2019-04-18

CoinHive裁判の控訴審費用の寄付をした

Coinhive事件裁判費用の寄付のお願い - 一般社団法人日本ハッカー協会

私はCoinHiveは実行しても安全なプログラムであり不正指令電磁的記録にあたるとは考えていないので少額ながら控訴費用の寄付をした。

プログラムは魔法ではない。

2019-04-10

IIJに対してマルウェア対策のDNSブロッキングについての質問の回答

私の使っているISPであるIIJmioひかりはマルウェア対策のDNS検閲を開始すると宣言した。

IIJのセキュリティに関する取り組み | インターネットイニシアティブ(IIJ)

IIJの説明を読むと、IIJの提供するDNSサーバーは、マルウェアが指令や通信をするのに使うことが知られているC&Cサーバーのドメイン名の解決を行わないのだという。彼らはこれをDNSフィルタリングと読んでいるが、私はDNS検閲と呼ぶことにする。あるいは少し前に話題になったDNSブロッキングと呼ぶのもよい。

IIJによると、DNS検閲はデフォルトで有効であり、オプトアウトするためには、IIJが用意したDNS検閲を行わないDNSサーバーを使う必要があるという。

しかし、このDNS検閲の実装方法や、マルウェアの定義が疑問なので、IIJに対して質問することにした。

質問「DNSフィルタリングを行うDNSサーバーは、ユーザーを契約単位あるいは何らかのフィンガープリントで識別し、特定のユーザーに対して個別にDNS問い合わせの結果を変える機能を持っていますか?」

この質問はとても重要だ。もしDNSサーバーがこのような機能を持つ場合、きわめて深刻な悪用ができるからだ。

以下のような回答が得られた。

・弊社のDNSサーバでは特定のお客様のみに異なる結果を返す機能は
 設けておりません。
・今回の弊社DNSフィルタリングの仕組みは、弊社側でDNSフィルタリングを
 適用するDNSサーバと適用しないDNSサーバの両方のDNSサーバを用意し、
 お客様の判断で選択(オプトアウト)を可能としています。
・また、フィルタリングが適用されたDNSサーバにおいては、その通信先が
 レピュテーションデータに該当した場合、IIJが別途用意するサーバの
 IPアドレスに宛先を置き換えることで、本来の宛先へアクセスしないように
 しています。
・尚、オプトアウトの方法については、下記弊社ホームページにてお伝えして
 います。https://www.iij.ad.jp/sec-statement/

そのような機能はないという。ただ、興味深いことに、マルウェアが利用するドメインに対しては、IIJが管理するIPアドレスを返すという。情報収集のためのハニーポットかもしれない。しかしこれはよくよく気をつけないと、ミイラ取りがミイラになりかねない。IIJの用意するハニーポットがパーサーを使って通信を解析している場合、マルウェアのふりをして通信し、そのマルウェアからは想定しないデータを送りつけ、パーサーの実装の不備を着くことが可能になるかも知れない。

次の質問は、マルウェアの定義についてだ。

Winnyのような通信はマルウェアではない。利用者の意図通りの動作をしているからだ。たとえその通信の内容が、著作権侵害、薬物取引、マネーロンダリング、児童ポルノ、違法素数などの違法な内容であったとしても、マルウェアのみの対策と宣伝する以上、マルウェア対策以外のことは行うべきではない。

CoinhiveのJavaScriptコードを提供するドメインと、計算結果を受け取るドメインはどうか。兵庫県警はマルウェアだと主張するかも知れないが、私の意見ではマルウェアではないし、C&Cサーバーでもない。

Tor relay/exitノードや、似たようなプロクシー機能を提供するものについてはどうか。これは私の意見ではマルウェアではないし、C&Cサーバーでもない。

pastebin.comのようなユーザーからの任意のテキストをホストするようなサービスは、マルウェアのC&Cサーバーとして使われうる。しかし、pastebin.comは今の所、マルウェアのC&Cサーバーとして利用されているという情を知った時点で迅速な対応を行っている。マルウェアのC&Cサーバーとして使われうる機能を提供しているのと、意図をもってC&Cサーバーとなっているのは別だ。私はpastebin.comのようなサービスは検閲されるべきではないと考えている。これはどうか。

単なるフィッシングサイトでマルウェアのC&Cサーバーとしては使われていないものはどうだろうか。マルウェア対策のDNS検閲という以上、単なるフィッシングサイトは検閲しないはずだ。

