高木浩光＠自宅の日記

■ 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか？

セキュリティホールmemoにまとめられているように、レンタルサーバのさくらインターネットのLAN上で、ARP spoofing攻撃が発生したのではないかとの疑いが浮上している。しかし、現時点でさくらインターネットは公式にそれを認めておらず、誰も確かな情報として伝えることができない状態にある。

昨今、Webサイトのコンテンツを改竄されて、ウイルスファイルへのインラインリンクを埋め込まれる手口の被害が多発しており、その際、Webサイトを改竄されたサイト運営者は、サイトを訪れた一般利用者に対してウイルス感染に注意を呼びかける告知を出すというのが、慣例になりつつある。これは、サイト運営者がサイト管理の不備を詫びる意味も含めて、行われている発表であろう。

しかし、ARP spoofingによる「改竄」は、Webサイトのコンテンツが改竄されるわけではない。これは、通信路上での通信データの改竄の一種である。

元々、SSLの必要性が語られるときによく言われるように、インターネットでは通信路上で通信データを盗聴されたり改竄されたりする危険がある。通信路上のどのあたりで盗聴や改竄が行われるかは、いろいろなケースがあるだろうが、危ういのは通信の端点に近いところであろう。

図1: 通信路上の攻撃ポイントと影響の範囲

図のA、B、E、Gの矢印は、通信路上の攻撃され得る場所を表す。Gはブラウザ利用者の最も近いところで攻撃されるケースを表しており、たとえば、公衆無線LANやホテルのインターネット接続サービスを利用しているときに、偽アクセスポイントに繋いでしまったり、ホテルの他の部屋から攻撃を受けるケースなどが該当する。この場合、改竄の影響を受けるのは図中の「ブラウザ」のユーザだけとなる。

図のC、D、Fの矢印は、「サーバ」の内容を閲覧する他のユーザに向かう通信の分岐点を表している。「ブラウザ」のユーザは、Fのユーザと比較的長い経路を共有する（同じ経路を使う）が、Cのユーザとは共有している経路が短いことを表している。

レンタルサーバ事業者内ネットワークでのARP spoofingは、Aのポイントでの攻撃である。その影響は、「ブラウザ」のユーザだけでなく、C、D、Fのユーザにも同様に波及し得る。どこから見てもWebページが改竄されているように見えることから、Webサイト運営者が「お詫び」を発表せざるを得なくなることがあるかもしれない。

しかし、Gのポイントで攻撃が行われたときに、Webサイト運営者が「お詫び」を発表するということはないだろう。この場合、信頼性の低い接続で、https:// でないページを閲覧した「ブラウザ」ユーザにも責任がある。

ならば、Eのポイントで攻撃が行われたときはどうなのか。何割かの多数の人々に影響を及ぼしたとき、サイト運営者が「お詫び」を発表しなくてはいけないのだろうか？ サイト運営者には何の過失もないのに？ なら、Bのポイントで攻撃されたときはどうなのか？

そもそもインターネットとはそんなものなのだから、SSLの必要性が説かれる。盗聴されて困る情報を送信したり閲覧するときは、ユーザ自身が https:// のページであることを確認して使う。

しかしすべてのWebページが https:// で提供されているわけではない。通信路上で盗聴されたり改竄されても「まあ、いいだろう」というサービスではそのような判断がなされている。

そうすると、通信路上で <iframe>などでウイルスファイルへのインラインリンクを埋め込まれる可能性があることを、放置してよいのかということになる。もし、「放置してはならない」とする考え方を選択するなら、すべてのWebサイトはSSLを用い、すべてのページを https:// で提供しなければならないことになる。それは現実的でないだろう。

じつのところ、ウイルスファイルへのインラインリンクを埋め込まれることは、さして重大なことではない。なぜなら、ウイルスファイルへのインラインリンクが埋め込まれていても、Webブラウザ側に脆弱性がないならば、ウイルスが起動することはなく、無問題だからだ。

それなのに、Webサイトのコンテンツを改竄された企業が「お詫び」を発表するのが慣例になりつつあるのは、ウイルスのことというよりも、サーバの管理に不備があって侵入を許したこと自体が重大であるからであるはずだ。同じ原因によって個人情報の漏洩等も生じ得る状態にあったのではないかという点から、サイト運営者に責任が問われている。

それに対比すれば、ARP spoofingによって通信路上の改竄でHTMLを差し替えられる被害に遭ったWebサイト運営者に対して「お詫びを出さなければならない」とする世論があるとしたら、それはおかしいのではないか。

さくらインターネットは、今回の件について現時点では次のように発表している。

[6月3日追記]

同一ネットワーク内に収容された一部サーバにおいてネットワーク設定の誤りにより、本障害が引き起こされました。

該当のサーバを隔離することにより、障害は解消しております。

[6月3日追記2]

弊社技術者により該当のサーバを調査しましたところ、上記サーバにてクラッキングされていたことが判明いたしました。そのため、影響範囲のお客様サーバへ WEBによるアクセスを行った場合、改竄されたウェブページが表示される事象がございました。状況によっては、ウイルス等による被害をうけられる可能性がございました。

