米司法省、善意のセキュリティ調査をコンピューター不正使用として訴追しないことを明確化 31
ストーリー by nagazou
善意と悪意の識別装置が必要 部門より
善意と悪意の識別装置が必要 部門より
headless 曰く、
米司法省 (DOJ) は 19 日、コンピューター詐欺及び乱用に関する法律 (CFAA) に基づく訴追の対象から善意のセキュリティ調査を除外する改訂版ポリシーを発表した (プレスリリース、 The Verge の記事、 The Register の記事、 ポリシー: PDF)。
DOJ が善意のセキュリティ調査を CFAA 違反として訴追しないことを明確にするのは今回が初めて。それによると、善意によるセキュリティ欠陥・脆弱性の調査や修正のみを目的としたコンピューターアクセスについて、個人や公共の被害を防ぐよう配慮した形で実施され、それにより得た情報の主な使用目的がセキュリティ・安全性向上である場合に限り、善意のセキュリティ調査とみなされる。
新ポリシーは個人やネットワーク所有者、運営者等の法的権利を守ることでプライバシーとサイバーセキュリティを向上させるという、DOJ による CFAA 執行の目標を明確に説明するものだという。その一方で新ポリシーは「セキュリティ調査」との主張が悪意による行為を正当化しないことも明確にし、検事には難しい判断が必要な場合に司法省のコンピューター犯罪及び知的財産セクション (CCIPS) に相談することを推奨している。
善意の定義は難しい。 (スコア:2, 興味深い)
何かの雑誌が複数の企業に対して勝手に脆弱性スキャンをかけた上、実名をあげて「日本の会社はこんなにセキュリティがザル!セキュリティ対策が急務!」って記事を書いたことがあった。
会社側へはスキャンのことも記事のことも、事前連絡一切なし。(なので、スキャン結果が本当に正しいのかも未確認)
これは善意なのか?
少なくとも安全性向上が目的の一つになっているが、合法なのか?
Re:善意の定義は難しい。 (スコア:2, すばらしい洞察)
玄関のドアが突然空けられて知らないおっさんが「鍵かけないと不用心ですよ」とか言ってきたらただの事案ですよね。
たとえ警官だったとしてもアウト。
それと全く同一だと思うんだけど。
Re: (スコア:0)
テレビで「あなたの家、盗聴されてますよ」って知らないおっさんが訪問するのをときどき見るがあれは
Re:善意の定義は難しい。 (スコア:1)
あれをマジに受け取る人って実在したんだな…
Re: (スコア:0)
「テレビで言ってた」「漫画で見た」は相当ヤバイよな
Re: (スコア:0)
でもそれが「鍵をかけ忘れている家はないか」という調査目的であれば、「善意のセキュリティ調査」と認められて訴追されない、ってことでしょ?
Re: (スコア:0)
それやんないといつまでも鍵掛けない奴とか
そっから入られてんのに対応がめんどくせーから放置する奴とかいるんすわ
そんでそっからクレカ情報取られて一般市民に迷惑が転嫁されたりするもんで
遂にはお役所が免責にするって決めるくらいには無断調査が一般的になっちゃった
最初から万人がセキュリティを完璧に理解して鍵を前後正しく付けられていれば起こらない問題
Re: (スコア:0)
ネットは個人宅と違って多くの人が利用して場合によっては情報漏えいなどの被害をもたらすので単純に例えることは出来ないとおもいます。
Re: (スコア:0)
じゃあ同様の理由で役所なり会社の中にノーアポで入り込んで、「セキュリティ甘いですよ」って言うのOKですね。
Re: (スコア:0)
それはただの事案であって事件ではないんだな
知らないおっさんが「〇〇さん宅は常に玄関の鍵が掛かってませんよー」って近所に言いふらすところまでして親コメと同一の例えになる
Re: (スコア:0)
ネットを私有地や建築物にたとえる人多いけど、むしろ駅の掲示板だからね?
