Yahoo!ニュース

脆弱性を利用し個人情報を入手した事を企業に伝える「ホワイトハッカー」を自称する男性が話題に。

大元隆志CISOアドバイザー
脆弱性を利用して個人情報を入手し、企業に報告したと主張する投稿が話題を呼んでいる(写真:ペイレスイメージズ/アフロイメージマート)

 今、「ホワイトハッカー」を自称する男性の言動が注目を集めている。

 真意の程は定かではないが、Mitsuhiro Hashimoto氏の「脆弱性があるサイトがあったのでハッキングをしてデータベースを取り出してみたら1551名の顧客の個人情報の流出が確認されました。」という行為に対して、ネット上では善意のハッキングだからセーフ、いや違法という議論を呼び起こし、注目を集めている。

■Mitsuhiro Hashimoto氏の主張

 様々な議論を巻き起こした同氏は、自信の考えを説明するため、漫画で自論を展開している。

 同氏は自宅でIT系の仕事をしているアプリ開発のエンジニアであったが、日本のWebサイトには脆弱性が多数存在するのではないか?海外ではその脆弱性を報告することで対価を得る仕事もあるため、同氏は脆弱性を報告することで名声と報酬を得ようとしたというのがきっかけであると説明している。

 そして、脆弱性の存在を証明するためには、実際にその脆弱性を利用して証拠となるデータを盗み出さなければ誰も本気にしないのではないか?との考えに至り、行動に移す。見事にデータを盗み出した同氏はサイト管理者に報告するものの、後日対象サイトを確認しても脆弱性が修正されていない状況に呆然とする。

 そして、突然、同氏は自身が障害者であることをカミングアウトする。健常者は障害者を生産性が低いと見下しているため、障害者であってもハッキング位出来ることを証明して見せるという、当初語っていた目的とは違う真の目的があったことを明らかにした所で、漫画は終了している。※筆者注釈:自身の主義主張のためにハッキングを行い宣伝する行為はホワイトハッカーではなく、ブラックハッカーである。

■Mitsuhiro Hashimoto氏の行為は違法行為

 残念ながら、企業が運営するウェブサイトの脆弱性を発見し、該当企業の許可を得ず不正に情報を取得した場合には、善意の有無を問わず不正アクセス禁止法違反で有罪となってしまう。既に過去にも同様の事例が有り、有罪判決が下されている。

 2003年に発生したコンピュータソフトウェア著作権協会(ACCS)を舞台にした不正アクセス違反の裁判について紹介しよう。

■善意の不正アクセスで有罪が確定したACCSの裁判事例

 2003年11月12日コンピュータソフトウェア著作権協会(ACCS)は、同社のWebサイトから1184件の個人情報が漏洩したと発表した。情報漏えい発覚の経緯は、ACCSに対する第三者からの同社のWebサイトに脆弱性が存在するとの指摘。この指摘には、その脆弱性の証明として不正アクセスを実行し抜き取られた個人情報が添付されており、ACCSがこの添付データを調査した所、同社が保有する個人情報と一致したため、情報漏えいが発覚した。

 本事例は、そもそも「善意の第三者」が脆弱性を通知した事から発覚した情報漏えいであり、「善意の第三者」は自身の行動について、あくまで脆弱性の証明として個人情報を取得したが悪用はしておらず、ACCSにも通知しているので、悪意の不正アクセスでは無いと主張していた。

 しかし、警視庁ハイテク犯罪対策総合センターは2004年2月4日に、この「善意の第三者」を不正アクセス禁止法違反と威力業務妨害の疑いで逮捕した。

 逮捕された「善意の第三者」は、無罪を主張したものの、2005年3月25日、不正アクセス禁止法違反で懲役8カ月、執行猶予3年の実刑判決が下った。その後この「善意の第三者」は判決を不服として控訴したものの、2005年6月6日控訴を取り下げ、有罪が確定した。

■善意の第三者からの通知を有効活用する制度は必要

 ACCSの判決からもわかるとおり、日本の法律に従えばMitsuhiro Hashimoto氏の行動が真実なのであれば、違法行為となってしまう。しかし、同氏の行った「企業の脆弱性を第三者が指摘し、企業に報告する」という行為自体は、海外ではセキュリテイを高める行為として重要な行動になっていることも事実である。セキュリテイ調査会社等はプロモーションの一貫としてインターネット上に公開されている脆弱な設定のDB等を絶えずスキャンしており、発見されれば該当企業に報告し、自社メディアで公開するというのは定番となっている。

 ※但し、筆者の理解では、脆弱性を指摘するだけで良く、実際に脆弱性を利用してデータを取得するのはあくまで脆弱性指摘後に企業と合意を得てからというのが海外でも一般的だと認識している。これを無断で実行すると海外でも批判は浴びるだろう。

 完璧なセキュリテイ対策やバグの無いソフトウェア作成することは不可能であり、どれだけのコストをかけても脆弱性は発見される。世界ではアプリケーションのエラー発見を目的とした「バグバウンティー(不具合報奨金)」制度を設けて、ハッカーコミュニティに脆弱性を見つけて貰う取り組みが、組織のセキュリティー対策の一部としての重要性が増している。

 ・アップルがバグ報奨金プログラムを拡大し最大1億円に

 ・Microsoft、Edgeのバグ報奨金プログラムを開始

 ・EU、人気の高いOSSを対象に総額約100万ドルのバグ報奨金制度

 Mitsuhiro Hashimoto氏のツールを利用して不正に情報を取得した行為は善悪の意思は関係なく違法である。しかし、本当に悪意のあるサイバー攻撃者に脆弱性を利用される前に、善意の第三者が脆弱性を検知する行為に対する制度の在り方は今後議論されるべきではないかと筆者は考える。

■総務省が行ったNOTICE

 最後に、総務省が行った脆弱なIoT機器のセキュリティ対策を促す「NOTICE」という取り組みについて紹介しておこう。NOTICEとは、悪用される恐れのある脆弱なID/PW設定になっているルータ等を検出、修正することを目的として、総務省主導で、家庭用ルータ等も対象としたインターネット上の機器に対して、一斉に侵入可能な機器があるかを調査する取り組み。

 「NOTICE」は昨年実行されたが、当然この行為は不正アクセス禁止法に抵触する。そのため、総務省は「NOTICE」実施に先駆けて、実施機関となるNICTの業務に関する法令を2018年11月に改正し、IDとパスワードによる認証を試行する「特定アクセス行為」を5年間に限り認めるようにした。

 全てのモノがインターネットに接続されるIoT時代。利用者まかせのセキュリテイ対策だけでは限界があり、第三者による主体時な脆弱性診断を活用出来る制度を整えていく必要が有るのではないだろうか。

CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事