影響を受けられたお客様へは、別途状況の連絡をさせていただきます。

障害発生のお知らせ, さくらインターネット

Webサイト運営者から状況を発表せよというのは酷な話ではないだろうか。

■ 日本のインターネットが終了する日（掲載延期）

（執筆中）

朝になってしまった。昼までかかっても仕上がりそうにない。日を改めることにしよう。

この日記エントリが昼間から「（執筆中）」のままだったこともあってか、秋葉原通り魔事件をテレビで知った実家の母が電話してきた。私も勤務先の同僚と打ち合わせる必要があってちょうどダイビルに行くところだった。つくばで馴染みの駅だった荒川沖の連続殺傷事件といい、今回の事件といい、見慣れた風景が凄惨な事件の現場となるとショックは大きい。「執筆中」と書いた直後にネットで事件の発生を知り、手がつかなくなった。家に帰ってくると、はてブが大変なことになっていた。

■ 白浜サイバー犯罪シンポジウムに行ってきた

昨日まで、サイバー犯罪に関する白浜シンポジウムに参加するため、白浜に行っていた。

記念写真。

■ 副都心線に乗ってきた

今日開業した東京地下鉄副都心線。朝から乗りに行ってみた。

帰ってきてから昨日録画しておいたタモリ倶楽部をみたら、同じような行動をしていた。

■ WASForum Conference 2008、7月4日と5日に開催

4年前から活動して来たWeb Application Security Forum (WASForum)ですが、今年も講演会を開催します。今年は、「CIO/CTO DAY」「Developers DAY」と銘打って二日間にわたって開催、会場も別々です。

• 7/4 CIO/CTO DAY - WEBサイトの危機におけるガバナンスと品格, WASForum Conference 2008

7月4日金曜日の「CIO/CTO DAY」では、株式会社カカクコム取締役COOの安田様と株式会社サウンドハウス代表取締役社長中島様のご講演があります。つまり、理想的なあるべき取り組みについてうかがうだけでなく、事故が発生してしまった事例をお伺いして、背景にある問題について深く議論ができればと考えています。ご講演の後にパネル討論の時間を設けており、門林先生と私が議論に加わります。サウンドハウスの中島社長は、一昨日にも別の講演会でお話しされたようで、INTERNET Watchの記事「「被害を隠すな」サウンドハウス社長が不正アクセス体験語る」にレポートされています。WASForumでも同様のお話をうかがえると思いますが、私としてはつっこみたいことがたくさんあります*1。私の理解では、おそらく中島社長は活発な議論を引き起こすネタになればとこうした行動をとっておられるのだと思いますので、ただ静かにお話を伺うのではなく、忌憚なく意見をぶつけることこそが期待されているのだと思っています。会場からも鋭い指摘が続出することを楽しみにしています。

悩ましいのは、このようなイベントを企画しても、肝心な方々の耳には届かないということです。必要なのは、「Webアプリケーションの脆弱性」という概念の存在さえご存じない経営者の耳に届けることなのですが、いつもイベントにご参加いただけるのは、既に問題認識のある方ばかりという傾向があります。そこで今回は、対象を「CIO/CTO」と「Developers」に分けて二日間にわたる開催としたものです。CIOという役職のあるきちんとした企業というよりは、CIOという役職がないような企業で、実質的にそんな仕事をやっている「デファクトCIO/CTO」を自認する方々のご参加を期待しています。既に認識のある現場の方は、二日目の「Developers DAY」にお越し下さい。「現場は理解しているが経営が理解してくれない」という不満をお持ちの方は、デファクトCIOにこのイベントに出るよう唆してください。

• 7/5 Developers DAY - 事件は現場で起こっている……セキュリティライフサイクルとマルプラクティス, WASForum Conference 2008

一方、7月5日土曜日の「Developers DAY」では、現場の技術者向けのテーマを集めました。私が司会を務めます午前のセッションでは、EV SSL、SQLインジェクション対策、携帯電話向けWeb、OpenIDについて4名の方々にご講演いただきます。

EV SSLについては、日本電子認証協議会の秋山さんにご講演をお願いしました。EV SSLは、CA/Browser Forumが策定した厳格なSSLサーバ証明書の発行指針で、日本電子認証協議会は、CA/Browser Forumの日本向けの活動を目的とした団体です。今のところ認証ベンダを中心とした会員構成ですが、CA/Browser Forumのように、ブラウザベンダも参加したらいいのに（日本には独自にブラウザ作ってる会社がけっこうあるよね）と個人的には思っています。それはともかく、代表理事の秋山さんには、EV SSLとは何であって従来のSSLとは何が違うのか、なぜ必要とされたのか、どのような効果が期待されているかについて、また、EV SSLが日本市場において現在抱える課題についてお話しいただきます。

SQLインジェクション対策については、HASHコンサルティングの徳丸さんにお願いしました。今やSQLインジェクションの対策方法は広く理解されているはずのようにも思えますが、どうもそうでもないようです。いまだに「サニタイズ」的な対策を挙げる検査業者、コンサル業者がいるようで、しばしば、そういった業者がはてなブックマークで血祭りにあげられている事例も散見されるところです。blogで「SQLのエスケープ再考」といったエントリを書かれている徳丸さんに、このあたりのことについて結論を出していただきます。

