# セキュリティ・キャンプ全体講義メモ ## 目次 - [k-1](#k-1) 10行目 - [k-2](#k-2-心理学の視点からセキュリティを考えてみよう) 180行目 - [k-3](#k-3-セキュリティ情報を世の中に伝えていくと何が起きるか) - [k-4](#k-4-ハッカーの倫理-法律の基礎-) # k-1 ## セキュリティの未解決課題 人間の弱さ+システムの弱さを利用するフィッシング - 現在も被害が絶えない 完成度が高いビジネスモデル・ランサムウェア - 身代金のやり取りが匿名性守られるように - 非常にやっかい 使う人間が手口を勉強したり恐れて勉強しないといけないと言われている - 根本的な解決には至らない 無くならない脆弱性 - ソフトウェアにはバグ，欠陥が - 「人間だから仕方ないんですよ」 - 無くす手段ないの？ セキュリティには「はっきりした課題」がある - 自由な発想で行うイメージはあるけど… - アイデアという自由さ -> 斬新さ - セキュリティに馴染むのか？？ 「まさかうちは狙われ無いだろう」を狙う - 「まさかうちは」/「狙われても盗られるモンないし」をどうにかする必要が - 金額で提示 - 「どうなるか」を見せるとちょっと危機感を与えれる - 会社にはいろんな人がいるが、そのうち(セキュリティ意識の低い)一人に攻撃ができれば、会社全体に攻撃ができてしまう - 従業員を鍛えれば？ - 99．9％の人が真面目でも1人がだめだったら... - 最後の一人をどうにか - ミスもある． - 全員のレベル向上が重要 - 「全員は無理だよ...」という会社から狙う - 社員と経営者の意識の差が - 自分の会社だという意識がないかも - 経営者と同じ目線なんて無理... - もらうもんもらってないぞー ## アイデアの生い立ち - 異質なものを組み合わせる - セキュリティカレー - 具はなんでもいい - カレーはインフラ...？ - 「なんだこれ」感が良い - 異質な突拍子もない組み合わせから、新たなタネが生まれる。 - 刑事のカンの勘所 x コンタクトレンズ - アニメ「サイコパス」「攻殻機動隊」 - 演繹法と帰納法 - 妄想は演繹法 - いろんなものを組み合わせるのは帰納法 - アイデアを貯める - 一日に一回〇〇したときにアイデアを出す - パブロフの犬状態 - メモ帳 - ポストイット - 机に広げる - 重ねたら見ない，貼ったら忘れる - 手帳 - ツェッテルカステンメモ - 「パっとおもったらペンを持っている」 - 自分にあったメモ帳を持つ - ノーベル賞持っている人は広げている - 部屋が散らかってる方がクリエイティブ - 積読もある種のメモ - タイトルと概要を覚えている - 正当化…? - 目に入ってることが大事 - 生活の中にアイデアを出すスイッチを設置する。 多様な組み合わせがアイディアとして成長させる ## 生成プロセスに無理やり条件を入れる - 突拍子もないワードによる刺激 - 異質さ - e.g. マルウェア対策→10歳でもできる手動マルウェア対策 - 無理な条件を無理やり入れるとブレイクスルーが起きる - 色付きエディタでの目grep - 戦い - コンピュータの戦いをテニスに置き換えると分かりやすいとか， - 対戦する前にナニするか - 相手の弱点を見る - 試しに弱点を攻撃 - 戦略 - ここ打って→ここ打って→こうすると倒せる - ハッカーも同じ！ - A案，B案，C案，... - スポーツの試合に置き換える - 野球とか... - ピッチャはーバッターをどうやって騙すのか？？ - 将棋などにもある，戦略の組み合わせのカンは，AIよりも人間の方が良いと思ってる - [AlphaGo Zero](https://ja.wikipedia.org/wiki/AlphaGo_Zero) - 棋譜を教えずに，ルールと勝利条件のみを教えれば，自己学習で最強に - こっわ(感想) - 攻撃されたパターンをDBにできれば... ## 組み合わせの異質さの距離が遠いほどユニークになる - 異質さの距離を保つには - かれー的なもので，現実劇なソリューションに近づけつつ，誰も考えたことがない組み合わせ - ネットの情報収集では，レコメンド(好きなもののみでてくる)される - 異質さを保てない - 興味なさそうなことでも，持ってこれるために，貯めておく - 多様さをキープするには - ヒップホップダンス - 自由 - 他の人と同じことをしない - 「型から入る」先の先に行くには - 自分の中で化学反応を起こすには？ - 「度胸」 - 飛び込んでみるのが大事。 - 意図してやる - 忍者に学ぶセキュリティ ## 情報の強制入力 - レコメンドされたものは好きなもの - 深掘りするけど，広がらない - 意味が無い - 五感=センサー - 耳とか鼻とか、いろんなものを使って情報を受け取る - 目ばっかり使ってる - セキュリティと味覚　とか - このファイル苦いぞ？？ - 可視化の亜種かな - 味覚が発達した人に取ってはいいフィルタ - こいつは臭い！とか - 相性が良い相手との雑談の化学反応 - 機会を作っていった方がいい - 会議はブレストに沿ったものなので，発散しにくい - ブレストというのは，持ち寄ったものをぶつけて組み合わせて，発送しあう場 ## セキュリティの未解決課題(上記again) - 意識の問題 - 社内をハッキングして賞金かける(社内コンテスト) - 被害を受けるより安い - 「コンピュータハッキングしたら単位やる」 - ランサムウェアなどは難しいものや大規模が必要 - Ransomware as a Service - 量子コンミュータからの攻撃をどうするか？ - サイドローディング - Google, Apple 以外からのダウンロードを政府が許可したとき ## Q&A - 文字ではなく絵を書いておく - ideaはビジョン，落書き - ideaはカレンダーに書いて見直す - アイデアを表現して見せるのが大事。 - Spotify，NFT，で実験してWeb3.0を理解！ - 散歩・体動かすのいいよ！ - シャワーで身体を洗うというルーティン(意識がフラットに) - リフレッシュ - メモして見えるところに置いておけばきっと役に立つ。 - 閃く！→ググる！探究心 - 先行研究そのものではなく，閃いた分野について調べて，知識を入れる - 先行研究調べても心病むだけなのでいいことない - 研究論文とするときは流石に調べる... - 普段から関心を持って，呼んでいるものについて閃く - パソコンメモか手書きスケッチブックか - 手書きの方は先頭脳(?前頭葉ですかね?，多分それだ)が跳ね上がった - 古い特定キーボードを使った時hが，良かったとか - 現代哲学とは - 金儲けを捨てると，縛りがなくなる - 金を考えるとスケールが小さくなる - 感情に訴えかけるものを考える方が面白いものが思い浮かぶ - アプリカレンダと紙のカレンダ - 紙カレンダだと，あと半分とか気づく - 日本地図とかも良い # k-2 心理学の視点からセキュリティを考えてみよう - はじめに - IPA「情報セキュリティ10大脅威 2022」 - 悪意の無い過失・エラー - 誤操作，知識や経験の不足 - 使いにくい設計 - 誤りを誘発してしまう（使いにくい設計） - [CWE-655: Insufficient Psychological Acceptability](https://cwe.mitre.org/data/definitions/655.html)とか近そう - 心身の不調や時間的制約 - 寝不足とか緊急事態 - 悪意のない不安全行動 - ポリシー違反 - 手続きがメンドイ - パスワードの使いまわし - 悪意のある不正行為 - 不正操作 - 不正持出し - 誹謗中傷 - 人の脅威に関連する要因に対し、従来のセキュリティ対策に加え、人の行動特性を応用・支援 - ユーザブルセキュリティ・ナッジ - 心理学 - 人の心と行動を科学的な手法で研究する学問 - 19世紀精神分析(フロイト:夢判断 ユング:深層心理学) - 20世紀初め 行動主義心理学(パブロフ:条件付け) - パブロフの犬（前回のアイデアの講義で聞いたやつ！） - 20世紀半ば 認知心理学 - 情報処理の考え方で人の認知活動を研究する - 主な研究手法 - 実験法 - 調査法 - 検査法 - 面接法 - 観察法 - 実験例：セキュリティ教育は不審な添付ファイルの開封者を減らす？ - カイ2乗検定を用いた分析 - 教育アリは，教育なしよりも不審な添付ファイルの開封者数が有意に少なかった - セキュリティ教育の効果があった - 攻撃者による誘導 - 攻撃者はなぜ人を狙うのか？ - ソーシャルエンジニアリングは，技術的なハッキングよりも簡単で，捕まるリスクも低い - セキュリティにおける真の問題は人間 - [Elicitation Techniques (pdf)](https://www.fbi.gov/file-repository/elicitation-brochure.pdf) (FBI, 2012) - Defcon 2012 CTF，FBI - なぜ人は攻撃者の誘導に従うのか？ - 態度→行動 - 態度．．．行動への準備状態としても物事に対する考え方や姿勢 - 感情的成分，認知的成分，行動的成分 - 外的な力で態度を変化「態度変容」 - 学習と説得 - 説得とは，理性や感情に働きかけ，自発性を尊重しながら送り主の意図する方向に意見，態度，行動を変化させる - 「連合命題評価モデル」(APEモデル) - 説得「メール見て！」 - 学習「前に見たな...」→「訓練でみたな...」と学習させる - 汎用的なモデル - 説得による態度変容「精緻化見込みモデル」(ELM) - 説得に特化して古典モデル - 心理学は「ですよね～」という考えに学術的理由を定めるもの - 処理の性質＝説得力が在る - 周辺的な手がかり＝信頼できる - セキュリティにおける人の課題 - 攻撃者の誘導 - 期待効用理論 - 数学的に期待値を計算して意思決定や判断を行う - 限定合理性 - 限られた認知的能力と時間の範囲内で有効な意思決定や判断を行っている - 期待効用理論から変化 - 意思決定の元 - 合理的な判断(知識) - 非合理的な判断(感情) - 集団における規範(ルール) - 非合理的な判断 - ヒューリスティック・システマティックモデル(HSM) - 直感的思考，分析的思考 - ヒューリスティック・バイアスの例 - 利用可能性ヒューリスティック - ある事象が出現する頻度や確率が、思い出しやすさ(最近の事例など)に影響される - 正常化バイアス - 異常や非常事態が起こっても許容範囲内としてしまう - フレーミング効果 - 同じ意味なのに提示の仕方を変えるだけで判断や選択が導かれやすくなる - トイレは綺麗に！→いつも綺麗に使って頂き～～～ - cf. [Social Engineeringにおけるフレーミング効果の利用](https://www.social-engineer.org/framework/influencing-others/framing/#:~:text=Framing%20in%20Social%20Engineering) - プロスペクト理論 - 不確実な状況で意思決定をする際、確率を歪めて不合理な判断をする - 損失回避性: 人は損失を回避しようとする - 100%で100万もらえる or 50％で200万もらえる -> 前者を好む - 200万の借金が100%で-100万 or 200万の借金が50％で全額棒引き -> 後者を好む - セキュリティでは - 100％で対策費用が100万 or 1％で被害額2億円 -> 後者を好む(期待値が大きくなる) - サイバー攻撃に遭わない確率99%に賭け，投資や対策をしない - ゴール・システム仮説 (2012) - 対策を後回しにする - セキュリティ対策が、他の手段・行動と「競合」する - セキュリティ対策自体は，組織の目標と関連が弱いため，後回しにサれる - まとめ - 人の認知と敵能力と使える時間には限りがある(限定合理性) - 人はときに非合理的な判断をする - 攻撃者は非合理的な判断をするように誘導 - ユーザブルセキュリティ (2020) - 定義 - それ自身が高いユーザビリティ(効果効率満足)を持っているセキュリティ技術やプロセス - ユーザの認識や行動得意性を把握・応用することで，高いユーザブルセキュリティを実現する - セキュリティ↑vsユーザビリティ ...トレードオフ - (ユーザビリティを高める)ことでセキュリティ vs ユーザビリティ ...便利に - 事例1 - パスワードの定義期限の有効性 - 期限切れのPWの代わりに選択したPWから人の変k難パスワードを分類し，設計したフレームワークで有効性を評価 - 定期変更の有効性はひくく，ひとは特定の変換パターンを繰り返す - 47%は過去のパスから敗れた - 2017年からNIST SP800-63Bで「定期変更を推奨しない」ことを明記 - 事例2 - エーラメッセージによるプライバシー脅威 - パスワードが違います，そのIDが存在しません．