エフセキュアブログ

CFAA を含む記事

RSAのCoviello氏に伺いたい質問

 RSA会長Arthur W. Coviello氏は2月25日、RSA Conference 2014において基調講演を行った。

 同社は岐路に立っている、と同氏は述べた。

Arthur W. Coviello, RSA Conference

 そして世界の国々に対し、以下の原則に従うように呼びかけた。

— 1) 「サイバー兵器」の使用を放棄する、および交戦中の戦争にインターネットを利用することを放棄する

— 2) サイバー犯罪者に関する捜査、逮捕、起訴において国際協力を行う

— 3) 世界中でインターネット上の経済活動が束縛されずに進められること、ならびに知的財産権が尊重されることを保証する

— 4) すべての個人のプライバシーを尊重する

 以下が私のCoviello氏に対する質問。

 1) 流行の用語について。「サイバー兵器」の放棄とは、安易なリップサービスである。私の見解では、 サイバー戦争はたいがいは戯言だ(Cyberwar Is Mostly Bunk)。私はCoviello氏に、米軍が行っているような誇大に喧伝する用語を避けて、別のニュアンスの、情報を与えるような意見を持つことを提案する。

 Coviello氏は「サイバー兵器」の定義として、我々がすっかり放棄できるような実用的なものを提供できるだろうか?

 2) これは難しい議論だ。ただ…、Coviello氏が定義する「サイバー犯罪者」とは何だろうか?Aaron Swartz?CFAA法(Computer Fraud And Abuse Act)の改定に関して、Coviello氏の見解を伺いたい。

 3) インターネットの第一の目的が「束縛されない」経済活動を許容することであるとは気付かなかった。うーん…、これについてどのように解釈したらいいか分からない。世界が「アメリカ人」の知的財産権を尊重することを要求しているというのがほとんどのように見える。

 Coviello氏は著作権の改定を支持するだろうか?

 4) この点に関する質問はない。Coviello氏はこれを念頭に指揮を執ってきたはずだ。

 真面目な話。

—————

 #RSAC に出席して、これらの質問のどれかについてCoviello氏から直接言葉を引き出せた方に、予めお礼を述べておく。

 では。
 @5ean5ullivan

#AaronSwartz の1周忌と映画「The Internet Own Boy: The Story of Aaron Swartz」 #RememberAaron

  1年前の1月11日、Aaron Swartzが自殺したことをここにも書いた。
  1周期の2014年1月11日には、「Never Forget Aaron (Aaronを絶対に忘れない)」のスローガンのもとに多数の抗議行動が行われた。生前のAaronを至近で支援していたLawrence Lessigはアメリカのニューハンプシャー市でデモを呼びかけ、アノニマスは追悼としてMITのウェブサイトを書き換えたと発表した。


  https://thedaywefightback.org/はNSAなど諜報機関による大規模サーベイランスに反対する抗議行動の予定を発表した。 http://www.youtube.com/watch?v=RJ194S7KjRg

  そして今週末から開催されるサンダンス・フィルムフェスティバルでは、Aaronを追った映画「The Internet Own Boy: The Story of Aaron Swartz」が上映される。制作したのは、アノニマスのドキュメンタリー「We Are Legion」の作者でもあるBrian Knappenbergerだ。(私が撮影したAaronの写真もどこかに使われているはずだ)
http://www.sundance.org/video/meet-the-artists-14-Brian-Knappenberger/ 
Teaser: 



  しかし、Aaronを追い詰めるために検察が根拠として使った「Computer Fraud and Abuse Act (CFAA: コンピューター詐欺悪用禁止法[名仮訳])」の問題(http://blog.f-secure.jp/archives/50691603.html に付記)はまったく無くなってはいない。どちらかというと悪化したとも言えるだろう。2014年1月8日にPatric Leahy米民主党上院議員が提案した「Personal Data Privacy and Security Act」にはCFAAを修正して重罰化を求める内容が含まれると分析されているからだ。

気の毒なTeam Lokki、日の光を楽しむ時間がない

 ヘルシンキでは夏のような美しい気候が1週間近く続いている(8月下旬はいつもそう、というわけではない)。

 それなのに、一体全体「Team Lokki」はどうしてブラインドを閉めて部屋の中で座しているのだろうか?

