Ethics & Intelligence

Transcript

1. Ethics & Intelligence 2018/11/10 野口 睦夫 (2015年度修士卒、田中研)

2. Whoami Mutsuo Noguchi Security Researcher@街の電気屋さん 専門：Penetration Testing, Vulnerability Handling etc.

   Social Media https://www.facebook.com/mutsuo.noguchi 11/10/2018 2

3. Today’s first TOPIC

4. Ethics

5. What’s Ethics? Usage Example Research Ethics … 研究倫理 Code of

   Ethics … 倫理規定 Ethics board … 倫理委員会 Ethics of ~ … ～の倫理 11/10/2018 5

6. What’s Ethics? Usage Example Research Ethics … 研究倫理 Code of

   Ethics … 倫理規定 Ethics board … 倫理委員会 Ethics of ~ … ～の倫理 11/10/2018 6 Target of Topic

7. Principles(原理原則) The Belmont Report: Ethical Principles and Guidelines for the

   Protection of Human Subjects of Research  https://www.hhs.gov/ohrp/sites/default/files/the-belmont-report-508c_FINAL.pdf 倫理3原則  Respect for Persons … 人格の尊重(本人の自由意志の尊重)  Beneficence … 恩恵(世の中に対して)  Justice … 正義(平等・公平な取り扱い) 11/10/2018 7

8. Principles(原理原則) The Menlo Report: Ethical Principles Guiding Information and Communication

   Technology Research  https://www.dhs.gov/sites/default/files/publications/CSD-MenloPrinciplesCORE-20120803_1.pdf 倫理原則(Belmont Reportから追加されたもの)  Respect for Law and Public Interest … 法令遵守＆公共の利益を尊重 Responsible Disclosure(説明責任)と評価/実行手順の透明性 11/10/2018 8

9. 世の中の研究倫理に関する動向: 生物医学からサイバーセキュリティへの発展  研究倫理のガイドライン  Belmont Report (1978)  Menlo

   Report (2012)  国際ワークショップ開催  CREDS (2013), CREDSII (2014), NS‐Ethics (2015)  国際会議でのパネルディスカッション  「Panel on Research Ethics」USENIX Security (2015)  国際会議CFPでの明記  「Human Subjects and Ethical Considerations」USENIX Security (2016)  「Human Subjects and Ethical Considerations」IEEE S&P (2016) 11/10/2018 9

10. Ethics議論の種別  同意/承認の獲得  ユーザ（被験者）の同意  サービス事業者の承認  研究倫理委員会の承認 

    手順の正当性  Responsible disclosure  ポリシー/ガイドラインの準拠  匿名化  適法性  代替手段なし  リスク/被害のコントロール  新たな被害は発生しない  リスクの最小化  利益  ベストプラクティスの共有  公益性  その他  Human subjectsではない  研究用途 11/10/2018 10 参考文献：秋山 満昭 (NTTセキュアプラットフォーム研究所)「研究倫理に関して我々の置かれている状況」P20より転載

11. Disclosure history in the security industry / community Late 90‘s

    Full Disclosure is the basis The first half of the 2000s Responsible Disclosure / Coordinated Disclosure are mainstream The discovery of the vulnerability had been used as a marketing tool Rapid development of the analysis environment After the late 2000s The rise of the bug boundary system High cost of vulnerability discovery The rise of underground business 11/10/2018 11

12. Disclosure history in the security industry / community Current Responsible

    Disclosure / Coordinated Disclosure are still mainstream Security vendors are not proactively looking for vulnerabilities They are correcting vulnerabilities without reporting There is almost no reason to take the risk of receiving social criticism through vulnerability disclosure Security researchers can not wait until the vendor responds, disclose the vulnerability information 11/10/2018 12

13. Disclosure history in the security industry / community Current (cont.)

    学術・産業界・個人/コミュニティ で異なる認識 学術 研究内容を発表するための責任・義務 産業界 社会的コンセンサスが取れる範囲で開示するもの ※積極的には開示しない 個人/コミュニティ 開示/発表による責任の所在が曖昧なもの ※コミュニティの発展と利用者への影響のバランスが難しい ※実績を示したい個人と開示を遅らせたい産業界との対立も 11/10/2018 13

