Hatena::ブログ(Diary)

satoru.netの自由帳 このページをアンテナに追加 RSSフィード

160525Wedday

memo

#!/usr/bin/perl

use re 'eval';

my $key = "192.168.[0-100].*";
my $re = make_re($key);

print "[$re]\n";

my @lines = grep {$_} split /\n/,qq{
192.168.99.112 - - [10/Jul/2013:13:53:15 +0900] "GET /top.html HTTP/1.1" 404 1426 "http://facebook.com" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36"
192.168.81.20 - - [10/Jul/2013:15:06:33 +0900] "GET /hogehoge.html HTTP/1.1" 404 4374 "http://paiza.jp" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36"
192.168.223.58 - - [10/Jul/2013:21:32:01 +0900] "GET /hoge.html HTTP/1.1" 304 6601 "http://paiza.jp" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:22.0) Gecko/20100101 Firefox/22.0"
};

for(@lines){
	if(m@^$re@){
		s@\[|\]@@gim;
		my($ip,$date,$file) = (split / /)[0,3,6];
		print "$ip $date $file\n";
	}
}

sub make_re{

	my $pattern = shift;

	my @re;
	my $count = 1;

	for my $n ($pattern =~ m@([^\.]+)@g){
		if($n =~ m@\[@){ # レンジ指定
			my @n = $n =~ m@(\d+)@gim;
			push @re,sprintf '(\d+)(?(?{range($%s,%s,%s)})|(?!))',$count,$n[0],$n[1];
			$count++;
		} elsif($n eq "*") { #アスタリスク
			push @re,'\d+';
		} else { #数値
			push @re,"$n";
		}
	}
	return join('\.',@re);
}

sub range{
	my ($n,$min,$max) = @_;
	return ($n >= $min && $n <= $max)
}

130412Friday

[]記者が遠隔操作真犯人アカウントに不正ログインしていた履歴が公開される

記者がメールサイト入る 遠隔操作の取材で共同通信」このニュースの件の続報。

記者が不正アクセスをしてた同じ時期にログインしてた人が2ちゃんねるに降臨。

その時に撮ったと思われるログイン履歴の画面が斧ろだにうpされた。


そこで、うpされた画像をもとに、この不正アクセス履歴から分かる事の検証まとめた。

公開されたアクセス履歴から分かる事の検証まとめ

※注:検証の一部は2ちゃんねる嫌儲民スレの内容を参考にしている部分があります。

共同通信社(202.248.159.3)からのアクセス

202.248.159.3によるアクセスは、2012/10/16から始まり計10回。

202.248.159.3のIPの割り当てを調べると[共同通信社]のネットワークだと確認できる。


■記者は真犯人のメール送信後付近でログイン

共同通信IPログインしているのが、10/16〜10/17、2週間の日が開いて、11/15。

真犯人がメールを送ったのは、10/15(犯行声明)11/13(自殺予告メール)

真犯人のメール送信タイミング付近でログインしているのが分かる。


パスワードは誰でも推測できるものだった

うp主によると真犯人が使った[onigoroshijuzo@yahoo.co.jp]のパスワードは[vxgus1234]だった。

このパスワードは真犯人が2012/10/10に送った犯行声明メール内で

過去に遠隔操作でエキサイトアカウントを使って犯行予告をした「秘密の暴露」のひとつとして

公開されていたパスワードと同一のものだった。(メアドはmorokkosarin@excite.co.jp)

また、このパスワードメディアでも広く報道されていた為、

同じパスワードヤフーアカウントでも使われている事を類推する事は不可能ではない状況だったと言える。


■犯行声明メール、自殺予告メールのタイミング&IPが一致

そもそもこのうp主の画像&履歴本物なのかどうかという信憑性の検証。

1.◆真犯人のメールとの一致

履歴のアクセス時間とメールを受信した時間帯がほぼ一致。

(微妙な時間差は、アカウントログイン後にメール作成後、送信している為だと思われる。)

2.メール配信もとのIPと一致

また自殺予告メール受信時のIP[31.172.30.2]とログインIPも一致。

Received: from [31.172.30.2] by web4111.mail.ogk.yahoo.co.jp via HTTP; Tue, 13 Nov 2012

23:54:42 JST

犯行声明メールのIPは公開されていない情報の為、不明。(当時受信した落合弁護士は検証可能)

3.最初の犯行声明の出所はドイツ

[vm3004.sks-servers.com]というサーバIP Locaterによるとドイツのホスト。

合同捜査本部が当時ドイツに捜査に行っていた報道にも一致する。

上記のような理由、共同通信社IPの一致などから

共同通信社IPは調べようと思えば調査できないこともないが一般公開されていない情報)

履歴が100%本物であると断定はできないが、事実である可能性が高いといえる。


Yahoo!アカウントが作成されたタイミングは2012/10/10 15:15:22以前

履歴は30件なので最初の記録=アカウントが作成されたタイミング?

2012/10/10 15:15:22 94.23.117.228 vm3004.sks-servers.com tor

2ちゃんねる住人の報告によると、アカウント作成時の履歴はでなかった模様。

真犯人のアカウント作成はもっと前?


■6日と11日のtorは真犯人以外のアクセスかも?

