DuquがGPLのコードを使用していた 36
ストーリー by headless
判明 部門より
判明 部門より
taraiok 曰く、
セキュリティー企業 CrySyS Labがマルウェア「Stuxnet」「Duqu」「Flame(Flamer)」で使われているオープンソースモジュールのライセンスを調査したところ、DuquにGPLのコードが含まれていることが判明したという(CrySyS Blogの記事、 本家/.)。
Duquでは圧縮アルゴリズム「LZO」の改変版が使われているが、LZOはGPLで配布されている。そのため、CrySyS Labのブログ記事では冗談半分でソースコードを送るようにDuquの作者に求めている。一方、Flameは「PuTTY」(MIT License)や「libbz2」(BSD-style license)など複数のオープンソースモジュールを使用しているが、GPLのコードは含まれていないようだ。Stuxnetに関しては記載がない。
これらのマルウェアについては国家の関与が疑われていることから、本家/.記事では著作権侵害に関する訴状がSFLCから米国政府に送られる可能性を指摘している。
こういう場合って (スコア:2)
ソースコードを広く公開し自由な改変を許すことが望ましくないプログラムの場合でも、
GPLではソースコードを公開すべきなのだろうか?
公開不要だとすると「犯罪に転用可能なプログラムとして作れば、GPLでも公開不要」っていう認識になっちまうし…
まあ、実際的にはなんらかの問題が生じたなら、他の効力ある法令で公開禁止することはできるんだろうが。
#さらに「善を為せ」条項が付随するLGPLライセンスでは善を為さなかった場合にどうなるんだろう、とか、考えたキリがないな
Re: (スコア:0)
ソースコードを公開することが望ましくない(公開してはならない)理由としては、
「犯罪に転用可能」以外にも「まぜた相手がプロプライエタリなソースコードだから」というのもある。
むしろ、そういうケースの方が多いですよね。
その場合に準じて考えればいいんじゃない?
そもそも、ライセンスを守れないような行為は、しちゃいけない。
ライセンスを守らなかった場合、使用権が消滅するということで。
Re: (スコア:0)
そもそも、犯罪に転用不可能なプログラムを作ることは可能なのでしょうか。
Re:こういう場合って (スコア:1)
vyama 「バグ取れワンワン」
Re: (スコア:0)
どんなビットも、犯罪に転用可能です。
Re: (スコア:0)
> #さらに「善を為せ」条項が付随するLGPLライセンス
GGPL [osdn.jp]のこと?
Re: (スコア:0)
だからBSDライセンスのを使えとあれほど(ry
Re: (スコア:0)
なるほど、BSDのマスコットは、「BSDは犯罪にも使ってもいいですよ」ということを示唆しているわけだ。
Re:こういう場合って (スコア:2)
Re: (スコア:0)
> #さらに「善を為せ」条項が付随するLGPLライセンスでは善を為さなかった場合にどうなるんだろう
それ以前に、「善」っていったい何のこと?「善」の基準は?という問題のため、ライセンスとして全く無意味ですね。
そんなトンデモな内容のライセンスをそもそもFSFが作るわけがなくて、すでに指摘されているように、
おそらくGGPLと混同しているのでしょう。
# というか、仮に知らなかったとしても、こんなトンデモな内容のライセンスをFSFが作るわけがないのに、
# なにかおかしい、と気付くでしょうに。
マルウェアそのものが犯罪ではない? (スコア:0)
ライセンス違反は違法行為(著作権法違反)ですが、
それ以前に、マルウェアそのものが、そもそも犯罪では?
殺人犯に、「おまえのその包丁、盗んだものだろ」といって、
殺人よりも窃盗について追及するようなもの?
Re: (スコア:0)
マルウェアが犯罪かどうかの国際的な条約ってもうあるんですかね。不勉強なのでそこまでは存じませんが。
著作権に関しては、昔から様々な条約があって批准国も多いと思います。単に著作権法違反ではなく、条約違反が問われる可能性があるでしょう。
Re: (スコア:0)
別件逮捕という言葉があるような…
Re: (スコア:0)
日本でも、今のDuquのような段階で罪に問えないんじゃないかな?
