Hatena::ブログ(Diary)

satoru.netの自由帳 このページをアンテナに追加 RSSフィード

170630Friday

裁判が開始する10分前になるとツイート『傍聴bot』リリース

裁判の開始をツイートしてくれる『傍聴bot @bocho_bot』リリースしました。

事件番号、法廷、罪名、審議を法廷開始の10分前になると自動ツイートするよー


裁判傍聴のお供にどうぞ

140520Tueday

[] 「死のうとしたが死に切れなかった」「いち早く裁判を終わらせたかった」「サイコパスは自分」「お母さんを安心させることが今回の動機」

【PC遠隔操作事件 片山被告「私が真犯人」】 5/20 弁護側 記者会見

D

主要な発言まとめ

佐藤弁護士による記者会見の中から重要そうな発言をピックアップ

  • 自分が真犯人と認めた片山被告自殺を考えた。
  • 真犯人メールを送った理由は「1日も早く平穏な生活を」と片山さんの母の言葉を受け、「いち早く裁判を終わらせたかったから」
  • 今回のメールを前のアカウントで送ろうとしたができなかったので、新しいアカウントをつくった
  • おにごろしじゅうぞう2」のパスワードは犯人しか知らない。
  • スマホが見つかるとは思っていなかった。埋めたスマホログインしていた。埋める直前にアクセスした
    • ※このアクセスが前回の真犯人との繋がりのある決定的な証拠になり、言い逃れができないと思い、自供をするに至った。
  • 以前『真犯人はサイコパスだ』と片山さんは言っていたが、今回彼は『自分がそうなんです』と言っていた
  • 真相は、別にパソコンを持っていた。スマホを持っていた。
  • 私以外の弁護士(佐藤弁護士以外)にonigoroshijuzoからのメール送信をしてくれないか、と持ちかけたが断られたので、自分でやった。>55:24-
  • タイマー送信のトリックは、本来は有罪判決が出た時にやろうと考えていた。しかし、母親の事を考えて前倒しにした。
  • お母さんを安心させることが今回の動機だった。
  • 15日、河川敷には自転車を使って、バスで移動した。見晴らしもよく、河川敷に埋めるところを捜査員に見られているとは思わなかった。
    • 本を読んでいる人がいたが、自分が着く前に居たので捜査員とは思わなかった。
  • 河川敷には下見に2-3回行っていた。(←それで、元々捜査員に怪しまれていた?)


昨日(片山被告の失踪)〜今日までの時系列・経過

昨日(19日)の行動

(公園で自殺失敗→高尾山自殺失敗→山田駅自殺失敗→弁護士に連絡→説得されて新宿ホテルへ)

  • 10時22分、保釈請求取り消しが検討されている件を弁護士から片山氏に伝えられた。
  • 午前12時すぎ、片山氏は事務所に向かう途中だったが「河川敷の事が知られたらもうだめだ」とパニックに陥った。
  • 事務所に行くのを中止し。行く果てもなく着いた先が都内の公園だった。
  • 公園で自殺を図るも死にきれなかったので、どこかで首をつろうと思い高尾山に向かった。
  • 山中を缶チューハイを飲みながら放浪。ベルトで首を吊ろうとしたが切れた。
  • ネクタイを買ったり、新しいベルトを買って試したが死に切れなかったので下山した。
  • 駅(山田駅?)のホームの下の退避スペースに隠れて、電車に飛び込もうと何度も試みた。
  • 駅で佐藤弁護士に詫びの電話をした。「先生すみません。自分が犯人でした。全部、自分がやったんです」と弁護士に話した。
    • ※朝の10:22からこの時点まで音信普通状態だった。弁護士は帰宅途中だった。
  • 片山被告は佐藤弁護士に説得され、自殺をやめた。
  • 「とにかく東京に戻って来い」と弁護士に指示をされ、電車で新宿に向かった。
  • 新宿に近づき、「そろそろ切ります」と告げ、一旦その場では電話を切った。
  • 佐藤弁護士は「また明日」と告げ一旦は電話を切った後、電話をかけ直したが電源が切れた状態で繋がらなかった
20日の行動

