Hatena::ブログ(Diary)

satoru.netの自由帳 このページをアンテナに追加 RSSフィード

130412Friday

[]記者が遠隔操作真犯人アカウントに不正ログインしていた履歴が公開される

記者がメールサイト入る 遠隔操作の取材で共同通信」このニュースの件の続報。

記者が不正アクセスをしてた同じ時期にログインしてた人が2ちゃんねるに降臨。

その時に撮ったと思われるログイン履歴の画面が斧ろだにうpされた。


そこで、うpされた画像をもとに、この不正アクセス履歴から分かる事の検証まとめた。

公開されたアクセス履歴から分かる事の検証まとめ

※注:検証の一部は2ちゃんねる嫌儲民スレの内容を参考にしている部分があります。

共同通信社(202.248.159.3)からのアクセス

202.248.159.3によるアクセスは、2012/10/16から始まり計10回。

202.248.159.3のIPの割り当てを調べると[共同通信社]のネットワークだと確認できる。


■記者は真犯人のメール送信後付近でログイン

共同通信IPログインしているのが、10/16〜10/17、2週間の日が開いて、11/15。

真犯人がメールを送ったのは、10/15(犯行声明)11/13(自殺予告メール)

真犯人のメール送信タイミング付近でログインしているのが分かる。


パスワードは誰でも推測できるものだった

うp主によると真犯人が使った[onigoroshijuzo@yahoo.co.jp]のパスワードは[vxgus1234]だった。

このパスワードは真犯人が2012/10/10に送った犯行声明メール内で

過去に遠隔操作でエキサイトアカウントを使って犯行予告をした「秘密の暴露」のひとつとして

公開されていたパスワードと同一のものだった。(メアドはmorokkosarin@excite.co.jp)

また、このパスワードメディアでも広く報道されていた為、

同じパスワードヤフーアカウントでも使われている事を類推する事は不可能ではない状況だったと言える。


■犯行声明メール、自殺予告メールのタイミング&IPが一致

そもそもこのうp主の画像&履歴本物なのかどうかという信憑性の検証。

1.◆真犯人のメールとの一致

履歴のアクセス時間とメールを受信した時間帯がほぼ一致。

(微妙な時間差は、アカウントログイン後にメール作成後、送信している為だと思われる。)

2.メール配信もとのIPと一致

また自殺予告メール受信時のIP[31.172.30.2]とログインIPも一致。

Received: from [31.172.30.2] by web4111.mail.ogk.yahoo.co.jp via HTTP; Tue, 13 Nov 2012

23:54:42 JST

犯行声明メールのIPは公開されていない情報の為、不明。(当時受信した落合弁護士は検証可能)

3.最初の犯行声明の出所はドイツ

[vm3004.sks-servers.com]というサーバIP Locaterによるとドイツのホスト。

合同捜査本部が当時ドイツに捜査に行っていた報道にも一致する。

上記のような理由、共同通信社IPの一致などから

共同通信社IPは調べようと思えば調査できないこともないが一般公開されていない情報)

履歴が100%本物であると断定はできないが、事実である可能性が高いといえる。


Yahoo!アカウントが作成されたタイミングは2012/10/10 15:15:22以前

履歴は30件なので最初の記録=アカウントが作成されたタイミング?

2012/10/10 15:15:22 94.23.117.228 vm3004.sks-servers.com tor

2ちゃんねる住人の報告によると、アカウント作成時の履歴はでなかった模様。

真犯人のアカウント作成はもっと前?


■6日と11日のtorは真犯人以外のアクセスかも?

2012/11/11 22:37:22 74.3.165.39 review.designerebuy.net tor

2012/11/6 16:02:25 37.130.227.133 torland1-this.is.a.tor.exit.server.torland.is tor

