釈 2]}」と表現している。

テレビタレントとして「芦田愛菜」「AKB48」を連想する人間の可能性がある

犯罪予告で「芦田愛菜」「AKB48」を襲撃対象にしたことから。「芦田愛菜」の表記について犯罪予告では「芦田愛菜」と呼び捨て、犯行声明メールでは「芦田愛菜ちゃん」とちゃんづけになっていた。

警察・検察に敵意を抱いている人間の可能性が高い

犯行声明メールに「警察・検察を嵌めてやりたかった、醜態を晒させたかった」「警察の強引な取り調べ」「警察がどう出るか試す意図がありました」「警察・検察の方へ」「あそんでくれてありがとう」「またいつかあそびましょうねーーー^{[注釈 4]}」とあることから。犯行声明メールには「秘密の暴露」「警察の強引な取り調べ」とあり、刑事訴訟に関する理論に一定の知識がある可能性がある。また「PC感染をさせた人間の居住地に近い場所の予告」「感染PCに同様の犯罪予告本文が書いてあるテキストファイルを残す」など、捜査機関をミスリードするような手法を意図的に行っている。

「警察に逮捕・事情聴取されたことがあって恨みがある、もしくは、警察に何かを訴えたが相手にされずに悔しい思いをしたなどの経験」を持つ可能性がある^[52]。一方で横浜市某小学校事件では「殺し疲れたらそのまま銃で自殺します」、オタロード事件では「その後自殺します」とあるため、犯罪予告をした真犯人は架空の自分について「自分自身が生きたまま逮捕されて警察権力の取り調べに立ち向かったり裁判という舞台で国家権力と闘う姿勢はなく、逆に現実逃避をしたがっている」という人間性を無意識に投影しており、その人間性が真犯人の実生活における本性になっている可能性がある。捜査機関をあざ笑う犯行声明について、グリコ・森永事件のかい人21面相を彷彿とさせるという意見もある^[58]。

また、2013年1月5日の犯行声明から警察が回収したSDカードには、「自分は以前、事件に巻き込まれたせいで、無実にもかかわらず、人生の大幅な軌道修正をさせられた」という主張が見えるという^[59]。

報道機関が報道するような社会的知名度のある事件・事象・組織・場所・人物について知識のある人間の可能性が高い

報道機関が報道するような社会的知名度のある日本航空、麻原彰晃、皇居ランナー、天皇、悠仁親王、愛子内親王、部落解放同盟、東京ビッグサイト、伊勢神宮、全体主義、軍国主義、従軍慰安婦、強制連行、南京大虐殺、任天堂を扱っていることから。

これらのことに「はだしのゲン」を加えて政治的思想信条が読み取れる可能性があるが、「警察が大騒ぎしそうな対象を選んでいるだけで、政治的意図、思想信条は読み取れない」という意見もある^[60]。

皇室に否定的ではない人間の可能性が高い

犯罪予告では皇居ランナー殺害・皇族殺害・天皇殺害・伊勢神宮爆破など皇室を否定的に書いていたが、犯行声明メールで「悠仁さま^{[注釈 5]}」「愛子様^{[注釈 5]}」と表記して皇室を肯定するかのような表現をしていることから。

神社に関する知識に疎い可能性がある

伊勢神宮事件において「伊勢神宮のボス」と表記していることから。そのため、伊勢神宮の神職最高責任者である祭主（池田厚子）に関する知識には疎い可能性がある。

「suicide」（自殺）のスペルをド忘れしてしまうくらいであり英語力は完璧ではない人間の可能性が高い

犯行声明メールで『（自己削除コマンド名について）「自殺」を意味する英語「suicide」にしようと思ったのですが、プログラム実装してたときにスペルをド忘れしてしまった』とあることから^[61]。

