Coinhive騒動についてどのように考えるべきか

今回は社会的にも大きな話題になっているCoinhiveについて、自分なりの見解を分かりやすくまとめました。

Coinhive設置騒動とは何か

マイニングツール「Coinhive」を閲覧者の同意を得ずに設置したとして、全国の10県警によって不正指令電磁的記録供用容疑などで16人が摘発されているそうです。
この件については、下記のようなサイトで、大変分かりやすくまとめられています。

仮想通貨マイニングツール事案をまとめてみた - piyolog2018年6月14日、警察庁は仮想通貨をマイニングするツール(CoinHive等)を利用者に無断で設置していたとして..d.hatena.ne.jp
高木浩光@自宅の日記 - 緊急周知 Coinhive使用を不正指令電磁的記録供用の罪にしてはいけないtakagi-hiromitsu.jp

本件は、Twitter等のSNSでも大きな話題となっており、明らかに警察に反対するような意見が多いです。
前提として、僕の意見も今回の警察の対応は、「訳がわからず不当なもの」と考えています。

そもそもCoinhiveとは何か

Coinhiveとはなんなのかについて、一言で言えば、
「サイト閲覧者に仮想通貨をマイニングしてもらうことでサイト運営者が収益を得ることができるツール」です。
これは、Webサイト閲覧者によって運営者が利益を得ることができるため、Web広告と似た仕組みであると一般的に言われます。
私たちはWeb閲覧する際に、Webサイトにアクセスすると一般的に言いますが、
これは実は目的のWebサーバにあるファイルを取得し、Webブラウザ(Google Chromeなど)を使ってレンダリング処理を実施しているだけです。
その時にhtmlファイル、cssファイル、javaScriptファイルなどが実行され、Webブラウザ上に表示されています。
今このブログを見れているのも、ファイルを取得しそれを実行しているからです
Coinhiveはその中でもJavaScript(一般的にJS)ファイルと呼ばれるものであり、これはクライアント側つまりWeb閲覧者側で実行されるプログラミング言語です。
このJavaScriptファイルの用途は何かと言うと、ちょっとした動的な処理(この表現は語弊あるかも)を実施することです。
例えば、値チェック、広告(GoogleAdsenseなど)、アクセス解析(GoogleAnalysisなど)、ですね。
そして今このJavaScriptが使われていないWebサイトはほとんど存在しないといっていいでしょう。これは重要なので認識しておいてください。
Coinhiveにおいては、これがクライアント側でマイニング(ハッシュ計算処理)を実行するということであり、この挙動自体が不当で不正なものであるとは到底言えないということもポイントです。
ここが一般的なランサムウェア等のマルウェアとは大きく異なる点でしょう。
マイニングについてよく分からない方はググることを推奨します。
またCoinhive自体の導入は容易であり、導入したいWebページに規定のScriptタグを入れるだけです。(導入したことがないため詳しくは知りません。)
GoogleAdsenseやGoogleAnalysisも同様の方法で導入することができます。
僕の記憶では、Coinhiveは昨年から話題になっており、そもそもは視覚的に迷惑でない新たな広告といった考えで誕生しています。

人気サイトがアクセス数の多さを利用し閲覧者のCPUパワーで仮想通貨マイニング、広告に代わる収入源になるか?人気トレントサイト「The Pirate Bay(パイレート・ベイ)」が、閲覧者に無断でCPUリソースを仮想通貨のマイニンgigazine.net

しかし当初からこれはマルウェアではないか?といった意見も多くあり、
TrendMicroやSymantecなどが実際にマルウェアとして検知するようになりました。

Coinhiveの何が犯罪なのか

そんなCoinhiveを使用すると罪に問われるようです。なぜそのようなことが起こり得るのか考えてみます。
まず今回該当した罪は「不正指令電磁的記録に関する罪」と呼ばれるもので下記に該当します。
人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
上記に掲げるもののほか、上記の不正な指令を記述した電磁的記録その他の記録
Coinhiveが上記の"意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令"に該当したのだと思われます。
ここで疑問が出てきます。
まず先ほど説明したようにCoinhiveが実行する処理はマイニング(ハッシュ計算)であるため、その挙動自体が悪性である一般的なランサムウェアなどのマルウェアと異なります。
つまり実際にCoinhiveを実行した場合に、どの処理が"意図に反する動作"となるのか不明なのです。


