2019年5月30日のtwitterセキュリティクラスタ

起訴猶予になったアラートURL貼り付け事件の続き

今後サイバーセキュリティー月間には日本国内のWebサイト上から全てのJavaScriptを外してウイルス作成罪で捕まらないように善処するとともに、普段いかにWebでJavaScriptのお世話になっているか思いを致すというのはどうだろうか。不便過ぎて非現実的?GAFAが使えれば困らない?

トレンドマイクロ のシニアリサーチャーがループアラートが 非常に悪質な行為と言う資料を作って講演していたことが発覚
blog.livedoor.jp/blackwingcat/a…
#TrendMicro #coinhive

この記事の肝は、2011年の悪意のあった、正真正銘のブラクラ逮捕事件と、混同させて、ただのループアラートに対して、非常に悪質な行為と断言しただけでなく、罪の適用が可能であるような資料をトレンドマイクロが作成して、その資料をもとに公演していた事実が見つかったこと( ‘ω’)

ブラクラとループアラートの違いも分かりやすく書いたよ( ‘ω’)

スマイリーキクチさんはこの件で「検察や裁判で冤罪と認めた際に、お許しを頂けたら三名の方に直接謝罪に伺います」とtweetしたんだけど。
この事件はlibrahackの前例から「起訴猶予処分で誤魔化すだろう」と予想されてて、実際そうなったから冤罪とは永久に認めないよね。
itmedia.co.jp/news/articles/…

キクチさんの過去のいきさつから、そうなってしまうことには理解出来る点もあるのだけど。
「警察はサイバー犯罪捜査に関して、大ポカをやらかすことがあって、ありえない冤罪なのに逮捕することがある」「ほかの名誉毀損やネット脅迫事件とはニュアンスが違うので、捉え方を変えよう」ということ。

ブラクラとジョークスクリプトの違いもわからんような公的権力に対して、一般人ができるのはDisることしかできていないというのは問題だ。

スマイリー何某はなんでこの3月のブラクラ補導のつぶやき削除してるんですかね? archive.is/MMbuw

こっちが消えてる方が大きいかな?>情報を発信すれば自己責任だということは重々承知しております。現状では兵庫県警と裁判所が事件として扱っていますが、今後検察や裁判で冤罪と認めた際に、お許しを頂けたら三名の方に直接謝罪に伺います archive.is/fkLmB

『「犯罪にあたると考えるが今回だけは起訴しないでおいた」という姿勢でお茶を濁して終局的に終わらせる検察官の態度は,これら2名の方の心をさらに抉ることになることに思いを致すべきです。』
心は勿論のこと、社会的不利益もふくめてきっちり問いつめて欲しい。
yokohama-park-law.com/news/20190529.…

なるほど、NISCのサイバーセキュリティ月間について、各都道府県警はイロが分かれていたのですね。載せないところもあれば、兵庫県警はバナーmade出して冤罪検挙やる気マンマン。 nisc.go.jp/security-site/…
@nisc_forecast @cas_nisc
#NISC #サイバーセキュリティ月間 #サイバーセキュリティは全員参加 pic.twitter.com/J1quZdE7Tc

2019年 サイバーセキュリティ月間 結果報告 nisc.go.jp/conference/cs/…
被害者ゼロの「犯罪」をでっち上げて複数の市民を補導・書類送検、と書けばいいのに。

今回の不起訴が「世論の圧力」の影響を受けたものというのは、ちょっと違うかなと思います。そもそも検察官が、技術者中心の反発を「世論」とは受けとらないのではないか。

①適切な弁護活動
②Coinhive地裁無罪判決の影響
③被疑者が略式手続を拒んだこと

以上3つの要因の影響があったと思います。 https://t.co/wGaqrAme0D

①適切な弁護活動

弁護活動の内容は知りませんが、法律論をきちんと展開したのでしょうし、自白調書を作成させなかった。
そうすると「起訴しても有罪判決は取れなさそう……」となります。

②Coinhive地裁無罪判決の影響

「ウイルスっぽさ」を100点満点でいうと、Coinhiveは50点、Wizard Bibleは5点、アラートループは3点くらいだと思います(ざくっとした評価です)。
Coinhiveが無罪になったら、もちろんアラートループで有罪は取れっこないわけです。Coinhiveは控訴されていますが、

構成要件が抽象的なだけに、最初に無罪判決が出ると、「これはやはり無罪なのでは……」という雰囲気がけっこう強くなります。逆転有罪判決を取れるか不透明な状況では、アラートループはもっと自信が持てません。
また、無茶な起訴をすると、メンツをかけたCoinhiveへの悪影響もあるかもしれません。

