Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
情報リテラシ 第一
2020年度1Q 5c/6c(IL1) 木曜日担当: 地引
TA: 間庭/廖
2020/6/18 情報リテラシ 第一 1
本日の講義内容
• コンピュータ セキュリティ
• 情報通信環境にまつわる法律とその解釈
• 第 3 回小テスト (成績評価の対象になります)
- 課題の掲示先:» 2020 年度情報リテラシ第一
→ クラス共通講義資料: 7.情報倫理とセキュリティ
→ クラス共通課題 (3) → 共通課題回答フォーム
- 提出: 6/24(水)まで (Google Forms による提出)
2020/6/18 情報リテラシ 第一 2
演習課題
• 演習課題
- 課題の掲示先: 情報リテラシ第一 5c/6c ページ → 課題
- 締切: 6/24(水)まで (今年度の特殊事情により、第 3 回小テストの締切と同じ)
- 提出先: [email protected] (E-mail による提出)
- 成績は、演習課題 + 小テスト 3 回 + 平常点より算出
• 各自で課題の提出状況を、適宜確認すること。
- 確認先: 情報リテラシ第一 5c/6c ページ
» 不明な点があれば、上のアドレスまで問い合わせること。
- 成績が発表されて、初めて気付くのはナシ !!
2020/6/18 情報リテラシ 第一 3
演習課題 (続き)
• 提出に際しての注意事項
- 東工大のメール アドレスから提出すること。
送信確認のため、自分宛に Cc を送ること。
送信後に、必ず自分宛の Cc を確認すること(課題提出状況を見て、初めて確認するのは止めましょう)。
- 課題の提出であることがわかるような Subject にすること(本文中にも、その旨を記載すること)。
- メール本文の冒頭に、クラス名/名前/学籍番号を正しく明示すること(添付ファイル内だけに書いてある場合は、“記載なし” として扱います)。
- 上記の条件を満たさない場合 or 常識的なメール マナーに合わない場合は、採点の対象にはしません(標的型攻撃メールとして、破棄します)。
2020/6/18 情報リテラシ 第一 4
コンピュータ セキュリティ
2020/6/18 情報リテラシ 第一 5
情報通信システムに対する脅威
• 脅威は、大きく分けて二つ。- 情報の不正な取得 or 改竄
- システムの誤動作 or 停止
• 情報に対する脅威と防御- 暗号化技術(改竄への対策にもなる)
- 暗号を破るより、他人のフリをして情報を引き出す攻撃へと移りつつある。
• システムに対する脅威と防御- NW の先にいる相手が本物であることの保証は?
- 人間が介在する処理は騙しやすい。 (現時点での大きな脅威)
- 侵入する以外の攻撃手段として、無意味な操作を超大規模に行なわせることで、計算/通信資源を壊滅的に浪費させる。
2020/6/18 情報リテラシ 第一 6
暗号化技術の基本
• 文字を別の文字で置き換える。但し、置き換え方に何らかの規則がある。
• 基本的な置き換え規則は 2 通り。- 換字: 文字に別の文字を割り当てる。
» 例えば、a を c に、g を u に換える。
- 転置: 文字の順番を変える。» 例えば、1 番目の文字を 3 番目に、8 番目を 12 番目に移す。
• 単純な置き換えの限界:- どんな置き換えをしても(複数回の置き換えをしても)、文字の出現頻度は変えられ
ない。» 平文における最頻出文字 “e” の置き換え文字は、暗号文でも最頻出
2020/6/18 情報リテラシ 第一 7
現代暗号化技術の考え方
• 頻度分析への対策 → 常に同じ置き換えをしない。
- 平文を 1 文字変えるだけで、暗号文全体が大幅に変わる。
• 段階的な暗号化: (複数の換字表を用意して切り替えずとも同じ効果が得られる)
- 例えば、まずは平文を 8 文字ずつのグループに分ける。
- 最初は、各左側の 4 文字を同時に置き換える。
- 次に、左側 4 文字 (既暗号化) と右側 4 文字 (平文のまま) の計 8 文字を同時に置き換える。
» 最頻出文字の “e” 置き換え方が、他文字との位置関係により変わる。
• 段階的な暗号化の繰り返し:
- 1 回だけの置き換えではたいしたことはないが、これを何度も行なうことで、目立つ部分(頻度が高い部分)を周囲に合わせて均すことができる。
- 例えば、奇数回目の置き換えでは、i -1 文字目と i 文字目から新しい i 文字目を作り、
偶数回目では、i 文字目と i +1 文字目から新しい i 文字目を作るというイメージ。
2020/6/18 情報リテラシ 第一 8