というエラーを表示 - メアドのユーザはこのサービスを利用していることが分かってしまう． - 転職サービスとかだと困る(プライバシー侵害なので真似しないようにしましょう) - ID/PWのいずれかを誤っても同じエラーメッセージを表示 - ユーザビリティは低下 - センシティブなサービスのみに実行する - セキュリティvsプライバシーのどちらを優先するか - 事例3 [The Impact of Information Sources on Code Security.pdf, 2016](https://usp.internet.byu.edu/static/papers/code-security-sp-2016.pdf) - 開発者のユーザビリティ - セキュリティとプライバシーに関連するコードを記述 1. 参照するリソースは自由 2. Sltack overflowのみ 3. Android公式のみ 4. 提供書籍のみ - 2は3，4，よりも安全なコードの生成量が少なかった - 使いやすいが安全性が低い - 3は2より機能的にあコード作成できなかった - 公式ドキュメントは安全だが使いにくい - ナッジ(Nudge) - 定義 - 選択を禁じることも経済的なインセンティブを大きく変えることもなく，人々の行動を予測可能な形で変える選択的アーキテクチャ - ダイエットしたほうが良い「理想」→しない「現実」のギャップ - 意識的な行動変異，無意識的な行動変異(大竹，2019) - 投票型灰皿 - 吸い殻のポイ捨てが減少 - コロナのレジにある足跡マーク - 自発的にソーシャルディスタンス - ナッジの目的 - 公共選択の推進(Sunstein,2017) - システムやInterfaceの設計の改善を通じて，人の持つバイアスを軽減または利用することで意思決定の複雑さを克服し，ユーザが管理しやすく理解しやすいといった有益な結果を導く - 種類 (Carabanほか 2019;2020) - 促進 - デフォルトオプションー:望ましい選択を初期設定しておく - オプトアウトポリシー: - ポジショニング:望ましい選択肢が選ばれるよう配置と色 - 隠蔽: 退会しづらくする - 代替え案 - 対立 - 時間的なバッファ，無意識な行動を停止し，反転させる - 結果の再認識，Facebookの子供投稿，「ほんとに投稿する？」 - - 社会的な影響 - 互恵的な感情の換気 - 公のコミットメント - 評価(強化？) - 適切なタイミング - サブリミナル．・プライミング - 促進のオプトアウトポリシーと強化のサブリミナルは倫理的な問題があるかも， - 認知されにくい - 事例1 - IEのDo not track - 事例2 - 安全なWifi -安全緑，安全でない赤 - 最も安全はトップ - 色は国によって意味が変わる - 事例3 - SNS投稿時の再検討 - 投稿後10secのバッファ - 負担なく意図しいない開示 - 事例4 - PW変更後に設定確認を要求 - セキュリティアドバイスを受け入れやすくなる - 指示されないナッジ(Sunstein,2020) - 倫理！！！ - ナッジの権利章典 - 最後 - 従来のセキュリティ対策＋人の行動特性を応用支援 - 人が使いやすいシステム開発，順守しやすいセキュリティ対策 ## Q&A - フィッシングメールの開封教育の持続性について - どれぐらい持続するのか? - "ある程度" - 詳しい数字は分かっていない - 半年～1年(先生の主観) - あまりやりすぎるとなれる - Social Engineeringはなぜ捕まりにくいのか? - コメント: そうなの?? - Re: 見つかってないのもありそう - 昔はIPアドレス(Torもなかった) - 人は特徴的な変装でごまかせる - 制服を着ていると制服で覚える - コメント: む，変装するから顔がバレないという話? - RE: ↑コメントかな - RE: 私服で休日に友達を会うと違和感あるのと似てるかも．これが他人だったらばれんやろうなあ - 変装するときにハロー効果っぽいの使えそう - そういえば，東京五輪の制服がオンラインで売られていて話題になっていた気がする - TAや技術職員の方々は～～～先生，って呼ばれるのをよく見かける - ナッジは使い方を気をつけるべし - 設計段階でどのようにユーザに働きかけるか考える時にフレームワーク以外に - 海外でも手探り - デジタルナッジのTipsが英論文である - 心理学の実験の倫理 - 実験例の教育 - ギブリーティング - 本来の手指は何だったのかの種明かしが必要 - 「やっぱり参加しません」という意思を尊重 - 種明かししづらい - ジレンマ - 必ず最後に言う事で，解決 - 最初にばらさなくても良い - データを削除したい人は削除する - 