Team Lokki

 日の光を楽しむ時間がないのだ。なぜなら、守らねばならぬ厳しいスケジュールがあるからだ。彼らはLokkiの最新版の開発をしている。

iPhone, Lokki splash

 Lokkiとは?

 これは一種のトラッキングを行わないトラッキングアプリだ。言い換えると、選択した何人かの間であなたの現在地を共有する、ライフスタイルアプリである。

 ソーシャルネットワークなし。ビッグデータなし。履歴なし。

 あなたと、近親者、そして現在は幾人かの友人だけが、あなたの現在地を共有できる。

 詳細情報はlok.ki/blogで確認できる。

 Team Lokkiはスタートアップ企業のように活動している。「この夢を飛び立たせるためにクレジットカードを限界まで使ってきた」という感じで、カッコいいベンチャーキャピタルからの資金提供といったものではない。おそらく上の写真から分かると思う(Harriの机の上の空のボトルは気にしないように)。しかし、ともかくこのチームのプロジェクトは初期段階にあり、フィードバックを喜んで受け入れ、また非常に感謝するだろう。そして、フィードバックがアプリケーションの開発パスに直接的な影響を与える。

 Lokkiは現在、Android用とiOS用のものが用意されている。

 まだ、すべての国で利用できるわけではない(法的ななんやかやは現在処理中)。

 カナダ向けのiTunesのページはこちら。

 Google Playでこのページを見ると、次のようになる。

Lokki_US__Google_Play

 AndroidアプリのポータルAppBrainへのリンクが使える。

 ありがとう!

 追伸 ― アメリカ在住の方のために注意点を少々。Googleの検閲を迂回するためにリファラーにAppBrainを用いると、CFAA法違反(Computer Fraud and Abuse Act、コンピュータ詐欺および不正行為防止法)と見なされる可能性がある。

 冗談だろう。いや、そうでもない。たぶん。CFAAは改正する時期が来た。

Weevに懲役41ヶ月の判決

 WeevことAndrew Auernheimerの予想以上に痛ましい物語は、昨日、さらに一歩進んだ。この悔悟の念が見られないインターネットトロルは、なりすましと不正なコンピュータアクセスという2つの訴因により、(米国にて)懲役41ヶ月の判決を受けたのだ。

 Weevについては以前「Weevを保釈するか?」という記事をポストした。

Free Weev, CFAA

 今日のマスコミの報道(およびTwitterでの反応)の多くは、専らCFAA法(Computer Fraud and Abuse Act、コンピュータ詐欺および不正行為防止法)に焦点を合わせている。このCFAAとは、不正アクセスに関する(あいまいに書かれた)法律だ。

 Weevの判決は、セキュリティの研究に「萎縮効果(chilling effect)」をもたらすという懸念を表明している人々もいる。

 しかし心配はいらない!

 我々が見た報道のほとんどすべては、なりすましでの告訴について現実に考察することをしていない。

 したがって、セキュリティ上の欠陥を公表する際のトラブルを防ぐ、便利なハウツーは次のようになる。

  1.  くそったれ野郎トロルにはなるな
  2.   欠陥を見つけたなら、それを悪用するな。問題をデモンストレーションできればそれで十分だ
  3.  他人のPII(personally identifiable information、個人情報)を集めるな、記録するな、転送するな
  4.  報告者と接触する場合は、彼ら自身のデバイスIDを使って欠陥をデモンストレーションさせろ

 簡単でしょ。

Aaron Swartz の死とサイバー司法の将来への設問 #RIPAaron

<quote> "good people die early, greedy people live longer. (in contrary to what children's books illustrate…)"

  1月11日、Aaron Swartzが自殺した。26歳だった。これは私にもショッキングな出来事だった。理由のひとつは、私は10年前に彼に数回会った事があるからだ。そしてWikipediaの Aaron Swartz のページにある、彼がLessigと一緒に写っている写真は私が撮ったものだ。この時彼は16歳だった。

  この写真は2002年12月のCreative Commonsの立ち上げパーティの際に撮影したもののひとつだ。

  Aaronの自殺した日から続々と追悼文がネット上にあふれ始めて、Larry LessigやTim Berners-LeeやBrewster KahleやCory Doctorowなど彼と直接関わった人達に始まり、WiredやNew York TimesやWashington PostやBBCなどまでが追悼記事を掲載した。

