140516Friday
■[enkaku]遠隔操作の真犯人(と名乗る)人物からのメールが今回も来てた件
よく見たらメールきてたー。本文に関しては既出ですが、真犯人らしき人物からのメール本文&ヘッダを公開します。
犯行予告関連のキーワードが入っていたので、予告inメールとして処理されていて気づくの遅れました。。
自分なりの分析をしてみた。下記のような点をまとめてます。
- ■今回のメール本文&ヘッダー
- ■過去のメールまとめ(ヘッダ+本文)
- ■送信元メールアドレス onigoroshijuzo2014@yahoo.co.jp 現在はすでに削除済み
- ■メールの送信先一覧は前回と全く同じ25名。(※ただし情報は過去に流出した可能性あり)
- ■メールの送信日時が今回は夜型じゃない点
- ■メール送信元 mp76f1fa5d.ap.nuro.jp(118.241.250.93)。踏み台?新たな被害者?
- ■今回はWebMailじゃなく、SMTPから送信されている可能性
- ■検証:Yahoo!SMTPから送信してみると、今回のヘッダーにほぼ一致するものが作成できた ←追記(5/17)
- ■検証:Recieved (118.241.250.93 with plain)の"plain"の意味 ←追記(5/17)
- ■検証:メールヘッダーのrecievedのHELOに指定しているIPの謎→ISP Shared Address ←追記(5/17)
- ■件名長すぎ=205文字。何らかの暗号?メッセージ?
- ■検証:件名の分断の癖からメーラーが特定できる可能性 ←追記(5/17)
- ■検証:件名は何かの暗号?件名を忠実にデコードする ←追記(5/17)
- ■アカウントの変化。今回は『onigoroshijuzo2014』
- ■秘密の暴露の2番目「部落解放同盟」の内容は秘密の暴露になってない
- ■独特な「三点リーダー」が使われず、正常になった
- ■2chの『保方銃蔵メール』関連スレ一覧 ←追記(5/17)
- ■Message-IDに[@email.android.com]の文字。Andoroid携帯から送信か? ←追記(5/18)
- ■Message-IDにメール到着の前日[2014/05/15 17:34:48]のタイムスタンプらしき数値 ←追記(5/18)
- ■その他メモ
※なお、警視庁合同捜査本部には全ての内容はすでに情報提供済みです。
※このブログで公開している、画像・記事はすべて自由に転載・引用してくださって構いません。(メールでの確認や許可は不要)
※ただし、犯行予告などが含まれる文言について転載する場合は、固有名称などを伏せるなど慎重に転載を行ってください。
■今回のメール本文&ヘッダー
※送付先のメールアドレスは伏せてます。
- メール本文
- ヘッダ
■過去のメールまとめ(ヘッダ+本文)
- http://yokoku.in/enkaku2012/mail20121113.txt
- http://yokoku.in/enkaku2012/mail20130101.txt
- http://yokoku.in/enkaku2012/mail20130105.txt
- http://yokoku.in/enkaku2012/mail20140516.txt
■送信元メールアドレス onigoroshijuzo2014@yahoo.co.jp。現在はすでに削除済み。
onigoroshijuzo2014のアカウントは2014/5/15 22:43現在、すでに削除済みの模様。
http://profiles.yahoo.co.jp/onigoroshijuzo2014
※17:37頃はメールは生きていた?
ジャーナリストの江川さんが2014年5月16日 17:37に真犯人に質問メールを送ってるようだ。
通常、削除されていれば、エラーメールが帰ってくるので、
ツイートした時点でエラーメールが帰ってきてないなら、この時点ではまだ消えてなかった可能性もある。
■メールの送信先一覧は前回と全く同じ25名(※ただし情報は過去に流出した可能性あり)
前回の2013年1月1日〜2013年1月5日に送られたあて先とまったく同じあて先。
追加も削除もなし。全25名。
今のところ、受信を表明している人リスト
※この25名のあて先は、真犯人の使っていたヤフーのアカウントが不正ログインしやすい状況にあった事から、
あて先以外の第三者にもすでに流出している可能性がある。
よって「あて先25名を知っている事」は「真犯人である証明」にはならない。
参考リンク:記者が遠隔操作真犯人アカウントに不正ログインしていた履歴が公開される
■メールの送信日時が今回は夜型じゃない点
今回のメールの日時は 2014年5月16日 11:37でかなりの朝方になっている。
従来の鬼殺し重蔵からのメールはいずれも、夜型だった。
片山氏の会見では「公判の時間に、犯人がわざとアリバイのために送ってくれたのか?」のような趣旨の事をいっている点も注目したい。
■メール送信元 mp76f1fa5d.ap.nuro.jp(118.241.250.93)。踏み台?新たな被害者?
