kensyou_jikenboのブログ

yahoo!ブログの同名ブログを移行しました

 隠れた真実3 「したらば掲示板とhttptestman」

PC遠隔操作事件 日記 #練習用
第17回公判で野間氏が「したらば掲示板」の2012年8月1日ログで、ユーザーエージェント「httptestman」によるアクセスログを示していた。ただし、片山氏がテスト用に使った掲示板「auto/6682」ではなく、実際に遠隔操作犯行に使われた掲示板のもので、大阪男性PCからのアクセスと想定できた。
この「ユーザーエージェント」については当ブログ記事”iesysのユーザーエージェント”で検証している。
また、一般的説明は http://s-ej.com/glossary/useragent.html など参照。

iesysが「したらば掲示板」にアクセスする際のユーザーエージェントは「httptestman」という一般的なブラウザとは全く異なる名称になっている。iesysに流用されたと思われるサンプルプログラム(コードは後述)に入っていた名称で、「test」と付いているから文字通りテスト用に仮に入れたものと考えられる。
片山氏は前科時にユーザーエージェントを改変していて、よく知っているはずにも関わらず、そのままにしたのは謎である(第14回公判で「httptestmanは知っていた」と証言…知りながらそのままにしたことになる)。
「httptestman」だと特殊すぎてアクセス出来ないホストも有りうるから、本来はIEやクロームなど一般的なブラウザなどに合わせて置く方が得策と思えるが、iesysのhttptestmanを使うアクセスは「したらば掲示板」専用なので、余り気にせずにそのままにしたのかも知れない。或いはもっと片山氏らしく「どうせ自分には辿り着かない」とたかをくくっていたか。

いずれにせよ、結果的にiesysの「したらば掲示板」アクセスのユーザーエージェントは「httptestman」のままだったのは事実である。
「したらば掲示板」のアクセスログを入手して「httptestman」のユーザーエージェントを持つアクセスを検索すれば、iesys以外からの「httptestman」によるアクセスは殆ど無いと想定され、犯行で使われた掲示板と共に「auto/6682」も容易に抽出される。
「auto/6682」は片山氏が自らのgmailアドレスで開設したとのことでgoogleアカウントの登録内容やアクセスログなどから片山氏を割り出せる。またIPアドレスも判明するからアクセスした回線も分かり、「auto/6682」の場合は自宅・乙社・ネットカフェからと考えられ、いずれからでも片山氏に辿りつける。(「auto/6682」のアクセスはTor使用していないと第14回公判で片山氏も証言)

ただし、野間氏は第17回公判後記者会見で「したらば掲示板のログは1月29日に押収した時の調書が一番最初のようで、それまでは警察はログを入手できていなかったみたいだ。しかもその中で生のログは8月以降のものしかなく、6月7月のものがごっそり抜けている状態だった」と述べていた。その8月以降分から実験的に抽出してみたら、冒頭に記したように犯行に使われた掲示板が見つかったということだろう。(生のログとそうでないログの違いの説明は無かったが、生のログでないと個別のアクセスログIPアドレスが出てこないと解せそうである)

押収がもう1~2ヶ月早ければ「auto/6682」にアクセスしていた7月以前の生のログが押収できて、抽出可能だったことになる。その点を検証してみると、iesysが「したらば掲示板」に接続することが判明したのは2012年9月19日から20日のようで、その経緯が大阪府警報告書にある。
--------------------------
・・・翌19日、本件捜査に従事した当府警サイバー対策室員が三重県警察を訪問し・・・
(三重)A氏のパソコンを再確認したところ、「iesys.exe」という名称のファイルが存在することが再確認され、詳細に解析したところ、「iesys.exe」と関連するファイル内に外部の掲示板への接続を指示していると思われるURLの記載があり、三重県警察押収に係るパソコンを起動した際に同ファイルが自動実行していたことを考え合わせると、遠隔操作ウイルスである可能性が浮上した。
(4) 9月20日、三重県警察との情報交換により、三重県警察において警察庁情報技術解析課から、「iesys.exe」は外部のサーバ等へ接続するおそれがある旨の連絡を受けたことが判明
--------------------------

この時にiesysから「したらば掲示板」のURLが発見できたと考えられ、「httptestman」も同様にすぐ発見できたはずである。
iesysに使用されたと思われるサンプルプログラムのソースコードは以下で、最初の方にユーザーエージェントの記述がある。(このプログラムはrec*lde**des*さんが発見されて教えて頂いた)
HttpWReq.UserAgent = "httptestman"; // ユーザエージェント

ただし、逆コンパイルになるからコメントが取れて< HttpWReq.UserAgent = "httptestman";>になるが、”UserAgent”とハッキリ書かれているので警察の担当官もすぐ発見できたと想定される。
一般的なブラウザの名称とは全く違うから、httptestmanをキーワードにアクセスログから抽出できることも容易に思いつくはずである(ユーザーエージェントによる解析はアクセス解析のごく基本レベル)。しかし、現実にはその時に片山氏に辿り着けていなかったのだから、行われていないと想定される。まさか神奈川県警のCSRFリファラと同じように、これほど簡単と思えることも担当官が気付かなかったのだろうか・・・。

