ecと楠栞桜noteのIP一致
最終更新:
sixthlicca 2020年10月17日(土) 20:44:35履歴
概要 
8月14日、楠栞桜のnoteからIPアドレスが流出していることが発覚した。
その流出していたIPアドレスは匿名掲示板5ちゃんねる上で悪質な煽動を繰り返していた人物=通称ecのIPアドレスと一致していた。
ecのIPアドレスはIP222.4.120.217で7月20日を最後に5ちゃんねるへの書き込みは確認されていない。
noteの魚拓は削除され、現在はソースコードから直接IPを確認することはできない。
URLの頭にview-source:を追加するとページのソースが確認できる。
ソースコード中に、
popularSiblingNotes: [{
name: aO, // 記事名
publishAt: aP, // 記事の作成時刻
likeCount: 1691, // 記事のいいね数
user: { // ここから記事のユーザ情報
urlname: h, // sio_kusunoki
nickname: i, // ニックネーム
noteCount: A, // 何個目のnote
followerCount: B, // フォロワー数
createdAt: C, // noteアカウントを作成した時刻
lastSignInIp: R, // 最終サインインIP
}
という記述があり、そのRという変数にIPアドレスの文字列が渡されているようだ。
このuserは「このクリエイターの人気記事」を表す情報の中に入っており、投稿者のユーザー情報を表していると思われる。
つまり、投稿者が最後にサインインした時のIPアドレスを表していると思われる。
ecの書き込みはec暫定書き込み(仮)を参照。
noteのIPが表示される条件については現在調査中である。
note公式から記事投稿者のIPアドレスが記事詳細ページのソースコードから確認できてしまう不具合があったと公表された。
また、noteのCXOである深津 貴之は以下のように発言している。
その流出していたIPアドレスは匿名掲示板5ちゃんねる上で悪質な煽動を繰り返していた人物=通称ecのIPアドレスと一致していた。
ecのIPアドレスはIP222.4.120.217で7月20日を最後に5ちゃんねるへの書き込みは確認されていない。
noteの魚拓は削除され、現在はソースコードから直接IPを確認することはできない。
URLの頭にview-source:を追加するとページのソースが確認できる。
ソースコード中に、
popularSiblingNotes: [{
name: aO, // 記事名
publishAt: aP, // 記事の作成時刻
likeCount: 1691, // 記事のいいね数
user: { // ここから記事のユーザ情報
urlname: h, // sio_kusunoki
nickname: i, // ニックネーム
noteCount: A, // 何個目のnote
followerCount: B, // フォロワー数
createdAt: C, // noteアカウントを作成した時刻
lastSignInIp: R, // 最終サインインIP
}
という記述があり、そのRという変数にIPアドレスの文字列が渡されているようだ。
このuserは「このクリエイターの人気記事」を表す情報の中に入っており、投稿者のユーザー情報を表していると思われる。
つまり、投稿者が最後にサインインした時のIPアドレスを表していると思われる。
ecの書き込みはec暫定書き込み(仮)を参照。
noteのIPが表示される条件については現在調査中である。
note公式から記事投稿者のIPアドレスが記事詳細ページのソースコードから確認できてしまう不具合があったと公表された。
また、noteのCXOである深津 貴之は以下のように発言している。
このページへのコメント
本人がアカハックだと明言しているのであれば、先だって警察が動くこともあり得るのではないかと思うがどうだろう。その結果、ecが夜桜たま本人だと完璧にバレた場合、誹謗中傷を繰り返していたecをアプランが法的措置に乗り出した場合、警察はすべての事情を法的措置にのっとってバラすだろう。順番が逆でも同じことで、ようはこの騒動のキーマンはecが誹謗中傷の対象としていたアプランやvtuberということになる。
ぜひともアプランはecに対して法的手段をとるべき。絶対に面白い結末が待っている。
ちょっと気になったのだが
「投稿者が最後にサインインした時のIPアドレス」
って事は投稿後に別の端末から第三者がログインしてそのページの編集画面いじったり表示するとかした場合、投稿時のアドレスが上書きされたりする仕様だったの?
