Hatena::ブログ(Diary)

極楽せきゅあ日記 このページをアンテナに追加 RSSフィード

2003-11-04 小春日和(笑)

[]MVP

そういえば公開しておりませんでしたが、ジョニーに勧められたので公開しちゃおっと(笑)。

先月MVPに選ばれました。いやーどもどもどもども*1

伊原さんのときは時計とかもらったらしいんですが、あちきはデイパックですた。しかし、その直前にデイパック買ったばかし(笑)。ツキ無し!>自分。

[]ジョニーNHK出演

そんなジョニーは、サイバーロードの件でNHKに出たらしい。よっ、売れっ子(爆笑)。

ちなみにけんさんところ経由でサイバーロードのZone-Hアーカイブ見たんですが、やっぱシルバーロードとかとは別人のような気がするなあ。わからんけど。

[]サイバー犯罪条約批准ネタ

まとめてみますた*2

サイバー犯罪条約は何度か話題に出ているが、実際それがどのように批准されようとしているのかご存知だろうか?

この間弁護士さん主催の勉強会に出席してきたが、そこで報告された批准のされ方には危機感を抱かざるを得ないものだった。

その危機感のもともとをたどっていけば、法制審議会メンバーの、技術的側面での無理解、知識不足がどうしても否定できない。あまりに知識を持たない、知らない、理解できていないために、平気で法律としては仕様上の大バグ持ちのものを制定しようとしているのだ。もちろん法律というものが、その成り立ちの時点で配慮不足、設計上のバグを含んでいたとしても、現場の解釈で現状に即して運用できるだけの余地が残されていればまだいいのだが、仮に現在の審議がそのまま通ってしまうようであればおそらくその余地すらなくなってしまう可能性もある。それだけ危機的な状況なのである。

審議は主に、現行の刑法のどこをどう修正するか、というポイントで進められている。現行法でどこが足りないのか、条約によって要請されている要件のどこが不足しているのか、というのを見極め、その部分を補完していくアプローチだ。例えばウイルスを取り締まる法律が無い、となれば、ではウイルスを定義する条文と、ウイルスをどのように取り締まるか、という条文を追加するのである。

ウイルスやワームを取り締まりたい部分は以下の通りだ。

第一  不正指令電磁的記録等作成等の罪の新設等

 一  人の電子計算機における実行の用に供する目的で、人の使用する電子計算機についてその意図に沿うべき動作をさせず、又はその意図に反する動作をさせる不正な指令に係る電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処するものとすること。

 二  一の不正な指令を与える電磁的記録を人の電子計算機において実行の用に供した者も、一と同様とすること。

 三  二の未遂は、罰するものとすること。

 四  一の目的で、一の不正な指令に係る電磁的記録その他の記録を取得し、又は保管した者は、二年以下の懲役又は三十万円以下の罰金に処するものとすること。

 五  電子計算機損壊等業務妨害の罪(刑法第二百三十四条の二)の未遂は、罰するものとすること。

そのアプローチ自体に文句をつけるわけではない。しかし、例えばウイルスの定義に問題がある。現行の修正案における定義では、ウイルスのみならず各種のexploitまで、要するにわれわれセキュリティベンダーが商売として監査をやるときに使うテストプログラムの類、研究目的で作られるものも含めて、すべてがこの修正案にひっかかる可能性があるのだ。しかも、製造だけでなく、保管や公開(提供)にまで罰則が明記される案になっている。日弁連はそこに「悪意ある行為」*3という制限を設けるべき、という提言を出したが、あえなく却下されたようだ。

要するにこれは、ウイルスやワームというプログラムを取り締まりたいのだが、その定義がどこからどう見ても曖昧で、法律を執行する側に恣意的に濫用されてしまう可能性がある、ということである。もちろん執行者が全て悪意を持っているわけではないだろうし、見る目がそれほど曇っているというわけでもなかろう。しかし、保管していただけであっても有無を言わさず罪に問われる可能性がある、ということは、即ち誰かを陥れようと思ったら、exploitコードをこっそり置いて時限的に外に向けて発射するようにしておくだけで良い、ということになるのだ。

公開(提供)もヤバい。例えば掲示板に誰かがexploitコードを貼り付けたらどうなるのだろうか?貼り付けたヤツが直接の公開者ということになるのだろうが、その掲示板の管理人にしても、そのexploitコードを貼り付けた日前後、たまたま海外旅行でプーケットにハネムーンプランで(笑)*4出かけていて、戻ってくるまで時間がかかってしまった場合、共犯ということになるのだろうか?もっと直接的に、弱点を持ったWebサーバーにexploitコードを撃ちこんでおけば、それで公開(提供)ということにならないだろうか?

