なりすまし犯行予告が話題になっています。現在問題になっているものは、マルウェアが使われているようですが、それ以外に、無線LANの乗っ取りや、Webアプリケーションの脆弱性悪用などの手法があります。NHKの報道では、クロスサイトリクエストフォージェリ(CSRF)脆弱性が、過去に悪用された事例が紹介されています（ただしmixiの例と思われます）。

また、３つ目として、利用者からの投稿を受け付ける掲示板側にセキュリティー上の欠陥があった場合、利用者がウイルスに感染しなくても、書き込みをされるおそれがあります。
このうち、ＣＳＲＦ＝クロスサイトリクエストフォージェリと呼ばれる攻撃手法では、利用者に攻撃者が用意したホームページのリンクをクリックさせただけで、別の掲示板に文章を投稿させることが可能だということです。
この場合、利用者はクリックしただけなので、文章を投稿したことにはほとんど気付かないということで、過去にも大手の交流サイトなどで、この攻撃手法を使って、第三者に勝手に文章を投稿される被害が出たということです。

民放へのメール 計６件への関与認める NHKニュース

CSRFはあくまで「一例」として紹介されていますが、それでは、CSRF以外にはどのような脆弱性が「なりすまし犯行予告」に悪用できるでしょうか。

私が思いついたものは以下です。他にもあれば随時追記していきます。

• CSRF
• XSS
• HTTPヘッダインジェクション
• クリックジャッキング
• DNSリバインディング

前提として、(1)認証を突破する必要はない、(2)被害者のIPアドレスが掲示板などのサーバーに記録される、としました。

上記のうち、HTTPヘッダインジェクションによりHTTPボディを偽装できますので、XSSと同様の影響があります。（安全なウェブサイトの作り方第5版P33参照）。

また、DNSリバインディングについては、このエントリを参考にしてください。ここでは書き込みまではしていませんが、続きでJavaScriptにより書き込みまで可能です。この例では、認証時のCSRFトークンのチェックをJavaScriptで回避していますので、投稿時のCSRF対策も同様に回避できます。

XSSとCSRFは既によく知られています（でも掲示板だと対策していないケースが多い）と思いますが、この機会に他の脆弱性も確認することをお勧めします。

PS.
掲示板やメール送信フォームなどで上記を全て対策しているサイトは皆無に近いでしょうから、IPアドレスだけを根拠に捜査することが無謀だ、ということになります。ただし、それとは別に、サイト側も対策しておきましょう。