最終更新時刻：2009年7月10日(金) 21時57分

CNET Japanからのお知らせ

ネットサービス連携で進化する家電
Google OSへの期待は？
とんでもないケータイがいっぱい
Tech Venture2009グランプリ決定

トップ » ブログ » 元現役高校生サーバー管理者の考察日誌 » 「ブラッディ・マンデイ」を考察する(04)

元現役高校生サーバー管理者の考察日誌

126

「ブラッディ・マンデイ」を考察する(04)

公開日時：: 2008/11/10 00:32
著者：: isidai

トラックバック(2)

コメント(17)

ブックマーク(-)

　みなさんこんばんは～。最近すごく寒くなってきましたね。体調管理にホントに注意が必要です。

　さて，ブラッディ・マンデイ ep05。考察記事です。これからご覧になる方は，ネタバレにご注意下さい。

　（mixiから事前に質問事項を頂いているのでその回答も踏まえて記述していきます）

ネットカードと携帯GPSで位置特定

　最初に藤丸の携帯の電源が切られるまでGPSと携帯電波でキャリア側からTHIRD-iに位置情報が送信されていたのは技術的にも特に不自然な点はありません。常時位置情報を測位しているサービスもありますし，キャリアや警察・消防などの特定の機関であれば携帯所持者の意思に関係なく位置情報を送信させる事が出来，簡単に検出できます。

　また，ネットカードですが，PCのWi-Fi電波で位置が特定できるサービスもあるようにカナリ高精度でカードの位置も特定できそうです（誤差50～100m程度）。

　カードの電源が切られるまでに同じエリアにいる携帯で，カードの位置と最も近い携帯数台を捕捉しておけば，折原先生の携帯が引っかかるわけです。ということで，ここは納得できるかと^^

遥に届いたお父さんからのメール

　遥の携帯に届いたお父さんからのメール。「遥へ。今まで本当にごめん。だがやっと会えるよ。……」という内容。問題は内容ではありません。Dateヘッダがない為か，送信日時が表示されないのです。お父さんはメールをヘッダから手書きしたようですね^^　遥は変だと思わなかったのでしょうか。

お父さんをトレース

　pythonのバージョン表記が 2.5.2 GCC 4.3.1 on linux2　になってますね。シェルも若干違うみたいだし。それに，LANケーブルを刺した様子もない事から，無線LANなんですかね。認証必要ないのか……（笑）　その後，pythonでLAN周りを調べますね。72hostsということで，周りに72台あることを見つけます。もしネットカフェの全台が無線LANを使用していた場合は，無線のパケット盗聴をして"お父さん"というキーワードを送受信しているPCのIPアドレスを割り出す事が可能です。もし有線LANでリピータハブを使用していた場合はそこから（表示は出てないですが）インターフェイスをPromiscas modeにしてパケット盗聴できます。　でも最近リピータハブを使う事は本当に無いと思うので，スイッチングハブやルータ環境を想定して「ARP spoofing」かと思います。pythonにも「import local_net s=localnet.Scanner('eth0') s.scan_arp()」がありました。ということで藤丸もワザとチャットの本文に「お父さんが」と複数回に渡ってキーワードを入れていますね。ちなみにこのチャットのURLは「http://freechatclub/」なので店内のローカル用サービスなんでしょうね，きっと^^

　藤丸がLANケーブルを挿すシーンがありませんが，ネットカフェ全体が無線化されていることは考えにくく，クラックの画面でも「eth0」を使っている事から，有線による接続だと思います。LANケーブルを挿すシーンさえあれば矛盾もなく繋がるのですが…　Σ(´Д｀lll) （16:36追記）

　で，はやり，「10 streams matched」なのでパケットからお父さんというキーワードを抽出出来ているようです。

　そのあと，「お父さん」や「霧島」，「テロリスト」などのキーワードを通信していたIPアドレスをパケットから読み，そのIPアドレスにポートスキャンを掛けています。普通に最初から137・138番ポートに話しかけても良いように思います。

