2019年4月17日のtwitterセキュリティクラスタ

アンドロイドアナライザーの不正指令電磁的記録作成罪とマンガワンの私電磁的記録不正作出・同供用容疑の話

速報。アンドロイドアナライザーの開発販売が不正指令電磁的記録作成罪に当たるとされた事件で、横浜地裁は、作成罪を認め(他にゴーストルータ販売でのパズドラ運営への偽計業務妨害罪幇助と合わせて)懲役1年6月執行猶予3年を言い渡した。判決で、不正指令電磁的記録該当性の要件が明らかにされた。

この事件は、dual-useなプログラムの開発が作成罪に問われた初の裁判であり、不正指令電磁的記録該当性がどう判断され、実行の用に供する目的がどう解釈され、目的が未必的認識で足りるとされるかに関心があり、初公判と判決公判を傍聴した。最終弁論・論告求刑を見逃し、争点を正確に把握していない。

初公判でのメモから。罪状認否で被告人は、当該ソフト販売の事実は認めるも、そもそも不正指令電磁的記録ではないとして否認。冒頭陳述で弁護人は、①当該アプリは意図に反する動作をさせるものではない。②被告人は作成を指示していない(誰に指示したか訴因特定されていない)し社員は道具ではない…

…ので間接正犯に当たらない。③(不正指令に該当したとしても)故意がない。加えて④実行の用に供する目的がないと主張していた。弁護人は法務省の解説「いわゆる…」から引用し、ファイルを全て消去するプログラムが、その機能を適切に説明した上で公開される場合に「意図に反する」ものとならない…

…ことを理由としていた。ここで思ったのは、法務省解説は電子計算機の使用者が自ら当該プログラムを起動する場合を想定して書かれたものであり、それゆえに適切な説明があれば該当しない理由となっているのに対し、本事件では、プログラムの設置者と電子計算機の使用者が別なので前提状況が異なる。…

…法務省解説は実はこのパターンを想定していなかった。改正刑法施行直後に「カレログ」が登場し、このパターンでの供用罪該当性が論点となっていた。その後、ストーカー犯罪に付随してこの類のアプリの無断インストールを供用罪で有罪とした事例が多発したが、作成罪が成立し得るかは残る論点だった。

つまり、アンドロイドアナライザーがどのような機能を備えているかは隠さず説明されているし、利用規約で合意のないインストールは禁止していたのだから不正指令に該当しないというのであった。判決はこれらを覆し、不正指令電磁的記録の作成であるとした。
twitter.com/HiromitsuTakag…

判決で作成罪を認める大きな根拠となったのは、同社が書かせた匿名販促ブログの存在(要するにステマ)であった。初公判で検察官が列挙した証拠には、販促ブログの画面が複数挙げられ、会社のメールや会議資料も挙げられていた。判決は、社員が販促ブログを書き又は書かせ被告人も成果を褒めたとした。

私もベッキー文春ゲス事案が勃発した際に、検索でその種のステマブログを複数見つけていた。本件で証拠に挙げられたものと同一かは不明であるが、当時保管しておいた画面が以下である。
web.archive.org/web/2015121300…
web.archive.org/web/2015093019…
web.archive.org/web/2015081823…
web.archive.org/web/2014111717… pic.twitter.com/1VOsj6PuCX

判決は、悪用の可能性があるだけで不正指令に該当するわけでないとする弁護人の主張を踏まえつつ、客観的・一般的に意図に反する動作をさせる機能を備える客体である場合に限られず、個別の事情に照らして例外的とは言えない範囲の者が意図に反する実行をさせられる場合には該当すると解されるとした。

@HiromitsuTakagi 悪用(も)できるプログラムだとわかって作成し、かつ「特に悪用の仕方を広めた」あたりを鑑みて、作成自体にも罪がある、としたという感じだろうか。
ネットワークスニッファの作成者が「こう使えば簡単に盗聴できますよ!」とPRして、そういう事例が多数起きたら同じことが起こる・・・?

マンガワンの件、イケてない実装を小学館に責任ある開示すれば喜んでもらえたかもしれないし、修整後のブログ公開などうまく取り付ければ承認欲求も良い方向で満たされただろうに。自分が得することしか考えなかった場合の末路として教訓になる

マンガワンのチートの件、書いといたほうが良いと思うので書くけど、違法か適法かと言ったら自分も違法だろうと答えるだろうし、それはわかった上で犯罪(有罪)とされるべきではないという立場で、何がダメって言うと技術で防ぐことと法で防ぐことのバランスが決壊していることを嘆いているわけ。

倫理観ある技術者たちは違法行為上等とは言えないだろうから少なくとも表向きは違法行為を非難することになるだろうし、弁護士や法律家は技術と法で防ぐことのバランスが決壊してても商売繁盛で万歳で、危険な傾向であると考えもせず、むしろ法の下で技術を制御することを当然に思ってすらいないか?

