ここから本文です

仮想通貨「Coinhive」をどう考えればよいのか

7/11(水) 7:45配信

@IT

(セキュリティクラスタ まとめのまとめ 2018年6月版)

●銀行名が変わるとルート証明書を自分でインストールする必要がある!?

 2018年6月8日、三菱東京UFJ銀行から、三菱UFJ銀行へと銀行名が変わるお知らせに注目が集まりました。Webブラウザにエラー画面が表示された際、ユーザーにルート証明書をインストールするよう促していたことが多数の人に知られ、たくさんのツイートがこの対応をたたいていました。

 ルート証明書とは証明書の発行元となる認証局が自ら署名した証明書です。この証明書をWebブラウザに組み込むことで、この認証局が発行した証明書を全て信頼するという扱いになります。

 通常、認証局のルート証明書は、OSやWebブラウザの配布団体が認証局の信頼を確認した上で組み込んでおり、ユーザーが勝手にインストールすることはありません。Webサイトに促されるまま、信頼できないかもしれない認証局をインストールすることは安全ではありません。その認証局が発行した信頼できないかもしれない証明書を全部信頼することになるからです。こうしてSSLの信頼そのものが損なわれることにつながるため、「あり得ない」「許せない」という非難が集中しました。

 本当にエラー画面が表示されて、ルート証明書を自らインストールする羽目になるWebブラウザは、10年以上前のWindows XPや古いバージョンのJavaなどを用いたとても古い環境のみということでした。サポートしなくてもよいような環境のユーザーに気を遣ったあげく、たたかれたという結論でした。

 タイムライン(TL)には過去の似たような事例や、銀行名が変わるとルート証明書のインストールが必要になる理屈を知りたいというツイートもありました。

 この後、「エラー画面が表示された場合は、社内のシステム管理者の方へご確認いただくか、以下お問い合わせ先へご連絡ください」というようにお知らせの内容が変わり、証明書のインストールを促す文言が消えました。

・銀行名変更にともなうサーバ証明書の切替について(三菱UFJ銀行のWebページの記録)
・サーバー証明書の切り替えについて(三菱UFJ銀行)

●自サイトに「Coinhive」を設置した人が書類送検

 2018年5月の高木浩光氏のツイートをきっかけとして、自分のサイトに仮想通貨のマイニングを行うスクリプト「Coinhive」を設置しただけで警察の捜査を受けた人がいるということが話題になりました。6月19日には設置していた人が本当に容疑者として書類送検されていたことが読売新聞の報道で明らかになりました。

 Coinhiveを設置した5人のサイト運営者が不正指令電磁的記録に関する罪のうち、取得と保管(ウイルス共用や保管)の容疑で捜索を受け、略式起訴に至ったケースもあったようです。略式命令を受けた中の1人は、処分に納得できず正式裁判を要請し、裁判が行われることとなったようです。

 実際に法に触れているかどうかは裁判の判決を待つしかありませんが、たくさんの意見がTwitterにツイートされました。ネット広告とCoinhiveは基本的には変わらないのに、どうして仮想通貨のマイニングだけがウイルス扱いされるのかと疑問視する意見が少なくありませんでした。

 これまでは広告など新しいものがインターネットに登場した際、批判がありつつも少しずつ落としどころを見つけてサービスとして成立しました。今回は警察の意向だけで突然犯罪扱いされてしまうことに疑問を感じているツイートもありました。

 議論が深まる中、今回捜査を受けたのはいずれも設置したCoinhiveを動かす際に閲覧者の許可を取っていなかったサイトだ、ということが判明します。許諾を得ているサイトの管理者は送検されていません。自衛のためにも、これからは仮想通貨を探索してもらう前に許諾を得るダイアログを表示するスクリプトを埋め込む必要がある、とのツイートもありました。

 Coinhiveをサイトに埋め込んでいたユーザーからは、自分も犯罪者なのかというツイートがありました。

●ネットウォッチャーhagex氏、他界

 福岡で開催されたネットウォッチの勉強会の後、有名ネットウォッチャーのhagex氏が刺殺されたという知らせが6月24日に駆けめぐりました。岡本氏は本業がセキュリティに関するネットメディア「THE ZERO/ONE」の編集長だったことから、セキュリティクラスタの人々からたくさんのツイートが集まりました。

 セキュリティクラスタではhagex氏の本名が岡本氏だということを知らない人もいて、驚きが広がりました。一般向けにはhagexさんとして知られていましたが、セキュリティ関連では本名の方が通っていたようです。

 岡本君は以前の職場で筆者の同僚でもあり、退職した後も長く友人として仲良くさせていただいていました。仕事のパートナーとしても多数の案件に関わらせていただいていました。志半ばでの突然の死は無念だと思います。ご冥福を心よりお祈りいたします。

 6月のセキュリティクラスタは、この他、次のような事柄が注目されていました。

・コンテンツを違法に公開していたサイトのブロッキング問題再燃
・徳丸本「体系的に学ぶ 安全なWebアプリケーションの作り方」第2版発売
・セキュリティ担当者を置く企業は2割未満
・メニコン子会社、4年前から脆弱性を放置したあげく情報漏えいしてしまう
・ファストブッキングへの不正アクセスにより、多数のホテル予約者の個人情報流出、国内有名ホテルも

●著者プロフィール

山本洋介山(NTTコミュニケーションズ株式会社)

Webサイトの脆弱性を探す仕事の傍ら「twitterセキュリティネタまとめ」というブログを日々更新しているTwitterウォッチャー。たまにバグバウンティもしています。

最終更新:7/11(水) 7:45
@IT