ITmedia NEWS > セキュリティ >
ニュース
» 2021年12月13日 20時38分 公開

「Log4j」の脆弱性を突く攻撃手段の情報共有は違法? 日本ハッカー協会に聞いた

ログ出力ライブラリ「Apache Log4j」に、任意のリモートコードを実行できる脆弱性があることが明らかになった問題で、その攻撃手段をネット上で共有する行為は、不正指令電磁的記録に関する罪に問われるのではないかと、エンジニアを中心に議論が起きている。

[松浦立樹,ITmedia]

 文字列を記録させるだけで任意のリモートコードを実行できるゼロデイ脆弱性があることが明らかになった、Javaのログ出力ライブラリ「Apache Log4j」。12月10日に話題になってから、Javaを使ったシステムに関係するITエンジニアは対応に追われている。一方で、その脆弱性を突く具体的な手段をネット上で共有する行為は「不正指令電磁的記録に関する罪に問われるのではないか」と議論が起きている。

「罪に問われる可能性はある」

 問題解決のためとはいえ、攻撃手段となりうる情報の共有は罪に問われるのか。日本ハッカー協会の杉浦隆幸理事に聞いたところ「log4jの脆弱性をつく攻撃を実際に実行して、成功してしまうと不正アクセス禁止法に該当する」と前置きした上で「そのコードを共有する行為は不正指令電磁的記録に関する罪に問われる可能性は十分にある」と指摘する。

 不正指令電磁的記録に関する罪とは、コンピュータウイルスの作成や提供、供用、取得、保管行為を罰するもの。処罰の対象は「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」などとしている。

「不正指令電磁的記録に関する罪」(警視庁公式Webサイトから引用)

 「そもそも警察が検挙するのかは分からない」(同)としつつも、現状の法整備では共有などの行為でも法に触れるリスクがあるという。

情報共有は「うまくやる必要がある」

 では、対応方法がまだ確立されていないゼロデイ脆弱性への対応はどのように議論を進めればいいのか。

 「画像が直接不正指令を与えるわけではないため、文字を画像に変えたものは問題ない。情報を共有するには一工夫を加えるなど、うまくやる必要がある」と杉浦理事は話す。他にも、海外の記事を参考に情報収集する分には問題はなく、セキュリティ情報が集まるコミュニティーに入って情報収集するのも有効的とした。

 日本ハッカー協会は同協会の会員に対し、サイバー犯罪の疑いを持たれた際に弁護士費用を助成するなど法的に支援するサービスを提供している。この件で会員が検挙の対象になれば、弁護士費用などは確実に援助していくと案内している。

「ハッカーを守るための活動」(日本ハッカー協会の公式Webサイトから引用)

 不正指令電磁的記録に関する罪を巡っては、情報セキュリティやハッキングに関する記事を掲載していたWebサイト「Wizard Bible」に投稿した少年が不正アクセス禁止法疑いで2017年に逮捕された。その後2018年に、Wizard Bibleも不正指令電磁的記録提供の罪で略式起訴され、同年4月に同サイトを閉鎖していた。

Copyright © ITmedia, Inc. All Rights Reserved.