2024.12.10
“放置系”なのにサイバー攻撃を監視・検知、「統合ログ管理ツール」とは 最先端のログ管理体制を実現する方法
リンクをコピー
記事をブックマーク
高木浩光氏:これからどうなるかについて少し述べようと思います。このような社会的に許容し得ない判断基準になった、判断方法になったことはいいのですが、どういう場合に社会的に許容し得ないと言えるかという判断基準自体は、依然、曖昧なままだという批判があると思います。
最高裁判決の判断方法を見ても、社会的に許容し得ないと言いながら、その判断に当たっては、動作の内容と機能や情報処理に与える影響の有無・程度、利用方法等を考慮すると言っているけれど、どのように線引きするのかはなにも言っていない。程度問題となっているわけです。
というわけで、先ほど「論文を書いた」というところでお話したように、多くの学説が際要件を絞るべきであると主張をしています。要件は、サイバー犯罪条約の範囲や、私の提案としては動作の類型です。これはほかの先生も言っていて、その挑戦をしたわけですが、それは通らなかった。失敗に終わったと言えるかと思います。
とは言っても、3年前にも話しましたが、大本に戻って考えれば、結局賛否両論ある。社会的に許容し得ないというのは、否定されると言っていいのではないかというのが追加的な感想です。
今回は、あくまでもモロさん事案について個別に判断されたに過ぎません。50パーセントのCPU使用率に抑えていたので、広告と変わらない程度という判断が出ています。では、ほかの事例で100パーセントにしていた人たちはどうなんだ、とか。
(スライドを示して)実は別タイプの事案がありました。便利なブログパーツで、たくさんの人に使われていて、Webサイトにいっぱい貼られています。
ブログパーツが使われるようになってから、何万か何十万かは知りませんが、Coinhiveを埋め込むといっぺんに大量のアクセスが発生するので、ブログパーツを開発している人がかなり儲かったのではないかと思います。
「この事案はどうなのか」「これが社会的に許容し得ないと言えるかどうか」という時に、「これはダメだろう、やってはいけないと思います」。でも、何の信頼を害しているかと考えると、実は話がややこしくなってきます。
(スライドを示して)これについては2019年にブログに書いているので、詳細はこちらを確認してもらえればと思います。ブログパーツを設置する時は、信頼できるコードかどうかを確認してつけているわけです。その信頼を裏切ってみんなに嫌われるようなCoinhiveが埋め込まれているとなると、それは大きく信頼を裏切っていますよね。
自分で設置して、自分のWebサイトが嫌われることはかまわないと思ってやるうちはいいけれど、そんなのうちは設置したくないと思っているようなサイトも一斉に埋め込まれるということが起きるわけで、これは大問題です。
ちなみに、類似事案としてかつて「はてなブックマーク」がそういうことをやらかしましたが、みなさん覚えているでしょうか。
はてなブックマークボタンは、便利だからみんながあちこちに何十万、何百万と設置したのですが、いつの間にか知らないうちに、マイクロアドのターゲティング広告用のトラッキングコード、ビーコンを送信する機能を埋め込んだんです。これが炎上して、(はてなブックマークの)社長が「辞めます」と言って辞めた事案がありましたが、私は犯罪的だと思います。
でも、何の罪かはよくわからないです。今回の不正指令電磁的記録に当たるかというと、不正指令電磁的記録は、あくまでも実行の用に供する、つまり、Webサイトを閲覧した人にとって意図に反しているところを問題にしています。しかし、この事案で怒っている人は、Webサイトの設置者です。“意図に反している”は設置者に反しているのであって、そこでは実行されていない関係にあるわけです。そうすると、話は簡単ではありません。
Coinhive事件、なぜ不正指令電磁的記録に該当しないのか その2 / 高木浩光@自宅の日記
もしこの事案だけが最初に検挙されて表ざたになって、「おっと、これは」と議論が始まっていたとすると、違う展開で、もっと面倒くさい、ややこしいことになっていたかもしれません。
例えば、それが有罪だとなった後、次に単にWebサイトに設置しているだけの人が検挙されたらそこに口を挟めるのか、という事態になっていたかもしれません。
あらためて、今回どうしてこうなったのかを一言で言うと、私は次のように思います。これは、刑法感覚のないセキュリティエンジニアの人たちと、技術感覚のない検察、警察の人たちが悪魔合体したことによって起きた不幸なのではないかと。
刑法感覚のないエンジニアとはどういうことか。これは初期の頃からブログに書いていますが、1990年代にインターネットが普及すると、すぐに迷惑メールというものが出てきました。当時はそういう言葉もなくて、Unsolicited e-mailと呼ばれていた。望まないメールです。
企業の人が、自分のところの製品を紹介しようと思って、スパムメールを送ってくるわけです。最初はものすごく怒りを覚えました。インターネットを育ててきた立場からすると、自分は単発でやって許されると思っているだろうけど、みんながやり始めたらどうするんだと。
「毎日、何千、何万とメールが来て、捨てるしかないとなるのは目に見えているのに、自分だけは許されると思うんですか」というようなことを、かつて返信したことがありました。そういう時に、「これは犯罪である」と考えるのが、刑法感覚のエンジニアの発想だと言いたいわけです。