14. 個人/コミュニティで意識すべきこと 国・地域の法律に従う必要がある 国内では主に下記  不正アクセス行為の禁止等に関する法律 — 故意犯  不正指令電磁的記録に関する罪 —

    故意犯（、目的犯） ※いずれも別件逮捕からの家宅捜査で追起訴対象になる可能性がある 逆も然り 国際的な申し合わせ事項も把握する必要がある  通常兵器及び関連汎用品・技術の輸出管理に関する ワッセナー・アレンジメント — サイバー攻撃に利用可能な0day脆弱性や高効率で攻撃転用可能な ツールも対象 11/10/2018 14

15. 脱線  日本ではホワイトハッカーという名称が使われている  ホワイト？ハッカーなのに？ ブラックとは言わないけどホワイトじゃない感 ※良くてグレー  犯罪行為に与しない倫理/規範的行動ができる人？ ※倫理的＝Ethical

     最近、Ethical Hackerという名称が浸透中 ※良い日本語訳がない状況 （倫理的/規範的ハッカーのハッカーじゃない感） 11/10/2018 15

16. Conclusion  世の中の流れはEthics (Responsible Disclosure) を無視した対応は批判に晒される状況  産学関係なく研究者(論文執筆者)は「Ethicsの視点」と 「Responsible Disclosureの必要性」を常に意識

    ※サイバーセキュリティに対応可能な研究倫理委員会(IRB)が 殆ど存在しないという絶望的状況が研究者を苦しめる  個人と産業界の戦い  実績公開したい個人とコントロール(Coordinated Disclosure) したいベンダーの利害不一致 ※Bug Boundary制度ができるベンダーは一握り  サイバー攻撃が複雑化(脆弱性非依存の手法増加)  法的リスクも複雑化 11/10/2018 16

17. 参考文献(取り上げた内容のみ)  The Belmont Report: Ethical Principles and Guidelines for

    the Protection of Human Subjects of Research  https://www.hhs.gov/ohrp/sites/default/files/the-belmont-report-508c_FINAL.pdf  The Menlo Report: Ethical Principles Guiding Information and Communication Technology Research  https://www.dhs.gov/sites/default/files/publications/CSD-MenloPrinciplesCORE-20120803_1.pdf  SCIS2017 2017年暗号と情報セキュリティシンポジウム MWS企画セッション : 研究活動とResponsible disclosure  秋山 満昭 (NTTセキュアプラットフォーム研究所)「研究倫理に関して我々の置かれている状況」 http://www.iwsec.org/mws/2016/pdf/4E2-2.pdf  SCIS2018 2018年暗号と情報セキュリティシンポジウム MWS企画セッション  秋山 満昭(NTTセキュアプラットフォーム研究所), 吉岡 克成(横浜国立大学) 「先進的研究における研究倫理～我々の現状とこれから～」 http://www.iwsec.org/mws/2017/20180125/3F2-2.pdf  鵜飼 裕司(FFRI)「カンファレンス主催側からみた研究倫理」 http://www.iwsec.org/mws/2017/20180125/3F2-3.pdf 11/10/2018 17

18. Sense of crisis Gap (= Gray zone) between legal and

    illegal gaps vary by country and region Besides Japan Japan Low level of understanding of state power Atrophy due to unjust arrest or false arrest 11/10/2018 18 White Black Gray White Black Gray

19. DISCUSSION 11/10/2018 19

20. Today’s second TOPIC

21. Intelligence

22. What’s Intelligence?  研究社 新英和中辞典より  不可算名詞 — a 知能，理解力，思考力.

    — b 知性，聡(そう)明，(すぐれた)知恵.  Usage Example  Artificial intelligence … AI、人工知能  Human intelligence … HUMINT、人間を介した諜報活動  Open Source Intelligence … OSINT、公開情報を前提とした情報収集  Signal Intelligence … SIGINT、電話などのNWやセンサー情報を傍受する諜報活動 11/10/2018 22

23. What’s Intelligence?  研究社 新英和中辞典より  不可算名詞 — a 知能，理解力，思考力.

    — b 知性，聡(そう)明，(すぐれた)知恵.  Usage Example  Artificial intelligence … AI、人工知能  Human intelligence … HUMINT、人間を介した諜報活動  Open Source Intelligence … OSINT、公開情報を前提とした情報収集  Signal Intelligence … SIGINT、電話などのNWやセンサー情報を傍受する諜報活動 11/10/2018 23 Target of Topic

