kensyou_jikenboのブログ

yahoo!ブログの同名ブログを移行しました

したらば掲示板アクセス(httptestman)等

日記 #練習用
今週10月9日(木)公判は野間氏が証言に立って、特別弁護人から見た本事件について証言するとのことで、当方も本日は久しぶりに雲取山から離れ、デジタル面で気になっていることをメモしておく。

(1)したらば掲示板のアクセス
8月11日記事”第14回公判の残事実”で、「したらば掲示板」アクセスについて以下の証言をご紹介した。
(ⅰ)auto6682のアクセスはTorを使用しなかった。
(ⅱ)したらば掲示板アクセスで、ユーザーエージェントが「httptestman」であることは知っていた。
更に以下の証言もあった。
(ⅲ)(弁護人の「auto6682に辿りつけたのでは?」という質問に対して…) 消した(閉鎖した)ので出来ないのでは、と考えていた。
(ⅳ)auto6682で回線が分かってしまう。もし9月10日(この日の三重犯行でiesysが消せなかった)以降、警察の捜査で気づかれていたなら、「自分も遠隔操作されていたのでは?」と言うつもりだった。(その時点ではauto6682は閉鎖してなかった)
(ⅴ)捜査線上に上がることは9割5分ないと思っていた。
  (弁護人の「辿りつけた可能性もあったのではないか?という質問に対して…) あった。
--------------------------------

当方が上記証言から受ける印象では、どうも違和感がある。
例えば、「捜査線上に上がることは9割五分ないと思っていた」というなら、感覚的な数字とはいえ5%も逮捕される可能性がある。そして弁護人から「辿りつけたのではないか?」と聞かれて肯定している。9月時点で既にそのような認識だったとしたら、もっと慎重にその後の行動を行なっていたと思えるが、実際は次の派遣先でも事件関連キーワード検索履歴などを多数残したりしている。
こういう何かしっくりしないところも、自供後でさえ「片山氏の証言をそのまま受け取っても良いのか?」という疑問につながる(雲取山は既に偽証があることが明らかになっている)。

またアクセスにTor使用していなかったということなのに、auto6682の閉鎖が10月7日というのも本来非常に解せない行動である。辿り着ける可能性も僅かながらあると考えていたら、iesysの開発は終わっていたのだから不要になった事件関係の掲示板などはすぐに閉鎖するのが当然と思える。
だが、閉鎖まで時間があったから、警察が「したらば掲示板」のログを入手して、「httptestman」で検索すれば10月7日以前であれば、片山氏使用回線に容易に辿り着けつけたことになる。(完全に特定できなくても、「httptestman」は普通に使われるブラウザのユーザーエージェントとは全く異なり、iesysに流用された通信ソフトの開発者が試験用に付けた名前のようなので、少なくとも容疑がある書込みを相当狭い範囲まで絞り込めただろう)

しかし、検察官は「掲示板は沢山の板の集合体であり、したらば掲示板を使っていると分かっても、警察が全部調査して見つけるのは難しかったのではないか?」という悠長とも思えるような主張を第14回公判被告人質問で行なっていた。
一般的には難しいとしても例えばsatoru氏のような手練れなら、さらっと検索ソフトを作ってしまえるのではないかとも思える。弁護側は、協力者を探してそのようなソフトの作成例を示すようなことも出来るのではないか。また野間氏や仲間の方々も出来てしまうのではないか。

なお、「auto6682」のアクセスにTor使用せず、更に9月10日三重犯行でiesysを消せなくて「したらば掲示板」使用が見破られる可能性が出てきた時点から、10月7日まで1ヶ月近くも存続させたのは余りにも無防備。
実際2chに以下の様な書き込みがあった。
--------------------------
”【速報】遠隔操作ウイルスのURLが嫌儲民によって特定される”
854 :2012/10/10(水) 20:49:33.87 id:QYp27XBI0
マルウェアは、以下の電子掲示板システム(BBS)にアクセスし、不正リモートユーザからのコマンドを
送受信します。
これってどこの掲示板か分からないの?
犯人はこの掲示板に書き込んで指示を出していたわけだからこっちのログ探ったほうがいいと思う。
指示の書き込み自体は絶対に串さしてると思われるが、必ず何らかの形で生でアクセスはしてる。
単純な読み込みまで串を刺し続けない。人間徹底はできないもの。
この掲示板のアクセスログをよーーーく見れば怪しい生IPが一つあるはず。
実行ファイルさえあれば掲示板特定はできるがもう残っていないな。。。
ちなみに犯人は必ずこのスレ見てるよ。経験上。
マジでガクブルしてる。

