この広告は、90日以上更新していないブログに表示しています。

2013-09-16

遠隔操作他のリアルタイム性検証

日記 #練習用

当ブログでリアルタイム性について何度か検証してみたが、その後新たな情報としてラストメッセージが公開されて以下の記述があった。

「 したらばのスレッドにsuicaコマンドさえ書き込んでおけば、次にオンラインになったときに勝手に消える仕組みですが、このときはそれはしませんでした。 」

今は殆ど常時接続だから、「次にオンラインになった時」というのは、基本的に次の電源ONタイミングになると考えられる。

その時に動くsuicaコマンドの動作はタイムラグが付くことになる。

これと同様な考え方で、まず「したらば掲示板」に2chへの書込命令を書き込んでおく。

それが被害者PC電源ONのタイミングで読み込まれて、自動的に2chに書き込みが行われればタイムラグが付く。

このような動作の想定が、被疑者逮捕後のアリバイ検証のネット論議の中でよく話に出されていた。

タイムラグが付けば、犯人は犯行予告が書き込まれた時刻にPC操作していなくても良いから、別の場所にいることが出来てアリバイが作りやすい。

検察側は「遠隔操作は基本的に派遣先PCで行われた」と想定しているということで、職場にいなかったことが確実な「日曜日の遠隔操作（大阪男性PC）」のアリバイが論議になった。

タイムラグ動作させられれば、2ch書込実施の約5時間前に入ったネットカフェから書きこめばOKとすることが出来るため、被疑者を犯人と推定する場合のアリバイ崩しの論拠になった。

それで「電源ON時のコマンド自動実行によるタイムラグ」の想定に関して検証してみる。

まず、前述のsuicaコマンドの件がある。これが出来るなら他のコマンドでも、電源ON時の自動実行が可能ではないかという類推が出来る。

しかし、suicaコマンドは自らが自らを消すという自己矛盾に陥るような特殊機能である。

電源ON直後の初期状態の方が自己削除プログラムを走らせやすくて、電源ON時の自動実行としていることが考えられる。

また、suicaコマンドは自己削除という一つの機能を実行するための云わば単機能コマンドとなる。

これに対して、例えば2chに書込むには以下の三つの操作を行う必要がある。

　　”「書込むスレを開く」→「書き込み欄に本文をセット」→「書き込む」指令を送る”

これをソフトでやらせる場合、以下のいずれかの方法が考えられる。

　　　・一つの操作を一つの機能として三つのコマンドを用意して、それらのコマンドを一つづつ順次送って実行させる

　　　・一連の三つの操作をまとめて一つの機能にして、一つのコマンドを送るだけで三つの操作を自動的に順次実行させる

技術的には当然一つにまとめるほうがプログラム作成は手間がかかることになる。

また上記は2chに一つのレスを書き込む場合の操作手順である。

書込数が増えれば当然操作数も増えるので、一つのコマンドで全部自動実行できるようにするには更にハードルが高くなる。

遠隔操作には2ch書込以外に、フリーメールとHPからの書き込みがある。

フリーメールはログインして、宛先・題名・本文・送信という手順となり、2ch書込よりずっと複雑と考えられる。（後述判定①-(1)と③で説明）

また、HPからの書込も2chへの書込より手順は複雑である（後述「判定④で説明）。

つまり、単機能であるsuicaコマンドが電源ONで自動実行出来ても、その他の2ch書込・フリーメール・HPからの書込を自動実行させることは複合機能のコマンドが必要で、ソフト作成の困難さが問題となる。

このような観点を加味した上で、他の要因に依る判定も含めて、本事件で犯人が行ったネットアクセス（遠隔操作以外も含む）がリアルタイムかどうかを検討してみたので以下に示す。

上表は判定①～⑤を行って、それらを足しあわせて勘案して総合判定⑥としている。各判定について説明する。

判定①：遠隔操作以外のネットアクセスは以下の各事情でリアルタイムと考えられる

　　(1)フリーメール(Tor)・・・yahooメールの例

　　　　　　”トップページ開く→「ログイン」選択→ID入力→パスワード入力→「ログイン」ボタン→（トップページに戻る）→

　　　　　　 「メール」選択→メール「作成」ボタン→宛先アドレス入力→題名入力→本文入力→「送信」ボタン”

