2019年1月19〜20日のtwitterセキュリティクラスタ

Coinhive裁判 第三回公判 傍聴記録
開廷

被告人質問
以下主質問、弁護人からの尋問
Q(弁護人)→A(被告,モロさん)

被告の経歴・仕事
→ウェブデザイナー、HTML,CSS等でホームページを作る

決まった客に作るのか、複数の客に作るのか
→複数の客に作る

いつからその仕事をしているのか
→10年前

ウェブデザイナーになる前は何をしていたのか
→大阪で調理師をしていた

なぜ転職したのか
→インターネットに興味を持ったので

大学や専門学校で学んだのか
→独学

プログラムを書くことはあるのか
→ある

どんな言語を使うか
→PHPやJavaScript

納品物にJSは含まれるか
→含まれる

どんなプログラムを書くか
→さまざま

JSはどんな仕組みで動くか
→ユーザのブラウザで動的に動く

サーバで動くのか閲覧者側で動くのか
→閲覧者側

(記録漏れ)
一般には~
→変わる~

よく知られているJSのプログラム
→Google Analytics

Google Analyticsとは
→ユーザーのアクセスを解析する

他の例は
→Google Adsense

Google Adsenceとは
→ウェブページに広告を埋め込む

仕事でJSについて閲覧者の許諾を得るか
→取る場合と取らない場合がある

許諾をとらなければいけないルールはあるのか
→そのようなルールはない

ウェブサイトの規約の中にどんなJSを使うか書くか
→書く場合と書かない場合がある、書かないケースが多い
JSの制作者から規約に書くことを求められると書く。例えばGoogle AnalyticsはGAからの指示があるので書く

・以下は普段の閲覧者としての質問です(?メモにはこうあるがよく分からない)

JSの許諾を取ることは
→ほぼない

許可が取られずJSが動くことは気味が悪く無いか
→悪く無い、利便性を損なうから

・弁2号証 一般的なウェブサイトの例として 法務省のウェブサイトのスクリーンショット
を提示

JSが使われているかわかるか
→スクリーンショットの状態では分からない

法務省のウェブサイトのHTMLソースコードを提示

JSが使われているかわかるか
→ソースコードからは分かる

どんなJSかわかるか
→どんなJSかはわからない

・弁2号証 p15. 法務省のウェブサイトの「ご利用に当たって」のスクリーンショット
を提示

JSについての記載はあるか
→ない

プログラマとしてこれは異常か
→そんなことはない

弁2号証 p20. 神奈川県警のウェブサイトトップページのスクリーンショット
を提示

JSが使われているかわかるか
→スクリーンショットの状態では分からない

弁2号証 p23. 神奈川県警のウェブサイトトップページのソースコードを提示

JSが使われているか分かるか
→スクリプトが使われている事は分かるが、どんなスクリプトかは分からない

弁2号証 p??. 神奈川県警ウェブサイトの注意書き
を提示

JSを使っているという記載はあるか
→ない

ウェブデザイナーの経験からしてこれは異常か
→そうではない、悪いものではない

JSを実行するにあたって許可を得る必要はあるか
→ない

なぜそう思う?
→JSのユーザー許諾~~~~ない

2017/09、Coinhiveの事をGigazineの記事から知る
新しいマネタイズの方法

Gigazineの記事ではCoinhiveについて肯定しているか否定しているか
→賛否両論

肯定意見: 新しいマネタイズの手段として注目
否定意見: ユーザーに隠れてお金を稼ぐのはどうなのか

違法との記載は無し

Gigazineの記事の結論は
→広告や課金以外の新しいマネタイズの手法、寄付に近いもの

甲21号証 Gigazineの記事を印刷したもの
を提示

読んでみてどうか
→新しい着眼点、興味深い技術であり使ってみたいと思った

・運営していたウェブサイトについて

2017/09 5~7個のサイトを運営していた
そのうちの一つに(当該サイト)があった
(~~~)の情報の共有サイト

ある程度のアクセス(30,000PV/月)がありテストに適していた
当時広告があり、月数千円の収入
費用としては サーバ代4~5千円/月、ドメイン代約1000円/年

Coinhiveは広告に変わるものとして導入
広告はアダルトサイトの表示があったりサイトの景観を損ねる
ローカル環境でテストしてから導入

Coinhiveにはスロットルというものがある
0: CPU100%
1: CPU0%
ローカルで0から1までテスト
(当該サイト)では0.5にセット、テスト時に0.5が問題ない値と思った

・甲7号証 (当該サイト)のHTMLソースコード
を提示

Coinhiveは50行目

絞り(スロットル)は52行目、スロットル0.5

ユーザーの反感をかうとは思わなかった?
→思わなかった

なぜ?
→テストで不快感がなく、2011年からユーザと作り上げてきたもの(サイト)の為、受け入れられると思った

反感をかうのがわかってたら設置した?
→嫌がられるなら設置していない

2017/11 Coinhive撤去
twitterで指摘を受けた

甲7号証 p6. 指摘を受けたツイートのスクリーンショット
以下ツイートのやり取り

Coinhiveを動かしているのは意図的か?
Coinhiveをユーザの同意なく動かすのはグレーでないか


意図的な物である、同意を取る方向で検討
(第三者にハッキングされてCoinhiveを埋められたのではと聞かれたと解釈)

Coinhiveを許可するかサイトから去るかを選べるようにすることを検討
しかしCoinhiveは儲からず(合計800円程度)、同意を取るプログラムを入れる時間が無い為、Coinhive自体を撤去

