セキュリティ情報の公開は犯罪なのか?


■セキュリティ情報の公開は犯罪なのか?

恐ろしい世の中になってきたものだ…。

セキュリティ関連の情報を公開すると、

逮捕されることがあるらしい。

腹立たしい限りである。

そう考えるようになったきっかけはこれ。

いたずらスクリプトのURL貼った女子中学生の補導、海外でも波紋

これ自体は最初、

・そういうことをしちゃいかんよ、という見せしめだな

と思った。

正直、ブラクラ程度でやりすぎだろう、とは

思ったものの、

軽犯罪だから放っておいてよい、

という話でもないし、多少は仕方ないのかな、

ぐらいに思っていた。

が、だ。

これを見て考えが変わった。

「あなたブラクラ貼ったでしょ?」→39歳男性を書類送検 検挙男性が明かす「兵庫県警“決めつけ”捜査の実態」 (1/3)

この記事は逮捕された男性側の主張に

のっとっているので、これがすべて真実かどうかは知らない。

が、実際に逮捕されたらこうなるのだろうな、

というのは想像できるレベルのものだと思う。

しかし、ちょっと待ってほしい。

ブラクラを引き起こす URL を貼った、ってだけで、

人生棒に振りかねない状況になっている。

どう考えてもやりすぎだろう。

こんなの、普通に

『めっ!』

っていうレベルでいいじゃないか。

家宅捜索されて、起訴されて、って

そこまでやられなきゃならん話じゃないだろう。

職権乱用も甚だしいと言わざるをえないと思う。

人の人生を一体何だとおもっているのか。



もちろん、今回のブラクラ URL 貼り付けに関しては、

やってよい行為ではない。

何も知らずにクリックして飛ばされた先が、

マルウェアを実行するようなサイトであれば、

実際に大きな被害がでる可能性は十分にあった。

なので、今回の行為自体は当然ほめられたものではない。

しかしながら、実際にはブラクラにすらなっていない程度だ。

ブラクラなんぞ、何年も前からやられている話であって、

補導や逮捕してその人に一生の枷を負わせるレベルの

話だとは到底思えないのだ。

さらに言えば、法務省は今回の逮捕容疑となった

不正指令電磁的記録供用未遂の罪

に関連して、国民の懸念を払拭すべく、

以下のような文章を法務省 HP 上で公開している。

いわゆるコンピュータ・ウイルスに関する罪について

この中の一部には、以下のような文面が明記されている。

“また,プログラムによる指令が「不正な」ものに当たるか否かは,
その機能を踏まえ,社会的に許容し得るものであるか否かという観点
から判断することとなる。”
*法務省 HP 記載文書『いわゆるコンピュータ・ウイルスに関する罪について』より引用

一昔前なら、ブラクラ程度であっても

メモリ破壊等で PC をリブートさせられる等も

可能だったかもしれないが、現状はまず不可能だ。

また、今となっては、昔からあるジョークプログラム程度の

扱いだと思われる。少なくとも、マルウェア扱いはほぼされない。

と考えると、「不正な」ものとまでは言い切れない状況で、

かつ社会的に許容しうるものであるか、と言っている以上、

逮捕するほど深刻な問題ではない、と思われるにも関わらず、

今回逮捕に至っている。

あり得ない、というのが正直な感想だ。



これに関連して、

セキュリティ勉強会が中止になった、

という記事があった。

セキュリティ勉強会休止、「攻撃コードの研究発表でも逮捕されかねない」と懸念 いたずらURL事件受け

こちらも最初は、

いやいや、とはいえやりすぎでしょう。

という感想を持った。

ブラクラ URL 貼り付けの件は、

確かにやりすぎで、

行為に対する罰則が厳しすぎる

というのが私の意見だが、行為自体が

よろしくないのは否定していない。

一方、勉強会は行為自体もよろしいものなのだから、

そこは心配しすぎでしょ、と思っていた。

が、だ。

振り返ってみると、本サイトでも、

セキュリティ技術者は犯罪者と紙一重!?