こうしたことを考えると、業界全体がこの手の商売に対してものすごく慎重にならざるを得ないし、ひいては萎縮することになる。業界だけでなく学会もそうだろう。学校についても研究目的にせよ、持っているだけでダメなのだ。そういうリスクを犯してまで研究するような学校も無かろう。

取り締まられる側だけでなく、取り締まる側にとってもこの点は問題がある。というのも、やはり定義が曖昧であるため、一般的なプログラムバグまでその範囲であると解釈できてしまうからだ。意図に沿うべき動作をさせない、意図に反する動作をさせる、という文言があるのだが、その指す範囲も曖昧であり、どうとでも解釈できる。となると単なるバグを作り込んだだけでも、取りようによっては刑事罰になるわけである。逆に言えばもともとウイルスにしろワームにしろ、原因にはバグがあるとも言えるわけだし、単なるバグとバグ以外*5を峻別できなければ、すべてのバグを含めてしまうしかないことにならないだろうか。

これでは執行側もこの法律の適用DOS状態となり、本来の目的を達することができなくなってしまうのではないだろうか。あるいは逆に本当に悪いことを企てる人がDOSを作為して混乱を招くことは容易であろう。

いずれにしても今回の法制審議会の修正案は危険極まりない。というより、もっと積極的に、結局誰の得にもならない修正であるように思える。修正点は他に3点あるのだが特に問題となるであろう(今は全然問題にされていない、それこそが大問題(笑))「不正指令電磁的記録等作成等の罪の親切等*6」について取り上げてみた。

参考:

[]責任転嫁

「おまえ、今このカメラで盗撮してただろっ!」
「カメラのせいです」

「こんなに違法ファイル落としまくって、いったいどういうつもりなんだ?」
「PCのせいです」

「おいっ!商店街でクルマ暴走させるなんてむちゃくちゃじゃないかっ!3人も死んだんだぞっ!」
「クルマに搭載されたPCのせいです」

こういういいわけが、もしかして通るの(苦笑)?

*1:それにしても、あちき以外のセキュリティの方はそーそーたるメンツなので、ちょっとおこがましーんですけどねえ(苦笑)

*2:とはいえ、高木先生ほどの完成度には到底到達できてねーわけで(笑)、いずれ改訂し、まとめなおすことにします

*3:というのも何をどう悪意の行為と取るのか、という議論になるとは思うが

*4:そういえば、「アジノモトー」と言われたら「今日本では東京スタジアムの名前になっとる」とお答えすればよかったかと(笑)http://www.saposen.com/cgi-bin/sowhat/column/2003/20031014.html

*5:他に適当な言い方を思いつかない(笑)

*6:「等」大杉(苦笑)

tessytessy 2003/11/04 17:33 おめでとうございます。小島先生USAになっちゃってますね(^^;

いちごいちご 2003/11/04 17:38 おめでとーございますぅー。サブローは何もらったんだろ?

rlyehrlyeh 2003/11/04 17:53 おめでとうございます。

sonodamsonodam 2003/11/04 17:56 あ、どもですー。一応自分的には田中達也のつもりで居ます(笑)。突発的に暴言シュートばごーんと打つところなんてくりそつか(笑)?

Fumi-poohFumi-pooh 2003/11/04 18:11 おめでとうございます。これからもセキュ業界を牽引していって下さい

sonodamsonodam 2003/11/04 18:14 >牽引 してないしてない(笑)。レッカー移動されてる方だよーん(笑)。

みゃーみゃー 2003/11/04 18:59 めでたーい。今月のケーキオフ後エソカイは盛り上げるぜーい♪某さんの誕生日やし、美女くるし(ぇ

yamanyonyamanyon 2003/11/04 19:20 遅ればせながらおめでとうございます〜。暴言シュート大期待♪

けんけん 2003/11/04 21:03 おめでとーございますー (傘の上で球を回す雰囲気で)

こじまこじま 2003/11/04 21:07 あまり吠える人がいないようなので、MVP なところで吠えてください。

m0rim0ri 2003/11/04 21:32 おめでとーございます。

sonodamsonodam 2003/11/04 22:15 みなさんどうもありがとうございます。これからも精進して他のMVPな方々の足元くらいには及ぶようにしたいと思っております。

wakatonowakatono 2003/11/04 23:31 おくればせながらおめでとうございます(^^)