③被疑者が略式手続を拒んだこと

ということで、到底有罪判決が取れそうにない、少なくとも全く自信が持てない状況になったわけですが、それでも検察官は略式手続で罰金刑に持ち込むことを狙います。いくら法律的に難しくても、略式手続に持ち込めば関係ありません。Wizard Bibleのときのやり口です。

というようなことで、不起訴処分(起訴猶予)となったのでしょう。嫌疑なし、嫌疑不十分は、メンツが潰れるので、まずありえません。

さて、それでは「世論の圧力」は意味がないのかというとそんなことはありません。警察の無茶な立件を抑止するためには、非常に大事なのではないかと思います。

警察に近い筋の話も聞いていますが、Wizard Bibleやアラートループは「やっちまったな」という認識が多そうです。
上からのノルマで、安易に挙げられそうなのをついたのだろうと推測しますが、そういうアホなことをすると「ややこしいことになる」ことを思い知らせてやることが肝要です。

追加で、なぜ、嫌疑なし、嫌疑不十分がありえないか。

捜査してみたらアリバイがあったとか、事実が認定できないということであれば、嫌疑なし、嫌疑不十分ということは、あり得ます。
今回は、外形的な事実(被疑者がリンクを貼った)としては、当初の見込み通りの事実が認定できているわけです。

示談で不起訴になったときは、本当の意味での起訴猶予だが、実質的には嫌疑不十分だけど、検事は起訴猶予と処理する、ということは間々ある。

検察庁の役所内部の話だから、あんまりこだわらないし、こだわっても無益だと思う。

yokohama-park-law.com/news/20190529.…

法的措置というと国賠になるだろう。
認められるかどうかはともかく、いかに不当な捜査だったかということをキッチリ民事訴訟で主張することは、今後の安易な捜査への警鐘になる。

私は、Librahack(IT技術者)は、福島大野病院事件(医師)に匹敵する重要性があると思っているのだが、法律関係者にはあまり知られていない。論文などにもほとんど出てこないと思う。
Librahackは不起訴で終わっているので、法律家の議論の俎上にのぼらなかったという側面がある。

クズ県警がよくいうセリフ

第3位
「悪いことしたってわかってる?」(悪いことしてないのに)

第2位
「家族がやってたらどう思う?」(別に問題ないのだけど)

第1位
「キャンペーン中だからよくわからないけど逮捕してみた」

その他に気になったことはこのあたり。

Chrome 74で修正されたmXSSバグが開示された。以下のような無害な<noembed>タグをDOMParserに通してからinnerHTML経由で取得すると、エンティティがデコードされimgタグが有効になっていた。

<noembed></noembed> <img src=x onerror=alert(1)></noembed>

bugs.chromium.org/p/chromium/iss…

OS Command Injection Vulnerability Patched In WP Database Backup Plugin
wordfence.com/blog/2019/05/o…
WP Database Backup PluginのOSコマンドインジェクションの脆弱性についての記事。うーん読む限り認証なしのRCEなので、めっちゃマインニングとかに使われそうな。

ヤマダ電機の事件を機にまとめ記事を書きました / “2019年1月から5月に公表されたウェブサイトからのクレジットカード情報漏えい事件まとめ | 徳丸浩の日記” htn.to/3CiiysVCQ9

Android の Digi Police(デジポリス) をインストールする時に聞かれる怪しいアクセス権について調べてみた
blog.livedoor.jp/blackwingcat/a…
@Ivarn twitter.com/Rutice_jp/stat…

npm module security の話、すごいわ、、、昨今のsecurity での古いモジュールの乗っ取りとかを受けてsecurity modelを見直す話。 #OpenJSSummit_ja

Timerを使ってside channel attackができてしまう。
Date.nowはもはやいろいろ使っててdeprecatedにできない。
process.hrtime, SharedArrayBuffer を使って高精細度なtimerが作れるので、Spectre, Meltdownのようなattackが成功してしまう。 #OpenJSSummit_ja

IPAおよびJPCERT/CCが「情報セキュリティ早期警戒パートナーシップガイドライン2019年版」を公開。脆弱性関連情報の適切な流通のための発見から公表に至るプロセスを詳述しています。^YK jpcert.or.jp/vh/top.html

世界最大の学会が「Huaweiの科学者による論文査読を禁止する」と決定
bit.ly/2XfcdTY

社内で「フィッシング詐欺試験」を行うとむしろ業務に悪影響が出る
bit.ly/2Xeyq4t

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>