2013年12月20日金曜日

これどうやったんだろう?被害企業の43億のアクセス履歴から黒子のバスケ脅迫犯を特定したらしい

被害企業のHP、43億ログ解析=大阪のネットカフェ男浮上―黒子のバスケ脅迫事件
 人気漫画「黒子のバスケ」をめぐる一連の脅迫事件で、警視庁捜査1課が脅迫を受けた企業約70社のホームページ(HP)のアクセスログ計約43億5000万件を解析し、大阪市の複数のネットカフェを利用する不審な男を割り出して、同市に住む派遣社員渡辺博史容疑者(36)の逮捕につなげていたことが20日、捜査関係者への取材で分かった。
 ネットカフェ周辺の防犯カメラ映像から、この男が特徴的なリュックを所持していることが12月上旬に判明。男が東京行きの高速バスについて検索していたことから、同課は再び脅迫文投函(とうかん)を始めるとみて大阪駅周辺で「見当たり捜査」を展開、15日早朝に渡辺容疑者を発見した。
 渡辺容疑者は東京、大阪、福岡など9都府県で、16の郵便局を経由して脅迫文を郵送。さらに自宅ではなくネットカフェのパソコンを利用し、捜査から逃れようとしていたとみられる。
う~ん、これ自分がこの43億のログを解析するとするとどうやるだろうなぁ?

おそらく警察が取得しているデータはIPアドレスとアクセス日時のデータが主だったところだと思うけど、

各被害企業のアクセスIPをユニークにして、企業をまたがる重複アクセスが多いIPほど犯人の
可能性が高いアクセスとして優先順位を付ける。例えばA社、B社、C社全てにアクセスがある
IPは犯人候補としてピックアップするような感じ。

候補となるIPの挙動を細かく見ていく。例えば企業HPのメールアドレスや住所などの情報記載ページを
見ている人や、犯行日以前の企業HPアクセスが多い人を有力候補にしていく。

みたいな流れでやるかなぁ。まぁ似たような感じで絞っていったんだろうね。