2012年1月26日(木曜日)
CSRFで逮捕者が出たらしい話
公開: 2012年2月7日1時35分頃
こんなお話が……「アニメサイト運営でトラブル ウイルス作成罪初適用、男逮捕 (www.itmedia.co.jp)」。
各紙の報道によると、男は「さっさと閉鎖しろ。さもないと、お前の両親を殺して家を燃やす」という文言を自分が運営しているサイトに書き込むプログラムを作成し、あるサイトに埋め込んだ。
男は神奈川県の男性と共同でアニメサイトを運営していたが、運営方法をめぐって男性とトラブルになっていた。男は男性にメールを送り、不正プログラムを埋め込んだサイトに誘導。アクセスした男性が脅迫的な文言を自分のサイトに書き込んだように見せかけた上で、府警に「脅迫された」などと相談していたという。
府警が発信記録などを調べたところ、不正プログラムがサイトに埋め込まれていたことが分かり、犯行が発覚。まず不正プログラムをサイトに埋め込んだ不正指令電磁的記録供用の疑いで25日に逮捕し、男がプログラムの作成を認めたため、作成容疑でも送検した。
なんというか、いろいろツッコミどころのある話ですね。
URLを踏むと別サイトに書き込みが行われるということで、手法としてはCSRFのようです。これのどこが「ウイルス作成罪」なんだ、というツッコミが聞こえてきそうですが、「ウイルス作成罪」というのは俗称です。条文では「ウィルス」という言葉は使われておらず、「不正な指令を与える電磁的記録」とされています。これは世間一般の「ウィルス」のイメージ概念よりも、もっと広範囲な概念です。
CSRFは不正アクセス禁止法では処罰できないと言われていた (参考: 「ハマチをちゃんとテリヤキにするのは難しい (takagi-hiromitsu.jp)」) わけですが、それが新設された「不正指令電磁的記録に関する罪」で摘発されたというのは興味深いですね。
※しかし、「ウィルスに感染させた」などと報じてしまっているメディアもあるようで。おそらく、状況を理解せずに「ウイルス作成罪」だからウィルス感染、と短絡的に考えてしまったのでしょう。これは誤報に近いレベルだと思いますが……。
しかしこの話、CSRFとしては特殊な事例というか、独創的というか。強迫されたように見せかけて陥れようとした自作自演というのがすごいですね。
警察に「強迫された」と相談すれば、警察はISPにログ開示を求め、発信元のIPアドレスから脅迫者が判明……というシナリオを描いていたのでしょう。しかし冷静に考えると、警察は犯行の投稿をした前後の犯人の行動も調べようとするはずです。他にも同種の投稿をしているかもしれませんし、動機に繋がるような何かがあるかもしれないからです。そして、これをちゃんと調べたなら、通常のフォームからは投稿していないということが分かってしまうはずなのですね。
通常は、まず投稿フォームにアクセスして、文章を書いて、そして投稿となります。しかしCSRF攻撃の場合、他のサイトからいきなりPOSTされてくることになるので、投稿フォームへのアクセスの記録が残りません。……まあ、もっとうまくやる方法はあるので、常にログで見分けられるとも限らないわけですが。
- 「CSRFで逮捕者が出たらしい話」にコメントを書く
- 前(古い): 2012年1月25日(Wednesday)のえび日記
- 次(新しい): 2012年1月27日(Friday)のえび日記