2019年2月18日のtwitterセキュリティクラスタ

コインハイブ事件裁判の第4回公判が行われています。

coinhive(コインハイブ)裁判の第四回公判 最終弁論の傍聴してきました。

さすが、弁護士ドットコムNEWS(bengo4.com/c_1009/n_9261/)の記事がわかりやすいです。
ここに書かれていないことや気になった点を中心にまとめます。

かなり感情的な文になるかもです。

■前スレ
twitter.com/shonen_mochi/s…

検察側の論告求刑では超絶早口で本件でモロさんがやってきた事が語られました。

その中でも、
・『無断で』ユーザーのCPUを使用して~
・CPUの20%を使用し『一方的』に負担を強いられ~
・常識に照らして『閲覧者の意図に反する』

と悪意ある単語を強調

CPU20%は常識ないそうです\(^o^)/

また、メディアでは

マイニングが社会的に知られておらず社会的に合意がなかったことは明らか、と書いてありますが

実際は「マイニング自体が社会的に認められていない」と言ってました。

安倍総理!マイニング無しでブロックチェーン動かせって事ですか?
認めらてないのに予算組んだんですか!?

さらにTwitterや開発者ブログなどで、コインハイブに否定的な意見があるのをモロ氏が知っていたとして「モロ氏は違法なのを分かっていた」とのこと。

高木氏はユーザーがサイトを見なければいいと言ったが、ユーザーはCoinhiveが設置されているとは知る由もない。と主張

ここに対する反論は後ほど

「広告は広く知られ社会的に許容されている」と言いながらも、

モロ氏の事は「利益を得ようとして身勝手。再犯の可能性がある」として罰金10万円を求刑しました。

再 犯 す る わ け が な い

マネタイズのテストしたら身勝手なのかよ
検察お前もうインターネット見るな!このやろう。

対する弁護側、平野弁護士の最終弁論は非常にロジカルに組み立てられていました。

不正指令電磁的記録に関する罪は
・反意図性・不正性
・故意の有無

を検察が証明しなければならないのに、いずれも証明できていない。とのこと

①反意図について

モロ氏の設定(絞り0.5)は許容範囲内

「意図」って言うけど、検察はユーザーの意図がどういうものなのか調べもせず証拠が無いので「反意図」の証明にならない

JavaScriptはそもそも反意図にならないように機能制限されている(機能制限がユーザー・開発者の意図では?)。

②不正性について

不正って言うけど、そもそも何なら正当なのか示してないのに不正について語れない

処理能力低下・短命化の根拠を出してない

お金が不正なら広告もNG

検察の証拠の負荷テスト結果ってモロ氏と設定全然違うし、専門機関がミスったはずないからわざと裁判所騙そうとしてるだろ

③故意の有無について

仮に①②が検察の言う通りだとしても、コインハイブ設置した時点で公式サイトにポップアップ機能はなく知らせようがなかったし知らせろとも書いてなかった

Webデザイナーとしての配慮してる

Twitterで指摘され「グレーとの認識ない」(違法だと思ってない)と回答してる。

最後に被告人のモロさんからの陳述

この事件が沢山の人たちに注目してもらえたのはITの未来に影響を与えるから。

私やコインハイブを試した多くの人は誰かを不幸にしようとしたのではなく、どうしたらよりよいサイトになるか考え選択した。

僕が起こした行動は家族や両親にも胸を張れる行為です。

傍聴に行ってきた。主担当検事は新人のような青年。傍におばちゃん風のシニア検事。私は検事と裁判官の顔を観察していた。最後の被告人陳述のシーン、検事らの表情は神妙になっていた。他の検挙者らの件に話が及んだ時のシニア検事の目、この不正義に心を痛めたように見えたのは私の勝手すぎる想像か。

検察は前々回の公判で「CPUが損耗する」と言っていた件を取り消したのか言及しなかった。閲覧すると何が起きるかについて、JC3が行なっていた例のCPU100%の実験も取り消したのか、証人が証言した「7Wが17Wに」「ファンの動きが速く」に切り替えていた。

コインハイブ事件で論告求刑公判があり、検察側は罰金10万円を求刑しました。弁護側は「不正指令電磁的記録に当たらない」と改めて無罪を主張。原告の男性は「IT業界やインターネットに深刻な影響を与える問題」として慎重な判断を求めました。

bengo4.com/c_1009/n_9261/

その他に気になったことはこのあたり。

クライアント側でこの攻撃を防御できるか…原理的には絶対できないわけではない。すべてのECサイトで決済処理をやってみて、偽画面に切り替わってないか調べればよい。膨大な手間(と費用)なので商業的には難しそうだが、原理的には可能だ twitter.com/ockeghem/statu…

このようにして、偽決済画面に遷移していることがわかった場合、その事実をECサイト側に素早く伝えてサイトを停止してもらう必要がある。そうすると、そのセキュリティソフトの利用者だけでなく、すべての利用者が安全になる。ますます商業的な動機がなくなるが、サイト側に連絡しないのは道義的に問題

本家サイト側で対策が取れる点がフィッシングとの違いで、一般的なフィッシングの場合は本家サイト側で対策しようがないので「セキュリティソフトの利用者だけが安全になる」状態が可能で、商業機会が生まれる。ECサイト改ざんの場合は本家サイト側で確実な対策がとれる(まずはサイト停止になるが) twitter.com/ockeghem/statu…

