遠隔操作ウイルスによる犯罪予告事件で、横浜市立小学校の襲撃予告の書き込みについて、東京の弁護士に届いた犯行声明とみられるメールには、ウェブサイトを閲覧しようとクリックすると自動的に襲撃予告を書き込む手口を用いたと記されていた。県警は威力業務妨害容疑で逮捕した、当時都内の大学に通っていた男子学生(19)=保護観察処分=からあらためて事情を聴いている。
県警によると、同市の小学校への襲撃予告は、6月29日午後3時15分ごろ、市ホームページ(HP)内の投稿欄「市民からの提案」に書き込まれた。県警は2日後の7月1日、同容疑で男子大学生を逮捕。大学生は8月、保護観察処分になった。
一方、東京の弁護士に今月9日に届いた犯行声明メールでは「真犯人」を名乗る人物が横浜の事件について、大阪府や三重県のようなウイルスによる遠隔操作ではなく、クロスサイト・リクエスト・フォージェリ(CSRF)という手口を用いたと説明。「(大学生は)掲示板に貼った(自動書き込みのプログラム設置サイトの)URL(ネット上の住所)をたまたま踏んだ(クリックした)だけ」と記されていた。
ネットセキュリティー会社「トレンドマイクロ」によると、CSRFは、パソコン利用者が仕掛けの施された特定のURLをクリックすると、事前に内容が用意された書き込みを強制的に実行するようになっている。大学生は、自分のパソコンから横浜市のHPに襲撃予告を送りつけるよう攻撃者が仕組んだURLをクリックした可能性がある。
同社は「専門的な知識があれば、外部からでもHPの弱点が分かる」と指摘。市IT活用推進課によると、市ではこれまでCSRF対策を取っておらず、こうした弱点が悪用された可能性が高いとみられる。
市は、CSRFで攻撃された場合に投稿を受け付けないようプログラムを修正した。同課は「もともと投稿欄は誰でも匿名で書き込みができる仕組みなので、なりすまし対策は想定していなかった。今後は新手の攻撃への情報収集をしていく」と話した。
【】
