2019年1月21日のtwitterセキュリティクラスタ

Tカード情報を令状がなくても捜査に提供していたようです。

Tカードはよくないが、実は警察はずっと前から令状なしで銀行でも税務署でも行き個人情報を取っている。「捜査関係事項照会書」という紙切れで、これを見せられたら「拒否」できないというのが警察庁の見解で、事実上の強制力を持つ。もちろん裁判所は関与していない。 twitter.com/cat_pad299/sta…

「捜査関係事項照会書」の発出者はたいてい警察署長で警官なら誰でも取れる。電話などの通信録から預金残高、ガス料金まですべての情報が取得できるうえ、公務員の守秘義務の対象外だから、役所の個人情報も取れる。一部の弁護士が問題視しているが、メディアはほとんど取り上げていない。

これは最悪ですねー。

規約に一言書いておけば済んだことなのに…。

Tカード側は個人情報保護法に違反するし、それを促した捜査機関は違法捜査のそしりを免れません。

なんだか、ファミマがTカードから撤退を表明してか… #NewsPicks npx.me/Z71T/JBFC?from…

@shoji_lawyer 個人情報の保護に関する法律の第23条には、個人情報取扱事業者は法令に基づく場合、本人の同意を得ずに第三者に提供してよいとなっています。刑事訴訟法第197条に基づく捜査関係事項照会書に回答することのどこが違法なのですか?

このニュースについてのコメントに「捜査当局になら知られても構わない」「やましいことしてないから平気」というのがあって「なぜそれがマズイのか」を知ってもらうための施策を立てないとヤバイと思いました(小並感) this.kiji.is/45964283887276…

CCCの捜査事項照会書で全部お漏らししていた問題、通信会社に居た頃は
旧第一種かつ、プロバイダー責任法や通信傍受法が施行されたのに合わせ、
「差押令状以外では決して開示してはならない」という社内ルールが全社員に周知された。少なくともISPやインフラ業務からは漏れる事はありません。

ただしかし、土管をやっている部署は大丈夫ですが、上位レイヤーのサービス(例えばdポイントみたいなの)やってる連中は通信会社らしくない発想の持ち主が多いので、ピンポイントに捜査機関が突いて来たら洩らす可能性はあるかもしれません。
dポイントでやらかしていたら容赦なく攻撃する予定です。

旧第一種通信事業者(NTT,kddi,SB)の在来サービスについては大丈夫ですが、二種ISPがどの問い合わせで洩らすかは警察がリストアップしています。Niftyとかは令状なしで洩らしていたらしいです。xSPについては通信の秘密の原則がゆるいので注意すべき。特にL7サービス業者は自覚すらありません。

通信に関わる業者は、たとえECであっても憲法の「検閲の禁止」「通信の秘密」に関わっていることをしっかり自覚していただきたいものです。
ネットワークエンジニアだけの問題ではもはやないのです。

捜査機関から「照会」があったとき
jla.or.jp/Default.aspx?T… 捜査関係事項照会書に対しては、緊急性がなければ断れる。罰則もない。となるとCCCが警察に渡したTカードの情報はすべて緊急性があったのか?

Tカードの捜査当局への令状なし個人情報提供、あれ多分捜査事項照会書(刑事訴訟法第197条第2項)と個人情報保護法(同法第23条第1項第1号)の規定についての問題かな?まあケースバイケースなのかとは思うけど。弁護士に相談するのがいいと思う…。

Tカードの履歴をCCCが操作関係事項照会書で提供していたという問題、当然、同業他社のPontaカードはどうか、dカードはどうか、という取材を期待したい。万一、dカードで同様のことをやらかしていた場合、携帯電話サービス(通話と通信以外にもいろいろある)でどうかという方向にもなりかねない。

日本図書館協会の「図書館の自由」の観点からみた「捜査関係事項照会書」への対応まとめ。もし図書館が適切な対応をしても、もしTポイント提携していたら「Tポイントジャパン」から個人情報流出する可能性があるのか / “捜査機関から「照会…” htn.to/pwkgJM