新宿ホテルで弁護士と合流→弁護士事務所へ→検察に連絡→検察が来て身柄拘束される→拘置所

その他めも

  • プリペイド式の携帯
    • 秋葉で購入。購入時期、自販機か店頭購入か等の詳細は「分からない」。
  • なぜ埋めたか?
    • 裁判中である事のアリバイの為。
    • 発信の基地局を別の場所にしないといけなかったから。回収は考えていなかった。
  • 今回のメールを考えた時期は?
    • 1ヶ月かけて考えた。保釈する前から考えていた。
  • ひみつのパソコンの入手先
    • 文章はひみつのパソコンでつくった。SDカードでコピーをとって、スマホに記録。自宅以外の場所に隠していた。当分使うつもりがなかったので、パスワードを忘れて開けない。
  • 保釈金1000万円は?
    • 証拠隠滅を図ったのでおそらく没収になる。彼は悔いていた。
  • 逃走時の所持金は?
    • 病院にいくつもりだったのでお金をもっていた。その後、ATMでおろした。
  • 雲取山の画像は映像を編集して画像化した。playsportを使った。
  • 江ノ島監視カメラに移った前後の複数人の人の真相は?
    • 「たまたま」映っただけだった。と打ち明けられた。

関連記事/リンク

書き起こしまとめ記事(itmedia)
テレビの報道

D D D D D

主要メディア

その他・関連記事

 「真犯人」のメールには、タイトルに天皇皇后陛下キャロライン・ケネディ駐日大使らの殺害予告が書かれていた。東京地検警視庁は19日夜、脅迫容疑で、容疑者を特定せずに東京都江東区の片山祐輔被告の自宅を捜索。メール送信の裏付けを急ぎ、立件へ詰めの捜査を進める。

警視庁の捜査員はメールが届く前日の15日午後、片山被告東京都江戸川区荒川河川敷で何かを埋めているのを確認。翌日、報道機関にメールが届いた後に現場を調べたところ、袋に入った携帯電話を発見した。同庁捜査支援分析センターが総力を挙げて短期間で携帯電話を解析し、「真犯人」を名乗るメールが送信されていたことを突き止めた。..

一転して事件への関与を認めたことで、東京地裁で続く公判の争点は量刑に絞られ、動機の解明が最大のポイントとなる。片山被告は捜査当局の取り調べに応じる方針で、新たな事実が判明すれば検察側が訴因変更する可能性もある。

『真犯人』からの新たなメール〜自供までのおさらい


2ちゃんねる関連スレ

ニュース速報/【社会】遠隔操作事件 片山被告「私が真犯人」と認める★1〜
嫌儲/片山祐輔が真犯人で決着 今まで擁護してた連中を絶対に許すな★1〜
嫌儲/【遠隔操作事件】真犯人「小保方銃蔵」からの秘密暴露メールが公開される ★16-

140519Monday

[] 遠隔操作事件・真犯人からの新たなメールの時系列おさらい

2014年5月15日 夕方頃

捜査当局が河川敷でスマホを埋める片山氏が目撃される

PC遠隔操作事件 真犯人メール、片山被告本人か タイマーで偽装の疑い

捜査当局は、片山被告が15日夕に東京都江戸川区内の河川敷で不審な行動をしているのを確認。土の中にスマートフォン(高機能携帯電話)が埋められており、メールを送信した痕跡が残されていた。

http://headlines.yahoo.co.jp/videonews/nnn?a=20140519-00000016-nnn-soci

http://headlines.yahoo.co.jp/hl?a=20140519-00000523-san-soci

http://headlines.yahoo.co.jp/videonews/fnn?a=20140519-00000889-fnn-soci

2014年5月16日 11:37

「真犯人」からメールが届く

※この間、片山氏は公判(10:00〜)に参加中だった。

2014年5月16日 14:00〜

弁護団による記者会見

2014年5月17日〜18日(土・日)

(特に大きな動きや報道なし)