オウム真理教事件に何かしらの意識を強く持っている可能性がある

オウム真理教事件にまつわる人物や言葉について書かれていることから。

2012年8月上旬に大阪府の男性のPCを遠隔操作した日本航空事件ではオウム真理教事件の首謀者である麻原彰晃の釈放を要求した。また、同月下旬には福岡県の男性DのPCを遠隔操作して各方面に脅迫メールを送った際にはメールアドレスを「sarin」（サリン）・パスワードに「vxgus」（VXガス）というワードが用いられていることなど、オウム真理教事件にまつわる言葉を用いていた^[62]。

この2か月前の2012年6月にはオウム真理教事件に絡んで特別手配されて長期逃亡をしていた菊地直子と高橋克也が逮捕されて大きく報道されていた。また、麻原の釈放を要求した飛行機に絡む事件としては1995年6月に全日空857便ハイジャック事件が発生している。

ネットを常時閲覧している可能性が高い

大阪府の男性Bの事件では、ユーザーが探している用途に適うソフトを作成したうえでトロイを仕込んで提供していることや、三重県男性Eの事件ではドコモショップ秋葉原中央通り店への襲撃予告の書き込みの直後に返されたレスに対し対象のレス番をつけながら自分に否定的な書き込みに反発する書き込みを返していることから、常時ネットを閲覧していると思われる^[63]。

上記の観点から警察は犯人について「自作のウイルスを作成できる高いITスキル」「強い目的達成意欲」「声明文に見られる警察当局などへの挑戦的態度」を備えた「30歳代から40歳代のプログラマーなどの経験を積んだことのある東京近郊に住む男性」とプロファイルしていた^[64][65]。

2013年2月10日に事件の真犯人と目される被疑者の男性会社員Xが逮捕された。以下はそれを巡る事項について記す。

2012年11月12日から、遠隔操作に使われたサーバーがあるアメリカに捜査員を派遣し、FBIに捜査情報を提供するなどして協力も取りつけた。同年12月12日に「脅迫その他の方法で公務や事業活動の遂行に重大な支障を及した事件」についても対象とするように捜査特別報奨金取扱要綱を改正して、捜査特別報奨金対象事件に指定した。

しかし、ネット上に残された記録を手がかりにした捜査が行き詰まっていた。1月5日の犯行声明で江の島の地域猫にピンクの首輪をつけたと表明されたことから、この首輪をつけた人物に捜査の焦点が移った^[66][67]。江の島の防犯カメラでは、地域猫に首輪をつけたとされる時間帯の2013年1月3日15時から15時15分において地域猫に首輪をつけても不自然ではない行動をしている唯一の男の映像が確認されたことや、その男がバイクで移動する映像が写っていたことから、これらの映像を手がかりに同年1月中旬には東京都内に住むIT関連会社社員が特定された^[68][69]。

なお、警察側は早期の逮捕を指向したが、検察側は「SDカードの所持等」だけでは罪に問うことができず、時期尚早としていた^[70]。以後、一部の報道機関が男性Xをマークし、逮捕前の男性Xの様子を撮影している。

2月10日未明、警視庁と神奈川、三重、大阪各府県警の合同捜査本部は、SDカードの記録に他機関で照会されていないコミケ事件で使用されたコードが存在していたことから、この男性がコミケ事件に関与したとみて威力業務妨害容疑で逮捕状を請求するとともに、男性Xに対して警視庁に任意同行を求め、男性Xの自宅を訪問して家宅捜索を行ったあと^[71]、逮捕状を執行した^[72]。被疑者が逮捕された2013年（平成25年）2月10日付で捜査特別報奨金対象事件の指定から外れた^[73]。

以後、報道機関が男性Xの母親のもとに押しかけたため生活に支障が生じたが、警察が日用品の手配等をする一方で、「親子の縁を切る」という調書を準備して母親に署名を求めた^[74]。母親はこれに応じなかった。