それだとIP踏み台にしなくてもアカウントハックすればできそうな感じなんだが。
ecがnoteのアカウントハックしてご丁寧に全記事を編集してIP上書き?
note以外の情報も知りすぎているから、PC自体ハックされているほうがまだ現実的。
もしそうならnote以外のアカウントやオンライン決済時のクレカ情報も漏れている可能性が高いから、呑気に活動再開してる場合じゃないし、即刻警察に助けを求めるべき。
記事を踏みにいかなきゃ変わらないのか、ログインしただけで全部書き変わるのか
とはいえ、初動で不正アクセスに言及しないあたり、実際本人なんだろうけど
アンチスレ覗くだけならまだしもここまでのめり込んで書き込んでると
もはや内容がどうとかじゃなく純粋にやべー奴としか…
IP被り
民事案件
ルーターの下から正規手段で接続している
本人か家族、友人
不正アクセスでは無いので法律上の問題は無い(民事の被告になる可能性は存在するかも?)
他人が非正規の方法で接続
不正アクセスで刑事案件
自作ルーターのroot取られた
既製ルーターのzero-day
何れかのPCがtrojan踏んだ/zero-day
etcetc
不正アクセスパターンは可能性が無限大
VPN機能がある既製品のルーターに未知の脆弱性とかなら
メーカー等がお祭りに(それなりに数が出てるルーターを使っているはず)
セキュリティ側から考えると不正アクセスだと重い話になるのです
Youtube板のec関連情報まとめスレに専門家と思しき人がIP被りについて見解を出しているので転載。
難しいが要するに
「ec・楠栞桜が使っていたIPアドレスは実質的に半固定IPであり、かつMAP-Eという形式を使用しているため、ecが楠栞桜ではない確率はせいぜい0.01%である」ということらしい
262 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2020/08/15(土) 02:25:35.98 ID:X4ekJzPp0
気になって、詳しく調べましたが
222.4.120.0/24 のレンジを使うのは、独自網の auひかり では無いように思います
上記CIDR下のv4アドレスは全て ZJ120ddd.ppp.dion.ne.jp (ddd=第4オクテット) の逆引きが登録されています
非公開情報ですが、公然の秘密として、独自網の auひかり のレンジの場合、KDaaabbbcccddd.ppp(-bb).dion.ne.jp が逆引き登録されています
(2015年ころまでは、ADSL Oneもこの形で登録されていたと思いますが、もう死んだはずです)
件の、英字に続き第3-4オクテットのみを持つレンジは、KDDI(現au one net)がISPとなるFlet'sの光回線で使われていたものだったと思います
ところでau one netは静的IPv4サービス/オプションを提供していません
すると当然、Flet'sでは、PPPoEセッションが切れるたびにグローバルIPが変わるはずではと、
現代の人がそう考えるのは当然なのですが
au one netのグローバルIPアドレスは、少なくとも2010年ころから、実質的に固定IPアドレスとなっており、
むしろ契約上「動的IP」をうたっているのに実質固定なのは困るとたびたび問題にされてきました
(おそらくは、来たるべきv6プラス時代に、MAP-E/DS-Liteの導入を容易にするために、そのような運用にしたのだろうと思います)
独自網の auひかり ではない、むしろFlet'sだとなれば、仕組みの上では、終端にアドレス変換があると考えるほうが自然・・・
なのですが、KDDIのVNEは協賛子会社のネットワークイネイブラー(JPNE)のはずで、JPNEはMAP-Eを使うのでNATは出口終端ではなくCPE側にあります
MAP-Eの仕様を考慮すると、件のnoteが50%とおいた確率は、あってせいぜい0.01%くらいだろうと
その程度には難しいだろうと個人的には予想します