Hatena::ブログ(Diary)

satoru.netの自由帳 このページをアンテナに追加 RSSフィード

130509Thuday

[]シベリア板に遠隔操作ウイルスURLを代理投稿した人物が警察に特定された模様

シベリア板に遠隔操作ウイルスURLを代理投稿した人物が警察に特定された模様。

541 :名無しさん@13周年[]:2013/05/07(火) 15:07:05.71 ID:LMrpqXao0

さっきこれ関連で警視庁サイバー犯罪対策課から電話かかってきたよ

まじ助けてくれ

などと投稿している。

http://hissi.org/read.php/newsplus/20130507/TE1ycHFYYW8w.html

代行をしたとされる投稿

f:id:satoru_net:20130509080029p:image

代行依頼(シベリア板)

http://unkar.org/r/siberia/1343022716/274

代行で投稿された書き込み(ソフトウェア板)

http://unkar.org/r/software/1341460675/404

その後の事件の概要

ソフトウェア板に投稿されたURLを踏んでウイルス感染したのは大阪府アニメ演出家の男性。

投稿から2日後の2012/7/29、大阪市HPの相談窓口ページに「ヲタロードで大量殺人をする」「午後2時ごろ歩行者天国にトラックで突っ込んで無差別キモヲタどもをひきまくります。ナイフで無差別に刺しまくります。その後自殺します」と書込みが行われ、大阪府吹田市アニメ演出家の男性が逮捕された。詳細記事

代行人の投稿まとめ

130508Wedday

[]片山被告、未公表の犯行予告で4度目の再逮捕。2つの事件の類似点

今日発表された報道によると、『片山被告4度目逮捕…伊勢神宮爆破予告など疑い

昨年、2012/9/10に行われた2つの犯行予告の威力業務妨害容疑で片山被告が再逮捕された。

事件のうちの1件は真犯人による犯行声明では触れられていない未公表のものだった。

また、2つの予告を比較してみると、同じ語句が使われている等の類似点があった。

さらに、今回新たに判明したドコモ犯行予告はレス番をつけて「反応」するという大きな特徴があった。

2つの犯行予告の内容

2つの事件のうち、「伊勢神宮への犯行予告」は真犯人によって公表されていたが、

ドコモショップへの犯行予告」は犯行声明では触れられておらず未公表のものだった。

2つの犯行予告の類似点

2つの事件は別の犯行予告にも関わらず、多くの類似点があった。

これにより関連性が疑われ、再逮捕に至ったものだと推測される。

■類似点1:特徴的なキーワードの一致
  • 無差別に刺殺撲殺惨殺毒殺」
  • 「全部実行してやる」
  • 「(必ず or 絶対)実行するから逃げるなよ」

一字一句同一の特徴的なキーワードがいずれの犯行予告内でも使われている。

■類似点2:投稿日時の一致
  • ドコモの投稿日時
    • 15:40:39、15:44:00、15:46:55、15:49:40
  • 伊勢神宮の投稿日時
    • 15:35:39、15:37:59、15:43:20

