ニュース
2004/02/06 07:08:00 更新
情報漏えいに揺れたACCS、「モラルに沿った脆弱性指摘を」
CGIの脆弱性を突かれ、約1200人分の個人情報流出が発生したACCS。同協会は「脆弱性を指摘するにしても、良識やモラルに沿った形で行ってほしい」とコメントしている。
2月4日、コンピュータソフトウェア著作権協会(ACCS)のWebサイトから1184人分の個人情報が引き出され、一部が公表された問題で、京都大学の研究員が不正アクセス禁止法違反と威力業務妨害の疑いで逮捕された(2月4日の記事参照)。しかしこの件が、善意による脆弱性の発見と修正という行為を萎縮させてしまうのは本来の意図とは異なると、ACCSはITmediaの取材に対して答えている。
「CGIの脆弱性を指摘するな、とは言わない。しかし指摘するにしても、良識やモラルなどに添った形で行ってほしかった」(ACCS広報)。また個人の善意による警告ではなく、事業者としてセキュリティ監査の一環としてペネトレーションテストを行うならば、あらかじめ契約の中で定めた守秘義務に従うべきだという。
WebアプリケーションおよびCGI、さかのぼればOSやアプリケーションに存在する脆弱性をどういった形で指摘し、公にするかについては、十年来の議論が続けられており、まだ確たる答はない。
数年前ならば、脆弱性の存在を指摘してもその存在を伏せ、対応も遅々として進まないベンダーの姿に業を煮やし、情報をすべてオープンにするという姿勢がセキュリティ研究者の主流だった。確かに、いまだに問題への対応が鈍い事業者も存在するが、セキュリティの重要性を意識するベンダーの比率が高まるにつれ、状況は変わってきたようだ。
たとえば昨今ではベンダーの中にも、脆弱性に関する専門の窓口(メールアドレス)を設け、指摘には一定期間内に返答するという体制を整えたところもあるし、セキュリティ企業側にも、独自にポリシーを定め、それに沿って脆弱性の指摘と情報公開を行うところが現れている。前者では、実はマイクロソフトがその例だし、後者については「脆弱性報告と公開のポリシー」を公表しているラックが挙げられるだろう。Webアプリケーションの脆弱性についても、同様の波が生じることを期待したい。
この際、最も重視されるべき観点はユーザーの保護だが、現実的な着地点は、その脆弱性が与えるインパクトの大きさや影響の範囲、対処策の難易度や必要な期間などを考慮しながらバランスを取ったところになる。その結果が水面下での解決になるにせよ、フルディスクロージャという形になるにせよ、脆弱性の性質に応じて慎重に取り組まなければならないことに変わりはない。
「やり方」に問題
ひるがえって、ACCSの個人情報漏えい事件はどうか。あるセキュリティ業界関係者は、たとえ本人の意図が脆弱性の指摘にあったとしても、事前にACCSにいっさい通知を行わず、しかも本来保護すべき対象である個人情報をイベントの場で公開してしまうという「やり方の部分がまずかったのではないか」と述べる。
またACCSも「いろいろとセキュリティ業界の方に意見を伺ったが、脆弱性の指摘を受け、解決を図るというのは日常的なことと聞いている」とし、脆弱性のチェックそのものは否定しない考えを示した。しかしながら今回の手法は、「良識から言って、やってはいけないこと」であり、むしろ個人情報を危険にさらすものだったという。
繰り返しになるが、「ユーザーが適切な対策を取れるように」と脆弱性の情報を即時に公表するケースもあれば、「悪意あるユーザーに脆弱性を利用されないよう」できる限り伏せる方法を選択する場合もあり、意見はまだ分かれたままである。そして、いずれの道をとるにせよ、まずユーザーの保護を念頭に置くべきであることに変わりはない。
ここでもう1つ懸念すべき事柄がある。本当に悪意を持った攻撃者が人知れず脆弱性を悪用し続けるようなケースだ。脆弱性が存在するにもかかわらず、誰もそれを指摘しないまま(つまり問題が放置されたまま)では、Webサイト運営者(ベンダー)とユーザーの双方ともが不幸になってしまう。
そうした事態を避けるためには、脆弱性の指摘と修正に関する合意可能なルールと、そのルールを執行する第三者機関が必要になってくるだろう。ACCSも「法に反せず、かつモラルに反しない形で脆弱性を指摘し、対応するにあたって、何らかの標準化された形があれば」と述べ、その具体的な検討に当たっているIPA(情報処理推進機構)ワーキンググループの成果に期待したいとした。
今回流出した個人情報だが、1月28日に再び掲示板上に流出してしまった。ACCSは、そのさらなる拡散防止に取り組むほか、該当者への謝罪を行う方針だ。さらに、根本的な原因である脆弱性を減らしていくためのACCS自身の取り組みとして、セキュリティチェックを十分に行う。合わせて、サーバの運用など業務委託契約を結ぶ際にはセキュリティに関する特記事項を設け、その中で誠実な対応を求めるといった方向を検討していくという。
ただいずれにせよ、CGIを悪用した研究員の行為が、グレーの部分が多い不正アクセス禁止法でどう裁かれるのか――意図との関連や具体的な入力作業のどこが法律に抵触するか――は、今後の捜査および裁判の行方に委ねられることになる。
関連記事ACCS個人情報流出で京大研究員逮捕
ACCS、個人情報流出事件を総括した報告書を公開
「足元から火がついた」──ACCSの個人情報流出は1184件、脆弱性を3年以上放置
脆弱性実証コード公開の「法的立場は不透明」
固まった「30日+30日」の脆弱性公表ルール
真に必要なのは「脆弱性の開示ルール」ではない
関連リンク
ASK ACCS
[高橋睦美,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.