【遠隔操作】 トロイではなくJavaScriptのCross-Site Request Forgeries「頭に置いてなかった」 誤認逮捕で県警、誘導は明言避ける★２

1 ：2012/10/21 〜 最終レス ：2012/10/22

★遠隔操作「頭に置いてなかった」　神奈川県警、誘導は明言避ける
　誤認逮捕した少年（１９）に２０日、捜査ミスを認め謝罪した神奈川県警。真犯人に欺かれ、
少年と家族に計り知れない苦しみを与えた捜査経過を幹部らが報道陣に説明した。
　小学校への襲撃予告がわずか２秒間で横浜市のホームページに書き込まれていた点について、
幹部は「捜査段階で疑問を抱いていたのは事実」と話し、捜査を尽くさなかったことを認めた。
　真犯人が仕掛けた、予告文を自動送信するプログラムは
「サーバーから削除されていて見つけられなかった。存在を頭に置いて解析できなかった」と釈明した。
産経新聞　http://sankei.jp.msn.com/affairs/news/121020/crm12102023530025-n1.htm
前スレ　http://uni.2ch.net/test/read.cgi/newsplus/1350765321/
続きは>>2-4
▽関連ニュース
★横浜の小学校襲撃予告　閲覧と同時刻
　「真犯人」を名乗る人物は都内の弁護士に送った「犯行声明」メールで、
「私が関与した事件一覧」と題して以下の通り初めに横浜の事件について詳述している（小学校名は伏せた）。
●６／２９
横浜市ウェブサイトでの、保土ヶ谷区××小学校へ無差別殺人予告事件です。７月はじめに１９歳明大生逮捕の報道がありました。
この件は話題のトロイではなく、単なるＪａｖａｓｃｒｉｐｔのクロスサイトリクエストフォージェリを仕掛けただけです。
明大生は、掲示板に貼ったＵＲＬをたまたま踏んだだけです。以下がその内容の全文です。
（この事件の報道では断片しか発表されていません）
　【横浜市のホームページに書き込んだとする小学校襲撃予告のタイトルや本文などを記載＝略】
〈ＢＲ〉逮捕報道の２日後ぐらいに、全く同じ手口（ＣＳＲＦ）で横浜市サイトに告白文を送ったのですが、
その後どうなったのかは報道が無いので不明です。
産経新聞　 http://sankei.jp.msn.com/region/news/121017/kng12101722540012-n2.htm

2 ：

>>1の続き
　少年は事件への関与を認める詳細なうその上申書を提出。
誘導など不適切な取り調べが疑われるが「その可能性は想定しているが、
あるともないとも言える段階ではない」と明言を避けた。
能力不足を露呈する形となったサイバー犯罪捜査について
「日々新しいものが出てくるので、全てに対応できるわけではない。
何が本物で何がうそか、分からない世界があった」と話した。
以上

3 ：

そもそも犯行予告で逮捕って流れがおかしい。
犯行予告での起訴理由が警察の仕事を増やした「威力業務妨害罪」って時点で
無理矢理作られた犯罪ってことが良く分かる。

4 ：

警察って予告に関してだけは予防で逮捕すんね
イジメや近所づきあいに関しては事件が起きるまで放置なのにさ。

5 ：

この大学生は大学も辞めたんだろ？
警察は土下座と大学側に復学願いの話をつけてこい。

6 ：

真犯人の逮捕は警察の仕事ではないし
弱そうなヤツを犯人に仕立て上げて、点数稼ぐのが仕事だから
そこんとこ勘違いしないでいただきたい

7 ：

誰もが経験があるバーボンやダム板やグロ画像に飛ばされるのと同じ事だよね。
それで逮捕・退学は恐ろしい。

8 ：

マルウェアの99.999999%はWin用だから
Macにすればまず感染しないよ。
防御率99.999999%はどのセキュリティソフトよりも高い。
その上セキュリティソフトを入れておけば防御率はさらに上がる。
今回のiesys.exeだってセキュリティソフトの更新を待つことなく、
Macなら起動しても何も起きない。
Mac用のマルウェアなんて国産はなく、全体の0.0000001しかない。