ほぼ同一時刻に投稿が行われている

投稿時系列

ドコモ予告の主な特徴→レス番をつけて「反応」

ドコモ予告はこれまでの単発の犯行予告と違い、レス番をつけて反応をする特徴があった。

f:id:satoru_net:20130509062917p:image

従来の犯行予告は、レス番をつけるような「反応」はなかったので、あらかじめ用意された犯行予告文と、

投稿先のターゲットさえ決めておけば、遠隔操作先のPCが立ち上がったタイミングで投稿されればよいものだった。

しかし、ドコモ予告のようにレス番をつけて「反応」をするためには、リアルタイムで投稿を監視しつつ、

反応をできる状況に居なければならない。

ドコモ予告は、そういった環境に真犯人がいたことを示す重要な手がかりになっているといえる。

犯行時刻は月曜日の15時。普通の会社であれば、勤務時間中。この時刻の片山被疑者のアリバイに注目したいところ。

この時刻に片山被疑者の勤務先から「したらば掲示板」へのアクセスがあり、

リアルでのドコモショップとのトラブルが事実であれば、すべての接点がこの予告で結びつく。

同一IDによる別スレッドへの投稿者

関連性は不明、「IDが被った」と名乗る人物が同日、別スレッドに投稿していた。

http://hissi.org/read.php/jisaku/20120910/V3Y0c0x4dFg.html

遠隔操作全文に追加

今回の発表を受けて、遠隔操作ウイルス真犯人の犯行予告全文テキストドコモへの犯行予告を追加しました。

記事

時事通信

http://headlines.yahoo.co.jp/hl?a=20130508-00000040-jij-soci

片山容疑者を4度目逮捕=伊勢神宮爆破予告の疑い―ウイルス作成も立件検討・警視庁

時事通信 5月8日(水)10時48分配信

 遠隔操作ウイルス事件で、警視庁などの合同捜査本部は8日、津市の男性のパソコン(PC)を遠隔操作して伊勢神宮爆破予告を書き込んだなどとして、威力業務妨害容疑でIT関連会社社員片山祐輔容疑者(30)=別の殺人予告事件などで起訴=を再逮捕した。同容疑者の逮捕は4度目。捜査本部はウイルスを作成した容疑などでの立件も検討している。

 捜査本部によると、片山容疑者は「身に覚えがない」と容疑を否認。伊勢神宮爆破予告事件をめぐっては、三重県警がこの男性を誤認逮捕し謝罪している。

 逮捕容疑は昨年9月10日午後、ウイルス感染した男性のPCを遠隔操作し、インターネット掲示板上に、伊勢神宮爆破予告東京都内の携帯電話販売店の襲撃予告を書き込んだ疑い。

 捜査関係者によると、片山容疑者は昨年1月にこの販売店を利用し、トラブルを起こしていたという。 

読売新聞

「片山被告4度目逮捕…伊勢神宮爆破予告など疑い」

http://www.yomiuri.co.jp/net/news1/national/20130508-OYT1T00617.htm

 パソコン遠隔操作事件で、警視庁などの合同捜査本部は8日、伊勢神宮携帯電話販売店への襲撃予告に関与したとして、IT関連会社社員片山祐輔被告(30)(ハイジャック防止法違反などで起訴)を威力業務妨害容疑で再逮捕した。

 片山被告の逮捕は4度目で、「身に覚えはありません」と容疑を否認している。

 発表などによると、片山被告は昨年9月10日午後、遠隔操作型ウイルス「iesys(アイシス).exe」に感染させた津市の男性(28)のパソコンから、インターネット掲示板「2ちゃんねる」に「伊勢神宮爆破」「秋葉原ドコモショップにトラックで突っ込む」などと書き込み、同神宮東京秋葉原ドコモショップの業務を妨害した疑い。

 ドコモショップ襲撃の書き込みについては、これまで明らかにされていなかったが、同庁は片山被告の使用していたパソコンの解析などから関与が裏付けられたとしている。同被告は昨年1月、客として店を訪れた際、店側とトラブルになっていたといい、同庁で事件との関連を調べている。

(2013年5月8日12時21分 読売新聞

130412Friday

[]記者が遠隔操作真犯人アカウントに不正ログインしていた履歴が公開される

記者がメールサイト入る 遠隔操作の取材で共同通信」このニュースの件の続報。

記者が不正アクセスをしてた同じ時期にログインしてた人が2ちゃんねるに降臨。

その時に撮ったと思われるログイン履歴の画面が斧ろだにうpされた。


そこで、うpされた画像をもとに、この不正アクセス履歴から分かる事の検証まとめた。

公開されたアクセス履歴から分かる事の検証まとめ

※注:検証の一部は2ちゃんねる嫌儲民スレの内容を参考にしている部分があります。

共同通信社(202.248.159.3)からのアクセス

202.248.159.3によるアクセスは、2012/10/16から始まり計10回。

202.248.159.3のIPの割り当てを調べると[共同通信社]のネットワークだと確認できる。


■記者は真犯人のメール送信後付近でログイン

共同通信IPログインしているのが、10/16〜10/17、2週間の日が開いて、11/15。

真犯人がメールを送ったのは、10/15(犯行声明)11/13(自殺予告メール)

