米最高裁が善意のハッカーを保護できない現行のコンピューター詐欺・不正利用防止法訴訟を審理

次の記事

LAのアイコン的起業家でネット靴店Zappos元CEOのトニー・シェイ氏が46才で死去、住宅火災で負った怪我が原因

米国時間11月30日、米最高裁判所は賛否を呼ぶ米国コンピューター・ハッキンク法の大幅な改訂につながり、何千万人という人々がコンピューターやオンラインサービスを利用する方法に影響を与える裁判の聴聞(米最高裁判所リリース)を行う。

Computer Fraud and Abuse Act(CFAA、コンピューター詐欺・不正利用防止法)は1986年に連邦法として成立し、我々の知る近代インターネット以前から存在しているが、現在ハッキング、あるいはコンピューターやネットワークの「不正」アクセスとされているものを支配している。議論を呼ぶ同法は、ハッカーを摘発することを目的としていたが、批評家はテクノロジー法律書で「最悪の法律」(EFF記事)と呼び、時代遅れであり、その曖昧な文言のためにセキュリティ脆弱性を発見、公表する善意のハッカーを保護することができないと指摘している。

本訴訟の中心人物は、ジョージア州の元巡査部長であるNathan Van Buren(ネイサン・ヴァン・ビューレン)氏だ。ヴァン・ビューレン氏は警察の自動車ナンバープレートデータベースにアクセスし、現金と引き換えに知人のために検索した。ヴァン・ビューレン氏は逮捕され、2件の罪で起訴された。警察データベースをアクセスして報酬を得たこと、およびCFAA違反だ。前者の罪状は却下されたが、CFAAの罪はそのままだった。

ヴァン・ビューレン氏は警察任務のためにデータベースをアクセスすることを許されていたかもしれないが、そのアクセス限度を超えていたかどうかは現在も重要な法的争点だ。

カリフォルニア大学バークレー校のOrin Kerr(オーリン・カー)法律学担当教授は、ヴァン・ビューレン対米国裁判は、最高裁判所が取り上げるべき「理想的事例」だという。「この問題をこれ以上明瞭に表すものはない」と、同教授は4月にブログに書いている

最高裁判所は、法律にとって「unauthorized(不正)」アクセスが何を意味するかを規定することで数十年来の法律を明確化しようとしている。しかしそれは、本質的に簡単な答えではない。

「本事例に関する最高裁の見解は、数千万人の米国一般市民が、日常的でありながらオンラインサービスや雇用者の決めた利用規約に適合していないコンピューター操作を行うたびに、連邦犯罪を犯すかどうかを決めるものです」とスタンフォード大学ロースクールの監視・サイバーセキュリティ副責任者、Riana Pfefferkorn(リアナ・ペッパーコーン)氏は語った。ペッパーコーン氏の同僚であるJeff Fisher(ジェフ・フィッシャー)氏は最高裁法定でヴァン・ビューレン氏を弁護している。

最高裁判所が、 「不正」の意味をどう決定するかは誰にもわからない。法廷は不正アクセスをサイトの利用規定に違反する(EFF記事)ことからユーザーアカウントを持たないシステムにログインすることまで、あらゆる範囲で定義する可能性がある。

CFAAを広く解釈すれば、出会い系サイトのプロフィールを偽ることから、ストリーミングサービスのパスワードを共有(未訳記事)したり、職場のコンピューターを雇用者のポリシーに違反して個人利用することまで、なんでも犯罪にできるとペッパーコーン氏は語る。

しかし最高裁判所の最終判断は、善意のハッカーやセキュリティ研究者がシステムのセキュリティを高める目的で意図的にシステム侵入する行為に対しても予期せぬ影響を与える可能性がある。ハッカーやセキュリティ研究者は数十年にわたりグレイエリアで活動してきた。それは、たとえサイバーセキュリティを改善することが目的であっても、彼らの活動を告発するように法律が作られているためだ。

テクノロジー企業は何年にもわたり、ハッカーがセキュリティ欠陥を個人的に報告してくることを推奨してきた。代償として企業はシステムを修復しハッカーに報酬を渡す。Mozilla(モジラ)、Dropbox(ドロップボックス)、Tesla(テスラ、未訳記事)をはじめとする一部の企業は、善意のハッカーをCFAAで告発しないという誓約までしている。しかしどの企業もそのような監視行動を歓迎しているわけではなく、トレンドに抵抗して欠陥を発見した 研究者を訴える(未訳記事)と脅したり、中には有り難くない記事見出しを防ぐために積極的に訴訟(ZDNet記事)した会社もある。

セキュリティ研究者は法的脅威に縁がないわけではないが、最高裁判所がヴァン・ビューレン氏に不利な裁定を下せば、彼らの活動を萎縮させ、脆弱性の公表を地下に追いやる恐れがある。

「もし、コンピューターシステムの利用ポリシーに違反することで刑事(および民事)犯罪になる可能性があるなら、システムのオーナーは善良なセキュリティ研究者を排除し、研究者がシステム上で発見した脆弱性を公表させなくする力を得ることになります」とペッパーコーン氏はいう。「バグ報酬プログラムが決めたルールをうっかり踏み外しただけで、研究者が法的責任を負う危険さえあるのです」。

「いまは裁判所が法律の適用範囲の曖昧さを解決し、CFAAの解釈を狭めることでセキュリティ研究者が強く求められている活動を行えるようにするチャンスなのです」とペッパーコーン氏はいう。「サイバーセキュリティを強化しようとする人々を遠ざける余裕など私たちにありません」。

最高裁判所は、本件を11月29日あるいは30日の早くに裁決する見込みだ。

カテゴリー:セキュリティ
タグ:CFAA

画像クレジット:Robert Alexander / Getty Images

原文へ

(翻訳:Nob Takahashi / facebook