自分が用意した犯行予告文を他人に書き込ませる事件について

• 公開日 : 2013年2月14日
• カテゴリ : インターネット

PCを遠隔操作して犯行予告文を書き込んだという事件の容疑者が逮捕された件が世間を騒がせている。

パソコンを遠隔操作することなど可能なのか？と思う方もいると思うが、そのようなソフトは以前から存在しているようだし、WindowsはOSのグレードによっては「リモートデスクトップ」という外部から操作できる機能が標準で付いていたりする。
もちろん通常は操作される側の承認が必要になるので、知らない人から勝手に自分のパソコンを操作されることはない。

私はどっちかと言うとウェブアプリケーションのほうが専門であるのでネイティブアプリケーションに関してはあまり詳しくなくそれ以上のことはわからないが、ウェブ制作の知識を使って自分が用意した犯行予告文などを他人に書き込ませることは理論上可能である。(もちろん試したことはないよ)

例えば、「2013年○月○日に○○学校の生徒たちを殺す」という犯行予告文を私が用意するとする。
これを私がどこかのBBSなどに書き込めばその発信元(IP)は私の自宅のネット回線になるので、警察が調べればすぐに私の自宅に捜査員が来ることになる。

しかしこの犯行予告文を他人に書き込ませることができれば、逮捕されるのは当然その人になってしまう。
とても悪質で恐ろしいことだ。

他人に書き込ませる攻撃手法として直接的なものとしては「クロスサイトリクエストフォージェリ」が真っ先に思い浮かぶが、「クロスサイトスクリプティング」や「セッションハイジャック」なども併用することでより巧妙に、より広範囲に被害を及ぼす行うことも可能だろう。

クロスサイトリクエストフォージェリやクロスサイトスクリプティング、セッションハイジャックなどは単純なものであれば難易度的にはそれほど高いものではなく、ウェブ制作の知識がある程度あれば比較的簡単に作ることができてしまう。

この手法についての解説をここで行ったりはしないが、これはウェブ(インターネット)の制作者側が対策して防止すべきことであり、ウェブを利用するユーザー側(被害者側)が防止するためにできる対策は基本的にはない。
ここが最も怖い点である。
よく、「迷惑メールに書かれているURLを無闇にクリックしてはいけない」とか「BBSに書かれている怪しいURLをクリックしてはいけない」と言われていたりするのはこのためである。

クロスサイトリクエストフォージェリが仕掛けられたページのURLをユーザー(被害者)がクリックした場合、そのページがロードされた瞬間に加害者側が用意した犯行予告文などがユーザー(被害者)の権限(発信元)で特定のBBSに書き込まれたり、ECサイトなどで買い物をさせられたりし、しかもその際にユーザー(被害者)はそのような被害を受けたこと自体を気づくことはない。

罠ページのHTMLやJavaScriptのソースを見ればある程度のことはわかるとしても、PHPやPerlのようなサーバサイド言語のソースはウェブブラウザから見れないので、具体的にどのような処理が行われたかまではわからない。

恐ろしい手口であるが、これはウェブページを構成する要素の一つであるインラインフレームや画像などがクロスサイトを許可する仕様であるため仕方のないことである。

つまり、ウェブページを制作するすべての人がこのような対策をきちんと行ってページを制作していればこのような被害や事件は起きないことになるのだが、実際にそのような知識を完全に把握して制作できる人は限られるし(もちろん私もまだまだである)、このような罠や攻撃を仕掛ける人がいなくなるということは考えにくいため、現時点で言えることは怪しいURLなどを無闇にクリックしないことに尽きる。

一応とはいえウェブ制作者である私でさえも防げないし、怖いものなのだ。

迷惑メールに書かれているURLなどは無闇にクリックしてはいけない。
BBSに書かれている怪しいURLも無闇にクリックしてはいけない。
グロテスクな画像が表示されるだけならまだマシなほうだ。
ついでに言うと、迷惑メールに添付されているファイルを無闇に開いてはいけない。
拡張子が「exe」のファイルは発行元が信用できるもの以外を開いてはダメだ。(→拡張子についての関連記事)

気を付けよう。