9 ：

　　　　　　　　　　　　　　　　　　,,,,,,,,,,,,,,,,,,,,,,,,,,,,
　　　　　　　　　　　　,,--―'''""`ヽ'　　　　　　　　￣`ヽ､
　　　　　　　　　　 ／　　　　　　　　ヾ　　/　　　　　　　~`ヽ
　　　　　　　　　／　　　　　　　　　　　ヽ;:　　／"""ヾ　　　ヽ
　　　　　　　 ／　　　　　　　　;:;;:::''''　　　l　/;:;;:::'''　 ＼　　　i
　　　　　　／　　　　　　　　／;:;;:::'''　　　　　　　　　　　ヽ　 ヽ
　　　　　　|　　　　　　　　　|　　　　　　　　　　　　　　　ヽ　　|
　　　　　 /　　　　　　　　;/　　　　　　　　　　　　　　　　ヽ　ヽ
　　　　　/　　　　　　　　;:;:ヽ　　　　　　　　　　　　,,,,;;::'''''ヽ　　|
　　　　　i　　　　　　　　　　/　　,,,,;;:::::::::::::::　　　　　　　__ ヽ　ヽ
　　　　　|　　　　　　　　　　|　　"　　　＿＿　::::　　'"ゞ'-'　|　　|
　　　　　|　　　　　　　　　　|.　　　 - '"-ゞ'-'　::::::..　　　　　 |.　|
　　　　　|　　　　　　　　　;:|　　　　　　　　　　 :::::::　　　　 　 |　:|
　　　　　 |　　　　　　　　　ヽ.　　　　　　　　　(　,-､ ,:‐､　　　|　|
　　　　　　|　　　　　　　／ヾ..　　　　　　　　　　　　　　　　　 |　|
　　　　　　|　　　　　 　　 　|　　　　　　　　　__,-'ﾆニニヽ .　 |　 |
..　　　　　　 |　　　　　　　　`､ヽ　　　　　　　　ヾニ二ン" 　/　 |
　　　　　　　 |　　　　　　　　　ヽ＼　　　　　　　　　　　　　/　　|
　　　　　　　　|　　　　　　　　 　l　　`ｰ-::､_　　　　　　　,,..'|ヽ./
　　　　　　　　ヽ.　　　　　 　　:人　　　　　　`ー――''''' 　/　ヽ
　　　　　　　　/;:;:;:;;:;:;:　＿／　　`ｰ-､　　　　　　　　　 ,.-'"　　 ＼ー-､
　　　　　　　　 　　,.-'"　　＼:　　　　　 ＼　　　　　 .,.-''"　　　　 |
　　　　　　　　　／.　　　　　＼　　　　　　　 ~＞､,.-''"　　　　　　|
　　　　,,..-‐'''""　　　　　　　　ヾ　　　　,.-''"| 　　　/――――､/
　 　　　　　　　　　　嘘は嘘であると見抜ける人でないと
　　　　　　　　　　　（掲示板を使うのは）難しい

10 ：

＞幹部は「捜査段階で疑問を抱いていたのは事実」と話し、捜査を尽くさなかったことを認めた。
え、なんなのこれわ
これってつまり「捜査が面倒だったら手頃なヤツを犯人として検挙します」って宣言してるようなもんじゃん
サラっと言ってるけど、事の重大性が理解できてないの？
警察からしたらただの誤認逮捕でも、
一般人からしたら、警察の都合で人生滅茶苦茶にされるとか、とんでもなく恐ろしいんだが

11 ：

サイバー対策室のメンバーは、全員辞表を書こうな。

12 ：

犯行声明全文
http://gigazine.net/news/20121021-iesys-exe-mail/
・名前　鬼殺銃蔵（おにごろしじゅうぞう）
・メールアドレス　kichigai@schoolkiller.com
「SHOOLL KILLER　学校殺死の酒鬼薔薇」を髣髴とさせる
メアドは今回初めて出てきたよな？
「きちがい」ってのが、ネラーっぽいなｗｗｗ

