企業とホワイトハッカーを結ぶ 日本初のバグ報奨金プラットフォーム BugBounty.jp

サイバーセキュリティエンジニアブログ

bugbounty.jp

ホワイトハッカー入門

ホワイトハッカーとして守るべきルールとは

ホワイトハッカー入門 第2回目

Sep 5, 2016 08:00 by 角田 朱生

第2回目はホワイトハッカーとしてのルールを説明します。

スポーツと同じように、脆弱性を見つける際もルールを守らないと、悪意はないのに不正行為とみなされてしまう可能性があります。不正疑惑をかけられないためにも、脆弱性の調査を始める前にルールをしっかり抑えておきましょう。

脆弱性調査による影響

脆弱性を見つけるには開発者が意図していないような操作を行うため、ソフトウェアの動作に影響を与えることがあります。

調査対象のソフトウェアが、ローカルのみで動作するもの(パッケージソフトウェアなど)であれば影響を受けるは自身のみです。しかし、インターネットを介したリモートで動作するもの(Webアプリケーションなど)であった場合、その運営者やユーザーなど他人にまで影響が及ぶ可能性があります。

バグ報奨金制度では各社独自のルールが決められており、それに従うことで法的なトラブルは避けられます。しかし、許可を得ていないサービスを勝手に調査した場合、その影響や調査方法によっては法的な責任を問われる可能性があります。

業務妨害罪について

調査行為によりサービスの停止やデータを破壊し、他人の業務や活動を妨げてしまうと「業務妨害罪」にあたる可能性があります。「業務妨害罪」には次の3つがあります。

  • 業務妨害罪
    • 偽計業務妨害罪(刑法233条)
    • 威力業務妨害罪(刑法234条)
    • 電子計算機損壊等業務妨害罪(刑法234条の2)

「電子計算機損壊等業務妨害罪」での業務妨害にあたる行為を、Wikipediaでは次のように説明しています。

業務に使用するコンピュータの破壊、コンピュータ用のデータの破壊、コンピュータに虚偽のデータや不正な実行をするなどの方法により、コンピュータに目的に沿う動作をしないようにしたり、目的に反する動作をさせたりして、業務を妨害する行為

Wikipedia「信用毀損罪・業務妨害罪」より抜粋

過去の事例を見てみましょう。2014年、オンラインゲーム「サドンアタック」に対し不正なプログラム(チートツール)を用いて運営会社の業務を妨げたとして、少年3人が電子計算機損壊等業務妨害の疑いで書類送検されました。見つけた脆弱性を悪用してゲームでズル(チート)をすると刑法で裁かれることもあるのです。

また、一時的に大量の調査パターンを試すツール(脆弱性スキャナー)を用いた調査は、ソフトウェアの動作に影響を与える可能性が高くなります。このようなツールは自身が管理するソフトウェア以外に使用してはいけません。

不正アクセス禁止法について

調査行為による影響だけでなく、調査行為自体が不正アクセスとして法に触れる場合もあります。不正アクセスを罰する法律として次のものがあります。

  • 不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)

この法律での不正アクセスにあたる行為を、Wikipediaでは次のように説明しています。

  1. 電気通信回線(インターネット・LAN等)を通じて、アクセス制御機能を持つ電子計算機にアクセスし、他人の識別符号(パスワード・生体認証など)を入力し、アクセス制御機能(認証機能)を作動させて、本来制限されている機能を利用可能な状態にする行為 (1号)
  2. 電気通信回線を通じて、アクセス制御機能を持つ電子計算機にアクセスし、識別符号以外の情報や指令を入力し、アクセス制御機能を作動させて、本来制限されている機能を利用可能な状態にする行為 (2号)
  3. 電気通信回線を通じて、アクセス制御機能を持つ他の電子計算機により制限されている電子計算機にアクセスし、識別符号以外の情報や指令を入力し、アクセス制御機能を作動させて、本来制限されている機能を利用可能な状態にする行為 (3号)

Wikipedia「不正アクセス行為の禁止等に関する法律」より抜粋

他人のパスワードを用いたり脆弱性を悪用して本来権限のないデータや機能にアクセスする行為は、「不正アクセス禁止法」に触れ、逮捕される可能性があります。

調査行為が不正アクセス禁止法違反として認められた事例として、2003年に元大学研究員が行ったACCS(一般社団法人 コンピュータソフトウェア著作権協会)のWebサイトへの脆弱性調査があげられます。この事件では、Webサイトで見つけた脆弱性を用いて本来アクセスできないはずのサイト利用者の個人情報を含んだログファイルにアクセスしたとして、元研究員に懲役8ヵ月・執行猶予3年の判決が言い渡されました。

調査行為のすべてが不正アクセスにあたるわけではありませんが、場合によってはこのような刑罰を受けることもあるのです。また、調査行為が不正アクセスにあたるかどうかの判断にはIT技術と法律についての深い知識が必要であるため、中途半端な知識とスキルで判断するのは危険です。許可を得ていないサービスへの調査は行わないようにしましょう。

脆弱性を見つけることの目的を見失わず、ルールを守って調査することがホワイトハッカーになるための必須条件です。

次回からはWebアプリケーションの脆弱性の見つけ方を紹介していきます。Webアプリケーションは日常生活や仕事に欠かせないサービスです。その脆弱性を見つけられるスキルが今、ホワイトハッカーに求められています。

この記事をシェアしませんか?

  • 0

この記事のライター

角田 朱生

角田 朱生

同じカテゴリーの記事