「実証実験参加規約」、「ソフトウェア使用許諾契約」、「実証実験における取得情報の取り扱いについて」のそれぞれを読んで理解し、内容に同意できる場合に、最下部の同意をクリックしてください。
1. 本実証実験の目的
本実証実験は、ユーザ群のWebアクセスの挙動に基づくWeb媒介型攻撃の観測・分析・対策技術の評価、確認を目的とします。。
2. 適用範囲
株式会社KDDI総合研究所(以下、「甲1」といいます。) 、株式会社セキュアブレイン(以下、「甲2」といいます。)、国立大学法人横浜国立大学(以下、「甲3」といいます。)、国立大学法人神戸大学(以下、「甲4」といいます。)、国立大学法人岡山大学(以下、「甲5」といいます。)、国立大学法人金沢大学(以下、「甲6」といいます。)、株式会社構造計画研究所(以下、「甲7」といいます。)および国立研究開発法人
情報通信研究機構 (以下、「甲8」といいます。また、以下、8者合わせて「甲」といいます。) は、「Web媒介型攻撃対策技術の実用化に向けた研究開発」を遂行する中で、実証実験を実施します。
本規約は、実証実験に参加する者 (以下、「乙」と言います。) に適用され、乙は、本実証実験への参加にあたって、本規約に同意し、乙はこれを遵守するものとします。
3. 用語定義
Web媒介型攻撃対策技術の実用化に向けた研究開発実証実験参加規約(以下、「本規約」といいます。)の用語定義は以下の通りです。
- 1) タチコマ・セキュリティ・エージェント(以下、「タチコマSA」といいます。)とはブラウザ拡張とネイティブアプリからなるソフトウェアのことを指します。
- 2) 攻撃情報分析基盤とは甲が運用する、乙のコンピュータにインストールしたタチコマSAが送信するデータを受信し分析するサーバ群を意味します。
- 3) 能動的観測とは、インターネットを通じてポートスキャンを行い、対象ホスト群のポート開放状態を確認する行為を指します。
- 4) 受動的観測とは、特定のネットワークに到達する通信を観測する行為を指します。
4. 実証実験の内容
- 1) 乙は、乙が使用するコンピュータにタチコマSAをインストールします。
- 2) 乙は、タチコマSAをインストールしたコンピュータのブラウザでWebアクセスを行います。Webアクセスを行うと、まず、アクセス先に関して、タチコマSAが持つ機能でアクセスを遮断した方がよいか判定します。遮断した方がよいと判定した場合には、警告画面を表示します。
次に、アクセス先データを攻撃情報分析基盤に別紙「実証実験における取得情報の取り扱いについて」に定める「タチコマSA取得情報」を送信します。
- 3) 甲1、甲2、甲3、甲4、甲5、甲6、甲7は、攻撃情報分析基盤上で、送信されたタチコマSA取得情報を管理し、以下をはじめとする分析に使用し、乙がアクセスしたWebページにWeb媒介型攻撃があるか否かを総合的に判断します。攻撃情報分析基盤でWeb媒介型攻撃に関連するサイトであると判断されたWebサイトのURLをブラックリストに登録します。
- Webサイトから誘導されるリンク先の変化が通常と異なるか
- Webページに用いられるスクリプトが悪性のものの特徴を備えているか
- 悪性の可能性があるファイルを実際に実行しその挙動が悪性のものの特徴を有するか
- 4) 甲1、甲2、甲3、甲4、甲5、甲6、甲7は攻撃情報分析基盤と乙のコンピュータ上のタチコマSAとの通信から乙のネットワーク環境に付与されたグローバルIPアドレスを特定し、受動的観測結果と突合することで乙の環境に関する観測結果を乙に通知します。また、乙のネットワーク環境に付与されたグローバルIPアドレスもしくは広域ネットワークへの能動的観測の結果乙の環境に脆弱性を持つ疑いのある機器を発見した際、もしくは乙が希望する際には個別の同意のもと、攻撃情報分析基盤またはタチコマSAを使用して詳細なスキャンを実施します。スキャンの結果はユーザに通知されるとともに、脆弱性のある機器の使用実態調査等の目的のために使用されます。
- 5) 甲8は、送信されたタチコマSA取得情報を用いて以下をはじめとする分析に使用し、乙がアクセスしたWebページにWeb媒介型攻撃があるか否かを総合的に判断します。
‐ URLやその引数、リンク先への誘導の方法を含めた特徴が、既知の悪性サイトの特徴と類似するか
‐ ブラウザにインストールされたプラグインやそのバージョンなどの情報を基に誘導するリンク先を変更する手法が用いられているか
