2019年4月20〜21日のtwitterセキュリティクラスタ

とあるのが、モロ氏ではなく、朝日新聞須藤編集員が「事件化」する前に独自に掴んでいた利用者であるわけだが、この朝日の動きも未解明。
hbol.jp/190536/5
「**【2018年6月15日】朝日新聞デジタル『コインハイブ採掘「悪いことなの?」 サイト運営者語る』**  モロ氏へのインタビュー記事」

須藤編集委員のfacebookでの釈明?にコメントもついていたが、結局その後も応答はなかったか。
facebook.com/tatsuya.sudo.7…

もしこの連絡がなかったらどうなっていたか。6月か7月あたりに合同捜査本部が突然に「16人一斉検挙」を発表し、逮捕者2名が連行される様子がテレビで流される(これは現にあった)と同時に、朝日だけが詳しい記事を報道するという展開になっていたのだろう。
twitter.com/coinhiveuser/s…

「緊急周知」を書いたのが5月19日、最初の読売新聞の記事が6月9日で、警察側一斉報道が6月13日からなので、危ういところだった。警察庁の準備(注意喚起文の発表と国家公安委員会定例会対応への準備)がいつから始まったのか。読売新聞の取材が始まったあたりからだっただろうか。

この朝日のインタビューに応じた方、連絡欲しいなあ。いろいろと聞きたいことがある。
twitter.com/HiromitsuTakag…

【兵庫県警】「不正指令電磁的記録に関する罪」 における構成要件に関する開示結果について を公開しました

it-giron.com/653

このページに掲載されている公文書は、兵庫県警に開示請求を行われた @ozuma5119様より、ご提供頂きました

「Coinhiveはウィルスだ犯罪だ」とする人って、Coinhiveが「WEBサイト閲覧の対価として、閲覧中採掘をする」ではなく「WEBサイトを閲覧するとPCに感染して、駆除されるまで延々と採掘し続ける」と勘違いしてる人が混ざってる気がする。
ヒステリックに拒絶する人を見るとそう思う。 twitter.com/darai_0512/sta…

なるほど、その誤解はあるかもしれませんね。確かに「ウイルス対策ソフトが反応した」=「パソコンがウイルスに感染!」と思っている方は、想像以上に多いです(昔、サポセンも少し見てたので)。
Webブラウザで見てるときだけということを、理解してもらわないとダメなのかもしれません。 twitter.com/ZX_Yuu/status/…

(続き)
判決は、一般に「個別の事情に照らして例外的とは言えない範囲の者が意図に反する実行をさせられる場合には該当し得る」とした上で、本件を検討し、機能仕様として、ポップアップ通知がなく、バックグランドで動作し、実行されていることがわかるようにする機能は備わっておらず、合意なく…

…合意なく使用されるように作られていることも考えられるプログラムであったとし、弁護人が言うように、バックアップ用、盗難・紛失時の追跡用、子供の見守り、社員監視、浮気防止(合意の上で)の用途も考えられるが、発売当時バックアップはGoogleで足りるし、9800円という低額でない販売価格で…

…であり、これらの用途がどれほど想定されるかは疑問であるとした。開発経緯をみると、平成25年2月までに「iPhoneアナライザー」が浮気調査用として売れたことからAndroid版を開発することになったものであり、プログラマにメールで浮気調査用途での開発を進めるよう指示していた。社員が別件で逮捕…

…逮捕された時に販売促進を控えたが、7月には販促ブログを再開して売り上げを伸ばしていた。検索サイトの検索ワードで匿名販促ブログが上位に来るよう目指していた。その一方、盗難紛失用途について販売促進していた形跡はない。社内企画発表会でも、浮気調査前提、USB型隠しカメラが発表されていた。

判決は、これらの事実を列挙した上で、小括を以下とした。
主に浮気調査目的で作成されたプログラムであり、第三者が知らないうちに実行させられることが想定されるところ、当該第三者において本件指令が意図に反す動作をさせることは明らかであるから、例外とは言えない範囲でこれが想定される。弁…

…弁護人が主張するように(…失念…)、容易にするものが備わっておらず、(…失念…)としても、客観的一般的に認められ、不正指令電磁的記録に該当する。

また、弁護人は、本件アプリはスマホのロックを解除してデバッグモードにする必要があり、秘密裏のインストールは困難と主張するが、交際相手や配偶者であればロック解除はできるし、公式ブログにデバッグモードにする方法を解説していた。

