パスワードを忘れた? アカウント作成
15666140 story
法廷

米司法省、善意のセキュリティ調査をコンピューター不正使用として訴追しないことを明確化 31

ストーリー by nagazou
善意と悪意の識別装置が必要 部門より
headless 曰く、

米司法省 (DOJ) は 19 日、コンピューター詐欺及び乱用に関する法律 (CFAA) に基づく訴追の対象から善意のセキュリティ調査を除外する改訂版ポリシーを発表した (プレスリリースThe Verge の記事The Register の記事ポリシー: PDF)。

DOJ が善意のセキュリティ調査を CFAA 違反として訴追しないことを明確にするのは今回が初めて。それによると、善意によるセキュリティ欠陥・脆弱性の調査や修正のみを目的としたコンピューターアクセスについて、個人や公共の被害を防ぐよう配慮した形で実施され、それにより得た情報の主な使用目的がセキュリティ・安全性向上である場合に限り、善意のセキュリティ調査とみなされる。

新ポリシーは個人やネットワーク所有者、運営者等の法的権利を守ることでプライバシーとサイバーセキュリティを向上させるという、DOJ による CFAA 執行の目標を明確に説明するものだという。その一方で新ポリシーは「セキュリティ調査」との主張が悪意による行為を正当化しないことも明確にし、検事には難しい判断が必要な場合に司法省のコンピューター犯罪及び知的財産セクション (CCIPS) に相談することを推奨している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年05月24日 8時43分 (#4254929)

    何かの雑誌が複数の企業に対して勝手に脆弱性スキャンをかけた上、実名をあげて「日本の会社はこんなにセキュリティがザル!セキュリティ対策が急務!」って記事を書いたことがあった。
    会社側へはスキャンのことも記事のことも、事前連絡一切なし。(なので、スキャン結果が本当に正しいのかも未確認)

    これは善意なのか?
    少なくとも安全性向上が目的の一つになっているが、合法なのか?

    • by Anonymous Coward on 2022年05月24日 8時50分 (#4254933)

      玄関のドアが突然空けられて知らないおっさんが「鍵かけないと不用心ですよ」とか言ってきたらただの事案ですよね。
      たとえ警官だったとしてもアウト。
      それと全く同一だと思うんだけど。

      親コメント
      • by Anonymous Coward

        テレビで「あなたの家、盗聴されてますよ」って知らないおっさんが訪問するのをときどき見るがあれは

      • by Anonymous Coward

        でもそれが「鍵をかけ忘れている家はないか」という調査目的であれば、「善意のセキュリティ調査」と認められて訴追されない、ってことでしょ?

      • by Anonymous Coward

        それやんないといつまでも鍵掛けない奴とか
        そっから入られてんのに対応がめんどくせーから放置する奴とかいるんすわ

        そんでそっからクレカ情報取られて一般市民に迷惑が転嫁されたりするもんで
        遂にはお役所が免責にするって決めるくらいには無断調査が一般的になっちゃった
        最初から万人がセキュリティを完璧に理解して鍵を前後正しく付けられていれば起こらない問題

      • by Anonymous Coward

        ネットは個人宅と違って多くの人が利用して場合によっては情報漏えいなどの被害をもたらすので単純に例えることは出来ないとおもいます。

        • by Anonymous Coward

          じゃあ同様の理由で役所なり会社の中にノーアポで入り込んで、「セキュリティ甘いですよ」って言うのOKですね。

      • by Anonymous Coward

        それはただの事案であって事件ではないんだな
        知らないおっさんが「〇〇さん宅は常に玄関の鍵が掛かってませんよー」って近所に言いふらすところまでして親コメと同一の例えになる

      • by Anonymous Coward

        ネットを私有地や建築物にたとえる人多いけど、むしろ駅の掲示板だからね?
        隠さなければ誰にでも見えるし、見られたくないものは見えないようにする必要があるの。
        社会の窓開いてますよって指摘するのと同程度。

        • by Anonymous Coward

          駅の掲示板というよりはコインロッカーみたいなもんだろ
          誰にでも見えるようにするのが掲示なんだから見えないようにするは掲示板の役割にはないぞ

          >社会の窓開いてますよって指摘するのと同程度。
          問題はその程度かな
          チラっと見て「開いてますよ」と教えるのか
          ガバっと手をかけ開いてるのをちゃんと確認してから「開いてますよ」と教えるのか
          同じ教えるにしてもやり方次第でずいぶん変わるんだぞ