24. By the way Critical Infrastructure and OT related information security

    topics are increasing recently How do you read and interpret the news? 11/10/2018 24

25. News on power outages in Ukraine  2年連続で年末に起きた「ウクライナの停電」が意味するもの｜WIRED.jp https://wired.jp/2017/01/14/hacking-ukraine-power/ 

    ウクライナのサイバー攻撃が示す本当の脅威 https://blogs.mcafee.jp/post-748a  さらに強力になったトロイの木馬BlackEnergy ～ウクライナの電力システムへのサイバー攻撃の 裏側～ https://blogs.mcafee.jp/blackenergy-cb6d  それは「ウクライナを標的としたロシア発の攻撃」なのか？ - THE ZERO/ONE https://the01.jp/p0005386/  TeleBots are back: supply-chain attacks against Ukraine https://www.welivesecurity.com/2017/06/30/telebots-back-supply-chain-attacks-against-ukraine/  Petya: “I Want To Believe” | News from the Lab https://labsblog.f-secure.com/2017/06/29/petya-i-want-to-believe/  産業制御システムに最大級の脅威をもたらすマルウェア「インダストロイヤー」 https://eset-info.canon-its.jp/malware_info/trend/detail/170620.html  New TeleBots backdoor links Industroyer to NotPetya for first time https://www.welivesecurity.com/2018/10/11/new-telebots-backdoor-linking-industroyer-notpetya/ 11/10/2018 25

26. 11/10/2018 26

27. Other news “Saudi Arabia plant accident” etc  Attackers Deploy

    New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure | FireEye Inc https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework- triton.html  産業プラントを狙ったマルウェアの脅威、その手口が明らかに──迫り来る「インフラ危機」の実態 https://wired.jp/2018/02/22/triton-malware/  Russia Linked to Triton Industrial Control Malware | WIRED https://www.wired.com/story/triton-malware-russia-industrial-controls/  One Year After Triton: Building Ongoing, Industry-Wide Cyber Resilience - https://blog.schneider-electric.com/cyber-security/2018/08/07/one-year-after-triton-building-ongoing- industry-wide-cyber-resilience/  Triton Malware Spearheads Latest Generation of Attacks on Industrial Systems https://securingtomorrow.mcafee.com/mcafee-labs/triton-malware-spearheads-latest-generation-of- attacks-on-industrial-systems/  The Top 20 Cyber Attacks Against Industrial Control Systems https://ics-cert.us-cert.gov/sites/default/files/ICSJWG-Archive/QNL_DEC_17/Waterfall_top-20-attacks- article-d2%20-%20Article_S508NC.pdf etc. ※TRITON Schneider Electronic社製Triconex Safety Instrumented System (SIS、安全計装システム) controllersを標的 としたマルウェアあるいは一連の攻撃キャンペーン 11/10/2018 27

28. 11/10/2018 28

29. Question ウクライナの停電事故はそんなに騒ぐこと？ ウクライナへの攻撃の首謀者は？ サウジアラビアを攻撃するロシアのメリットは？ 周辺諸国は攻撃を受けていないの？ 11/10/2018 29

30. 参考情報？ 11/10/2018 30

31. ウクライナの送電網 11/10/2018 31

32. 11/10/2018 32 Ukraine

33. 11/10/2018 33 Ukraine Russia China Iraq Iran Saudi Arabia Japan

    USA EU

34. Question ウクライナの停電事故はそんなに騒ぐこと？ ウクライナへの攻撃の首謀者は？ サウジアラビアを攻撃するロシアのメリットは？ 周辺諸国は攻撃を受けていないの？ 11/10/2018 34

35. Don’t mean to understand Won’t stop thinking 発信された情報にはバイアスが含まれる 文化的・宗教的な要素 ナショナリズム的な要素

    マーケティングツールの要素 喧嘩したくない相手には噛みつかない フラストレーションの捌け口としての声明 真実は常に闇の中 探り続けることが重要 11/10/2018 35

36. DISCUSSION 11/10/2018 36