パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ウイルス作成罪で初の逮捕者が出る」記事へのコメント

  • by Anonymous Coward on 2012年01月26日 22時08分 (#2088105)

    どう考えてもウイルスじゃいんだけど。
    何でもかんでもウイルスというのはやめて欲しい。

    • by Anonymous Coward on 2012年01月26日 22時15分 (#2088113)

      ウイルス作成罪は通称で、正式名称は「不正指令電磁的記録作成罪」ですね [wikipedia.org]。

      ・人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
      ・前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録

      だそうです。

      親コメント
      • by nobanner (41086) on 2012年01月26日 23時49分 (#2088164) 日記

        バグのあるソフトを公開・納品したら犯罪になってしまう!

        親コメント
        • by Anonymous Coward

          真面目にそれでだいぶ問題になってますからねぇ。
          きちんとどう運用されるか注目して置かなければいけないのに、初起訴されたのがこんな自作自演小物チンピラだとはなんとも言えない気分になります。

          • by Anonymous Coward

            随分と前(おそらく法改正よりも)になりますが、私は句読点("。"と"、")を入力すると、アルファベットの小文字の"w"に(on the flyで)勝手に変える掲示板を作成してしまいました。

            例:

            我輩は、猫である。

            我輩はw猫であるww

            http://torisugari.hostei.com/?t=000 [hostei.com]

            「意図に反する動作をさせる」や「不正な指令」と言われると、言い返せないような気がします。しかも、私がわざとやっているのは傍目にも明らかなので、バグだと言い張っても通用しないんじゃないでしょう

            • by Anonymous Coward

              句読点はwに変換されますと明記しておけばいいのさw

              • by Anonymous Coward

                その理屈で許されるならw今回の事件もメールにw

                「このリンクをクリックするとwメッセージを送信できますww」

                って書いておけばwウィルス作成の方はお咎めなしってことになるなwwまさに「意図」した通りに挙動したってことでww

              • by Anonymous Coward

                内容まで書いてあればね。

        • by Anonymous Coward

          仕様書を作らなければバグにはなりません。

    • by Anonymous Coward

      今回って被害者側もそれなりにPCについてのスキルはあると思うので、メールに
      添付された怪しげな実行ファイルを素直に実行しちゃったというのも結構不思議な
      気がします。

      • Re:それって (スコア:4, 参考になる)

        by Anonymous Coward on 2012年01月27日 9時26分 (#2088268)

        各社の報道にばらつきがあるのでおかしいですが、各紙報道をソースとしながらもIT Mediaがまとめた記事 [itmedia.co.jp]が一番矛盾がないんでこれが大筋で正しいと仮定すると、これは
        クロスサイトリクエストフォージェリ [wikipedia.org](CSRF)と言う攻撃手段じゃないかと思います。これはいわゆる「感染」などを引き起こすものではありません。細工されたページにアクセスしてトラップを踏む…これはダウンロードしたファイルを実行するなどではなく、単に画面のどこかをクリックするだけとかでもいいんですが、そういった動作で勝手にどこかに書き込みなどの動作が行われるというものです。

        #というかそろそろ「ウイルス」という言葉は「感染する」という微妙な用語を呼び覚ますのでやめるべきだよね…。

        これ、 Wikiepdiaだとセッション情報を利用してやる攻撃を想定しているので、利用者側だとこまめにCookieを消せとか書いてありますが、基本的にはサーバ側でおかしなクエリは受け取らないだとか、そういった対処しないと利用者の方じゃ処置が難しい攻撃です。

        なので、そもそもCSRF対策しない釣り用の掲示板を用意しておいて、そこに対して書き込みをさせるトラップを仕込んだ一見無害なページを送りつけると言う形では正直なかなか防げないなと言う気がします。
        届いたメールが特に標的型であれば、セキュリティソフトの類いも警告を出しにくいでしょうし、怪しいと言うのもきちんと判断できないんじゃないかな。
        また一人の人間を引っかければ良いのであれば、CSRF対策としてよく見られるトークン型の対策(一意の使い捨て・有効期限付きのトークンをフォームに埋め込んでおく)では比較的簡単に回避させることができてしまいます。

        被害者が気付いて攻撃したページを保存していたとか、加害者が攻撃につかったページをマヌケにもそのままのこしていたとか、どこかにキャッシュされてたとか発覚した経緯は今のところ分かりませんが、もっと巧妙にやられると発覚は難しい、少なくとも専門捜査官じゃないと警察じゃ見抜けないんじゃないかな。さらに攻撃者と、CSRFトラップを踏ませせられた被害者と、掲示板などを管理している被害者と言う3者が絡むとか、ポストさせる内容に児童ポルノや覚醒剤、売春、人身売買などに関連する情報を含ませるといった形だったりするといよいよと面倒くさい事になります。

        なんか模造犯が出そうな予感……と、言うかすでに冤罪とかあるんじゃないのか?
        なんかいい具合に自衛が可能な方法ないだろうか…。

        親コメント

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

処理中...