　　　　　　　　（操作手順11個と多く、更に今回の事件の場合ccの宛先も多数で自動実行困難）

      (2)2ch書込代行依頼(Tor)・・・トロイ感染用のため、トロイはまだ感染していない段階で自動実行も無い

      (3)Dropboxアップ(Tror)・・・同上

判定②：外部事象に同期した操作を行っている場合はリアルタイムと考えられる

　　 (1)大阪2（ＪＡＬ)・・・JAL機飛行中を狙った遠隔操作と見られる

　　 (2)三重・・・ドコモショップ宛犯行予告の際、通報宣言レスに反応してリアルタイムでレスしており間違いなくリアルタイム

判定③：遠隔操作によるフリーメールもTor使用のフリーメールと同様に操作複雑なためリアルタイム操作と考えられる

　　　　　 → ログイン状態でメールのページにいたとしても1通毎に以下の手順は必要でそれが４宛先計5通もある

　　　　　　　１通あたり”メール「作成」ボタン→アドレス入力→題名入力→本文入力→「送信」ボタン”の５手順

判定④：大阪１の犯行はHPからの犯行予告文送信で以下のように手順多い、しかもHPは２箇所あり自動実行困難と考えられる

　　　(1)大阪市HP・・・”トップページ→「お問合せ」選択→「市民の声」選択→「住所地」チェック（必須）→「個人情報関係」チェック（必須）→本文入力→「確認」ボタン”

　　　　　　　　　　　　　（昨年段階では、現在とは違う手順だったかも知れないが、トップページからすぐ書込が出来たわけではないだろう）

　　　(2)首相官邸・・・”トップページ→「お意見・ご感想」選択→「国政」選択→「確認」ボタン”

       ・更に大阪１の犯行はトロイの最初である。ラストメッセージにトロイはCSRFより汎用性を考えて開発したとの趣旨を書いているので、CSRF犯行後の6月末ぐらいから開発したとして大阪１まで約１ヶ月。

　　　　HPからの送信のような手順を踏んだ操作を自動実行させるソフトを作成するのは難しく、テストも複雑になるので、1ヶ月の開発期間の中でとてもそこまで手が回らないと推測される。

判定⑤：メールやHPからの送信に比べると2ch書込は手順がシンプルになると考えられるが、それでも複数スレに書き込んでいて書込内容も変えている場合があり、操作手順は複数になる

　　　　　→一つのレスの書込にも以下の手順が必要（殆どのレスでスレも変えているので書込先スレ設定から始まる）

　　　　　　　”スレ設定→本文入力→「書き込む」ボタン”（「書き込む」ボタンはデータ送信命令で代用も可能と思われる）

　　　(1)愛知・・・スレ数9、本文数2

　　　(2)横浜・・・スレ数8、本文数2

判定⑥：判定①～⑥を集めると、全部に以下のいずれかの印がついた。

　　　　　　◎：リアルタイムで間違いなし

　　　　　　○：確実(後述の補足のように大阪1は実際は◎レベルと見る）

              △：自動実行させるには複合機能を一つのコマンドで動かす仕組みが必要になると考えられるが、それが出来ないとはまだ言い切れないので△にした

△が残ったが、それが二つという点に注目したい。

もし2ch書込自動実行コマンドのようなものがあったとしても、二つのケースでしか使っていないわけである。

それで複雑な自動実行コマンドをわざわざ作成するだろうか。

しかも被疑者が犯人であれば、△の一つの愛知は平日午前10時～11時頃の書込みになっていて、派遣先PCを触れるからアリバイ工作になっていない。

このようなことも総合すると、「犯人のネットアクセスは全てリアルタイムとして仮定して考えればよいのではないか」というのが当方の検証における考察結果である。

また、トロイはソースコードと共に弁護側が入手して専門家に解析依頼できるし、既に解析済みの検察側に「iesys.exeはタイムラグ動作が出来るようになっているか？」と確認すればすぐ判明する内容でもある。

今後公表されて来ると思われる。

以上

[大阪１に関して補足]

上記検証を行ってみて当方が成果と思えるのは、「大阪１の犯行はトロイ作成し始めて約１ヶ月後の初使用だった」という事情を再認識したことである。

一ヶ月でトロイ作成するのも大変な作業と思われるのに、HPからの書込というややこしい手順の自動実行機能を作っている時間は無かったと推測される。

特に被疑者が作成したとすると、C#は独習したとしてもベテランの域では無いから、トロイを一ヶ月で動かすだけでも相当難しかったと考えられる。

それでHPからの書き込み、しかも２箇所分を自動実行させるソフトまで作りこんでいるはずもない。

また、トロイは大阪1の犯行が初めての使用であるから、慎重に動作を確認しながら遠隔操作するのが当然であり、手動となるだろう。

これら条件を考慮すれば、トロイ初回使用である大阪1の犯行において、ネットカフェからの時間差操作は有り得ないと個人的には思う。

その場合、検察は日曜日の犯行をリアルタイムで行なった場所を特定できるだろうか。特定できないまま最後まで行くのだろうか。裁判の焦点になってくる。

追記以上