マスコミが喜んで騒いでる
マスコミは”トロイ型のウィルスでパソコンを乗っ取られてしまう”と、センセーショナル(久々に使った言葉だ)に報道してますけど、少なくとも以下の件はトロイではない様子。
産経新聞の記事「横浜の小学校襲撃予告 閲覧と同時刻 神奈川県警、明大生再聴取も視野」
産経新聞のニュースにもあるように、横浜事件は被害者の大学生が怪しいWebページを閲覧してしまったため、犯行予告が横浜市のホームページに書き込まれたということらしい。
これは所謂はクロスサイトリクエストフォージェリ(CSRF)で、JAVAスクリプトを利用して閲覧していないホームページに書き込み情報などを送信してしまうという奴。悪意あるJAVAスクリプトをホームページに書きこんでおけば、閲覧した人が知らぬうちに今回のように犯行声明をホームページに書き込まれてしまう。
CSRF脆弱性があるホームページを放置してた横浜市も責任がある
CSRF問題は早くから認識されてて対策手法も色々確立されている。セキュリティに気を配ってるサイトなら対策済みの筈だ。横浜市のホームページはCSRFで犯行予告が書き込まれたということは対策をしていなかったのだろう。CSRFを巧みに仕掛けた輩は、横浜市のホームページのCSRF脆弱性を熟知してて狙ってやったのは明白だ。
今回の場合は少なくとも横浜市のホームページにCSRFの脆弱性がなければ、犯人はCSRFを狙った悪意あるホームページも作らなかっただうし、誤認逮捕されるようなことも起こらなかった。横浜市が犯罪を誘発したと言える。誤認逮捕した警察そして無実なのに犯罪者に仕立ててしまう検察に問題があるのは疑問の余地もないが、CSRF脆弱性のあるホームページを放置してた横浜市にも問題がある。
マスコミ…
“2ちゃんねる”とか”ネット”とか”乗っとり”とか、マスコミにとっては憎悪の対象のワードが並んでるおかげで、トロイの件ばかりクローズアップされてるようだが、横浜の事件は少なくともホームページ設置者にも問題がある。この点を指摘して犯罪を誘発しないよう世論を誘導してもらいたいものだけど、志のないやつばかりの今のマスコミなら無理な話しだ。 😕
そうだったんですか。
事実確認は大事ですね。
タイマソフトのダウンロードの件はお粗末ですが。
きゅうる村さん、毎度です。
テレビで”警察の担当者がIT関係の方とはじめて会合を持ち、教えを乞おた”
とかニュースでありました。
今更です。お寒い限りです。沢山ネット犯罪者を逮捕・検挙してきたのに、
これまでどれだけ冤罪を産んできたのかと想像すると怒りを覚えます。
今回のCSRFの件もそうですが、パソコンそのものも乗っ取られる可能性
があるのでIPアドレスなんかは犯罪の証拠足り得ないのは、警察や検察
の現場の若い奴は理解できてるのだろうと思うけど、逮捕や起訴を決定す
るそれなりの地位のある奴が、”IPアドレス”は”ネット上の住所”とか、
ごく簡単に理解して強引に決定したのでしょうね。
こんなことでは僕らもいつ犯罪者に仕立てあげられるかもしれません。
恐ろしいことです。