【遠隔操作ウイルス】真犯人から今度は自殺予告メール

以前、遠隔捜査ウイルスの犯人のメールアドレスを特定した後、
犯人のメールアドレス宛てにメールを送っていたからか、昨日、自殺予告のメールが届いた。

下記、その内容。

タイトル

真犯人です。

日時

2012/11/13 23:54

from

onigoroshijuzo@yahoo.co.jp

添付写真


ファイル名:kubitsuri_rope.jpg

主なEXIF情報
  • 位置
    • 経度35° 45' 21.6" N、緯度:139° 58' 45.6" E
  • 撮影日:
    • 2012/11/13 – 22:58:20
  • カメラモデル:
  • レンズ焦点距離
    • 3.9mm

その他、含まれたExif情報詳細は後述添付写真に含まれたExif情報

本文

注)個人名、メールアドレス部分は**で表記

落合**
DIG様
TBS ****
朝日新聞 ****
矢野さとる
ITmedia ****
フジテレビ様

おひさしぶりです。真犯人です。
ミスしました。ゲームは私の負けのようです。
捕まるのが厭なので今から首吊り自殺します。
楽しいゲームでした。
さようなら。また来世ーーー

以降は5通のメール本文の転載が続く。
以前、onigoroshijuzo@yahoo.co.jp宛てに送った本文がこの中に含まれていることから、
この自殺予告メールが第三者ではなく、本人であることの証明となっている。

メールヘッダー

Delivered-To: yano@satoru.net
Received: by 10.42.99.130 with SMTP id w2csp550346icn;
Tue, 13 Nov 2012 06:54:44 -0800 (PST)
Received: by 10.68.231.97 with SMTP id tf1mr16592836pbc.149.1352818484193;
Tue, 13 Nov 2012 06:54:44 -0800 (PST)
Return-Path:
Received: from web4111.mail.ogk.yahoo.co.jp (web4111.mail.ogk.yahoo.co.jp. [124.83.238.98])
by mx.google.com with SMTP id s9si13909459pav.291.2012.11.13.06.54.43;
Tue, 13 Nov 2012 06:54:44 -0800 (PST)
Received-SPF: pass (google.com: domain of onigoroshijuzo@yahoo.co.jp designates 124.83.238.98 as permitted sender) client-ip=124.83.238.98;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of onigoroshijuzo@yahoo.co.jp designates 124.83.238.98 as permitted sender) smtp.mail=onigoroshijuzo@yahoo.co.jp; dkim=pass header.i=@yahoo.co.jp
Received: (qmail 14587 invoked by uid 60001); 13 Nov 2012 14:54:42 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.co.jp; s=yj20110701; t=1352818482; bh=y56cR3BTwD3gB3b2zh5QWzWDKUQSmd3ZsCf1BVp1UjA=; h=Message-id:X-YMail-OSG:Received:X-Mailer:Date:From:Subject:To:Cc:MIME-Version:Content-Type; b=CDQGegJOfaxBhqusGdbn3jId40aGD3jUmxhAITVYPEoVOjX1Xqr0n/JPj30ImraX+g9uDd4iCVEBSu7i8fV74srHddstp/EMrMQR98qdH/eGWL8Ap+45/oQSNQmH7ZfmHd/cdvrSImBBHcYhpeQPfXTpj0fZzgmQCoMbCRLlHHs=
DomainKey-Signature:a=rsa-sha1; q=dns; c=nofws;
s=yj20110701; d=yahoo.co.jp;
h=Message-id:X-YMail-OSG:Received:X-Mailer:Date:From:Subject:To:Cc:MIME-Version:Content-Type;
b=mYZx8SOzXWwXIfriHwWzGYaF7Hw4fAzPE3hr1sNKidsqux6LDDcEV7amb7FCUpoB6Y6VBuJwLVMUAQgdKbdLjJgDCA59+FlqZuua34C/pfi/UwjfJo265xBTieO1TswQxCBCfimtpob+a2r0qYvEPQw5kbMc11cR3HPJu75Zb+I=;
Message-ID: <333648.12926.qm@web4111.mail.ogk.yahoo.co.jp>
X-YMail-OSG: 63n8OswVM1ntLHxlaqYUyc_ajN4aVsdG_q_TFA0ZEA6DMnp_CfZv1BTDH0WLiL_4sQns_VA1JxClc9rQam3o6.nXIg2_ZoEiSuymdftDwUsMfaH5ausuHIE1dVHtBBL9MJh8ygTbN1FnXkxSwgkJEHkrN8UfFGzvBqDDyk6DmJBCYO9xVoXWaoT_21reoFwAmQUyYqCXcpyH1RAU7W3ojMSzgesL2O90dlLNunCj6K..QWorZ3bn4RDlCJV3CKg-
Received: from [31.172.30.2] by web4111.mail.ogk.yahoo.co.jp via HTTP; Tue, 13 Nov 2012 23:54:42 JST
X-Mailer: YahooMailClassic/6.0.19_71 YahooMailWebService/0.8.111_35
Date: Tue, 13 Nov 2012 23:54:41 +0900 (JST)
From:
Subject: =?iso-2022-jp?B?GyRCPz9ISD9NJEckOSEjGyhC?=
To: ****biglobe.ne.jp, ****@tbs.co.jp
Cc: ****tbs.co.jp, ****@asahi.com, yano@satoru.net,
****itmedia.co.jp, ****@mail.fujitv.co.jp
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="0-2125432386-1352818482=:12926"0-2125432386-1352818482=:12926
Content-Type: text/plain; charset=iso-2022-jp

