アカウント名:
パスワード:
IPアドレスって詐称できたと思ったが。
http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/chap1/ipsp... [ipa.go.jp]
それ以前の問題として、記録されている発信元はCSRFトラップを踏まされた被害者の可能性がある。
ただ、ピンポイントで容疑者だけに踏ませるのは難しいだろう、という話が出ています。
mala さんのツィート [twitter.com]
「誰でも構わないから罠にかける」ならともかく特定の人物のモバイルルータにタダ乗り(物理的に近づく必要がある)して犯行予告二回書き込んだり、身に覚えも心当たりもありませんレベルでCSRF踏ませたりするのそれなりに難しいでしょ。お前ら警察バカにしてんのか。俺はバカにしてるけど。
最近は「自宅に固定回線を契約せず、自宅でもモバイル無線ルーターでネットに繋ぐ」ような人も多いみたいだし、そんな運用だったりしたら、無線LANの無断利用であり真犯人は自宅の近所に住んでる人、って可能性もあるんじゃないですかね。最近の据え置きの無線ルーターはデフォルト設定がWPA2になってたりするんで、「クラックして無断利用」されてしまう可能性は低くなってるかと思いますが、そんな中、モバイル無線ルーターは未だにWEPがデフォルトなのもあるし、そういうのを固定運用してたりしたら、いいカモだと思います。
未だにWEPがデフォルトのモバイルルーター程度の出力だと、そこそこ近づかないと利用できないと思いますけど。遠くから乗っ取るって結構難しいんじゃないかな。
うちのAterm WM3600Rで、25%設定ですが、木造家屋のせいもあるけど、10m位まではいけます。
とはいえ、WEP殺して、MACアドレス制限も付けてますが…。
集合住宅住まいなら、ご近所ならアクセス可能かもしれませんよ。
#違法行為前提だから、パラボラアンテナ装備でもおかしくないよね~
>#違法行為前提だから、パラボラアンテナ装備でもおかしくないよね~犯罪前提でご近所のAP使いますかね?機材にまで頭が有るのなら、自宅近辺は避けると思うんですが。#別に何処でも良い訳だよね?まったく顔見知りの居ない所でも。
>集合住宅住まいなら、ご近所ならアクセス可能かもしれませんよ。集合住宅だけど、いつも御近所のAPが5〜10ぐらいでてくるよ。
パラボラアンテナ装備してまでやることが、イタズラ投稿ってセコすぎるな。
APだったら何でも良いんだったら、そりゃ5〜10ぐらい出るでしょうよ。
でも(実際他人がやったとしたら)人ひとりに社会的に大ダメージを負わせられるわけで。
出荷時の設定のまま使ってる場合ならば、解読済みの共有キーの辞書とマッチングするだけでアクセスできるようになりますから。計算機能の向上に合わせて3年くらい前から既に懸念されてますけどね。http://pyrit.wordpress.com/the-twilight-of-wi-fi-protected-access/ [wordpress.com]
つまり、本当に罠にかけられたのなら、身近な人にやられたのではないかな、と言うことか…。
この場合の「身近」ってのは半径数十メートルって意味の身近ですね。
時代は大幅に進んでいる [yahoo.co.jp]ようだ。
半径3.6kmのAPを解析って…(苦笑)
職場の同僚とか、そういった立場の人間が悪意を持って行った場合、物理的に近づくのはそんなに難しくないし、概してそういう立場の人間だからこそ特定の人物を狙う理由を持っていると思うのですが。
CSRFトラップがあったのなら、他にも殺人予告してる人が沢山出てそうなもんですが……それともこの被疑者だけがアクセスするようなページに仕掛けられてたんですか??
CSRFが仕掛けられたフォームってのが何かピンと来ない。CSRFで用意に書きこめてしまうフォームってこと??
# 何か勘違いしてるかな
単にWebサイトを作っただけでは、ロボット以外のアクセスは無いでしょう。そこで、容疑者のみにリンクを含んだメールを送ることで、容疑者のみに攻撃用サイトを閲覧させることが可能です。容疑者が有名人ならば個人を狙ってメールを送ることも可能でしょう。
また、CSRFトラップはWebサイトとは限りません。HTMLメールを表示させるだけでも機能します。容疑者がアクセスした後、証拠を消すために攻撃用サーバを削除することも考えられます。その場合、書き込みはそれ以上行われません。
それはメールを調べれば無実だってわかるねそんなメールが存在すればの話だけど
隠滅はウィルス検知ソフトにひっかからない最新ウィルス作らないと無理ですcsrfとは別次元の高度な最新技術が必要ですねたかがアニメーター1人にそんな手の込んだことして何になりますか?