2月10日に威力業務妨害で逮捕した事件の勾留期限が切れる3月3日を前に、警察は、大阪府の男性Bを介して日航機事件の容疑について航空機の強取等の処罰に関する法律（ハイジャック防止法）違反で逮捕状をとり^[75]再逮捕する方針が示された^[76][77]と報道された。これについて男性Xの弁護人は根拠なく再逮捕の予測を掻き立てたことや、威力業務妨害による立件について報じないことに対して不適当であると批判している^[78]。

3月3日、警察はコミケ事件について男性Xを処分保留（勾留期限当日）として釈放し、その場で大阪府のヲタロード殺害事件に伴う偽計業務妨害と、航空機爆破予告に対するハイジャック防止法違反について逮捕した^[79][80]。

2013年2月11日に捜査当局への取材から、男性Xが派遣先企業で使用していたPCを調べたところ、遠隔操作が行われた時期にTorを使用していた形跡が見つかったこと^[81]、男性XのPCには遠隔操作に使用した掲示板に接続した形跡があること^[82]、男性X宅から押収した4台のPCのうち2台は自作であり、遠隔操作トロイも自作したと見られること^[83]、同16日にはFBIの捜査によりアメリカのDropboxサーバー^{[注釈 1]}の中にトロイを仕込んだプログラムが残されており、その中に男性Xの関係先で作成されたことを示す情報が含まれていたこと^[84]、同20日にはアメリカのサーバーに残っていたトロイプログラムの中に、男性Xが勤務していた会社のPCから発信された痕跡が見つかったこと^[85]が報道された^[86]。

米国は2001年のアメリカ同時多発テロ以降はハイジャックによる航空機テロに神経をとがらせており、日航機事件では爆破予告メールが届いた時点で成田発ニューヨーク行き日航機が米国領アリューシャン列島付近上空を航行中で米国は厳重警戒を余儀なくされたことから、米国内での航空機爆破予告はいたずらでも看過できないというFBIの姿勢であり、捜査協力というよりも日米共同捜査といっていいほどFBIは積極的だった^[87]。

男性Xは事件への関与を否認しており、セキュリティやマルウェアには関心がないとしている。また、トロイプログラムがC#で書かれているのに対し、本人はC#でプログラムが書けないと主張している。なお、取り調べで「C#で書かれたプログラムを検証したことがある」という男性Xの発言を根拠に、身上調書では「C#を使える」としている^[2]。

上記のC#をめぐる認識の齟齬を挙げて男性Xならびに弁護人は取り調べの可視化（録音・撮影）を要求したが、警察がこれに応じないため留置房から出ることを拒否し、19日以後は取り調べが行われていない^[88]。また弁護士側は決定的証拠を提示するように要求しているが、検察側はこれに応じていない^[2]。

この逮捕については新たな誤認逮捕である可能性も指摘された^[89][2]。

また、弁護士らは1月3日15時半以降に「ピンクの首輪をつけた」猫についての写真を、2月25日から募集している。男性Xは1月3日13時半ごろ〜15時半ごろに江の島に滞在していたが、その時間帯は猫のそばで大道芸が行われ混雑していたため猫に首輪をつけることが困難であることと、少なくとも、14時50分ごろの時点では、猫には首輪がついていない写真があることを挙げ、15時半以降に猫に首輪がついていない写真があれば男性Xの無実を証明できるとしている^[74]。

東京地方裁判所で4回行われた勾留理由開示（2月26日・3月21日・5月1日・5月28日）では、法廷で男性Xは無実を訴えた。

3月3日、東京地検は愛知県の男性CのPC遠隔操作されたコミケ事件の容疑について処分保留として男性Xを釈放^[90]。

同日、合同捜査本部は大阪府の男性BのPCを遠隔操作し、オタロード事件と日航機事件を起こした偽計業務妨害とハイジャック防止法違反の容疑で男性Xを再逮捕^[90]。

以後、下記の事件について逮捕（または書類送検）、起訴されていった。その過程で、非公表だったドコモショップ事件の存在も三重県男性EのPCが使用された遠隔操作事件に絡んでいることが判明した^[91]。男性Xは全容疑について否認した。不正指令電磁的記録作成罪（ウイルス作成罪）での立件については「第三者が作成した可能性を取り除けない」として見送ることになった^[92]。