CCCによる捜査関係事項照会書への対応、最初まぁ照会されたら答えるわな程度に思ってたんだけど、Tポイントカードを持ってるかどうかに関係なく、氏名・生年月日とかをキーに答えてて、そのことを約款に書いてないって報道を見て、流石にそれはないんじゃないか?って驚いている

操作関係事項照会書があれば令状いらないからありとあらゆる金融機関は令状なく当局に提供してますね。

Tカード情報令状なく捜査に提供 規約明記せず、当局は保秘(共同通信) – Yahoo!ニュース headlines.yahoo.co.jp/hl?a=20190120-… @YahooNewsTopics

捜査関係事項照会書は刑事訴訟法に規定されているものであり、これを示したうえでの個人情報の提供は、個人情報保護法においては合法になります。

捜査令状と捜査関係事項照会書は異なるものであり、令状なしでと言及されているのが不可思議な感じはしているのが正直なところ。

CCCは「保有する個人情報は年々拡大し、社会的情報インフラとしての価値も高まってきたことから」、捜査令状だけに対応する内部ポリシーを緩和して捜査機関からの照会にも対応するようになったと説明。膨大な個人情報を保有しているからこそ慎重になるべきなのに意味不明。
ccc.co.jp/news/2018/2018…

規約に記載すればOKなんてことはなくて(もちろん記載せず開示していた問題はあるが)、令状なしで情報開示することを明言するCCCに、我々の行動を監視させるということ自体が問題。CCCだけに限った対応とも思えないが、こういたところに情報を与え続けるのはまずい。

これを危惧する場合、選択肢は退会だけではなく、すでに取得された情報の削除を請求することも必要になる。おそらく、退会だけでは取得された情報が消去されることはないだろう。が、これが実にわかりにくいし、面倒くさい。

この前田って、事件をでっち上げて逮捕起訴されて法務大臣から懲戒免職になった奴、違法捜査のプロ。

ポイントカードの利用履歴までも 令状なしで捜査当局に提供される様々な個人情報(前田恒彦) – Y!ニュース news.yahoo.co.jp/byline/maedats…

[ITmedia NEWS]「Tカード情報、令状なく提供」報道が波紋 「Ponta」「dポイント」の対応状況は? bit.ly/2R3YNX8

元Coinhiveユーザー氏によるCoinhive裁判 第三回公判 傍聴記録の続き

・検察の取調べについて
紙一枚で済むようなものだった
言い分は聞いてもらえなかった
技術に詳しい様には感じなかった
罪名は覚えていないが所謂ウイルス罪
罰金10万円、思っていたよりは安い

刑事裁判には弁護人のお金、仕事を休む等影響が出てしまうが、今後のIT業界に悪影響を与えると考え裁判を起こした

ここまで主質問、弁護人からの質問

以下反対質問、検察からの質問
Q(検察)→A(被告,モロさん)

(当該サイト)について

(当該サイト)はGMOのサービスを利用し、一人で運営していた?
→サーバーはGMOのサーバー

あなた一人で運営しているものか
→そう

・甲7号証拠 (ハンドルネーム)
(ハンドルネーム)というハンドルネームはあなたのものか
→そうです

(ハンドルネーム)と名付けた経緯は
→それはこの事件に関係あるのか

あなた一人であるかの確認をしたい
→(ハンドルネーム)は私の事です

それは経緯は言いたくないという事か
→はい

CoinhiveについてGigazineで2017/9に見た
ユーザに隠れてマイニングは良くないと認識(メモ不足でこれが質問か回答かは不明)