Received: from unknown (HELO ?100.64.5.244?) (118.241.250.93 with plain) by smtp501.mail.kks.yahoo.co.jp with SMTP; 16 May 2014 02:40:36 -0000 X-YMail-JAS: 4silEm4VM1kSFXt3dSl.ptLc3GwanD4qjE8i_wMNhhDttjamyjG0_FsQ3_RFGxUhcRDcTQVIf3HQglEVWFZcbcwL.KMIwR2JVGICrTBVnwLnAyVM7psVMpPQWtGcp1Rbww--
↓
ホスト名は mp76f1fa5d.ap.nuro.jp。
↓
inetnum: 118.240.0.0 - 118.241.255.255 netname: So-net descr: So-net Corporation descr: 2-1-1, Osaki, Shinagawa-ku, Tokyo 141-6010, Japan country: JP admin-c: JNIC1-AP tech-c: JNIC1-AP status: ALLOCATED PORTABLE
今回は日本のプロバイダである為、発信元の特定が可能。
真犯人による踏み台、遠隔操作された新たな被害者のIPの可能性はある。
※1/5のRecieved→tor29.anonymizer.ccc.de(77.244.254.229)
http://d.hatena.ne.jp/satoru_net/20130105/1357318665
※1/1のRecieved→63.141.201.75(63.141.201.75-63.141.201.75 Tor Exit Node)
http://d.hatena.ne.jp/satoru_net/20130101/1356985472
何らかの理由でtorのIPが使われず、国内IPを経由した理由はなんだろう。?
■今回はWebMailじゃなく、SMTPから送信されている可能性
メールヘッダーをみると、今回のメールのみ「X-Mailer:YahooMailClassic」のヘッダーがない。
http://yokoku.in/enkaku2012/mail20140516.txt
つまり、従来はブラウザ上からヤフーのアカウントにログインしてWebメーラーからメールが送られていたが、
今回のみSMTPを使って外部のメーラーソフトや外部サーバから送信されている可能性がある。
そのほかにも、本文がbase64でエンコードされているなど、メールのソースレベルだと前回と異なる点が多い。
※SMTPからの送信であれば、タイマーによる送信や、何らかの自動化された送信も実現可能
前回分
- http://yokoku.in/enkaku2012/mail20121113.txt
- http://yokoku.in/enkaku2012/mail20130101.txt
- http://yokoku.in/enkaku2012/mail20130105.txt
参考リンク
■検証:Yahoo!SMTPから送信してみると、今回のヘッダーにほぼ一致するものが作成できた
(検証用の自身のYahoo!アカウントenkaku_debug_2014@yahoo.co.jpからyano@satoru.net宛に送信)
- 今回テストで送ってみたメールのソース
- 真犯人を名乗るメールのソース
結果、今回の真犯人のメールのヘッダーとほぼ同じものが出来た。
(特徴:WebMailerにはついていない X-Yahoo-Newman-Property、X-Yahoo-Newman-Id等のヘッダーが自動的に付与される。)
今回は、何らかの理由でWebメールを使わず、SMTPで送信をしたのはほぼ確定。
