投稿内容が犯行予告だったりすると困る。（最近ニュースになってる一件がCSRFがらみなのかは知らない）
ちょっと調べて考えてみたところ、条件がよくても投稿可能だったひとを絞り込めるのは２人までで、特定は無理じゃないか？という結論に至った。

1. 投稿を実行した当時に、投稿に使われたIPアドレスを利用可能だったひと。
2. 投稿時のリファラーがフォームと異なるホストを指していれば、そのホストの持ち主。

リファラーのホストにXSSでCSRFページが仕込まれていたら？とか、無線LANをただ乗りされたら？とか、考え始めるときりがないけど「CSRF対策がないフォームへの投稿者を特定できるか？」という問いのためには、この２人について考えれば十分だと思う。

リファラーがあるなら２で決まりじゃん？と思うけど、決まらないんだなこれが。
リファラーを根拠に投稿者を特定しようとする限り、手書きでウソのリファラーをつけたHTTPヘッダをsocketで送れば、ウソのリファラーが指すURIの持ち主を投稿者に仕立てられてしまう。

この点をはっきりさせるには、どうすればいいんだろう。

1. 法令で、レンタルサーバー事業者に、ユーザーのドキュメントルート配下の全ファイルについて、一定期間さかのぼれるSubversion的な記録を義務づける。
2. 法令で、ISPに個人回線のInbound Port 80 Blockingを義務づける。

決定打って思いつかないけど、こういうことって警察庁や総務省のえらいひとが考えてそうだなあ。
残念だけど、インターネットってもう少し不自由でないといけないのかも。