13 ：

>>8
田舎の民家は鍵すら付けてないが、盗難ゼロだからなｗｗ

だが田舎は不便だ

14 ：

ケーサツ、ケーソツ、ＩＴ無知無能の役立たず
もっともＩＴ事件に限らず警官不祥事とか
市民の訴え放置での殺人事件頻発とか
たんなる税金ドロボウ集団になりつつある気がする

15 ：

ようするに当初言ってた無料画像ソフトてのは根も葉もないデッチアゲということですね？

16 ：

俺の知り合いも取り調べで、厳しい言葉と優しい言葉を
繰り返し永遠に言われ、頭がおかしく成りかけたと言ってたなぁ。
角田事件のマインドコントロールの手口と全く一緒だよな。
自白させた件の捜査本部儲ければいいのに・・・。

17 ：

カレー板によく飛ばされる私は要注意

18 ：

とりあえず、ここに犯人出てこいやっ!！

19 ：

>>3
調子に乗ってなにテキトーな理屈並べてんだよ
犯罪予告でみれば普通に逮捕でいいわ
犯罪予告で逮捕できないんならRの脅迫が合法になるだろ

20 ：

>>15
そう言えばそんなこと言ってたね
もう遠い昔のヨーダ

21 ：

捜査において最も気をつけなければいけないことは、「思い込み」
この基本中の基本が警察全体において欠けているのではないか
などと偉そうに説教してみるテストw

22 ：

ケーサツは捜査テクを晒したくないからワザと頭悪いフリしてるのかと思ったら本当にアホだったでござる

23 ：

>>1
こんなの今までいくらでもあったタイプなのに
頭にない
ってのは知らない
ってことだろ。

24 ：

>>19
それは別の犯罪
テキトーな理屈並べてんのはお前w

25 ：

この方法で２ちゃんねるにもカキコできるのか？

26 ：

かなり前に変なURL踏んだらデスクトップ画面のSS撮られて自動的にアップロードされる奴なかたっけ
遠隔操作？アホかと・・・

27 ：

>>24
は？

28 ：

>>8
iPhoneのWiFiを遠隔ON/OFFしてるAppleが一番怖い。

29 ：

>>14
何故わざわざ税金を収めてまで冤罪製造装置を維持しなければならないのか

30 ：

要するに、Java切っておけば安心?

31 ：

いつものように２ちゃんねるのせいにしてバッシングしないのか

32 ：

>>19
脅迫は脅迫罪

33 ：

http://sankei.jp.msn.com/region/news/121017/kng12101722540012-n2.htm
↑
これ踏んだだけでやられたようなもんか？
もう2chでも他でも何一つ踏めないな

34 ：

この方法だとウィルス関係なくね？
ところで、そういえば山崎渉ってなんだったんだろうな？

35 ：

>>4
事件が起きても基本的に被害届は門前払いするよ。
刑法犯罪の実数って、警察が発表する認知件数の百倍どころではないと思う。
認知件数を減らせば減らすほど、「犯罪を減らした」として警察幹部の評価が高くなるシステムである以上、門前払いは続くだろうな。

36 ：

つーか、予告日に家を監視して当事者が何もしなければ無罪でええやん。
殆ど実行なんてしないんだから。逮捕自体が憲法違反。

37 ：

>>12自己レス
名前の読み方を書いてる辺りも酒鬼薔薇っぽい
＞報道人がボクの名前を読み違えて「鬼薔薇」（オニバラ）と言っているのを聞いた
＞人の名を読み違えるなどこの上なく愚弄な行為である。
名前を読み間違われるのを極端に嫌っているようだ。
鬼殺銃蔵を「きさつじゅうくら」とでも読んだら、激怒して再度メールを送ってくるかもしれない。
そのときはボロを出すかも…