2014年5月19日 午前中

2014年5月19日 12:51

落合弁護士が事務所に「片山祐輔さま」宛のレターパックが送られてた」と発表。

https://twitter.com/yjochi/status/468237412632498176

開封したところ、HDDが3個入っていた。

https://twitter.com/yjochi/status/468299374124990465

2014年5月19日 13:16〜

『片山被告と連絡がつかない』と報道される

PC捜査事件の片山被告と連絡つかず

PC操作事件の片山祐輔被告、胃の検査を受ける予定の病院に姿を見せず、電話連絡が取れない状態。

2014年5月19日 14:00

片山氏弁護団の記者会見で片山氏は出席せず、佐藤弁護士が1人で取材会見を行った。

弁護士は「朝の10時から片山被告と連絡が取れていない状況。」と報告した。

2014年5月19日 16:47

スマホから片山被告DNA検出』と報道される

http://headlines.yahoo.co.jp/videonews/ann?a=20140519-00000025-ann-soci

2014年5月19日 21:19-

被告の保釈取り消しを請求をした』と報道される。

http://www3.nhk.or.jp/news/html/20140519/t10014560941000.html

http://mainichi.jp/select/news/20140520k0000m040093000c.html

http://news.tbs.co.jp/newseye/tbs_newseye2204858.html

2014年5月19日 20:20

江川昭子氏が『片山氏の自宅に家宅捜索が入っているもよお…』とツイート

https://twitter.com/amneris84/status/468350362655522817

140516Friday

[]遠隔操作の真犯人(と名乗る)人物からのメールが今回も来てた件

よく見たらメールきてたー。本文に関しては既出ですが、真犯人らしき人物からのメール本文&ヘッダを公開します。

また、メールのヘッダー情報などを元に自分なりの分析をしてみました。

目次

※なお、警視庁合同捜査本部には全ての内容はすでに情報提供済みです。

※このブログで公開している、画像・記事はすべて自由に転載・引用してくださって構いません。(許可や報告も不要です)

※今回のメールの題名など犯行予告が含まれる文言について転載する場合は、固有名称などを伏せるなど取り扱い注意。

■『小保方銃蔵』からのメール本文&ヘッダー

※送付先のメールアドレスは伏せてます。

■過去のメールまとめ(ヘッダ+本文)

■送信元メールアドレス onigoroshijuzo2014@yahoo.co.jp。現在はすでに削除済み。

onigoroshijuzo2014アカウントは2014/5/16 22:43現在、すでに削除済みの模様。

(※『2014/5/15 22:43』と誤植していました。ご指摘により修正しました。)

http://profiles.yahoo.co.jp/onigoroshijuzo2014

※17:37頃はメールは生きていた?

ジャーナリストの江川さんが2014年5月16日 17:37に真犯人に質問メールを送ってるようだ。

通常、削除されていれば、エラーメールが帰ってくるので、

ツイートした時点でエラーメールが帰ってきてないなら、この時点ではまだ消えてなかった可能性もある。


■メールの送信先一覧は前回と全く同じ25名(※ただし情報は過去に流出した可能性あり)

前回の2013年1月1日〜2013年1月5日に送られたあて先とまったく同じあて先。

追加も削除もなし。全25名。

今のところ、受信を表明している人リスト

※この25名のあて先は、真犯人の使っていたヤフーアカウントが不正ログインしやすい状況にあった事から、

あて先以外の第三者にもすでに流出している可能性がある。

よって「あて先25名を知っている事」は「真犯人である証明」にはならない。

参考リンク:記者が遠隔操作真犯人アカウントに不正ログインしていた履歴が公開される


■メールの送信日時が今回は夜型じゃない点

今回のメールの日時は 2014年5月16日 11:37でかなりの朝方になっている。

従来の鬼殺し重蔵からのメールはいずれも、夜型だった。

片山氏の会見では「公判の時間に、犯人がわざとアリバイのために送ってくれたのか?」のような趣旨の事をいっている点も注目したい。


■メール送信元 mp76f1fa5d.ap.nuro.jp(118.241.250.93)。踏み台?新たな被害者?

メールヘッダーのReceived:を抜粋。

Received: from unknown (HELO ?100.64.5.244?) (118.241.250.93 with plain)
  by smtp501.mail.kks.yahoo.co.jp with SMTP; 16 May 2014 02:40:36 -0000
X-YMail-JAS: 4silEm4VM1kSFXt3dSl.ptLc3GwanD4qjE8i_wMNhhDttjamyjG0_FsQ3_RFGxUhcRDcTQVIf3HQglEVWFZcbcwL.KMIwR2JVGICrTBVnwLnAyVM7psVMpPQWtGcp1Rbww--

ホスト名は mp76f1fa5d.ap.nuro.jp

so-net系列のプロバイダ

http://www.nuro.jp/

inetnum: 118.240.0.0 - 118.241.255.255 
netname: So-net 
descr: So-net Corporation 
descr: 2-1-1, Osaki, Shinagawa-ku, Tokyo 141-6010, Japan 
country: JP 
admin-c: JNIC1-AP 
tech-c: JNIC1-AP 
status: ALLOCATED PORTABLE 

前回、前々回はtor IPからだった。

今回は日本のプロバイダである為、発信元の特定が可能。

真犯人による踏み台、遠隔操作された新たな被害者のIPの可能性はある。

※1/5のRecieved→tor29.anonymizer.ccc.de(77.244.254.229)

http://d.hatena.ne.jp/satoru_net/20130105/1357318665

※1/1のRecieved→63.141.201.75(63.141.201.75-63.141.201.75 Tor Exit Node)

http://d.hatena.ne.jp/satoru_net/20130101/1356985472

何らかの理由でtorIPが使われず、国内IPを経由した理由はなんだろう。?

