技術書典で『Webセキュリティのミライ　ー不正指令電磁的記録問題に寄せてー』を頒布します

f:id:netcraft3:20190412202027p:plain

サークル「ミライ・ハッキング・ラボ」は4月14日（日）11:00〜池袋サンシャインシティ2F 展示ホールDで開催される技術書典6に出展します。ラボメンナンバー002の私は『Webセキュリティのミライ』という本を頒布します。以下、幾つか本書の中身を抜粋しながら内容を紹介していきます。

f:id:netcraft3:20190412224844p:plain

昨今の兵庫県警の無限アラート摘発事件やCoinhive事件は、警察から不正指令電磁的記録に関する罪の容疑で家宅捜索を受けました。この不正指令電磁的記録に関する罪は刑法168条の2に定められています。一般的にはウィルス作成罪とも呼ばれています。

f:id:netcraft3:20190412215635p:plain

日本政府は小泉政権の頃からサイバー犯罪条約を批准するために刑法改正案を国会に提出していました。しかし、この法案には共謀罪に関する改正案も含まれていたため国会で紛糾し廃案になっていました。

その後、民主党政権下の2011年3月11日、刑法改正案から共謀罪を除いた不正指令電磁的記録に関する罪のみの刑法改正案が閣議決定されました。その日に東日本大震災が起きました。震災の被害と原発事故によって社会の混乱が続く中、2011年6月に刑法改正案が国会で承認され施行されました。

f:id:netcraft3:20190412210720p:plain

誤解している人が多いので本書にも書いてありますが、この不正指令電磁的記録に関する罪はウィルスなどのマルウェアを作成したり保管していても罪とはなりません。もし単純所持で罰せられるとしたら、ウィルスをセキュリティの研究目的で開発している人や、メールなどで誰かからウィルスを送りつけらて保管していただけの人も犯罪となってしまいます。

そこでこの法律では「実行の用に供する目的」で「正当な理由がないのに」作成したり保管したりする行為が犯罪となると規定されています。この「実用目的」「正当な理由がない」というかなり曖昧な定義が数多くの悲劇を生む事になりました。

f:id:netcraft3:20190412203401j:plain

本書ではこの不正指令電磁的記録の提供罪で、家宅捜索と略式起訴を受けたIPUSIRONさんへのロングインタビューを行いました。IPUSIRONさんは『Wizard Bible』というアンダーグラウンド系Webマガジンを発行していたのですが、2017年に家宅捜索を受け、2018年に略式起訴で不正指令電磁的記録に関する罪としては最高額になる罰金50万円が確定しました。またこの時に検察からWizard Bibleを閉鎖するように迫られて閉鎖を余儀なくされました。

【重要】誠に残念ながら、諸事情によりWizard Bibleを閉鎖しなければならない状況に追い込まれました。読者や投稿者に助けられて15年以上続けてこられましたが、このような結果になってしまい本当に申し訳ありません。
最後の抵抗としてアーカイブをDLできるようにしました。https://t.co/J1BKSG97ba
— ipusiron＠『暗号技術実践活用ガイド』 (@ipusiron) 2018年4月15日

Wizard Bible事件がどのようにして起きて何が問題とされたのか、本書で詳しく迫っていきます。ここではその一部を抜粋してお伝えします。

f:id:netcraft3:20190412212751p:plain

f:id:netcraft3:20190412213101p:plain

f:id:netcraft3:20190412212953p:plain

Wizard Bibleを続けるならば攻撃コードを含むメールを送ってきた人物を警察に通報（密告）するようにという話もありました。

f:id:netcraft3:20190412213745p:plain

その他、本書ではネットではまだ公開されていない一次資料も掲載しています。

f:id:netcraft3:20190412203930j:plain

また、今回のWizard Bible事件の教訓から将来の展望についてもお話を聞きました。いまネットでは何が合法で何が違法かの議論が行われていますが、現実問題として限りなく合法に近いコードや行為であっても家宅捜索や略式起訴が起きる可能性はあるので、IT技術者が定期的に少額を出し合ってハッカー基金を設立するアイディアなども伺いました。

f:id:netcraft3:20190412203948p:plain

今回の兵庫県警の無限アラート摘発事件では裁判費用について多くの寄付が集まりました。私も寄付しました。しかし、毎回このように事件が注目を浴びて寄付が集まるとは限りません。ハッカー基金を設立するのも一つの案として議論するのが良いのかと思います。

原稿を書いている間も、不正指令電磁的記録問題を巡って様々な動きがありましたが、できるだけ最新の情報を載せていきました。

f:id:netcraft3:20190412215336j:plain

ここで紹介した内容はごく一部です。『Webセキュリティのミライ』は技術書典6の会場え04にて販売します。1冊1,000円です。

同時にBOOTHにてPDFのダウンロード販売も開始する予定ですので、もし技術書典にいらっしゃるのが難しい場合はPDFデータをダウンロード購入もできます。

IPUSIRONさんのBadUSB本もあります

ミライ・ハッキング・ラボでは、ラボメンナンバー001のIPUSIRONさんが書かれた『ハッキング・ラボのそだてから　ミジンコでもわかるBadUSB』も頒布します。日本国内では類書がないBadUSB（USBメモリなどを差し込んだときにターゲットのパソコンでコマンドを実行したりバックドアを仕込む技術）に関する技術解説本です。

f:id:netcraft3:20190412220536p:plain:w300

私も本書を読むまでは、BadUSBとはUSBメモリを差し込んだときにストレージとして認識させ脆弱性を突いたプログラムを実行させてシステムを乗っ取るのかと思っていたのですが、そうではなくUSBに差し込んだときにUSBキーボードとして認識させるそうです。そしてUSBキーボードからキーを打ち込んだように（キーストローク）コマンドを送り込むそうです。

USBキーボードを自分のパソコンのUSBに差し込んでも画面上は何も出ません。そしてBadUSBはプログラムではなく、USBキーボードとしてキーを送るだけですので不正侵入ソフトウェアとして検知されません。BadUSBと普通のUSBを見分けるのはかなり困難であると思われます。以下、幾つかのページの抜粋です。

f:id:netcraft3:20190412221525p:plain

f:id:netcraft3:20190412222640p:plain

個人的に一番衝撃を受けたのは応用編として解説されているUSBのウェポン化でした。その実例として家電量販店でもよく売られているLED電球にBadUSBを仕込むノウハウが解説されています。USB扇風機などにも応用ができると思います。見知らぬUSBメモリは最近は徐々にセキュリティ意識が高まって差し込まない人も増えていますが、USB照明やUSB扇風機が攻撃してくるとはなかなか想像されないですよね。BadUSBすごい。

f:id:netcraft3:20190412222321j:plain