[-]=======================================================================[-] Wizard Bible vol.59 (2014,8,16) [-]=======================================================================[-] x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x ---- 第0章:目次 --- x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x ○第1章: LINEのアカウントなりすましについて 黒林檎 著 ○第2章: 今さら聞けないカム送り解錠 IPUSIRON 著 ○第3章: お知らせ ○第4章: 著者プロフィール x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x --- 第1章: LINEのアカウントなりすましについて --- 著者:黒林檎 x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x ■0x01.) 最初に  世間一般で言われているLINEの乗っ取り手法と僕の成り済まし手法が同一とい う自信は無いですがかなり似た結果なのでは無いかと思います。  個人的にこれに気づく前はIDとPASSがいる(しかも不特定)であるのにバカみた いに乗っ取られる、しかもアカウントの持ち主にアカウントが戻ってくる?  そんな疑問がようやく解決した感じがします。 ■0x02.) Test環境 ・ubuntu 13.10 ・LINE 4.4.1 ※LINEの全バージョンで行えると思われます。 ■0x03.) 準備するもの ・iOS端末2台 ・1代目にLINEアカウントA(成り済まされるアカウント) ・2代目にLINEアカウントB(成り済ますアカウント) ※成り済まされるアカウントには視覚的になりすましが行われているのが見える ようにするためにある程度のフレンド又トーク履歴があると良いでしょう。 ・Linux環境(筆者環境Ubuntu 13.10)  上記環境+aでiPad上のドキュメントにアクセスできる事が条件 ■0x04.) 実行 cd '/run/user/1000/gvfs/sfc:host=498d2f5e5210116d....,porT=35=3' cd jp.naver.line  とかいう面倒な方法はしなくて良いです。  Ubuntuの場合はデバイスから"iPad上のドキュメントにアクセスしてくだい。"  LINEのアイコンが見えたと思うので、 ・取得データ:talk.sqli ・ファイル場所:LINE>Douments>talk.sqli /* 関連資料 LINEについて:http://www.slideshare.net/murashimamasahiro/line-38283011?ref=http://ameblo.jp/r00tapple/entry-11915243606.html */  では、これで成り済ますアカウントの基本データ(アカウントA)は手に入れまし た。  次に、このデータをアカウントBにマージ(上書き)します。  マージ作業が完了すればアカウントBのLINEアカウントを再起動してください。  以下の様な画面になれば作業の90%はほぼ完成です。 画像1:https://twitter.com/r00tapple/status/507914563409297408/photo/1  動機作業が完了すればaccount Aとaccount Bの差を見てください。 Account A:https://pbs.twimg.com/media/BwyDIhwCEAA4-w9.jpg:large Account B:https://pbs.twimg.com/media/BwyDIdoCUAEzH9z.jpg:large  見ての通りフレンド数も登録グループなどすべて同じになっています。  又、talk.sqliに書き込まれているトーク履歴までのトークはすべてaccount B にも引き継がれます。  よって、Account Aと同一のアカウントが作成される訳です。  そして面白い事に、Account Bから見ればグループに参加してるのはAccount B です(実際グループに参加しているのはAccount A)。  Account Bがグループにメッセージを送信すれば送信エラーとなり送信する事は 出来ません。  しかしフレンド(一般的なフレンドに対してのトーク)にたいしてはメッセージ を送信する事が可能です。  成り済ましによって単一ユーザーの被害が多い理由はこれにあると言えます。 ■0x04.) 最後に  talk.sqliへのアクセス又書き換えは難しくなくデータとしても重要度が高く大 変興味深いものでした。  是非皆さんも遊んでみてください。 x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x --- 第2章: 今さら聞けないカム送り解錠 --- 著者:IPUSIRON x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x ■0x01.) はじめに  カム送り解錠は、バイパス解錠の一種です。  カム送り解錠は、錠前ケースの内部機構に直接アクセスして、デッドボルトを 作動させて解錠する方法です。錠前ケースの隙間、シリンダーとドアの隙間から 針金などを差し込むことで、デッドボルトと連動するカムを直接操作します。  カム送り解錠の「カム」は、錠前ケースの内部に存在し、デッドボルトの出し 入れを制御するカムを指しています。 ■0x02.) カム送り解錠に関する歴史  日本におけるカム送り解錠に関する簡単な歴史を次に列挙します。 ・平成13年7月に兵庫県の錠前師がカム送り解錠を特許庁に実用新案登録しました。 ・平成14年7月に某TV局にて、針金1本で解錠できるとしたカム送り解錠を放送し ました。 ・平成14年9月に警察庁がカム送り解錠に脆弱な錠前ケースを公式に発表しまし た。それを受けて、新聞やTVなどのメディアが取り上げました。 ・平成15年に施行された「特殊開錠用具の所持の禁止等に関する法律」(ピッキ ング防止法)では、指定建物鍵の防犯性能表示を表記することが定められていま す。  そこにはカム送り解錠に関する項目があります。複数の試験員がカム送り解錠 の試験を行い、解錠するまで5分未満であるかどうかを判定します。 ■0x03.) カム送り解錠に脆弱な型番  すべての錠前がカム送り解錠に対して脆弱であるわけではありません。  警視庁は、錠前メーカー4社が製造した15種類の錠前ケースについて、カム送り 解錠によって不正解錠が可能であると公表しています(表1参照)。 (表1)カム送りの対策が必要なロックセット一覧 |メーカー名| 錠前ケースの型番 |h | MIWA | LA、MA、LASP、LD、LDSP、BH、BHSP | | GOAL | ASLX、HD | | SHOWA | 535(535D)、397、CL-30 | | HORI | 1210、130、1110、1311-64、1311-51、1311-38 |  錠前ケースの型番を知るには、ドアを開けたときに見えるフロント(アーマー プレート)に刻印されています。MIWAの場合は、カム送り解錠の対策済みである 場合は、フロントの刻印に下線が引かれています。  ドアの外側において、錠前の付近にひっかき傷があれば、侵入盗がカム送り解 錠を試みた可能性が高いです。 ■0x04.) カム送り解錠の原理  シリンダーの取り付け位置の真上に切り欠きが存在する錠前ケースが存在しま す(図1、図2参照)。その切り欠きの近くにデッドボルトに連動するカムが存在 するため、針金などの道具でアクセスされてしまうと、簡単に解錠されてしまい ます。  カム送り解錠未対策のMIWAのケースの外観は次の通りです(図1、図2参照)。 (図1:http://wizardbible.org/59/images/CamAttack1.jpg)正面から見たところ (図2:http://wizardbible.org/59/images/CamAttack2.jpg)上から見たところ  当然ながら錠前ケースはドアの中に存在するため、カム送り解錠を成功させる には何らかの方法でドアの中にアクセスしなければなりません。強引な方法とし てはドアに穴を開けるという方法がありますが、どうせ穴を開けるならばもう少 し頑張ってドアに穴を貫通させれば、もっと確実性の高いサムターン回しが実行 できます。  一般的な方法は、シリンダーを包むシリンダーカラーを引っ張ったときに、ド アとシリンダーカラーの間に隙間が開くように施工されている場合があります (図3参照)。ドアに開けられている穴は、シリンダーの円より大きく、シリンダ ーカラーの円よりも小さいもので す。つまり、シリンダーとドアの穴には隙間が少なからず存在します。ここから 針金を入れて、ドアの中にアクセスできるわけです。 (図3:http://wizardbible.org/59/images/CamAttack3.jpg)シリンダーカラーを引っ張った状態  以上のことをまとめると、一般的なカム送り解錠では、針金状の道具が「ドア とシリンダーカラーの隙間→ドアの穴とシリンダーの隙間→錠前ケースの切り欠 き」の順に奥に入っていき、最後にデッドボルトに連動するカムを操作すること になります。 (図4:http://wizardbible.org/59/images/CamAttack_Basic.png)カム送り解錠の基本  白色のコーティングがされた針金で作られたハンガーを用いて、カム送り解錠 の道具を自作しました (図5、図6参照)。  1本作成したならば、すべてのメーカーの錠前に対して攻撃できるわけではあり ません。とりあえずここではMIWAのケース向けのものを作成しました。複雑に折 り曲げられているのは、3ヶ所の隙間を縫うように挿入する必要があるからです。 (図5:http://wizardbible.org/59/images/CamAttack4.jpg)カム送り解錠用の道具(表) (図6:http://wizardbible.org/59/images/CamAttack5.jpg)カム送り解錠用の道具(裏)  このカム送り解錠の道具を挿入して攻撃している画面のイメージは次の通りで す(図7参照)。道具の先端はケースの切り欠きから入り、カムの右側に滑り込ん でいます。この状態で、先端を時計回りに回転させるように操作し、先端によっ てカムを引掛けたまま跳ね上げるように操作することで、カムが回転しデッドボ ルトが引っ込みます。 (図7:http://wizardbible.org/59/images/CamAttack6.jpg)カム送り解錠の攻撃イメージ ■0x05.) 古典的なカム送り解錠  上記で解説したカム送り解錠は、平成10年代前半に日本で悪用された手口です。  カム送り解錠という考え方自体は最近登場したわけではなく、昔からありまし た。昔は、多くが木製のドアで、錠箱を備えていない錠箱が普通でした。このよ うな状況下で、木製ドアの劣化や錠前の施工の荒さにより、ドアに亀裂が生じて しまうと、その隙間からデッドボルト機構にアクセスできたのです(図8参照)。 こうした亀裂はシリンダーの周辺にできやすいものです。 (図8:http://wizardbible.org/59/images/ClassicalCamAttack1.png)シリンダー周辺の亀裂  この頃はデッドボルト機構はカムを用いたものだけではなく、次のようなアク チュエーターを備えていました(図9参照)。このアクチュエーターは「内筒やサ ムターンの回転運動」を「デッドボルトの直進運動」に変換するものです。 (図9:http://wizardbible.org/59/images/ClassicalCamAttack2.png)アクチュエーターとデッドボルト  亀裂の隙間からマイナスドライバーなどを挿入して、アクチュエーターを施錠 位置から解錠位置に直接移動してしまうことで、デッドボルトを引っ込ませるこ とができます(図10参照)。 (図10:http://wizardbible.org/59/images/ClassicalCamAttack3.png)古典的なカム送り解錠 ■0x06.) カム送り解錠対策  カム送り解錠の対策は、次の通りです。 ・錠前ケースごとを取り返る ・錠前ケースの金属製の防止カバー ・シリンダーカラーとドアの隙間をふさぐ ・補助錠を設ける  最も確実な方法は、カム送り解錠の対策済みの錠前ケースを用いることです( 図11参照)。ただし、錠前ケースの購入コストと付け替えコストがかかります。 シリンダーの交換よりもコストは高くなってしまいます。 (図11:http://wizardbible.org/59/images/CamSecurity1.jpg)切り欠きがない錠前ケース  お勧めの方法は、錠前ケースの切り替えに、金属製のカム送り解錠防止カバー をかぶせることです(図12参照)。このカム送り解錠防止カバーは1個300円程度 と非常に安価です。 (図12:http://wizardbible.org/59/images/CamSecurity2.jpg)カム送り解錠防止カバー  カム送り解錠防止カバーの付ける作業も簡単です。ドアを開いて、ビスを2本外 して、フロントを取り除くと、本体が見えます。シリンダー側を留めているカン ザシを2本引き抜きます。すると、シリンダー部分が外れます。シリンダー部分が 取れた側からドアの穴を覗くと、シリンダーを抜いたところに隙間が見えるはず です(図13参照)。ラジオペンチで慎重に、ここにカム送り解錠防止カバーをは め込みます。後は、逆の手順で元の状態に戻します(シリンダーを取り付け、フ ロントを取り付けます)。  なお、部品をドア内部に落とさないように注意します。 (図13:http://wizardbible.org/59/images/CamSecurity3.jpg)カム送り解錠防止カバーを挿入する部分  シリンダーカラーとドアの隙間を防ぐスペーサーが販売されています(図14参 照)。