‐ アクセス先のホストが他の攻撃観測手法によって観測された悪性ホストと一致するか
5. 実証実験における乙の実施事項
- 1) 甲が提供するタチコマSAをダウンロードし、乙が使用するインストールする。
- 2) タチコマSAをインストールしたコンピュータのブラウザでWebアクセスを行う。
- 3) 甲の指定するアンケートに回答する。
6. 参加登録
乙は、本規約、並びに別紙「実証実験における取得情報の取り扱いについて」及び「タチコマ・セキュリティ・エージェント使用許諾契約約款」の内容を確認し、同意した上で、甲の提供するタチコマSAを乙が使用するコンピュータにインストールすることで参加登録を完了するものとします。乙のインストールを持って、本同意をなしたものとみなします。
7. 実証実験期間
- 1) 本実証実験の実施期間は、2018年6月1日から2026年3月31日までの間で甲が定める期間とします。
- 2) 甲は、乙の承諾を得ることなく、本実証実験の実施期間を変更することがあります。その場合には、実施期間の変更を事前もしくは事後速やかにWebサイトへ掲載するとともに、タチコマSA上のポップアップメッセージにより乙に通知するものとします。
8.乙の実証実験参加終了
- 1) 乙は、いつでも参加登録を取り止めることができます。
- 2) 参加登録を取り止める場合は、タチコマSAをアンインストールしてください。
- 3) タチコマSAをアンインストールした場合は、取得した情報と参加者を結び付けるIDが不明になります。取得した情報の削除を要望される場合は、アンインストール前に連絡してください。
9. 乙の情報提供と保護
参加登録の際の同意には、乙は、甲が本実証実験を実施するうえで必要となる乙の情報(タチコマSA取得情報)を甲に提供することに同意が含まれています。
甲は、本実証実験で取得した乙の情報に関し、別紙に定める「実証実験における取得情報の取り扱いについて」に基づき、適切な取り扱いを行うものとします。
10. 免責事項
- 1) タチコマSAのインストール及び使用によりユーザのコンピュータシステムが破損する、データが消失する等の可能性があります。その場合でも、甲は、これらにより乙に生じた損害について責任を負いません。
- 2) タチコマSAをインストールすることにより、甲が悪性と判断し、ブラックリストに登録したWebページへのアクセスが遮断されます。乙が意図していない遮断があっても、甲は乙に責任を負いません。また、すべての悪質サイト等へのアクセスが遮断されるものではありません。Webサイトへのアクセスは乙自らの責任において行ってください。甲は、悪質サイト等へのアクセスにより生じた損害について責任を負いません。
- 3) 悪質サイト等へのアクセスが遮断できない場合が発生するのは、例えば以下のような場合です。下記の例ですべてのケースを網羅しているわけではありません。
● 悪質と疑われるサイトに関する分析を攻撃情報分析基盤で実施中であり、ブラックサイトへの登録がまだ行われていない場合
● タチコマSAが有する悪質コンテンツの検出機能で想定するパターン外の悪質コンテンツへのアクセスが行われた場合
- 4) 乙は、「タチコマ・セキュリティ・エージェント使用許諾契約」に従うものとし、これに反する一切の使用等について、甲は、実験参加者に生じた損害について責任を負いません。
- 5) 乙のタチコマSAの使用行為により、第三者に損害等が生じた場合、甲は当該第三者に責任を負いません。乙は、直接当該第三者との間で問題を解決するものとします。
11. 本規約の変更
甲は乙の承諾を得ることなく、本規約を変更することができるものとします。その場合には、変更内容を事前にWebサイトへ掲載するとともに、タチコマSA上のポップアップメッセージにより乙に通知するものとします。
12. 準拠法および管轄裁判所
本規約の準拠法は日本法とします。また、本規約に関連して甲と乙との間で生じた紛争については東京地方裁判所を第一審専属管轄裁判所とします。
株式会社KDDI総合研究所(以下、「甲1」といいます。) 、株式会社セキュアブレイン(以下、「甲2」といいます。)、国立大学法人横浜国立大学(以下、「甲3」といいます。)、国立大学法人神戸大学(以下、「甲4」といいます。)、国立大学法人岡山大学(以下、「甲5」といいます。)、国立大学法人金沢大学(以下、「甲6」といいます。)、株式会社構造計画研究所(以下、「甲7」といいます。)および国立研究開発法人