DES(Data Encryption Standard)の仕組み
2020/6/18 情報リテラシ 第一 9
左 右
左 右
文字を数字に変えて、“左” と ”右” を混ぜる
(ここで鍵を使う)
右 左
右: 右側 2~4文字
左: 左側 2~4文字
左: 暗号化された文字列
• 暗号化は、平文に対して この処理を 16 回繰り返す。• 復号化は、暗号文に対してこの処理を 16 回繰り返す。• 暗号化と復号化が似た処理になるよう、上手い混ぜ方をしている(Feistel 構造)。
DES → 米国の旧国家暗号規格(コンピュータにおける基本的な暗号アルゴリズム)
文字を2進数字に対応させ(対応関係は2Qで説明します)、二つの数字を前スライドのように混ぜ合わせて行くイメージです。
暗号化における基本演算
• 暗号化に使われる理由:
- x: 平文, y: 鍵, x ⊕ y: 暗号文
- (暗号文) ⊕ y = (x ⊕ y) ⊕ y = x» 暗号文に鍵を適用(演算)すると平文に戻れる。
» 左の表で確認してみよう。
- 同じ鍵/演算で復号化できる。
2020/6/18 情報リテラシ 第一 10
• 排他的論理和(XOR: exclusive or )• x と y との排他的論理和を x ⊕ y で表わす。• x, y が 2 進法の数字だった場合、 x ⊕ y は次の演算となる。
x y x⊕ y
1 1 00 1 11 0 10 0 0
参考
• 論理和/論理積が暗号化に向いていない理由:- x: 平文, y: 鍵, x ∩ y or x∪y: 暗号文
- 同じ鍵/演算で復号化できない ⇒(x ∩ y)∩ y or (x∪ y)∪ y ≠ x
2020/6/18 情報リテラシ 第一 11
x y x ∩ y1 1 10 1 01 0 00 0 0
x y x ∪ y1 1 10 1 11 0 10 0 0
この部分が元に戻らない⇒ (暗号文: x ∩ y)∩ y or (暗号文: x ∩ y)∪ y ≠ 平文: x
暗号化と復号化の関係 (1)
• 暗号化した文は、復号化できないと困る。- 現代的な暗号文は、次の処理を i 回行なうことで、文字の出現頻度を均す
» “i -1 回目に鍵を適用された部分と、されていない部分を混ぜる”
- 復号化への影響は?
• Feistel 構造
- i: 暗号処理の回数
- Li: i 回目の左側文字列, Ri: 同、右側文字列
- Ki: i 回目の処理で使う鍵
- Fi: 同、鍵を用いた符号化処理 (暗号化処理の本体)
- A ⊕ B: 文字列 A と B との XOR
2020/6/18 情報リテラシ 第一 12
暗号化と復号化の関係 (2)
• Feistel 構造- i 回目の暗号化処理:
» Ri+1 = Li ⊕ F (Ri , Ki)» Li+1 = Ri
- i 回目の復号化処理:
» Li = Ri+1 ⊕ F (Li+1 , Ki)» Ri = Li+1
• 暗号化/復号化のミソ (よく見ると、F( ) は何でもよい → ここが暗号化アルゴリズムの本体)
- 暗号化の1行目の両辺に、再度 F (Ri , Ki) を XOR してみると。。
- 同じ XOR を 2 回行なうと元に戻る: Ri+1 ⊕ F (Ri , Ki) = Li ⊕ F (Ri , Ki) ⊕ F (Ri , Ki) = Li ・・(*)
- Ri = Li+1 なので、これを Li = Ri+1 ⊕ F (Ri , Ki) に代入すると復号化の式になる。
2020/6/18 情報リテラシ 第一 13
この二つの式をよく見比べてみると、Li+1 から Ri を求めることは、特に難しくはないですよね。問題は、 Li+1, Ri+1 から Li を求めることですが、これは下記のように考えます。
復号化: Li+1 , Ri+1 だけから Li , Ri を求めること。
上の囲み説明より 上の式(*)より
現代的な暗号文の破り方
• 現代的な暗号アルゴリズムを破るには?- 頻度分析ができないので、類推は難しい。
- パスワードの候補を “aaaa” ~ “ZZZZ” まで、総当たりで試してみる。» Brute-force Attack (力任せ攻撃) と呼ぶ。
• 現在では計算機の性能が十分に高いので(or 特定処理用の集積回路をお手軽に作れてしまうので)、アルゴリズムを複雑にしても、試行回数が少なくて済むならば、すぐに破られてしまう。
- パスワードの文字数が少ない場合は危険» 旧無線 LAN (WiFi) が危険と言われる理由
- パスワードの文字数を長くすることで対応
2020/6/18 情報リテラシ 第一 14
(参考)絶対に破られない暗号化は存在するか?