  Aaronの経歴については(特に日本では)知らない人も多いだろう。Aaron Swartzって誰?と思った人は @nofrills さんがまとめてくれたページを見ると良い。ある程度の翻訳が足してあるので概要がわかると思う。

  Aaronはティーンエイジャーの頃からXMLハッカー界では知られた存在で、14歳の時にRSS1.0の仕様策定に参加し、15歳の時にはCreative CommonsのXMLアーキテクチャーの開発に、バークレーでXMLを教えていたLisa Reinと共に携わった。Crearive Commonsの立ち上げパーティではLisa ReinとAaron SwartzとLarry Lessigの3人一緒の写真も撮った。
 CC2002LRASLL-scrn

  彼はその後シリコンバレーのインキュベーターの一つのY-Combinatorで今のRedditの一部になるInfogamiを開発した。最近では、著作権法を盾にインターネット検閲できる条項を含んだSOPA法案・PIPA法案がアメリカ議会で可決されそうになったときに、いち早くDemand Progressという団体を立ち上げて反対運動を始めたのはAaronだったのだ。

  最初に私がAaronを見かけたのは2002年5月のO'ReillyのEmerging Technologyコンファレンスだった。アコーディオンガイと呼ばれていた当時の参加者が回想している。この時彼は既にCreative Commonsに関わっていたことになる。

  そしてCory Doctorowの追悼文にも書かれているが、当時Aaronはシカゴに住んでいたので、サンフランシスコに来る場合はLisa Reinのアパートに泊まっていた。
  彼女のアパートはバーナルハイツにありルームメイトと2人で借りていた。私はサンフランシスコに行く時はいろいろな友達の家に泊めてもらっていたが、Lisaも私に泊まる場所を提供してくれる友達の1人だった。なので、1度Aaronがサンフランシスコに来ている時に一緒に泊まったことがある。
  Coryも追悼文で触れているが、その当時の彼は16歳だったわけだが話す内容は若年寄という印象があった。しかし16歳の少年の部分もあるので私は話しかけるにしても何が適切か解らず、ジョークの言いようもなく戸惑ったのを憶えている。


  ショッキングだったもうひとつの理由は、彼の直面していた刑事訴訟の異様な内容だった。

  Aaron Swartzはこの2年間、彼が2010年に行ったMITからの学術論文の大量ダウンロードの件で検察から立件された刑事訴訟に直面していた。これらの学術論文は公開されているものだったが、MITで論文保存を行っていたJSTORによりアクセスが制限され、有料提供の条件でしか手に入らなかった。AaronはMITのJSTORのネットワーク室に入って直接パッチベイに接続しダウンロードした。これが無断侵入にあたるとされMITが警察を呼びAaronは逮捕されたのだ。(ここまでは私も以前にニュースで知っていた)

  Aaronが論文を大量にダウンロードした理由は自分自身の経済的な利益のためではないのが明らかだった。彼は、もともと誰にでも公開されていて無償のはずの学術論文が、JSTORによって制限された状態でしか提供されていない状態は正しくないと考え、学術論文を公開し自由にアクセス可能にするためにダウンロードしたのだ。

  しかしその後、JSTORが告訴を取り下げたにも関わらず、担当した検察官Steve Heymannとその上司Carmen Ortizは「Computer Fraud and Abuse Act (CFAA: コンピューター詐欺悪用禁止法[名仮訳])」が適用できるとして訴訟を継続し、13件の重罪があるとして有罪の場合には総計35年の刑期と100万ドルの罰金(約8900万円)を求め、4月1日から裁判が開始される予定だった。(昨年のある時点では刑期50年と計算されていたという。あのKevin Mitnickですら4年程の刑期しか受けていない。)
  そしてAaronの自殺した日に、検察側はAaron側の用意した反論のメモは「関係があるが重要ではない」と通知していた。


  これに対し、Aaronと生前の交流が深かった現ハーバード大のLawrence @Lessig は「検察は行き過ぎな虐待を行った」と批判した。

  またAaron側の証人として立つ予定だったコンピューターフォレンジックの専門家Alex Stamosは、Aaronの行為がどれだけ犯罪とは遠いものかの証言を1月12日にポストしている。
 The Truth about Aaron Swartz's "crime", from @alexstamos
 http://unhandled.com/2013/01/12/the-truth-about-aaron-swartzs-crime/ 
  これによるとJSTORのサーバーは、基本的なセキュリティ設定もアクセス制御もなく、アクセスした際の警告ダイアログも何も出ない設定で、接続すればそのままアクセスでき、侵入技術などは全く必要としない状態だったという。(ちなみにAlexは、Black Hat Japan とPacSecでスピーカーとして数回来日している)