情報通信研究機構 (以下、「甲8」といいます。また、以下、8者合わせて「甲」といいます。) は「Web媒介型攻撃対策技術の実用化に向けた研究開発」を遂行する中で、実証実験を実施します。
この「タチコマ・セキュリティ・エージェント使用許諾契約」(以下「本契約」といいます。)は、甲が実施するWeb媒介型攻撃対策技術の実用化に向けた研究開発の実証実験 (以下、「本実証実験」といいます。) に参加する者 (以下、「乙」といいます。)
に提供されるタチコマ・セキュリティ・エージェント(以下、「本ソフトウェア」といいます。)の使用許諾の条件を定めたものです。
乙が、別途甲が提示する「実証実験参加規約」「実証実験における取得情報の取り扱いについて」とあわせて同意することにより、甲と乙との間で本契約が成立します。
1. 使用の許諾
本ソフトウェアは、オープンソースソフトウェアのコンポーネント、甲が別途ライセンス許諾を受けて制作したコンポーネントを除き、甲の著作物です。株式会社講談社(以下「講談社」という)がその著作権管理者である漫画作品『攻殻機動隊』(以下「本原作」といい、詳細は本契約付録に定める)、及び講談社から許諾を得た製作委員会(以下「アニメ製作委員会」という)が本原作を原作として製作したアニメーション作品(以下「本作品」といい、詳細は本契約付録に定める。以下、本原作とあわせて「本原作等」という。)に登場する多脚戦車タチコマをはじめとしたキャラクターを使用して甲が制作したコンポーネントに関する権利は、アニメ製作委員会等の本原作等の権利者に留保されます。
乙は、本契約に定める条件に従って本ソフトウェアをコンピュータにインストールし又は使用する権利を許諾されます。乙は、本契約により、本ソフトウェアの使用を許諾されるものであり、本ソフトウェアの著作権を取得するものではありません。本契約により許諾される使用権は非独占的かつ譲渡できないものとします。
2. 使用許諾有効期限
乙は、期間(2018年6月1日~2026年3月31日)のみ使用が許諾されます。甲は、乙の承諾を得ることなく、本実証実験の実施期間を変更することがあります。その場合には、実施期間の変更を事前もしくは事後速やかにWebサイトへ掲載するとともに、本ソフトウェア上のポップアップメッセージにより乙に通知するものとします。
3. 禁止事項
- 1) 乙は、本ソフトウェアをリバースエンジニアリング(逆コンパイル、逆アセンブルを含む。)し、又は、ソースコードの解読を試みること、本ソフトウェア又はその一部の派生物を作成することはできません。
- 2) 乙は、本ソフトウェアを第三者に譲渡、貸与又は再使用許諾することはできません。
- 3) 乙は、本ソフトウェアの一部又は全部を改変、修正、翻訳そのほか翻案することはできません。
- 4) 乙は、本約款で明示的に許諾されていない行為を行うことはできません。
- 5) 乙は、法律により禁止されていることはできません。
- 6) 乙は、本ソフトウェアをインストールしたコンピュータその他の端末を海外に持ち出し、もしくは送付し、または本ソフトウェアのデータを海外に送信することはできません。
4. 免責事項
甲は、債務不履行責任、瑕疵担保責任その他請求原因の如何にかかわらず、本ソフトウェア及び関連サポート、関連文書の使用又は不使用により乙又は第三者に生じた損害について、乙に対して、一切責任を負いません。甲は、明示又は黙示を問わず、本ソフトウェアの安全性、信頼性、適時性、性能その他一切につき何ら保証しません。本ソフトウェアのダウンロード又は使用は、乙が自らの責任に基づいて行い、本ソフトウェアのダウンロード又は使用によるコンピュータシステムの破損やデータの消失については、甲は一切責任を負いません。
甲は乙がそのような損害の可能性について知らされていたとしても、損害賠償責任が生じることはありません。
5. 準拠法、管轄
本契約の準拠法は日本法とします。また、本契約に関連して甲と乙との間で生じた紛争については東京地方裁判所を第一審専属管轄裁判所とします。
6. オープンソースソフトウェア
