ミズーリ州知事が州のデータ漏えいを報じた地元ジャーナリストを告訴すると脅迫

米国ミズーリ州のMike Parson(マイク・パーソン)知事は、州ウェブサイトの深刻なセキュリティ障害を報道したジャーナリストを告訴すると脅したことで前代未聞の非難を浴びている。

先にSt. Louis Post-Dispatch(セントルイス・ポスト・ディスパッチ)紙のJosh Renaud(ジョシュ・ルノー)記者は、 州の初等中等教育局(DESE)のウェブサイトが、10万人を超える教員の社会保障番号(SSN)を露出したことを報じた。問題のSSNは同サイトのウェブページのHTMLソースコード経由で発見が可能で、インターネット接続のある人なら誰でも、ページで右クリックして「ページのソースを表示」を選ぶだけで個人情報を見ることができる。多くの人にとって、ページのソースコードはキーボードの「F12」キーを押すだけで見える。

Post-Dispatch紙はウェブサイトを修正するよう州当局に脆弱性を通知し、州に修正する時間を十分与えるために記事の公開を遅らせた。その後教育局は「教員検索機能は直ちに無効化」され、脆弱性はすでに修正されたことを正式発表した

それで終わるはずだった。当局責任者であれば、不具合を発見して公表前に警告してくれたことについて同紙に感謝するのが一般的だが、ミズーリ州の共和党州知事マイク・パーソン氏は、脆弱性を発見したジャーナリストを「ハッカー」呼ばわりし、新聞社が欠陥を発見したのは「州当局を辱める」ためだったと語った。

「ハッカーとは情報やコンテンツを不正にアクセスする連中です。この人物は自分のやったことの許可を得ていません」と米国時間10月14日の記者会見で知事は語った。「この人物は被害者ではありません。新聞社は州当局に逆らい、教員たち個人情報を漏洩させることで州をはずかしめ自分たちの報道機関の見出しを飾ろうとしたのです」。

関連記事:オープンソース版の登場に対してWhat3Wordsがセキュリティ研究者に法的警告を送付

「私たちのシステムをハッキングする者やそれを幇助する者に対して州は断固として法的措置をとります」と、パーソン氏は言った。さらに知事は本件を郡検察庁に送致した。

当然のことながら、Post-Dispatch紙の記事に対する知事の反応(および「ハッカー」という用語に対する明らかに誤解)は批判を噴出させ、彼自身の党内からも避難を浴びた。共和党のTony Lovasco(トニー・ロバスコ)議員はTwitter(ツイッター)に「知事室がウェブテクノロジーおよびセキュリティ脆弱性の報告に関する業界標準手続きを根本的に理解していないことは明らかです」と指摘し「ジャーナリストがデータ・プライバシーに関して責任を持って警告を発することは犯罪的ハッキングではありません」と付け加えた。

Ron Wyden(ロン・ワイデン)上院議員もパーソン氏の発言を非難するツイートをした。「ジャーナリズムは犯罪ではありません。サイバーセキュリティ研究も同様です。真のリーダーは報道が政府の失敗を暴露したときに攻撃犬を放ったりせず、真摯に問題を修正するものです」。

サイバーセキュリティ業界も直ちにパーソン氏の発言に介入した。ハッカーでSocialProof Security(ソーシャルプルーフ・セキュリティ)CEOのRachel Tobac(ラチェル・トバック)氏は次のようにツイートした。「公共機関の提供するツールで誰でもキーボードのF12を押すだけで個人情報が漏洩されるようなら、そこにあるのはハッキング状態ではなく、重大なデータ漏えい問題です」。

Post-Dispatch紙はパーソン氏の発言を真に受けることもなく、ルノー記者を支持する立場をとっている。同紙は、自社の記者は「自らの発見を教育局に報告することで、州当局が露見や悪用を防げるようする責任ある行動をとったのです」と語った。

「ハッカーとは、悪意や犯罪の意図をもってコンピューターセキュリティを破る人々のことです。今回の行動に、ファイアーウォールやセキュリティの侵害も、悪意も一切ありません」と同紙が声明で語った。「教育局がこれを『ハッキング』と称することで自らの失敗への批判をかわそうとすることに根拠はありません」。

もちろん、パーソン知事は、州がセキュリティ脆弱性を発見、修正するのを手助けしたその犯罪とされる行為の「責任」がPost-Dispatch紙にあると主張しているものの、米国最高裁判所が最近のVan Buren(ヴァン・ビューレン)事件の判決で、本来見ることのできないファイルや情報をアクセスした者は法に違反していると裁定したことを踏まえると、ルノー氏が最終的に有罪判決を受ける可能性は低い。

しかし、もし州当局が法的措置に出れば、訴えがジャーナリズムやセキュリティ研究を萎縮させ、セキュリティ欠陥を発見して当事者に報告したセキュリティ研究者が法的脅威や攻撃に直面する問題がさらに拡大しかねない。

関連記事:オープンソース版の登場に対してWhat3Wordsがセキュリティ研究者に法的警告を送付

画像クレジット:Evgenii Bobrov / Getty Images

原文へ

(文:Carly Page、翻訳:Nob Takahashi / facebook