高木浩光@自宅の日記 - 不正指令電磁的記録罪の構成要件、最高裁判決を前に私はこう考える, 追記(21日)最高裁判決は検察控訴棄却(一審の無罪が確定へ)
■ 不正指令電磁的記録罪の構成要件、最高裁判決を前に私はこう考える Coinhive事件の上告審判決言渡しが明日に迫ってきた。私としては、昨年4月のL&T91*1で自説を述べたところである。言いたいことは書き切ったのだったが、読み返してみると、紙幅の都合でギシギシに詰めてロジックを書き込んだため、いささか意味を理解されにくい箇所があるところに悔いが残った。どこかに補足を書いておきたいと思っていたのだが、本業に勤しんでいるうちにとうとう直前になってしまった。もはや書いても判決には何ら影響しないが、判決前のうちに書いてしまっておきたい。 私見の要旨 L&T91で述べた私の見解の根幹は、改めて要約(説明の順番を入れ替え単純化するなどして要約)すると以下の通りである。 一審判決が、「意図に反する動作」該当性(反意図性)を肯定し「不正な」該当性(不正性)を否定して無罪としたものであったところ、反意図
高木浩光@自宅の日記 - 総務省が不正指令電磁的記録罪の典型的誤解を再生産中、原因を絶たねばならない
■ 総務省が不正指令電磁的記録罪の典型的誤解を再生産中、原因を絶たねばならない 昨日からこれが話題になりつつある。 総務省の資料より。ウイルスがダメなのはわかるけど、どこからがウイルスと捉えられるのかが問題。「ユーザーの意図に反する動作」っていわれても「ユーザー」のリテラシによるから難しいなぁ。 pic.twitter.com/hpGnPmUWlS — はぁこ🌸ビール女子麦子開発中 (@paco_itengineer) June 23, 2019 みんなに役立たないことにプログラミング技術を使った奴はタイーホ了解!!!!!!!!!自分のためにしか役に立たなかったり面白いだけで役に立たないことにプログラミング技術を使っているみなさん!!!!!!! pic.twitter.com/YUjSTzmUkj — sksat@OtakuAssembly (@sksat_tty) June 24, 2
高木浩光@自宅の日記 - 検察官は解説書の文章を読み違えていたことが判明(なぜ不正指令電磁的記録に該当しないのか その3)
■ 検察官は解説書の文章を読み違えていたことが判明(なぜ不正指令電磁的記録に該当しないのか その3) 先月の「Coinhive事件、なぜ不正指令電磁的記録に該当しないのか その2」の続きである。 検察官の論告に対する世間と国会の反応 Coinhive事件の公判は、2月18日に結審を迎え、検察官から論告・求刑があった。その模様は報道と傍聴者のレポートで伝えられた。 コインハイブ事件、男性に罰金10万円を求刑 弁護側は無罪主張, 弁護士ドットコム, 2019年2月18日 仮想通貨マイニングのCoinhive設置巡る刑事裁判が結審、判決は3月27日, 日経 xTECH, 2019年2月18日 coinhive(コインハイブ)裁判の第四回公判 最終弁論の傍聴してきました。…, モッチー@少年クリプト編集長, 2019年2月18日 第四回公判, 元Coinhiveユーザー@Coinhiveuserの
高木浩光@自宅の日記 - しそうけいさつ化する田舎サイバー警察の驕りを誰が諌めるのか
■ しそうけいさつ化する田舎サイバー警察の驕りを誰が諌めるのか 兵庫県警が単なる「無限アラート」を「不正プログラム」と称して不正指令電磁的記録の罪を適用した捜査(家宅捜索)を行ったことが明らかになり、法解釈・適用の誤りである上に法制定時の参議院法務委員会附帯決議の要請をも無視しているとして批判の声が渦巻いているところだが、ここに来て、「すみだセキュリティ勉強会」が活動を休止するとして抗議行動に出たようだ。 「IT業界の萎縮を招きかねない」 “ブラクラURL書き込みで中学生補導”、弁護士に問題点を聞いた, ねとらぼ, 2019年3月5日 Japanese police charge 13-year-old for sharing 'unclosable popup' prank online, ZDNet, 2019年3月5日 「いたずらURL貼って補導」がIT業界の萎縮をまねく理由, IT
高木浩光@自宅の日記 - 無線LANのMACアドレス制限の無意味さがあまり理解されていない