■今回はWebMailじゃなく、SMTPから送信されている可能性

メールヘッダーをみると、今回のメールのみ「X-Mailer:YahooMailClassic」のヘッダーがない。

http://yokoku.in/enkaku2012/mail20140516.txt

つまり、従来はブラウザ上からヤフーアカウントログインしてWebメーラーからメールが送られていたが、

今回のみSMTPを使って外部のメーラーソフトや外部サーバから送信されている可能性がある。

そのほかにも、本文がbase64でエンコードされているなど、メールのソースレベルだと前回と異なる点が多い。

SMTPからの送信であれば、タイマーによる送信や、何らかの自動化された送信も実現可能

今回分
前回分
参考リンク

■検証:Yahoo!SMTPから送信してみると、今回のヘッダーにほぼ一致するものが作成できた

SMTPを使って外部サーバからメールを送ってみた。

(検証用の自身のYahoo!アカウントenkaku_debug_2014@yahoo.co.jpからyano@satoru.net宛に送信)

結果、今回の真犯人のメールのヘッダーとほぼ同じものが出来た。

(特徴:WebMailerにはついていない X-Yahoo-Newman-Property、X-Yahoo-Newman-Id等のヘッダーが自動的に付与される。)

今回は、何らかの理由でWebメールを使わず、SMTPで送信をしたのはほぼ確定。

なお、前回のものと比較すると、ソースがぜんぜん違う。

前回分
検証用の外部SMTPメーラーのソース

ちなみに作ったメーラーのソースはこんな感じ。(perlのメール送信プログラムパスワードのみ伏せてます。)

enkaku_debug_2014@yahoo.co.jpというyahooメールアドレスからyano@satoru.net宛にメールを送るプログラム

外部サーバプログラムを実行しさせすれば、いつでも送信ができるので、スケジュールによるタイマー送信や、

自動化された送信なども可能。smtp通信のプログラム自体もすごく単純なものなので、

smtp関連はウイルスなどで仕込まれてる事がよくある。


ちなみに、Webメーラーを自動化して送信する場合、場合によってはタイムアウトでパスワード入力の再認証を求められたり、

外部サーバから偽装ブラウザプログラムなどから操作した場合、スパム対策などで、画像認証をもとめられる場合がある。

この場合、人為的な目視での対応が必要になり、送信に失敗してしまう可能性がある。

■検証:Recieved (118.241.250.93 with plain)の"plain"の意味

メール送信をする場合の認証方法には、POP Before SMTP、plain、Login CRAM-MD5等がある。

(それぞれの具体的な仕様はぐぐってみてね。)

今回のメールのSMTP認証は"plain"が使われていた。

"plain"はIDとパスワードをEncodeした値をメールサーバに渡す認証方法。

簡易的な認証なのでコードも短くて済むのが特徴。

実験的に実際にplain認証でメールを送るプログラムをperlで作ってみた。

ソース:http://yokoku.in/enkaku2012/smtp_plain_ver_perl.txt

届いたメールはこれ。

http://yokoku.in/enkaku2012/smtp_plain_ver_mail.txt

結果的に、真犯人のメールとほぼ同様のメールヘッダーが再現できた。




■検証:メールヘッダーのrecievedの謎のIP『HELO ?100.64.5.244?』について

http://yokoku.in/enkaku2012/mail20140516.txt

Received: from unknown (HELO ?100.64.5.244?) (118.241.250.93 with plain)

上記のログの意味は、

  • 発信元のIP "118.241.250.93"
  • SMTP認証方法は "plain方式"(他にPOP Before SMTP、plain、Login CRAM-MD5等がある)
  • 自身のドメイン(FQDN)を"?100.64.5.244?"と指定した

というログを読み取れる。

"118.241.250.93"のIPを逆引きすると、"mp76f1fa5d.ap.nuro.jp"になる。

この部分は、SMTPサーバに接続時にYahoo!側が付与するので、接続元IPは偽証はできない。

『(Helo ?100.64.5.244?)』の値は偽証できるのか検証

メールの送信時にHeloの部分はメールサーバとの通信時に自身のメールサーバのドメインを伝える手段で任意の文字列を指定できる。

たとえば、

my $smtp = Net::SMTP->new('smtp.mail.yahoo.co.jp', Port => 587, Hello=>"?100.64.5.244?", Debug=>1);|

と指定すると、今回の真犯人メールと同じ HELOになるメールヘッダーが実現できた。

ソース:(ResievedのHELO が ?100.64.5.244?)

