訓練されていない状況への対応
(ccc.de)- 37C3でNewag列車の無効化動作を公開した3人のハッカーが刑事・民事訴訟に巻き込まれると、Chaos Computer Clubが法的対応費用の募金を開始
- 問題の列車は、競合他社・顧客の整備工場のジオ座標内に長く留まったり、未登録修理とみられる条件下で、自ら最大休止状態に入っていた
- 無効化された列車は、Newagの技術者を呼ばなければ『救出』できず、ハッカーたちは認証が必要な部品交換なしにこの動作を確認
- Newagの提訴後、38C3ではこれまで約3万ユーロがかかった法的手続きとその後の内容が公開
- 2025年1月8日時点でCCCは529件の送金により31,088.89ユーロを受け取り、超過分はCCC e.V.の定款上の目的に使われる
Newag列車のDRM公開と法的紛争
- Chaos Computer Club(CCC)は、37C3でポーランドの鉄道車両メーカーNewagの列車操作を公開した3人のハッカーを支援
- この内容は37C3発表で扱われ、CCCはこれを37C3で最も人気のあった発表の一つと見ている
- 列車は特定の条件で最大休止状態に入っていた
- 競合他社や顧客の整備工場のジオ座標内に長時間駐車された場合
- 未登録の修理を受けたように見える条件に置かれた場合
- このように無効化された列車は、Newagの技術者を呼ばなければ『救出』できなかった
- ハッカーたちは、認証が必要な列車部品の潜在的に違法な交換なしにこの動作を解明した
CCCの募金と38C3の続報発表
- Newagは公開後、ハッカーたちを刑事・民事の両面で提訴
- CCCは今回の訴訟について、このような『illegal instructions』に関する公開と今後の公開を阻止しようとする性格のものだと見ている
- ハッカーたちは38C3で法的手続きを発表し、現在までの費用は約30,000ユーロ規模
- CCCは、Chaos Computer Club e.V.の一般銀行口座に送金し、参照文言として
Lokomotiveと記載してほしいと求めている- 口座:
DE41 2001 0020 0599 0902 01 - BIC:
PBNKDEFFXXX
- 口座:
- 必要な30,000ユーロを超える寄付、実際の法的費用がより低かった場合の残額、返還された裁判費用は、Chaos Computer Club e.V.の定款上の目的に使用される
- CCC e.V.は、公式には非営利団体として認定されていない点も明記
- 続報発表は2024年12月27日金曜日にHamburgの38C3で行われ、当日午後11時からライブストリームで視聴でき、その後media.ccc.deで公開される
- 2025年1月8日更新時点で、合計529件の銀行送金により31,088.89ユーロが受領された
1件のコメント
Hacker News の意見
133.7€を寄付したし、追加の法的費用が発生するなら喜んでまた払うつもり
ほかの人たちも十分に寄付して、このスレッドで共有してくれるといい
Newag がここでやっていることは本当に胸くそが悪く、第三者の整備工場で整備した列車を「再有効化」すると称して**1編成あたり20,000€**を取ろうとしている
こんな前例を残してはいけない
以前の発表もぜひ見ることを勧める: https://media.ccc.de/v/37c3-12142-breaking_drm_in_polish_tra...
ライブ配信はこちらだった: https://streaming.media.ccc.de/38c3/eins/hls
発表は終わっていて、素晴らしかった
スケジュール: https://events.ccc.de/congress/2024/hub/en/event/we-ve-not-b...
欧州の大半は判例中心の司法制度ではないので、類似事件の過去の判決よりも法律そのもののほうが重要
製品を買ったなら、すべてのソフトウェアにアクセスして修正できるべき
どこに寄付したのか気になる
列車メーカーが、最近の多くの企業のやり口をまねているように見える
メーカーが購入後に、どんな理由であれ製品を遠隔で無効化する慣行が、さまざまな製品カテゴリで災害のように広がっている
代金を受け取って製品を引き渡した後は、メーカーにその製品の使われ方へ干渉する権利はないはず
これは本当に止めなければならないし、世界中の規制当局はこの問題に対して眠っている
規制を増やすことも解決策にはなり得るが、それが本当に私たちの望む方向なのかは疑問
実質的には、もはや物を買っているのではなく借りているようなもの
「市場」がこういう戯言を受け入れるなら、規制当局は何もしないだろう
自分の最初のPCにも開封したら保証無効の封印が付いていた
Newag は、交通疎外対策議員チームの委員長である Paulina Matysiak 議員も標的にし、免責特権の剥奪を申請した
昨年この件が知られて以降、彼女はこの問題を調査してきた
https://transinfo-pl.translate.goog/inforail/jest-wniosek-o-...