逮捕日	事件発生日	対象PC	事件内容	罪状	起訴日
2013年2月10日	2012年8月09日	23愛知県男性CのPC	2ちゃんねるにコミケ殺害予告の書き込み	03k234威力業務妨害罪	2013年3月22日1
2013年3月3日	2012年7月29日	27大阪府男性BのPC	大阪市にヲタロード無差別殺人の脅迫メール	03k233偽計業務妨害罪	2013年3月22日2
2013年3月3日	2012年8月1日	27大阪府男性BのPC	日本航空へ国際線爆発予告の脅迫メール	10ハイジャック防止法違反	2013年3月22日3
2013年4月11日	2012年8月27日	40福岡県男性DのPC	お茶の水女子大付属幼稚園へ悠仁親王を含めた 無差別殺人予告の脅迫メール	03k234威力業務妨害罪	2013年5月02日1
2013年4月11日	2012年8月27日	40福岡県男性DのPC	芸能事務所ジョビィキッズプロダクション（芦田愛菜所属事務所）へ 芦田愛菜殺害予告の脅迫メール	02脅迫罪	2013年5月02日2
2013年5月8日	2012年9月10日	24三重県男性EのPC	2ちゃんねるに伊勢神宮爆破予告の書き込み	03k234威力業務妨害罪	2013年5月29日1
2013年5月8日	2012年9月10日	24三重県男性EのPC	2ちゃんねるにドコモショップ秋葉原中央通り店襲撃予告の書き込み	03k234威力業務妨害罪	2013年5月29日2
2013年6月04日 [注釈 6]	2012年6月29日	13東京都男性AのPC	横浜市へ横浜市内某小学校で無差別殺人予告の脅迫メール	03k234威力業務妨害罪	2013年6月28日1
2013年6月10日 [注釈 6]	2012年8月29日	14神奈川県男性FのPC	2ちゃんねるにAKBメンバー殺害予告の書き込み	03k234威力業務妨害罪	2013年6月28日2
2013年6月10日 [注釈 6]	2012年	6台のPC	遠隔操作ウイルスを感染させた疑い	03k168不正指令電磁的記録供用罪	2013年6月28日3

2014年3月5日、男性Xが収容先の東京拘置所から約1年ぶりに保釈された^[93]。保釈保証金は1,000万円であり、男性Xの母親が用意した^[94]。保釈された日に記者会見を行い、また5月14日には、レイバーネット日本のインターネット放送に弁護士とともに出演し潔白を語っていた^[95]。

5月16日の公判中、報道関係者などに対し、真犯人を名乗る「小保方銃蔵」からの電子メールが送られてきた。これをもって男性Xも自身の無実が証明されたと訴えたが、実際には男性X本人が秘密裏に入手していたスマートフォンを使って偽装工作を行っていたことが明らかになった。

このスマートフォンについては、15日夕刻に男性Xが荒川河川敷に埋めているのを警視庁の特殊捜査班に所属する捜査員が目撃しており、のちに警察がこれを回収して調査したところ、公判中に発信されたメールの本文が発見され、またスマートフォンから男性Xと同じDNA型が検出された。

これを受けて19日に検察は保釈取り消しを請求し、20日に東京地方裁判所はこれを認めた。午前11時に男性Xは身柄を拘束され、東京拘置所に再び収監された。19日夜に男性Xは弁護団に対して、一連の事件の犯人が自分であると明かすとともに謝罪し、弁護団を解任する意向を示した（のちに解任の意向を撤回）^[96]。

22日の公判で男性Xは「徹頭徹尾無実」とした従前の主張を撤回し、再度の罪状認否で「全部事実」として罪を認めた^[97]。23日には、刑事訴訟法の第96条第1項^[98]、第2項^[99]に基づき、支払った保釈保証金1,000万円のうち、600万円の没取が決定した^{[注釈 7]}。

