アカウント名:
パスワード:
どう考えてもウイルスじゃいんだけど。何でもかんでもウイルスというのはやめて欲しい。
ウイルス作成罪は通称で、正式名称は「不正指令電磁的記録作成罪」ですね [wikipedia.org]。
・人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録・前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
だそうです。
バグのあるソフトを公開・納品したら犯罪になってしまう!
真面目にそれでだいぶ問題になってますからねぇ。きちんとどう運用されるか注目して置かなければいけないのに、初起訴されたのがこんな自作自演小物チンピラだとはなんとも言えない気分になります。
随分と前(おそらく法改正よりも)になりますが、私は句読点("。"と"、")を入力すると、アルファベットの小文字の"w"に(on the flyで)勝手に変える掲示板を作成してしまいました。
例:
我輩は、猫である。
→
我輩はw猫であるww
http://torisugari.hostei.com/?t=000 [hostei.com]
「意図に反する動作をさせる」や「不正な指令」と言われると、言い返せないような気がします。しかも、私がわざとやっているのは傍目にも明らかなので、バグだと言い張っても通用しないんじゃないでしょう
句読点はwに変換されますと明記しておけばいいのさw
その理屈で許されるならw今回の事件もメールにw
「このリンクをクリックするとwメッセージを送信できますww」
って書いておけばwウィルス作成の方はお咎めなしってことになるなwwまさに「意図」した通りに挙動したってことでww
内容まで書いてあればね。
仕様書を作らなければバグにはなりません。
今回って被害者側もそれなりにPCについてのスキルはあると思うので、メールに添付された怪しげな実行ファイルを素直に実行しちゃったというのも結構不思議な気がします。
各社の報道にばらつきがあるのでおかしいですが、各紙報道をソースとしながらもIT Mediaがまとめた記事 [itmedia.co.jp]が一番矛盾がないんでこれが大筋で正しいと仮定すると、これはクロスサイトリクエストフォージェリ [wikipedia.org](CSRF)と言う攻撃手段じゃないかと思います。これはいわゆる「感染」などを引き起こすものではありません。細工されたページにアクセスしてトラップを踏む…これはダウンロードしたファイルを実行するなどではなく、単に画面のどこかをクリックするだけとかでもいいんですが、そういった動作で勝手にどこかに書き込みなどの動作が行われるというものです。
#というかそろそろ「ウイルス」という言葉は「感染する」という微妙な用語を呼び覚ますのでやめるべきだよね…。
これ、 Wikiepdiaだとセッション情報を利用してやる攻撃を想定しているので、利用者側だとこまめにCookieを消せとか書いてありますが、基本的にはサーバ側でおかしなクエリは受け取らないだとか、そういった対処しないと利用者の方じゃ処置が難しい攻撃です。
なので、そもそもCSRF対策しない釣り用の掲示板を用意しておいて、そこに対して書き込みをさせるトラップを仕込んだ一見無害なページを送りつけると言う形では正直なかなか防げないなと言う気がします。届いたメールが特に標的型であれば、セキュリティソフトの類いも警告を出しにくいでしょうし、怪しいと言うのもきちんと判断できないんじゃないかな。また一人の人間を引っかければ良いのであれば、CSRF対策としてよく見られるトークン型の対策(一意の使い捨て・有効期限付きのトークンをフォームに埋め込んでおく)では比較的簡単に回避させることができてしまいます。
被害者が気付いて攻撃したページを保存していたとか、加害者が攻撃につかったページをマヌケにもそのままのこしていたとか、どこかにキャッシュされてたとか発覚した経緯は今のところ分かりませんが、もっと巧妙にやられると発覚は難しい、少なくとも専門捜査官じゃないと警察じゃ見抜けないんじゃないかな。さらに攻撃者と、CSRFトラップを踏ませせられた被害者と、掲示板などを管理している被害者と言う3者が絡むとか、ポストさせる内容に児童ポルノや覚醒剤、売春、人身売買などに関連する情報を含ませるといった形だったりするといよいよと面倒くさい事になります。
なんか模造犯が出そうな予感……と、言うかすでに冤罪とかあるんじゃないのか?なんかいい具合に自衛が可能な方法ないだろうか…。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
それって (スコア:0)
どう考えてもウイルスじゃいんだけど。
何でもかんでもウイルスというのはやめて欲しい。
Re:それって (スコア:1)
ウイルス作成罪は通称で、正式名称は「不正指令電磁的記録作成罪」ですね [wikipedia.org]。
・人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
・前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
だそうです。
Re:それって (スコア:2)
バグのあるソフトを公開・納品したら犯罪になってしまう!