Gigazineを読んで閲覧者のCPUを使ってマイニングするという機能を理解
Gigazine以外にも調べ、理解したうえで設置した

設置した時について
(当該サイト)に被告自身が設置した

anonymousという単語の後に英数字の羅列があるがこれの意味は
→被告人が設置したという識別コード
モネロウォレットにモネロが入る

Coinhiveから割り当てを受けた(サイトキー)
その英数字の羅列を設置したのも被告

(追記: anonymousは名前なしマイナーの名前、確かuserマイナーにして、サイトキーの後カンマで区切ってユニークな文字列を書くと、収益は全て同じ財布に入るがマイニングに関する統計その名前毎に別々に取れる、たしか。)

(当該サイト)閲覧者、スロットルを50%にした理由は
→ユーザに不信感を与えない為、ブラウザが遅くならない様に

(当該サイト)を見ているだけでは重くならず気付かない
警察が捜索した時点でPCにサーバと同じコードを保存(保管?)していた

・PHPコードについて
甲8号証 資料3 何かのエディタのスクリーンショット、タスクマネージャも映り込んでいる

自宅PCのPHPコード

このコードはどのページで動くか
→ファイル内の設定が網羅されていて、どのページというより全体で動く
閲覧者はどのページを見てもマイニングされる

(当該サイト)のCoinhiveで得られるモネロは運営資金となる

スクリーンショットのタスクマネージャのグラフが100%に張り付いているがなぜか
→わからない

このグラフの意味はわかるか
→わかる、CPU使用率

twitterで「~~」という人に指摘された
被告がユーザの許可を求める人がいると認識

被告人もユーザーの許可をとったほうが良いと思った?
→「良い」とは難しいが、そのほうが共感を得られるとは思った

Coinhiveは閲覧者がページを開いた瞬間から採掘される
一度も許可を取ることは無かった

2017/11に撤去したが具体的な日付までは覚えていない

Coinhiveは利益を得る為に設置した
実際に得られる利益は少ないという記事があったため期待はせず
qiitaの記事を見る限り利益は少なかった、金額は失念
0.1267円

完全に広告を置き換えるのではなくテストとして設置した

ユーザの許可を求める機能はCoinhive自体には無い
(厳密に言うと、当時のCoinhiveには無い、その後AuthedMine登場)

マネタイズの意味は
→収益化

ここまで反対質問、検察からの質問

以下補足質問、裁判官からの質問
Q(裁判官)→A(被告,モロさん)

・裁判官①からの質問

(当該サイトのコンテンツ)以外の要素はあるか
→(~~)の為のツールの紹介等もある

投資、仮想通貨の要素はあるか
→ない

マイニングがどんなものか知ってた?
→知ってた

Coinhiveの機能は知ってた?
→機能を知るとはソースのことか?
規約のことか?
規約という意味であればCoinhiveの公式サイトには説明や規約が書かれていてそれには目を通した

qiitaやGigazine以外でもCoinhiveについて記事を読んだか?
→平成29年 10/30より前にCoinhiveをネット記事で読んだが具体的には覚えていない(9/30ではないか? 何かのミスか本当かは不明)

Gigazineで紹介されたサイト(The Pirate Bay)ではユーザーの意見が出て炎上したのは知っていた?
→知ったいた

どう思った?
→Coinhiveそのものではなく、広告を含むお金稼ぎが良く思われていないのでは
節度を持ってやれば問題ないと思った

裁判官②からの質問

モネロウォレットはボカログにCoinhiveを入れる直前に作ったのか?
→(当該サイト)に入れるためにモネロを使い始めた

甲19号証 Coinhive公式 機能や規約 日本語、甲18号証の英語verをGoogle翻訳に掛けたもの
(いつ時点のCoinhiveサイトなのかは不明、最新/現在のものでは無いが、当時のでも無い様な気がする)

(この周辺はメモ不足)

平成29年 9/22 運営を開始直後、アンチウイルスソフトにブロックされた~~~(意味不明なメモ, G翻訳が意味不明なだけかも知れない)