携帯電話向けWeb（ケータイWeb）については、グリーの藤本さんにお願いしました。ケータイWebのセキュリティのことは、なぜかあまり表立って語られることがありません。たしかに、キャリアの課金システムについては守秘義務があって話せないんだろうとは思いますが、これからは勝手サイトが主流になっていくご時世です。キャリアはもう責任をとってくれなくなるのですから、いつまでも秘密主義のままでいたらケータイWebのセキュリティはボロカスになってしまいかねません。藤本さんには、ケータイWebセキュリティの実態をご紹介いただき、通常のWebとは異なる注意点を実例を交えてご解説いただきます。

最後に、OpenIDのセキュリティについてサイボウズ・ラボの山口さんにご講演いただきます。OpenIDがいよいよ普及するかも？という情勢ですが、そのセキュリティ、プライバシーへの影響はあまり知られていないと思われます。山口さんは、blog「Yet Another Hackadelic」（のOpenIDタグ）にて最近、OpenIDのセキュリティについてよく書かれています。私としては個人的に、OP (OpenID Provider) のログイン画面に対するphishingの問題については、ログインにHTTP Mutual Access Authenticationを使ったらいいのにと（手前味噌ですが）思ったりするのですが、それで解決するのがどこまでで、何が解決しないのかに興味を持っているところです。それはともかく、山口さんには、OpenIDにまつわるセキュリティ、プライバシー上の留意点について網羅的にご紹介いただけるのではないかと思っています。

また、午後には、マイクロソフトの高橋正和さんによる進行のセッションと、門林、岡田によるネタセッションが予定されています。詳しくはプログラムに書かれています。

■ ウイルス罪新設の刑法改正に進展の兆しか

8日のエントリの続きを書くために国会会議録を検索していたところ、5月下旬にウイルス罪に関する発言がなされていたのを見つけた。

• 第169回国会衆議院法務委員会第13号, 2008年5月27日 （ビデオ 9分17秒あたりから）

  ○早川委員　自由民主党の早川忠孝でございます。いよいよ少年法の審議に入るわけでありますけれども、この大事な法務委員会で、実質上、私は、法務委員会の理事としての最後の質問になるのではないかなという思いできょうの質疑に当たってまいりたいと思っております。

  （中略）

  ○早川委員

  次に、法務大臣にお伺いをしたいのでありますけれども、いわゆる条約刑法、国際的な組織犯罪防止条約の締結に伴う国内法の整備ということで、条約刑法がずっと審議の対象になっていて、この国会では、残された会期の中でその審議に入るのはなかなか難しいという状況になっているかと思います。

  私は、この法務委員会の理事として、昨年の通常国会等では、何とか政府の提案の問題点について共通の理解を得ながら懸念材料をなくす、そして、その上で与野党の共同修正を実現させなければならないということで努力してまいりました。自民党の中の条約刑法等の検討小委員会の事務局長として一定の成案を得ているところでありますけれども、それをまだこの委員会等におかけすることができないという状況であります。

  そこで、テロ犯罪等を未然に防止するために必要な法律だというふうに私どもは理解をし、作業を懸命に進めてまいりましたけれども、いよいよこの七月には北海道洞爺湖サミットが開催をされる、それにあわせて必要な法整備を実現するということがほとんど期待できないという状況を踏まえますと、私は、いわゆるサイバー犯罪に係る部分と、それからいわゆる組織犯罪の共謀罪に係る部分、これを切り分けて、緊急に、国民の生活をどうしても守っていくというために必要なサイバー関係、いわゆるコンピューターウイルスの作成等について、これを処罰化するというこの部分について切り分けて提案をして、早期の成立を図るべきではないかなというふうに考えるに至った次第であります。

  なかなか、こういったことを申し上げる機会がなかったわけでありますけれども、この機会に、法務大臣としてこの条約刑法についてどうお考えであるか、お考えをお伺いさせていただきたいと思います。

  ○鳩山国務大臣

  早川先生のおっしゃること、すべて正しいと思っております。国際組織犯罪防止条約は平成十五年に国会で承認しておりますから、もう五年たつのでありましょうか。結局、承認はいたしましても、国内法である条約刑法が成立をしないものですから、締結ができないという非常に残念な事態。

  私は、昨年の夏に法務大臣を拝命しましたときに、今早川先生がおっしゃったように、ことしの夏には日本でサミットが開かれる、そうしますと、それに付随してＧ８の司法大臣会議というのを、私が泉大臣と共同議長を務めて六月の十一、十二、十三と開く、それまでにぜひともこの条約刑法が成立をされて、我が国が国際組織犯罪防止条約を締結できるようになっていることを強く望んでおったわけでありますが、今早川先生御指摘のような状況にあるわけでございます。

  私ども政府あるいは法務省といたしましては、条約刑法を、二回廃案になっておりますから、再々提出して、それが継続、継続と来ている状況の中で、私の方から切り分けということは申し上げるわけにはいかないわけでありますけれども、コンピューターウイルス等のサイバー犯罪を防ぐということは大変重要なことであって時間的な猶予のあることではない。もちろん、同時に、麻薬とかテロなど、あるいは組織犯罪と戦うことも重要なわけでありますが。

  私の方からはそれ以上のことを申し上げることはできませんが、これは政治の世界のことでございますから、与党間のさまざまな打ち合わせや、あるいは与野党間の打ち合わせの中で御議論を進めていただければありがたいと存じます。