真犯人のメール送信タイミング付近でログインしているのが分かる。


パスワードは誰でも推測できるものだった

うp主によると真犯人が使った[onigoroshijuzo@yahoo.co.jp]のパスワードは[vxgus1234]だった。

このパスワードは真犯人が2012/10/10に送った犯行声明メール内で

過去に遠隔操作でエキサイトアカウントを使って犯行予告をした「秘密の暴露」のひとつとして

公開されていたパスワードと同一のものだった。(メアドはmorokkosarin@excite.co.jp)

また、このパスワードメディアでも広く報道されていた為、

同じパスワードヤフーアカウントでも使われている事を類推する事は不可能ではない状況だったと言える。


■犯行声明メール、自殺予告メールのタイミング&IPが一致

そもそもこのうp主の画像&履歴本物なのかどうかという信憑性の検証。

1.◆真犯人のメールとの一致

履歴のアクセス時間とメールを受信した時間帯がほぼ一致。

(微妙な時間差は、アカウントログイン後にメール作成後、送信している為だと思われる。)

2.メール配信もとのIPと一致

また自殺予告メール受信時のIP[31.172.30.2]とログインIPも一致。

Received: from [31.172.30.2] by web4111.mail.ogk.yahoo.co.jp via HTTP; Tue, 13 Nov 2012

23:54:42 JST

犯行声明メールのIPは公開されていない情報の為、不明。(当時受信した落合弁護士は検証可能)

3.最初の犯行声明の出所はドイツ

[vm3004.sks-servers.com]というサーバIP Locaterによるとドイツのホスト。

合同捜査本部が当時ドイツに捜査に行っていた報道にも一致する。

上記のような理由、共同通信社IPの一致などから

共同通信社IPは調べようと思えば調査できないこともないが一般公開されていない情報)

履歴が100%本物であると断定はできないが、事実である可能性が高いといえる。


Yahoo!アカウントが作成されたタイミングは2012/10/10 15:15:22以前

履歴は30件なので最初の記録=アカウントが作成されたタイミング?

2012/10/10 15:15:22 94.23.117.228 vm3004.sks-servers.com tor

2ちゃんねる住人の報告によると、アカウント作成時の履歴はでなかった模様。

真犯人のアカウント作成はもっと前?


■6日と11日のtorは真犯人以外のアクセスかも?

2012/11/11 22:37:22 74.3.165.39 review.designerebuy.net tor

2012/11/6 16:02:25 37.130.227.133 torland1-this.is.a.tor.exit.server.torland.is tor