真犯人からのアクションが特にないのにログインされた記録のある箇所。

真犯人がtorを使ってメールチェックしていたか、

もしくは、up主でもなく記者でもない第三者がまた別にいたのかもしれない。


■1/1の「新クイズ」の成りすましができた人物に「第三者」も含まれることに

2013/1/1に江の島の問題を送ってきた真犯人(?)を名乗るメール『謹賀新年」では

成りすましでない証拠として「宛先をしっている事」をメール内で真犯人が主張していた。

※前のメール送信後すぐアカウント消しちゃったのでアドレスが微妙に変わってます。

宛先が完全一致してることで成りすましじゃないと分かってもらえると思いますが。

しかしパスワードが類推しやすいものであった事、第三者も実際にログインしていた事から、

パスワードに気づいた人なら誰でもonigoroshijuzo2に成りすませた可能性まででてきた。

(これまでは、リストを知ってる人はメールを受け取っていた25人のみと思われていた検証記事

ただし、その後、江の島で回収されたSDカードの中身に遠隔操作の真犯人しか知りえない情報があった場合は、

成りすましの可能性は限りなく低くなるので、裁判で公表されるであろうSDカードの中身に注目したいところ。

履歴がうpされるまでの経緯まとめ

下記は、2ちゃんねる上でログイン履歴が公開されるまでの経緯まとめ。

2ちゃんねるに不正ログインした記者と同時期にログインしていた人が降臨

http://unkar.org/r/poverty/1365695174/340,377

340 : ◆3OViQIg1Xc : 2013/04/12(金) 10:06:46.79 ID:kPmagYq70

お、ついに記事でたか

俺も2件目のメールの後に気づいてログインできたけど、かなり共同がログインした形跡あったからなあ

ちなみにアカウントは例の鬼殺十蔵@ヤフー

パスワードはvxgus1234

1件目の真犯人からのメールの時に、別のアカウントパスワードとして書かれてたっけ。

パスワード自体は2件目の前には公開されてたから、実は2件目のメール以降は真犯人じゃない可能性もあるんだよね。

ちなみに、俺が気づいた直後に警察に報告したけど、その時点まで誰も気づいてなかったらしい。

後、今年入ってからだったか、共同に一度この事聞いたから、そこから内部調査入ったのかもね。

ちなみに、知ってる限りでは犯人(Tor)と共同等の報道機関以外はログインした形跡なかった。

377 : ◆3OViQIg1Xc : 2013/04/12(金) 13:38:22.28 ID:DWfPNf9m0

+に書こうと思ったけど書けなかった。

パスワードはもう使えない。真犯人かは今となっては不明だが、今年1/1に垢削除済み。

その辺の検証は矢野さとるブログ見ればわかる

俺がログインした時点では共同とTor以外ではログインした形跡はなかった。

ちなみに、このパスワードExciteメールのパスとして公開されてた。

そっちは国内生IPアドレスがごろごろしてたよ。共同も混ざってた。

とりあえずアクセスできた時の証拠は置いておく。

斧 so 2866027

パスはさっき晒した奴

当然ながら不正アクセス禁止法に引っかかってるのはわかってたから、ログインしたのはこの一回だけ。

ちなみに、俺が連絡した時点で警察はこの事実は知らなかったと言ってたし、まず警察からのリークではない。

誰でも探せばアクセスできる状態だった。

警察に知らせたのは2012年中だったから、片山容疑者の逮捕時点ではそれを把握していたはず。

斧のURLに履歴の画面キャプチャーがアップロードされる

http://www1.axfc.net/uploader/so/2866027

キーワード:[vxgus1234]

アップロードされた画像

[202.248.159.3]=共同通信社

202.248.159.3のIPを調べてみると[共同通信社]からのアクセスで確定

http://whois.ansi.co.jp/202.248.159.3

Network Information: [ネットワーク情報]

a. [IPネットワークアドレス] 202.248.152.0/21

b. [ネットワーク名] KYODONEWSNET

f. [組織名] 社団法人共同通信社

g. [Organization] Kyodo News

m. [管理者連絡窓口] FM575JP

n. [技術連絡担当者] FM575JP

p. [ネームサーバ] ns.center.web.ad.jp

p. [ネームサーバ] ns01hca.kyodonews.jp

p. [ネームサーバ] ns02hca.kyodonews.jp

[割当年月日]

[返却年月日]

[最終更新] 2010/09/02 14:08:03(JST)

一覧

日時 IP ホスト

2012/11/15 11:51:17 - - up主

2012/11/15 10:42:41 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/11/15 2:30:16 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/11/15 0:26:24 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/11/13 23:48:36 31.172.30.2 tor19.anonymizer.ccc.de tor

2012/11/13 23:45:33 109.163.233.205 gorz.torservers.net tor

2012/11/11 22:37:22 74.3.165.39 review.designerebuy.net tor

2012/11/6 16:02:25 37.130.227.133 torland1-this.is.a.tor.exit.server.torland.is tor

2012/10/17 11:39:08 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/10/16 11:57:36 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/10/16 11:44:27 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/10/16 11:40:32 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/10/16 11:38:26 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/10/16 11:35:35 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/10/16 11:32:27 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/10/10 22:18:57 94.23.117.228 vm3004.sks-servers.com tor

2012/10/10 15:15:22 94.23.117.228 vm3004.sks-servers.com tor

xxxxxx 2013/04/13 13:56 >ちなみに、俺が連絡した時点で警察はこの事実は知らなかったと言ってたし、まず警察からのリークではない。
10月29日の時点ではこんな記事が出てたけどな。
http://sankei.jp.msn.com/affairs/news/121029/crm12102909490003-n1.htm
真犯人、重大事件への「共感」浮かぶ 警察・検察を妖怪に見立てる?
産経新聞 2012年10月29日 09時47分配信
>8月27日に福岡市の男性(28)のパソコンを遠隔操作し、お茶の水女子大付属幼稚園など4カ所に脅迫メールを送った際には、(中略)「真犯人」はこのアドレスのパスワードを「vxgus(中略)」と設定しており
犯人分析で「オウム事件に関心がある」としてパスワードを「vxgas」というキーワードが入ってたと紹介したいのはわかる。しかし、全パスワードを書いたら(福岡男性の遠隔操作で使用されたメルアド以外にも)真犯人のメルアドに第三者がログインするのを誘発しかねないだろ・・・。