個人の特定できるデータで管理が重要 - ↑:講師より指摘:正しくは、「個人を特定できないように、ナンバリング等の匿名化をしてデータを管理することが重要」 - 感想も聞く． - 学校向けにセキュリティ指導やってますか・若年層宛 - モラル - FakeNewsとか - 教科書も変化している - コメント: 最近のセキュリティ教育すごそう - 心理学やセキュリティの悪用 - 攻撃メカニズムがわかる - ジレンマ - 心理学はもともと人を助ける精神 - 悪用するという意識では研究できない - FBIやMI6では修練されたもの - ナッジ - 人の知識に依存しない - 活用して振込詐欺を防ぐ - 教育効果がない - セキュリティ心理学の正確占いは創作？ - 創作かそれに近い - 経験則は反映 - 根拠は全く科学的でないことも - 心理学の再現性 - 可能性としてはあり得る - 心理学はその時に生きている人の心理 - インターフェースデザインの心理学 ## 講師の方からのコメント > 講義メモを参加者で共有していて良いですね！ > > 1点、「個人の特定できるデータで管理が重要」ではなく、正しくは「個人を特定できないように、ナンバリング等の匿名化をしてデータを管理することが重要」です。わかりにくい話し方をしてたら申し訳ないです。 > > それから、zoomのコメントで何人かの方が「実験参加者の人権を尊重する」話に触れていましたね。昨日の講義内で言い忘れたのですが、心理学では10年前頃から「被験者(subjects)」ではなく、「実験参加者(reseach participants)」という用語を使用するのがマナーとなっています。被験者という用語は、実験する側とされる側が対等ではないという誤解を招く恐れがあり、非人間的と学術界で判断されることがあるからです。人権の尊重って本当に大事ですね！ # k-3 セキュリティ情報を世の中に伝えていくと何が起きるか ~~セキュリティ情報を適切に伝えよう~~ - ここに書いてあったらしい https://blog.nflabs.jp/entry/sd-cti-writeup1 - [パソコン遠隔操作事件](https://w.wiki/3QBt) - 「正しく表記することが、正しく伝わることになるとは限らない」 - 世の中の理解が進むことによって、適切な言葉も変化する - トロイの木馬と正確に書いても、普通の人には伝わらない。理解を妨げていた -> ウイルスと書く - メディアを読む人を細分化して、適切な言葉を選ぶ - 読む人がしっかり認識できるのであれば、正確な言葉を用いるべき。 - 注意喚起が伝わらないと嘆く前に、伝え方を工夫する ### 文章を書くときの Tips - インプット、アップデートと更新を継続していく - 一晩寝かせてから見直したり、他の人にレビューしてもらう - 夜中に書いてそのまま公開するのはやめよう... - 事実に基づく事柄を書く - 事実と自分の考えを分ける - PoCの評価とかも客観的に - 自分と異なる意見やフィードバックを真摯に受け止めつつ、気に病みすぎない - 他人に見てもらう - 相手を攻撃するために、正しい情報を武器にしている傾向がある。 - 相手を論破する - どういった文脈で使われているのかをみる必要がある。 - 7,5調で書く。１段落３文で書く。音読をする。 # k-4-ハッカーの倫理-法律の基礎- ## はじめに - SNSへの投稿・録画・録音禁止 - 話される内容は講師の個人的見解であり、所属組織の公式見解ではない ## 自己紹介 - 検事さんの経歴紹介 - 刑事事件について検査 - 裁判所に起訴(不起訴) - 警察と検察はやってることが全く違う - 1文字違いだが... ## 法律・刑事法の基本的な考え方 - 法律家の視点から見た倫理とは - ≒責任 - 道義的責任(同義)，社会的責任(首とか)，法的責任(法律) - 日本の法体系 - 憲法 - 民事法(行政法) - 条例(政令) - 主な法分野 - 民事法：民事訴訟法 - KDDIとの契約に関する事，200円 - 行政法：民事訴訟法+行政事件訴訟法 - 行政上の責任を問う - 行政指導 - 刑事法：刑事訴訟法 - 警察・検察が関係してくる - 刑罰 - 一般的な法規の構造 - 要件（条件）と効果 - 要件1+要件2+要件3=>法律上の効果 - それぞれの要件について事実から判断(証拠) - ex. 