　この137番・138番ポートはWindowsに存在する非常に「お話し上手」なポート番号です。話しかけるとデフォルトの設定では勝手に「コンピュータ名」「ドメイン名」「ローカル・ログオン名」「MACアドレス」，ほか結構な量の情報を返してきます。これらの情報を取得したい場合は，そのパソコンの137番ポートに対して問い合わせのパケットを一つ送るだけで良いです。IPアドレスさえ判明すれば，イントラネット環境だけでなく，インターネットを経由しても情報は取れます。（インターネット上で情報を取得できた場合はカナリ無防備だと思いますが^^）。そこで「コンピュータ名」がCLNT-18なのを突き止めます。

　履歴には「freechatclub.co.jp」が見えますけど（笑）ちなみに「freechatclub.co.jp」は実在しません。

　チャットの最初の画面で入室した時間が朝8時でしたから，藤丸が来るまで他のサイトを見ていたんですねー。って，きっと藤丸にメッセージを残すのにブラウザ履歴を削除せずコンセントを引き抜いたと信じたいのですが，メッセージを残すのにコンセントを抜いた理由がないので矛盾が……（笑）

　ここで頂いた質問のなかに「履歴を削除しても見つける事はできるのか」という質問がありました。答えは，履歴を削除しても時間がそれほど経つ前であれば復元は可能だと思います。ほかにも単にファイルを削除しただけでは結構高い確率で復元できます^^

　ネットカフェで履歴を完全削除するには同じセクタに0を書く必要があるため一般的に短時間で情報を消去するのは難しいかも知れませんね。（多分簡単に出来るツールはあるかもしれませんが，僕は使う必要がないのでよく分かりません^^）

まとめ

　久しぶりの考察でしたね^^ 最近クラックシーンが全然なかったです。CNETで考察記事を書き始めてからすごくたくさんの方からコンタクトを頂きました。記事を書いてたくさんの人と交流がもてるのがとてもうれしいです^^ 　最近，同い年の人がメッセンジャーでコンタクトをくれたのですが，仲良くなって結構遅くまでチャットしてたりしますよ。あとは大学の面接試験の控室で仲良くなった人がこの記事を見てメールくれてます^^ 人とのツナガリっていいですよね。それではまた！

※このエントリは CNET Japan ブロガーにより投稿されたものです。シーネットネットワークスジャパンおよび CNET Japan 編集部の見解・意向を示すものではありません。

ログインしてコメントするこのエントリを評価する

運営事務局に問題を報告この記事についてブログを書く（ブロガー専用）

前後の記事

Next：「ブラッディ・マンデイ」を考察する(05)
Previous：「ブラッディ・マンデイ」を考察する(03)

このエントリーへのコメント

koujirou氏が「『ブラッデイマンデイを考察する』について語ってみる」でスキルアップをするのに的確なアドバイスをなされています。

→msygreさん

馬鹿ハブ(リピータハブの別名)の名の通り、構造の単純なこのハブは送信先の区別機能をもたず、スニッファはハブに接続された全てのパケットを盗聴できます。
NICに届く宛先の異なるパケットを廃棄せず、そのまま解析するのがプロミスキャスモードというものです。宛先を区別しない、非常にセキュリティ上問題のあるハブだということはおわかりになりますね。
馬鹿ハブに対して実験をなさるなら、wiresharkなどごくありふれたパケットキャプチャで可能です。

先述の通りリピータハブは致命的欠陥を抱えており一般的に用いられるスイッチングハブに対しての攻撃は主にcain&abelによりなされます
ただし、くれぐれもこれらのパケットスニッフやARPポイゾニング検証作業は、あなたの管理するネットワーク内のみで行ってください。外部ネットワークに対し行った場合は刑法により処罰の対象になるおそれがあります。

Googleを師匠に、共に骨太な、そして倫理的なセキュリティ人を目指しましょう。

chiffon-2 on 2008/11/16

isidaiさん、はじめまして。
ブラッディ・マンディを自分と同じような見方をしている人がいてなんか嬉しくて書き込んでしまいました^^
と言ってもisidaiさんのような知識はないので、これほどの考察はできませんが。。。
ただ、矛盾を探して楽しんでいる変わり者です（笑）
先生のパソコンからデータをコピーする時に、ハードディスクをマウント、検索、見つかったフォルダが「マイドキュメント\ブラッディ・マンディ」。こんなところに重要そうなデータを保存してるテロリストなんているかいな。そしてなぜにwindowsのコピー中が出現する。そういや藤丸はブートCDも持ってるのかな？
などと突っ込みいれたり、考えたりしながら見ていたりします。

