WASForum Conference 2008: Security Wars EpisodeⅢ
2008年7月5日(土曜日)
WASForum Conference 2008: Security Wars EpisodeⅢ
SDLの話に続いて、高橋郁夫弁護士によるお話。
スライドが英語と日本語のチャンポンで、非常にメモがとりづらかったです。というわけで、申し訳ないのですがメモの精度は低いです (いや、他が精度高いかと言われるとつらいですが)。最後の方はホントにただの羅列で全然まとめられていません。
登場シーン
謎のハミングとともに黒マスク、黒マントの人物登場。まあ、タイトルから分かると思いますが。
- 自分のハミングなら著作権侵害は大丈夫だろう
EpisodeⅠ: ハッカーの暗黒面
- 怒り、恐れ→フォースの暗黒面
- 限界を超えたくなる
office氏事件
- 2003年11月、AD2003
- Excelファイルに伏せ字ではなく個人情報が掲載
- 12名がダウンロード
- full-disclosure vs 責任ある開示
- なぜ伏せ字にしなかったのか? → 自分のプレゼンをインパクトのあるものにしたかったのでは
- 最後の行為はアドレスバーへの文字の入力
※そのままメモしていますが、ちょっと事実と異なるかもしれない気がします。
ツナミハッカー事件
- 2004年12月、インドネシア津波災害
- Daniel Cuthbert という大学の先生が、津波災害の寄付
- サイトが怪しいので、URL に ../../../ をつけてみた
- IDS が反応
- 逮捕、有罪!?
Winny事件
- 1審→150万円の罰金
- あくまで技術は中立的なものと認定。具体的な状況と本人の主観を合わせて判断している
- 「Winnyが侵害に使われていることを認容しつつ新バージョンを公開した」ということが問われている
- 開発したことではなく、新バージョンをアップロードしたことが問われている
- ソースコードの分析は何もなし
原田ウイルス事件
- ウイルス作成罪はまだない
- 2008年5月16日有罪判決、懲役2年執行猶予3年
※そのままメモしていますが、ウィルス作者のつけた「原田ウィルス」という名称をそのまま使うのは良くない、という議論がある事を付記しておきます。もっとも、他の名前で呼ばれてもぴんと来ないと思いますが……。
- 古き良き時代: 実害がなければ良い
- 現代社会: 本当に悪いことをしていないかどうか分からない、アクセス制御の信頼性が重要
Information Security Early Warning Partnership
この制度の日本語での名前は何でしたっけ、という話が出ていましたが、正解は「情報セキュリティ早期警戒パートナーシップ」。覚えにくい以前に分かりにくい名前で (パートナーシップって言われても……)、知らないという人が多いはず。
サイバー犯罪条約6条 ハッカーツールの禁止
- dual use tool
- 英国コンピュータミスユース法のガイドライン: ちゃんとした会社なのか、違反の意図があるのか、etc. で判断
- ベネトレーティングテストの業界標準、工業標準として認定
EpisodeⅡ: 匿名軍団の攻撃
最近の攻撃
- 組織犯罪
- 国境をまたぐ
- ボットネットを介しての攻撃
- 闇のロングテール: 普通の人は詐欺に遭わないが、大勢に送ると中には詐欺に遭う人が一定数いる
フィッシング対応
- Yafoo! 偽サイト
- 不正アクセス禁止法違反・著作権法違反
- フィッシング詐欺団男女8名検挙、首謀者に懲役8年、罰金300万円
伝統的手法の限界
- 被害が発生しないと何もできない
- 攻撃者が突き止められる前提
- これでは、国際的な組織犯罪には対応できない
- 「大衆インターネット社会」へのパラダイムシフト
- 国際性・匿名性
- これは「戦争」なのか?
- 振込詐欺救済法 (金融機関の原則との相克)
- 弁護士に言われたところで口座凍結なんて……
- 攻撃の検知と通信の秘密との兼ね合い
- 情報共有できない?
- ドグマの肥大化
- コンテンツと通信データの区別がない
- 通信データの過剰な保護
- ISPの保護者としての役割
- 攻撃トラフィック、フィッシングメール、名誉毀損メッセージetc
- 著作権制度: フランス 三振法 ISPから警告3回で遮断
感想
話の本筋とは関係ない部分ですが、officeさんの事件に関する話が微妙に不正確なのが気になりました。「アドレスバーに文字を入れた」と言われていましたが、csvmail.cgiには以下のようなコードが書かれていたので……
if ($ENV{'REQUEST_METHOD'} eq "POST") { read(STDIN, $buffer, $ENV{'CONTENT_LENGTH'}); } else { print "Content-type:text/html\n\n"; print "<html>\n"; print "<head><title>ANTI SPAM</title></head>\n"; print "<body>CAN NOT ALLOW GET METHOD.</body>\n"; print "</html>\n"; exit(0); }
GETアクセスされたら「ANTI SPAM」という謎のメッセージを表示して終了し、何も起きません。javascript: で始まる文字列を入れて POST すれば良いという話もありますが、officeさんがわざわざそんな面倒なことをしたとは思いにくいですし。
事件からずいぶん年月も経ったことですし、技術的な部分については情報を公開した方が良いのかもしれないと思ったり。
「Webセキュリティのマルプラクティス – 思い込みによるソフトウェアエラーをなんとかしろ」に続きます。
- 「WASForum Conference 2008: Security Wars EpisodeⅢ」へのコメント (1件)
関連する話題: セキュリティ / WASForum Conference