競合する整備業者で整備された列車を列車会社が無効化していたことを「ハッカーたち」が発見した、という話を覚えている
彼らが訴えられたとは残念だ
十分な資金を集めて、Newag に対して痛みを伴う徹底的な証拠開示を求められるといい
自分たちが作った列車であっても、列車を攻撃することは国家の重要インフラを攻撃すること
「母親に自分の仕事を説明したとき、母親がショックを受けるなら、何か間違ったことをしている」という昔の道徳律はどうなったのだろう
Newag がやっていることは、その規則に非常にはっきり反している
しかし今では、大きな独占的事業者たちはそうした効果をただ無視している
メディアは資金不足で腐敗しており、政治家たちも広い意味で腐敗している
合法であれ準合法であれ、可能な方法で
最初に発見されたときの以前の議論があり、もっと議論されていなかったのは意外だった: https://news.ycombinator.com/item?id=38893116
https://news.ycombinator.com/item?id=38530885
https://news.ycombinator.com/item?id=38567687
https://news.ycombinator.com/item?id=38628635
https://news.ycombinator.com/item?id=38788360
ほかにもある
最初のコメントも参照すればよい
https://news.ycombinator.com/item?id=38788360
全体の経緯を知らない人向けに、誰か要約してくれるとありがたい
こういうトロイの木馬列車を買った政府が、なぜ列車供給業者を叩き潰さず、これを暴露したハッカーたちに勲章を授けないのか不思議だ
これはほぼ普遍的な流れです
メーカー各社がまだやっていないとしても、計画中である可能性は高いです
世界各地が発展するにつれて、より安い機械を提供するメーカーが everywhere 生まれ、既存メーカーの堀が消えつつあります
耐久財メーカーは次の事業モデルである保守・サポートのサブスクリプションサービスにしがみついています
Ford のコネクテッド車両群サービスは勢いを増しており、商用車分野では非常に収益性が高くなり得ます
こうした流れのかなりの部分は、人手不足、訓練不足、経験不足によって労働力プールが弱くなっていることに由来します
今回の列車騒動は明らかに犯罪に近いものですが、いま起きている「進歩」の波とそれほど遠く離れているわけではありません
残念ながら、こうした発見は他社が教訓を得るきっかけになりそうです
つまり、自分たちのもっともらしい否認可能性のある手口をより発見しにくくし、「セキュリティ」という名目の下に隠す方向へ進むでしょう
Big Tech はすでにしばらく前からそのゲームをやっています
https://news.ycombinator.com/item?id=36926276
https://news.ycombinator.com/item?id=24955071
Newag はここでマフィアのように振る舞っています
「列車が止まったら、とても残念ですよね……?」というやり口です
ポーランドにあれこれ指図したいわけではありませんが、満足のいく結末は、Newag の列車をそのようにプログラムするよう指示した人物が正確に誰なのかを突き止め、刑務所に送ることです
そのようなソフトウェアが載った列車が見つかるたびに刑期を加算し、Newag には該当列車の無償保守を強制すべきです
ポーランドが、金もうけのために大衆を食い物にする人々をどう扱うのかについて強硬な姿勢を示したいなら、それくらいが最善でしょう
圧倒的な証拠があっても、ポーランド国民を食い物にするのは割に合う商売だと言いたいのなら、まあそうすればいいでしょう
列車と鉄道に関することなら、単なるビジネス上の問題ではなく、戦略的な国家安全保障の問題になります
「傷みやすい食品を積んだ列車が運行中に止まり、収穫物が腐ってしまったら、とても残念ですよね」というような状況です
食料安全保障が政府の秩序維持能力に影響しない国がどこにあるのか、私には分かりません
整備事業者ではない第三者がこのようなことをしたなら、合理的にはテロ組織と見なされ、その集団の構成員もそのように扱われるべきです
たとえ同意が必要な小さく特定の機能に限られると主張したとしても、正常な機能に不可欠ではない脆弱性をサプライチェーンに挿入し、それを必須であるかのように設計したのです
少なくとも、直接実行しないとしても、そのような集団がのさばる道を開くことになります