■ 無線LANのMACアドレス制限の無意味さがあまり理解されていない 職業マスメディアに代わって、ブログスタイルのニュースサイトが人気を博す時代になってきた。海外の話題を写真の転載で紹介する安直なニュースも人気だ。 このことろなぜか、無線LANのセキュリティ設定について書かれた記事を何度か見た。おそらく、ニンテンドーDSがWEPしかサポートしていないことが不安をもたらしている(そして実際に危険をもたらしている)ためだろうと思われる。 セキュリティの解説が増えてきたのはよいことなのだが、内容に誤りのあるものが少なくない。 実は危険な無線LAN, らばQ, 2007年10月21日 この記事には次の記述があるが、「接続されなければMACアドレスは盗まれない」という誤解があるようだ。 MACアドレスというのは、機器固有のIDのようなものです。たいていの無線LANアクセスポイントにはMACアドレスフ
高木浩光@自宅の日記 - 魔女狩り商法に翻弄された田舎警察 Coinhive事件 大本営報道はまさに現代の魔女狩りだ
■ 魔女狩り商法に翻弄された田舎警察 Coinhive事件 大本営報道はまさに現代の魔女狩りだ 前回の日記(6月11日23時46分公開)の件はその後、以下のように展開した。 6月12日 他人PCで仮想通貨獲得 了解得ず「採掘」初立件 神奈川県警など,*1 毎日新聞, 6月12日朝刊 仮想通貨マイニング(Coinhive)で家宅捜索を受けた話, モロ@ドークツ, 6月12日9時43分 Coinhive設置で家宅捜索受けたデザイナー、経緯をブログ公開 「他の人に同じ経験して欲しくない」, ITmedia, 6月12日12時17分 仮想通貨「無断採掘」疑い サイト運営者を書類送検,*2 共同通信, 6月12日20時45分 Police to press charges over cryptocurrency 'mining' of computers without consent, The M
高木浩光@自宅の日記 - 緊急周知 Coinhive使用を不正指令電磁的記録供用の罪にしてはいけない
■ 緊急周知 Coinhive使用を不正指令電磁的記録供用の罪にしてはいけない Coinhiveを設置したことで警察の捜査を受けているとの情報提供が、複数寄せられています。 Librahack事件の再来です。 Coinhiveの使用は不正指令電磁的記録供用の罪に該当しないとするべきです。 警察庁は、Coinhive使用の不正指令電磁的記録供用罪該当性をよく吟味してください。 各都道府県の警察本部は、Coinhiveの使用を犯罪とすることが適正なのか、警察庁によく相談してください。 近日中*1に、なぜCoinhiveの使用を不正指令電磁的記録供用の罪としてはいけないのかについて、ここで論ずるつもりです。 同様の捜査の対象になった方は、私 blog@takagi-hiromitsu.jp まで情報をお寄せください*2。 *1 本務先の降って湧いた火の車業務の終了に目処がつき次第。 *2 なお、
高木浩光@自宅の日記 - 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」
■ 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」 序章 昨日の読売新聞朝刊解説面に以下の記事が出た。 [解説スペシャル]ウイルスか合法技術か 他人のPC「借用」 仮想通貨計算 サイトに設置 摘発相次ぐ, 読売新聞2018年6月9日朝刊 「まさか違法とは……」。こううなだれる首都圏のウェブデザイナー(30)は今年3月、横浜地検にウイルス保管罪で略式起訴され、罰金10万円の略式命令を受けた。自分の運営する音楽サイトに昨秋、「コインハイブ」と呼ばれるコインマイナー用のプログラムを設置したところ、これがウイルスと判断されたのだ。 (略)昨年末から神奈川や宮城、栃木、茨城県警など全国の警察が捜査を開始。これまでに確認できただけで5人のサイト運営者がウイルスの供用や保管などの容疑で捜索を受け、既に略式命令を受けたケースもある。(略) 略式命令を受けたウェブデザイナー
追記(19日)東洋経済オンラインの的外れ記事 / 高木浩光@自宅の日記 - 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ
■ 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ ここ数年、不正送金の被害がインターネットバンキングの法人口座で急増しているという*1。その原因は今更言うまでもなく、Java実行環境(JRE)やAdobe製品の古いバージョンの脆弱性を突いてくるマルウェアである。しかしそれにしても、法人口座を扱うパソコンがなぜ、Java実行環境やAdobe製品をインストールしているのだろうか。インストールしなければ被害も起きないのに……。 その謎を解く鍵が、eLTAX(地方税ポータルシステム)にあるようだ。eLTAXでは、インターネットバンキングの口座を用いた納税ができることから、インターネットバンキング用のパソコンでeLTAXの利用環境も整えるということが普通になっていると思われる。そのeLTAXが、昨日までは、Java実行環境のインストールを強要していた。eL
