1. まとめトップ

この記事は私がまとめました

sophizmさん

事件の発端

インターネット上に、大阪市内で今月上旬に無差別殺傷を予告する書き込みがあり、大阪府警が威力業務妨害容疑で捜査を始めたことが2日、捜査1課への取材で分かった。府内に住む40代の男性が所有する高速無線LAN機器からネット接続しており、日本航空に航空機の爆破予告メールが送られた際も使われていた。府警は男性から事情聴取し、警視庁と連携して調べている。
 同課などによると、書き込みは7月29日夜、大阪市が市民の要望を受け付けるホームページにあった。約1週間後に市内の電気街で「トラックで人をひき、ナイフで無差別に刺した後、自殺する」と記載。2008年に東京・秋葉原で起きた無差別殺傷事件を想起させる内容だった。

府警と警視庁が、ネット上の住所に当たるIPアドレスをそれぞれ解析したところ、男性の無線LAN機器からアクセスされていた。しかし、男性は府警の聴取に「私以外アクセスできないが、身に覚えがない」と否定しているという。

アニメ演出家が逮捕される

誤認逮捕の可能性を指摘する声(8/27)

大阪市HPに殺人予告があったとして大阪府警捜査1課がアニメ演出家を逮捕したとの報道がされていますが、殺人予告があったというのはこのフォームのことでしょうか。

こちらのフォームですが、CSRF脆弱性と呼ばれるセキュリティ上の問題があります。罠を仕掛けたホームページを閲覧することで、自動で殺人予告を含む内容のフォームを送信することが出来る状態になっています。つまり、このフォームに殺人予告が書き込まれたとしても、その書き込みは本人の意志によるものであるとは限らず、身に覚えがないのに大阪市のHPに殺人予告を書き込むという事が、誰にでも起こりうる状況になっています。

事実関係も手口も関係なく逮捕していい条件を満たしてない、そもそもCSRF可能なフォームに書きこまれた内容を真に受けるな

JALの問い合わせフォーム、CSRF対策のトークン無し、リファラ送らなくても送信できることを確認した。

犯行予告に使われたと思われるフォームは両方共CSRF脆弱性がある。いくつか可能性がある。無線LAN乗っ取りの可能性、CSRF悪用の可能性、さらにCSRFがあることを承知で証拠不十分で有罪できないだろうという認識のもとで否認している可能性もある

他に確固たる証拠があってそれで逮捕しているのであれば、捜査に支障がない範囲で報道して動機の解明にあたっているとかすべきであるし、容疑否認してるってことは非人道的な取り調べで自白させないと有罪に出来ないってことだよ。

「罠踏まされたんです」とか「無線LAN乗っ取られたんです」といって無罪にするつもりなら、その程度に頭が回るのであれば、もっと逮捕されにくい方法いくらでもあるから考えにくい。

大事なことですが自分の主張はCSRFを直せというよりも、CSRF可能なフォームに書きこまれた内容を真に受けるなということです

インターネット上での犯行予告は、犯人を突き止められないばかりか、別の人間が書き込んだかのように濡れ衣を着せることも容易にできるのだし、現状そうなんだから仕方ない。シンプルな解決策はインターネット上での犯行予告を完全にスルーすることです。

1ヶ月半経ってようやく釈放に至る

大阪市のホームページに無差別殺人を予告する書き込みをしたとして、逮捕・起訴された男性について、大阪地方検察庁が事件と無関係の可能性が出てきたと判断し、男性が釈放されたことが分かりました。男性のパソコンに特殊なウイルスが感染し、第三者が遠隔操作して書き込める状態になっていたことが判明したため

男性のパソコンが特殊なウイルスに感染し、第三者が遠隔操作してインターネット上に書き込みができる状態になっていた

今回の事件と同じIPアドレスからは、ことし8月、日本航空に「旅客機に爆発物を仕掛けた」という電子メールが送りつけられ、ニューヨークに向かっていた旅客機が成田空港に引き返すトラブルも起きています

男性のパソコンが感染したのと同じウイルスは、三重県警察本部が先月14日に威力業務妨害の疑いで逮捕した27歳の男性のパソコンにも感染していたことが新たに分かりました。
この男性は、インターネットの掲示板に「伊勢神宮を爆破する」などと書き込んだとして逮捕されましたが、この男性が「身に覚えがない」と一貫して容疑を否認したほか、警察が詳しく調べたところ、この男性のパソコンに何者かが不正にアクセスし、男性のIPアドレスから掲示板に書き込みをした可能性があることが分かったということで、起訴はされず、逮捕から1週間後に釈放されたということです。パソコンに残っていた感染したウイルスのファイルの名前も、大阪と三重で同じだったということです。

自分の考えは冤罪かも、誤認逮捕かも、といったものではなくて、(ホントに本人の書き込みであったとしても)証拠不十分なら有罪になるべきでないし、有罪にできる見込みがないなら逮捕もすべきでない、というものです。

1