• 現代的な暗号破り(= 計算能力に頼って力技で破る)- Brute-force Attack: パスワードを総当たりで試す。
- 解読結果が意味のある文章ならば、そのパスワードは○
- もし、意味のある文章が複数導かれたら、どのパスワードが当たりなのか、判別できない。
• “One Time Pad” という考え方 (平文の長さ = パスワードの長さ)
- パスワード:
» n 文字の平文を 2 進数に変え(i 桁になったとする)、それと同じ桁数の適当な 2 進数
- 暗号化:
»平文(i 桁の 2 進数)とパスワード(i 桁の 2 進数)を XOR
- 力任せ攻撃では、1 桁から i 桁までの全 2 進数を総当たりで平文へ XOR してみる。
- 復号化された文章の種類は 2i 通り → n 文字列の全パターンが含まれている。
»どれが当たりか判別できない。
2020/6/18 情報リテラシ 第一 15
鍵をどう守るか?
• 現代的な暗号方式は、頻度分析も力任せ攻撃にも耐えられる‥。
- 残った弱い部分はどこ?
• NW 時代になり、パスワード管理のミスが狙われるようになった。
- 人間が介在するので、ヒューマンエラーは防げない。
- 特に、パスワードを外部とやり取りする場合が危ない。
• パスワードが漏れたとしても、被害を最小化できる方法はないか?
- 公開鍵暗号系
2020/6/18 情報リテラシ 第一 16
公開鍵暗号系
• 鍵を 2 種類用意する (公開鍵と秘密鍵)
• 暗号化と復号化は、二つの鍵を対で利用する。- 公開鍵(or 秘密鍵)で暗号化した文は、秘密鍵(or 公開鍵)でしか復号化できない。
• 外部と鍵をやり取りする場合は、公開鍵のみを渡す。- 秘密鍵は誰にも渡さない。
- 公開鍵が漏れたとしても、これだけでは復号化できない。
• そんな都合の良い暗号化方式は存在するのか?
2020/6/18 情報リテラシ 第一 17
離散対数の計算困難性
• a, m, n が分かっているとして、次の式を満たす x を求められるか?(但し、 a, x, m, n は全て自然数)
- x = am mod n ⇒ am を n で割った余り x を求めよ。
- この計算は、それほど難しくない(計算回数も 1 回)。
• a, x, n が分かっているとして、次の式を満たす m を求めるのはどうか?(但し、 a, x, m, n は全て自然数)
- x = am mod n ⇒ n で割ると余りが x となる a の(離散)対数値を求めよ。
- 余りに着目するので、数値解析の技術を適用できない。» 0 ~ n -1 まで(一見)ランダムに変化する。
» m に様々な値を入れて試すしかない ⇒ 何回試せばよい?
- 余りは n 種類 ⇒ 少なくとも m = 1 ~ n まで試す必要あり。
» n が 1000 桁の数字だったら?⇒ n = 1 ~ 1000 ではないよ。 n = 1 ~ 21000 だよ。
2020/6/18 情報リテラシ 第一 18
公開鍵暗号系の例
• 送信者と受信者は、a, n を共有する。- a, n は、NW などを介して交換するので公開鍵として扱う。
• 送信者と受信者は、自身の秘密鍵 m1, m2 を決める。
• 送信者は受信者へ a m1 mod n = x1 を送り、
受信者は送信者へ a m2 mod n = x2 を送る。
• 送信者は、自身の秘密鍵を用いて (x2) m1 mod n を計算し、
受信者も同様に (x1) m2 mod n を計算する。- 互いに相手の秘密鍵はわからないが、上の計算はどちらも a m1・m2 mod n となり、
同じ値を秘密に共有できている(新秘密鍵として利用)。
- 外部の者は、 x1(= a m1 mod n), x2(= a m2 mod n) から m1, m2 を得られない。
2020/6/18 情報リテラシ 第一 19
参考
• (a m1 mod n) m2 mod n = a m1・m2 mod n の理由:- x1 = a m1 mod n より、 a m1 = X・n + x1 が成り立つ。
- (x1) m2 mod n に上の x1 を代入して、(a m1 - X・n ) m2 mod n となる。
- ここで、(a m1 - X・n ) m2 を展開してみると、
- つまり、(a m1 - X・n ) m2 を n で割った余りは、a m1・m2 を n で割った余りと等しい。
- よって、(a m1 mod n) m2 mod n = a m1・m2 mod n
2020/6/18 情報リテラシ 第一 20
rrmmm
rrm
mmmm nXaCanXa )()()( 212
12
2121 ⋅−⋅+=⋅− −
=
⋅ ∑
この部分は、r ≧ 1 より、n の倍数
その他の例
• 離散対数以外を利用する例もある。
• 素因数分解の計算困難性:
- 素数 p, q に対し、n = p ・q を考える。n を公開鍵、p, q を秘密鍵とする。
- p, q を知るには、n を素因数分解する必要があるが、 p, q が 1,000 桁ぐらいの数字だと
素因数分解も大変。
• 楕円曲線演算の計算困難性:- y2 = x3 + ax + b (この式が表わす曲線を E とする)上の 2 点 PA (x1, y1), PB (x2, y2) を考える。
- PA, PB を通り、E と交わる点を P’C とし、P’C の y 座標を反転したものを PC とする。
PA, PB, PC の関係を PC = PA + PB と表わす。
- 上記の関係を用いて、E 上の点 G より、2G (= G + G), 3G (= 2G + G), ..., aG (= (a-1)G + G) を
考える (これは、G = PA = PB ということ。この場合は、PA, PB を通る直線の代わりに G での接線を使う)。
- E 上の点 X (= aG)について、G, X から a を求めるのは大変。
→ どれが秘密鍵で、どれが公開鍵か、わかりますか?