• 第169回国会参議院総務委員会第18号, 2008年5月29日

  ○外山斎君

  民主党・新緑風会・国民新・日本の外山斎です。本日は、会派を代表して、一人で六十分と若干長いですが、特定電子メール法改正案に関しまして質問をさせていただきます。

  （中略）

  ○外山斎君

  ボットネット等のウイルスの流通を規制するウイルス作成罪、ウイルス供用罪を創設する刑法改正案が平成十六年の第百五十九回国会に提出されておりますが、衆議院においてはいまだに継続審議されております。この法案は第百六十二回国会の郵政解散で一度廃案になったものの、第百六十三回国会に再提出されておりますが、同刑法改正案には共謀罪の創設等も含まれており、共謀罪については様々な団体などから慎重な審議を求める声が強いため、刑法改正案自体が慎重な審議を行わざるを得ず、継続審議になっておりますが、しかし、他人のパソコンにウイルスを感染させ、ゾンビパソコンとしてウイルスメールや迷惑メールを送信させ続けるということに対して何らかの規制できる措置をとるべきであると考えます。

  国民生活の安心、安全の確保のために早急な対応が望まれるウイルス作成罪等については、共謀罪と切り離して取り出し、成立を図るべきではないかと思いますが、総務省の見解をお聞かせください。

ウイルス罪を切り分けて提出し直すのであれば、この際、懸念されている問題部分を修正できないものだろうか。それについては、1月26日の日記に書いた。

• 「ウイルス作成罪」はこうしてほしい / 国会提出刑法改正案の趣旨, 2008年1月26日の日記

  実は、これまで日記には書いていなかったが、この疑問への回答となるかもしれない国会答弁が存在するのを去年の夏ごろに見つけた。

  * 衆議院議事録, 第162回国会 法務委員会 第26号, 2005年7月12日 （略）

  これは、1つ目の解釈を想定しているのだと私は思う。

  この答弁の文章では、「犯人が有していることが必要でございます」という「目的」に、「電子計算機を使用するに際して…その意図に反する動作をさせる」の節が含まれているからだ。

  ところが、提出されている法案の改正案では、犯人が有していることが必要とされる目的は、「人の電子計算機における実行の用に供する目的」としか書かれていない。どういう実行の用なのかが書かれていない。

  おそらく、この法文を作成した人は、あるプログラムが「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」であるか否かは、一般に、プログラムが作成された時点で静的に確定するものである――という認識、つまり、「偽造プログラム」は偽造文書と同様の性質のものだという認識だったために、このような文案を作成してしまった（文書偽造罪の「行使する目的で」を「人の電子計算機における実行の用に供する目的で」に単純に置き換えてしまった）のだと思う。

  このことを書いたのが、2006年10月22日の日記「不正指令電磁的記録作成罪 私はこう考える」であり、次のように書いた。

  法制審議会の議論はプログラムには多態性があるという視点を欠いている

  上のように、懸念は「目的で外れる」とされているわけだが、問題なのは、審議会の議論では一貫して、プログラムの動作は作成した時点で確定しているという前提を置いているところにある。プログラムというものは、文書と違って、供用時にどのような効果をもたらすかが作成した時点で確定するとは限らないものなのにだ。

  （略）

  このことについて上の委員の発言でも、電磁的記録不正作出罪のように目的を限定するのでもよいかもしれないということが言われている点に注目したい（上の議事録引用部の3番目の強調部）。しかしその委員は続けて、必要性を感じる懸念がないので原案のままでよいということを言っている（4番目の強調部）。

  必要性を感じなかったのは、プログラムというものが、偽造文書同様に、作成された時点で実行時の動作が確定するものだという無理解からではないだろうか。

  （略）

  立案の本来の意図が、大林宏刑事局長が2005年7月に国会で答弁した通りに、「電子計算機を使用するに際してその意図に沿うべき動作をさせないか、またはその意図に反する動作をさせるべき不正な指令を与える状態にする目的を犯人が有している」場合に限定しているつもりであるなら、そのように法文を直すべきだと思う。――(B)

  「どっちでも違わない」という感性の人がいるとすれば、それはコンピュータプログラムを作ったことがないためではないだろうか。技術者はこの違いを肌で感じて違和感を覚える。

これは要するに、「プログラム作成者には『人の電子計算機における実行において、その意図に沿うべき動作をさせず、又はその意図に反する動作をさせる』という目的はなかったが、実行した人からすれば『その意図に沿うべき動作をさせず、又はその意図に反する動作をさせる』プログラムであった場合に、プログラム作成者が『人の電子計算機における実行の用に供する目的で』作成していたその行為が、構成要件に該当するのかしないのかの違いである。

このことについて、「その場合は故意が認められないので心配ない」という意見（意見1、意見2、意見3）をもらっている。つまり、プログラム作成者がそのプログラムが「その意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」ものであると認識していない、あるいは結果を認容していない場合には、構成要件には該当しても不可罰であるという指摘である。

しかし、処罰されなくても問題があることを、2006年5月12日の日記に書いている。つまり、「構成要件は該当するが故意がないので不可罰」という状況ならば、そのプログラムは事実として「不正指令電磁的記録である」ことを意味する。プログラム作成者は、処罰されないにしても、そのプログラムの提供を中止しなければならないだろう。放置していれば、不正指令電磁的記録となっていることを認容したとして故意が認められ、処罰されかねない。