裁判長からの質問

Coinhive公式にオプトインやブロックについての記載があったのは知っていたか?
→当時あったかは知らない

アンチウィルスソフトに引っかかるというのは
→それは知っていた。(当該サイト)は(アンチウィルスソフトに引っかかるという意味で)平気だった。

弁護人の指摘: Coinhiveのサイトにアンチウイルスソフトの件が載ったのは10/16であり時系列的に知っているはずがない
→裁判長「事実として無かったですね」(??)

twitterで~~氏に指摘を受け、サイトを加工すると答えたが加工はせず、Coinhive自体を撤去した
時間が足りなかった

800円ほどしか儲からなかったので消すのが最適と判断

(ここからメモ不足が多くQ&Aの関係がはっきりしていない)

被告人の考え方、前回の法廷の高木氏の証言の通り、一般的にプログラムの説明を示すことには否定的
前田先生も同様の意見
(恐らく前田勝之先生のこと?: twitter.com/search?f=tweet…)

JSについて事前の告知は無いがCoinhiveで許諾を得るかどうかはユーザの考え方による

Coinhive導入時、個別の許諾は利便性を損ねメリットにならない
利便性とは運営側ではなく閲覧者の利便性

Coinhiveは新しい手法である

ユーザの許可を取るべきか図るための1ヵ月間であり試しにであった

なぜ許可を取るべきかわからないのに同意をとらずに行ったのか?

→CoinhiveについてYes or Noのチェックボックスを設置すべきか
JSはトップページに戻る、といった様な処理にも使われていて、それも許可制となると不便である
一般的なJSは許可を取らないのでそれに従った

Coinhiveアカウント作成後、Coinhiveのウェブサイトの更新は見ていない

以上

次回2/18 10:00 401号法廷

オプトイン方式のCoinhiveが出たのはこれのずっと後ですし、Coinhiveのサイトにアンチウイルスソフトにブロックされる場合がある 的な話が載ったのもモロさんのCoinhive導入から少し後ですね twitter.com/coinhiveuser/s…

当時のCoinhiveを使っていた当事者として話しますと、Coinhive登録時にメールアドレスを登録し、その認証メールが1通来ただけで、それ以外一切Coinhiveからメールは届いておりません。

お知らせの類のメールも無かったので、AuthedMineの登場やアンチウイルスソフトにブロックされる可能性の話もCoinhive公式からの情報は一切ありませんでした。
お知らせが多すぎるのも嫌になりますがそれくらいは送ってくれても良かったのでは…と思っています。

その他に気になったことはこのあたり。

1. ほんとに県警のNWから書いたアホがいる
2. IPアドレスを詐称する通信であり、それが通った
3. 掲示板側に脆弱性があってリモートホスト情報を外挿可能だった
4. 県警内部のNWに踏み台があった
5. CSRF的な何かに引っかかってやられた

さあどれだ

前澤友作さんの偽アカウント、また凄いのが出てきたな。BTCを送ると10倍にして返しますというのはいいとして、プロモーションツイート出してるw pic.twitter.com/cWWZsou4eJ

SysmonSearchを使用してインシデント調査する方法を公開しました。 ^WT / SysmonSearchを用いて不審な挙動を調査 blogs.jpcert.or.jp/ja/2019/01/sys…

パロアルトネットワークス @Unit42_Intel脅威アナリストによる #Wireshark パケット解析チュートリアル第2回 効率的なフィルタリング設定: paloaltonetworks.jp/company/in-the… pic.twitter.com/esCP3rgEr0

2月8日(金)19時よりOWASP Nagoya Chapter ミーティング 第9回を開催します\(^-^)/
OWASP TOP 10 をテーマにするとともに、参加者同士でアプリケーションのセキュリティについてざっくばらんなフリーディスカッションも行います。
みなさまの参加をお待ちしています!

owaspnagoya.connpass.com/event/114147/

NGTめぐり新騒動 ネット掲示板で「荒らし」行為、新潟県警サーバーに不正アクセスか zakzak.co.jp/ent/news/19012…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>