けんけん 2003/11/04 23:47 http://www.yomiuri.co.jp/newse/20031101wo21.htm とか見ると s3r14l k1ll3r 氏らしい。

sonodamsonodam 2003/11/05 00:22 じゃあやっぱまるきし別人28号風味ですね。まー、そういう若者が多い、ということでしょうか(笑)。

awacsawacs 2003/11/05 01:55 すげー遅いがおめでとうございます(^_^)。さぁ、これで心置きなく暴れてください(笑)

xcorpxcorp 2003/11/05 01:58 これじゃー、デバッグもテストもできませんな、あーコリャコリャ(;´Д`)

sonodamsonodam 2003/11/05 02:10 みなさんほんとどうもです。この上は某先生のつめの垢を毎日ハーブティーにして飲む所存です(笑)。

sonodamsonodam 2003/11/05 02:10 >デバッグもテストもできませんな デバッグもテストもご法度(笑)。でもバグは刑事罰(笑)。どうせいっちゅーんじゃ>法制審

wakatonowakatono 2003/11/05 02:30 テストは正常系のみ可能ですね。要は「バグを出すな」→「製造できっちりとしたもんを作れ(XPとかAgileを推奨)」→より上流(ってなに?)でしっかりと→EA(Enterprise Architecture)マンセー→誰かがウマー とかいう構図には…ならんですね(苦笑)

sonodamsonodam 2003/11/05 02:34 あやしいツールを使わないテストは、実は現実的ではないとか思ってます。現実にはそういうテストが行われていない、ということも承知してますけど(苦笑)。

れですもれですも 2003/11/05 05:12 いやむしろ「誰かが私のPCに置いていったんですぅ」ですな>責任転嫁

れですもれですも 2003/11/05 05:13 ごくごく普通(笑)にIISかなんかインストールしておいてね♥

B-)B-) 2003/11/05 08:01 法律が施行されたら瞬間に自首してみよっかなぁ nc 持ってるんですって。

sonodamsonodam 2003/11/05 09:45 >「誰かが私のPCに置いていったんですぅ」 そうですねー。直接的なセリフはそのほうが相応しいすね(笑)。

sonodamsonodam 2003/11/05 09:46 >自首してみよっかなぁ リアルタイーホってことですね。執行側も困るだろなあ(苦笑)。

みゃーみゃー 2003/11/05 12:25 B-) のリアルタイーホはきっとTAMAサソが撮影してくれるハヅ♪(うきうき

たりきたりき 2003/11/05 18:53 関係者一同一気に自首したらオモロイな・・・ つうか、Telnet で直接撃ったらどうなるんだろう。シェルを開かせることはできなくてもクラッシュさせることはできたりする場合があるのでその場合はTelnetがプリインスコされてるOSを使う人も売る人もタイホ? ブラウザのURL指定だってそれなりに打ち出せるよ?ってことは(いわゆる)ネットユーザ全員タイホ? いやあ、無知と権力が同居するとパラダイスが訪れますな

morishi8morishi8 2003/11/06 03:53 超遅ればせながら、おめでとうございます!!こんな凄い人とお友達だったのね・・・(驚愕)

sonodamsonodam 2003/11/06 08:16 凄くない凄くない(苦笑)。ただのヨッパライでつ(笑)。

sonodamsonodam 2003/11/06 08:17 telnetもあやしい、と言えば言えますねーマジで(笑)。いやー、なんてことしてくれるんだ>法制審。

rlyehrlyeh 2003/11/06 11:12 telnetもあやしい>ほとんどのOSが「クロ」ということになりますね。ワープロ専用機として名をはせた「書○」とか「□豪」とかの復活もありえるのかなぁ(w

sonodamsonodam 2003/11/06 13:49 勉強会している時点で技術側からはtelnetとかブラウザ、ftpクライアントもメールも使い方によっちゃー攻撃できるじゃん、などと言う話出てましたねん。

こじまこじま 2003/11/14 12:59 やっぱり「業務その他正当な理由による場合を除いては」なんて文句があってしかるべきような気がする。

ar1e9u1nar1e9u1n 2004/02/18 15:10 誰にやさしいのでしょ? (笑) >不正指令電磁的記録等作成等の罪の親切等

LucreziaLucrezia 2004/02/18 15:13 お初にお目にかかります。一つ疑問があるのでコメントを書かせていただきます。法律をやっている人の大半が、お書きになられてるとおり、技術的に無知蒙昧であるように思われるのですが(法哲学の助教授で技術に異様なほど明るい変り種を一人だけ知っておりますが)。彼らはなぜ「学ぼうとしない」のかしら? 与太話でもよいので、法律関係に近い方にお話を伺ってみたいわ。

sonodamsonodam 2004/02/18 15:40 あ、どもー。法律家さんたちも技術を学ぼうとしないばかりではないですけどねえ。あちきが知ってる弁護士さんたちはいろいろ勉強されてますし。でも大半はちょっとだめぽかも。