高木浩光@自宅の日記 - 飾りじゃないのよCAPTCHAは 〜前代未聞のCAPTCHAもどき, CAPTCHA機能の発注仕様をどうするか
■ 飾りじゃないのよCAPTCHAは 〜前代未聞のCAPTCHAもどき CAPTCHA*1が基本的に荒らし対策目的で使用されるものであることは以前にも書いた。ユーザビリティの犠牲が少ないものは早いうちに破られるし、改良してもイタチごっこになることも目に見えている。それでもなお活用する意義があるのは、使用目的が荒らし対策だからだ。新規ユーザ登録や、ログインなしでできるコメントやトラックバックなど、元々自由に利用させる機能である限り、完全に防ぐことはできないのであり、たとえ将来破られる可能性があろうとも何もしないよりはましだというわけだ。(荒らしがよりハードルの低いところへ行ってくれることを期待できる。) そのようなCAPTCHAは、日本ではあまり普及していないようだ。荒し行為が英語圏での状況ほど深刻なものになっていないためか、あるいは、イタチごっこになることが目に見えている技術の採用を嫌う国
高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法
■ クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 「クロスサイトリクエストフォージェリ」がにわかに注目を集めている。古く から存在したこの問題がなぜ今まであまり注目されてこなかったかについて考 えているところだが、引越しやら転勤やらでいまひとつ日記を書く時間がない。 しかし、 @ITの記事などのように混乱させる解説も散見されるので、一点だけ対策 方法について書いておくとする。 クロスサイトリクエストフォージェリ――Cross-Site Request Forgeries (CSRF)を防止する簡潔で自然な解決策は以下のとおりである。 前提 ログインしていないWeb閲覧者に対するCSRF攻撃(掲示板荒らしや、ユーザ登 録を他人にさせる等、サイト運営者に対する業務妨害行為)はここでは対象と しない。 ログイン機能を持つWebアプリケーションの場合、何らかの方法でセッション 追
高木浩光@自宅の日記 - 現行法の理解(パーソナルデータ保護法制の行方 その2)
■ 現行法の理解(パーソナルデータ保護法制の行方 その2) この議論に参加するには現行法の理解が欠かせない。私も半年前にようやく理解したばかりであり、一部は論文として書いていた*1ところ、一般向けには、図を用いるなどしてプライバシーフリーク・カフェの動画コンテンツで提供したかったところだが、悠長にやっている場合ではなく、今すぐ全ての人が知るべきだと思うので、とりあえず取り急ぎ*2ほとんど文章だけで。以下、行政機関個人情報保護法や情報公開法と対比しながら、個人情報保護法の民間部門の第三者提供の制限について考える。 1. 個人に関する情報 まず最初に、先日の第1回「プライバシーフリーク・カフェ」(前編)の様子をまとめた「「個人を特定する情報が個人情報である」と信じているすべての方へ」を踏まえておかないといけない。ここは基礎の基礎であり、これを間違えていると全部が吹っ飛んでしまう。「個人を特定す
高木浩光@自宅の日記 - 緊急起稿 パーソナルデータ保護法制の行方 その1
■ 緊急起稿 パーソナルデータ保護法制の行方 その1 昨年7月からブログには書かないことにしていた*1が、緊急事態であるので、政府のパーソナルデータ保護法制(個人情報保護法改正)の議論の状況についてに書いておきたい。本当は論文や講演の形で示していくつもりだったが、それでは間に合わない状況が発生中であるので、周知の目的で取り急ぎかいつまんで書く。副政府CIOの向井治紀内閣審議官とお話ししたところ、「ブログに書いたらエエやないですか。どんどん書いてください。」とのことであったので、それ自体書くことを含めて許可を得たところで書くものである。 先週、IT総合戦略本部の「パーソナルデータに関する検討会」の第7回会合が開かれ、「定義と義務」についての事務局案が示された。資料が公開されている。事務局案は、これまでの「個人情報」についての定義と義務は変更しないものとし、新たに「準個人情報」と「個人特定性低
高木浩光@自宅の日記 - 緑シグナルが点灯しないのに誰も気にしていない?という不思議, 追記