なお、前回のものと比較すると、ソースがぜんぜん違う。
前回分
- http://yokoku.in/enkaku2012/mail20121113.txt
- http://yokoku.in/enkaku2012/mail20130101.txt
- http://yokoku.in/enkaku2012/mail20130105.txt
検証用の外部SMTPメーラーのソース
ちなみに作ったメーラーのソースはこんな感じ。(perlのメール送信プログラム。パスワードのみ伏せてます。)
enkaku_debug_2014@yahoo.co.jpというyahooのメールアドレスからyano@satoru.net宛にメールを送るプログラム。
- ソース
- 送信してるコンソールの様子
外部サーバでプログラムを実行しさせすれば、いつでも送信ができるので、スケジュールによるタイマー送信や、
自動化された送信なども可能。smtp通信のプログラム自体もすごく単純なものなので、
ちなみに、Webメーラーを自動化して送信する場合、場合によってはタイムアウトでパスワード入力の再認証を求められたり、
外部サーバから偽装ブラウザでプログラムなどから操作した場合、スパム対策などで、画像認証をもとめられる場合がある。
この場合、人為的な目視での対応が必要になり、送信に失敗してしまう可能性がある。
■検証:Recieved (118.241.250.93 with plain)の"plain"の意味
メール送信をする場合の認証方法には、POP Before SMTP、plain、Login CRAM-MD5等がある。
(それぞれの具体的な仕様はぐぐってみてね。)
今回のメールのSMTP認証は"plain"が使われていた。
"plain"はIDとパスワードをEncodeした値をメールサーバに渡す認証方法。
簡易的な認証なのでコードも短くて済むのが特徴。
実験的に実際にplain認証でメールを送るプログラムをperlで作ってみた。
ソース:http://yokoku.in/enkaku2012/smtp_plain_ver_perl.txt
届いたメールはこれ。
http://yokoku.in/enkaku2012/smtp_plain_ver_mail.txt
結果的に、真犯人のメールとほぼ同様のメールヘッダーが再現できた。
■検証:メールヘッダーのrecievedのHELOに指定しているIPの謎
HELOに変なIPが指定されてる。なんだろうこれ?
http://yokoku.in/enkaku2012/mail20140516.txt
Received: from unknown (HELO ?100.64.5.244?) (118.241.250.93 with plain)
上記のログの意味は、"118.241.250.93"の IPから、plain認証(with plain)をして、
メーラーは自分のドメインを"?100.64.5.244?"(HELO ?100.64.5.244?)と自称している。
というログを読み取れる。
"118.241.250.93"のIPを逆引きすると、"mp76f1fa5d.ap.nuro.jp"になる。
この部分は、SMTPのサーバに接続時にYahoo!側が付与するので、接続元IPは偽証はできない。
メールの送信時にHelloの部分(自身のメールサーバのドメインを伝える手段)は、任意の文字列を指定できる。
my $smtp = Net::SMTP->new('smtp.mail.yahoo.co.jp', Port => 587, Hello=>"?100.64.5.244?", Debug=>1);|
と指定すると、今回の真犯人メールと同じ HELOになるメールヘッダーが実現できた。
ソース:(ResievedのHELO が ?100.64.5.244?)