また、抽出することに気づかなくとも、「したらば掲示板」が使用されているのは9月19日にURLで分かったようだから、アクセスログだけは保存期間のこともあり迅速に押収の手配をしたと考えるのが自然である。「auto/6682」が閉鎖された10月7日までは18日間もあり、警察側と「したらば掲示板」側、それぞれの準備期間を含めても、ログは押収出来ていたと考える方が妥当のように思える。(なお片山氏は「auto/6682」について「消したので調査できないのでは、と考えていた」と第14回公判で証言…10月7日は閉鎖というより「スレッド削除」だったと考えられる)

もし仮に実際には7月や6月のログが押収されていて、そこから「httptestman」で抽出する作業をやってなかったら警察の失態は凄いことになる。まさか意図的に8月からの分だけを証拠提出しているなどということは余り考えたくないが、auto6682を使わなくなったと考えられる8月分以降だけ生のログが証拠堤出されているのは偶然なのか? 

野間氏は「したらば掲示板」のログ保存期間を2~3ヶ月ではないかと推測していたが、それだと1月押収なら精々10月分ぐらいまでしか無いはずで、8月分まであったのはどうしてか?ということになる。又警察が「したらば掲示板」のログ押収を考えたのは実際には何時なのか、何故すぐやらなかったのか、何故後で押収する事になったのか・・・???
「したらば掲示板」の運営会社に聞いてみれば保存期間は分かるかもしれないし、実際に本事件で提出したログの期間も分かるかも知れない。もし7月6月分も生のログを渡していたとしたら・・・。
この辺は当方では確認しようがないため、ここまでになるが、押収が遅れた事自体も既に大きな失態と言わざるを得ない。

以上「本来は犯行声明メールの前にも片山氏に辿りつけていた」という重要な話なので、詳細に説明してきた。
しかし、検察官は当方が傍聴した第14回公判被告人質問で、「掲示板は沢山の板の集合体であり、したらば掲示板を使っていると分かっても、警察が全部調査して見つけるのは難しかったのではないか?」という悠長とも思えるような主張を行なっていた。

一般的には難しいと思えても、例えばsatoru氏のような手練れなら、さらっと検索ソフトを作ってしまえるのではないか。警察はその時に熟練の専門家に相談してみたか、或いは公判で証言に立った新井氏のように優秀なサイバー捜査官に検討依頼していたのか。しかも、ログは一旦押収してしまえば消えないものだから、時間をかけて分析できてしまう。

しかし、実際に「したらば掲示板」アクセスログの分析を検討したのかどうかを全く言わずに、「調査して見つけるのは難しかったのではないか?」という疑問文を逆に投げて来ていた。以前の記事で「検察官全体かどうかは別として、今回の担当官は見え見えの詭弁を使う」と書いた一例がこれである。
弁護側の「したらば掲示アクセスログから辿りつけたではないか?」という疑問に対して答えず、疑問で返している。初歩中の初歩の詭弁ですぐ分かってしまう。詭弁を使うのは意図があるからで、「とにかく自分たちの失態はとことん隠蔽する」ということが見えてくる。そのような姿勢が国民のためになるのだろうか。組織内にいるとやむを得ないのも分かるが、これが官僚の組織防衛というものかと、つくづく考えさせられる。

以上
[追記1]
昨日、世間の大方の認識とは違う「隠れた真実」について、本事件に関する本が書かれる時にはどう扱うのだろうかと記した。今日の真実は更に強烈で、「2012年10月頃には片山氏に辿り着けいていた可能性が充分あった」と云う話を、その方法まで含めて説明できる。
しかも当方だけが言っているのではなく、本文でご紹介したように第17回公判や記者会見などで野間氏と佐藤氏も明言している。

これを書いたら、デジタル証拠である「したらば掲示板」のアクセスログ分析で容易に片山氏に辿り着けていたということになって、デジタルとアナログの話などは吹っ飛んでしまう。江ノ島監視カメラ解析の話すら不要。
具体的方法としては、「したらば掲示板」運営会社からログをHDなどで送ってもらって、「httptestman」で検索すれば該当ログが抽出できてIPアドレスも入っている。乙社・自宅・ネットカフェが割り出せる。掲示板開設に使用したgmailアドレスやgoogleアカウントも分かる。

ここまで行けば捜査は概ね目処がつく。机の前に座ったまま出来そうで、まさに「デスクトップ捜査」とでも云うべきか。ついでに片山氏は同種の前科記録も警察に有る(名前変更がどういう扱いになるかは別)。
これでは本の最初の数ページぐらいで、「本来2012年に解決していた」と説明して終わってしまいそうである。神保氏のペン(キーボード?)の力が、この特異な事件の顛末をどう捌くか。