  そしてこの Computer Fraud and Abuse Act (CFAA: コンピューター詐欺悪用禁止法[名仮訳])について、Aaronの死を受け多数の法律家が問題点を指摘し始めている。指摘されているCFAAの問題を簡単にまとめるとするなら、「オーソライズを得ていない(without authorization)アクセスを禁止する」と「オーソライズされたアクセスを越える(exceeds authorized access)」という法律要件の「オーソライズ」の定義がオープンになっていて、検察にとっては多様な解釈がその時の都合に合わせて可能な法律だということになる。

 また、Aaronのケースを強行しようとしたとして、担当の検察官の解雇を求める署名運動がホワイトハウス・サイトにある署名機能を使って始められ、既にホワイトハウスが問題として正式に取り上げなければならなくなる25000人の署名を越えている。Steve Heymannについては、Aaronの件以前にも、他のハッキング事件の裁判で容疑者を自殺に追い込んでいたことが明るみに出た。

  私の知人で90年代に多数のハッキング事件の弁護士として活躍し現在はスタンフォード大学法学部のCenter for Internet and Societyに在籍する Jennifer @Granick は、アメリカでの検察と刑事裁判のシステム的な問題を解決するべきと提案している。

  この文でJenniferは、アメリカでの刑事裁判では検察がどのようなテクニックで被告の精神を弄ぶのか、司法取引はどのような条件と場面で出されるのか、また(数百年の刑期などが求刑されることなど日本から見て興味深い)アメリカの法廷では刑期や罰金をどのように計算しているのかを自らの経験から解説している。そして、有罪判決を取ることが検察官のキャリアアップになるというインセンティブが司法を歪めていると指摘し、このシステム的な問題を解決しなければ今後も同様の問題はなくならないと示している。

  そして、この司法のシステム的な問題といわれた場合には、日本でも岡崎図書館事件があり、また昨年からの遠隔制御ウィルスでの冤罪が判明したことや、東電女子社員殺害事件での既に投獄されてしまっていたマイナリ氏が冤罪が確定し無罪となったことなど、やはり法執行でのシステム的問題と思われる要素がありうることに日本も対処していかなければならないはずだ。また、サイバー犯罪条約も交わし、国境を当然のように跨いで起きるサイバー犯罪に際して海外の司法と協力する場面が増えるであろうときに、アメリカ・ヨーロッパで一般的なeディスカバリーと呼ばれる証拠取扱の手続きについて、日本の証拠取扱のやり方が違っていることから起きる問題なども対処していかなければならないはずだ。
</quote>

PS... F-Secureのショーン・サリバンも「訃報:Aaron Swartz」のポストで短く触れている。

PS2... 1月21日、New York Timesが、Aaronが行ったJSTORからの論文大量ダウンロードについてMITが地元警察を呼ぶに至った状況への取材記事を掲載した。
  これによれば、2010年後半にMITは学内ネットワーク経由でJSTORから数100万の論文をコピーする訪問者に気が付いたので様々な対処でブロックした。その後の2011年1月3日に今度はゆっくりコピーされているのに気が付き、4日朝に場所を特定したところMITの多数の教室が無施錠のままあるビルディング16の地下ネットワーク室と判り、調べると段ボール箱に隠されたネットブックと外付けハードディスクがパッチベイに接続されているのが見つかった。
  MITはケンブリッジ警察を呼び、警察の勧めに基づいて監視カメラとネットワーク・トラフィックを監視するラップトップコンピューターが設置された。その日の午後3:26にネットワーク室入って来る人物が写り警察が呼ばれたが、Aaronはその前に部屋を出た。
  その2日後、Aaronは自転車ヘルメットで顔を隠してネットワーク室に入ったが、2分間で機材を持ち去ったので警察は間に合わなかった。だがその午後2:00ごろMITから1マイル程離れたストリートでAaronは警察に職務質問され、自転車を乗り捨てて逃走しようとした。しかしデータ保存デバイスを身につけていたため事件と関連づけされ逮捕されたのだ。
  NYT記事は、MITは警察を呼ぶ決定をしたが、事件が1度警察に渡ってしまったのでMITが望んでも止められなくなってしまったとの元検察官のコメントを付けている。