そのような考えから以下の質問を送ったところ、回答が得られた。

・IIJmioひかりがDNSフィルタリングを実施する対象に該当すると判断
    するものをお答えください。
 ・Coinhive風のサービスにおいて!JavaScriptプログラムをホストし
    または計算結果を受け取るサーバー
  ・Winny等のファイル共有プロトコルで通信するサーバー
  ・Tor relay/exitノードまたは似たようなプロクシー機能を提供するサーバー
 ・pastebin.com風のサービスを提供するサーバーで、マルウェアが
  指令の受信や情報の伝達に用いるものであって、
  サービスの管理者はマルウェアによって悪用された場合の対応を迅速
    に行う体制を整えているもの
 ・単なるフィッシングサイトであって、マルウェアとは関わりがないもの
----------------------------------------------------------------------
(ご回答2)
・今回ご指摘いただきました対象に関しては、現在、弊社のフィルタリング
 対象に該当するものはございません。しかしながら、複数の条件が重なる
 などして、悪意あるマルウェアの通信先と判断された場合は、フィルタリン
 グ対象となる場合がございます。
 そのような場合には再度分析を行い、対象の見直しを実施いたしますので、
 正常な通信先がフィルタリングによって遮断されている可能性がある場合は、
 弊社窓口 support@iijmio.jp までお問い合わせください。

この回答をみるかぎり、IIJと私はマルウェアについて互換性のある定義を持ち合わせているようだ。

この結果を考えて、私はIIJのDNS検閲をオプトアウトするかどうかを考えなければならない。オプトアウトは簡単だ。IIJが別途用意した自称DNSフィルタリングを行わないと主張しているDNSサーバーを使うようにすればよい。これはルーターにDNSサーバーのIPアドレスを手動で設定するだけでいい。これができないような人間はDNS検閲されていたほうがインターネット全体のためにも安全だ。

ただし問題は、オプトアウトをする人間は圧倒的少数であろうということだ。インターネットにおけるプライバシーを考えるにあたって、少数派はその分余計なフィンガープリントを抱えることになり、目立つのだ。ましてや、国家の諜報機関は、意図的にDNS検閲のオプトアウトをした人間を怪しいとみなし、重点的に秘密裏に通信内容を傍受して捜査するかも知れない。私が国家の諜報機関(緊急避難と称して捜査令状も取らずに秘密裏に違法に捜査する機関を想定している)ならばそうする。

今のところ私はマルウェアを研究しているわけではないので、IIJが回答どおりの運用をするのであれば、今のところはオプトアウトをしなくてもいいかも知れない。悩ましい問題だ。あらゆる検閲は悪であるので当然オプトアウトすべきだが、オプトアウトすると目立って通信を傍受される可能性が高まるので、気軽にオプトアウトすることもできない。

2019-04-08

引越し祝い江添ボドゲ会@4月14日

引越しが完了したので4月14日に自宅ボドゲ会をします。

江添引越し祝ボドゲ会@4月14日 - connpass

同じ住所を複数の建物が共有しているので、正確な住所は経度緯度を指定した以下のGoogle Mapsで確認してください。

https://goo.gl/maps/cRYmRtqo7gR2

前の家と70メートルしか離れていません。前の住所に来たことがある人は、コンビニを通り過ぎ、弁当屋の前の角で曲がり、2軒め。道路に面しているドアは裏口で、玄関は左脇を入って裏。

気が付かず技術書展とかぶってしまった。

2019-04-06

スノーボード12回目

3月31日の日曜日に、11回目となるスノーボードに行ってきた。今回はかぐらスキー場に行くことにした。なんでも、かぐらスキー場は雪質がよいらしい。ただし、事前に得た情報によると、バスが混み、雪質も上の方まで行かないとよくないらしい。

かぐらに行くには、越後湯沢駅からバスに20分乗る。越後湯沢駅周辺のスキー場の多くが無料シャトルバスを出している中、かぐら行きのバスは有料だ。しかも荷物があると100円増しの片道480円かかる。往復だけで千円ほどかかる。ただし、更衣室のロッカーは500円だった。ガーラ湯沢のロッカーが千円であることを考えると、500円の差だ。また、私は利用しないが板とウェアを一式レンタルする場合、かぐらの方が安い。

かぐらスキー場のふもと、みつまたステーションの更衣室は狭かった。こんなに狭くて混み合ったりしないのかと思ったが、案外混んでいない。どうやらかぐらに行く客層は車で来るか、地元民か、周辺の宿の客であることが多いようだ。

みつまたステーションからゴンドラでゲレンデのふもとまで上がる。このゴンドラ、とても大きな多人数乗りのゴンドラであった。さながら満員電車のようにゴンドラにすし詰めになって乗車する。

さて、かぐらについたので今回は普通に滑ろうかと思ったが、ふとスノーボードスクールの看板が目についた。なんとかぐらのスノーボードスクールでは、コブレッスンなるコースがあるそうだ。これは興味深い。すでにきれいに圧雪された斜面ならば楽しく速度を出して滑り降りることができる腕前になっているが、圧雪されていないコースではとたんに何もできなくなってしまう。コブの滑り方の動画を何本も見たものの、いまいちよくわからない。わざわざコブレッスンという枠を設けるからには、ここのインストラクターはコブの滑り方を教えるのにもなれているに違いない。

しかし、スクールを受けるとそれだけで今日1日が終わってしまうだろう。圧雪面ならばほぼ直滑走に近い滑り方で楽しく滑ることができるようになった今、そしてもしかしたら今回が今シーズン最後のスノーボードになるかもしれない状況で、8千円も払って1日スクールを受けるべきだろうか。

