kensyou_jikenboのブログ

yahoo!ブログの同名ブログを移行しました

Torの同一IP出現に関して他

日記 #練習用
昨日「rec*lde**des*」さんからコメントで以下の質問を頂いた件。
>TORのIPが同じということは、TORブラウザでインターネットに常時接続していた可能性が高いのでしょうかね。

当方で実際にTorを動かしてYahooメールアカウントなどにアクセスして確認してみた。
結果のまとめとしては以下の通り。
 ①Tor経由のIPアドレスは時々刻々変化する。10分程度も経つと変わってしまうし5分程度でも変わってしまうことがある。もっと短い場合もあるかもしれない。
 ②変わっていくアドレスはばらばらだった。数時間の内に適当に10回程度チェックして基本的にばらばらだったが一つのアドレスのみ2回出現した。(ただし、連続での同一アドレス出現は無かった)

この結果から、昨日示したアカウントアクセス履歴画面10月10日の15:15:22と22:18:57の2回のアクセス元IPアドレスが同一なのは、(ごくごく稀だと想定されるが)偶然と今は考えておくことになりそうである。
また、PC電源ONしっぱなしでスクリーンセーブにもスリープにも入らないようにして、ネットもつなぎっぱなし状態にしても、アカウントアクセスするたびに同じIPアドレスになるという状態を作る方法が今の所見当たらないので、偶然の一致と考えるしかないという事情もある。
---------------------------------------------------------------------
IPアドレスの一致に対しての考察は以上であるが、昨日のアクセスまとめ表で勤務時間中と想定される③の平日午後三時過ぎのアクセスはやはり重要になりそうである。
当方は早い段階から「本事件はアクセスログが残っていれば比較的容易にシロクロが付けられる事件ではないか」と考えてきた。
しかし南青山の派遣先では残っていなかったようで、それが現在まで続く混沌とした状況を作り出した最大の要因であったと思う。

原理的に、Torを経由するとアクセスされた側からはアクセス元が隠蔽される。
しかし、別の要因(今回は江ノ島監視カメラ)でアクセス元が特定されると、アクセス元のログが残っていればTorを使用したことは容易に判別できる。
ログからTorの入り口のIPアドレスが分かるので、そこにアクセスしてみれば通常のサイトと違うことはすぐ分かるからである(通常のサイトはHP等が立ち上がるので区別が付く)。
Torで若干の遅延はあっても、基本的にはほぼリアルタイム(当方で使用してみて何分も遅延するようなことは無かった)と考えてよく、③では10月10日(水)15:15:22の少し前に通常のサイトではないIPアドレスにアクセスしたログが残っているかどうかを調べればよい。
(⑥の11月16日(火)16:02:25も真犯人の可能性が充分あると思われ、この分のログ調査も大きな参考になるだろう)

なお、アクセスログ取得に関する機器やソフトとしては、プロキシサーバー、ファイヤーウォールルーターなど色々なものがあるが、今回に関しては要するに「内部のどのPCからどんなIPアドレスのサイトにアクセスがあったか」という記録が残っているかどうかである。
時折ニュースで例えばどこかの役所などで勤務時間中にアダルトサイト等にアクセスしていて処分があったなどという報道が出ることがある。
こういうのはアダルトサイト側からログが出るようなことは殆ど無いから、職場内のPCのアクセス履歴を調べて判明することになる。
つまりどのPCからどのサイトにアクセスしていたか記録を残しているということである。

今はこういうことをやっている会社は多いと思うし、10月以降の派遣先はセキュリティが厳しいということで果たしてどうだろうか。(何らかの方法でTorが使えないようにしている可能性も考えられる)
なお、ログ保存期間については2月10日逮捕からすぐにログ押収したとすると11月で約3ヶ月、10月で約4ヶ月前ということで、記録していれば残っている可能性はあるだろう。

本件以上。
---------------------------------------------------------------------
追加でTorにも関係するので、昨日の「 nak*bb*1 」さんの以下のご質問についても参考になると思われる資料があったのでご紹介。
>FBIの証拠が表に出ていたようですが、Torをたどって発信元を突き止めたんでしょうか?

産経新聞系で以下の記事があった。
”片山容疑者の関連先で「なりすましウイルス」作成か 米サーバーに痕跡”
<保管する際に匿名化ソフト「Tor(トーア)」が使われており、サーバーの接続記録から発信元を特定することはできなかったが、ウイルスそのものに関係先の情報が残っていた。>

つまり、Torは破られていないが、Dropboxに保管したウィルス(トロイ)に被疑者の南青山派遣先に繋がる何かが発見されたと解釈できる。
2月16日記事で古いため信頼性はやや?であるが、こういう見方だと現状の説明は付きやすいのではないかと思えたのでご紹介した。
なお、Torから発信元は辿れなくても別要因で発信者が特定できれば話は違ってくるというのは本記事既述の通り。
それと米国の捜査機関や諜報機関の能力については計り知れないというのは昨日記した通りである。

追加以上。