本ソフトウェアには、甲が利用許諾を受けているソフトウェアのほかに、複数のオープンソースソフトウェアのコンポーネント(以下、併せて「オープンソースソフトウェア」といいます。)が含まれます。乙は、本ソフトウェアのインストール又は使用において、オープンソースソフトウェアのライセンス条件に従うこととします。なお、仮に、オープンソースソフトウェアのライセンス条件と本約款に定める条件との間に矛盾がある場合には、オープンソースソフトウェアに関しては、オープンソースソフトウェアのライセンス条件が優先されます。
オープンソースソフトウェアのライセンス条件は、本ソフトウェアのインストールの後に、以下のリンクからご覧ください。
付録:本原作及び本作品の詳細
攻殻機動隊 SAC_2045:情報ネットワークとサイボーグ(義体)技術の発達により人々の意思が“電脳”に繋がれた近未来において電脳犯罪に立ち向かう全身義体のサイボーグ・草薙素子率いる攻性の組織、攻殻機動隊。1989年に士郎正宗により発表された原作コミック『攻殻機動隊THE GHOST IN THE SHELL』を起源とし、アニメーション、ハリウッド実写映画など様々な作品群が展開され、その先鋭的且つ圧倒的な世界観とビジュアル表現により、全世界のクリエイターに影響を与えてきた近未来SFの金字塔が新たな未来像を提示する。
迫力のサイバーパンクアクションと、草薙素子たちの全く新しい物語が描かれる『攻殻機動隊 SAC_2045』は、Netflixにて全世界独占配信中。
1. タチコマSA取得情報
- 1) タチコマSAから攻撃情報分析基盤へ送信する情報(以下、「タチコマSA取得情報」といいます。) は以下の項目です。(以下では、Internet Explorerを「IE」、Firefoxを「FF」、Google Chromeを「Chrome」、およびMicrosoft
Edgeを「Edge」といいます。)
なお、タチコマSAは参加者の個人情報を取得しません。
ブラウザデータ
項目名 |
説明 |
ブラウザの種類、バージョン |
IEか、FF、Chrome、もしくはEdgeか、またそのバージョン |
プラグインの名称、バージョン |
ブラウザの機能を拡張するソフトウェアの名称とバージョン |
Webサイトアクセスデータ
項目名 |
説明 |
ユーザID |
初回起動時に割り当てられる値 |
タブID |
1つのウィンドウに複数のタブでWebページを表示する場合に、タブごとのアクセスを区別するためにブラウザ側で付与する値 |
アクセスURL |
ブラウザのアドレスバーに表示されるアクセス先を指し示す文字列 |
ページタイトル |
ブラウザのタイトルバーに表示される文字列 |
アクセス先IPアドレス |
アクセス先のWebページのファイルを持っているWebサーバのIPアドレス |
HTTPリクエストの送信時刻 |
ブラウザからサーバに対して要求を送信した時刻
1970年1月1日0時0分0秒からの秒数で表記
|
HTTPレスポンス受信完了時刻 |
ブラウザからの要求に対するサーバからの応答を受信完了時刻
1970年1月1日0時0分0秒からの秒数で表記
|
URLバーの表示内容 |
Webページを開いた際にブラウザのURLバーに表示されるURL |
リダイレクトの有無 |
リダイレクトが発生したかどうか |
リダイレクト元URL |
リダイレクトによるアクセスの場合、リダイレクト先へ誘導したリダイレクト元URL |
マウスイベント |
アクセスが参加者のマウス動作の結果起こったものか、マウス動作なしにおこったものか |
HTTPプロトコルのリクエストヘッダ |
ブラウザからサーバに対する要求のうちヘッダ情報
Authorized(BASIC認証のパスワードなど)、Cookie, Set-Cookie(クッキーの情報)は送信しません。 |
HTTPプロトコルのレスポンスヘッダ |
ブラウザからの要求に対するサーバの応答のうちヘッダ情報
Authorized(BASIC認証のパスワードなど)、Cookie, Set-Cookie(クッキーの情報)は送信しません。 |
コンテンツ
※コンテンツは、悪質コンテンツと疑われるものを取得対象とします。取得対象となった場合は、参加者に許可を求める確認画面を表示し、参加者の許可が得られた場合のみ取得します。
項目名 |
説明 |
JavaScript |
JavaScriptの動作ログ
JavaScriptの関数情報 |
HTML |
HTMLのDOMツリー情報 |
PC環境情報
項目名 |
説明 |