HELOの指定を省略した場合は、サーバのhostsで設定している自身のホスト名が使用される。

ソース:(ResievedのHELO が localhost.localdomain)

ちなみに"100.64.5.244"のIPはアメリカ・ロサンゼルスに所属するIPのようだ。

http://www.topwebhosts.org/whois/index.php?query=100.64.5.244

HELOの指定自体は任意のものなので、メールとの関連性は不明。

真犯人が指定し忘れた?Proxy通し忘れた?過去に指定していたtorのホスト?いろんな可能性はありそう。

HELOに指定されたIPにはどういう意図があったのか疑問が残る。

■追記■IP:100.64.5.244はISP Shared Address(プロバイダー共用)

今回のIP 100.64.5.244 は 127.0.0.1のような、プライベートIPに近いもので、

ISP Shared Address(100.64.0.0/10)と言われるサービスプロバイダが共用するグローバルIPのようだ。

(※読者さんから、ご指摘いただきましたので、追記しました。感謝)

■追記■

SMTP認証について、(with login)ではなく(with plain)にする検証も下記で行いました。

http://d.hatena.ne.jp/satoru_net/20140516/1400248579#webmail2_2

■秘密の暴露の2番目「部落解放同盟」の内容は秘密の暴露になってない

理由は真犯人による1回目のメール(2012/10/10)にエキサイトのアカウント情報が報道で公開されていた。

結果、第三者でもエキサイトIDでログインすれば送信履歴等から知ることは可能だった。

参考:(記事でID&パスワードが公開されてた)

http://megalodon.jp/2013-0503-2006-48/www.iza.ne.jp/news/newsarticle/event/crime/602253/

事実として、当時、その報道アカウントからヒントを得た新聞記者が

真犯人のヤフーアカウント(※エキサイトではない)などにも不正ログインして広く報道されていた。

参考:http://d.hatena.ne.jp/satoru_net/20130412/1365773143

ヤフーに不正ログインされるくらいなので、ID&パスワードが公開されていたエキサイトにも同様の

不正ログインが行われていた可能性は十分にある。

参考リンク:記者が遠隔操作真犯人アカウントに不正ログインしていた履歴が公開される


よって、秘密の暴露2は不正ログインをした第三者でも知りえる状況にある為、

犯人しかしる由のない「秘密の暴露」としては成立しないと思われる。

アカウントの変化。今回は『onigoroshijuzo2014』

  • 2012 初回:onigoroshijuzo
  • 2013/1/1〜1/5:onigoroshijuzo2
  • 2014/5/15 今回onigoroshijuzo2014←いまここ

なお、来年版(?)のonigoroshijuzo2015は、現時点では未取得の模様。

※ちなみに、http://profiles.yahoo.co.jp/obokatajuzoというアカウントも存在する模様。

今回のメールとの関連性は不明。


■独特な「三点リーダー」が使われず、正常になった

従来の真犯人の特徴のひとつだった独特な三点リーダー「・・・(全角で3文字)」が、

今回のメールでは一般的な「…(全角一文字)」になっていた。

参考:遠隔操作真犯人の発言集

http://yokoku.in/enkaku2012/enkaku.txt

■件名長すぎ=205文字。何らかの暗号?メッセージ?

皇居にロケット砲を撃ち込んで明仁美智子を始末する地下鉄霞が関駅でサリン散布する大野勝則裁判官と唐沢貴洋弁護士と
狩魔冥検事を上九一色村製AK47で射殺する聖路加病院爆破するお茶の水小学校で小女子喰う悠仁を去勢して天皇制断絶江川
紹子の閉経マンkにVXガス注射してポアするドコモショップ稚内店に牛五十頭突っ込ます
Caroline Kennedy will be killed just like her father

205文字(小文字大文字を1文字とカウント)もある為、たいていのメーラーでは迷惑フィルターに引っかかりメールに分類される。

バイト数(全角を2byte、半角を1byteでカウント)だと351バイト。

何らかの暗号、メッセージが含まれている可能性もある?

