タグ: CFAA(用語)

米最高裁がLinkedInのスクレイピング禁止訴訟の再審問を指示

最高裁判所は、LinkedIn(リンクトイン)に対し、ライバル会社がユーザーの公開プロフィールから個人情報をスクレイピングするのを止めさせるチャンスを再び与えた。LinkedInが違法であるべきだと主張するスクレイピング行為が禁止されれば、インターネット研究者やアーカイビストには予期しない影響を与える可能性がある。

LinkedInは2019年、CFAA(コンピューター犯罪取締法)は企業がインターネットで公にアクセス可能なデータをスクレイピングすることを禁止しないとする連邦第9巡回区控訴裁判所の裁定によって、Hiq Labsを訴えた裁判に敗訴した。

Microsoft(マイクロソフト)傘下のソーシャルネットワークは、同社のユーザープロフィールの大量スクレイピングは、許可なくコンピューターをアクセスすることを禁止しているコンピューター犯罪取締法に違反していると主張した。

公開データを使って従業員の減少を分析するHiq Labsは、LinkedInに有利な裁決は「インターネットのオープンなアクセスに深刻な影響を与えるものであり、30年前にCFAAを制定した時に議会が意図したはずのない結果だ」と主張した(Hiq LabsはFacebookからも訴えられた。当時同社はFacebookとInstagramだけでなく、Amazon、Twitter、YouTubeもスクレイピングしていた)。

関連記事:Facebookがデータスクレイピングを実行する2社を提訴

最高裁判所はこの件を扱わず、最新の裁定を踏まえて再度審問するよう控訴裁判所に命じた。裁定は、使用を許可されたコンピューター上のデータを不適切にアクセスした場合はCFAAに違反することがないとした。

一時CFAAは、テクノロジーや法律の書籍で「最悪の法律」と批判され、時代遅れで曖昧な文言が現在のインターネットのスピードに追いついていないと長年言われてきた。

ジャーナリストやアーキビストは、古いサイトや閉鎖されるサイトのアーカイブコピーを保存する方法として、公開データのスクレイピングを長年行っている。しかし、それ以外のスクレイピング事例はプライバシーと市民の自由を巡って怒りと懸念の火をつけた。2019年に、あるセキュリティ研究者は数百万件のVenmo取り引きをスクレイピングした。Venmoはデフォルトでデータをプライベートに設定していなかった。賛否の分かれる顔認識スタートアップClearview Alは、許可を得ることなく300億枚以上のプロフィール写真をスクレイピングしたと言っている。

関連記事:Clearview AIの顔認識技術はカナダでもプライバシー侵害で違法

カテゴリー:ネットサービス
タグ:LinkedIn裁判スクレイピングMicrosoftCFAAプライバシー

画像クレジット:Ali Balikci / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

米最高裁が時代遅れで善意のハッカーを保護できないコンピューター詐欺・不正利用防止法訴訟を審理

米国時間11月30日、米最高裁判所は賛否を呼ぶ米国コンピューター・ハッキンク法の大幅な改訂につながり、何千万人という人々がコンピューターやオンラインサービスを利用する方法に影響を与える裁判の聴聞(米最高裁判所リリース)を行う。

Computer Fraud and Abuse Act(CFAA、コンピューター詐欺・不正利用防止法)は1986年に連邦法として成立し、我々の知る近代インターネット以前から存在しているが、現在ハッキング、あるいはコンピューターやネットワークの「不正」アクセスとされているものを支配している。議論を呼ぶ同法は、ハッカーを摘発することを目的としていたが、批評家はテクノロジー法律書で「最悪の法律」(EFF記事)と呼び、時代遅れであり、その曖昧な文言のためにセキュリティ脆弱性を発見、公表する善意のハッカーを保護することができないと指摘している。

本訴訟の中心人物は、ジョージア州の元巡査部長であるNathan Van Buren(ネイサン・ヴァン・ビューレン)氏だ。ヴァン・ビューレン氏は警察の自動車ナンバープレートデータベースにアクセスし、現金と引き換えに知人のために検索した。ヴァン・ビューレン氏は逮捕され、2件の罪で起訴された。警察データベースをアクセスして報酬を得たこと、およびCFAA違反だ。前者の罪状は却下されたが、CFAAの罪はそのままだった。

