2019年3月28日のtwitterセキュリティクラスタ

コインハイブ事件無罪の件続き

Coinhiveの構成要件該当性は非常に難しい問題なんですよね。

ただ、Wizard Bibleやループスクリプトの摘発を見ていて、Coinhiveで有罪となると、とんでもないことになると危惧していたので、無罪判決でよかった。無理な摘発が、裁判所の心証に影響した可能性もあろう。
jiji.com/jc/article?k=2…

あくまで予想だが(そうあるべきという話ではない)、Coinhiveで検察官控訴は8割、控訴審は6:4で被告人有利とみている。数字は感覚的なものだけど。

大々的に摘発しているだけに、ここで白旗はあげられないだろう。
控訴審は普通は検察官有利だけど、この手の解釈はノリなので、一審無罪は大きい。 twitter.com/kyoshimine/sta…

#nhk_news 「今日の判決は専門家の間でも意見が分かれています」そうかなー pic.twitter.com/X3QoqcttdS

CoinHive事件の再発防止。県警縦割りを廃しサイバーのKPIとして検挙件数以外の指標が必要。例えば消防署であれば出動回数より地域の防火をしっかりやる場合どんなKPIが有効か。生活安全なのだから防犯のKPIもあるのでは?犯人を挙げる前に被害者を出さないことを目的にしなきゃ

現場の警察官は悪くないんだよな。与えられたルールと評価体系の中で、最大限に高得点が取れるように動くなら、抵抗しない弱者によるショボい犯罪だけ選んでガンガン逮捕しまくって自白させるのが一番賢い戦略だからな。刑事裁判になれば有罪率99.9%だし。
諸悪の根源は、検挙件数をKPIに決めたやつ。 twitter.com/npa_koho/statu…

「サイバー犯罪に関する能力がない警察官が点数稼ぎのために摘発するという構造的な問題がある」というのが大問題。Librahack事件、WizardBible事件、この事件、無限アラート事件、全てそう。本当に地方の警察は無知。 / “コインハイブ事件で無罪判決 弁護人「警察の暴走…” htn.to/g5RbRU

若干違って、Librahackは被害届が(公立図書館という公的機関から)あったから事案、Wizard Bibleは「少年ハッカーを矯正してやりたい」という驕り事案。
twitter.com/kusaha_eru/sta…

理不尽のひとつを紹介する。
あるセキュリティ関連法が成立したので その施行前に消去したページがあった。ページ自体が触法しているとは思わないが、挙げられたWizard Bibleなみには問題のあるページだった。
僕としてはアクセス数が下がってたページということもあり、ページから削除した。→

→ だが、法施行後 数年経って ある警察署から「指導」が入った。
指導の内容は「(海外の)アーカイブサイトに登録されている」ので閲覧が可能、それを見られなくしろというものだった。
強制ではない、という。これは「指導」だからと。
はい従いました。任意同行が「任意」じゃないのと同じだから。

→ 断言してもいいけど、ハッキング技術にせよセキュリティ技術にせよ、彼らは 市井の・私的な技術者たちを「ヨゴレ」として扱う。
カタギ扱いはしない。
組織として そのようになっている。
うちも組織だし 一定の財力があるから慎重なだけであって、個人に対して その敷居はずっと低いと思うよ。

→ このように「法の不遡及」すらも、指導の名目のもと 平気で「手柄」に変えてくる。もちろんそんな警察官ばかりでないが、だけど仲間の警察官が こういった理不尽をやらかしても見て見ぬふりをする。だから一向に減らない。

北島委員「活動を高く評価したい」
川本委員「広告と同様…不正採掘は明らかに犯罪」
安藤委員「広告と…同じでどこが問題なのか…その違いが分かるように、閲覧者の認識…パソコン端末への支障、社会的相当性等の点につき比較して丁寧に説明することで理解」(続) #coinhive npsc.go.jp/report30/06-14…

小田委員「県警察による良い検挙事例であることのみならず、このような目に見えない犯罪への注意喚起という面からも、一般の方にも分かるように丁寧に広報をしていただきたい」

控えめに言ってもクズだらけですわ。よー分からん話に偉そうに口出すな。
#coinhive

CoinHive事案に警察・検察として着手すべき悪質性があったとすればMoneroを掘った点で、利用者の意図に反し資金洗浄の手伝いをさせた筋で攻めれば不正性を主張できたかも知れないが、検察側意見としてMonero採掘の不正性が主張されなかったのは立証が面倒だったからかな

コインハイブの無罪判決。全国の警察は昨年3~6月無罪となった男性を含む10人以上を検挙しました。技術者を中心に反発の声が噴出し社会通念自体がIT知識によってかけ離れている実情が明らかになりました。横浜地裁判決は「行き過ぎの感を免れない」と苦言を呈しました。 mainichi.jp/articles/20190…