ちなみに、HELOの指定を省略した場合は、サーバのhostsで設定している自身のhost名が使用される。
ソース:(ResievedのHELO が localhost.localdomain)
ちなみに"100.64.5.244"のIPはアメリカ・ロサンゼルスに所属するIPのようだ。
http://www.topwebhosts.org/whois/index.php?query=100.64.5.244
HELOの指定自体は任意のものなので、メールとの関連性は不明。
真犯人が指定し忘れた?Proxy通し忘れた?過去に指定していたtorのホスト?いろんな可能性はありそう。
HELOに指定されたIPにはどういう意図があったのか疑問が残る。
■追記■IP:100.64.5.244はISP Shared Address(プロバイダー共用)
今回のIP 100.64.5.244 は 127.0.0.1のような、プライベートIPに近いもので、
ISP Shared Address(100.64.0.0/10)と言われるサービスプロバイダが共用するグローバルIPのようだ。
(※読者さんから、ご指摘いただきましたので、追記しました。感謝)
■秘密の暴露の2番目「部落解放同盟」の内容は秘密の暴露になってない
理由は真犯人による1回目のメール(2012/10/10)にエキサイトのアカウント情報が報道で公開されていた。
結果、第三者でもエキサイトIDでログインすれば送信履歴等から知ることは可能だった。
参考:(記事でID&パスワードが公開されてた)
http://megalodon.jp/2013-0503-2006-48/www.iza.ne.jp/news/newsarticle/event/crime/602253/
事実として、当時、その報道のアカウントからヒントを得た新聞記者が
真犯人のヤフーのアカウント(※エキサイトではない)などにも不正ログインして広く報道されていた。
参考:http://d.hatena.ne.jp/satoru_net/20130412/1365773143
ヤフーに不正ログインされるくらいなので、ID&パスワードが公開されていたエキサイトにも同様の
不正ログインが行われていた可能性は十分にある。
参考リンク:記者が遠隔操作真犯人アカウントに不正ログインしていた履歴が公開される
よって、秘密の暴露2は不正ログインをした第三者でも知りえる状況にある為、
犯人しかしる由のない「秘密の暴露」としては成立しない可能性が高い。
■アカウントの変化。今回は『onigoroshijuzo2014』
- 2012 初回:onigoroshijuzo
- 2013/1/1〜1/5:onigoroshijuzo2
- 2014/5/15 今回:onigoroshijuzo2014←いまここ
なお、来年版(?)のonigoroshijuzo2015は、現時点では未取得の模様。
※ちなみに、http://profiles.yahoo.co.jp/obokatajuzoというアカウントも存在する模様。
今回のメールとの関連性は不明。
■独特な「三点リーダー」が使われず、正常になった
従来の真犯人の特徴のひとつだった独特な三点リーダー「・・・(全角で3文字)」が、
今回のメールでは一般的な「…(全角一文字)」になっていた。
参考:遠隔操作真犯人の発言集
http://yokoku.in/enkaku2012/enkaku.txt
■件名長すぎ=205文字。何らかの暗号?メッセージ?
皇居にロケット砲を撃ち込んで明仁美智子を始末する地下鉄霞が関駅でサリン散布する大野勝則裁判官と唐沢貴洋弁護士と 狩魔冥検事を上九一色村製AK47で射殺する聖路加病院爆破するお茶の水小学校で小女子喰う悠仁を去勢して天皇制断絶江川 紹子の閉経マンkにVXガス注射してポアするドコモショップ稚内店に牛五十頭突っ込ます Caroline Kennedy will be killed just like her father
205文字(小文字大文字を1文字とカウント)もある為、たいていのメーラーでは迷惑フィルターに引っかかりメールに分類される。
バイト数(全角を2byte、半角を1byteでカウント)だと351バイト。
何らかの暗号、メッセージが含まれている可能性もある?
- ※これまでの犯行予告のキーワードが多く含まれている?
- 文字数チェックツール
※コピペ&取り扱い注意。上記の文章は犯行予告が含まれており、掲示板などに転載すると犯行予告をしたとみなされて罪を問われる可能性があります。具体名称は伏せるなどの対策を各自行ってください。
■検証:件名の分断の癖からメーラーが特定できる可能性
http://yokoku.in/enkaku2012/mail20140516_header.txt
メールソースをみるとSubject部分が不自然(?)に分断されている。
Subject: =?UTF-8?B?55qH5bGF44Gr44Ot44Kx44OD44OI56Cy44KS5pKD44Gh?= =?UTF-8?B?6L6844KT44Gn5piO5LuB576O5pm65a2Q44KS5aeL5pyr44GZ44KL?= =?UTF-8?B?5Zyw5LiL6YmE6Zye44GM6Zai6aeF44Gn44K144Oq44Oz5pWj?= =?UTF-8?B?5biD44GZ44KL5aSn6YeO5Yud5YmH6KOB5Yik5a6Y44Go5ZSQ5rKi6LK0?= =?UTF-8?B?5rSL5byB6K235aOr44Go54up6a2U5Yal5qSc5LqL44KS?= =?UTF-8?B?5LiK5Lmd5LiA6Imy5p2R6KO9QUs0N+OBp+WwhOauuuOBmQ==?= =?UTF-8?B?44KL6IGW6Lev5Yqg55eF6Zmi54iG56C044GZ44KL44GK6Iy2?