ウィルスは必要ありません。必要なのはプログラムを相手の機器の中で実行させる手段。それは例えばメーラのセキュリティホールだったり、メールに添付したURLを開いたブラウザのセキュリティホールだったり、ソーシャルハックだったりする。相手の使っているメーラやブラウザのプログラム実行可能な脆弱性をピンポイントで特定して利用するのはたしかに難易度が高いけど、ソーシャルハックなら楽勝。実行させるプログラム(君の言うウィルスであるところのマルウェア)は、感染機能他は要らないので簡単な物で済む。
完全にロジカルにクラックしようとすると結構な難易度ですが、自己解凍を実行させる程度のソーシャルハックは然程難しくないでしょう。割合簡単に実現可能だけど「まず実行されることはない」で済まさせる(済ます)のが現代のITの現状です。ちょっとしたきっかけがあれば「まず実行されることはない」という前提は簡単に崩れます。
知り合いの私怨とかならフツーに有り得そうでしょ?
そもそも当人がそのメールが原因だと気付いていなければ、その調査に至るまではちょっと時間がかかるでしょうね。
まあ本当に他人がこの人を陥れる目的であったとすれば、ダメージ的にはこの報道+数日間の勾留で十分だし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
証拠になるほど確実? (スコア:3, 興味深い)
IPアドレスって詐称できたと思ったが。
http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/chap1/ipsp... [ipa.go.jp]
Re:証拠になるほど確実? (スコア:0)
それ以前の問題として、記録されている発信元はCSRFトラップを踏まされた被害者の可能性がある。
Re:証拠になるほど確実? (スコア:2)
ただ、ピンポイントで容疑者だけに踏ませるのは難しいだろう、という話が出ています。
mala さんのツィート [twitter.com]
「誰でも構わないから罠にかける」ならともかく特定の人物のモバイルルータにタダ乗り(物理的に近づく必要がある)して犯行予告二回書き込んだり、身に覚えも心当たりもありませんレベルでCSRF踏ませたりするのそれなりに難しいでしょ。お前ら警察バカにしてんのか。俺はバカにしてるけど。
Re:証拠になるほど確実? (スコア:2)
最近は「自宅に固定回線を契約せず、自宅でもモバイル無線ルーターでネットに繋ぐ」ような人も多いみたいだし、
そんな運用だったりしたら、無線LANの無断利用であり真犯人は自宅の近所に住んでる人、って可能性もあるんじゃないですかね。
最近の据え置きの無線ルーターはデフォルト設定がWPA2になってたりするんで、「クラックして無断利用」されてしまう可能性は低くなってるかと思いますが、
そんな中、モバイル無線ルーターは未だにWEPがデフォルトなのもあるし、そういうのを固定運用してたりしたら、いいカモだと思います。
Re: (スコア:0)
未だにWEPがデフォルトのモバイルルーター程度の出力だと、そこそこ近づかないと利用できないと思いますけど。
遠くから乗っ取るって結構難しいんじゃないかな。
Re: (スコア:0)
うちのAterm WM3600Rで、25%設定ですが、木造家屋のせいもあるけど、10m位まではいけます。
とはいえ、WEP殺して、MACアドレス制限も付けてますが…。
集合住宅住まいなら、ご近所ならアクセス可能かもしれませんよ。
#違法行為前提だから、パラボラアンテナ装備でもおかしくないよね~
Re: (スコア:0)
>#違法行為前提だから、パラボラアンテナ装備でもおかしくないよね~
犯罪前提でご近所のAP使いますかね?