※コピペ&取り扱い注意。上記の文章は犯行予告が含まれており、掲示板などに転載すると犯行予告をしたとみなされて罪を問われる可能性があります。具体名称は伏せるなどの対策を各自行ってください。

■検証:件名の分断の癖からメーラーが特定できる可能性

http://yokoku.in/enkaku2012/mail20140516_header.txt

メールソースをみるとSubject部分が不自然(?)に分断されている。

Subject:
 =?UTF-8?B?55qH5bGF44Gr44Ot44Kx44OD44OI56Cy44KS5pKD44Gh?=
 =?UTF-8?B?6L6844KT44Gn5piO5LuB576O5pm65a2Q44KS5aeL5pyr44GZ44KL?=
 =?UTF-8?B?5Zyw5LiL6YmE6Zye44GM6Zai6aeF44Gn44K144Oq44Oz5pWj?=
 =?UTF-8?B?5biD44GZ44KL5aSn6YeO5Yud5YmH6KOB5Yik5a6Y44Go5ZSQ5rKi6LK0?=
 =?UTF-8?B?5rSL5byB6K235aOr44Go54up6a2U5Yal5qSc5LqL44KS?=
 =?UTF-8?B?5LiK5Lmd5LiA6Imy5p2R6KO9QUs0N+OBp+WwhOauuuOBmQ==?=
 =?UTF-8?B?44KL6IGW6Lev5Yqg55eF6Zmi54iG56C044GZ44KL44GK6Iy2?=
 =?UTF-8?B?44Gu5rC05bCP5a2m5qCh44Gn5bCP5aWz5a2Q5Zaw44GG5oKg5LuB44KS5Y67?=
 =?UTF-8?B?5Yui44GX44Gm5aSp55qH5Yi25pat57W25rGf5bed57S5?=
 =?UTF-8?B?5a2Q44Gu6ZaJ57WM44Oe44Oza+OBq1ZY44Ks44K55rOo?=
 =?UTF-8?B?5bCE44GX44Gm44Od44Ki44GZ44KL44OJ44Kz44Oi44K344On?=
 =?UTF-8?B?44OD44OX56ia5YaF5bqX44Gr54mb5LqU5Y2B6aCt56qB44Gj6L6844G+44GZ?=
 =?UTF-8?B?Q2Fyb2xpbmUgS2VubmVkeSB3aWxsIGJlIA==?=
 =?UTF-8?B?a2lsbGVkIGp1c3QgbGlrZSBoZXIgZmF0aGVyLg==?=

これはMIMEのEncoderによって、長い文字列は自動的に分断される仕組みによる影響だと思われる。

perlでの検証例。

perlでよく使われるMime::Base64では等間隔で分断されたり、一括で変換されるモジュールなどもある。

少なくともperlではいずれのパターンにも一致しなかったが、完全に一致するライブラリがわかれば、

真犯人が使ったと思われるメーラーを特定できる可能性がある。

暇があるひとは、得意な言語のライブラリ(特にC++あたりが有力候補)でデコードしてみてください。

参考までperlで試したプログラムのソースは下記に設置してます。

http://yokoku.in/enkaku2012/subject_kensho_perl_source.txt

■検証:件名は何かの暗号?件名を忠実にデコードする

件名の分断に何らかの意味があると仮定して、忠実に元の文字にデコードするとこうなる

※実際にはそれぞれの区切りに改行は入っていないので、改行はこちらで区切り事に付け加えたもの

 皇居にロケット砲を撃ち
 込んで明仁美智子を始末する
 地下鉄霞が関駅でサリン散
 布する大野勝則裁判官と唐沢貴
 洋弁護士と狩魔冥検事を
 上九一色村製AK47で射殺す
 る聖路加病院爆破するお茶
 の水小学校で小女子喰う悠仁を去
 勢して天皇制断絶江川紹
 子の閉経マンkにVXガス注
 射してポアするドコモショ
 ップ稚内店に牛五十頭突っ込ます
 Caroline Kennedy will be
 killed just like her father.

参考まで、これを再現したプログラムのソースは下記

http://yokoku.in/enkaku2012/subject_source.txt

■Message-ID:に[@email.android.com]の文字。Andoroid携帯から送信か?