2020/6/18 情報リテラシ 第一 21
30
20
10
-10
-20
-30
0
302010-10-20-30 0
PA PB
PC
P’C
2020/6/18 情報リテラシ 第一 22
楕円曲線演算の例
(再掲) メール サーバの詐称対策
• サーバが、世界的に信頼されている認証組織から、正規のサーバであることを証明してもらう (証明書の発行)
• 正統である証を他に見せる場合、暗号化された通信路を使用
- 秘密鍵 + 公開鍵(詳細は、コンピュータ セキュリティの回で説明します)
• この暗号通信を利用できる者 & 正統性を示す証明書
⇒ 確かに正規のサーバだ!
2020/6/18 情報リテラシ 第一 23
サーバの真贋を見極める技術:
⇒ SSL(Secure Socket Layer)を利用(通信路の暗号化)
東工大では、一般的なメールの受信/送信用プロトコルに、SSL を追加したプロトコルを用いています。
(再掲)SSL によるサーバー認証の概要
2020/6/18 情報リテラシ 第一 24
認証機関
サービス事業者
証明書申請
ユーザ
要求
ルート証明書・ 認証局名・ 有効期限・ 認証局の公開鍵・ 認証局の署名
ユーザは独自に取得(Windows Update など)
証明書・ 事業者名・ 有効期限・ 事業者の公開鍵・ 認証局の署名
証明書・ 事業者名・ 有効期限・ 事業者の公開鍵・ 認証局の署名
ユーザは、自身が持つルート証明書にある認証局の公開鍵により、事業者が送った証明書の認証局署名を復号化し、事業者の正統性を確認する。確認後は、事業者の公開鍵を用いて、事業者との暗号化通信などを行なう。
証明書 (*) を認証局の秘密鍵で暗号化したデータ。認証局の公開鍵で復号化することにより、証明書の改竄を確認できる。
*) もう少し正確に言えば、証明書にある処理を施したデータ
情報通信環境にまつわる法律とその解釈・ コンピュータやネットワークを取り巻く法的規則を整理します。
・ 何をしでかしたら犯罪か/どんな罠があるか等
2020/6/18 情報リテラシ 第一 25
セキュリティの話題は尽きない。まずは、原則/精神を押さえよう。
法
• 法と倫理- ネットワークの末端には人間が存在する。
• 刑法
- 罪刑法定主義» 何が罪となるか、どの程度の罰則が適用されるかは、法律に基づいて決定される。
- 抽象化した表現をどう適用するか ⇒ 法解釈の難しさ» 文理解釈/論理解釈(体系的解釈)/目的論的解釈
• 類推解釈の禁止
- 新しい犯罪類型の創設
• 1987年の刑法改正
- 電磁的な記録を従来の文書と区別する新しい犯罪類型が創設された。
2020/6/18 情報リテラシ 第一 26
コンピュータに関係する犯罪行為 (→ 法律に基づく処罰の対象)
• データの不正作出/入手/破壊
• コンピュータへの電子的な攻撃
- ホームページの改竄/システムへの過負荷アタック ほか
• コンピュータの不正使用
• コンピュータ詐欺
- 身元を隠せる?
- 被害が少額であれば、泣き寝入りする?