認識認容していたと認められるかについては、浮気調査目的での販促の結果が出ており、匿名販促ブログを褒めるメールを送って開発を指示していたこと、25年12月に弁護士にコンプライアンス部門を新設させるまで変化なく、販売促進活動の方針を認識認容していた。

そうすると、故意のみならず、電子計算機の使用者にはこれを実行しようとする意思がないのに実行され得る状態に置くという実行の用に供する目的があったと認められる。弁護人は、利用規約で合意のないインストールを禁止していたから供用目的がないと主張するが、販促ブログ(…失念…)、採用しない。

判決は、量刑理由の中で、「プライバシーにかかわる情報が(…失念…)ことがないというコンピュータプログラムに対する信頼を害した」として保護法益の侵害性に触れていた。

この裁判ではゴーストルータの偽計業務妨害罪幇助も争われたが、判決は、アンドロイドアナライザーに不正指令電磁的記録作成罪を認めたのと類似の構造で有罪とした。ゴーストルータは通信内容の差し替え機能を持つプロキシサーバであり、差し替えロジックをスクリプトで設定する仕組みであった。…

…弁護人は、汎用のプロキシサーバであることを主張したようだが(最終弁論は見ていない)が、スクリプトは専用掲示板で交換されており、掲示板への投稿を社員が行なっていたこと、匿名販促ブログを書き、検索サイトで「パズドラチート」の検索ワードでの上位を狙っていたこと、価格が9800円と低額で…

…低額でないことなどから、判決は、業務妨害行為に用いられることを認識認容していたとして、偽計業務妨害幇助を認めた。

すなわち、善用も悪用もできる中立的機能のプログラムであっても、悪用のために作成・提供しているならばこれらの罪に該当する(場合がある)ということであろう。

このようなアンドロイドアナライザー(の作成・提供の実態)は2011年の「カレログ」も同様であったと言えよう。今回と同じ理由でカレログの開発販売も不正指令電磁的記録作成・提供罪に該当したと思うが、当時は見逃されたようだ。

話題の「カレログ」、しかしてその実態は。
takagi-hiromitsu.jp/diary/20110910…

当時の様子。作成罪が「誰かに供用罪を犯させてやろう、あるいは、自分で供用罪を犯してやろう、という内心を持って、供用罪に使えるプログラムを作成すること。」と解説されているが、その裁判例が今回一つ出たということになる。
togetter.com/li/184607

作成罪を刑法に創設することの危険性は、普通のソフトウェア開発まで犯罪とされかねないことだが、「供用目的」という文書偽造罪の目的犯の刑法理論通りに当てはめられれば心配することなかろうというのが当時の議論であった。今回の判決はその期待に沿っていると言える。
takagi-hiromitsu.jp/diary/20140105…

情報処理安全確保支援士が「支援」する情報処理安全確保士はどこにいるのだろう、と考えはじめて3年くらい経ちました。
ちなみに私は、いわゆる「未登録セキスペ」です(高すぎたので)

incognitoを使ってもISPやGoogle、Facebookはユーザを追跡可能だから目的別にブラウザを使い分けしたほうが良いよというアドバイズ。

全く同意です 🙂 twitter.com/slashdot/statu…

#SecHack365 で優秀賞に選ばれたチームの開発成果!

ツイッターの個人情報漏えい防げ 学生がアプリ開発 名前など検知しダメ出し – 毎日新聞 mainichi.jp/articles/20190…

スターダストプロモーションさんの #エビダンモバイル サイト (mobilelp.ebidan[.]jp)改ざんの件ですが、まだ不審なコンテンツが残っているようです。
ブラウザによって挙動が変わるようで、iPhoneのSafariでGoogleの検索結果から外部の不審なサイトに飛ばされることを確認しました。
ご注意ください! pic.twitter.com/RP6J7vZFuY

Facebook-bug-bounty-writeups:-

ImageTragick
XSS
CSRF
SSRF
Logic
Race Conditions
Rate Limits
Open Redirect
Clickjacking
Object Reference
Page Roles
Facebook Ads
Facebook Groups
Phone number
Email address
IP address
Symlink Attack
Secure File Transfer
github.com/emadshanab/fac… pic.twitter.com/l8d1CX7vH3

As promised, here is my 2nd #XSSearch report. I was able to leak your protected tweets though detecting the change of the URL.

2⃣Protected tweets exposure through the URL hackerone.com/reports/491473

#XSLeaks pic.twitter.com/qAWhOEByqx

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>