38 ：

>>33
さすがに2chじゃPOSTできるようなjavascriptを含むリンクは貼れないだろ
まあ未知の脆弱性はあるかもしれんが

39 ：

リンクも踏めない掲示板なんて…　ソース不要の言いたい放題だな
ν速関連一度整理したら？

40 ：

http://www.whitehackerz.jp/blog/?p=918
2012年6月29日
CSRFを踏ませるURLを２ちゃんねるへ書き込み。
横浜市へ小学校襲撃を予告する書込みが行われる。
2012年7月1日
神奈川県警が威力業務妨害容疑で杉並区男性を逮捕。
http://d.hatena.ne.jp/yjochi/20121021
>逮捕報道の２日後ぐらいに、全く同じ手口(CSRF)で横浜市サイトに告白文を送ったのですが、
>その後どうなったのかは報道が無いので不明です。
なるほど、真犯人が横浜市に告白文を送った時に前後して既に逮捕してるのか
だから、
１）警察が告白文を無視した
２）横浜市が告白文を無視した
３）エラーで告白文が送られなかった
４）真犯人が嘘をついてる
どれ？

41 ：

うっかりPCでURL踏めないな。
ヤバいURL見分けるコツってないの？教えてエロい人。

PC使うなは無しなw

42 ：

>>30
無能なにっぽんの警察が反省すればいいだけ。
市民が無能で馬鹿な警察に合わせる必要は何一つ無い。
それが無理なら、日本にも金盾を立てよう。
民主主義の敗北という意味で。

43 ：

>>30
だから、お前レベル奴は電源きっとけとｒｙ

44 ：

>>38
あるサイトに誘導させて、そこで自動実行させてただけじゃね？
なんらかの対処してる人間は何も被害ないけど
例えば、いまさらie3とか使ってたら、穴を疲れるとかさ

45 ：

>>41
JAVA、JS、プラグイン、リファラを切ってから踏め
簡単にON/OFF切り替えるにはPrefBarが便利

46 ：

>>36
業務妨害罪になるらしい。
同じような事件を防ぐために（再犯防止）に逮捕は必要だとは思うが、
今回は警察の点数稼ぎっぽい様相もなきにしもあらずのようにも感じるね

47 ：

管理の甘い掲示板に貼られた変なリンクを
踏んだら人生終わるな。

48 ：

フォージェリって要するに何？

49 ：

適当なお前らの中から仕事なくて時間有り余ってるやつを見つけ出して、
警察の代わりにネット犯罪の捜査させたほうがまだ効率的な気がしてきた。

50 ：

JavaとJavaScriptは違うんだよね。
とにかく、あらぬ疑いをかけられたら死ぬ気で否定し続けるしかないのではなかろうか？

51 ：

風営法のボスは最強です

52 ：

メンツの為に星を挙げようとムキになってるんだろうけど
結局は無能さをさらけ出しただけだったな

53 ：

>>48
偽装

54 ：

明大生が２ｃｈをやってたってことか
しかもウイルス関係なく釣られたとな

55 ：

そういえば最近勝手に起動してクラッシュしてることがあるんだけど
なにか感染してるのかしらｗｗ

56 ：

firefoxでNoScript入れときゃ大丈夫だったんかのー

57 ：

面子の為にセキリティー会社が頑張って捜査代行をしていますｗ

58 ：

JavaScript切っても完全には安全にならないよな。
「エロ画像はこちら！」みたいなリンク（サムネイル画像でも可）を貼っておいて、クリックしたら掲示板に「○○爆破する」
みたいな書き込みをできるようにするサイト（JavaScript不要）なんて、Webの知識がちょっとあればできちゃう。
掲示板側が自動書き込み対策していればいいけど、そうじゃない掲示板に対しては出来てしまうな。