殺人罪（刑法199条） - 「人を」「故意に」「殺した」→刑罰権発生 - 各要件を証拠から裏付ける - 罪刑法定主義：刑事法の大原則 - 刑罰は国家が国民に課せる最も厳しい制裁 - 必要があれば改正できるように，民主主義的保障がある法律で定める - 条例も民主主義的保障があり、法律の範囲内で刑罰を定めることができる - 法律上の「犯罪」とは何か - 予め法律（＝「犯罪」のカタログ）で「犯罪」として規定されている行為 - これに載っていない場合は犯罪ではないので、処罰されない - 何をしてよいか，いけないかがわかる． - 行動の自由を保証 - 犯罪としての定義をなくせば，犯罪は0になる - 犯罪についてもう少し専門的に - 犯罪＝構成要件に該当する違法かつ有責な行為 - 構成要件とは，犯罪が成立する要件 - 該当すれば，違法かつ有責な行為に - 認識・認容=故意 - 構成要件の構造 - 「実行行為→結果」という因果関係 - 構成要件に該当しても違法でないときもある - ex. 正当防衛（刑法36条1項） - 自分の身を守るために対抗する行為が暴行罪の構成要件に該当しても、暴行罪には問わない - 構成要件に該当する場合でも，「悪いことをしたのか」という観点から，身を守る手段として必要な行為であるため，罰しない事が法律で定められている - ex. 緊急避難(刑法37条1項) - 「カルネアデスの板」 - まとめ - 構成要件に該当しなければ罪とならない - 違法性阻却事由があれば罪とならない - 責任阻却事由があれば罪とならない - 犯罪を唆す，手伝う等の場合も，共犯として犯罪が成立 ## マルウェア作成等罪 - 概要 - 「ちゃんとした理由がないのに」 - 正当な行為（ex. マルウェア対策ソフト開発など)を認めるためにこう書く - 普通の一般人の目線で考えたときに，思いも寄らない挙動をしてコンピュータに悪さするプログラムを - 人のコンピュータに無断に感染させる目的 - 自分のコンピュータや承諾を得た他人はOK (ex.研究など) - 挙動を正確に理解させる必要がある - 「作成」：新たに生み出す - 「取得」:コピー ## 不正アクセス禁止法 - 不正アクセス行為とは - 家の鍵を無断で開ける - 電気回線を使ってID・Passを解除 - 違反しないために - 自分自身が適正に利用権者になること - 利用行為がアクセス管理者(第3者から承諾を得た場合)の意思を反していないか - 共犯 - 人の犯罪に関わった場合，一定の条件下で刑事責任を追う - 脆弱性や新たな攻撃を発表する場合 - 攻撃が来たときに仕返しをするのも不正アクセスになり得る ## まとめ 法律についてはセキュスペの過去問とテキストをすれば十分である． ## 議論 - Hack In The BoxのCTF競技における中国エンジニアに関する事例 ### もし脆弱性を発見したら - 脆弱性が一発で黒いのか，段階を踏んで黒いのか - 「寸止めでやめとけ」 - ある程度技術と法律を咀嚼できていないと難しい - 基本的には相手との同意 - 相手との関係性(ex. ただの利用者) - メールであってもケース・バイ・ケース - 証拠を残す - 脆弱性検査に関しても事前に同意をもらった範囲しかやらない． - 故意とは - 脆弱性の証拠や当人の知識による難しいところ - 契約時にはメールや文章があると強い ### 不正アクセスって色々あるよね - わかってしまうものをそのままにしておくことが問題 - ルータなどの初期パスなど - 一般人をどこに置くか - 殆どの人はしらない - [NOTICE｜サイバー攻撃に悪用されるおそれのあるIoT機器の調査、注意喚起を行うプロジェクト](https://notice.go.jp/) - 勝手にアクセスすること自体が認められていない - スマホのパスワードとかのパスワードが分かって開けた場合 - スマホやコンピュータ等の入るだけであれば，電気通信回線を通じていないのでセーフ - そのまま，アプリ(Amazon等)を起動し，勝手に所持者のID/Passが入っている状態でアクセスした - 故意があるか，知識はあるか，等で不正アクセス禁止法の対象 ### 不正プログラムを多くの人が閲覧できる掲示板で共有したら？ - 掲示板にもよる - ウイルス対策ソフトを開発しているような掲示板ならセーフになりそう - ダークウェブなど悪用する人が多いような掲示板はアウト - ダウンロードした人が追いかけるような掲示板ならベスト(Emailなど) - 不正プログラムを不完全な状態で配布(デバッグしないと動かないとか) - fixの難しさにもよる