こういう類の問題はあくまで行政規制で対処するもので、実際に迷惑メール規制法ができました。間接罰にするか、騙している場合は直接罰にするというのが刑法の相場だと思います。この感覚がエンジニアにないと、Coinhiveの単体の事案を見た時に、「これはブタ箱に入れられるのではないか」と思う人たちがいたと思います。
裏で何があったかは知りませんが、Coinhiveが登場して非常に早い時期から警察は動いていたという証言があります。絶対、エンジニアが大量に通報していると思います。
HTMLソースで「coinhive.com」と検索すると、世界中の埋め込んでいるサイトがリストされるサイトがあります。
これはセキュリティエンジニアがよく使っているサイトで、いろいろな攻撃が起きているのを、そのサイトを使って探している人たちがいます。その調べ方を警察に伝えた人がいると思うんです。最初から自力でわかるわけがないので、誰かがアドバイスしたと思います。おそらくその人は犯罪だと思った、ということです。
一方、警察、検察、あと国家公安委員会の委員も「これは犯罪だ」と言っていましたが、この人たちは技術感覚がないので、パソコンが壊れる、CPUが焼き切れる、損耗する、操作が重くなる、使えなくなるという思い込みがあります。こうしてお互いの誤解をそのまま都合のいいところだけ取ると、Coinhiveの正規設置は犯罪だとなってしまうということではないかと思うのです。
おそらく、いまだに検察の人たちは、今回の結果は一審が立証に失敗しただけであって、ちゃんと一審からパソコンが壊れるとか、損耗するとか、操作が重くなるということを立証しておけば勝てたと思っているかもしれないです。これは、今否定しておかないといけません。
今回の最高裁の弁論の際に、最高検察庁が次のように述べました。これは傍聴者によるレポートですが「50%使っているだけだから大丈夫と言うけれど、そんなサイトを2つ立ち上げたらパソコンがまったく使えなくなってしまう」という発言があったとのことです。
「本当ですか」と、弁論要旨を見せてもらったところ、もう少し慎重な言い方がしてあります。2つ閲覧しただけでも、コンピュータの日常的な使用に相当の影響が生じることは想像に難くないと。それは単なる思い込みで、そんなことは起きないわけです。
こういった科学的な常識がわからないまま思い込んでしまった事案としては、ガソリン発火冤罪事件があります。ガソリンが気化して風呂釜に引火したという、科学的にあり得ないことをシナリオとして用意して弁護側の見解に反論する事案です。「科学的な常識がないままの検察の対応が、こういうことを引き起こす」と、当時言われたのを聞いた記憶がありますが、よく似ています。
コンピュータの動作に対する思い込みが原因ではないかということは、一審の時に証人に呼ばれたので、このあたりも質問に答えて説明したところです。CPUの使用率とOSの負荷は別の概念ですが、混同されることが多いです。
CPU使用率が100パーセントならば、OS負荷が重いのではありません。OS負荷は、同時に何本のプロセスやスレッドが今走ろうとしているかという本数のことです。
(スライドを示して)例えばこれは同じ条件ではないので、直接比べられませんが、左のグラフはCPUが50パーセント使われている例で、将棋のプログラムをWebで動かした時の挙動です。OSの負荷、ロードがどんどん上がって、ピークロードが48になっています。作った人はスレッドが32本まで動くようにしてあると言っていました。
こうなると、若干のろのろっと反応が鈍い感じがしてきます。右側はCoinhiveの動作を検証した時の記録で、そのつもりで作っていなかったのでちょっと怪しげというか、単純に比べられませんが、見たいのはOSの負荷というところです。ピークロードが18となっています。
Coinhiveのソースコードは今でも確認できるので、あらためて見てみました。
throttleで待ち時間を設定していますが、50にすると、前回の経過時間だけスリープする感じの作りです。
何スレッドで起動するかは、その環境で使えるCPUのコア数、スレッド数を返す機能がJavaScriptにあるので、その数だけ動かしているみたいです。
私のこの時のマシンだと、4か8だと思います。OSで動いているスレッドがもともと10個ぐらいある中で、それにちょっと足されただけなのに対して本当に負荷が重くなるのは、もっとたくさんのプロセスが動いてロードが上がった時です。CPU100パーセントでほかが動かなくなることはありません。
「いつの時代の話をしているんですか」「ノンプリエンプティブ方式ですか」と言っても、今はみなさん知らないと思います。1990年代まではノンプリエンプティブマルチタスキングOSが普通で、Mac OSだと9まで、Windowsだと3.1、95の16ビットの場合までだったそうですが、当時はプログラム自身が自分で制御を返さないとほかのものが動かない時代でした。
そういう発想をしている……わけはない。そんなことは知らないと思うので。プリエンプティブが当たり前になった21世紀以降のOSは、何個のプロセスが動こうとしても、入れ替わり立ち替わり動くわけです。CPU100パーセントのところに同じくCPU100パーセントを必要とするものが来たら、それぞれスピードが半分になるということですが、お互い50パーセント同士のものだったらぴったり入って、ほとんど性能低下は起きません。