2020/6/18 情報リテラシ 第一 27
不正アクセス禁止法
• 不正アクセス行為の禁止等に関する法律- 1999年8月13日公布/2000年2月13日施行
• 不正アクセスを助長する行為もダメ- ID/パスワードを正当な理由なく他人に渡すことの禁止
» これは理解できるとして…
- 安易なパスワードの設定により、不正行為に利用されてしまった。» これも処罰の対象になる可能性あり。
• 2013年5月31日改正/同日施行 (下記を追加)- フィッシング行為の禁止
- ID/パスワードの不正取得/保管/流通の禁止
2020/6/18 情報リテラシ 第一 28
個人情報保護法
• 個人情報の保護に関する法律- 2003年5月30日公布/2005年4月1日施行
- 個人を特定できる情報は全て含まれる。
• 以下の原則に則り、個人情報を保護(以下を順守すれば、個人情報の収集/利用は認められる)
- 利用目的による制限
» 利用目的の明確化, 利用目的以外の利用を制限
- 内容の正確性に対する保証» 利用目的の範囲内で正確かつ最新の情報に保たねばならない。
- 透明性の確保» 本人が個人情報の取り扱いに関与できなければならない。
- 適正な方法による取得および安全保護措置の実施
2020/6/18 情報リテラシ 第一 29
個人情報保護法は、誤解され易いので、よく理解しておきましょう。
知的財産権• 著作権 (表現を保護)
- 著作物を創作した時点で発生(手続き不要)
- 著作物(著作権法第2条より):» 思想又は感情を創作的に表現したものであつて、文芸、学術、美術又は音楽の範囲に
属するもの。
» 表現ではない事実やデータ、アイディアそのものや感情そのもの、模倣品などは著作物ではない。
» 短い表現やありふれた表現などは認められにくい。
• 工業所有権- 特許権: 新規性/有用性等の審査(存続期間: 出願日より20年間)
- 実用新案権: 特許より緩やか(存続期間: 出願日より10年間)
- 意匠権: 工業デザインの保護
- 商標権: 商品名の保護
2020/6/18 情報リテラシ 第一 30
著作権法
• 著作権で保護される期間(原則としては国によって違う)- 創作時 ~ 著作者の死後70年
- 環太平洋パートナーシップに関する包括的及び先進的な協定(TPP整備法)による著作権法の改正(2018年12月30日施行) → 時代に合わせて改正されて行くので要注意
• 著作者人格権- 公表権,氏名表示権,同一性保持権
• 著作財産権- 複製権,上演/演奏権,放送権,口述権,
展示権,頒布権,貸与権,翻訳/翻案権
• 二次著作権- 許可を得て改造した作品も原著作者に権利
2020/6/18 情報リテラシ 第一 31
一言で、著作権と言っても、実は様々な権利がある。これらの内、どの権利で保護されているかを理解することは重要
著作権による保護の例 (放送 vs. 通信)
2020/6/18 情報リテラシ 第一 32
放送に対する行政規制
・ 放送法/電波法 ⇒ 電波の希少性により厳しい免許制 (新規参入が困難)
通信に対する行政規制
・ 電気通信事業法 ⇒ 免許制ではなく登録/届出制 (参入規制は緩やか)
電気通信役務利用放送法(2002 年 1 月施行)
・ 電気通信事業者の伝送路を用いた放送を許可 (自前の設備は不要)
・ 役務利用による放送は従来の放送ではなく、自動公衆送信に分類
自動公衆送信(著作権法により規定)
・ 一般公衆からの要求により送信される形態(Web ページ上での公開など)
・ 著作隣接権は免除されない ⇒ 役務利用に対する著作権上の大きな障壁
著作隣接権
・ 著作者の周辺者(実演家/レコード製作者など)に与えられる権利
・ 放送事業者は著作隣接権を免除されているため、権利処理が簡素
コンピュータと著作権法
• 著作権法の対象になるものは?まずは大前提として、著作権法の対象となるコンテンツ(画像/音楽/文章など)は、デジタル化されていても保護の対象です。
以下で説明することは、コンピュータに関連する特有の例外です。
- GUI は微妙 ⇒ Windows と Macintosh の紛争
- 通信プロトコル/アルゴリズムなどは適用外 (必需品に適用すると‥)
» 但し、これらを作成したソフトウェアは、著作物として扱われ保護の対象です。
» よって、ソフトウェアを別のプログラム言語に移植する際は原著作者(開発者)の許可が必要
- 使用許諾契約(ライセンス契約)による制限
» 個人的な使用の範囲でも複製はできないのか?
» 様々な事例あり (次ページ以降をよく理解しておこう)
2020/6/18 情報リテラシ 第一 33
これぞ、原則/精神 !!
複製と引用/転載
• 複製- 私的使用のための複製は OK(著作権法 第30条)
»仕事以外の目的に使うこと
»著作物の所有者自身が複製すること(複製機も自前)
»コピー プロテクションなどを解除するのは不可
• 引用/転載- 基本的には OK
- 正当な慣行に合致し、目的上正当な範囲内»引用元の記載/引用部分の明示
»自己の創作部分が主であり、引用部分が従である
2020/6/18 情報リテラシ 第一 34
ソフトウェア ライセンス
• フリーソフト(単純な無料ソフトではない)- 著作権者の表示さえあれば、何をしても OK
- 二次著作物は有償でも OK
- 二次著作物も無償を強制
• シェアウェア
- 自由に試用可/継続試用 or フル機能は別途相談
• 有償ソフトウェア
- シングル/サイト ライセンス
- ライセンスだけを販売するという形態もある。
2020/6/18 情報リテラシ 第一 35
自分が買った Windows を私用のためにコピーできないの?