例えば、CoinhiveはWeb閲覧者のCPUを消費しハッシュ計算を実施することでマイニングを行います。そしてそれがWeb運営者の利益となる仕組みです。
それは一般的な広告であっても同様のことが言えます。
Web広告もWeb閲覧者のCPUを消費し、広告の表示を行います。そしてそれがWeb運営者の利益となります。
これの何が異なるのでしょうか。
これに対して警視庁は"明示的ではなく社会的コンセンサスがない"と主張しているそうです。
しかし例えばGoogle Analysis等のアクセス解析ツールも多くのWebサイトに導入されていますが、これもほとんどの場合で明示的ではないでしょう。
また社会的コンセンサスがあるかどうかも怪しいです。初めて単語を聞いた方も多いのでは、、、、

やはり逮捕はおかしい

つまりここでの"社会的コンセンサス"の有無自体はとても曖昧なものであり、その曖昧な単語を持ち出す以上は、現状どういったことに社会的なコンセンサスがあり、コンセンサスがないのか明示的に示すべきだと僕は思います。
そして明確に示し、事前にCoinhiveを明示的に示さずに使用することは犯罪であると注意喚起した上で、罪に問うべきではないでしょうか。
またCoinhive自体の挙動が悪性と主張するのであれば、実際にソースコードのどの部分が不正であるかを示して欲しいと思います。
合わせて"明示的"の定義についても教えていただきたいですね。

このブログの人気の投稿

OSINTによるセキュリティ情報調査(参考Webサイト)

イメージ
今回はセキュリティに関連するnote記事です。セキュリティに興味がある方にとって面白い記事になっているもしれません。 近年のセキュリティ情報分析とは? 近年、サイバー攻撃はますます高度化していると言われています。 その対策としてイメージされるのはファイアーウォールやWAF、IDS/IPSといったセキュリティ機器による対策やSIEM(ログ統合管理システム)を用いたログ分析かと思いますが、 もう一つとても重要な要素として、OSINT(Open Source INTelligence:公開情報を活用した収集)があります。 例えば実際の分析の場面においても対象のIPアドレスが悪性であるかどうかログからは判断できない場合があります。そういった時にこういった公開情報を活用することはとても重要なものとなります。 そしてこのnoteでは私が知っている情報収集に便利なWebサイトを紹介をしています。また他にもこんなWebサイトもあるよ等ありましたらコメント欄などにお願いします。 情報収集Webサイト OSINT Search Tool by IntelTechniques | Open Source Intelligence inteltechniques.com INTEL TECHNIQUES。Google、Twitter、Facebook等のなどの検索を一挙に実施してくれるサービスです。控えめに言ってとても便利です。 例えば「不審メール情報」などはTwitterでいち早く情報が出ていることが多いです。またGoogleではハッシュ値を検索することでどこかで引っかかったりすることもあります。汎用性は高いサイトと言えるでしょう。 IBM X-Force Exchange IBM X-Force Exchange is a threat intelligence sharing platfor exchange.xforce.ibmcloud.com IBM X-Force Exchange。統合的に様々な脅威情報を検索することができるWebサイトです。 正直最近まで知らなかったのでほとんど活用したことはないです。 まあファイルのスキャンもできますが、機密ファイルをスキャンすると情報流出するので気をつけてください。 ...
続きを読む