Re: (スコア:0)
真面目にそれでだいぶ問題になってますからねぇ。
きちんとどう運用されるか注目して置かなければいけないのに、初起訴されたのがこんな自作自演小物チンピラだとはなんとも言えない気分になります。
Re: (スコア:0)
随分と前(おそらく法改正よりも)になりますが、私は句読点("。"と"、")を入力すると、アルファベットの小文字の"w"に(on the flyで)勝手に変える掲示板を作成してしまいました。
例:
我輩は、猫である。
→
我輩はw猫であるww
http://torisugari.hostei.com/?t=000 [hostei.com]
「意図に反する動作をさせる」や「不正な指令」と言われると、言い返せないような気がします。しかも、私がわざとやっているのは傍目にも明らかなので、バグだと言い張っても通用しないんじゃないでしょう
Re: (スコア:0)
句読点はwに変換されますと明記しておけばいいのさw
Re: (スコア:0)
その理屈で許されるならw今回の事件もメールにw
「このリンクをクリックするとwメッセージを送信できますww」
って書いておけばwウィルス作成の方はお咎めなしってことになるなwwまさに「意図」した通りに挙動したってことでww
Re: (スコア:0)
内容まで書いてあればね。
Re: (スコア:0)
仕様書を作らなければバグにはなりません。
Re: (スコア:0)
今回って被害者側もそれなりにPCについてのスキルはあると思うので、メールに
添付された怪しげな実行ファイルを素直に実行しちゃったというのも結構不思議な
気がします。
Re:それって (スコア:4, 参考になる)
各社の報道にばらつきがあるのでおかしいですが、各紙報道をソースとしながらもIT Mediaがまとめた記事 [itmedia.co.jp]が一番矛盾がないんでこれが大筋で正しいと仮定すると、これは
クロスサイトリクエストフォージェリ [wikipedia.org](CSRF)と言う攻撃手段じゃないかと思います。これはいわゆる「感染」などを引き起こすものではありません。細工されたページにアクセスしてトラップを踏む…これはダウンロードしたファイルを実行するなどではなく、単に画面のどこかをクリックするだけとかでもいいんですが、そういった動作で勝手にどこかに書き込みなどの動作が行われるというものです。
#というかそろそろ「ウイルス」という言葉は「感染する」という微妙な用語を呼び覚ますのでやめるべきだよね…。
これ、 Wikiepdiaだとセッション情報を利用してやる攻撃を想定しているので、利用者側だとこまめにCookieを消せとか書いてありますが、基本的にはサーバ側でおかしなクエリは受け取らないだとか、そういった対処しないと利用者の方じゃ処置が難しい攻撃です。
なので、そもそもCSRF対策しない釣り用の掲示板を用意しておいて、そこに対して書き込みをさせるトラップを仕込んだ一見無害なページを送りつけると言う形では正直なかなか防げないなと言う気がします。
届いたメールが特に標的型であれば、セキュリティソフトの類いも警告を出しにくいでしょうし、怪しいと言うのもきちんと判断できないんじゃないかな。
また一人の人間を引っかければ良いのであれば、CSRF対策としてよく見られるトークン型の対策(一意の使い捨て・有効期限付きのトークンをフォームに埋め込んでおく)では比較的簡単に回避させることができてしまいます。
被害者が気付いて攻撃したページを保存していたとか、加害者が攻撃につかったページをマヌケにもそのままのこしていたとか、どこかにキャッシュされてたとか発覚した経緯は今のところ分かりませんが、もっと巧妙にやられると発覚は難しい、少なくとも専門捜査官じゃないと警察じゃ見抜けないんじゃないかな。さらに攻撃者と、CSRFトラップを踏ませせられた被害者と、掲示板などを管理している被害者と言う3者が絡むとか、ポストさせる内容に児童ポルノや覚醒剤、売春、人身売買などに関連する情報を含ませるといった形だったりするといよいよと面倒くさい事になります。
なんか模造犯が出そうな予感……と、言うかすでに冤罪とかあるんじゃないのか?
なんかいい具合に自衛が可能な方法ないだろうか…。