だが、産経新聞2012年12月31日配信記事
http://sankei.jp.msn.com/affairs/news/121231/crm12123115590001-n1.htm
PC遠隔操作…真犯人沈黙、見えぬ糸口
>合同捜査本部が設置されたのは10月19日
とあるが、ログイン記録では共同通信からのアクセスが古いものは10月16日からあり合同捜査本部設置前に知っていたことになる。仮に警視庁がリークしたとしても、福岡男性を逮捕した段階ではここまで大注目される事件とは思われなかったし、10月10日の真犯人犯行声明メールまで福岡事件は報道されていなかったので、警視庁は福岡事件を伏せたかった意図があり、福岡事件の捜査で入手した犯人のパスワードをリークするとは考えにくい。犯人のメールまで報道された三重事件は2ch書き込みでメルアドのパスワードは使われていないし、大阪事件も企業の受付サイトからでパスワードは必要がなかったと思われる。
つまり10月11日から10月16日までに、警視庁の人間がパスワードをマスコミにリークする可能性があるかどうかになる。それまでに犯人分析という理由で犯行で使用されたパスワード全公開(個人的には一部にすべきだが)を警視庁の人間がマスコミにリークするほど動きが早かったのかどうかの解釈で結果は変わると思います。

まあ共同通信の人間がアクセスできた理由の真実はどうであれ、仮に警察リークとしても取材源秘匿原則から証言する可能性は低いので、警察リークと確実に判断される可能性は低い。共同通信の不正アクセスは違法ではあるが、公共性があるとして起訴猶予処分になるから、法廷で裁かれることはないでしょうし。

SS 2013/04/13 17:30 アップロードされたキャプチャ画像の信憑性には疑問がありますが、その画像によると
10月10日の2回はメールサービスでonigoroshijuzo@yahoo.co.jpというIDでログインしているのに対し、
11月6日〜13日の4回はトップページでonigoroshijuzoというIDでログインと、行動パターンに違いがあるようにも思えます。

このメールアカウントに第三者がアクセスしていたことを考えると、
送信元メールアドレスが同じことと、onigoroshijuzo@yahoo.co.jp宛に送ったメールが転載されていること、だけでは
自殺予告メールの送信者が犯行声明メールの送信者と同じだと考える根拠としては不十分となってしまうかと思います。

補 2013/04/17 03:13 ちょっとコメントに対して補足というか指摘。
もともと、今回のパスワードは真犯人が1件目、つまり最初にメールを送ってた時に出てきたもの。
ただ、このメールそのものは警察だけに着てた訳じゃなく、他のところにも送信されてた。
例えば落合弁護士とかdigとか。
特に落合弁護士に関しては例の1件目のメール(黒塗りだらけ)が一部報道で出てきた時にマスコミ各社に流したようだし、報道で出るとすれば落合弁護士経由ということは十分有り得る。
第三者のいたずらレベルでログインできるのは10/19の報道以後だが、マスコミ関係者ならそれ以前に入手できた可能性はあるだろう。

むしろ問題なのは、現時点で片山容疑者が本当に真犯人かどうかだろう。
パスワードが第三者に知られていた可能性がある以上、少なくとも
「年始以降の送信者」=「1件目のメール送信者真犯人」
かどうかが微妙になってる。
極論を言えば、仮に例の猫の件や雲取山の件が片山容疑者だったとしても、それがそのまま真犯人とはならない。
警察が見つけた片山容疑者の決め手は(一部報道で出てるPCから証拠が・・・とか不確かな物を除いて)
すべて年始以降の事件の話を元にしているため、どれだけ江ノ島の証拠を見つけてもハイジャック等の犯行予告の犯人とは確定できない。
そういう意味では、現在のハイジャック予告犯での逮捕は非常に怪しくなると思う。
証拠があるとすればSDカードの内容だが、それも少し怪しいところもある。
警察は逮捕前にこの事実を知ってるようだから、よほどSDカードに重大な証拠があったということだろうか。

AOAO 2013/04/18 05:41 猫につけられたSDカードの中身は、
確かウィルス等のソースコード(と動機が書かれた文書)だと報道されていました。
http://www.iza.ne.jp/news/newsarticle/event/crime/629439
http://www.jiji.com/jc/zc?key=%b1%f3%b3%d6%c1%e0%ba%ee&k=201303/2013030400015
真犯人と感染させられた被害者以外の第三者が、
これを手に入れる可能性は有り得るのでしょうか。

なお別の報道では、
http://www.jiji.com/jc/zc?k=201302%2F2013022000052
FBIが押収したサーバー内に全種類のウィルスが確認され、
「ウイルス自体に片山容疑者の派遣先のPCを示す付帯情報が含まれていた」とも報道されていました。
この辺りが起訴にまで至った理由なのかも知れません。

話は少しずれますが、遂にオフィス経営開始ですか。
今後の発展を期待しています。

©satoru.net
Mail Twitter