「広告も、利用者が実態をよく理解しないうちに広がってしまったが、勝手に情報を取得する広告はクロに近いのではないか」とする。
yomiuri.co.jp/science/featur…

この園田教授という人はどうも従前から広告も黒い、というお立場のようですね。一貫性はあるとおもう。 twitter.com/Agano/status/1…

すごいな。この理屈だとネット広告も全滅では→「『無断で自分のパソコンが金もうけに使われても文句は言えない』とも受け取れる判決で、専門的な知識がないユーザーのネットに対する不信感を高めるのではないか」 / “「コインハイブ」事件で無罪判決|NHK 首都圏のニュース” htn.to/2VQmqBwRjmP

@masanork 広告は「自分のパソコンが金もうけに使われ」どころか、スマホの通信料で利用者に無断で直ちに金銭を負担させられますよね

@esumii そうそう、ぶっちゃけDMP広告が個人情報の勝手に第三者提供して混ぜてることの方が明確に違法性が高いし、利用者の負担という観点では動画広告によるパケット消費でパケ死したらどうしてくれるのか、DMMが漫画村に出してたスマホ広告とか明らかに意図に反してリンクに触れることを狙ってただろうとか

「ウイルスには該当しない」 Coinhive裁判、無罪判決の理由
itmedia.co.jp/news/articles/…

その他に気になったことはこのあたり。

兵庫県警へ行っていた「不正指令電磁的記録に関する罪」の犯罪構成要件等を記載した公文書公開請求は「決定延長」となりました。
このため経緯含めてブログを更新しました。お時間のあるときにお読み頂けると幸いです。
ozuma.hatenablog.jp/entry/2019/03/… pic.twitter.com/0nN1dMOmV0

みんなで逮捕されようプロジェクトが日本発のプロジェクトとして史上初のOSS人気ランキング世界一位って悲しいなぁ……悲しすぎる……

コインチェックをハッキングしたのは本当に北朝鮮なんですか?
blog.cheena.net/2193

東京大学のメールサーバが乗っ取られてて迷惑メールが送られてきてるんですけど
twaku@mol.f.u-tokyo.ac.jp
からメールが来てる場合何処に通報すればええねん

というかせっかく東京大学のメールサーバ乗っ取れて(乗っ取れたのはアカウントだけか?)るんだから日本語で東大関係のそれっぽい勧誘メール送ってくれば良いのに…東大大学院に推薦するから振り込めとか…
なんで英語でムスリム女性だからお金受け取れないから代わりに受け取ってとかやねん

#技術書典 で出店する #セキュア旅団 本ですが、今回は @K_atc にもゲスト参戦頂いて「K Framework を用いた脆弱性検出支援」を書いてもらいました 🙂 C言語で書かれたプログラムを例にとってバッファオーバーフローを検出してもらってます! pic.twitter.com/EYMGp2pizr

APT35が使用する99のドメインをMicrosoftが訴訟により奪ったという話。
彼らの得意技ですね。

Microsoft Retaliates Against APT35 Hacker Group by Seizing 99 Domains bleepingcomputer.com/news/security/…

【JC3】犯罪被害につながるメールが拡散中。件名は「写真送付の件」「写真添付」。添付されているエクセルファイルは、写真等を装ったマルウェアですので開かないようにしてください。詳細はこちら↓
jc3.or.jp/topics/virusma… #ウイルス

Cisco、ルーターの脆弱性を修正するためにユーザーエージェントcurlを弾く変更を加えて問題を修正したと言い張る。
twitter.com/RedTeamPT/stat…

#不正アクセス の87%はわずか数分で達成されますが、その検出には平均100日かかっています。F-SecureのMWR Infosecurity部門が発表したホワイトペーパー(英語版)で、 #インシデント対応 の詳細をご覧ください。 #サイバーセキュリティ
blog.f-secure.com/continuous-res… pic.twitter.com/sA8UAcw2FI

Spectre V2対策による性能低下を緩和する「Retpoline」の効果を確認する pc.watch.impress.co.jp/docs/topic/fea… pic.twitter.com/1ZgS9Lpdur

KPMG、中国サイバーセキュリティ法の対応支援–中国進出の日本企業などが対象 japan.zdnet.com/article/351349…

MS、イランのハッカー集団のドメイン差し押さえ–裁判所命令勝ち取る japan.zdnet.com/article/351348…

セキュリティインシデント認知率ではウェブ不正アクセスとなりすましメールが増加 japan.zdnet.com/article/351348…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>