遠隔操作ウイルス事件は誰にでも起こせる

追記(2012/10/17)
 大阪市に犯行予告が送信されたときはウィルス(トロイの木馬)を拾ってしまった人のようで、メールフォームの脆弱性を突いたものではない可能性があります。
 メールフォームに存在する既知の脆弱性を熟知した上で大阪市の担当の方が運用しているとしたら、それほど深刻な脅威ではありません。


 もし万一にも、メールフォームの持つ脆弱性を知らず、運用者と警察と双方が無知だった場合に起きえる話として、以下読んでいただけたらと思います。


 ウィルスを拾ってないのに犯行予告された保土ヶ谷区の事件については こちら で改めて書きました。



 大阪市に犯罪予告のメールを飛ばした人の、その IP アドレスだけを証拠として無実の人が逮捕され、なぜだかやっていないのに自白調書が出来てしまって、検察も起訴しちゃって収監されてしまったあとで、真犯人が現れた事件。


 この前は小沢氏の政治資金規正法事件で、デタラメな調書を検察官が勝手に作文し、そのデタラメな調書を信じた検察審査会の人がまんまと騙されて・・・という事件が起きたばかりですが、これだけ放射能をバラ撒いた東電には捜査のソの字も入らないのに、微量のCs137密封線源(浜通りに散らばる謎の黒い物質よりも遙かに安全)を持ち込んだ人は逮捕だとか、ほんと日本の司法界は 地に落ちた (フクイチの核燃料と一緒で)地に潜った と言って過言じゃないです。。


 「警察がカンカンに怒ってる」と報道されていますが、カンカンに怒ってるのは無罪なのに有罪にされてしまった被害者のほうではないでしょうか。
 たしかアニメーターの方は実名報道されてしまってますし、ほとんど松本サリン事件と一緒です。


 さて今回の事件は確か大阪市のホームページに犯罪予告が書き込まれたことが発端だったと思いますが、試しにどんなページだか見てみました。


http://dl.ftrans.etr.jp/?300bd3c8b8b54d05a88a30fdf8333f99b1a2627d.png


 ふふーんと思って右クリックしてソースを確認しますと、メールの送信に CGI を使ってあって、確認ボタンを押したあと、最後の確認で mailend.cgi にデータを引き渡してます。


http://dl.ftrans.etr.jp/?62fd772d1a3242a58e42f920f9b77380a57e13ad.png http://dl.ftrans.etr.jp/?3c5bc4408abd4443b2c884b493f85a302de33e4f.png


 おい、これはまさか・・・と思ってテスト用に簡単な HTML を書いてみました。
 これ です。

(追記)
 もともとはクリックした瞬間(正確には1秒後)に大阪市のコールセンターに自動で通報メールを送りつけるものでしたが、今はクリックしてもHTMLソースが見えるだけの状態になってます。


 大阪市(*.city.osaka.lg.jp)および大阪市のコールセンターを委託で受注してる会社ぽいところからアクセスがありまして、届かずにシステムの中で破棄される仕様であれば当サイトにアクセスなんてあるはずないので、脆弱性があって、たぶん通報メールが何通か届いたのだと思います。
(日の訪問者がロボット含めて200弱の過疎ブログなので、3桁はいってないはず・・・)


 あのような通報メールがコールセンターに届かない状態に設定して頂くのが本来なのですが、まぁ今日の明日で何とかできる人が常時いるとも思えないし、とりあえず脆弱性の存在だけは知って頂けたと思うので、いったん直リンは外しておきます。


 いきなりクリックした方は少しだけ驚かれたと思います(笑)
(追記) 今はクリックしただけでは動作しなくなってますが、このページを公開した当初はいきなり下の画面が表示されてました。


http://dl.ftrans.etr.jp/?8ef9a8b1b96341f48babbb9d60a4f280833d4878.png


 だけど犯罪予告なんかじゃありませんので安心してください。
 私のメールアドレスにて、サイトに脆弱性がある旨の文章が大阪市に届くようになってます。
 しかし発信元は私の端末のIPアドレスではなく、あなたのIPアドレス
 ユーザーエージェントも私のブラウザ情報でなく、あなたのブラウザ情報。


 どんな凄い(笑) HTML を私が書いたか知りたい方は、上記の これ のところを右クリックして「対象をファイルに保存」して見てみてください。
 JavaScript の文法はネット検索しながらでないと分からない私でも何とか書けました。


 分かりやすく「問い合わせを受け付けました」のページが表示させたままにしてますが、div で括って非表示か何かにしてしまえば、リンクを踏んでしまって知らずに何か送信してしまったことにも気がつかないでしょう。
 自覚がなくてもリンクを踏んだ人の IE の履歴には、大阪市のページに何かを Submit したことが残ります。


 JavaScript に精通した人ならば、IPアドレスが特定値の人が踏んだときだけ文章が送信されるとか文章や送信先を変える、なんて仕組みも簡単に構築できると思います。


警察屋さん、まさか、こんな程度のトリックで
無罪の人を逮捕しちゃったんじゃないですよね?


 サーバー側のログを漁って調べれば怪しい Submit かどうかは分かるはずなので、そうではないと願いたいですが。。。


 理由はなんであれ、当人は確実にやってないのに、自白調書が取られたってことは、よほど凄い尋常ならぬ「取り調べ」が繰り広げられたことでしょう。


 これ、普通は犯罪じゃないですか?
 担当した警察官とその上司ならびに検察官たちは、どうか自首してください。


(もし、この手口だったら)
 サーバー側の mailend.cgi の呼び出し履歴の中に真犯人の手がかりが残されているかもしれません。
 上で書いた ここ (今は直リンを外してクリックしても動かないですが)を踏んだ場合、サーバー側のログには、クリックした人のIPアドレスと共に私のサイトアドレスがリファラーとして記録されているはず。


 mailend.cgi が呼び出されたときのリファラーは mailconf.cgi 以外に存在してはいけません。
 それ以外になっているものは明らかにロボットが送信主ですので一括削除して構いません。
(リファラが mailconf.cgi だったとしても、確実に人が操作したという証拠にはなりませんが)


 そのリファラーが示すサイトの管理者が怪しいのでは?と思いますが、まぁこんな子供の遊びを相手に何百万もかけて捜査を続けるほうが狂ってると思います。


 というか、こんな腐ったメールフォームを配置したサイト側の問題(不始末)だし。。
(脆弱性を放置しておくのであれば、サーバーログから「人間が操作したぽい感じ」を立証しないと証拠にならないでしょ)


 こんなことに目くじら立ててる暇があったら、東電本社の家宅捜査なり、フクイチの現場検証でもして来い!