その後、男性Xはウイルス作成罪について遠隔操作ウイルスを自分が作ったことを認めたが、最初の作成については3年の公訴時効が成立し、その後のバージョンアップについてウイルス作成罪に問うのは困難と判断されて、不起訴となる見通しが報じられた^[100]。

また、2014年5月16日のメールではキャロライン・ケネディ駐日アメリカ大使等への脅迫的な文言があったため、男性Xに脅迫罪の適応が検討されたが、メールは脅迫対象には届いておらず、被害者から被害届も出ていないことから、不起訴となる見通しが報じられた^[101]。

11月4日の公判では、男性Xは犯行の動機を「権力的なものに対する怒りがあった」とあくまでも義憤に基づくものであったと主張した^[102]。

11月21日の公判で検察側は「卑劣で悪質かつ重大な犯罪」として、懲役10年を求刑した^[103]。

2015年2月4日、東京地方裁判所は爆破予告メールで航空機を引き返させたハイジャック防止法違反も含め、威力業務妨害など10件の犯行を認定、懲役8年の実刑判決を下し、裁判長は「捜査機関を出し抜きたいとの自己中心的な願望を満たすため、見ず知らずの第三者を犯人に仕立て上げた。サイバー犯罪の中でも悪質な犯行だ」と述べた^[104]。

地裁判決後、男性Xは控訴する意向がなかったため、地裁判決が確定され、刑務所に収監された^[105]。

報道に対する指摘

2月10日の逮捕以前より一部報道は男性Xをマークし、秋葉原を徘徊する様子や猫カフェで猫と戯れる姿が盗撮され本事件の報道でも紹介されたことから、警察より情報のリークがあったことや、不用意な接近で男性Xが証拠隠滅を図ったり逃亡したりする恐れがあったと指摘されている^[106]。また、逮捕時には読売新聞が「江の島の地域猫に被疑者が首輪をつけている場面の監視カメラ映像がある」旨を伝えていたが、のちにこの表現が消えていることが指摘されている^[2]。

被疑者の前科

男性Xは2005年にのまネコ問題をめぐりエイベックス社長宅への放火・社長の妻へ濃硫酸をかける加害・エイベックス社員の殺害の予告や、仙台市の特定の女子小学生を殺害する予告を2ちゃんねるに書き込んだことから逮捕され、4件について脅迫罪と名誉棄損罪で起訴され2006年に1年6か月の実刑判決を受けて服役していた^{[107][108][81]}ことについて報道されている。

なお、男性Xの姓が2005年の逮捕時と異なっているが、これは前科の記録がネット上に残って生活に支障がでることから、分籍して姓を変えたことによる^[2]。

被疑者の素性の報道

男性Xについては秋葉原のネットカフェを利用した記録があり、ここからもPCが押収されている^[109]。また、猫カフェにも利用履歴があり、猫に対する執着が指摘される^[110]。

各報道機関は男性Xの小学生時代からの学歴などの個人情報を報道している^[111]。男性Xの弁護士はプライバシーを取り上げる報道に批判を加えている^[112]。

2013年、マスコミ関係者が男Xの利用したウェブメールにアクセスしていたことが判明した。

日本の共同通信社会部の複数の記者が2012年10月から11月の間に、PC遠隔操作事件の真犯人を名乗る人物から東京都内の弁護士や報道機関に犯行声明メールが送られた際に使われたウェブメールのサーバーに接続し、メールボックス内を複数回閲覧していたことが同社の社内調査で分かった。サーバーにはパスワードを入力しないとログインできないが、犯行声明メールでは福岡県の男性Dのパソコンを遠隔操作して脅迫メールで利用されたメールアドレスのパスワードが記載されており、そのパスワードを入力したところ、脅迫メールと犯行声明メールのパスワードが同一だったため、偶然アクセス（接続）できた。その後、同事件取材チームの複数の記者がメールの送受信の記録などを見ていたとされている。