・甲21号証 被告が書いたブログ記事

2017/9 頃書いた
Coinhiveは広告以外のマネタイズの手法、面白く、知ってほしいとの思いから
GigazineとqiitaのCoinhiveに関する記事記事を参考にした

よく見たい、写真を撮りたいと申し出たが警察から注意を受けよく見れず

捜査中Coinhiveが原因とは教えられず

運営しているサイトについて聞かれ、2017年など(のキーワードから?)、Coinhiveでは無いかと思い聞いた所そうだとの返答

パスワードを教えるのを拒んだり、ファイルを消したり等の抵抗はしなかった

他人にハッキングされ捜査を受けているのではと思い、調べられることで身の潔白が証明されると思っていた

話した技術的なことは理解して貰えなかった

調書は話したことを記録して貰えなかった

言っていない事を書かれ、訂正を求めるとすでに印刷されていて訂正には時間が掛かり、取り調べが明日まで長引くと脅され、仕事に影響してしまう為応じるしかなかった

私服の警官に裁判所から令状が出ている以上違法だと怒鳴られることもあった

(1/2 続きは少しお待ちを)

そういえばとある演習で、侵害されたサーバにコインマイナー(もどき)を仕掛けるシナリオを入れたんだけど、CPU使用率だけを100%にしても普通にサーバ上の作業ができてしまい、わざと攻撃に気づけるようにするにはI/O負荷上げないととなりました。(結局そこまではやりませんでした

2019/01/19 Apple不審メール
【件名】:[ New Account Statement ] [ Security Checked ] – We’ll Suspend Your Account immediatly [ Case – 1967998 ], 17 January 2019 – MOGHZGWW
ブログに内容をまとめました。久しぶりにPDF付きのフィッシングメールです。
vulneraresearch.com/index.php/2019…

注意速報:ビットコインの時価総額7.1兆円を超える、10.1兆円分の無効なテザー(USDT)を送金しようとするもの(ハッカー?)が現れる。そもそもUSDTの時価総額が0.2兆円しかないのでおかしいですが。。。

#ビットコイン #Bitcoin #仮想通貨 #USDT #テザー #Tether pic.twitter.com/J7V1OGYZyc

GitHub – 0xcc-Since2016/TP-Link-WDR-Router-Command-injection_POC: CVE-2019-6487. A command injection vulnerability in TP-Link WDR5620 Series up to verion 3. github.com/0xcc-Since2016…

We all love your media player, but that’s really rude #VLC

VLC developers refused to consider #software “update-over-HTTP” as a threat.

Responded→ “no threat model. no proof. no #security bug”

It wouldn’t hurt if you simply consider the suggestion.

trac.videolan.org/vlc/ticket/217… pic.twitter.com/L77KDcNUMy

As promised, here’s part 2, where we inspect the network protocol to inject data and find a vulnerability. Kudos to @LiveOverflow and his PwnAdventure videos for some hints! #BugBounty #infosec nc-lp.com/blog/reverse-e…

「暴力団員がLINEスタンプをシノギ(収入源)にしている」というニュース、一体どんなスタンプなんだろうと気になって検索してみたらあまりにも前衛的なスタンプで草
※現在はショップから強制削除された模様 pic.twitter.com/RWpYtGttBx

ポート 37777 宛てへの通信(Mirai亜種と推測)が増加していました #ハニーポット観察
【ハニーポット簡易分析】Honeytrap簡易分析(169日目:1/19) – sec-chick Blog
sec-chick.hatenablog.com/entry/2019/01/…

SSHの通信が多い傾向で、マルウェアではパス部分にMaXDdTYの文字列が含まれていますが、何を意味するかまでは不明でした。 #ハニーポット観察
【ハニーポット簡易分析】Honeytrap簡易分析(164-168日目:1/14-1…
sec-chick.hatenablog.com/entry/2019/01/…

名和利男氏には、米国は現時点までに、ロシアが選挙に介入したとの証拠を公式には一点も提示していないということについて、ご注意いただきたいと思う。 pic.twitter.com/RKegxDP20b

新潟県警のサーバー不正操作 掲示板に爆破予告書き込みか #nhk_news www3.nhk.or.jp/news/html/2019…

クローズアップ現代+【追跡!“フェイク” ネット広告の闇】
1月22日(火)午後10時~
芸能人の画像が無断使用され体験談も全くウソ。「スマホで簡単に収入を得られる」などの誇大表現。問題のあるネット広告によるトラブルが急増。闇の“錬金術”に手を染めているのは誰か。
www3.nhk.or.jp/news/special/n…

Tカード情報令状なく捜査に提供 - 規約明記せず、当局は保秘
this.kiji.is/45964283887276…

Tカード情報を令状なく提供していることが判明
sankei.com/affairs/news/1…

→「Tカード」を展開する会社が、氏名や電話番号といった会員情報のほか、購入履歴やレンタルビデオのタイトルなどを令状なしに捜査当局へ提供していることが判明した。

「クリックしてはいけない!」フィッシング詐欺の傾向は? 政府の“かわいい”ハンドブック、最新版公開
itmedia.co.jp/news/articles/… pic.twitter.com/LorAFB0SGH

初めて入った部屋に仕掛けられた隠しカメラや盗聴器を発見する方法とは?
bit.ly/2WbnWTw

Netflixなどのストリーミングサービスでパスワードを共有しているアカウントが締め出されることになるかも
bit.ly/2R2zXGS

悪者から人々を守る善玉ハッカーたち–ロックスターをハッキングしてステージに招かれた者も japan.zdnet.com/article/351308…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2713 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>