= =?UTF-8?B?44Gu5rC05bCP5a2m5qCh44Gn5bCP5aWz5a2Q5Zaw44GG5oKg5LuB44KS5Y67?= =?UTF-8?B?5Yui44GX44Gm5aSp55qH5Yi25pat57W25rGf5bed57S5?= =?UTF-8?B?5a2Q44Gu6ZaJ57WM44Oe44Oza+OBq1ZY44Ks44K55rOo?= =?UTF-8?B?5bCE44GX44Gm44Od44Ki44GZ44KL44OJ44Kz44Oi44K344On?= =?UTF-8?B?44OD44OX56ia5YaF5bqX44Gr54mb5LqU5Y2B6aCt56qB44Gj6L6844G+44GZ?= =?UTF-8?B?Q2Fyb2xpbmUgS2VubmVkeSB3aWxsIGJlIA==?= =?UTF-8?B?a2lsbGVkIGp1c3QgbGlrZSBoZXIgZmF0aGVyLg==?=
これはMIMEのEncoderによって、長い文字列は自動的に分断される仕組みによる影響だと思われる。
perlでの検証例。
perlでよく使われるMime::Base64では等間隔で分断されたり、一括で変換されるモジュールなどもある。
少なくともperlではいずれのパターンにも一致しなかったが、完全に一致するライブラリがわかれば、
真犯人が使ったと思われるメーラーを特定できる可能性がある。
暇があるひとは、得意な言語のライブラリ(特にC++あたりが有力候補)でデコードしてみてください。
参考までperlで試したプログラムのソースは下記に設置してます。
http://yokoku.in/enkaku2012/subject_kensho_perl_source.txt
■検証:件名は何かの暗号?件名を忠実にデコードする
件名の分断に何らかの意味があると仮定して、忠実に元の文字にデコードするとこうなる
※実際にはそれぞれの区切りに改行は入っていないので、改行はこちらで区切り事に付け加えたもの
皇居にロケット砲を撃ち 込んで明仁美智子を始末する 地下鉄霞が関駅でサリン散 布する大野勝則裁判官と唐沢貴 洋弁護士と狩魔冥検事を 上九一色村製AK47で射殺す る聖路加病院爆破するお茶 の水小学校で小女子喰う悠仁を去 勢して天皇制断絶江川紹 子の閉経マンkにVXガス注 射してポアするドコモショ ップ稚内店に牛五十頭突っ込ます Caroline Kennedy will be killed just like her father.
参考まで、これを再現したプログラムのソースは下記
http://yokoku.in/enkaku2012/subject_source.txt
■本物?摸倣犯?
いまんとこわからん。
■2chの『保方銃蔵メール』関連スレ一覧
嫌儲:【遠隔操作事件】真犯人「小保方銃蔵」からの秘密暴露メールが公開される ★1〜
- http://fox.2ch.net/test/read.cgi/poverty/1400210949/
- http://fox.2ch.net/test/read.cgi/poverty/1400216538/
- http://fox.2ch.net/test/read.cgi/poverty/1400223985/
- http://fox.2ch.net/test/read.cgi/poverty/1400228618/
- http://fox.2ch.net/test/read.cgi/poverty/1400233285/
- http://fox.2ch.net/test/read.cgi/poverty/1400238010/
- http://fox.2ch.net/test/read.cgi/poverty/1400243283/
- http://fox.2ch.net/test/read.cgi/poverty/1400250345/
- http://fox.2ch.net/test/read.cgi/poverty/1400261672/
- http://fox.2ch.net/test/read.cgi/poverty/1400282347/
- http://fox.2ch.net/test/read.cgi/poverty/1400297726/
- http://fox.2ch.net/test/read.cgi/poverty/1400317806/
ニュース速報+:【遠隔操作事件】真犯人名乗る「小保方銃蔵」からのメール、落合弁護士などに届く★1〜
- http://peace.2ch.net/test/read.cgi/newsplus/1400225834/
- http://peace.2ch.net/test/read.cgi/newsplus/1400231061/
- http://peace.2ch.net/test/read.cgi/newsplus/1400237229/
- http://peace.2ch.net/test/read.cgi/newsplus/1400237366/
- http://peace.2ch.net/test/read.cgi/newsplus/1400250456/
- http://peace.2ch.net/test/read.cgi/newsplus/1400269605/
- http://peace.2ch.net/test/read.cgi/newsplus/1400296478/
- http://peace.2ch.net/test/read.cgi/newsplus/1400342456/
http://ai.2ch.sc/test/read.cgi/newsplus/1400246103/
■Message-ID:に[@email.android.com]の文字。Andoroid携帯から送信か?