PC環境情報全般 |
OSのバージョン、言語等
起動中のプロセス一覧・状態
レジストリ情報
サービスの一覧
イベントログのうち警告情報
その他WMIで取得可能な情報
インストール済みソフトウェア情報
有効になっているWindowsの機能一覧
タスクスケジュール一覧
|
セキュリティ設定情報 |
アップデート状況
インストール済みHotfix、QFE(Quick Fix Engineering)
アンチウイルスソフト
アンチスパイウェア
ファイアウォールソフトウェア
|
センサ設定情報 |
ユーザ設定ホワイトリスト情報
データ取得除外サイト設定情報
センサ収集情報の各項目における提供のON/OFF設定情報
|
- 1) 既定の設定では、HTTPSによるアクセス、プライベートIPへのアクセスについてもデータ取得を行います。
- 2) データ取得を行わない特定のドメイン・URLを指定することが可能です。
- 3) 攻撃情報分析基盤における、攻撃情報分析基盤とタチコマSAの通信ログから、タチコマSAを使用する参加者のネットワーク環境に付与されたグローバルIPアドレスを抽出し、取得します。
- 4) WebサイトアクセスデータにおけるURLは、ドメイン(FQDN: Fully Query Domain Name)部だけでなく、パス部やパラメータ部も収集します。このパス部やパラメータ部には、断定できないものの機微と疑われる情報が含まれる場合があります。そこで、URLの文字列において、サイトのID/パスワード、氏名、メールアドレス、SNS(Social Networking Service)のIDの可能性がある文字列が含まれる場合には、その文字列を判定して削除したのちに収集します。
2. タチコマSA取得情報の取得および保管
- 1) タチコマSA取得情報は、株式会社KDDI総合研究所(以下、「KDDI総合研」といいます。) 、株式会社セキュアブレイン(以下、「セキュアブレイン」といいます。)、国立大学法人横浜国立大学(以下、「横浜国大」といいます。)、国立大学法人神戸大学(以下、「神戸大」といいます。)、国立大学法人岡山大学(以下、「岡山大」といいます。)、国立大学法人金沢大学(以下、「金沢大」といいます。)、株式会社構造計画研究所(以下、「構造計画研究所」といいます。)および国立研究開発法人
情報通信研究機構 (以下、「NICT」といいます。) が取得、分析、保管を行います。
- 2) KDDI総合研、セキュアブレイン、横浜国大、神戸大、岡山大、金沢大、構造計画研究所、NICTは、タチコマSA取得情報を、本研究終了(2026年3月31日)後も最大10年間研究試料として保有し、Web媒介型攻撃の対策技術の研究開発のための分析に使用します。当該期間経過後にこのタチコマSA取得情報を破棄します。
- 3) KDDI総合研、セキュアブレイン、横浜国大、神戸大、岡山大、金沢大、構造計画研究所、NICTは、タチコマSA取得情報を分析して得られた研究成果を報告書、論文、学会等で公開する際には、個人を特定できない態様で、タチコマSA取得情報を記載します。なお、報告書、論文、学会等で公開した情報については2)、3)に定める破棄の対象外とします。
- 4) 参加者が参加を取り止めた場合も、取得した情報を2)に定めた期間において本研究開発のために使用させていただきます。参加の取り止め後に取得した情報の削除をご希望される方は、タチコマSAをアンインストールする前に、以下のリンクのお問い合わせから連絡してください。削除方法をご案内します。
(https://warpdrive-project.jp/about.html)
3. タチコマSA取得情報を利用した個人の特定・識別
KDDI総合研、セキュアブレイン、横浜国大、神戸大、岡山大、金沢大、構造計画研究所およびNICTは、タチコマSA取得情報を利用した個人の特定・識別は一切行いません。
4. 情報の第三者への提供
KDDI総合研、セキュアブレイン、横浜国大、神戸大、岡山大、金沢大、構造計画研究所およびNICTは、実験参加者から取得した情報を法令の定める場合を除き、タチコマSA取得情報を第三者に提供することはありません。ただし研究開発成果の社会への還元として、取得情報を加工・分析した結果、例えば悪性Webサイト情報等を個人の特定・識別が不可能な形態にしてNISCやJPCERTといった機関へ提供することがあります。