こういった思い込みが技術者にさえあるようで、こういうことをTwitterで言っていたら「いやいや、OS起動時だと遅くなるじゃないですか、見てないのか」みたいなことを言われました。いや、OS起動時は、スレッドやプロセスがいっぱい立ち上がろうとしているから遅くなるんです。
もっと言うとOSが重くなる主な原因は、1本しかないI/Oで、ファイルシステムに対するI/Oが複数のプロセスで同時に取りあう時です。ほかに、メモリ不足などもあると思います。ウイルス対策ソフトが一番重くなる原因で、ファイルの全スキャンをやっていると重くなります。
そういう経験をした人が、そういう時にCPUが100パーセントになっているのを見ているから、逆に考えて「CPUが100パーセントだったら重くなる」という思い込みをしています。
このような冤罪まで起きてしまうので、誤解には注意してもらわないといけません。これは、やってみればわかることです。最高検の弁論で、「動かなくなる」と言いますが、「やってみたんですかあなたは」と。単純なことです。
もちろん裁判上は、立証されていなければ採用されないのは当たり前ですが、感覚として影響するかもしれません。その点、偉いなと思うのは、一審の裁判長は公判前整理手続中に、実際にご自宅ででか、試してみたという話を聞きました。やってみると、Coinhiveを100パーセントで動かしても、別に何も遅くはならないわけです。実は試そうとするとまた問題になります。自宅で試せば別に問題ないのですが、もし裁判所の中でアクセスしていたら、たぶん警報が出ます。当時はcoinhive.comにアクセスしただけでアラートが出るようになっていました。
今でもTwitterには書き込めないでしょう? coinhive.comとうURLを含むツイートができません。何をやっているんだと思います。ウイルス対策ソフト業界のある種の悪いところですが、なんでもかんでもブラックリストにぶち込んで、全部ウイルス扱いしていきます。
coinhive.comへのアクセスを検出してアラートを出す目的は、おそらく、実際に企業のネットワークに侵入してCoinhiveを設置している事案があるから。そこさえ検出すれば見つけられる、気づくという効果があるので、そういう機能を入れたんだろうと思います。
その結果、当時ユニセフの募金もCoinhiveを使っていたのですが、見にいっただけでアラートが出ました。私も出してしまいました。Coinhiveの取材を受けて、もう1回確認してみようかと思って職場でユニセフのサイトにアクセスしたら、翌朝、事務方の人たちが飛んできて、「ちょっともう。ウイルスが検出されましたよ」と大騒ぎになっていました。
部長は技術系の人なので、「いや、そんな事案じゃないですから」と言ってなにごともなかったのですが、これを検察庁でやったら大ごとです。だから絶対アクセスできないですよね。見てもいないわけです。
昔ブログに“魔女狩り”と書きましたが、ありもしない危険な妄想が、ウイルス対策ソフトLOVEな人たちの間にどんどん広がっているわけです。その結果、技術者でさえ思い込んでしまうというところに、「なんでこんなことになったのか」という原因があるのだと思います。
ウイルス対策ソフト業者はビジネスとして儲かるから、できるだけ悪いものはどんどん増やしていこうとします。みなさんを恐怖に陥れるほどもうかる。知らないうちにCPUを使われていると「なんかいやだな」と思う程度のことでも、「そうなったらアウトだ」みたいな感覚で言っている人たちもいます。
今回の無罪判決を受けて、聞いたこともないセキュリティソフトですが、さっそく宣伝が来ました。「日本の裁判官のパソコンに関する知識レベルが悲しいことに、国際的には笑いものかな? 日本国民は対処すべきブラウザ保護機能が必要になりますね」と。セキュリティソフトを買いましょうと言っているわけです。
(次回に続く)
関連タグ:
2024.12.10
メールのラリー回数でわかる「評価されない人」の特徴 職場での評価を下げる行動5選
2024.12.09
国内の有名ホテルでは、マグロ丼がなんと1杯「24,000円」 「良いものをより安く」を追いすぎた日本にとって値上げが重要な理由
2024.12.09
10点満点中7点の部下に言うべきこと 部下を育成できない上司の特徴トップ5
2024.11.29
「明日までにお願いできますか?」ちょっとカチンとくる一言 頭がいい人に見える上品な言い方に変えるコツ
2024.12.04
いつも遅刻や自慢話…自分勝手な人にイラっとした時の切り返し 不平等な関係を打開する「相手の期待」を裏切る技
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
2024.12.06
嫌いな相手の行動が気になって仕方ない… 臨床心理士が教える、人間関係のストレスを軽くする知恵
2024.12.03
職場の同僚にイライラ…ストレスを最小限に抑える方法 臨床心理士が語る、「いい人でいなきゃ」と自分を追い込むタイプへの処方箋
2024.12.05
「今日こそやろう」と決めたのに…自己嫌悪でイライラする日々を変えるには
PR | 2024.12.04
攻撃者はVPNを狙っている ゼロトラストならランサムウェア攻撃を防げる理由と仕組み