こういう方法もあるか。これ専用のセキュリティソフトを作ってECサイト側に購入してもらい、利用者にばらまく。ECサイトごとにホワイトリストが定義してあり、偽画面に遷移したらセキュリティソフトでブロックするとともに、ECサイトにも連絡する…おっと、つぶやく前に特許を取るべきだったかw twitter.com/ockeghem/statu…

流出しているパスワードを入手してそれをマスコミに提供することは不正アクセス禁止法の第5条に違反する可能性があるんだよね。マスコミへの提供が正当な理由と言えるかは微妙

第6条の保管も「不正アクセス行為の用に供する目的」がなければ問題ないはずだが、WizardBibleの件を見ると安心はできない pic.twitter.com/yda9ymAXrO

WizardBibleが不正指令電磁的記録提供罪で罰金刑が確定したことの本当のヤバさは「Sockt通信のサンプルみたいなものが不正指令電磁的記録と判断された」ことよりも、提供罪の「正当な理由がないのに、人の電子計算機における実行の用に供する目的で」という限定条件が無視されてしまったこと。

問題の記事には「コードの悪用は厳禁です」と注意書きがあったし、そもそも記事はWB管理者が書いたものではない。WB管理者に「実行の用に供する目的」がなかったのは誰の目から見ても明らかなのにそれが無視され不正指令電磁的記録提供罪が確定してしまった。

WizardBibleが「人の電子計算機における実行の用に供する目的」があると判断されてしまったということは、Blogに脆弱性のPoCのコードを記載したり、PoCのリンクを示したりしただけで、不正指令電磁的記録提供罪となる可能性があるということになってしまう。

不正アクセス禁止法第6条のパスワードの保管も「不正アクセス行為の用に供する目的」がなければ問題ないはずだが、WizardBibleでさえ「供する目的」があると判断されてしまうと、ダークウェブで公開された数TBのパスワードを保存していた場合に供用の目的がないことを主張して認められるのか不安。 pic.twitter.com/4twOYTFWRj

久しぶりの啓発系記事でしたが、前日ランキング1位に入ってました

国の一斉調査直前!IoT機器を“最低限”守る7つのポイント bizcompass.jp/original/re-ma… pic.twitter.com/CYXapIE1Kz

Open Redirectの脆弱性が報告されていたこの件、非常に解りやすかったです(^_^ )。OpenRedirectはPhishingでも悪用されるのでホント、注意ですよー
openbugbounty.org/reports/756345/

メルカリ、LINE、サイバーエージェントが語る。最強のセキュリティ組織 – mercan(メルカン) mercan.mercari.com/entry/2019/02/…

【Web掲載情報】CTF for GIRLS 公式 Web サイトに運営メンバー柳優からの第十回ワークショップ開催レポートを公開いたしました。- 第十回 CTF for GIRLS ワークショップ開催レポート girls.seccon.jp/news16.html #ctf4g

SMS宛に「NTTDOCOMO」から突然こんなメッセージが届いたので、思わずアクセスしそうになったけど「ん?でもこれホントに本物のdocomoからのメール?」と怪しく思いネットで検索したところ、どうやら怪しいっぽい。。と、ここまで調べてふと気付いたけどそもそも私ソフトバンクじゃん。 pic.twitter.com/c1WVptGia5

“アンダーグラウンド市場で販売される自動車の物理的ハッキング手法 | トレンドマイクロ セキュリティブログ”

blog.trendmicro.co.jp/archives/20380

サウナはフィンランド人がくつろいで意見を交換する場でもあります。F-Secureのポッドキャスト『Cyber Security Sauna』の第20回目では、サイバー戦争は単なるSF上の産物ではなく現実のものであるというトピックについて議論しています(英文原稿付き)。
f-secure.com/cyber-security…

「データ無意味化」で情報漏えいリスクを排除–セキュリティベンチャーの挑戦 japan.zdnet.com/article/351327…

業務アプリ利用者の間でセキュリティ意識が高まる?–OktaのBusinesses @ Work調査より japan.zdnet.com/article/351328…

ユーザーのPC内に潜伏も? Microsoft Storeで不正な仮想通貨マイニングアプリ見つかる【やじうまWatch】 internet.watch.impress.co.jp/docs/yajiuma/1…

Macで「EXEファイル」を実行してアドウェアに感染させる攻撃に注意! 「Little Snitch」「Sylenth1」などに偽装  internet.watch.impress.co.jp/docs/news/1170… pic.twitter.com/WO3hfR7YJX

国のIoT機器調査「NOTICE」が20日から実施、その前にやっておきたい自宅のセキュリティチェック【イニシャルB】 internet.watch.impress.co.jp/docs/column/sh… pic.twitter.com/hLqXZrZRak

[ITmedia NEWS]Apple開発者アカウント、2ファクタ認証必須化 bit.ly/2V04U0Q

[ITmedia NEWS]「今すぐアカウント確認を」Amazonかたる詐欺メール出回る 「Amazone Japan」にログイン要求 bit.ly/2X6nN41

仮想通貨の発掘は悪なのか? VS. 平文パスワード保存は是なのか? (1/3):セキュリティクラスタ まとめのまとめ 2019年1月版 atmarkit.co.jp/ait/articles/1…

今月も書かせていただいております。

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>