59 ：

>>44
短縮URLは踏まないもしくは事前に展開するぐらいは必要だな

60 ：

>>48
forgeryなんて単語は入試にも出ないからな
alcの辞書ではレベル12
もう少し簡単な単語を使ってほしいと思うよ

61 ：

今日、アップルが「アップル製品からJAVAを排除する。入れたい人は自己責任でどうぞ」と発表したばかりだ。

62 ：

>>30
JavaじゃなくてJavaScriptを無効にする。
「ブラウザ javascript 無効」あたりで検索すれば出てくると思う。
ただし、トロイの木馬はJavaやJavaScriptとは関係ないので、それでは防げない。

63 ：

>>49
時給2,000円より承ります。
交通費と勤務時間内の食事代は別途頂戴いたします。

64 ：

iframeなのか、もったいぶるなよ

65 ：

>>55
IEだろう？
メモリをバカ喰いして何か送ってるんだろうよ

66 ：

>>61
林檎すごいな
アンドロイドに替えようと思ってたがもう一回アイフォンでいいか

67 ：

短縮URLは完璧とも言える隠蓑だもんな
もうどうにもならんよ

68 ：

>>61
>>66
さんざん既出だが、JavaScriptとJavaは違いますｗ

69 ：

誘導や強要があったかどうかは、水掛け論になる。取り調べの全面可視化はやはり必要。

70 ：

ふぅ…

71 ：

お前の頭は、制帽ぐらいしか置いてないのだろう。

72 ：

JAVA SCRIPT 切ると　goolemap すらみれない気がするんだが（´・ω・｀）

73 ：

>逮捕報道の２日後ぐらいに、全く同じ手口（ＣＳＲＦ）で横浜市サイトに告白文を送ったのですが、
>その後どうなったのかは報道が無いので不明です。
誤認逮捕どうこうよりも、問題なのはこれな気がする
都合が悪いから無かったことにされてるんだな

74 ：

何が本物かうそかわからないなら逮捕するなよ・・・

75 ：

アップルのステマってユーザーに脅威を与えてもお構い無しなんだなw

76 ：

>>27
は？じゃねぇよバカｗ

77 ：

サイバー対策室ってさ、
「僕、ワードとエクセル（方眼紙）得意です。」
って言う人がやらされてたりするんじゃない？

78 ：

>>38
この場合、2chに貼ったリンクは一件何の変哲もないリンク
→踏んだら、遷移先で横浜市のホームページへの書き込みを自動実行する処理が走る（JavaScript）
横浜市のホームページ側も、自動書き込み対策が出来ていなかったのも一因と思われる。

79 ：

>>77
今はパワーポイントだろ？ｗ

80 ：

>>63
交通費ってお前家から一歩も出ないだろ

81 ：

おまいらもTorで発信元を隠避すりゃいいじゃん。
それなら、XSS踏んでも痛くないよ。
犯罪をするためじゃなくて、誤認逮捕されないために
発信元を擬装しなきゃならんのは本末転倒だけどｗ

82 ：

警察による証拠の捏造事件
無実の人が捏造する理由はなく、そもそも知らない事を書くことはできない。
なのに動機や経緯が細かく記載されている。
その後に真犯人が出てきており、完全に警察による証拠の捏造の事実がある。

83 ：

脆弱性を放置していた横浜市にも責任はあるな。

84 ：

とりあえずgoogleの短縮URLは踏まないこと
goo.gl/をNGワードにしておこう

85 ：

ここまで来ると、警察による犯罪の捏造だろ？
虚偽R罪での立件も可能なんじゃないの？

86 ：

昔は「javascriptは危険だから切る」みたいな風潮もあったけど、
ここまでWebがJSに依存してるとそれも無理だから、
結局は「怪しいURLは踏まない」という根本的な所に行き着くことになる。
どっちかというと必要なのは危険性の啓蒙だと思うなぁ。

87 ：

ｷｮﾝｷｮﾝ＜これだから警察は無能なんだ

88 ：

>>81
遅くて使い物にならん。

89 ：

>>4
わいせつ罪なんて被害者がいなくても逮捕される。

90 ：

この事件だけで
４人も強制的に嘘の自白をさせられてんだろ
警察がどんな恫喝をしたのかは知らんけど
自白は証拠にならないようにした方がよくね？
刑務所入ってる中にも相当冤罪がいるんだろうな