同社はメールボックスを見て得た情報は記事にはしていないとしているが、不正アクセス禁止法に抵触する可能性がある。同社編集局長は「真犯人に近付く目的だったが、取材上、行き過ぎがあったとみている。厳正に指導する」とコメントした^{[113][114][115]}。

警視庁は、メールが閲覧された詳しい経緯について調べており、2013年4月12日の時点で閲覧した記者から事情を聞く方針^[113][115]。その後、共同通信記者だけでなく、朝日新聞記者も同様の行為をしていたことが発覚。2013年6月25日に共同通信記者2人と朝日新聞記者3人が不正アクセス禁止法違反で書類送検された^[116]。

朝日新聞は、「真犯人が犯行声明メールで各社報道機関に送った際に、犯行で使用されたメールアドレスの当該識別符号（パスワード）が記載されており、真犯人はメール送信相手に自分が使うメールアドレスに当該識別符号（パスワード）でアクセスできるように誰に対しても広く承諾していたことが明らか」「真犯人を名乗る人物が送信した犯行声明メールが実際に当該メールアカウントから送信されたものであるかどうか（第三者が犯人になりすまして送った形跡はないか）などを確認するために行った、正当な取材行為」「当該アクセスは窃盗など不正な手段で当該識別符号を入手したものでも全くない」として違法ではないとしている^[117]。

2013年8月23日、東京地検は共同通信記者2人と朝日新聞記者3人について不正アクセス禁止法違反を認定したが、その一方で「報道目的で悪質性は低く、大きな実害もない。記者は反省している」として起訴猶予処分となった。

2013年4月12日10時6分（JST）、真犯人が使ったメールサーバーにアクセスしたとする人物が掲示板に書き込む。それによると、パスワードは、福岡県の男性DのPC遠隔操作事件で使われたメールのパスワードと同じだったという。また、「気づいた直後に警察に報告した」と記している。このパスワードは、2012年10月9日および10日に真犯人と名乗る人物から弁護士および報道機関に送信された犯行声明に書かれており、遅くとも同29日には報道されている^[118]。

同日13時38分（JST）、上記の書き込みと同じトリップの人物が、真犯人が使用したアカウントのログイン履歴のスクリーンショット画像へのリンク アドレス(URL)を書き込む。投稿サイトの記録によると、画像が投稿された日時は同日12時54分（JST）である。この画像により、当該人物のアクセス日時が2012年11月15日であることがわかる^[119][120]。ただし、この人物の書き込みおよびスクリーンショット画像の正確さは、2013年4月16日現在、完全に証明されているわけではない。

安倍晋三脅迫メール事件

2012年9月から10月上旬にかけて、首相官邸・警察庁・国家公安委員会・自民党のHPに安倍晋三自民党総裁への殺害を予告する約40通のメールが送られていた事件^[121]。

メールでは殺害予告のほかに「ほかのパソコンを踏み台にしている」などと遠隔操作を示唆し、さらに「税金泥棒の運転する白黒パンダ（パトカーを指している）を大型トレーラーで煽って懲らしめてやる」と、警察を挑発するような内容が含まれていた^[122]。また、「ヒントをやろう」などとして日本語の暗号や数字が並べてあるものもあった。遠隔操作事件の犯行声明メールが世間に知られたあとで、メールには誤認逮捕された遠隔操作事件の1件について「俺たちがやった」と遠隔操作事件への関与について部分的に認める記述があった。

送信元とされた岡山県在住のトラック運転手の男は、任意の事情聴取に関与を否認し、「2ちゃんねるネット掲示板で、PC快適ソフトをダウンロードしたら逆に動作が遅くなった」とウイルス感染の可能性を訴えていた。しかしその後の捜査でパソコンに感染の形跡はなく、この男が直接送信したことが確認されると、一転して男は「2ちゃんねる掲示板のみんながびっくりすると思ってやった」「2ちゃんねる掲示板で見つけた文言をメールに使った」「過積載で検挙された腹いせ」などと容疑を認め、2013年1月25日に偽計業務妨害罪で書類送検された^[123]。また世間を騒がせていた遠隔操作事件とは無関係であることが判明した。

