「Log4j」の脆弱性を突く攻撃手段の情報共有は違法? 日本ハッカー協会に聞いた
文字列を記録させるだけで任意のリモートコードを実行できるゼロデイ脆弱性があることが明らかになった、Javaのログ出力ライブラリ「Apache Log4j」。12月10日に話題になってから、Javaを使ったシステムに関係するITエンジニアは対応に追われている。一方で、その脆弱性を突く具体的な手段をネット上で共有する行為は「不正指令電磁的記録に関する罪に問われるのではないか」と議論が起きている。 「罪に問われる可能性はある」 問題解決のためとはいえ、攻撃手段となりうる情報の共有は罪に問われるのか。日本ハッカー協会の杉浦隆幸理事に聞いたところ「log4jの脆弱性をつく攻撃を実際に実行して、成功してしまうと不正アクセス禁止法に該当する」と前置きした上で「そのコードを共有する行為は不正指令電磁的記録に関する罪に問われる可能性は十分にある」と指摘する。 不正指令電磁的記録に関する罪とは、コンピュータウ
「ウイルス罪」めぐる事件、セキュリティ事業者に余波 「活動の萎縮につながる」「指針が必要」
「ウイルス罪」めぐる事件、セキュリティ事業者に余波 「活動の萎縮につながる」「指針が必要」(1/2 ページ) さまざまなサイバー攻撃をいち早く検知し対処するには、攻撃者の手口、足掛かりとするインフラ、利用するツールなどの知見が欠かせません。ランサムウェアやbot、攻撃コードについても、例えばハニーポットを構築して捕まえ、解析することで、「どんな脆弱性が悪用されるのか」「どこが狙われているのか」を把握し、次の対策に役立てることができます。 しかし、そうした行為が「不正アクセス禁止法」に違反したり、「不正指令電磁的記録に関する罪」(通称:ウイルス作成・保管罪)にあたるとして、ある日突然逮捕されるのではないか――という懸念が、セキュリティ解析や知見の共有に取り組むエンジニアの間で広がっています。 きっかけとなったのは、仮想通貨のマイニングツール「Coinhive」を自分のサイトに設置したデザイナ
ASCII.jp:ウイルス罪の解釈と運用はどこが「おかしくなっている」のか (1/4)
2019年4月26日夜、日本ハッカー協会主催によるITエンジニア向けセミナー「不正指令電磁的記録罪の傾向と対策」が東京・渋谷で開催された(後援:IPA/情報処理推進機構)。 この日のテーマとなった「不正指令電磁的記録に関する罪」(いわゆる“ウイルス罪”)は、コンピューターウイルスをはじめとする不正なプログラムの作成や提供などを禁じ、罰する目的で作られた法律だ。 しかし最近になって、「Coinhive(コインハイブ)事件」(自らのWebサイトに仮想通貨のマイニングスクリプトを組み込んだことで検挙された事案)、「アラートループ事件」(無限アラート事件、アラートダイアログが繰り返し表示されるWebページへのリンクを掲示板に貼ったことで検挙・補導された事案)、「Wizard Bible事件」(セキュリティ研究のためのWebマガジンが初歩的なリモートコマンド実行コードを掲載したことで管理者らが検挙さ
Googleの「ロケーション履歴」への法的要請“ジオフェンス令状”が急増中──New York Times報道
米Googleが2009年から提供している位置情報サービス「ロケーション履歴」のデータを米国の法執行機関が犯罪捜査のためにリクエストすることが増えていると、米New York Timesが4月13日(現地時間)に報じた。 ロケーション履歴は、Googleアカウントでログインしているデバイスの位置情報を記録し、Googleに送る機能。デフォルトではオフになっている。これをオンにすると、Googleマップのタイムラインやマップとカレンダーの連携などの機能が利用できる他、通勤経路のリアルタイムの交通状況通知、関連性の高い広告表示などが可能になる。 New York Timesによると、ユーザーのロケーション履歴のデータはGoogleのデータセンターの「Sensorvault」と呼ばれるデータベースに保存されているという。過去10年の世界の何億台ものデバイスのデータが保存されている。 世界の政府や
コインハイブ事件で検察側が控訴 無罪判決に不服 - 弁護士ドットコムニュース
