QU4RTZ

えいがさき第二章での天王寺璃奈によるGPXアプリへの不正アクセス考察

8 min read

LTスライドです

はじめに

  • ⚠本スライドにはえいがさき第二章の重大なネタバレが含まれます!⚠

  • 本スライドの考察はすべて私の憶測でしかありません。りなりーはいい子です。

あらすじ

  • アニメ版「ラブライブ!虹ヶ咲学園スクールアイドル同好会」の続き
  • 同好会メンバーに、スクールアイドルGPXという大会の招待状が届く

スクールアイドルGPX

  • 個人でエントリー
  • 専用の配信アプリ(以下、GPXアプリ)を通してパフォーマンスを行い、視聴者からの投票によって順位をつける

第二章

  • 関西が舞台
  • 第二章では、朝香果林、宮下愛、優木せつ菜、天王寺璃奈、三船栞子、ミア・テイラーがメインで登場
  • 屈指のりなミア回として知られている

あらすじ

第二章序盤は、ミア・テイラーにスポットが当たる

  • 姉のクロエ・テイラーが突然登場
    • ミアは、テイラー家(作中では有名な音楽一家)としてのプレッシャーから歌えなくなった過去を持つ
    • 姉の登場により、その過去の記憶を思い出してしまい、また歌えなくなる

あらすじ

  • クロエ・テイラーはなぜ歌えなくなったのかをミアに聞く
    • ミアがおどおどしていると、天王寺璃奈が代わりにミアの気持ちを話す

「本当は歌手になりたいこと」

「テイラー家のプレッシャーで歌えなくなったこと、そのことを家族に話しづらい部であること」

あらすじ

  • その言葉を聞いたクロエは、ミアをアメリカに連れ戻して歌手をもう一度目指そうと提案
  • ミアも明確に拒否しなかった

  • ミアと離れたくない天王寺璃奈、こじらせて闇堕ち

あらすじ

ミアが帰国してしまうことが嫌だという気持ちを隠すため、仮面アイドルA.L.A.N.としてミアを送り出す曲を歌う

  • その際、怪しげなパソカタをしているシーンが挟まる
  • A.L.A.N.の配信後、アプリがダウン。A.L.A.N.の配信によりアクセスが急増して落ちたのでは、と噂される
  • ミアは璃奈を探し、いろいろ話す

→ 最終的に、ミアは同好会に残りたいという自分の気持ちをクロエに伝え、日本に残ることに

あらすじ

その後、璃奈はGPX運営からお呼び出し、以下を伝えられる

  • アプリは第一章の時点でダウン寸前だった
  • 仮面アイドルのアカウントからの干渉によって数日持ちこたえていた

璃奈: 勝手にアクセスしてごめんなさい

運営: 許す

その後の展開は本編を見てね!

脱線

(TVアニメ版の話) そもそも、璃奈は感情が表情に出ないことを悩みにしていた(1期6話)

  • それを解決するため、璃奈ちゃんボードを開発
  • なのに今回の仮面アイドルとしての璃奈は、気持ちを隠すためにボードを使っている

ミア: 璃奈のボードは、気持ちを隠すためじゃなくて、伝えるためのものだろ?

↑激アツ

考察

では結局、怪しげなパソカタシーンで璃奈はGPXアプリに対して何をしたのか?

  • 璃奈は、闇堕ち前にアプリのロードが少し長いことに気づいていた
  • このことと運営との会話内容から、璃奈はサーバーに侵入して負荷分散のパッチを当てていたことが推測できる

→ どうやって侵入したのか?

考察

  • ランジュママ(運営)の言葉がヒント

「仮面アイドルのアカウントから」干渉を受けていた

クレデンシャルを盗んでSSHなどで侵入していたとしたら、仮面アイドルのアカウントから、ではなく〇〇ホテルのIPから、という言い方をされそう

→ つまり、GPXアプリの内部APIそのものに、RCEなどの脆弱性があったと考えられる

考察

さらにもう一つ

A.L.A.N.のライブ前、GPXのアプリにマトリックス的なエフェクトがかかるシーンがある

  • これはどういう意図なのか

  • そもそもGPXは招待制であり、アイドル権限でのアカウントは誰でも作成できるわけではないと推測できる

→ 璃奈は、以前見つけた内部APIの脆弱性を利用して、一般権限で作成したA.L.A.N.アカウントをアイドル権限へと権限昇格したのではないか?

時系列

1 GPXアプリのロードが長いことに気づく

2 闇堕ち

3 vimのようなエディタで何かを書いている(天王寺璃奈Vimmer説)

→ 内部APIのRCE Exploitを書いていた?

4 Exploit実行、負荷分散パッチ適用

5 A.L.A.N.アカウント作成

6 権限昇格(ライブ直前)

考察

不正アクセス行為の禁止等に関する法律

  • アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)

一般アカウントからアイドルアカウントに権限昇格を行ったと仮定すると、このあたりに抵触するのでは

まとめ

  • GPXアプリの内部APIに脆弱性があったのではないか
  • 天王寺璃奈はこれを利用してパッチ適用と権限昇格を行ったのではないか
  • 天王寺璃奈Vimmer説

†技術者倫理†を守ろう

グラフビュー