これを避けるには、プログラム作成者は、そのプログラムがどういうものであるかを必ず説明することになる。このことは、2004年5月15日の日記と2006年10月22日の日記に書いた。

正当な目的のために情報を発信する立場の我々としては、読者に誤解されないように記述することに注力するべきなのだろう。これまで、読む人の常識にまかせて書いてきた（文章中の）コードについても、きちんとそれを実行したら何が起きるのかを注意書きした上で発表するべきなのだろう。それは元々なすべきことだったわけで、それがはっきりしたことはよいことだと言えるかもしれない。

これに関連して次の質問もした。

「意図に反する動作をさせるべき不正な指令」とあるが、「これはこれこれこういう動作をするウイルスプログラムである」という説明を付けた上で提供した場合はどうなのか。「実行するボタンを押すとWindowsが破壊されます」という警告ダイアログが現れ、「実行する」というボタンが出てくるソフトウェアだった場合、どうなのか。

これに対する回答は次のものだった。実行者が本当にそのつもりで実行したのであれば罪に問われない。そういうつもりでなく実行してしまった人がいたら罪に問われる。特殊な言語で警告を書いてもだめだと。

サイバー犯罪条約関連刑事法改正のセミナーに行ってきた, 2004年5月15日の日記

2004年5月15日の日記に書いたように、情報ネットワーク法学会の「サイバー犯罪条約関連の刑事法等改正に関する公開セミナー」のパネル討論の席でも、プログラムの説明書が重要になってくるというお話があった。（議事録はどこかにないのだろうか。）

そのとき私は、東大の山口厚教授に対して（だったと思うが）、「日本語で警告を書いても、日本語を理解できない人が起動してしまったら実行してしまうが、それでも罪になるのか」という質問をした記憶がある。そのときの回答はたしか、「英語で書くとか、あらゆる国の言語で書いておく必要があるかもしれない」というような答えだったような気がする。

不正指令電磁的記録作成罪 私はこう考える, 2006年10月22日の日記

しかし、コンピュータプログラムというのは、パッケージ製品のような、機能の明確なものばかりではない。ライブラリとして提供されるようなプログラムについて、どんな機能を果たすかを完全に説明せよというのは無理な話である。このことについては、2006年10月22日の日記で次のように書いた。

使うとどうなるかわからないようなプログラムは社会にとって危険なものということが言われている。つまり、まさに法制審議会議事録テキストが「.exe」ファイルで公開されるような世の中であっても、安心して「.exe」をダブルクリックできる社会であらねばならないということだ。

もちろん、善良なプログラマであれば、「.exe」のプログラムを配布するときには、それをダブルクリックすると何が起きるかについて嘘偽りなく説明するものであるから、たとえハードディスクをフォーマットするプログラムであっても、そういうプログラムだということの説明付きでプログラムを公開していれば、「意図に反する動作をさせる指令」ということにはならないのだろう。

だが、本当にそれを常に実施することが可能なのだろうかという疑問がある。

たとえばライブラリを公開する場合はどうか。ダブルクリックして使うものではないのだから、どのような動作をするかについて全部を常に説明するなんてことができるのか。

「ライブラリは対象外では？」と安心できるかというとそうでもない。最初に確認したように、

●　ほんの少し手を加えただけで不正な指令として完成するような実体であるものは，ここでいう完成している電磁的記録，完成しているウイルス・プログラムとしてとらえるべきだと考えております。

第1回議事録

とされている。

プログラムや「ほんの少し手を加えただけで」プログラムとなるものを公開するときは、その挙動を説明する義務が生じてきそうだが、そのことについて議事録にも、第3回の冒頭で次の通り説明されている。

本罪は，ただいま御説明いたしましたとおり，電子計算機のプログラムに対する社会一般の信頼を保護法益とする罪でございますので，電子計算機を使用する者の意図に反する動作であるか否かは，そのような信頼を害するものであるかどうかという観点から規範的に判断されるべきものでございます。すなわち，かかる判断は，電子計算機の使用者におけるプログラムの具体的な機能に対する現実の認識を基準とするのではなくて，使用者として認識すべきと考えられるところを基準とすべきであると考えております。

したがいまして，例えば，通常市販されているアプリケーションソフトの場合，電子計算機の使用者は，プログラムの指令により電子計算機が行う基本的な動作については当然認識しているものと考えられます上，それ以外のプログラムの詳細な機能につきましても，プログラムソフトの使用説明書等に記載されるなどして，通常，使用者が認識し得るようになっているのですから，そのような場合，仮に使用者がかかる機能を現実に認識していなくても，それに基づく電子計算機の動作は，「使用者の意図に反する動作」には当たらないことになると考えております。

第3回議事録

（略）

このまま成立して施行されると、パブリックドメインソフトウェアや、フリーソフトウェア、オープンソースソフトウェアなど、as isベースでコードを気軽に公開するという文化が日本では抹殺されてしまうかもしれない。