自身のウェブサイト上に他人のパソコンのCPUを使って仮想通貨をマイニングする「Coinhive(コインハイブ)」を保管したなどとして、不正指令電磁的記録保管の罪に問われたウェブデザイナーの男性(31)に無罪を言い渡した横浜地裁判決を不服とし、横浜地検が東京高裁に控訴したことがわかった。4月10日付。求刑は罰金10万円だった。 弁護人の平野敬弁護士が弁護士ドットコムニュースの取材に対し明らかにした。 平野弁護士は、「控訴趣意書が出ていないため、現時点ではどの点について反論しているのか不明だが、罰金10万円で控訴して東京高裁で争うということは、今後も控訴審において男性を拘束し続けるということ。罰金10万円という量刑の重さに比べて、人権侵害の度合いが見合っているのか」と控訴を疑問視した。 一方、「合同捜査本部を設置して、多くの当事者を巻き込んで捜査がなされている事件なので、上級審である東京高裁に
「いたずらURL貼って補導」がIT業界の萎縮をまねく理由
JavaScriptのループ機能を使った“ブラクラ”のURLを書き込んだ3人が摘発されて物議を醸している。今回の事件で本当に注目すべき問題は何なのか。同じく問題視されている改正著作権法の共通点についてもまとめたい。 「何がセーフで何がアウトか分からない」――“不正なプログラム”のURLをネット掲示板に書き込んだとして、女子中学生らが不正指令電磁的記録(ウイルス)供用未遂の疑いで家宅捜索を受けた件がネット上に波紋を広げている。 実際はJavaScriptのループ機能を使ったもので実害はほとんどなく、目的はいたずら。にもかかわらず補導された事実は、2011年の刑法改正前から指摘されていた、あいまいな条文のグレーゾーンに警察が踏み込んだことを示している。 「合法と違法の線引きがよく分からない」「ネット利用者の実態に即していない」――いままさに、同じような観点で議論されている法案がある。「ダウンロ
「ウイルス罪」適用範囲、全都道府県警に開示請求 エンジニアが進ちょく公開、議員に陳情も……いたずらURL事件受け
「ウイルス罪」適用範囲、全都道府県警に開示請求 エンジニアが進ちょく公開、議員に陳情も……いたずらURL事件受け いたずらURLを掲示板に書き込んだ3人がウイルス供用未遂の疑いで摘発。エンジニアの間で「何がアウトかセーフか分からない」と不安が広がる中、ウイルス罪の適用範囲を明らかにするよう求める情報公開請求を行うエンジニアが現れた。 JavaScriptを使った無限ループプログラムのURLを掲示板に書き込んだ3人が不正指令電磁的記録(ウイルス)供用未遂の疑いで摘発されたり、Coinhiveをサイトに設置した複数のユーザーがウイルス取得・保管の疑いで摘発されるといった事態を受け、「何をすればウイルス罪に当たるのか、セーフとアウトのラインが分からない」とエンジニアの間で不安が広がっている。 そんな中、全都道府県警に対して、ウイルス罪の適用範囲を明らかにするよう求める情報公開請求を行うエンジニア
なぜ日本で「国による不正アクセス」が適法に? アクティブサイバーディフェンスとは
情報通信研究機構(NICT)や情報処理推進機構(IPA)などは、国の予算で運営される法人のため、関連法による規定が存在する。 NICTの場合、高度化する国際的なサイバー攻撃への対処、特に増えるIoT機器のセキュリティやオリンピックの安全確保が急務とされ、昨年の5月、サイバーセキュリティ基本法改正に先んじて、国立研究開発法人情報通信機構法が改正された。 附則第8条(第1項)は、テレビの難視聴地域への衛星放送助成に関する業務を規定したもので、改正で追加された第2項以降第8項までは、脆弱性のある通信機器を調査して必要な通知と改善を促す業務についてを規定している。 総務省は、この業務について情報通信行政・郵政行政審議会の審議と答申を受け、1月25日に当該業務の認可を行った。今後は必要な省令整備とともに実際の業務に移る予定だ。 調査作業は5年間と期限付きだが、背景の1つにオリンピックがあるとすると、
仮想通貨マイニング「コインハイブ」は違法? 警察の勇み足? 問題を整理する
フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。 そもそもコインハイブは「マルウェア」ではない コインハイブ(Coinhive)は、昨年9月ごろ公開されたサービスだ。ホームページによれば、広告に代わる新しいモデルとして、Webサイト閲覧者に仮想通貨のマイニングを実行させるというもの。この趣旨に賛同し、ユニセフ(オーストラリア)のサイトにも採用されているもので、ソフトウェア/サービスそのものに違法性や悪意はないものとされている。 コインハイブの利用サイトは数行のJavaScriptをサイトに埋め込む。そのサイトを閲覧したブラウザ上で当該スクリプトが実行されマイニングを行う。採掘され