■ 緑シグナルが点灯しないのに誰も気にしていない?という不思議 フィッシング対策ソフトの導入動向 最近、金融機関が「PhishWall」や「PhishCut」を導入したというニュースをよく見かけるなあと思っていたら、どうやら、金融庁の監督指針の今年の改定でフィッシング対策について明記されたことが関係しているらしい。 主要行等向けの総合的な監督指針(平成19年6月版), 中小・地域金融機関向けの総合的な監督指針(平成19年8月版), 金融庁 III-3-7 インターネットバンキング III-3-7-2 主な着眼点 (2) セキュリティの確保 ホームページのリンクに関し、利用者が取引相手を誤認するような構成になっていないか。また、フィッシング詐欺対策については、利用者がアクセスしているサイトが真正なサイトであることの証明を確認できるような措置を講じる等、業務に応じた適切な不正防止策を講じている
高木浩光@自宅の日記 - 動機が善だからと説明なく埋め込まれていくスパイコード
■ 動機が善だからと説明なく埋め込まれていくスパイコード 5月にこのニュースを見たとき、嫌な予感がしていた。 父娘遭難、携帯の位置情報得られず 消防への提供ルール化 北海道地吹雪, 朝日新聞, 2013年5月22日 北海道湧別町を襲った3月の地吹雪の中で父親が娘を抱いたまま亡くなった事故で、消防が父親の携帯電話の位置情報を携帯電話会社から得ようとしたが得られず、父娘の捜索を中断していたことが分かった。総務省は情報提供のしくみが整っていなかったことが原因とみて、位置情報をすみやかに伝えるルールを作り、全国の消防本部と携帯各社に通知した。 ルールを整備するのはよいことだが、この記事は、基地局レベルの位置情報ではなく、GPSレベルの位置情報を用いて救助しようという話になっていて、そもそも、キャリア(携帯電話事業者)に頼んだところで、どうやって端末のGPS位置情報が得られるの?という疑問を持った。
高木浩光@自宅の日記 - ダウンロード違法化反対家の知られるべき実像
■ ダウンロード違法化反対家の知られるべき実像 あるきっかけで、あるダウンロード違法化反対家の人の、自宅のものと思われるIPアドレスを知ってしまった。知ることができたのは、2007年と2008年のいくつかのある日におけるIPアドレスである。そのIPアドレスを手元のWinnyノード観測システムの接続ログと突き合わせてみたところ、5回の日時において、WinnyノードのIPアドレスとして観測されていたのを見つけた。 それらのIPアドレスがソースとなっていたキーを抽出し、16日の日記の方法で視覚化したところ、図1のとおりとなった。 他の区間でどうだったかを調べたいところだが、2007年の部分と2008年の部分では、ISPが異なっており、ポート番号も「4857」と「3857」という具合*1に違っていた。 一般的に個人宅に割り当てられるIPアドレスは時々変化しており、それを追跡することは通常、簡単でな
高木浩光@自宅の日記 - 「WPA-TKIPが1分で破られる」は誤報
■ 「WPA-TKIPが1分で破られる」は誤報 先月、無線LANのWPA-TKIPが1分以内に破られるという報道があり、話題となった。 無線LANのWPAをわずか数秒から数十秒で突破する新しい攻撃方法が登場、早期にWPA2に移行する必要あり, Gigazine, 2009年8月5日 今回の方法は昨年11月に発表された「Tews-Beck攻撃」(略)がQoS制御を利用する機器に限定されるものであり、鍵の導出に15分もの時間が必要であったのに対して、わずか数秒から数十秒で導出してしまうことができるというもの。(略) 今回発表される方法では、TKIPにおける定期的に変更される鍵について、TKIPのプロトコルの新たな脆弱性を利用して極めて短時間(数秒から数十秒)で導出し、その鍵を効率よく利用する方法として新たな中間者攻撃を開発したとのこと。 無線LANセキュリティ「WPA」をわずか1分以内で破る手
高木浩光@自宅の日記 - Vistaになっても直らなかったWindowsの杜撰な日本語訳
■ Vistaになっても直らなかったWindowsの杜撰な日本語訳 自宅用にMac miniを買った。Boot CampパーティションにWindows Vistaを入れた。VMware Fusionから使う。快適だ。MacBook Airも出たことだし、8年ぶりにマカーに戻ろうかという気分になってきた。振り返れば8年前、「使ってなければ駄目さもわからないし」と、渋々Windowsをメイン環境にしたものだったが、最近ではもうその必要性も薄れてきている。 Windows Vistaを本格的に使うのは今回が初めてなので、環境設定をしている際に、誤訳が直っていないことに気づいた。これは、Windows XPのときからあった誤訳で、1年くらい前に気づいたがまだ何も行動していなかったもの。 これは、Internet Explorerでダウンロードして保存したファイルを後で開こうとした際に現れる警告ダイ
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
高木浩光@自宅の日記 - 携帯電話販売店が本人同意を亡きものにする, 追記(21日)