最近は、PC と、そこにインストールされている Windows とを静的に結び付ける仕組みが入っている。
この結び付きを無理やり破るのは違法行為(プロテクションの解除)
リバース エンジニアリング
• 他人の創作を解析してアイデアを得ること- プログラムの中身を調べ、接続方法やアルゴリズム,固有のデータを得ること
- ゲームの改造/ゲーム機のエミュレータは?
- 例) PSP の CFW (改造ファーム ウェア)» CFW 自身は独自ソフトウェア
» CFW の利用には、実装上オリジナルの FW が必要
» Sony は FW の利用について制限を課している。
• 他のプログラムに適用した場合は、複製/翻訳/翻案とみなされる。
- 流用部分の目的や類似性を元に判断される。
2020/6/18 情報リテラシ 第一 36
まずは大前提として、プロテクションが掛かっている場合は、これを解除する時点で違法です。以下は、プロテクションがなかった場合の考え方です。
情報通信時代の複製における制約
• 私的使用以外の複製 (例えば、複製したものをインターネット上で公開するなど) は、そもそも著作権法第30条による権利の対象外です。
• 著作権者の許諾を得ず、違法配信されたコンテンツをダウンロードすることは禁止されています(同、第30条に記載のある権利の例外)。
- 私的利用 + 外部に公開しない (自分だけがこっそり使う) → これもダメと言うこと。
- 2010年1月施行 → 2012 年 10 月 1 日より刑罰化
- ネットワーク利用時におけるキャッシュ (情報機器内への一時的コピー) の扱い?» 著作権者の許諾を得ずとも、検索エンジン内にキャッシュすることは合法という判断だが‥
• 電子書籍にも「出版権」を認め、「海賊版」の取り扱いを違法化- 2014年4月25日に参議院本会議で可決 → 2015年1月施行
2020/6/18 情報リテラシ 第一 37
著作権法は、時代に合わせて継続的に改正されています。
Creative Commons(CC)
• 自身の著作物を(特に代価を取らず)多くの人に利用して貰いたい- 情報通信技術の利点を活かし、著作物の再利用を促進したい
• 著作物の無償再利用と著作権法等との関係を整理- 例: 反社会/文化的活動のために再利用されたくない
• ライセンスの種類 (文化庁も採用/支援を表明, 2013年)
- 利用に際して著作権者を表示(必須ライセンス)
- オプション (非営利/改変禁止/2次著作物に対するライセンス継承) と必須ライセンスを組合せて利用 → 組合せ方は著作者が指定 (オプションなしもある)
• CC 自身は法律ではないが、そのライセンスは、より広い概念である著作権法により保護
- 著作者による「私の著作物を利用するには、〇〇を守れ」という要求は、著作権法により法的に保護される。
2020/6/18 情報リテラシ 第一 38
法解釈の事例(1)
• ファイル交換ソフト
- 著作物 (映画・音楽) のコピー (交換) に利用
- 日本では作者が逮捕される。» 米国では利用者が訴えられる。
» ビデオデッキの発明者を逮捕するか?
- 警察庁長官のコメント» 「著作権法に触れることを認識して、(使用者が)摘発されにくいように改良をし、
捜査を免れようとした。それを周知し、繰り返した。
(開発行為そのものを幇助としたのではなく)そのような行為全体をとらえた。」
2020/6/18 情報リテラシ 第一 39
ここにも、原則/精神 !!
法解釈の事例(2)
• 情報機器の保守/修理/買い換え時に必要な権利制限- 自分の購入したコンテンツが、上記の作業時に消滅してしまう。
- 解決には技術的保護手段の回避が伴うので、著作権上は違法
- 立法の精神から離れている。
• 私的録画補償金制度の問題
- HD Recorder などに著作権者への補償金が前もって含まれている。
- 対象外の人からも徴収 + 徴収した補償金の配分(使途)が不明
• CD/DVD 等コピー(リッピング)違法化の動き
- 2012 年 6 月15 日衆議院の文部科学委員会で可決
- これまでは私的利用の範囲で認められてきた複製も違法化 ⇒ 私有財産の制約?