添付写真に含まれたExif情報

Aperture => 2.8
BitsPerSample => 8
ColorComponents => 3
ColorSpace => sRGB
ComponentsConfiguration => Y, Cb, Cr, -
Compression => JPEG (old-style)
CreateDate => 2012:11:13 23:12:31
DateTimeOriginal => 2012:11:13 23:12:31
Directory => .
EncodingProcess => Baseline DCT, Huffman coding
ExifByteOrder => Big-endian (Motorola, MM)
ExifImageHeight => 480
ExifImageWidth => 640
ExifToolVersion => 9.04
ExifVersion => 0221
ExposureTime => 1/33
FNumber => 2.8
FileName => kubitsuri_rope.jpg
FileSize => 106 kB
FileType => JPEG
FlashpixVersion => 0100
FocalLength => 3.9 mm
FocalLength35efl => 3.9 mm
GPSLatitude => 35 deg 45' 21.60" N
GPSLatitude (1) => 35 deg 45' 21.60"
GPSLatitudeRef => North
GPSLongitude => 139 deg 58' 45.60" E
GPSLongitude (1) => 139 deg 58' 45.60"
GPSLongitudeRef => East
GPSPosition => 35 deg 45' 21.60" N, 139 deg 58' 45.60" E
GPSTimeStamp => 22:58:20.93
ISO => 85
ImageHeight => 480
ImageSize => 640x480
ImageWidth => 640
JFIFVersion => 1.01
LightValue => 8.2
MIMEType => image/jpeg
Make => Apple
Model => iPhone
ModifyDate => 2012:11:13 23:12:31
Orientation => Horizontal (normal)
Orientation (1) => Horizontal (normal)
ResolutionUnit => inches
ResolutionUnit (1) => inches
ResolutionUnit (2) => inches
Sharpness => Soft
ShutterSpeed => 1/33
ThumbnailImage => SCALAR(0xe30258)
ThumbnailLength => 6002
ThumbnailOffset => 684
XResolution => 72
XResolution (1) => 72
XResolution (2) => 72
YCbCrPositioning => Centered
YCbCrSubSampling => YCbCr4:2:0 (2 2)
YResolution => 72
YResolution (1) => 72
YResolution (2) => 72

ヘッダー分析

メールの発信元IP

Received: from [31.172.30.2] by web4111.mail.ogk.yahoo.co.jp via HTTP; Tue, 13 Nov 2012 23:54:42 JST

送信元IPは[31.172.30.2]、ホスト名は[tor19.anonymizer.ccc.de]。遠隔ウイルスおなじみのTor経由。

送信日時(追記)

Received: by 10.42.99.130 with SMTP id w2csp550346icn;
Tue, 13 Nov 2012 06:54:44 -0800 (PST)

太平洋標準時間(PST)とJST(日本時間)の差はPSTの時間+17。
よって、2012/11/13 23:54:44にメール着信と読み取る。

位置情報分析

GPSPosition => 35 deg 45' 21.60" N, 139 deg 58' 45.60" E

そのまま読み取ると、神奈川県保土ヶ谷だけど

大きな地図で見る
経度緯度を正しく再計算するか、もしくはiPhone等で画像を取り込んで地図にマッピングすると

大きな地図で見る
千葉県鎌ケ谷市が表示される。↓GPSチェック君でも位置特定可。
http://tool.satoru.net/gps_check/?url=http%3A%2F%2Fd.hatena.ne.jp%2Fsatoru_net%2F20121114%2F1352865212