91 ：

>>72
必要な場合だけONにするんだよ
もちろん普段から使っているサイトは常に許可みたいな感じで登録することもできる

92 ：

visual studio 2010 を使ったプロの犯行とは別の話？

93 ：

>>86
ここまでネットの規模が大きくなると、怪しいURLを見分けるというのも無理な話になってる

94 ：

誤認逮捕で、他人の人生終わらせておいて。
誘導尋問と自供強要は認めない。誰も責任取らない。では済まされないよ。
そんな事だから、在日米軍だってR犯ですら、日本の警察には引き渡しを渋るんだ。

95 ：

>>19
Rの脅迫は威力業務妨害罪じゃないんだよｗ

96 ：

情強はみんな、ノースクリプト入れてるよ

97 ：

JamaScript

98 ：

百歩譲って誤認逮捕は仕方ないとしとも
問題は自供の強要と捏造だろ

99 ：

見に覚えのない事で逮捕されるわ、
いかつい性格最悪のオッサンどもに延々恫喝されるわ
嘘の自白させられるわ、大学は退学になるわ
人間不信になって自殺してもおかしくないな
就職失敗で自Rる例が後を絶たないというのに

100read 1read

1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲

【マスコミ】NHK受信料不払いで３５人に強制執行申し立て[12/10/18] (495)
【尼崎事件】角田被告の手下・李容疑者（体重１３０キロ）は暴力装置、死体遺棄直前もビフテキランチ大盛りをペロリ★3 (247)
【尼崎・遺体続々】「周囲の住民みんな角田に怯えていた」…高松では近隣住民までもが恐怖の支配下に。警察に届けても事件化ならず★１０ (361)
【ＮＨＫ】 韓国政府「日中韓３か国の新たな協力に関するアイデアを国民から集め、日本や中国と共有していきたい。例えば…」★３ (979)
【政治】 "国籍による差別だ。との批判でてたため" 生活保護の在日外国人、国民年金保険料が全額免除に…厚労省★８ (664)
【歴史】大戦中に「ビルマ」の土に埋められた英戦闘機スピットファイア、70年ぶり発掘へ (471)
--log9.info------------------
どうして2Dシューティングゲームは廃れたのか 36 (626)
【PS3/Xbox 360】蒼の英雄 Birds of Steel 24機目 (863)
【XBOX360】ギンガフォース (488)
PCで出来る2Dシューティング総合スレ90 (536)
Rァードラグーンの山車総合スレ４２ (692)
ZANAC ザナック　2番 (828)
エスプガルーダ stage38 (230)
パロディウス・シリーズ Part6 (941)
【東方？】ガレッガ神威スレ3【雑魚専用ゲー？ｗ】 (948)
CAVE総合スレ98 (846)
飛鳥＆飛鳥と阿修羅ブラスターについて熱く語るスレ (854)
【ラジルギノア】マイルストーンpart14【カラス】 (321)
【歯ｶﾞﾀｶﾞﾀ】DXP-ﾙﾝﾍﾟﾗｰ吉田屋 2【在日浮浪者】 (942)
バクテリアン≠ベルサー≠バイド (463)
ｴｰｽｺﾝﾊﾞｯﾄのｽﾚはｺｺ! 第118戦術航空隊メビウス (440)
ケツイ 絆地獄たち [98] (465)
--log55.com------------------
GTX950
Kaby LakeかRyzenどっちに乗り換えるかの相談スレ2
【MoDT】 Yonah Merom Penryn Part29【Core/Core2】
SilverStoneのPCケース29
【Iパス】IT資格の難易度ランキング【基本情報】
【Kabini】AMD 省電力APU総合 Part29【Beema】
【京都】自作事情を語ろう〜五十五条【寺町】
AMD厨「Ryzenすげえ！ジムケラー天才過ぎるだろ！」