で記載したように、ミスっただけで

逮捕された事例があるうえ、

Wizard Bible 事件のように、

トロイの木馬の原理を説明しただけでも、

逮捕される恐れがある。

ハッキングなどの情報を提供していたサイト 「Wizard Bible」、検察からの圧力で閉鎖

正直、これぐらいで逮捕されてしまうなら、

セキュリティの仕事なんかできないし、

セキュリティ情報を発信することもできない。

そう考えると、前述の勉強会中止は、

(もちろん現状に一石を投じる意味の方が大きいのだろうが)

あながちやりすぎでもないように思えてきた。

警察はいったい何をやりたいのだろうか…。



これまで上げてきたような事件が

今後も頻発するようであれば、

日本のセキュリティは終わってしまうと思う。

というか、脆弱性を突くコードを公開したら、

多分つかまるんだよね、と思えてしまう。

最近の傾向としては、脆弱性を発見したとしても、

それが現実的に攻撃に利用できる、ということを

示すためにも、PoC(概念実証コード)という形で、

その脆弱性を突けるコードを公開することが多い。

が、これやると捕まる可能性がある、ということだ。

そんなこと言いだしたら、国家資格であるはずの

情報処理安全確保支援士

なんか、試験問題の作成・提供者、試験合格者、

参考書提供者などなど、全員アウトですよ。

だって大体脆弱性の性質とその突き方(確認方法)を

書いているじゃない。

私が合格した年の試験問題にも、

ARP spoof を使ってマルウェアの挙動を解析する

というような問題が出ていたが、これもアウトだよね。

それ以外にも、一般的な脆弱性とその確認方法を

IPA なぞも公開しているが、これもだめですよ。

SQL Injection ができる、できないを

確認する方法、すなわち脆弱性を突けるコードが

書いてあるのだから。

ということで、こんな逮捕がまかり通ってしまえば、

セキュリティ情報、特に攻撃手法を提供することなんて、

一切できなくなってしまう。

セキュリティを学ぶためには、当然のことながら、

攻撃方法を知る必要がある。

でないと守りようがないのだ。

だからこそ、本サイトでも、

ラズパイでセキュリティ

などで、実際にこうやればこういうことができる、

ということを提示しているのだ。

もちろん自分の勉強のためではあるが、

どうせなら私のように勉強したい人の一助となればよい、

と考えて公開している。

これも、逮捕されちゃうんだろうか?



法律自体には、正当な目的でなく、

ということが前提として書かれているため、

正当な目的であればよいのだと思う。

なので、法の主旨としても、

悪意ある行為を禁ずる

でよいと思っているので、

それに外れないならば問題はないと思っている。

思ってはいるが、これまでの事件を振り返って

考えてみると、警察側が、

・それは正当な目的ではない

と判断すれば、少なくとも逮捕には至れるのだ。

たとえ裁判で無罪を勝ち取ったとしても、

そこに至るまでの労力や、人生上受ける

ダメージを考えれば、被害は大きい。

正当な目的か否か、を警察は本当に妥当に判断できるのか?

がこれまでの事件を考えると正直疑わしい場合もある。

となると、やっぱりセキュリティに関する情報を

発信したりするだけでリスクが大きいとなってしまう。

で、だれも発信しなくなると、当然学べる機会が

激減してしまう。

結果、悪意ある行為を行おうとする側ばかりが

知識、経験ともに獲得できていってしまう、という

状況に陥りかねない。

もちろん、現実的にそこまでいくことはなかろう、

と思ってはいるが、少なくとも、正当な目的で

セキュリティを発展させようと考える人々のうち、

何人かは確実に委縮している。

私も委縮しそうである。

自分の勉強もあるので、正当な目的の範囲内で、

今後もセキュリティ情報の発信は続けて行こうと思うが、

今回の件に関しては、調べれば調べるほど

恐ろしくなってきたので、あえて記事にしてみた。

法の存在意義はあると思っているが、

その法に基づいた警察による権限利用の妥当性については、

もっと精査していただき、

善意の人々のみが委縮するような誤った世の中を

作らないよう、警察には真摯に考えて頂きたいと思う。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ パーマリンク