今回のメールのヘッダー情報のMessage-IDに『email.android.com』という文言が含まれていた。

Message-ID: 93dhqdjpt0hqgushhj9t34q1.1400142888062@email.android.com

このMessage-idは任意で指定ができるので、偽装可能な情報だが、

ストレートにこの記述を解読すると、

『アンドロイド製のメーラーでMessage-IDに"@email.android.com"と付加する

メールクライアントから送信された。』という事が読み取れる。


■Message-IDにメール到着の前日[2014/05/15 17:34:48]のタイムスタンプらしき数値

Message-ID: 93dhqdjpt0hqgushhj9t34q1.1400142888062@email.android.com

『1400142888062』の数値はunixタイム値のミリ秒だと仮定して日時に戻すと

2014/05/15 17:34:48の日時を差している。

 perl -MPOSIX -e 'printf "%s", POSIX::strftime "%Y/%m/%d %H:%M:%S",localtime(1400142888062/1000)'
2014/05/15 17:34:48

何らかの意図をもってこの日時が指定された?メールサーバと日本時間の時差?

メールが届いた時間帯をタイムスタンプに戻すと

perl -MTime::Local -e 'printf "%s", timelocal(13,37,11,16,5-1,2014-1900)'
$ 1400207833

実際の受信日時とこのタイムスタンプとの時間差を求めると、

perl -e 'my$diff=(1400207833 - 1400142888);printf "[%02d:%02d:%02d]\n", ($diff/60/60,($diff/60%60),$diff%60%60) '
[18:02:25]

結果は、真犯人メール到着までの時間差は18:02:25の時間差が示されている。ということになる。

※ただし、あくまで、偽装可能な情報であり、過去に真犯人はExif情報偽装などもしているので、取り扱い要注意。

yahoo!SMTPでMessage-IDの偽装は可能かどうか?の検証

ヤフーのメールサーバでは、Message-IDをなにも指定していない場合は、

自動的にサーバー側で値が割り振られるようだ。

任意のmessage-IDをつけてメールを送信した場合、

今回のメール同様、任意のIDを付与させることができる。

上記の結果から、ヘッダーの位置で、サーバ側が割り振った値か、クライアントがつけたか判断できる。

『赤くて香ばしい』という独特な表現。メール以前に使ってるサイトは?

今回の真犯人の独特な表現『赤くて香ばしい』を真犯人のメール以前に使っているサイトがあるか?

『2014年5月15日より前』 『赤くて香ばしい』でgoogle検索

結果、下記サイトなどがヒットする。

(※この考察はコメ欄、および、嫌儲板の投稿を元に追記ました。情報提供ありがとうございました。)

件名に含まれる犯行予告、キーワードの考察

今回のメールの件名は205文字で構成され、9件の犯行予告に分類できる。

また、それぞれに含まれるキーワード、固有名詞の意味を考察した結果、

皇室関連、オウム真理教関連、遠隔操作事件関連、2chで有名・話題関連に分類できた。

下記が分類の図。

下記ではそれぞれのキーワードについての意味などを調査する。

皇居にロケット砲を撃ち込んで明仁美智子を始末する
地下鉄霞が関駅でサリン散布する
大野勝則裁判官と唐沢貴洋弁護士と狩魔冥検事を上九一色村製AK47で射殺する
聖路加病院爆破する
お茶の水小学校で小女子喰う
悠仁を去勢して天皇制断絶
江川紹子の閉経マンkにVXガス注射してポアする
ドコモショップ稚内店に牛五十頭突っ込ます
Caroline Kennedy will be killed just like her father
明仁
美智子
大野勝則裁判
唐沢貴洋弁護士
  • 実在する日本の弁護士。一部の2ちゃんねるの板等で頻繁に犯行予告をされる事で有名。
狩魔冥検事
  • 狩魔 冥(かるま めい)はカプコンのゲーム『逆転裁判』シリーズに登場する架空の人物。
上九一色村
  • 山梨県にあった村。オウム真理教事件の施設(サティアン)が過去にあった場所として有名。
AK47
  • 「1947年式カラシニコフ自動小銃」は、1949年にソビエト連邦軍が制式採用した歩兵用アサルトライフル
  • オウム真理教の兵器としては、AK-74(自動小銃)を購入・開発していたとされている。
聖路加病院
  • 正式名称は『聖路加国際病院』。東京都中央区・築地に実在する病院。
  • 地下鉄サリン事件(1995-)の発生時、最寄り駅(築地駅)で最も多くの被害者が発生し、同事件の最大の被害者受け入れ先となった病院としても有名。>ソース
お茶の水小学校
  • 東京にある国立小学校。皇族が入学する学校としても有名。
  • 遠隔操作事件では犯行予告のターゲットにされた。
小女子
悠仁
  • 日本の皇族。秋篠宮文仁親王と同妃紀子の第一子(長男)。
江川紹子
  • 日本のジャーナリスト。オウム事件や遠隔操作事件関連の取材を積極的に行っている事でも有名。
  • ソース
VXガス
ポア
  • オウム真理教が『殺す』の意味で使っていたとして有名。
ドコモショップ稚内店
牛五十頭
  • なぜ牛?50頭の意味合いは何だろう?なんとなくかな?
  • 今回の事件、犯行予告との関連性は不明。
Caroline Kennedy
●メモ
  • 唯一、ドコモショップ『稚内店』の出所がようわからんので気になる!!情報求む。