不正指令電磁的記録作成罪 私はこう考える, 2006年10月22日の日記

だから、「構成要件に該当するが不可罰」というだけでは駄目で、構成要件に該当しなくなるように法文は修正されるべきである。

国会では民主党が修正案を出しており、「正当な理由がないのに」という限定を加えるよう提案されている。

第一条のうち刑法第二編十九章の次に一章を加える改正規定のうち第百六十八条の二第一項中「目的で」の下に、「、正当な理由がないのに」を加え、「三年」を「一年」に改め、同条第二項中「前項第一号」を「正当な理由がないのに、前項第一号」に改める。

第一条のうち刑法第二編十九章の次に一章を加える改正規定のうち第百六十八条の三中「目的で」の下に、「、正当な理由がないのに」を加え、「二年」を「六月」に改める。

犯罪の国際化及び組織化並びに情報処理の高度化に対処するための刑法等の一部を改正する法律案に対する修正案, 民主党

しかし、「正当な理由がないのに」と限定したところで、はたして、無名なプログラマによる as is ベースのコードの気軽な公開の自由が保障されるだろうか。

民主党による国会質疑（2006年4月28日の法務委員会会議録(1)の末尾部分および同(2)の全部）を見てみても、結局のところ、「研究者などが研究や実験目的でコンピューターウイルスを作成したり取得して保管したりする場合」の議論しかなされていない。（そして、それは「人の電子計算機における実行の用に供する目的」から外れるとして既に反論され尽くされている。）

正直、私個人としては自分の行動に関しては全然不安に思っていない。私が普段どんな意図をもって行動しているかはこの日記等で知らしめているし、勤務先がどこかということも加味されるかもしれない。また、企業が作成して提供するプログラムについては、「正当な理由」が容易に評価されるだろうから、民主党案のように「正当な理由がないのに」と限定されていれば安心できるように思える。

だが、どこの馬の骨ともわからない個人が作成して提供しているプログラムはどうか。法制審議会の議事録を読んでも、民主党の国会質疑を見ても、日弁連が指摘する問題点の説明を読んでも、「正当な試験のために行われる開発行為」の話ばかりされている。私たちの豊かなコンピュータライフは、自由に個人が作成して提供している様々なプログラム部品を基礎として成り立っていることを、文系の先生方はご存じないのではないか。

やはり、上に書いたように、大林宏刑事局長が2005年7月に国会で答弁した通りに、「電子計算機を使用するに際してその意図に沿うべき動作をさせないか、またはその意図に反する動作をさせるべき不正な指令を与える状態にする目的を犯人が有している」場合に限定されるように法文を直すべきだと思う。

それができず現行の案のまま再提出とするならば、国会議員の先生方には次のような質問をして、政府見解を明らかにしてほしいと思う。

• プログラム作成者には「人の電子計算機における実行において、その意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」という目的はなかったが、実行した人からすれば「その意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」プログラムであった場合に、プログラム作成者が「人の電子計算機における実行の用に供する目的で」作成していたその行為は、構成要件に該当するのかしないのか。
• （「該当するが不可罰」との回答の場合）当該プログラムを提供する行為は中止しなければならないか、それとも、結果を認容しつつそのまま提供し続けても違法性はないのか。
• （中止しないと違法であるとの回答の場合）違法性を免れるためには、プログラム作成者は何をしていなければならないのか。
• （プログラムの説明が必要との回答の場合）部品として提供されるプログラム等、挙動の完全な説明が困難なプログラムが存在するが、それらはこの法律の対象外なのかどうか。

■ 法制審議会の議事録をHTML化した

この法案の元となった2003年の法制審議会刑事法ハイテク犯罪関係部会の議事録は、いまだに「.exe」「.lzh」形式で公開されているため、通常のWeb検索でこれらの議事録がヒットしない。法務省に電話して転載の許諾を得たので、全文をHTML化して転載しておく。これで数日後にはGoogle等でヒットするようになるだろう。

• 第1回議事録
• 第2回議事録
• 第3回議事録
• 第4回議事録
• 第5回議事録
• 第6回議事録
• 第7回議事録
• 第8回議事録

■ B-CAS社の個人情報登録サイトのSSL証明書がNTT DATA

B-CAS社の「オンラインによるB-CASカードのユーザー登録」の画面から、登録画面に進むと、個人情報入力画面が現れるのだが、ここでページが https:// になっていることを確認の上、サイト証明書の内容を確認してみると、「NTT DATA CORPORATION」と表示される。

よく見てみると、さっきまでは b-cas.co.jp を閲覧していたはずが、この画面はいつのまにか、b-cas.jp という別サイトに飛ばされている。

しかも、b-cas.jp ドメインの保有者が誰なのか、whois で調べてみると、さらに別の会社になっている。

不特定多数からの大量の登録を受け付けるサイトにしてはずいぶんと稚拙だ。

■ 地方銀行のEV SSL対応はどうなったか

2005年2月20日の日記で「フィッシング防止のため地方銀行はこうするべき」ということを書いた。つまり、インターネットバンキングのログイン画面のページで、ちゃんと銀行のドメイン名を使用するべきだという話だった。たとえば、NTTデータの「ANSER WEB」を利用してインターネットバンキングのサービスを提供している小さな銀行らは、anser.or.jp というドメイン名のURLのページ上にログイン画面があるため、一般の利用者達にとって、本物と見分けるのが簡単ではなかろうという話だった。