873 :2012/10/10(水) 20:53:07.95 id:P6EF+VRy0
>>854
したらばはそれに一致する形式だな。.or.jpじゃなくて、livedoor.jpなら。

904 :2012/10/10(水) 20:57:44.43 id:QYp27XBI0
>>873
おそらく指示の書き込みは簡単な文字列の暗号化がされているはずだから
したらばの書き込みの中で、犯行予告の書き込み周辺時間に投稿されたおかしな文字列を探せば犯人の書き込み分かるかも。
JPEGに指示埋め込みとかしていたらちょっと厳しいが、、、
わざわざ書き込み代行使うくらいだから犯人は低スキルの高校・大学生と思われそこまでしていないはず
--------------------------

10月10日20時は、まだ2度めの犯行声明メールは出されておらず、その内容は世間に知られていない。上記2ch書込みは、それ以前の以下の様な報道やウィルス対策ソフト会社の解析結果などを元にしている。
”PC遠隔操作ウィルスは2ch経由で感染したことが判明”2012/10/10(水) 15:09

このような報道があって、すぐに上記のような着想を持つ人がいるわけである。10月10日ではauto6682は閉鎖されていた。しかし、警察のサイバー捜査官の中に同様の発想が出来る人がいれば、三重の犯行でiesysが入手出来て「したらば掲示板」使用が判明した時に全体検索していれば、auto6682はまだ残っていた。しかも前述のようにアクセスにTor使用していないから回線特定は容易。
(「したらば掲示板上で暗号化された指令(コマンド)文字列を検索すれば辿りつけたのではないか」というのは、2014/6/17記事「野間氏見立て」で当方が提起した方法と同じ考え方になる。但し、「httptestman」での検索の方が簡単で早いと考えられるが、上記の2ch書込みは「httptestman」のことを知らない段階で、すぐに文字列検索による方法が提起されている)
 
また、「この掲示板のアクセスログをよーーーく見れば怪しい生IPが一つあるはず。」、「犯人は必ずこのスレ見てるよ。経験上。」は、皆さんも怪しさを感じられたと思うが、犯人が書き込んだ可能性もあるようなリアルな書き方である。それを受けて同スレに以下のような書込みもあった。
 866 ::2012/10/10(水) 20:52:05.68 id:DbUQ6F/C0
 >>854
 経験上?逮捕されたことあるの? 

犯人書込みかどうかの真偽は別として、このような書込みのIPアドレスも警察は調べたのだろうか。プライバシーの問題があるし、2chがアドレス開示するかどうかは不明。しかし、後日警察は2ch強制捜査に入ってログ押収している。そのログの中にこのような「犯人と関連するかもしれない書込み」も含まれる場合、警察としてどのように扱っているのだろうかという点も疑問として出てくる。

更に、旧本名のTwitterの存在は当ブログで何度か紹介しているが、今まで開示証拠や公判等でその話は検察側・弁護側から一切出てきていないと思われる…旧本名使用の動機などは本事件に関係する可能性もあるだろう。また、片山氏はヘビーな2chユーザーだから、過去から多数あるはずの書込みを警察は収集分析しているのだろうか。2chは開示要請に応じなくても、前述のように強制押収も行なっている…但し、どの範囲まで押収しているかは不明。更に、フェイスブックなどのSNS等も対象に出来る。片山氏の書いたものは、特に心理面での分析に有効だろう。

(2)リアルタイム検索
第15回公判で以下の様な証言があった。
<イタリア旅行は10人くらいのツアー。凄く不安で、昼間から酒を飲んで不安を抑えていた。現地のプリペイドSIMカードを買って、10分おきくらいにYahoo!リアルタイム検索をチェックした。母にメールも出した。母からの返事でマスコミや警察の訪問がないことを確認しないと気が済まなかった。

「10分おきくらいにYahoo!リアルタイム検索をチェック」という行動を警察は把握できなかったのだろうか。海外だから難しかったのかも知れないが、犯人であることを示唆するような行動となり、特に10分おきというのは頻繁過ぎて有罪心証構築に相当寄与する要因になったのではないか。
また、「母にメールも出した。母からの返事でマスコミや警察の訪問がないことを確認」ということで、片山氏や母親のメール等は押収しなかったのだろうか。
もしこのような情報収集や分析が行われていなかったとすると、大捜査体制を組んだ割には捜査のやり方に疑問が生じてくる。

以上