isidaiさんの記事はブラッディマンディの考察以外もとても為になります。
この日記でセキュリティキャンプの存在を知り、とても行きたくなりました。もう19才なので少しオジサン感はありますが、来年時間があったら応募したいと思ってます。
サーバーの構築やセキュリティに興味があるので、時間があったらディストリビューション選びの続きを書いて頂けると嬉しいです。

a_daiki on 2008/11/16

言葉が足りずすいませんでした。
>>インターフェイスをPromiscas modeにしてパケット盗聴できます。
これの詳しい方法をしりたいのです。
といっても他人のPCをクラックするつもりはないので。　

msygre on 2008/11/16

第六話を見て思ったんですが。先にでていたらすいません。
多数USB起動について質問があったのを拝見しております。
これがhttp://h50146.www5.hp.com/products/software/oe/linux/mainstream/support/doc/option/usb/usb-key.html
関係ありそうなんで載せときます。
HPが協力しているみたいなんで
よくわからないけど・・・
失礼します。

fire_s_akuma on 2008/11/15

VMware Playerで　ゲストOSの新規インストールは可能なんですか？
あと　ユニティ表示機能とはどのように設定すればよいんですか？
参考のURLなどあれば教えてください。
おねがいします

fire_s_akuma on 2008/11/15

→FALCONさん
Debianのダウンロードの仕方までは回答いたしかねます^^; 検索すると一番上に出てくると思いますよ^^
第2話で出てきたLinuxについてはOS名の表記がなく分からないのです　Σ(´Д｀lll)　ただ，Ubuntu8.10ではUSBインストールを正式にサポートしているはずです。Ubuntu7.04/8.04でもフォーラムにスクリプトが出ていました。他にもUSBにインストール可能なLinuxがたくさんあると思いますし，USBじゃなくても1CD Linuxはたくさんあります。ファイルの検索やコピーはLinuxを使う上で基本コマンドになりますからネットや書籍で詳しく調べてみる事をオススメします。
→chiffon-2さん
コメントありがとうございます><　サーバー構築・管理は非常に難しいものですがトラブルの度に成長できますよね^^ 頑張ってください。
→sugorokuさん
コメントありがとうございます。確かに最近は「HD革命/WinProtector」や「EasyRecovery」などのハードディスクを瞬時に復元するソフトウェアがありますね。WindowsとBIOSの間にドライバとして入って書き込み先を密かに変更しておく仕組みです。再起動の時（正確にはNTLDR起動時）に隠し領域に書き込んだものを削除しています。この削除もMFT（マスター・ファイル・テーブル）を消してるだけみたいです。もし作品中のネットカフェにこのシステムが導入されている場合，コンセントを差し電源を入れた時点ですべて消えてしまうはずですから，あのネットカフェには導入されていなかったのでしょうね。
→msygreさん
仮想マシンの使い方はこのブログで紹介することでは無いと思いますのでググってください^^
居場所の特定のどの辺が分からなかったですか？
→fire_s_akuma さん
ゲストOSのウィンドウがホストOSのデスクトップに表示されているように見えるってことでしょうか。これはVMWareのユニティ表示機能で実現できます。

isidai on 2008/11/15

藤丸がつかっているソフトが仮想マシン上のデビアンということですが。おかしいことがあるんですが聞いてもらえますか？
普通　仮想マシン上でウィンドウとかを開いたときそのウィンドウってWindowsのほうに移動することはできないはずですよね。（いいかたがおかしくてすいません。）
ブラッディ　マンデイをみたとき　USBからハッキングとかしているときデビアン？のウィンドウがWindowsのデスクトップ上にあることが多いんですがどうなってるんでしょうか？
わかりやすい例としては第一話で藤丸が折原せんせいの学校の部屋で暗号化されたファイルをかいどくしているやつです。

fire_s_akuma on 2008/11/14

考察の記事面白いですね。
仮想マシン（藤丸が使用していたもの）の使い方を教えていただきたいです。
また、インターネットカフェでの居場所特定について詳しい説明をもらえませんか？

msygre on 2008/11/13

起動することに成功しました。
しかし、どこを選択すればあの黒い画面に行きつくのかもわかりません；しつこいようですが教えてください・・・。

FALCON on 2008/11/13

なるほど。初心者の私にもわかる解説、ありがとうございました。
VMWareでなく、microsoftからvirtualPCというソフトをダウンロードしました。（無償だったので）
それでも大丈夫でしょうか？？どこからUSBにはいっているdebianをきどうさせればよいかわかりません・・・。