そして今年の4月、次のニュースが出た。

• インターネットバンキングサービスのフィッシング対策を強化！ 〜「EV SSL証明書」と「フィッシングサイト閉鎖サービス」を導入〜, NTTデータ, 2008年4月22日,

  NTTデータでは、こうした状況を踏まえ、サイトの信頼性を確認するための「EV SSL証明書」および「フィッシングサイト閉鎖サービス」を約80の金融機関にご利用いただいているANSER-WEB（アカウントアクセス）ならびに ANSER-WEB（アカウントアクセス）コーポレートエディションに導入し、フィッシング対策の強化を図ってまいります。

  （中略）

  日本ベリサイン株式会社の「ベリサイン グローバル・サーバID EV」は、Internet Explorer7を利用する場合、ソフトのダウンロードを要することなく、正当なサイトであればアドレスバーが緑色表示になり、サイト運営者も表示することができるため、利用者が視覚的にサイトの正当性を確認できる点がメリットと考え、導入を決定しました。

ドメイン名はどうなったのだろうと、地方銀行のいくつかを見に行ってみたところ、なんと、下の図のように、「NTT DATA CORPORATION」と表示されていた。

図1: 運営者が「NTT DATA CORPORATION」と表示された銀行

図2: 緑色部分をクリックしてEV SSL証明書の発行先を確認した様子（Firefox 3の場合）

これにはいささかがっかりした。しかし、まあ、それでもいいかと思うようになった。ANSER WEBを利用している金融機関は80にものぼるというし、それがこの1つのEV SSL採用で、80もの金融機関が対応済みとなるのであれば。NTTデータは著名な会社であるし、銀行のサービスがNTTデータによって運用管理されているであろうことは、多くの人々にとって想像に及ぶものであろう。

この場合、重要なのは、各銀行が利用者に対して「NTTデータに委託している」事実を正直に説明できるかどうかとなる。

いくつかの銀行を見てまわったところ、EV SSL導入を知らせるページが用意されていて、銀行によっては、「当行のインターネットバンキングはNTTデータ社のシステムを利用していることから、組織名には同社の名称が表示されます」といった説明をしているところもあった。銀行によっては「NTT DATA CORPORATION」と表示される理由を説明していないところもある。おかしなプライドがそれを許さないのか、あるいは、単に説明する必要性に気付いていないのか。後者であれば、その銀行の担当者自身、安全にWebを使うことのできない人だろう。

• 十八銀行：お知らせ ＥＶ ＳＳＬサーバー証明書の採用について, 十八銀行

  (2) SSL暗号化通信を表す鍵マークと共に、ウェブサイトを運営している組織名(※)（NTT DATA CORPRATION [JP]）とEV SSLサーバー証明書を発行した認証局（VeriSign によって識別）が表示されますので、それぞれを確認してください。

  (※) 当行のインターネットバンキングはNTTデータ社のシステムを利用していることから、組織名には同社の名称が表示されます。

このことをもっとちゃんと明記するべきだ。ANSERのログイン画面にジャンプする直前の、銀行自身のWebページに書いておくのがよいだろう。

ちなみに、かつて「cyber-biz.ne.jp」という怪しげなドメインにログイン画面を構えていた銀行もたくさんあったが、今ではそのほとんどが銀行自身のドメイン名の上に移転したようだ。（移転といっても、IPアドレスは替わらず同じサーバが使われていると思われる。）

そのうちのいくつかの銀行が、EV SSLを採用したようで、それらではちゃんと銀行の社名が緑色表示されるようになっている。

図3: 運営者として銀行自身の社名が表示される例

■ 「EV SSL対応」と謳われているのにFirefox 3やOpera 9.5では緑にならない銀行

スルガ銀行も、cyber-biz.ne.jp からの移転組で、「EV SSL対応」と謳っている。

• インターネットバンキングの被害防止対策　EV SSL証明書, スルガ銀行

たしかに、Windows VisataのInternet Explorer 7でアクセスすると、EV SSLの緑表示で銀行の社名が表示される（図4）。

図4: Windows VistaのIE 7での表示

ところが、Firefox 3で見ると、図5のように、通常のSSLサイトとして表示されてしまう。同様に、Opera 9.5でも、図6のように、通常のSSLサイトとして表示されてしまう。

図5: Firefox 3での表示

図6: Opera 9.5での表示

また、Windows XP Service Pack 3 のInternet Explorer 7（EV SSL対応のはずだが）で表示したときも、通常のSSLサイトとして表示されてしまう。しかし、Windows Updateの追加インストールで「ルート証明書の更新プログラム」を導入すると、Windows Vistaの場合と同様にEV SSLに対応した緑表示となる。このことは、スルガ銀行のEV SSL証明書の説明ページにも次のように書かれている。

ルート証明書の更新プログラムについて

WindowsXPをご利用のお客さまは、自動的にアドレスバーが緑色にならないため、下記の手順でWindows Updateの作業をしてください。

1. WindowsXPのInternet Explorer 7を使用していることを確認
2. ブラウザメニューの「ツール」を選択
3. 「Windows Update」をクリックし、Windows Updateのページにアクセス
4. 「カスタム」をクリックし、インストール
5. 「追加選択（ソフトウェア）」をクリック
6. 「ルート証明書の更新プログラム」にチェックし、最新のルート証明書をインストール