PS3... 1月18日、Twitter上の @Wikileaks のアカウントが、Aaron SwartzはWikileaksをアシストし、2010年〜2011年の間にAaronとJulian Assangeの間でコミュニケーションがあった事実があるというtweetと、Aaronの捜査にシークレットサービスが関わっていることを示唆したブログへのリンクを流した。
   Aaronの写真を多数公開している1人にはWikileaksのサポーターJacob Appelbaumもいるので、そこからつながってAaronとAssangeの間でコミュニケーションがあったとしてもあまり不思議ではない。しかし、もしもシークレットサービスが出て来いるならばアメリカの国家安全保障に関わる事態の取扱いをしていることになるので、ボストン/ケンブリッジの地元警察が扱うハッキング事件とは次元が変わることになる。これにより様々な陰謀論が囁かれるかも知れないが、事実はまだ不透明なままなことは注意すべきだろう。

Weevを保釈するか?

昔々あるところに、インターネットトロルがいました…

twitter.com/rabite

 WeevことAndrew Auernheimerの事件を2年半近く追ってきた。昨日になって、米国法CFAA(Computer Fraud and Abuse Act、コンピュータ詐欺および不正行為防止法)に違反したとしてAndrewは有罪になった。【注意】本ブログの読者も今まさにCFAAに違反している可能性がある!以下、詳細を述べる。

 つまるところ、Andrewはいったい何をしたのだろうか?

 さかのぼること2010年、Andrewと仲間のDaniel Spitlerは、iPad 3GのICC-IDを使用すると、AT&T社のサーバがiPadのアカウントに関連付けられたメールアドレスと結びつけることを発見した。サーバに特定のICC-IDについて問い合わせを行うと、登録があれば、メールアドレスが返される。そこで2人はスクリプトを書いて、12万個のメールアドレスをシステマチックに「引き出した」。続いてこのアドレスをGawkerと共有した。
 
 そして、トップニュースとなった。

 ついにはFBIが乗り出してきた。

 そしてトロルが荒らしを呼んだ。Andrew(とGawker)は声高に、そして(私見だが)愚かなやり方で、この状況を大きな騒動にしようとした。私は、この開示はまったく無責任なものだったと、繰り返し述べている。
 
goatse.fr/on-disclosure-ethics

 私の見解は後に「Gawker's Data Disclosure(Gawkerのデータ開示)」にて、修正の上、明確にしている。

 2人に対する刑事告訴に際し、Daniel Spitlerは示談を訴えた。Andrewは提訴することを選択した。以来月日が過ぎるうちに、Andrewの足元で世界が変わった。2010年夏、Weevはハッカーでありインターネットトロルであった。Andrewに悩まされることがあっても、結局のところほとんど無害だった。

 しかしAnonymouやLulzSecのおかげで、ハッカー達は今や米国の敵となった。それは結果として、Andrewには残念なことになった。

 こうしたことはフェアだろうか?

 個人的にはそうは思わない。

 そして、道理にかなっているだろうか?

 Robert David Grahamはそう考えてはいなさそうだ。読者もCFAAに違反しているかもしれない!既にそのように述べたことを覚えているだろうか?1986年に記述されたCFAAの曖昧さについて、Grahamは秀逸な投稿を行っている。CFAAが現在の文言のままでは、誰でも潜在的にCFAA違反になり得る。

twitter.com/erratarob/271075706123980801

 情報を「引き出す」ツールを見つけるのは簡単だ。

twitter.com/mikko/271218580450848769

 こうしたツールを使うことがCFAA違反になるのか?

urli

 結論:Andrewはトロルで、愚行を犯し、率直に言って無責任だ。しかし、まったく公開されたことないメールアドレスを引き出したとして、連邦刑務所に10年(5年の刑期を2回連続)収監されるのに値するだろうか?

 あなたはどう思うだろうか。

WeevことAndrew Auernheimerは収監されてしかるべきか?

詳しい情報:

MIT Technology Review: Jail Looms for Man Who Revealed AT&T Leaked iPad User E-Mails
Wired: Hacker Found Guilty of Breaching AT&T Site to Obtain iPad Customer Data


では,
ショーン

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード