2012年10月16日

ブログの投稿予約でアシの付かない犯行予告は出来るか?

……か?方式のタイトルなので話半分でお願いします。
真面目な話は http://tumblr.tokumaru.org/post/33682810605/web 辺りを読んだほうが良い。

大抵のブログには投稿を予約する機能があり、実装やUIは様々だが、指定時刻にブログ投稿・トラックバックやSNS通知を実行できる。
この機能を使って、アシの付かない犯行予告が出来るかもしれない

犯行予告偽装問題で警察が"特定"したIPアドレスは、メールのヘッダやサーバなどのアクセスログから得られたものと思われる。ISPはIPと契約者の対応関係を保持しているので、契約者までたどり着ける。
メールは様々な場所に半永久的に保存される事がほとんどだが、HTTPサーバや各種ファイアーウォールのアクセスログはデータ量が膨大になるので適当な期間で破棄してしまうことが多い(ログローテート)。
共用レンタルサーバなど、どのアクセスが重要なログか管理者が識別できなかったりすれば、全てを保存することは困難になる。

とすれば、アクセスログが消える時点以降に予約投稿できれば、脆弱性を突いて予約投稿した時点の真犯人のログを消去させる事は不可能ではない
例えばブログに、バックエンドDBにフルアクセス可能なSQLインジェクション脆弱性があれば、予約投稿記事や投稿者・DB上のログを捏造するのはたやすい。そしてそういった脆弱性は度々発見され、即座に修正されることがほとんどとはいえ、修正までに実際に攻撃されたかどうか細部までログを調べてチェックする人は稀だろう。

予約された犯行予告が正常に投稿された時には、深刻な脆弱性は全て塞がっているだろうから、真っ先に疑われるのはブログの運営者とサーバーの管理者で、アクセスログ無しに悪意ある第三者の存在を証明することは非常に難しくなる。
従って、犯行予告に使われうるコミュニケーション・パブリケーション系のサービスでは、アクセスログは全て、少なくとも威力業務妨害・脅迫罪の時効、例えば5年より長い期間保存する事が必須になる。


……というつまらない笑い話が浮かんだ。
同様にタイマーを使って記録を回避する方法は色々ありそう。例えばクライアントのメーラーやウェブメールの予約送信機能を悪用したり、もっとシンプルにタスク・スケジューラやcronで実行したり。

電子的な記録は捜査の"手がかり"になることはあっても、脆弱性さえあれば容易く偽造も隠滅も出来る、ほとんど証拠能力の無い代物。
脆弱性が過去に一つも存在しなかったソフトウェア・OSなど、現代ではもう存在しないと言って構わないだろうから、アクセスログがなかったら冤罪被害に遭うかも、なんてのは杞憂。

だといいんだけれど……


posted by ko-zu at 19:42| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。