2012/11/11 22:37:22 74.3.165.39 review.designerebuy.net tor

2012/11/6 16:02:25 37.130.227.133 torland1-this.is.a.tor.exit.server.torland.is tor

真犯人からのアクションが特にないのにログインされた記録のある箇所。

真犯人がtorを使ってメールチェックしていたか、

もしくは、up主でもなく記者でもない第三者がまた別にいたのかもしれない。


■1/1の「新クイズ」の成りすましができた人物に「第三者」も含まれることに

2013/1/1に江の島の問題を送ってきた真犯人(?)を名乗るメール『謹賀新年」では

成りすましでない証拠として「宛先をしっている事」をメール内で真犯人が主張していた。

※前のメール送信後すぐアカウント消しちゃったのでアドレスが微妙に変わってます。

宛先が完全一致してることで成りすましじゃないと分かってもらえると思いますが。

しかしパスワードが類推しやすいものであった事、第三者も実際にログインしていた事から、

パスワードに気づいた人なら誰でもonigoroshijuzo2に成りすませた可能性まででてきた。

(これまでは、リストを知ってる人はメールを受け取っていた25人のみと思われていた検証記事

ただし、その後、江の島で回収されたSDカードの中身に遠隔操作の真犯人しか知りえない情報があった場合は、

成りすましの可能性は限りなく低くなるので、裁判で公表されるであろうSDカードの中身に注目したいところ。

履歴がうpされるまでの経緯まとめ

下記は、2ちゃんねる上でログイン履歴が公開されるまでの経緯まとめ。

2ちゃんねるに不正ログインした記者と同時期にログインしていた人が降臨

http://unkar.org/r/poverty/1365695174/340,377

340 : ◆3OViQIg1Xc : 2013/04/12(金) 10:06:46.79 ID:kPmagYq70

お、ついに記事でたか

俺も2件目のメールの後に気づいてログインできたけど、かなり共同がログインした形跡あったからなあ

ちなみにアカウントは例の鬼殺十蔵@ヤフー

パスワードはvxgus1234

1件目の真犯人からのメールの時に、別のアカウントパスワードとして書かれてたっけ。

パスワード自体は2件目の前には公開されてたから、実は2件目のメール以降は真犯人じゃない可能性もあるんだよね。

ちなみに、俺が気づいた直後に警察に報告したけど、その時点まで誰も気づいてなかったらしい。

後、今年入ってからだったか、共同に一度この事聞いたから、そこから内部調査入ったのかもね。

ちなみに、知ってる限りでは犯人(Tor)と共同等の報道機関以外はログインした形跡なかった。

377 : ◆3OViQIg1Xc : 2013/04/12(金) 13:38:22.28 ID:DWfPNf9m0

+に書こうと思ったけど書けなかった。

パスワードはもう使えない。真犯人かは今となっては不明だが、今年1/1に垢削除済み。

その辺の検証は矢野さとるブログ見ればわかる

俺がログインした時点では共同とTor以外ではログインした形跡はなかった。

ちなみに、このパスワードExciteメールのパスとして公開されてた。

そっちは国内生IPアドレスがごろごろしてたよ。共同も混ざってた。

とりあえずアクセスできた時の証拠は置いておく。

斧 so 2866027

パスはさっき晒した奴

当然ながら不正アクセス禁止法に引っかかってるのはわかってたから、ログインしたのはこの一回だけ。

ちなみに、俺が連絡した時点で警察はこの事実は知らなかったと言ってたし、まず警察からのリークではない。

誰でも探せばアクセスできる状態だった。

警察に知らせたのは2012年中だったから、片山容疑者の逮捕時点ではそれを把握していたはず。

斧のURLに履歴の画面キャプチャーがアップロードされる

http://www1.axfc.net/uploader/so/2866027

キーワード:[vxgus1234]

アップロードされた画像

[202.248.159.3]=共同通信社

202.248.159.3のIPを調べてみると[共同通信社]からのアクセスで確定

http://whois.ansi.co.jp/202.248.159.3

Network Information: [ネットワーク情報]

a. [IPネットワークアドレス] 202.248.152.0/21

b. [ネットワーク名] KYODONEWSNET

f. [組織名] 社団法人共同通信社

g. [Organization] Kyodo News

m. [管理者連絡窓口] FM575JP

n. [技術連絡担当者] FM575JP

p. [ネームサーバ] ns.center.web.ad.jp

p. [ネームサーバ] ns01hca.kyodonews.jp

p. [ネームサーバ] ns02hca.kyodonews.jp

[割当年月日]

[返却年月日]

[最終更新] 2010/09/02 14:08:03(JST)

一覧

日時 IP ホスト

2012/11/15 11:51:17 - - up主

2012/11/15 10:42:41 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/11/15 2:30:16 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/11/15 0:26:24 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/11/13 23:48:36 31.172.30.2 tor19.anonymizer.ccc.de tor

2012/11/13 23:45:33 109.163.233.205 gorz.torservers.net tor

2012/11/11 22:37:22 74.3.165.39 review.designerebuy.net tor

2012/11/6 16:02:25 37.130.227.133 torland1-this.is.a.tor.exit.server.torland.is tor

2012/10/17 11:39:08 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/10/16 11:57:36 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/10/16 11:44:27 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/10/16 11:40:32 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/10/16 11:38:26 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/10/16 11:35:35 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/10/16 11:32:27 202.248.159.3 KYODONEWSNET(202.248.152.0/21) 共同通信

2012/10/10 22:18:57 94.23.117.228 vm3004.sks-servers.com tor

2012/10/10 15:15:22 94.23.117.228 vm3004.sks-servers.com tor

©satoru.net
Mail Twitter