少し悩んだが、スクールを1日受けることにした。結論から先に書くと、これは正解だった。

スクールで、コブレッスンの受講者は私一人だったために、実質プライベートレッスンになった。まずこれがとてもよかった。

その時の私のスノーボードは、カービングターンを練習するためにスタンス角が前30度後18度という極端な設定になっていた。インストラクターの助言に従って、スタンス角を前18度後0度に変えた。

まず、圧雪された斜面で、非圧雪面で安定してターンする方法を学んだ。ターンについて今までは、姿勢を前にするために目線は進行方向を見るとか、ロテーションを使うとか、角付けをするといったことを学んでいた。ところが、今回マンダ非圧雪面で安定してターンする方法は完全に真逆であった。目線は常に谷側に向ける、角付けをせずにフラットに乗る。ということを教わった。

非圧雪コブ斜面にはすばやいショートターンが必要で、そうなるともう目線を悠長に左右に動かしているヒマはない。進行方向というのは常に谷側だ。

ターンのときに角付けをすると、カービングターンになってしまう。スライドはさせてもカービングターンとして速度が出てしまう。まずはできるだけ速度を落としてゆっくりと確実に滑り降りたいのに、速度が出てしまっては問題だ。まだエッジで起伏に乗り上げると不安定になる。そこで角付けを抑えてエッジではなく面で乗ることによって起伏のある非圧雪面でも安定させる。ターンの際に角付けを抑えるには、リーンアウト(アンギュレーション)を強く意識する。ターンするときには体はターンの内側にリーンするのだが、この時体をリーンの逆側に起こすことにより、体を安定させる。アンギュレーションをさらに強く入れることにより板をフラットに接地させる。

圧雪面で説明を受けながら滑っている時は全然実感が沸かなかったが、実際に非圧雪面に入ると、明らかにターンの安定が違う。まだ連続ターンまでは行かないものの、単体のターンをして転ばずに立っていられるようになった。今まではターンをしようとノーズドロップし、あまりに速度が出すぎるために無理やりブレーキをかけ、その勢いで転んでしまっていたのだ。それが確実にターンして転ばずに止まることができるようになった。

その後、コブレッスンというのに圧雪面や単に柔らかい雪が積もっているだけの面だけでは退屈だろうということで、インストラクターはしっかりとしたコブが形成されている斜面に向かった。コブの山から山にサイドスリップで移動する訓練をした。途中まではうまく進めたのだが、一度失敗すると立て直しが困難だった。かぐらはコブの練習にとても良いことに、広いコースに圧雪面と非圧雪面が並走していて、横に移動するだけでコブから脱出できる。立て直しができないので脱出して休憩している横を、常連のスノーボーダーがコブの谷をターンしながら滑り降りていった。

他にも、盛り上がった壁や小山に乗り上げて頂上でターンして戻ってくる滑り方を学んだ。これはすでによそのスキー場で、慣れたスノーボーダーがやっているのを何度も見ているが、とても私にはできそうではないと挑戦すらしていなかった滑り方だ。ただ、実際にやってみると案外あっさりと成功させることができた。以前はできるわけがないと思っていたスピンもできるようになっていたりするので、知らず知らずのうちに上達していたらしい。

ゴンドラに載っている間、インストラクターが私の仕事について聞いてきたので、逆にスノーボードのインストラクターは夏の間は何をして生計を立てているのかと聞いてみた。これは様々で、飲食店で働いているものもいれば、スノーボードショップで働いているものもいるし、運送業や土方をしているものもいるという。

私を担当したインストラクターはだいぶ極端な趣味に生きる人間のようで、夏の間はひたすら金をため、シーズンの間は仕事をやめて毎日のように滑るのだという。実はインストラクターは生計を立てるための仕事ではなく、たまたま滑ってお金ももらえる補助的な仕事にすぎないのだという。

実際、かぐらではレッスンを受けるような人はなかなか来ないという。

結論として、かぐらはコブの練習にはよいスキー場であった。コブの練習をしたいときにまた来ようと思う。

2019-04-01

npm社、社員を無責任に解雇

https://twitter.com/fharper/status/1111694552262459393

npm社が人を解雇したそうだが、そのやり方があまりにも無責任すぎる。

NPM社に雇われていたFrédéric HarperはNPM社をクビになったが、その際、2週間分の給料を支払う代わりに、解雇された事自体をNDAする契約を迫られたとのこと。しかも解雇の事実とNDAの契約を伝えたのは社外の請負で、NPM社員は一切顔を出さなかったとのこと。彼の直接の上司は彼が解雇されることを知らなかったとのこと。そして今の今までNPM社の管理職からこの件について一切の連絡がないそうだ。

彼は今まで3度、経営の悪化により会社を解雇されてきたが、いずれの会社でも管理職は人間的で、経営状態によりやむをえずして解雇することを告げてきたので、解雇には慣れているが、今回の解雇はあまりにも非人間的であったそうだ。