「ウイルス罪」めぐる事件、セキュリティ事業者に余波 「活動の萎縮につながる」「指針が必要」(1/2 ページ)
セキュリティに関する情報を公表したり、交換したりすると、「ウイルス罪」に問われるのではないか――そんな懸念が、セキュリティ解析や知見の共有に取り組むエンジニアの間で広がっている。
さまざまなサイバー攻撃をいち早く検知し対処するには、攻撃者の手口、足掛かりとするインフラ、利用するツールなどの知見が欠かせません。ランサムウェアやbot、攻撃コードについても、例えばハニーポットを構築して捕まえ、解析することで、「どんな脆弱性が悪用されるのか」「どこが狙われているのか」を把握し、次の対策に役立てることができます。
しかし、そうした行為が「不正アクセス禁止法」に違反したり、「不正指令電磁的記録に関する罪」(通称:ウイルス作成・保管罪)にあたるとして、ある日突然逮捕されるのではないか――という懸念が、セキュリティ解析や知見の共有に取り組むエンジニアの間で広がっています。
きっかけとなったのは、仮想通貨のマイニングツール「Coinhive」を自分のサイトに設置したデザイナーが検挙された事件でした。その前後にも、リモートコントロール用のプログラムを紹介していたサイトが閉鎖されたり、アラートボックスが繰り返し表示されるWebサイトへのリンクを貼った男性が家宅捜索を受けたりしました。
そうした事件が相次いだことから、セキュリティに関する情報を公表したり、交換したりすると、自分たちも罪に問われるのではないかという懸念が広がっています。中には情報発信を自粛し、さらには勉強会の休止を表明するケースもあるほどです。
この数年、「セキュリティ人材が足りない」という話題があちこちのメディアで騒がれ続けてきました。それが妥当かどうかの議論も深まらないうちに、ここにきて突然今度は「AI人材が足りない」という話題に主役を奪われた感がありますが、基本的にはまだまだ足りないと言われ続けています。にもかかわらず、こうした自粛ムードが広がれば「セキュリティ人材の育成」とは正反対の動きになってしまうでしょう。
仕事でマルウェアを収集・保管したら罪に問われる?
こうした不安を抱いているのは、余暇の時間を生かして知的好奇心から、あるいは自分のスキル向上のために解析や情報収集を行っているエンジニアだけではありません。セキュリティ関連のサービスを手掛け、仕事の一環でマルウェアや脅威情報を扱うエンジニアや企業にとっても、ひとごとではなくなっています。
2017年には、セキュリティ企業ディアイティの社員が、ウイルス作成・保管の容疑で逮捕される事件が起こっています。この件は、結果的に不起訴処分になりました。しかし、日本ネットワークセキュリティ協会(JNSA)の唐沢勇輔氏(社会活動部会 副部会長)は「サイバーセキュリティ事業に携わっている人たちが『この状況は心配だ』『セキュリティ関連の情報をつぶやくのはやめた方がいいのだろうか』と言い出す状況になっている。このまま基準や指針があいまいなままでは、サイバーセキュリティに関する活動の萎縮につながるのではないかという懸念が広がっている」と指摘します。
唐沢氏は、JNSAの18年度活動報告会で「サイバーセキュリティ事業者としてのコンプライアンスリスクとその保護」と題するセッションに登壇。昨年9月、JNSAの田中英彦会長を委員長として発足した「サイバーセキュリティ事業における適正な事業遂行の在り方に関する検討委員会」(以下、検討委員会)の調査・議論の内容を紹介しました。
「マルウェアや脅威情報の取り扱いには注意が必要だということは、皆が『暗黙知』として知っていたはず。だが、世の中のサイバーセキュリティへの注目度が上がり、新規参入する技術者が増加する中、業界として何らかの指針が必要ではないかと考えた」(唐沢氏)
そこでJNSAは検討委員会を設け、アンケートや聞き取り調査を行い、現場の実態をくみ取りながら検討を進めてきました。警察庁を含む関連省庁、さらには提言をまとめた情報関連の学会とも、意見を交わしてきたそうです。
サイバーセキュリティはもちろん、IT運用や開発ツールの中には、正当な業務への利用はもちろんですが、悪用も可能なツール、いわゆる「デュアルユース」のプログラムが少なくありません。例えば、脆弱性検査ツールは自らのシステムのセキュリティチェックに使えますが、攻撃のターゲット探しにも悪用できてしまいます。
運用管理者の役に立ってほしいと、よかれと思って公開したプログラムが、犯罪者に悪用されることを防ぐのは不可能です。個人あるいは企業が事業の延長で作成した成果物や公開したツールが、万が一悪用された場合、開発者・公開者が罪に問われるのは果たして妥当なのか――検討委員会ではそんな議論も含め、セキュリティ事業を進める上でどのようなリスクがあるかを明らかにしていく方針だそうです。
関連記事
もしウイルス罪に問われたら、どう身を守る? Coinhive事件の弁護士が解説、YouTubeで全編公開
もしあなたが不正指令電磁的記録の罪に問われたら、どうすればいい?――日本ハッカー協会が4月、技術者向けに開いたセミナーの動画が、YouTubeで全編公開されている。Coinhive事件の弁護を担当し、一審で無罪を勝ち取った弁護士の平野敬さんなどによる講演を視聴できる。
「ウイルス罪」適用範囲、全都道府県警に開示請求 エンジニアが進ちょく公開、議員に陳情も……いたずらURL事件受け
いたずらURLを掲示板に書き込んだ3人がウイルス供用未遂の疑いで摘発。エンジニアの間で「何がアウトかセーフか分からない」と不安が広がる中、ウイルス罪の適用範囲を明らかにするよう求める情報公開請求を行うエンジニアが現れた。
「私は既に萎縮している」 セキュリティエンジニア、兵庫県警に情報公開請求 「いたずらURLで摘発」問題で
JavaScriptを使った無限ループプログラムのURLを掲示板に書き込んだ3人が摘発された事件。「何がセーフで何がアウトか分からない」とエンジニアの間で困惑が広がる中、あるセキュリティエンジニアが兵庫県警に対して、どういった内容が摘発対象になるか説明を求める情報公開請求を行った。
「いたずらURL貼って補導」がIT業界の萎縮をまねく理由
JavaScriptのループ機能を使った“ブラクラ”のURLを書き込んだ3人が摘発されて物議を醸している。今回の事件で本当に注目すべき問題は何なのか。同じく問題視されている改正著作権法の共通点についてもまとめたい。
アラートループで書類送検の男性2人、起訴猶予に 「嫌疑なしにすべきだった」担当弁護士が異例の声明、検察を批判
ポップアップが繰り返し表示されるサイトのURLを掲示板に書き込んだとして、不正指令電磁的記録供用未遂の疑いで神戸地検に書類送検された男性2人が起訴猶予処分に。弁護士は「『嫌疑なし』の判断をすべきだった」と検察を批判している。
Copyright © ITmedia, Inc. All Rights Reserved.