追記1以上
[追記2]
<「したらば掲示板」のログが「当初は『無い』言われていたのではないか」>という示唆を頂いたので、「したらば掲示板」からログを得なくても可能な別系統の検索方法についても記す。
本記事の自己補足コメントでも書いた内容だが、2012年10月10日の2chに <掲示板検索で犯人の書込みが分かるかも知れない> という指摘があり、以下の記事で紹介した。
"したらば掲示板アクセス(httptestman)等" 
<904 :2012/10/10(水) 
おそらく指示の書き込みは簡単な文字列の暗号化がされているはずだから、
したらばの書き込みの中で、犯行予告の書き込み周辺時間に投稿されたおかしな文字列を探せば犯人の書き込み分かるかも。>

この方式に相当する検討は以前に以下記事で行っている。
”野間氏見立て”2014/6/17
<(当方の案として) (1)から(7)まで順に追っていく捜査手法になるが、これだと三重の件で見つかった情報と「したらば掲示板」のログだけで片山氏に辿りつけた可能性があったのではないか。>
ただし、この時はログ入手を前提としていたが、「したらば掲示板」運営会社の方からログが得られなくとも、10月7日閉鎖前までは画面が残っていたのだから、ログが残っているのと同じことになる。つまり、ネット上の掲示板から文字列を収集して、それに検索をかける事が可能になる。

一方検察官は第14回公判で以下のような主張をしている。
掲示板は沢山の板の集合体であり、したらば掲示板を使っていると分かっても、警察が全部調査して見つけるのは難しかったのではないか?>
確かに集合体として膨大であるが、対象期間を6月から9月程度で良いことになるので、まずこれで検索対象の分量が大幅に減る。さらに手法の参考として、2chには「まとめサイト」というのが沢山ある。それ用のソフトもある。同様の考え方で「したらば掲示板」からも画面に表示されている内容を取り出してきて、保存できるのではないか。この辺はIT専門家(例えば生越氏やsatoru氏などや警察が知っている人、或いは新井氏のような優秀なサイバー捜査官もいるだろう)に相談してみれば良いわけだが、それがやられているのか。「したらば掲示板」の内容を取り込むソフトがなくても、優秀な方々は多いのだから短期間で作成できる人もいるのではないか。

そして、先日紹介したようにiesysが発見された9月19日から掲示板「auto/6682」が閉鎖(削除)された10月7日まで18日間も有る。その全部の期間を使えたとは言わないが、仮に10日程度でも使えたとしたら、その間に画面データを取り込んでしまえば良い。一度取り込んでしまえば10月7日の削除があっても時間をかけて検索可能。
(これぐらいの時間があれば、「したらば掲示板」側がもし協力してくれたら、掲示板に表示されている内容を全部HD等に落とすことが考えられたかも知れない。アクセスログと違って掲示板内容だから、削除されてなければ表示できる形で保存されていることになり、「auto/6682」も10月7日削除までは閲覧できる形で残っていたことになる。それを含めた全体を取り出してHD等に保存し、じっくり検索すれば良かった。またこのような確認は「auto/6682」というテスト用掲示板が仮に無かったとしても、他に表面化していない犯行やその痕跡が無かったかどうかなどを調べるためにも行なっておくことは必須だったと思う)

使用された掲示板(auto/6682)が分かれば、その掲示板用の管理者(片山氏)アクセスログから開設に使用されたgmailアドレスが分かる。管理者ログは或る程度長期間残していることは確実と思われるから、仮に10月中に入手できたとしたら6月7月分も入っている可能性は高くなる。また第17回公判で野間氏が「したらば掲示板」の管理者ログ例を示してIPアドレスが入っていたので、少なくとも「auto/6682」を削除した時のログからIPアドレスが分かることになる(削除しても管理者ログはすぐには消さないと思われる・・・実際に野間氏が「auto/6682」ではないが犯行に使われて削除されたと思われる掲示板「music/27190」の8月の管理者ログ例を示していた→このログのIPアドレスはTorだったとのこと)。
削除は自宅OCN回線で行なったそうだから、片山氏を特定できる。(逆に考えると削除が自宅OCN回線と分かったのは、管理者ログからということも推測できるだろう)

つまり、考察が長くなったが、要するに”「auto/6682」が使われたことさえ探し出せば、管理者ログから片山氏自宅回線は容易に割り出せていた”ということになる。

ただし、このような手法が当時確実に出来たとは断言しにくく、当然警察サイドも色々言い分はあると思うので、現時点では「微妙」としておきたいと思う。ただ、このような手法を当時考慮したか、したとすれば実際にどういうアクションをとったか、などは今後のサイバー捜査のために確認しておくべきだろう。
また八木氏が計画していた「ハッカソン」を”「auto/6682」を発見できたか?”を題材にして今からでもやっていただくと、実現性がどの程度であったかわかると思う。できれば警察も協力して、このような検討を行っておくことは今後のために有効と思える。今回のような事件は刑罰だけでなく、それから教訓を抽出して社会のために役立つようにすることは必須事項。

それと、この手法で2012年10月頃に解決出たかどうかは「微妙」としても、次記事”真実4 「取調べ問題とアリバイ」”に記す「もし取り調べが行われていて片山氏がアリバイを問われたら、ずっと黙っているしかなく早期に落ちだだろう」というのは確実で、2013年2月の逮捕から早期に自供に追い込まれて事件としては決着がついていたと想定できる。

追記2以上