この製品は500円前後で販売されることが多いです。 (図14:http://wizardbible.org/59/images/CamSecurity4.jpg)LA・BH用「ワンタッチ」  スペーサーを取り付けると、シリンダーとドアの間にシリンダーが存在するこ とが明白であり、美観を損ねるという問題があります。  スペーサーにも、スペーサーが半分に割れる「はめ込みタイプ」と一体化して いる「リングタイプ」があります。  前者の場合は、簡単に装着できるという利点がありますが、簡単に外されやす い製品も存在します。このような製品を使用してはカム送り解錠の対策にはなり ません。  後者のリングタイプか、はめ込みタイプでも、簡単に外れない製品を使用する べきです。紹介したLA・BH用「ワンタッチ」は、一旦リング状にはめ込むと、外 すためには専用の金具が必要になります。しかも、この金具はリングの内側から 挿入するため、シリンダーにセットした状態でスペーサーのはめ込みを外すこと は困難です。  カム送り解錠防止カバーよりもコストがかかりますし、美観を損ねてしまいま す。しかもカム送り解錠の根本原因が解決されないということになるので、あま りおすすめできません。ただし、HORIの商品の場合は、スペーサーを取り付けて も美観を損ねず、カム送り解錠に対する耐性も十分なので、有効な方法といえま す。  主錠と補助錠によるワンドア・ツーロックは、侵入盗にとって「主錠のピッキ ング」と「補助錠のピッキング」の合計時間が長く、防犯上有効な時間稼ぎがで きます。  しかし、カム送り解錠に脆弱な主錠をそのままにした状態で、補助錠を取り付 けるということは、有効な防犯を期待できません。なぜならば、侵入盗にとって 「主錠のカム送り解錠」と「補助錠のピッキング」の合計時間がかかるだけで、 防犯上有効な時間稼ぎはできないからです。 x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x --- 第3章: お知らせ --- x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x ○Wizard Bible(http://wizardbible.org/)では随時、執筆ライターを募集して います。  扱う内容のテーマは広義での「under ground」です。例えばハッキングやセキ ュリティからピッキングなどと幅広い内容を考えています。また特殊な職業や趣 味の解説などでも構いません。  一回きりでも構いません。また必ず毎回連載する義務もありませんので、でき る範囲で構いません。気軽に声をかけてください。 ○Kenji AikoさんがQ&Aを作ってくれました。初めて参加する人でもわかりやすく 書かれていますので、参考にしてください。 http://wizardbible.org/wbQandA.html ○Wizard Bibleに参加希望の方は気軽にメール(ipusiron@gmail.com)ください。 x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x --- 第4章: 著者プロフィール --- x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x ■黒林檎 ●Job:自宅警備員 ●Web: http://profile.ameba.jp/r00tapple/ ●Web2:http://www.packr.org/ ●Twitter: @r00tapple ●Mail: packr@packr.org ●Comment:  今回はLINEの記事です。  talk.sqli自体は結構昔の段階で見つけていたのですが、なりすましに使用でき る?と考えて記事にしました。  余談ですが、LINEの発表資料を公開した次の日にバンコクの方からメッセージ がありjsonファイルをどう見つけたか聞かれました。バンコクの方は通信を解析 して地道に見つけた様な事を言っていました(僕は.dbを漁った)。  雑な記事ですが最後まで読んでいただければ光栄です。 ■IPUSIRON ●Job: 自宅警備員 ●Web: http://akademeia.info ●Twitter: @ipusiron ●Mail: ipusiron@gmail.com ●Comment:  映画「ミスト」に続くイライラMAXの映画「ファニーゲーム」を観ました。日頃 イライラしている人には是非観てもらいたいです。  ところで、WBの原稿を随時募集しています。気軽にメールください。