また余罪として、安倍晋三を脅迫したメールと同じサーバーから一般人が開設した育児に関するブログに「子供を殺してやる」などの書き込みが4件あった。

2013年1月上旬に遠隔操作事件の真犯人が残した記録媒体では、「（安倍晋三事件について）私ではありません」と否定していた。

神奈川・静岡学校襲撃予告メール事件

2013年2月28日に警視庁のHPに相模原市や静岡市や沼津市の高校・中学校等への襲撃予告メールが送信された事件^[124]。

メールには「明日、猟銃とナイフで完全武装してお邪魔します」「明日、トカレフや猟銃を持って無差別にぶち殺す」と、遠隔操作事件に類似した文言があった。

翌3月1日午前0時には警視庁のHPに同一名義で「襲撃なんてしません。誠に申し訳ありません」とメール送信があったことが判明したが、この影響により、対象となりうる相模原市や静岡市や沼津市の高校・中学校について、卒業式延期や臨時休校や守衛増員で警戒体制を取るなど、通常とは異なる対応をとることになった^[125]。

その後の捜査で事件当時に高校3年だった少年が「大学受験で悩み、学校に行くのがいやになった」ということを動機に、脅迫メールを送信していたことが判明。2013年8月に静岡県内の当時18歳の無職少年が威力業務妨害罪で書類送検された^[126]。また余罪として、2012年12月に沼津市の高校を爆破するとの書き込みや、新宿駅を爆破するとの書き込みをした疑いでも書類送検された^[126]。2013年9月25日に少年は静岡地検沼津支部によって威力業務妨害容疑で静岡家裁沼津支部に送致された^[127]。

黒子のバスケ脅迫事件

2012年10月から2013年11月にかけて漫画「黒子のバスケ」の関係先に対して文書の送付や毒物混入等によって脅迫的な行為を繰り返した事件。容疑者は2013年12月15日に逮捕された。

遠隔操作事件と同じ時期に発覚・注目され、比較された。

遠隔操作事件の犯人は、2013年1月に残した記憶媒体で黒子のバスケ脅迫事件との関係を否定していた。黒子のバスケ脅迫事件の犯人は、2013年1月に2ちゃんねるへの投稿で遠隔操作事件の犯人との関係を否定していた。

→詳細は「黒子のバスケ脅迫事件」を参照

以下の出典において、記事名に事件当事者の実名が使われている場合、この箇所を本項目で用いているその人物の仮名とする。

• オウム真理教事件

警視庁や各府県警が検証結果を記した文書は、三重県警のものを除きおおむね2012年末を以て警察自身による公開を終了し、高木浩光がそのコピーを掲示しているものが閲覧できる。 以下は男性A, B, D, Eの捜査について各警察署が検証したもの。

• インターネットを利用した犯行予告事件における警察捜査の問題点等について (PDF) - 警視庁（警視庁公表文書^{[リンク切れ]}の写し^{[archive 1]}）
• インターネットを利用した犯行予告･ウイルス供用事件の検証結果 (PDF) - 大阪府警（大阪府警公表文書の写し^{[archive 1]}）
• 横浜市立小学校に対する威力業務妨害被疑事件における警察捜査の問題点等の検証結果 (PDF) - 神奈川県警（神奈川県警公表文書の写し^{[archive 1]}）

• なりすまし（遠隔操作）ウイルスによる犯行予告事件をまとめてみた。 - 犯罪予告についてのより詳細な情報や、トロイプログラム "iesys.exe" の動作等についての解説が見える。

1. ^ ^{a b c} 高木浩光＠自宅の日記 「遠隔操作ウイルス事件での冤罪・誤認逮捕を警察自身が問題点検証した報告書 2013年01月19日」