トド日記

妻からトドと呼ばれる、本と文房具が好きなIT系企業で働くカユウの日記

Coinhive がウィルスならアクセス解析系のスクリプトも全部ウィルス扱いになる

doocts.com

仮想通貨は勉強する時間が取れなくて距離を置いていました。
そしたらこんな記事が流れてきまして。
マイニングのやり方とか、Coinhive の仕組みとかを1時間くらいでざざっと見ました。

で、思った感想は、「神奈川県警、ありえないわー。Librahack 事件の再来じゃないですかー。」です。

Coinhive のサイトにアクセスできないので技術詳細がわからないのですが、こちらの高木浩光さんの記事によると、WebAssembly が使われてるっぽい。

高木浩光@自宅の日記 - 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」

広告を出さず、ユーザーの情報も収集せず、CPU (+電力+ネットワーク回線) のみで快適なブラウジングができるなら、Coinhive やその類似サービスのほうがユーザーメリットは高いんじゃないかな。
あとは複数ブラウザ、複数タブを開いている場合、CPU使用率100%ってなっちゃいそうなのは僕も嫌なので、その辺は高木さんが書かれているように技術で解決してほしいところ。

そもそも Coinhive が不正な指令を与えているのだとしたら、アクセス解析のために使用しているスクリプトも不正な指令を与えていますよ。
今や企業サイトも個人サイトもアクセス解析は入っているのが基本みたいなもの。
ブラウザをシークレットモードにしたって無駄ですよ。

Chrome でシークレットモードを起動すると、新しいタブにメッセージが表示されますよね。
そこから抜粋したものがこちら。
アクセスした先のウェブサイトの動作を制御することはできないので、CPU と電力、ネットワーク回線が使用されて、情報が収集されているのです。

ただし、次の相手にあなたのアクティビティが知られる可能性はあります。
・訪問先のウェブサイト
・雇用主または学校
・ご利用のインターネット サービス プロバイダ

アクティビティって書かれててもわからないですよね。
あなたが使っている端末とその端末内に記録されていて、ブラウザがアクセス可能な情報だと思ってください。

アクセス解析と聞いて想像する情報としては、ブラウザの種類、そのウェブサイトにつないだ時間、別のページに移った時間、どこのウェブサイトからやってきたのか、どこのウェブサイトに行ったのか、くらいだと思っていませんか?
どこの国・地域からアクセスしているのか、使っているOSの詳細なバージョン、マウスカーソルの動き、ウェブサイト内でクリックした場所、使用言語、ウェブサイトを探すときに使った検索キーワード。
あとは Google の類推ですが、性別と年齢もわかっちゃうんです。

そう考えると、Coinhive 何が違うのですかね。 むしろ、情報を収集して、勝手に他の人が見える別の場所に送り付けているんですから、Coinhive よりアクセス解析のほうが悪質だと思えてきませんか?

Coinhive やそれに類似するサービスは、端的に言えばお金を生むサービスです。
アクセス数が多いウェブサイトに設定することができれば、生み出されるお金が増えます。
となると、Coinhive やそれに類似するサービスを仕込むために、クラッキングやウェブサイト改ざんを行おうとする人が増える可能性はあるかもしれません。
その部分では、セキュリティ的な懸念点がある、と言えるでしょう。

そして、前述の高木さんが書かれた記事を読んで思ったことがある。
「Coinhive やその類似サービスは、OSを最新にしたって防げない。トレンドマイクロさんの嘘つき!」

ブラウザ経由でのマイニングは、主要ブラウザが標準で提供している WebAssembly を使っている。
そのため、2018/06/12 時点でブラウザ経由のマイニングをされたくない場合は、WebAssembly が使えないブラウザを使うしかないのです。
そう、 IE とかね。

というか、Coinhive みたいなブラウザ経由のマイニングは拒否できないから罪なんですね。
じゃあ、既存の仕組みで拒否できない広告を作ったら、それも不正指令電磁的記録に関する罪に問われるってことなんですかね。
警察には、一般ユーザーがわかるような公式見解を出してほしいものです。