iesysのユーザーエージェント

公判でiesysのユーザーエージェントは「httptestman」と明らかにされ、先日紹介した「VirusTotal」のスキャン結果でもユーザーエージェントは「httptestman」という記載になっている。

これについてrec*lde**des*さんから、＜したらば掲示板に対する指令のやり取りのユーザエージェントが「httptestman」＞というコメントを頂いている。

それに対して、2chからのアクセスログ開示内容を見ると、三重だけでなく愛知と神奈川も含めて、「httptestman」ではなく一般的なユーザーエージェントになっている。（各犯行のログ開示抜粋を後の方に添付する）

iesysは隠しブラウザで2chにアクセスしていたと見られるので、それのユーザーエージェントが2chサーバーのログに残ったと考えられる。

また、三重の被害者は2ちゃんねる専用ブラウザ「Jane」でアクセスしていて、ID被りを発見している。

これら2chアクセスのユーザーエージェントを表にまとめてみた。

結果的にiesysの動作としては以下の2種類のユーザーエージェントを使用すると考えられる。

　(1)したらば掲示板アクセス … httptestman

　(2)2ch等のアクセス…VisualStudioの「WebBrowserコントロール」のユーザーエージェント

ただ、これでも不思議な点がある。

例えば、上表で愛知はIE6で、神奈川と三重はIE7になっている。

隠しブラウザはVisual Studioの「WebBrowserコントロール」を使用していたと想定されるが。これを当方で実際に動かしてユーザーエージェントを調べたところIE7だった。

ネットで調べても「WebBrowserコントロール」のデフォルトはIE7という情報があり合致している。

実際に使用しているブラウザとの関係では、当方が使用しているのはIE11であり、それでも「WebBrowserコントロール」を使ってアクセスするとIE7になった。つまり、「WebＢｒｏｗｓｅｒコントロール」は普段使っているIEのバージョンに合わせてユーザーエージェントの該当部分を自動的に変更することは無いようである。

ただし、NTx.xと32or64bitの部分は当方使用のOSに合わせて自動的に変わっていた。

それで愛知だけがIE6ということは、iesysが「WebBrowserコントロール」のIEバージョンをデフォルトのIE7から書き換えたのだろうか。

iesysには「デフォルトのインターネットブラウザの取得」という機能があるとのこと。

この場合のデフォルトは被害者が実際に使用していたブラウザの事になり、そのユーザーエージェント情報を取得して、それに合わせて書き換えていたのか。

しかし、そこまで実際に慎重を期していたかどうかは不明であるが、片山氏は前科の事件の時にユーザーエージェントの書き換えを行っていたと見られるので知識は持っていたと考えられる。

本事件では書き換えたかどうかも含めて、ユーザーエージェントをどのようにしていたのか、今後遠隔操作の手法の全貌が語られていく中で明らかにされることを期待。

また、上表で三重のiesysによる2chアクセスのユーザーエージェントはIE7であり、仮に被害者がJaneStyleでアクセスしていてデフォルトのままだったとしたらIE6だから、ログで違いが分かることになる。

JaneStyleでの選択肢は現時点で以下のようになっていて、これらを含めても三重の2chアクセスのユーザーエージェントと一致するものはない。（ただし、三重の被害者が使用していたJaneの種類やバージョンは不明）

もし、ユーザーエージェントに違いがあって警察がそれに気がつけば、「ID被りで自分とは別のアクセスがあった」という被害者主張の裏付けになって、誤認であることがもっと早く分かった可能性もあるだろう。(警察は気付いていたのかも知れないが)

なお、本事件で2ch書き込みによる犯行予告は前述のように愛知・神奈川・三重の3件であるが、その中で愛知と神奈川では(誤認)逮捕が行われたという情報はないと思う。

何故2ch犯行予告でも逮捕無しと有りに別れたのか。この経緯も今後明らかにしてもらいたい内容である。

--------------------------------

（以下は2ch アクセスログ開示のスレから抜粋を参考に掲載）

”犯罪予告をするアフォな人。 part3”

http://qb5.2ch.net/test/read.cgi/sec2ch/1192508451/

(1)愛知(コミケ)

366 ：削ジェンヌ ★：2012/08/09(木) 14:57:55.12

既にその名前は使われています<><>2012/08/09(木) 10:41:15.25 04Keirzp<>今週末、コミケでマジで大量殺人/p=56317/<><>fw.hayatele.co.jp<>219.99.157.195<><>Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; BTRS124447; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E; InfoPath.1) NINJA||0|NINJA

(2)神奈川(AKB)

375 ：削ジェンヌ ★：2012/08/30(木) 08:00:53.28

名無しさん＠実況は禁止です<><>2012/08/29(水) 20:21:09.39 2G3Sl8ZH0<>== ぶっ殺す == <br> ９がつ２に/p=62709/<><>pl085.nas935.p-kanagawa.nttpc.ne.jp<>124.154.156.85<><>Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/6.0; .NET4.0E; .NET4.0C; .NET CLR 3.5.30729; .NET CLR 2.0.50727; .NET CLR 3.0.30729; InfoPath.3) NINJA|Dakb1346238840036261|2|NINJA

(3)三重(伊勢神宮)

383 ：２ちゃんねる ★：2012/09/11(火) 19:47:53.99 三重県伊勢警察署生活安全課より

名無しさん＠京都板じゃないよ<><>2012/09/10(月) 15:34:38.76 fs3lB/Hl<>伊勢神宮に放火することに決めた/p=59630/<><>i60-36-209-84.s02.a024.ap.plala.or.jp<>60.36.209.84<><>Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E) NINJA||0|NINJA

----------------------------------------

更に参考資料としてユーザーエージェントの一覧を紹介しているサイトの例を示す。

http://www.red.oit-net.jp/tatsuya/java/browser/useragent.htm

http://utaukitune.ldblog.jp/archives/65696057.html

http://www.openspc2.org/userAgent/

http://s-ej.com/glossary/useragent.html

以上