隠さなければ誰にでも見えるし、見られたくないものは見えないようにする必要があるの。
社会の窓開いてますよって指摘するのと同程度。
Re: (スコア:0)
駅の掲示板というよりはコインロッカーみたいなもんだろ
誰にでも見えるようにするのが掲示なんだから見えないようにするは掲示板の役割にはないぞ
>社会の窓開いてますよって指摘するのと同程度。
問題はその程度かな
チラっと見て「開いてますよ」と教えるのか
ガバっと手をかけ開いてるのをちゃんと確認してから「開いてますよ」と教えるのか
同じ教えるにしてもやり方次第でずいぶん変わるんだぞ
Re: (スコア:0)
ネットそれ自体に見えなくする機能はないから、ふたが標準装備のコインロッカーだとちょっと違うのよね。
掲示した紙に何が書かれてるかわからないように暗号化したりするのは掲示する人がしないといけない。
Re: (スコア:0)
一般の人は、脆弱性の存在(の可能性)を知ったら、その取り扱いが業務とされている公的機関(JPCERT/CCだったかIPAだったか)にお知らせするところまで、に留めるのが吉でしょうな
Re:善意の定義は難しい。 (スコア:1)
相手の許可を得ずに想定外のアクセスを発生させて、なんらかの業務に影響が生じた場合は訴えられてもおかしくないよねー。
名指しでザルです、は事実であっても、ね。
そのうちサイトが乗っ取られた後で「あなたがたのセキュリティ意識を高めるためにぜんいでやりました。勉強料として...」ってメールが飛んでくるよきっと。
Re: (スコア:0)
相手の許可を得ずに想定外のアクセスを発生させて、なんらかの業務に影響が生じた場合は訴えられてもおかしくないよねー。
岡山、図書館、不正アクセス、あ、頭が…
Re:善意の定義は難しい。 (スコア:1)
善と悪の線引きはむずかしいですね。
ここ最近と言えば、日本国内の有名な公的法人から
自分のネットワークアドレスに対して不正アクセス
をされましたが、まぁそんなもんかと思ってます。
Re: (スコア:0)
ピンポンダッシュと同じで、それ自体は合法だけど、それによって業務に支障が出るようなら業務妨害等の民法上の不法行為ってやつになるんじゃないですかね知らんけど
Re: (スコア:0)
関連スレッド
欠陥を指摘するはずが個人情報流出。セキュリティ専門家に捜査の手 [srad.jp]
2004年か。
結局有罪が確定 [itmedia.co.jp]したんだっけ。
Re: (スコア:0)
ぐるナビとか負けプレとかgoogle playと同じやな。評価☆です。
Re: (スコア:0)
日本の場合法律用語での善意というのは「何もしらない」ということだったはず。
だから一般の利用者が普通に操作してたら偶々システムの脆弱性を突いて管理画面を開けてしまった、というのはOK。
逆にセキュリティホールを知っていて操作したのなら通報するのが目的でも「悪意」
Re:善意の定義は難しい。 (スコア:2, すばらしい洞察)
アメリカの法律を日本の用語で解釈しても無意味では
Re: Re:善意の定義は難しい。 (スコア:2)
元コメが日本の話をしているのに?
Re: (スコア:0)
民法の話でしょ? 刑法の用語じゃないね。
Re: (スコア:0)
例えば、ある街なかで暗号化されていないWLANスポットが存在したとして、目の前のマンションかもしれないし、向かいのアパートかもしれないし、斜向かいの戸建て住宅かもしれない。
大多数の人は見て見ぬふりをして、一部の子供は無料のDS対戦スポットとして活用するかもしれないけど、善意の第三者が取って良い行動はどこまで? また、どこからがアウト?
・警察に相談する(たぶん無視されるだけ)
・自ら1件1件「おたくのWLANは大丈夫ですか?」と聞き歩く
・「野良WLANスポットがあります。心当たりの方はパスワードを設定しましょう」というポスターを作って近くの電柱に貼る
・アクセスできそうな共有ドライブを探して、「見えてますよ」と書いたテキストファイルを置く
・WLANからアクセスできるPCにDoSをしかけ、無理やり分からせる
・etc...
Re: (スコア:0)
場合によっては倒産の引き金にもなる、勝手財務審査公表が合法な程度には合法なのだろう。
Re: (スコア:0)
頼まれても居ないのに営利目的だからはっきりアウト。
あと世間一般への注意喚起としても解決後で十分なのでアウト。
個別でも既に攻撃発生中など被害抑制の為に必要とかでないなら
猶予無し公開は攻撃者の利益にしかならないのでアウト。
結論、善意の欠片も見いだせない。
NSAとかCIAが喜びそう (スコア:0)
まあそもそもバレなければ問題ないが。
情報横流し (スコア:0)
調査会社になぜかセキュリティホールあってそこから犯罪組織にいろいろな企業のチェックデータが流れてしまう。
#「故意に流したわけではありません(棒)」