違法マイニングで16人摘発 10県警、仮想通貨獲得で不正アクセス - 産経ニュース
同意なしに他人のパソコンを使い、仮想通貨の獲得手段である「マイニング(採掘)」をしたなどとして、神奈川や愛知など全国の10県警が不正指令電磁的記録作成容疑などで計16人を摘発したことが14日、警察庁のまとめで分かった。 16人は18~48歳の学生や会社員、自営業など。全員男で、3人が逮捕、他は書類送検された。 警察庁によると、16人はインターネット上で取引内容を記録する作業に協力した報酬として、新規発行分の仮想通貨が与えられるマイニングの仕組みを悪用。自身が運営するサイトに仮想通貨「モネロ」をマイニングする「コインハイブ」というプログラムを埋め込み、サイト閲覧者のパソコンに自動的にマイニングをさせるなどした疑いが持たれている。 これまでマイニングに絡んだ摘発はなかったが、各県警は、閲覧者の同意を取らず、無断でマイニングをさせたことから違法と判断した。
仮想通貨獲得するための「マイニング」全国で摘発 議論呼ぶ | NHKニュース
ホームページを閲覧しただけで、そのパソコンが本人の同意のないまま、仮想通貨を獲得するための「マイニング」と呼ばれるネット上の作業に違法に利用されているとして、関東など全国各地で、警察が摘発を進めています。一方、専門家の中には規制する法律の解釈が十分に定まっていないという指摘もあり、議論を呼んでいます。 このマイニングをめぐっては、ホームページの閲覧者のパソコンが本人の同意をえないまま利用されるケースが、去年秋ごろから全国で相次ぎ、関東など全国各地で警察が摘発を進めています。 警察庁によりますと、13日までに全国の10の県警が合わせて16人を検挙していて、このうち神奈川県警などは、神奈川県平塚市のウェブサイト運営業、荻野剛生容疑者(31)ら2人を、ホームページに特殊なプログラムを設定したうえで、閲覧者のパソコンを無断でマイニングに利用したとして、不正指令電磁的記録供用などの疑いで逮捕しました
日本国内の設備から海賊版サイトを配信する米Cloudflareブロッキングを無効化する新サービス開始(楠正憲) - エキスパート - Yahoo!ニュース
政府がISPに海賊版サイトの遮断を要請と報道4月6日付の毎日新聞の報道によると、政府は国内に拠点を置くインターネット接続業者に対し、ネット上で漫画や雑誌を無料で読めるようにしている海賊版サイトへの接続を遮断する措置を実施するよう要請する調整に入った。 ISPによるサイトへの接続遮断はブロッキングと呼ばれ、通信の秘密との関係で重大な問題をはらんでいるが、日本ではブロッキングの許容性を慎重に検討した上、ISPは児童ポルノに絞っては「緊急避難」に当たると判断し、2011年から事業者による自主的な取り組みとして実施されてきた。 今回の要請に法的根拠、法的効果はなく、事業者が要請を受け入れた場合には、司法の場で電気通信事業法第四条の定める通信の秘密に抵触すると判断される可能性があり、その場合のリスクはISP自身が負わねばならない。 記事によると政府は海賊版サイトの遮断が「緊急避難」に当たると整理した
全文パクリサイトに発信者情報開示請求して1000万円請求した話
「ブログの文章や画像をパクったサイトを作られた! しかもググったら私のブログより上に出てくる!」といった話を見聞きするようになった。 細々とブログを運営している私には対岸の火事と思っていたのだが、先日、私のブログもパクリ被害を受けた。そこで泣き寝入りせず、逃げ得させない方針で対抗し、ある程度、成功を収めたので、個人情報などはぼかしつつ、その経験を共有したい。 ———————————————————————————————————— 私がパクリに気付いたのは、外出先で自分の記事を確認しようと、最新の記事タイトルで検索した時のこと。検索一覧で、自分のブログのすぐ下に、見慣れない名前のサイトが現れたのだ。「たまたま同じタイトルの記事を書いた人がいるのかな?」と確認すると、文章も画像も私のブログとまったく同じ。 「パクられてる・・・」 血の気が引いた。パクリサイトを詳しく見ると、なぜか記事の筆者と
セキュリティ会社の社員逮捕、ウイルス拡散が疑われるも残る疑問