作った人を特定して、その人が破壊動作を意図しているところまで示せないと。
マルウェアそのものを犯罪とするのは、線引きが難しく、世界中どこでも難題だと思うけど、どうだろう。
Re: (スコア:0)
日本って複数の犯罪していた場合には、合計の懲役にならないんですよね
アメリカなら懲役500年とかになるんですが
Re:マルウェアそのものが犯罪ではない? (スコア:1)
Re:マルウェアそのものが犯罪ではない? (スコア:1)
つまり死刑は2回までで、3回はないって事か。
Re:マルウェアそのものが犯罪ではない? (スコア:1)
Re: (スコア:0)
蘇生できるような死刑って、死刑と言えるのだろうか。
刑罰としての意味をなさないような。
Re:マルウェアそのものが犯罪ではない? (スコア:1)
おぉぉ…。マジレス… (;・∀・)
法律については全くの門外漢ですけど、この機会なので(安直ですが) Wikipedia で 「刑罰 [wikipedia.org]」 の項目調べてみましたら、刑罰にはいくつか複数の意味があるらしいですね。
素人がこれだけ読んで、文面が表す意味を本当に理解できているかどうかは疑問ですけど、少なくとも 「3. 被害者及び社会の感情修復(応報)」 の意味は果たせそぉ… とか思いました。残任な殺し方をした犯人とか、とても多くの人を殺した犯人には「あいつは何回でも殺してやりたい」 とか思う被害者遺族は少なからずいると思いますんで…。
個人的には、何人も殺したような人の場合だと、殺した人の数だけ死刑に合うっていうのも悪くないきもします。一人を殺した犯人が自暴自棄になって「一人殺せば後は何人でも同じだ…」 とかなって、手当たり次第にどんどん殺して歩く…とかいうのも、もしかしたら防げるんじゃないかな… とか。その意味では、1. とか 2. の意味にもなるかなぁ~とか。 (*゚∀゚)
Re: (スコア:0)
http://ja.wikipedia.org/wiki/%E7%9F%B3%E9%90%B5%E7%9C%8C%E6%AD%BB%E5%8... [wikipedia.org]
Re: (スコア:0)
>2回までは蘇生するって分かってる
「蘇生させる」って、死刑囚当人にとってはつまるところ、ただの約束だろ。
例え何千人の先例があろうと、怖いだろうな。
Re: (スコア:0)
でも、死刑囚から見て、何度も死刑になるのって、いやかなあ?
死刑の執行方法によるだろうけど。
苦しんで死ぬやつは、何度も経験するのは、いやだよね。
でも、死ぬまでの苦しさよりも、死ぬことそのものへの恐怖のほうが大きいんじゃないかな。
そうすると、たとえば「死刑3回」という判決をもらったとして、2回までは蘇生するって
分かってるわけだから、苦しい思いはするけどそれほど怖くはないのでは。
3回目は本当に死ぬからこわいけど。
ということは、「死刑3回」は、死刑囚から見れば、死刑1回プラス、苦しい思いを2回するだけ、
ということになるので、抑止力としてはあまり有効ではないかもしれない。
Re: (スコア:0)
そこで、囚人のパラドックスですよ。
3回のうち、どれかは蘇生不可能。
Re: (スコア:0)
ただまあ、死刑囚を蘇生できる環境なら殺害された被害者も蘇生できる可能性もあるんで、その場合殺人の位置付け自体が今とは違っているかもしれませんね。
Re:マルウェアそのものが犯罪ではない? (スコア:1)
おぉぉ…。またまた、マジレス… (;・∀・)
被害者が健康な状態に蘇生するなら、それに越したことはありませんよね。 被害者だけでなく、加害者の方も容疑が 殺人罪 ではなく 殺人未遂罪 にとどまりますよね。そうすれば、日本だったら、死刑判決が下ることはありませんし…。(外国では未遂罪でも死刑になるかもしれませんけど…。)
ただ、殺し方にもよるかもしれませんけど、蘇生できるのってかなり幸運なことかもしれませんよね。殺した直後とか殺している最中に誰か目撃者に発見されて、間髪入れずに適切な処置ができる医療器具がそろった病院で医者に診てもらないと…でしょぉから。
殺人事件で、そういう好条件が揃うことってマズないと思うんですけど、思いつくところでは 「[[秋葉原通り魔事件]]」 がありますね。人通りの多い町中で昼間に起きた事件でしたから。それだけの好条件がそろった事件でも、10人は助かったものの7人は死んでしまったようです。10人の被害者と7人の被害者の遺族は、少なくとも10人分の苦しみと7人分の死刑を求めたい気持ちだったかもしれません…(勝手な想像ですけど)。 (´・ω・`)
Re:マルウェアそのものが犯罪ではない? (スコア:1)
Re: (スコア:0)
併合罪は一番重い有期刑の1.5倍じゃないですか?
無期刑、死刑には併科はないですね。
Re:マルウェアそのものが犯罪ではない? (スコア:1)
Re: (スコア:0)
じゃあ最高刑は、死刑1回+半殺し1回だな。
Re: (スコア:0)
盗んだコードで走りだす、Duquの夜
ああ (スコア:0)
LZO使い勝手いいんだよね
アルマゲドン (スコア:0)
政府は著作権も特許も守る必要はないのだ
Re: (スコア:0)
GPLライセンスを契約しておりGPLでは国家は例外とされていません。
作者は未確定じゃなかった? (スコア:0)
>米国政府に送られる可能性
Stuxnetは米・イスラエルのってNYTimes他に出たけど、Duqu(やFlame)は未確定じゃなかったっけ?
# Stuxnetの件、日本ではほとんど報じられてないよね。google newsで検索 [google.co.jp]する限りでは。
Re:作者は未確定じゃなかった? (スコア:1)
訴状っていうのは裁判を起こすときに「原告が裁判所に提出する」書面ですよね。
だからこの場合は「犯人は分からない(容疑者未定)けど我々は権利侵害を受けたので政府は犯人を捜せ」っていうリクエストをするという意味なのでは。