          • by Anonymous Coward

            ネットそれ自体に見えなくする機能はないから、ふたが標準装備のコインロッカーだとちょっと違うのよね。
            掲示した紙に何が書かれてるかわからないように暗号化したりするのは掲示する人がしないといけない。

      • by Anonymous Coward

        一般の人は、脆弱性の存在(の可能性)を知ったら、その取り扱いが業務とされている公的機関(JPCERT/CCだったかIPAだったか)にお知らせするところまで、に留めるのが吉でしょうな

    • by kei0 (48634) on 2022年05月24日 8時58分 (#4254936)

      相手の許可を得ずに想定外のアクセスを発生させて、なんらかの業務に影響が生じた場合は訴えられてもおかしくないよねー。
      名指しでザルです、は事実であっても、ね。

      そのうちサイトが乗っ取られた後で「あなたがたのセキュリティ意識を高めるためにぜんいでやりました。勉強料として...」ってメールが飛んでくるよきっと。

      親コメント
      • by Anonymous Coward

        相手の許可を得ずに想定外のアクセスを発生させて、なんらかの業務に影響が生じた場合は訴えられてもおかしくないよねー。

        岡山、図書館、不正アクセス、あ、頭が…

    • by Anonymous Coward on 2022年05月24日 18時58分 (#4255342)

      善と悪の線引きはむずかしいですね。

      ここ最近と言えば、日本国内の有名な公的法人から
      自分のネットワークアドレスに対して不正アクセス
      をされましたが、まぁそんなもんかと思ってます。

      親コメント
    • by Anonymous Coward

      ピンポンダッシュと同じで、それ自体は合法だけど、それによって業務に支障が出るようなら業務妨害等の民法上の不法行為ってやつになるんじゃないですかね知らんけど

    • by Anonymous Coward

      関連スレッド
      欠陥を指摘するはずが個人情報流出。セキュリティ専門家に捜査の手 [srad.jp]

      2004年か。
      結局有罪が確定 [itmedia.co.jp]したんだっけ。

    • by Anonymous Coward

      ぐるナビとか負けプレとかgoogle playと同じやな。評価☆です。

    • by Anonymous Coward

      日本の場合法律用語での善意というのは「何もしらない」ということだったはず。
      だから一般の利用者が普通に操作してたら偶々システムの脆弱性を突いて管理画面を開けてしまった、というのはOK。
      逆にセキュリティホールを知っていて操作したのなら通報するのが目的でも「悪意」

    • by Anonymous Coward

      例えば、ある街なかで暗号化されていないWLANスポットが存在したとして、目の前のマンションかもしれないし、向かいのアパートかもしれないし、斜向かいの戸建て住宅かもしれない。
      大多数の人は見て見ぬふりをして、一部の子供は無料のDS対戦スポットとして活用するかもしれないけど、善意の第三者が取って良い行動はどこまで? また、どこからがアウト?

      ・警察に相談する(たぶん無視されるだけ)
      ・自ら1件1件「おたくのWLANは大丈夫ですか?」と聞き歩く
      ・「野良WLANスポットがあります。心当たりの方はパスワードを設定しましょう」というポスターを作って近くの電柱に貼る
      ・アクセスできそうな共有ドライブを探して、「見えてますよ」と書いたテキストファイルを置く
      ・WLANからアクセスできるPCにDoSをしかけ、無理やり分からせる
      ・etc...

    • by Anonymous Coward

      場合によっては倒産の引き金にもなる、勝手財務審査公表が合法な程度には合法なのだろう。

    • by Anonymous Coward

      頼まれても居ないのに営利目的だからはっきりアウト。
      あと世間一般への注意喚起としても解決後で十分なのでアウト。
      個別でも既に攻撃発生中など被害抑制の為に必要とかでないなら
      猶予無し公開は攻撃者の利益にしかならないのでアウト。

      結論、善意の欠片も見いだせない。

  • by Anonymous Coward on 2022年05月24日 12時31分 (#4255081)

    まあそもそもバレなければ問題ないが。

  • by Anonymous Coward on 2022年05月24日 13時18分 (#4255110)

    調査会社になぜかセキュリティホールあってそこから犯罪組織にいろいろな企業のチェックデータが流れてしまう。

    #「故意に流したわけではありません(棒)」

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...