マスコミが喜んで騒いでる

マスコミは”トロイ型のウィルスでパソコンを乗っ取られてしまう”と、センセーショナル(久々に使った言葉だ)に報道してますけど、少なくとも以下の件はトロイではない様子。

産経新聞の記事「横浜の小学校襲撃予告 閲覧と同時刻 神奈川県警、明大生再聴取も視野」

産経新聞のニュースにもあるように、横浜事件は被害者の大学生が怪しいWebページを閲覧してしまったため、犯行予告が横浜市のホームページに書き込まれたということらしい。

これは所謂はクロスサイトリクエストフォージェリ(CSRF)で、JAVAスクリプトを利用して閲覧していないホームページに書き込み情報などを送信してしまうという奴。悪意あるJAVAスクリプトをホームページに書きこんでおけば、閲覧した人が知らぬうちに今回のように犯行声明をホームページに書き込まれてしまう。

CSRF脆弱性があるホームページを放置してた横浜市も責任がある

CSRF問題は早くから認識されてて対策手法も色々確立されている。セキュリティに気を配ってるサイトなら対策済みの筈だ。横浜市のホームページはCSRFで犯行予告が書き込まれたということは対策をしていなかったのだろう。CSRFを巧みに仕掛けた輩は、横浜市のホームページのCSRF脆弱性を熟知してて狙ってやったのは明白だ。

今回の場合は少なくとも横浜市のホームページにCSRFの脆弱性がなければ、犯人はCSRFを狙った悪意あるホームページも作らなかっただうし、誤認逮捕されるようなことも起こらなかった。横浜市が犯罪を誘発したと言える。誤認逮捕した警察そして無実なのに犯罪者に仕立ててしまう検察に問題があるのは疑問の余地もないが、CSRF脆弱性のあるホームページを放置してた横浜市にも問題がある。

マスコミ…

“2ちゃんねる”とか”ネット”とか”乗っとり”とか、マスコミにとっては憎悪の対象のワードが並んでるおかげで、トロイの件ばかりクローズアップされてるようだが、横浜の事件は少なくともホームページ設置者にも問題がある。この点を指摘して犯罪を誘発しないよう世論を誘導してもらいたいものだけど、志のないやつばかりの今のマスコミなら無理な話しだ。 😕