Volumeに応じてトレードを実行するBTC-FX botソースコード公開

イメージ
今回は最近話題となっている仮想通貨システムトレードbot開発に関連する記事です。 公開するソースコードについて Twitterでも話題となった、BUYのVOLUMEとSELLのVOLUMEに応じて取引を行うロジックのものです。(私は当botはVLOLUME_BOTと呼んでいます) シンプルなbotであり、わかりやすいと思うので、ぜひ勉強に活用してください。また実際に動かすこともできますが、その際に生じた問題については一切の責任を負いかねます。 ・前提条件 bitFlyerアカウント pythonが動かせる環境 pythonライブラリの導入 ・対象者 bot開発の手法がわからず、ロジックを学びたい方 ソースコードを見てみたい VOLUME_BOTのロジック さて、ソースコードだけ公開されてもよくわからないと思うので、ロジックについて説明します。 ・大まかな流れ 各種設定値(API_KEY、API_SECRET_KEY、スリープ時間な)をjsonファイルから読み込む seleniumを使用し イナゴフライヤー にアクセス スクレイピング実行しBUY_VOLUME値とSELL_VOLUME値を取得 bitFlyerのAPIで現在の中間値、healthを取得 BUY_VOLUMEがSELL_VOLUMEより大きい時にロング SELL_VOLUMEがBUY_VOKLUMEより大きい時にショート VOLUMEが逆転したときにクローズ ロジックは以上です。 VOLUME_BOTの各種ファイル VOLUME_BOTは3つのファイルからなります。ここではそのファイルの使い方について説明します。 inagoBot,py ⇨ InagoBotクラス。スクレイピングや注文をするメソッドからなります。 execute.py ⇨ python実行ファイル(これをターミナルやコマンドプロンプトから実行するとbotが稼働)実際にはinagoBotのインスタンスを作成し、executeメソッドを実行しているだけです。 set.json ⇨ チューニング対象となる値を格納しているjson形式のファイル。中身見ていただければわかると思います。 VOLUME_BOTのソースコード ここから先はnoteで実際...
続きを読む

instagram(インスタグラム)が若者以外にも人気が出ているというお話

イメージ
こんにちは!Hirofumiです。 少し前にTwitterで少し話題になった、「InstagramはおばさまのSNSになっていた」について私自身も色々と思うことがあったので記事にしてみました。 詳しくは下記のツイートと記事を参照ください。 これなんとなく感じてた笑 何だかんだ若者が最初に手をつけてそこから徐々に上の年代に普及していくものだよね。ほんとあらゆることがそう。今の高校生が何を考えてるかとかって大事だと思いますね。 https://t.co/ZMJVpcREoT — ヒロちゃん@hirochan (@hirofumi_55) 2018年7月4日 皆さんこの記事を読んで、どう思いましたか? 僕は「やっぱりな」と思いましたね。 これ僕にとってはとてもHOTで、というのも最近、母がInstagram(インスタ)を始めたからですw 理由について聞いたところ、「旅行によく行くし、その時の写真を上げたいから」と言っていました。 で僕はこれをばかにしているとかでは全くなくて、Instagramはこれからもまだまだ伸びるんだなと確信した出来事でした。 あらゆることは若者から始まる 何か物事が急速に普及したり進化する時に、それは先進的な若者から始まると思います。 これは歴史からも明らかです。例えばLineですよね。 Lineは明らかに若者から普及しました。僕が大学生の頃に急速に普及し、あっという間にメールと電話を置き換えたと記憶しています。 その頃の大人たちはどうだったかというと、「スマートフォンとか必要ない」と言っている人が僕の周りには結構いましたね。でも今はどうかというと、 あらゆる人がスマートフォンを持ち、Lineを利用してますよね? 当時スマートフォンに懐疑的だった人も今やポケモンGoにどハマりしてますしね。 だから僕はあらゆることは若者から始まり徐々に大人に普及していくことで、急速に広がっていくものだと確信しています。 若者をキャッチアップする つまりなんなのかというと、今の高校生や大学生が何をしているのかキャッチアップすることがとても大切なのではということです。 だから僕は「今の若者はウンタラカンタラ」みたいな人には一生なりたくないですね。そうなったらもう終わりだと思います。 ...
続きを読む