京都府警サイバー犯罪対策課などは2017年10月31日、ファイル共有ソフト「Share」を介して他人から得た「暴露ウイルス」と呼ばれる情報流出型のマルウエア(悪意のあるソフトウエア、以下ウイルス)を業務用PCに保管したとして、セキュリティ会社ディアイティの社員を不正指令電磁的記録(ウイルス)保管容疑で逮捕した。 同社は顧客企業の依頼を受け、複数のShareで構築されたPeer to Peer(ピア・ツー・ピア、P2P)ネットワークに、顧客企業に関する情報が流出していないかを監視するサービスを提供している。Shareなどで拡散するファイルにはウイルスを内包する悪質なものが多く、不用意に扱うと感染するリスクが高い。 そのため、P2Pネットワークへの情報漏洩を懸念する企業はディアイティのようなセキュリティ会社に監視業務を委託するのが一般的だ。逮捕された社員はそうしたサービスを1人で担っていた。
改正民法が成立、「瑕疵担保責任」などシステム開発契約に影響大 | 日経 xTECH(クロステック)
物品の売買や契約のルールなど「債権」に関する民法の改正案が2017年5月26日、参議院本会議で可決・成立した。公布から3年以内に施行される。 民法の改正はITに関する契約に様々な影響をもたらす。システム開発委託時の契約内容や、その際に発生するユーザー企業とITベンダーの責任範囲などが変わる。 改正民法の変更点の一つが「瑕疵担保責任」をめぐる条文だ。民法634条から640条で規定されていたが、改正法では削除。代わりに(契約に対する)「不適合」という言葉を用いて同様の責任を求めている。 責任の内容も変更点がある。その一つがシステム完成後に見つかった欠陥の修正期限に関するもの。ユーザー企業はITベンダーから引き渡されてから1年以内に修正を求める必要があったが、改正法では欠陥に気付いてから1年以内にITベンダーに通知すれば、通知後5年以内は修正や報酬の減額などを求められるとしている。 外部の技術者
技適マークのない機器で無線を使っていたので自首してきた。
技適マークのない機器で無線を使っていたので自首してきたので、その顛末。 罪の気付き 海外通販で海外製のスマホを買って、モニョモニョしてGPSトラッカーとして使ってた。 「0sim + 中国製SIMフリー端末」で初期費用7000円・月額0円の激安運用を実現したので結構自慢しまくってた。 そんだら「これ、技適無いから違法だね」と友人からのお言葉。 何となく知ってたけど、あんま知らなかったのでちゃんと調べたら、確かに違法※ぽい。 ※ 日本国内の無線を使う機器はチェックの上、日本で使って良いモノにのみ「技適」というマークが付いていて、そのマークがついていないものを使うのは違法。 そこで、総務省電波利用ホームページ を見てみる。 「技適マークが付いてない無線機を使用すると電波法違反になる場合があります。詳しくは、最寄りの総合通信局へお問い合わせ下さい。」 ガビーン。これ、自首したら罰金とかとられるや
情報処理安全確保支援士に科せられる懲役刑・罰金刑の罰則まとめ
情報処理技術者試験の各区分に合格してきた記録を記載しています。理系の情報系院卒ですが新卒時からずっと非IT業界で単なる趣味で試験受けてます。 (ロゴマークはhttp://www.meti.go.jp/press/2016/10/20161021002/20161021002.htmlより引用) 2016年10月21日(金)に情報処理安全確保支援士制度が開始されました。 具体的な登録手続きは2016年10月24日(月)から開始されています。登録手続を経ることによって情報処理安全確保支援士を名乗ることができます。 私はこの制度を論評する上で、改正された「情報処理の促進に関する法律」の全条文を読んでいます。経済産業省やIPAが掲載している概要説明のPDFだけでは全く不十分だからです。 特に情報処理安全確保支援士に登録しようとしている方に強く忠告しておきたいことは、情報処理安全確保支援士は罰則が規
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
マカフィーとの間で調停が成立、退職強要めぐる労働審判 女性社員「本当によかった」 - 弁護士ドットコムニュース
米連邦政府機関に策定と公表が義務付けられた脆弱性開示ポリシーとは【海外セキュリティ】
「何をやったら犯罪なのか」セキュリティエンジニアが兵庫県警に対し情報公開請求【やじうまWatch】