真犯人からのアクションが特にないのにログインされた記録のある箇所。

真犯人がtorを使ってメールチェックしていたか、

もしくは、up主でもなく記者でもない第三者がまた別にいたのかもしれない。


■1/1の「新クイズ」の成りすましができた人物に「第三者」も含まれることに

2013/1/1に江の島の問題を送ってきた真犯人(?)を名乗るメール『謹賀新年」では

成りすましでない証拠として「宛先をしっている事」をメール内で真犯人が主張していた。

※前のメール送信後すぐアカウント消しちゃったのでアドレスが微妙に変わってます。

宛先が完全一致してることで成りすましじゃないと分かってもらえると思いますが。

しかしパスワードが類推しやすいものであった事、第三者も実際にログインしていた事から、

パスワードに気づいた人なら誰でもonigoroshijuzo2に成りすませた可能性まででてきた。

(これまでは、リストを知ってる人はメールを受け取っていた25人のみと思われていた検証記事

ただし、その後、江の島で回収されたSDカードの中身に遠隔操作の真犯人しか知りえない情報があった場合は、

成りすましの可能性は限りなく低くなるので、裁判で公表されるであろうSDカードの中身に注目したいところ。

履歴がうpされるまでの経緯まとめ

下記は、2ちゃんねる上でログイン履歴が公開されるまでの経緯まとめ。

2ちゃんねるに不正ログインした記者と同時期にログインしていた人が降臨

http://unkar.org/r/poverty/1365695174/340,377

340 : ◆3OViQIg1Xc : 2013/04/12(金) 10:06:46.79 ID:kPmagYq70

お、ついに記事でたか

俺も2件目のメールの後に気づいてログインできたけど、かなり共同がログインした形跡あったからなあ

ちなみにアカウントは例の鬼殺十蔵@ヤフー

パスワードはvxgus1234

1件目の真犯人からのメールの時に、別のアカウントパスワードとして書かれてたっけ。

パスワード自体は2件目の前には公開されてたから、実は2件目のメール以降は真犯人じゃない可能性もあるんだよね。

ちなみに、俺が気づいた直後に警察に報告したけど、その時点まで誰も気づいてなかったらしい。

後、今年入ってからだったか、共同に一度この事聞いたから、そこから内部調査入ったのかもね。

ちなみに、知ってる限りでは犯人(Tor)と共同等の報道機関以外はログインした形跡なかった。

377 : ◆3OViQIg1Xc : 2013/04/12(金) 13:38:22.28 ID:DWfPNf9m0

+に書こうと思ったけど書けなかった。

パスワードはもう使えない。真犯人かは今となっては不明だが、今年1/1に垢削除済み。

その辺の検証は矢野さとるブログ見ればわかる

俺がログインした時点では共同とTor以外ではログインした形跡はなかった。

ちなみに、このパスワードExciteメールのパスとして公開されてた。

そっちは国内生IPアドレスがごろごろしてたよ。共同も混ざってた。

とりあえずアクセスできた時の証拠は置いておく。

斧 so 2866027

パスはさっき晒した奴

当然ながら不正アクセス禁止法に引っかかってるのはわかってたから、ログインしたのはこの一回だけ。

ちなみに、俺が連絡した時点で警察はこの事実は知らなかったと言ってたし、まず警察からのリークではない。

誰でも探せばアクセスできる状態だった。

警察に知らせたのは2012年中だったから、片山容疑者の逮捕時点ではそれを把握していたはず。

斧のURLに履歴の画面キャプチャーがアップロードされる

http://www1.axfc.net/uploader/so/2866027

キーワード:[vxgus1234]

アップロードされた画像

[202.248.159.3]=共同通信社

202.248.159.3のIPを調べてみると[共同通信社]からのアクセスで確定

http://whois.ansi.co.jp/202.248.159.3

Network Information: [ネットワーク情報]

a. [IPネットワークアドレス] 202.248.152.0/21

b. [ネットワーク名] KYODONEWSNET

f. [組織名] 社団法人共同通信社

g. [Organization] Kyodo News

m. [管理者連絡窓口] FM575JP

n. [技術連絡担当者] FM575JP

p. [ネームサーバ] ns.center.web.ad.jp

p. [ネームサーバ] ns01hca.kyodonews.jp

p. [ネームサーバ] ns02hca.kyodonews.jp

[割当年月日]

[返却年月日]

[最終更新] 2010/09/02 14:08:03(JST)

一覧

日時 IP ホスト

2012/11/15 11:51:17 - - up主

2012/11/15 10:42:41 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/11/15 2:30:16 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/11/15 0:26:24 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/11/13 23:48:36 31.172.30.2 tor19.anonymizer.ccc.de tor

2012/11/13 23:45:33 109.163.233.205 gorz.torservers.net tor

2012/11/11 22:37:22 74.3.165.39 review.designerebuy.net tor

2012/11/6 16:02:25 37.130.227.133 torland1-this.is.a.tor.exit.server.torland.is tor

2012/10/17 11:39:08 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/10/16 11:57:36 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/10/16 11:44:27 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/10/16 11:40:32 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/10/16 11:38:26 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/10/16 11:35:35 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/10/16 11:32:27 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/10/10 22:18:57 94.23.117.228 vm3004.sks-servers.com tor

2012/10/10 15:15:22 94.23.117.228 vm3004.sks-servers.com tor

130316Satday

[]1月3日 14:43〜16:13の間に撮影された江の島の猫の写真が公開される

個人ブログにて1月3日 14:43〜16:13の間に撮影された江の島の猫の写真が公開された。

報道されている「真犯人が猫に首輪をつけた」とされている時間帯、容疑者の行動時間と一致。

これはかなり重要な証拠になりそう。

撮影をされたブロガーの方は、たまたま当日、お参りに江ノ島に行ったときに撮影をしていたそうだ。

遠隔操作ウイルス事件で有名になった、江ノ島のネコちゃん

(中略)