■メールの配信元 nuro.jp はso-netプリペイド式のSIMと判明

メールの配信元 mp76f1fa5d.ap.nuro.jp(118.241.250.93)はso-netプリペイドSIMで間違いない模様。

コメント欄の書き込みによると、本人確認なし、適当な個人情報でも利用可能との事。

プリペイドSIM自体に住所等の入力は求められますが嘘の情報も通ることを確認しています。
店頭購入のみのようですが本人確認してないので特定は厳しいでしょう。

このIP基地局はどのあたり?契約者は誰?

捜査関係者は早急に発信元IPの割り出しを行うべき。

関連リンク

※この情報は下記の情報を元に記述しています。情報提供ありがとうございました。

http://www.so-net.ne.jp/prepaid/



■本物?摸倣犯?

いまんとこわからん。

■2ちゃんねるの関連スレ一覧

嫌儲:【遠隔操作事件】真犯人「小保方銃蔵」からの秘密暴露メールが公開される ★1〜
ニュース速報+:【遠隔操作事件】真犯人名乗る「小保方銃蔵」からのメール、落合弁護士などに届く★1〜
片山被告自作自演と言われるかもしれない ★1〜

■その他メモ(関連リンク、未確認情報など)

以上、ざっくりまとめでしたー。

なにか、お気づきになった方は、コメ欄に投稿おねがいします。m(_ _)m

111219Monday

『オレオレ詐欺速報 | 振り込め詐欺情報まとめサービス』はじめてみた

警視庁の発行する「めーるけいしちょう」をベースにオレオレ詐欺をまとめるサービスをはじめました。

(※「メールけいしちょう」の利用にあたり警視庁犯罪抑止対策本部の方より使用許可を頂きました。)


主な機能はこちら

オレオレ詐欺速報

日々発生したオレオレ詐欺の内容、地域などの詳細をページで確認できます。

f:id:satoru_net:20111219091518p:image

オレオレ詐欺の発生件数の推移グラフ

オレオレ詐欺の発生件数の年間推移。

f:id:satoru_net:20111219091156p:image

日々の推移。

f:id:satoru_net:20111219091152p:image

Twitter連動

オレオレ詐欺情報をリアルタイムにツイート速報

@oreore_botというアカウントで速報してます。

f:id:satoru_net:20111219093053p:image

地域別月間発生数統計

23区別、23区外での発生状況を一目で確認できます。

ちなみに今月12月は現時点で江東区(8件)が1位で、先月11月は大田区(13件)が1位でした。

月ごとに地域単位で

f:id:satoru_net:20111219091153p:image


月間トレンドワード分析

オレオレ詐欺の内容を形態素解析しどのようなワードが多い傾向があるかを月別に確認できます。

f:id:satoru_net:20111219091155p:image

検索機能

過去に発生した全データを対象にキーワード検索できます。

f:id:satoru_net:20111219091154p:image

オレオレ詐欺マップ

google mapでにオレオレ詐欺が発生した地域の確認ができます。

f:id:satoru_net:20111219091151p:image

今日のオレオレ詐欺発生件数

1日のオレオレ詐欺発生件数を表示してます。

f:id:satoru_net:20111219091150p:image


今後の予定

『オレオレhack API』

 オレオレ詐欺情報のAPIを引き出せるプラットフォーム公開

『オレオレコミュニティ』

 オレオレ詐欺に関する情報、体験談を投稿できるコミュニティー

『オレオレポート』

 分析した結果をMLで月次レポート

他都道府県にも対応

『めーるけいしちょう』とは

http://www.keishicho.metro.tokyo.jp/tetuzuki/mail/mail_info.htm

警視庁が提供する、東京都内各地域で発生した『犯罪発生情報』や犯罪を防ぐために必要な

『防犯情報』等をメールでお知らせするサービスです。

今回「メールけいしちょう」の利用にあたり警視庁犯罪抑止対策本部の方より使用許可を頂きました。

ただし、警視庁と当サービスの間には依託関係などは一切ありません。

©satoru.net
Mail Twitter