何が危険かって一つは言わずもがな、世の中には無法者がいるし本当の悪人というのは実際殆ど捕まえることが出来ないのだし、捕まえることができないものだから君たちは最終的にTorを規制しろとか言い出す。いざとなれば犯人捕まえて訴えれば良しという前提の社会インフラは脆弱だ。

じゃあマンガアプリがサイバーノーガードで何か悪いのかって、別に人の生命に関わるような重要システムではないし、それ自体を自分は悪いことだとは考えていない。問題は経済が、プラットフォーム全体が、チート防ぐために結果として「不自由なコンピューター」を前提としてしまうことだ。

もうすでに、一部の権利者の商業的な利益のために、不正な行為を「法で抑制」出来るという前提を守るために、自分の所有している端末内のファイルを変更したり識別子を変更したりすら、一手間二手間面倒なことになってて「不自由を強いられて」いることを良く自覚するべき。

その他に気になったことはこのあたり。

日記書いた / “WordPressのプラグインVisual CSS Style Editorに権限昇格の脆弱性 | 徳丸浩の日記” htn.to/24qQSrfhQz

「公開停止になったまま再開しないプラグインも珍しくありません」:WordPressのプラグインVisual CSS Style Editorに権限昇格の脆弱性 | 徳丸浩の日記 blog.tokumaru.org/2019/04/Wordpr…

WordPressプラグインを狙う攻撃が活発化している件をまとめてみた – piyolog
piyolog.hatenadiary.jp/entry/2019/04/…

Nexus Repository Manager(CVE-2019-7238)に関する通信など、
脆弱性関連の通信が数件ありました。
#ハニーポット観察
BW-Potのログ分析 (2019/04/15) – もぐもぐイタチのブログ
mogu2itachi.hatenablog.com/entry/2019/04/…

以下のようなApacheStrutsの脆弱性に関する通信が来ました
POST / redirect:${<java記述>}
#ハニーポット観察
BW-Potのログ分析 (2019/04/16) – もぐもぐイタチのブログ
mogu2itachi.hatenablog.com/entry/2019/04/…

『これは準備に膨大な時間と労力が注ぎ込まれた、非常に洗練された脅威です』
ご苦労なこった。ホント犯罪者の努力の向き先って不思議w

パスワードを盗みYouTubeのクリック数を稼ぐ新しいマルウェア jp.techcrunch.com/2019/04/17/201…

アサンジ氏の逮捕後、エクアドルへのサイバー攻撃が4千万件に
#アサンジ
sptnkne.ws/mmbP

【更新情報】
Oracleが脆弱性を修正した Java を公開しました。Javaを利用している方は、忘れずに更新してください。(Javaのライセンス変更に留意)
Oracleでは、Version 8 Update 211を推奨としています。

DL→ java.com/ja/download/
詳細→ oracle.com/technetwork/se…

ちょっと解りにくいタイトルかもですが、要は「脆弱性の確認を行っております。現在まで脆弱性は発見されていません」でいいのかな:当社製SIM通信機器における通信の安全性を確認しております | IODATA アイ・オー・データ機器 iodata.jp/news/2019/info…

攻撃者は侵入に成功した後、ネットワーク内を動き回ります。#ラテラルムーブメント と呼ばれるこのフェーズにおいて、何に注意すべきかを理解しネットワークを可視化することができれば、ひとつの不正な振る舞いを検知することができ、そこから攻撃の検出が可能になります。
blog.f-secure.com/ja/lateral-mov… pic.twitter.com/9m1EbbzFId

今年のゴールデンウィークは10連休。長期の休みを前に備えておきたいことを、ITセキュリティの観点からまとめました。IT管理者や会社勤めの皆さま、ぜひご一読ください。#10連休 #セキュリティ blog.kaspersky.co.jp/japan-big-holi… pic.twitter.com/95bUbGXTPu

[ITmedia エンタープライズ]さよならFlash、去らぬ脅威――FireEyeがFlashマルウェア分析ツールをオープンソース化 bit.ly/2V34MRN

[ITmedia NEWS]「ノートルダム大聖堂への寄付」を装った詐欺の恐れ NISCが注意喚起 bit.ly/2VLCjNK

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>