写真が、江ノ島神社に行く途中で撮影したものこの時は、首輪はしていませんでした。(14:43)

それから江ノ島神社に行き、お参りをしてから約1時間半後、

戻ってみると、何と、この猫ちゃん、さっきとまったく同じ場所でじーっとして居るんです。

その時、「あれ?!この猫、首輪をしてるね。野良猫じゃないんだね」と夫に言ったのを覚えています。

つまりこういうこと

弁護士容疑者は2013/1/3 13:30〜15:30に江ノ島にいたのは事実!!」

弁護士「その間に撮られた写真に首輪が写ってなければ無実かも!!」

(写真提供の呼びかけ記事より)

2013/1/3 14:43 首輪なし、16:13 首輪つき猫の写真が出現

(※14:43-16:13の間に真犯人によって首輪がつけられた証拠)

ゆうちゃん無実の可能性は15:30-16:13(43分間)までに猫に首輪がついていない写真の出現のみという状況に

(※容疑者のいた時間帯に首輪が付いた証拠にもなっているので、逆に不利な証拠とも言える)


公開された2枚の猫の写真

2013年1月3日、14:43:00 ↓首輪ない

f:id:satoru_net:20130316064441p:image

2013年1月3日、‏‎16:13:24 ↓首輪ついた

f:id:satoru_net:20130316064439p:image

  • いずれの写真もファイル作成日情報なし
  • livedoorブログの仕様でアップロードする過程で消失した模様
  • 画像のオリジナルデータ(作成日時つきのもの)は現在問い合わせ中

被疑者ゆうちゃんの江ノ島に行っていた時間帯と一致

【PC遠隔操作事件】弁護人の会見が話題に 1月3日江の島で撮影したネコ写真の提供呼びかけ

 会見で佐藤弁護士は、容疑者の男性が江ノ島に滞在した時間について、1月3日午後1時半頃〜午後3時半頃と語っている。もしこの時間以降に撮影されたネコの写真が存在し、そこに首輪が映っていなければ、無実の可能性が高くなるという主張だ。そのため「3日午後3時半以降にネコの写真を撮った人がいたらどうか情報提供していただきたい」と今回呼びかけた。

追記メモ

  • Exif情報やファイル作成日などの情報が欠如している為、本当に1/3 14:43-16:13に撮影されたという保障はない
  • 現状ではあくまでブロガーが「この日に撮影した!」と自己申告しているだけの状態
  • 2013年02月27日の記事だが、2013年1月3日から2ヶ月ちかく経過して、なぜ今更掲載したのか?
  • ブロガーは猫好き、他記事でも猫の写真多数
  • 別記事だが、2013年1月4日の記事も同ブログ内にある。間違いなく当時は神奈川には居たようで、写真の日時の間違いの可能性は薄い気はする。
  • ファイル作成日などの情報は偽装が可能な情報なので、仮にオリジナルファイルがあったとしても様々な角度からの検証が必要

画像の検証

画像検索

2013/3/16現時点では該当のブログが最上位にヒット。

5件ヒットするが、他画像は該当ブログの転載で、今回のブログの写真がオリジナルの模様。

f:id:satoru_net:20130316120935p:image

本人に確認中..(2013/3/16 12:00送信済み)

ステータス:返答まち

  • 追記(2013/3/18 6:00)
    • メールを送信しましたが、今のところ回答得られず
    • 質問内容の主旨はこんなかんじ
      • ファイル作成日の入ったオリジナルデータがほしい
      • 撮影をした際の江の島&撮影場所の状況を詳しく
      • 撮影日は間違いなく2013/1/3 14:43-16:13か
      • カメラの状態、時間の誤差等の有無は?
    • ブログの内容によると店舗が閉店しているようなので、もしかするとあまりメールを頻繁にチェックしていない状況なのかもしれない
    • 他の方法でコンタクトが取れる方法を検討中

130311Monday

[]弁護士「前科での小学校への犯行予告は自分で書いてない」と発言

片山被疑者弁護士による会見で、前科(2005年のまネコ事件)での犯行予告について言及があった。

要点としては、前科での小学校への犯行予告については原文があって自分で書いてない。と片山被疑者が言っているらしい。

具体的に何を参考にして書いたのかは言及がなかったのでソースは不明。

このタイミングでいまさら過去の事件について弁明をする理由はなんだろうか?

