はてな村定点観測所

運動、瞑想、睡眠、野菜350g

技術書典で『Webセキュリティのミライ ー不正指令電磁的記録問題に寄せてー』を頒布します

   

f:id:netcraft3:20190412202027p:plain

サークル「ミライ・ハッキング・ラボ」は4月14日(日)11:00〜池袋サンシャインシティ2F 展示ホールDで開催される技術書典6に出展します。ラボメンナンバー002の私は『Webセキュリティのミライ』という本を頒布します。以下、幾つか本書の中身を抜粋しながら内容を紹介していきます。

f:id:netcraft3:20190412224844p:plain

昨今の兵庫県警の無限アラート摘発事件やCoinhive事件は、警察から不正指令電磁的記録に関する罪の容疑で家宅捜索を受けました。この不正指令電磁的記録に関する罪は刑法168条の2に定められています。一般的にはウィルス作成罪とも呼ばれています。

f:id:netcraft3:20190412215635p:plain

日本政府は小泉政権の頃からサイバー犯罪条約を批准するために刑法改正案を国会に提出していました。しかし、この法案には共謀罪に関する改正案も含まれていたため国会で紛糾し廃案になっていました。

その後、民主党政権下の2011年3月11日、刑法改正案から共謀罪を除いた不正指令電磁的記録に関する罪のみの刑法改正案が閣議決定されました。その日に東日本大震災が起きました。震災の被害と原発事故によって社会の混乱が続く中、2011年6月に刑法改正案が国会で承認され施行されました。

f:id:netcraft3:20190412210720p:plain

誤解している人が多いので本書にも書いてありますが、この不正指令電磁的記録に関する罪はウィルスなどのマルウェアを作成したり保管していても罪とはなりません。もし単純所持で罰せられるとしたら、ウィルスをセキュリティの研究目的で開発している人や、メールなどで誰かからウィルスを送りつけらて保管していただけの人も犯罪となってしまいます。

そこでこの法律では「実行の用に供する目的」で「正当な理由がないのに」作成したり保管したりする行為が犯罪となると規定されています。この「実用目的」「正当な理由がない」というかなり曖昧な定義が数多くの悲劇を生む事になりました。

f:id:netcraft3:20190412203401j:plain

本書ではこの不正指令電磁的記録の提供罪で、家宅捜索と略式起訴を受けたIPUSIRONさんへのロングインタビューを行いました。IPUSIRONさんは『Wizard Bible』というアンダーグラウンド系Webマガジンを発行していたのですが、2017年に家宅捜索を受け、2018年に略式起訴で不正指令電磁的記録に関する罪としては最高額になる罰金50万円が確定しました。またこの時に検察からWizard Bibleを閉鎖するように迫られて閉鎖を余儀なくされました。

Wizard Bible事件がどのようにして起きて何が問題とされたのか、本書で詳しく迫っていきます。ここではその一部を抜粋してお伝えします。

f:id:netcraft3:20190412212751p:plain

f:id:netcraft3:20190412213101p:plain

f:id:netcraft3:20190412212953p:plain

Wizard Bibleを続けるならば攻撃コードを含むメールを送ってきた人物を警察に通報(密告)するようにという話もありました。

f:id:netcraft3:20190412213745p:plain

その他、本書ではネットではまだ公開されていない一次資料も掲載しています。

f:id:netcraft3:20190412203930j:plain

また、今回のWizard Bible事件の教訓から将来の展望についてもお話を聞きました。いまネットでは何が合法で何が違法かの議論が行われていますが、現実問題として限りなく合法に近いコードや行為であっても家宅捜索や略式起訴が起きる可能性はあるので、IT技術者が定期的に少額を出し合ってハッカー基金を設立するアイディアなども伺いました。

f:id:netcraft3:20190412203948p:plain

今回の兵庫県警の無限アラート摘発事件では裁判費用について多くの寄付が集まりました。私も寄付しました。しかし、毎回このように事件が注目を浴びて寄付が集まるとは限りません。ハッカー基金を設立するのも一つの案として議論するのが良いのかと思います。

原稿を書いている間も、不正指令電磁的記録問題を巡って様々な動きがありましたが、できるだけ最新の情報を載せていきました。

f:id:netcraft3:20190412215336j:plain

ここで紹介した内容はごく一部です。『Webセキュリティのミライ』は技術書典6の会場え04にて販売します。1冊1,000円です。

同時にBOOTHにてPDFのダウンロード販売も開始する予定ですので、もし技術書典にいらっしゃるのが難しい場合はPDFデータをダウンロード購入もできます。

IPUSIRONさんのBadUSB本もあります

ミライ・ハッキング・ラボでは、ラボメンナンバー001のIPUSIRONさんが書かれた『ハッキング・ラボのそだてから ミジンコでもわかるBadUSB』も頒布します。日本国内では類書がないBadUSB(USBメモリなどを差し込んだときにターゲットのパソコンでコマンドを実行したりバックドアを仕込む技術)に関する技術解説本です。

f:id:netcraft3:20190412220536p:plain:w300

私も本書を読むまでは、BadUSBとはUSBメモリを差し込んだときにストレージとして認識させ脆弱性を突いたプログラムを実行させてシステムを乗っ取るのかと思っていたのですが、そうではなくUSBに差し込んだときにUSBキーボードとして認識させるそうです。そしてUSBキーボードからキーを打ち込んだように(キーストローク)コマンドを送り込むそうです。

USBキーボードを自分のパソコンのUSBに差し込んでも画面上は何も出ません。そしてBadUSBはプログラムではなく、USBキーボードとしてキーを送るだけですので不正侵入ソフトウェアとして検知されません。BadUSBと普通のUSBを見分けるのはかなり困難であると思われます。以下、幾つかのページの抜粋です。

f:id:netcraft3:20190412221525p:plain

f:id:netcraft3:20190412222640p:plain

個人的に一番衝撃を受けたのは応用編として解説されているUSBのウェポン化でした。その実例として家電量販店でもよく売られているLED電球にBadUSBを仕込むノウハウが解説されています。USB扇風機などにも応用ができると思います。見知らぬUSBメモリは最近は徐々にセキュリティ意識が高まって差し込まない人も増えていますが、USB照明やUSB扇風機が攻撃してくるとはなかなか想像されないですよね。BadUSBすごい。

f:id:netcraft3:20190412222321j:plain

『ハッキング・ラボのそだてから ミジンコでもわかるBadUSB』は1冊1,500円です。こちらもBOOTHでダウンロード販売が予定されています。

技術書典でお待ちしております

そんなこんなでミライ・ハッキング・ラボは、4月14日は池袋の技術書典で2冊の本を頒布します。もし興味を持たれた方はお気軽にお越しください。見本誌も用意しております。技術書典に来るのが難しい方はダウンロード販売もご利用になれます(ダウンロード方法は追ってご連絡します)。

f:id:netcraft3:20190412225133p:plain

このポスターが目印です。シュタインズゲート世界線を意識してポスターは人工衛星にしています。

techbookfest.org

追記:本を出しました

技術書典6で『Webセキュリティのミライ』を頒布しました。紙の本は完売しました。PDFダウンロード版はBOOTHにて現在も購入できます。

booth.pm