今回のメールのヘッダー情報のMessage-IDに『email.android.com』という文言が含まれていた。
Message-ID: 93dhqdjpt0hqgushhj9t34q1.1400142888062@email.android.com
このMessage-idは任意で指定ができるので、偽装可能な情報だが、
ストレートにこの記述を解読すると、
『アンドロイド製のメーラーでMessage-IDに"@email.android.com"と付加する
メールクライアントから送信された。』という事が読み取れる。
■Message-IDにメール到着の前日[2014/05/15 17:34:48]のタイムスタンプらしき数値
Message-ID: 93dhqdjpt0hqgushhj9t34q1.1400142888062@email.android.com
『1400142888062』の数値はunixタイム値のミリ秒だと仮定して日時に戻すと
2014/05/15 17:34:48の日時を差している。
perl -MPOSIX -e 'printf "%s", POSIX::strftime "%Y/%m/%d %H:%M:%S",localtime(1400142888062/1000)' 2014/05/15 17:34:48
何らかの意図をもってこの日時が指定された?メールサーバと日本時間の時差?
メールが届いた時間帯をタイムスタンプに戻すと
perl -MTime::Local -e 'printf "%s", timelocal(13,37,11,16,5-1,2014-1900)' $ 1400207833
実際の受信日時とこのタイムスタンプとの時間差を求めると、
perl -e 'my$diff=(1400207833 - 1400142888);printf "[%02d:%02d:%02d]\n", ($diff/60/60,($diff/60%60),$diff%60%60) ' [18:02:25]
結果は、真犯人メール到着までの時間差は18:02:25の時間差が示されている。ということになる。
※ただし、あくまで、偽装可能な情報であり、過去に真犯人はExif情報偽装などもしているので、取り扱い要注意。
■Message-IDの偽装は可能かどうか?の検証。
ヤフーのメールサーバでは、Message-IDをなにも指定していない場合は、
自動的にサーバー側で値が割り振られるようだ。
任意のmessage-IDをつけてメールを送信した場合、
今回のメール同様、任意のIDを付与させることができる。
上記の結果から、ヘッダーの位置で、サーバ側が割り振った値か、クライアントがつけたか判断できる。
■その他メモ(未確認情報など)
- メールについての片山氏による記者会見 - youtube
- レイバーネットTV放送〜PC遠隔操作事件 ズバリ!片山祐輔さんに聞く - レイバーネット
- 【PC遠隔操作事件】3保釈された片山祐輔氏にインタビュー
- 『パケット警察』ソフトウェアの説明
- 『cofee』は綴りミスではないかも?との指摘もある。
以上、ざっくりまとめでしたー。
なにか、お気づきになった方は、コメ欄に投稿おねがいします。m(_ _)m
- 579 http://b.hatena.ne.jp/
- 258 http://www.hatena.ne.jp/
- 192 http://netgeek.biz/archives/12593
- 186 http://b.hatena.ne.jp/entry/d.hatena.ne.jp/satoru_net/20140516/1400242233
- 186 http://feedly.com/index.html
- 183 http://t.co/CSgvpABbNn
- 160 http://getnews.jp/archives/578417
- 156 http://b.hatena.ne.jp/hotentry
- 153 http://blog.livedoor.jp/itsoku/archives/38866158.html
- 134 http://satoru.net/