今回の事件との類似性についての弁明だろうか?(前科での予告文は自分で書いてない=今回の予告と似るわけがない)のような。

原文の在り処の情報求む。

湾岸所前での片山被疑者弁護士のぶら下がり記者会見での発言

http://www.youtube.com/watch?v=itDwBsxGcP4#t=12m10s

12分10秒あたりで発言

D

12分10秒〜13分あたりの要約

  • 小学校に送った犯行予告は、別に似たようなのがあってそれを使って書いた。自分で書いたものではない。
  • のまネコを使うな」と書いた会社(avex)宛の犯行予告は片山容疑者自身が書いた。
  • 病的な感じのする小学校への犯行予告は「自身の作品」ではない。
  • 当時犯罪に走った当時は精神的にも病んでたが、現在は完全に社会復帰している。

前科(2005年のまネコ事件時)での小学校への犯行予告の内容

2005年当時に下記スレッドに投稿された犯行予告の原文の転載

http://etc3.2ch.net/test/read.cgi/qa/1126806429/1

仙台市太白区内の小学4年生♀を殺します

1 神の代理人 2005/09/16(金) 02:47:09

W妻K美ちゃんW妻K美ちゃんW妻K美ちゃんW妻K美ちゃんW妻K美ち

ゃんW妻K美ちゃん Y元小学校第4学年の琴●ちゃんW妻K美ちゃんW妻K美ちゃんぬ

ぼくわずっと見ていたよW妻K美ちゃんを ここ18ヶ月の間ずぅうぅっと♥

委員のK美ちゃんコレクションもいっぱいたまった、そして神のお告げが合った」きみわもうすぐ俺のものになる 

小生と一緒に神の国へ行き神に召されるんだ

まずわ朝か夕方通学路の君を捕まえて、だれもいない小屋で私とK美ちゃんふた人っきりになる さけんでもないても邪魔する不届き物はは来ない

そして手錠とくびわであなたをつないで24日のあいだうごけなくする

ミーはきみの前進の穴という孔をめちゃくちゃに攻めまくる24日間かけてぼくがぼくの下半身から108回汁を出す

それがおわったらいっきにフィナーレ逆さに吊るしたK美様のかわいい女性器に聖なるナイフを突き立てて一気

に縦に引き切るそしてからだじゅうを滅茶苦茶にさしたりキリさいて108つのぱーつにに分解する。

せいなるナイフとしてこーいうのをいっぱい用意しましたのでおたのしみにhttp://www.rivertop.ne.jp/rivertopsabu/nif/1067a.html

さいしょちょっといたいし苦しいかもしれないけどでもコレはたいせつな儀式なのだ、すぐ終るし死ぬんじゃないんだ

ちゃぁんとボクもすぐK美たんのあとを追うから 琴●ちゃんはボクといっしょに永延のカミの国に行ってふぉーえばーに生きるんだ

こんなところでどーどーと予告なんかしたら計画が上まくいかないかもしぇれない

でもねいいんだ神のお告げがあったんだ これわ神がボクに課した試練なんだ これを守って正々堂堂と殺さな

いと神の国に呼んでくれないって そんなことになったらK美ちゃんも地獄いきだしかなしいよねだからここに宣言しる 邪魔する奴も殺酢

あとK美ちゃんと俺がカミのくにへいくにはいけにえがいるって神様がお告げで言ってた

K美ちゃんのまわりにいるおともだちや上級生下級生とかを雄でも雌でもいいので適当に選んでいっしょに捕まえてつれていく

神によると宅間守氏の8人の記録を抜かないといけないので9人以上しょけいする

いじょうの神聖なる儀式は神様の日10/30までに開始する ぜったいやりとげる

©satoru.net
Mail Twitter