- 複製を禁止する仕組みを、リバース エンジニアリングにより破ったという解釈
2020/6/18 情報リテラシ 第一 40
「刑の均衡」 という概念: 特定の分野/手段だけを刑罰の対象にするのは公平か? ⇒ 社会情勢
通信の保護
• 有線電気通信法/電波法
- 通信の秘密を守る。
• 通信傍受法
- 1999年8月18日公布/2000年8月15日施行
- 令状 + 通信事業者/地方公務員の立ち会いにより傍受
- 立会人は傍受記録を封印して裁判所へ提出
2020/6/18 情報リテラシ 第一 41
最近の事例
• 犯人は、近所の無線 LAN が発する電波を傍受して暗号鍵を解読し、この無線LAN を踏み台にフィッシング詐欺をした(被害総額 500 万円以上)。
- 無線 LAN の乗っ取りについては、初めての司法判断(2017.04.27)
• 検察側:- 他人の無線を傍受して暗号鍵を解読 → 通信の秘密を犯している。
• 弁護側:- 法律によって守られている秘密とは、送信者/受信者が交換する通信内容の秘密であり、
暗号鍵は通信内容そのものではない。
• 司法判断:- 無線LANの暗号鍵は、通信内容を知るための手段/方法の一部であり、通信内容そのもの
ではない。
» 通信の傍受による暗号鍵の解読/乗っ取りは、現状の法律では取り締まれない。。
» 参考: 犯人は、フィッシング詐欺に伴う金融機関サイトへの不正アクセス防止法違反により有罪。
2020/6/18 情報リテラシ 第一 42
情報通信環境を取り巻くセキュリティ問題
2020/6/18 情報リテラシ 第一 43
ワン クリック詐欺
• 例えば、メールに URL を添付して送付- URL にはメール アドレスを組込んであるためアクセス者のメール アドレスを
把握できる。
- 契約条件などを故意に見えにくくし、不注意なワン クリックであたかも契約が成立したように見せかける。
- 料金を支払わない場合は、非社会的手段を用いて取り立てに行くと脅す。
• 無効な契約である可能性が高い- インターネット上の契約においては、誤りでクリックしてしまった事故を排除
するため、契約条件をきちんと明示 (スクロールすれば見えるというのは
怪しい) した上で、利用者に十分な確認(再クリック等)を取らせる必要あり。
• 電子消費者契約法
2020/6/18 情報リテラシ 第一 44
ツー クリック詐欺
• 電子消費者契約法では、誤ってクリックした可能性を排除できないので、再度クリックさせる必要があった。
• じゃあ、2回クリックさせればいいんだな。
- おまけに、裁判所から請求書も送っておこう。
• 電子消費者契約法を始め、契約が成立するには、契約者双方が契約に合意することが大前提
• 但し、裁判所からの呼び出しは無視できない。
- 裁判所で、契約する意思がなかったことを説明することが必要
- 困った時は消費生活センターへ相談を。
• いずれにしても面倒なので、安易にクリックしない。
2020/6/18 情報リテラシ 第一 45
超重要 !!
最近の事例
• 120 年ぶりとなる民法改正案が国会で可決 (2017.05.26)
• 法律上の扱いが、曖昧であった約款の内容について、契約内容として扱うことを明記
- 通信事業者が示す約款 (例えば、“商品の発送以後はキャンセル不可” などの取り決め) については、これが契約内容に含まれるかどうか(法律上の強制力があるか
どうか)が、これまで曖昧であった。
- 新民法では、約款が契約内容に含まれることを明記し、消費者の “知らなかった” と
いった主張が認められなくなった。
» 悪意のある事業者が、“この HP 内のどの部分でもワンクリックしたら契約” という約款を
こっそり掲載していたら‥。
» 同、約款を二つに分け、見易い所にある約款は一見普通だが、見えにくい所にこっそりと
“1 秒以内に現金で払わなければ罰金 1 兆円” という約款を載せていたら。。
- 消費者に一方的な不利益となる約款は、無効という条項あり。
2020/6/18 情報リテラシ 第一 46
フィッシング詐欺
• お知らせ/注意を喚起するメールを送信- メールで示された URL へアクセスすると、贋のページへと誘導される。
- 贋ページとは気付かずにパスワードなど丸秘情報を入力してしまう。
• 対策は難しい。。- 単純に、嘘の URL をメールに埋め込むだけならば対応できそうだが‥
- 国際化(多言語化)DNS を悪用する場合 → こちらは最近あまり見ない。
»半角の (アルファベットの) a の代わりに、全角の a を混ぜるなど。
- 組織間の信用関係を悪用する場合 → ここ 1, 2 年多く見られるようになった。
»見かけ上ではなく、メール内部(SMTP で規定されたタグ)を確認しても正しいメール アドレスから送られている。。
• メールに添付された URL を安易にクリックしない。- 告知して来た組織のホーム ページを調べ、不自然なところはないかを確認
- or メールに告知されている事件が、他でも起きているか?2020/6/18 情報リテラシ 第一 47
厄介なフィッシング メール(1)
2020/6/18 情報リテラシ 第一 48
From: Amazon <[email protected]>To: .....Date: Tue, 16 Jun 2020 16:23:30 +0900Subject: Amazonセキュリティ警告----------------------------------------------------------Amazon お客様: .....