機材にまで頭が有るのなら、自宅近辺は避けると思うんですが。
#別に何処でも良い訳だよね?まったく顔見知りの居ない所でも。
Re: (スコア:0)
>集合住宅住まいなら、ご近所ならアクセス可能かもしれませんよ。
集合住宅だけど、いつも御近所のAPが5〜10ぐらいでてくるよ。
Re: (スコア:0)
パラボラアンテナ装備してまでやることが、イタズラ投稿ってセコすぎるな。
Re: (スコア:0)
APだったら何でも良いんだったら、そりゃ5〜10ぐらい出るでしょうよ。
Re:証拠になるほど確実? (スコア:2)
Re: (スコア:0)
でも(実際他人がやったとしたら)人ひとりに社会的に大ダメージを負わせられるわけで。
WPA2だからって安全じゃないですよ (スコア:0)
出荷時の設定のまま使ってる場合ならば、解読済みの共有キーの辞書と
マッチングするだけでアクセスできるようになりますから。
計算機能の向上に合わせて3年くらい前から既に懸念されてますけどね。
http://pyrit.wordpress.com/the-twilight-of-wi-fi-protected-access/ [wordpress.com]
Re: (スコア:0)
つまり、本当に罠にかけられたのなら、身近な人にやられたのではないかな、と言うことか…。
Re: (スコア:0)
この場合の「身近」ってのは半径数十メートルって意味の身近ですね。
Re: (スコア:0)
時代は大幅に進んでいる [yahoo.co.jp]ようだ。
半径3.6kmのAPを解析って…(苦笑)
Re: (スコア:0)
職場の同僚とか、そういった立場の人間が悪意を持って行った場合、物理的に近づくのはそんなに難しくないし、
概してそういう立場の人間だからこそ特定の人物を狙う理由を持っていると思うのですが。
Re: (スコア:0)
CSRFトラップがあったのなら、他にも殺人予告してる人が沢山出てそうなもんですが……
それともこの被疑者だけがアクセスするようなページに仕掛けられてたんですか??
CSRFが仕掛けられたフォームってのが何かピンと来ない。
CSRFで用意に書きこめてしまうフォームってこと??
# 何か勘違いしてるかな
Re:証拠になるほど確実? (スコア:1)
単にWebサイトを作っただけでは、ロボット以外のアクセスは無いでしょう。
そこで、容疑者のみにリンクを含んだメールを送ることで、容疑者のみに攻撃用サイトを閲覧させることが可能です。
容疑者が有名人ならば個人を狙ってメールを送ることも可能でしょう。
また、CSRFトラップはWebサイトとは限りません。HTMLメールを表示させるだけでも機能します。
容疑者がアクセスした後、証拠を消すために攻撃用サーバを削除することも考えられます。
その場合、書き込みはそれ以上行われません。
Re: (スコア:0)
それはメールを調べれば無実だってわかるね
そんなメールが存在すればの話だけど
Re: (スコア:0)
Re: (スコア:0)
隠滅はウィルス検知ソフトにひっかからない最新ウィルス作らないと無理です
csrfとは別次元の高度な最新技術が必要ですね
たかがアニメーター1人にそんな手の込んだことして何になりますか?
Re: (スコア:0)
Re: (スコア:0)
ウィルスは必要ありません。必要なのはプログラムを相手の機器の中で実行させる手段。
それは例えばメーラのセキュリティホールだったり、メールに添付したURLを開いたブラウザのセキュリティホールだったり、ソーシャルハックだったりする。
相手の使っているメーラやブラウザのプログラム実行可能な脆弱性をピンポイントで特定して利用するのはたしかに難易度が高いけど、ソーシャルハックなら楽勝。
実行させるプログラム(君の言うウィルスであるところのマルウェア)は、感染機能他は要らないので簡単な物で済む。
完全にロジカルにクラックしようとすると結構な難易度ですが、自己解凍を実行させる程度のソーシャルハックは然程難しくないでしょう。
割合簡単に実現可能だけど「まず実行されることはない」で済まさせる(済ます)のが現代のITの現状です。
ちょっとしたきっかけがあれば「まず実行されることはない」という前提は簡単に崩れます。
知り合いの私怨とかならフツーに有り得そうでしょ?
Re: (スコア:0)
そもそも当人がそのメールが原因だと気付いていなければ、その調査に至るまではちょっと時間がかかるでしょうね。
まあ本当に他人がこの人を陥れる目的であったとすれば、ダメージ的にはこの報道+数日間の勾留で十分だし。