サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト フェロー 関原 弘樹
こんにちは!
CSS部エバンジェリスト フェローの関原です。
梅雨らしくなってきましたね。
当社は6/13(水)~15(金)に開催された「Interop Tokyo 2018」に出展し、私もブース担当メンバーとともに3日間幕張メッセにおりました。
当社はInterop Tokyoに今年で3年連続出展していますが、今年のプロモーションは昨年に引き続き絶賛展開中のAI-SOCソリューション「Seceon OTM」と、現在当社のみが日本で展開するイスラエル発グローバルNo.1のOTセキュリティプラットフォーム「the CyberX platform」をそれぞれご紹介いたしました。
昨今はITとOTの統合が話題となっていますが、このSeceon OTMとthe CyberX platformにてIT分野とOT分野のセキュリティ対策を包括的にサポートできるのが当社の強みです。2つの製品をアピールすべく私もブースにて3日間計18回、紹介セッションをしておりました。当日ご来場いただき、当社ブースに足をお運びいただいた方には心よりお礼を申し上げます。
さて、先日珍しく情報漏洩以外の件でITセキュリティに関連する話題が一般のニュースを賑わせていました。
WebサイトにCoinhiveと呼ばれる仮想通貨マイニング(採掘)のプログラムを仕掛け、事前の承諾なく閲覧者のCPUパワーを利用してマイニングをさせていたサイトのオーナーが警察に摘発されたのです。サイトのオーナーは略式命令による罰金を受け、また略式命令への異議申し立てをしました。
外部サイト:
他人のPC「借用」仮想通貨計算 ウイルスか合法技術か
外部サイト:
Coinhive設置で家宅捜索受けたデザイナー、経緯をブログ公開 「他の人に同じ経験して欲しくない」
--Coinhiveとは?--
WebサイトのHTMLに数行のコードを埋め込こみ、ブラウザ経由で
サイト閲覧者のPCのCPUを動かし仮想通貨「Monero」のマイニン
グを行う仕組み。現在一部のエンジニアやWebサイトオーナより
広告に代わるWebサイトコンテンツのマネタイズ手段として注目
されている。
本件は以下の2点がポイントとなり、サービス提供者、エンジニア、セキュリティの専門家を巻きこんだ議論となっているようですね。
① Webサイト閲覧者のPCリソースを本来期待しない・意図しない
方法で使用させることの道義的な正当性
② 今回の摘発は「不正指令電磁的記録作成・提供罪」であるが
本件はその構成要件を満たしているのか?
②については現在判例もないので専門家に譲るとして、①については概ね以下のような意見があるように見受けられます。
問題はない派
⇒ すでにWebサイトの広告や分析のためのコードが事前の承諾なく
PCリソースを使っているのにCoinhiveの何が問題なの??
問題だよ派
⇒ いや、事前の承諾も得ずにサイト閲覧と直接関係ないマイニングを
やっちゃダメでしょ!
私の率直な意見では、広告等がPCリソースを使用する場合Webサイトのコンテンツ(コンテンツの一部である)に関連するという建前があるの対し、マイニングでのPCリソース使用にはWebサイトの閲覧と何ら関連性がありません。つまり、明らかにコードを動かす正当性がないので、少なくとも道義的には事前承諾がなければアウトに思えます。
(個人的にはターゲティング広告で重くなるブラウザにもうんざりしていますが・・・)
Coinhiveの仕組みを見ると、いわば一種のインターネット上の分散コンピューティングですよね。その視点でみると、かつて宇宙からのシグナルを分析し地球外知性を探査した「SETI@home」
※1
、数々の暗号の解読と数学の難問の証明に挑んだ「distributed.net」
※2
、白血病・がんの治療薬の研究開発を力技でサポートした「grid.org」
※3
等々、諸手を挙げて受け入れられ、社会に成果をフィードバックしてきた分散コンピューティングプロジェクトがいくつもあったことを懐かしく思い出します。彼らの功績と今回の件を重ね合わせてみると、なんとも言えない気持ちになりますね。
マネタイズをしたければサービス化を検討し、個人で分散コンピューティングの成果を独り占めしたい場合はオプトインで納得していただいた上で存分にやっていただくのがよろしいかと思います。
外部リンク※1
SETI@home
外部リンク※2
distributed.net
外部リンク※3
United Devices Cancer Research Project
ちなみに警視庁からはこんな御触れも出ていますが、現行法では黒なのか白なのか明確に読み取ることができません。ご興味がある方は一読を。
外部リンク:
仮想通貨を採掘するツール(マイニングツール)に関する注意喚起
>マイニングツールを設置していることを閲覧者に
対して明示せずにマイニングツールを設置した場合、
犯罪になる可能性があります。
ではまた、次回のエントリーでお会いしましょう。
Hiroki Sekihara CISSP, CEH, PMP, CCIE #14607
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。