Amazon に登録いただいたお客様に、Amazon アカウントの情報更新をお届けします。残念ながら、Amazon のアカウントを更新できませんでした。
アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため Amazon アカウントの 情報を確認する必要があります。下からアカウントをログインし、情報を更新してください。Amazon ログイン
なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。
Amazonカスタマーサービス
メール アドレスを見る限り (@amazon.com)、本物の Amazon から届いているように見える。
厄介なフィッシング メール(2)
2020/6/18 情報リテラシ 第一 49
Received: from bvea650705 ([192.168.154.11])by bvea650725 with LMTP id +JtmGXpz6F4+ZAAAaUXCKw; Tue, 16 Jun 2020 16:23:38 +0900
Received: from biglobe.ne.jp ([192.168.154.11])by bvea650705 with LMTP id iP09GXpz6F6pWgAAhjBFXQ; Tue, 16 Jun 2020 16:23:38 +0900
Received: from rcpt-impgw.biglobe.ne.jp by biglobe.ne.jp (RCPT_GW)id QAA30245; Tue, 16 Jun 2020 16:23:38 +0900 (JST)
..... (認証情報等は省略)Received: from sa12.dkjahsdkjahsdk09.xyz (sa12.asdacxzxcz09.xyz [107.179.123.140] (may beforged))
by rcpt-impgw.biglobe.ne.jp (hngd/5416110419) with ESMTP id 05G7NZi0030121; Tue, 16 Jun 2020 16:23:37 +0900
..... (認証情報等は省略)Received: by sa2.dkjahsdkjahsdk09.xyz id ht5ag60e97cp; Tue, 16 Jun 2020 16:25:53 -0700 (envelope-from <[email protected]>)
転送メールを、どのメール サーバが、どのメール サーバより受け取ったかの記録。上に行くほど、受信者に近いサーバの情報(下ほど送信者に近い → 怪しさ up ?)。
送信メール サーバに付いている括弧書きは、受信サーバが調べた送信サーバの情報。送信サーバが自称する情報と括弧書きとに違いある場合は、何らかの目的のために詐称されている可能性が高い。
.xyz は、個人でブログ運営をする場合など、利用者数が非常に多いドメイン。BIGLOBE (日本の大手プロバイダ) も、明確に問題が発覚するようになればsa12.….xyz (107.179.123.140) からの接続を受け付けないが、顧客の利便に配慮しつつ詐称サーバにきめ細かく対応することは難しい。
標的型攻撃メール (良い対策がない…)
• 特定の人や組織に狙いを定めて仕掛けられる罠メール(大流行中/年金機構も同じ手口で情報が漏れた)
- 正当なメールのふりをして送られる。
»サイバー攻撃が仕掛けられた URL や添付ファイルのクリックを促す。
- 一見クリックせざるを得ない内容なので厄介 (人の信頼を悪用)。
»講演などの依頼, 就職などの情報提供, 感染症などの注意喚起
- 不特定多数に配布されるわけではないので、セキュリティ部門に気付かれにくく、対策が遅れがち。
»差出人のアドレス(フリーアドレスは要注意/自分でも使用を避ける)
»日本語では使ない文字の有無(日本語の誤りが多い場合は要注意)
»本文にある URL とクリックする際に表示される URL (違う場合は×)
• 特定のサイトに罠を仕掛ける水飲み場型攻撃もある。- 熊本日日新聞, 47行政ジャーナルなどが攻撃された。
2020/6/18 情報リテラシ 第一 50
標的型攻撃メールへの対策 (気休めだけど…)
• セキュリティ啓発ページなどには、対策が紹介されているが、攻撃者もこれを見ている。
• 事情により(例えば職業上)、添付ファイルを開けなければならない状況もある。
• 添付ファイルのあるメールが届いたら、これを開けてもよい合理的な理由に
思い当りますか(以下は、一例)。
- 自分が送ったメールの返信として、添付ファイルが来た?
- 私が知っている○○から、近々送ると言っていた?
- 心当たりのない差出人ならば、情報検索で確認できる?
- 私に届いた理由(例えば本文の意味など)は合理的か?
- 事件やイベント関係だとしたら、情報検索で確認できる?
- 会員番号など、明記されるべき秘密情報は入っている?
2020/6/18 情報リテラシ 第一 51
今後の予定
• 6/25 (木) より、情報リテラシ第2が始まります。- 履修申告を終えていない人は、早急に申告して下さい。
- クラスについては、情報リテラシ第1と同じクラスを申告して下さい。
• 今年度は特殊事情により、成績判定までの期間に余裕がありません。
- 余裕を持って提出すると共に、各自が提出状況を適宜確認して下さい。
- 特に 6/25 以降は、未提出状態の人は提出状況が確定するまで 1 回/日ぐらいは確認しましょう。
2020/6/18 情報リテラシ 第一 52