FALCON on 2008/11/13

かなりひらたく説明すると、仮想マシンとは字のごとく、仮想現実、バーチャル・リアリティなもう一台のパソコンです。あらゆるOSは一つのPCに二つ同時に起動、などどいう芸当はできませんが、あくまでVistaの想像、妄想のうえでの挙動をする「Vistaの手のひらの上のDebian」を作り上げているというわけです。(二台ぶんのPCパワーを使うということでもありますが・・)
そんな「妄想」を可能にするのがVMwareというソフトです。他にも幾つか種類があるので、使う時には適宜検索し、ご自分の条件にぴったりなものを探すと吉です。
仮想現実というだけあり、ネットワークの設定等を除けば使用感は独立したOSと大差ありません(スペックが低いと悲惨ですが)。もしLinuxの勉強をしたいならWindows上に仮想環境を作り、その上にdebianより扱いやすいUbuntuなどを動かせばいいかもしれません。debianは参考になる日本語ドキュメントが少なく、そのうえちょっと癖があり勉強用にはあまり向きません。
isidaiさん
「完全に」HDDデータ抹消と言うのは難しく同一セクタに複数回暗号化されたデータや0を書き込む必要があるため、それなりに信頼のおける抹消はある程度時間を要することは間違いありません。物理的に破壊するのが一番かと思いきや、そこからいかに復元するかといったことにNSAやらソッチ系の人が心血注いでいます。やはり仕事上そうなるのですね。
長文失礼しました。

chiffon-2 on 2008/11/12

面白かったです。
一個だけ質問というか。

いまどきのネットカフェPC環境って、PC再起動したらHDD情報が元にもどされるソフトが入ってると思うのですが、どうでしょう。
http://www.forest.impress.co.jp/article/2005/12/21/sharedtoolkit.html

こないだ入ったネカフェがそうだったなーなんて記憶があって、だからパパはパパなりに考えてやってんだなって考えてた。
まぁ、電源ブチ抜きはどうかと思うけどねｗ

sugoroku on 2008/11/12

ご回答ありがとうございました。しつこいようですがいくつか質問ができました；
パソコンにおいてこの分野については初めてなので専門用語を詳しく知らないものですから・・・。

>>VMWare（Workstation6.5 or Player2.5以降）に搭載されたユニティ表示でDebianを仮想マシン上で動かしているのかと思います。この、VMWare、仮想マシンとはなんですか？
また、debianの詳しいダウンロードの方法を教えてください。

FALCON on 2008/11/12

→FALCONさん

第一話以外自分は見ていませんが、そのときの環境をisidaiさんがこのように考察されています

>>色々考えたのですが最有力として考えられるのは，VMWare（Workstation6.5 or Player2.5以降）に搭載されたユニティ表示でDebianを仮想マシン上で動かしているのかと思います。

詳しくは第一話の考察記事を参照されたらよろしいかと。あと、FALCONさんの
>>あと、USBブートしてあの画面にいき、なんと入力していけばあのようにファイルのコピーができるのですか？
についても、使用OSが分からず何とも言えませんが、コマンド操作・シェルについて勉強ついでに試行錯誤してみては。
「cp」(UNIX環境でファイルのコピーを意味するコマンド)とか、「UNIX　コマンド」とかで検索するといい資料がいっぱいありますよ
。

isidaiさん
毎回のように正確な鑑識眼(?)見事です！自分がドラマみても分からない自信があります・・。
でもドラマ、なんだか当初と比べても派手さがさらになくなってしまったようですね。もっとモザイク、ピー音つきでボット管理画面とかMetaspl○itとかバリバリ使った方がカッコいいのに(笑)

今回学校でそっち方面に興味を持つ友達もいて、こんな自分にすら話を聞こうという人もちらほらいます。まあ彼らはちょっとだけ理解して、いざ実践したいと言う人は全然いないんですがね。オンラインの方に人脈がないのでちょっと羨ましいです
あと、あなたのおかげで、今度サーバ管理に挑戦しようと思います。
ありがとうございます！