ルート証明書の更新プログラムが0件の場合は、すでに最新のルート証明書がインストールされています。

インターネットバンキングの被害防止対策　EV SSL証明書, スルガ銀行

どうやら、「EV SSL対応」といっても（しかも同じVeriSign社発行のものであっても）、少なくとも2つのタイプがあるようなので注意が必要そうだ。

スルガ銀行は、なぜわざわざこのような不利なEV SSLを採用したのだろうか。

「スルガ銀行 EV SSL」でググってみたところ、@ITの次の記事が出てきた。

• スルガ銀行、フィッシング詐欺対策として携帯電話対応EV SSL証明書を採用, ＠IT情報マネジメント, 2007年11月8日

  グローバル・サーバID EV for Mobileを導入したサイトにユーザーがアクセスすると、ブラウザのアドレスバーが緑色になり、安全なサイトであることが一目で判別可能になる。同証明書はさらに、PCからのアクセスだけではなく、SSL対応携帯電話からアクセスした際も同じようにサイトの安全性を判別できる。

この記事は間違っている。携帯電話のWebブラウザでEV SSL対応のものはまだ存在しないのだから、「携帯電話からアクセスした際も同じように」「ブラウザのアドレスバーが緑色になり、安全なサイトであることが一目で判別可能になる」などということはない。

なぜこんなおかしな記事が出てしまうかというと、ベリサインの「グローバル・サーバID EV for Mobile」という商品がどういうものなのかわかりにくいためだ。これがどういうものなのかは、ベリサインのFAQを読むとわかる。

• サーバID - グローバル・サーバID EV for Mobile よくある質問, 日本ベリサイン

  Q.グローバル・サーバID EVとグローバル・サーバID EV for Mobileの最も大きな違いは何ですか？

  A: グローバル・サーバID EVは、Windows Vistaに加えて、Windows XPに搭載されたInternet Explorerでもブラウザのアドレスバーを緑色にすることが可能ですが、その一方で、一部の携帯電話端末ではSSL通信ができないということを確認しています。 グローバル・サーバID EV for Mobileでは、SSL通信に対応するほぼすべての携帯電話端末でSSL通信ができるようになります。

つまり、通常のEV SSLでは、携帯電話の少なくない機種で、そもそもSSL接続が正常にできなくなる（オレオレ証明書状態になる）ため、携帯電話で正常に接続できるような特別なEV SSL（CAの認証パスを工夫したもの）を用意したというのが「グローバル・サーバID EV for Mobile」のようだ。「for Mobile」といっても、現在の携帯電話でEV SSLとして意味をなすわけではない。

@ITの記事が参考にしたと思われるベリサインのプレスリリースは、嘘は書かれていないものの、デメリットの存在が非常にわかりにくく書かれているため、@ITの記者は間違えてしまったのだろう。

デメリットは、Windows XPのユーザは「ルート証明書の更新プログラム」を導入しないとEV SSLが有効にならない点とされているが、どうやら他にも、Firefox 3やOpera 9.5でもEV SSLが有効にならないようだ。

ベリサインの用途別の選び方の説明（下の方）には、「現在はPCのみだが、将来的には携帯電話からのアクセスにも対応させる場合」には「グローバル・サーバID EV for Mobile」がよいと勧められている。しかし、これから携帯電話向けサイトを構築するなら、そもそも同一のサーバ証明書を使う必要がない。PC向けサイトでは普通のEV SSLを使用し、ケータイ向けサイトでは別サーバで普通のSSL証明書をもう一枚用意すればよい。

サイトが小規模の場合には別サーバにできない事情があるかもしれないが、複数台のサーバを要する規模のサイトでは、PC向けとケータイ向けはサーバを別にした方がよい。今後もこの種の不都合が出てくるだろう。2048ビットRSAへの対応やSHA-2への対応でも、PCでは先行して進むのに対し、ケータイでは古い機種が残るため遅れると思われる。

スルガ銀行は、EV SSLの説明で、「パソコンだけではなく、携帯電話でも」と先進性を誇っているようだが、単にシステムの都合上そうせざるを得なかったという話で、PC向けとケータイ向けを分離したシステム構成に変更しなかったおかげで、せっかくのEV SSLの有効性を一部のブラウザに限定してしまっている*1わけで、ちっとも先進的でない。

フィッシング詐欺の被害予防に

被害が深刻化しているフィッシング詐欺対策として、EV SSL証明書、「グローバル・サーバID EV for Mobile」（携帯電話併用）を採用し、パソコンだけではなく、近年利用が増加している携帯電話でも、お客さまに安心・安全にご利用いただける環境をご提供します。

インターネットバンキングの被害防止対策　EV SSL証明書, スルガ銀行

■ 主婦の友社が早速やらかしてくれました

仕事がはやい。

• 赤☆ネットのご利用環境 セキュリティ証明書（Mozilla Firefox3をご利用の方）, 主婦の友社

  愛読者サイトにアクセスをすると下の画面が表示されます。「赤☆ネット」は「www.en-jin.com」のセキュリティーを使用しているために、このような警告がでますが ご安心してご利用ください。

  

うちはショップじゃないんでとか、そういう話だろうか。