「Log4j」の脆弱性を突く攻撃手段の情報共有は違法? 日本ハッカー協会に聞いた
ログ出力ライブラリ「Apache Log4j」に、任意のリモートコードを実行できる脆弱性があることが明らかになった問題で、その攻撃手段をネット上で共有する行為は、不正指令電磁的記録に関する罪に問われるのではないかと、エンジニアを中心に議論が起きている。
文字列を記録させるだけで任意のリモートコードを実行できるゼロデイ脆弱性があることが明らかになった、Javaのログ出力ライブラリ「Apache Log4j」。12月10日に話題になってから、Javaを使ったシステムに関係するITエンジニアは対応に追われている。一方で、その脆弱性を突く具体的な手段をネット上で共有する行為は「不正指令電磁的記録に関する罪に問われるのではないか」と議論が起きている。
「罪に問われる可能性はある」
問題解決のためとはいえ、攻撃手段となりうる情報の共有は罪に問われるのか。日本ハッカー協会の杉浦隆幸理事に聞いたところ「log4jの脆弱性をつく攻撃を実際に実行して、成功してしまうと不正アクセス禁止法に該当する」と前置きした上で「そのコードを共有する行為は不正指令電磁的記録に関する罪に問われる可能性は十分にある」と指摘する。
不正指令電磁的記録に関する罪とは、コンピュータウイルスの作成や提供、供用、取得、保管行為を罰するもの。処罰の対象は「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」などとしている。
「そもそも警察が検挙するのかは分からない」(同)としつつも、現状の法整備では共有などの行為でも法に触れるリスクがあるという。
情報共有は「うまくやる必要がある」
では、対応方法がまだ確立されていないゼロデイ脆弱性への対応はどのように議論を進めればいいのか。
「画像が直接不正指令を与えるわけではないため、文字を画像に変えたものは問題ない。情報を共有するには一工夫を加えるなど、うまくやる必要がある」と杉浦理事は話す。他にも、海外の記事を参考に情報収集する分には問題はなく、セキュリティ情報が集まるコミュニティーに入って情報収集するのも有効的とした。
日本ハッカー協会は同協会の会員に対し、サイバー犯罪の疑いを持たれた際に弁護士費用を助成するなど法的に支援するサービスを提供している。この件で会員が検挙の対象になれば、弁護士費用などは確実に援助していくと案内している。
不正指令電磁的記録に関する罪を巡っては、情報セキュリティやハッキングに関する記事を掲載していたWebサイト「Wizard Bible」に投稿した少年が不正アクセス禁止法疑いで2017年に逮捕された。その後2018年に、Wizard Bibleも不正指令電磁的記録提供の罪で略式起訴され、同年4月に同サイトを閉鎖していた。
関連記事
- 「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
Javaで使われるログ出力ライブラリ「Apache Log4j」に特定の文字列を送ることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが分かった。Java開発製品の広範囲に影響するとみられる。 - Coinhive裁判、弁護側がIT業界から意見書募集 Web上の声をくみあげ、最高裁に提出
Coinhive事件の東京高裁による有罪判決を受け、弁護人の平野敬弁護士が日本ハッカー協会を通じて、意見書の募集を始めた。高裁判決に対し、平野弁護士はソフトウェア開発などの萎縮を招くと指摘。IT業界で働く人たちから意見を募る。 - 「ウイルス罪」めぐる事件、セキュリティ事業者に余波 「活動の萎縮につながる」「指針が必要」
セキュリティに関する情報を公表したり、交換したりすると、「ウイルス罪」に問われるのではないか――そんな懸念が、セキュリティ解析や知見の共有に取り組むエンジニアの間で広がっている。 - アラートループで書類送検の男性2人、起訴猶予に 「嫌疑なしにすべきだった」担当弁護士が異例の声明、検察を批判
ポップアップが繰り返し表示されるサイトのURLを掲示板に書き込んだとして、不正指令電磁的記録供用未遂の疑いで神戸地検に書類送検された男性2人が起訴猶予処分に。弁護士は「『嫌疑なし』の判断をすべきだった」と検察を批判している。 - 中小企業の約6割「サイバートラブル公表せず」 IPAの調査で明らかに
情報処理推進機構(IPA)は、中小企業の約6割が、勤務先でウイルスやランサムウェアに感染してもトラブルを社外に公表していないとする調査結果を発表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.