ヴァン・ビューレン氏は警察任務のためにデータベースをアクセスすることを許されていたかもしれないが、そのアクセス限度を超えていたかどうかは現在も重要な法的争点だ。

カリフォルニア大学バークレー校のOrin Kerr(オーリン・カー)法律学担当教授は、ヴァン・ビューレン対米国裁判は、最高裁判所が取り上げるべき「理想的事例」だという。「この問題をこれ以上明瞭に表すものはない」と、同教授は4月にブログに書いている

最高裁判所は、法律にとって「unauthorized(不正)」アクセスが何を意味するかを規定することで数十年来の法律を明確化しようとしている。しかしそれは、本質的に簡単な答えではない。

「本事例に関する最高裁の見解は、数千万人の米国一般市民が、日常的でありながらオンラインサービスや雇用者の決めた利用規約に適合していないコンピューター操作を行うたびに、連邦犯罪を犯すかどうかを決めるものです」とスタンフォード大学ロースクールの監視・サイバーセキュリティ副責任者、Riana Pfefferkorn(リアナ・ペッパーコーン)氏は語った。ペッパーコーン氏の同僚であるJeff Fisher(ジェフ・フィッシャー)氏は最高裁法定でヴァン・ビューレン氏を弁護している。

最高裁判所が、 「不正」の意味をどう決定するかは誰にもわからない。法廷は不正アクセスをサイトの利用規定に違反する(EFF記事)ことからユーザーアカウントを持たないシステムにログインすることまで、あらゆる範囲で定義する可能性がある。

CFAAを広く解釈すれば、出会い系サイトのプロフィールを偽ることから、ストリーミングサービスのパスワードを共有(未訳記事)したり、職場のコンピューターを雇用者のポリシーに違反して個人利用することまで、なんでも犯罪にできるとペッパーコーン氏は語る。

しかし最高裁判所の最終判断は、善意のハッカーやセキュリティ研究者がシステムのセキュリティを高める目的で意図的にシステム侵入する行為に対しても予期せぬ影響を与える可能性がある。ハッカーやセキュリティ研究者は数十年にわたりグレイエリアで活動してきた。それは、たとえサイバーセキュリティを改善することが目的であっても、彼らの活動を告発するように法律が作られているためだ。

テクノロジー企業は何年にもわたり、ハッカーがセキュリティ欠陥を個人的に報告してくることを推奨してきた。代償として企業はシステムを修復しハッカーに報酬を渡す。Mozilla(モジラ)、Dropbox(ドロップボックス)、Tesla(テスラ、未訳記事)をはじめとする一部の企業は、善意のハッカーをCFAAで告発しないという誓約までしている。しかしどの企業もそのような監視行動を歓迎しているわけではなく、トレンドに抵抗して欠陥を発見した 研究者を訴える(未訳記事)と脅したり、中には有り難くない記事見出しを防ぐために積極的に訴訟(ZDNet記事)した会社もある。

セキュリティ研究者は法的脅威に縁がないわけではないが、最高裁判所がヴァン・ビューレン氏に不利な裁定を下せば、彼らの活動を萎縮させ、脆弱性の公表を地下に追いやる恐れがある。

「もし、コンピューターシステムの利用ポリシーに違反することで刑事(および民事)犯罪になる可能性があるなら、システムのオーナーは善良なセキュリティ研究者を排除し、研究者がシステム上で発見した脆弱性を公表させなくする力を得ることになります」とペッパーコーン氏はいう。「バグ報酬プログラムが決めたルールをうっかり踏み外しただけで、研究者が法的責任を負う危険さえあるのです」。

「いまは裁判所が法律の適用範囲の曖昧さを解決し、CFAAの解釈を狭めることでセキュリティ研究者が強く求められている活動を行えるようにするチャンスなのです」とペッパーコーン氏はいう。「サイバーセキュリティを強化しようとする人々を遠ざける余裕など私たちにありません」。

最高裁判所は、本件を11月29日あるいは30日の早くに裁決する見込みだ。

カテゴリー:セキュリティ
タグ:CFAA

画像クレジット:Robert Alexander / Getty Images

原文へ

(翻訳:Nob Takahashi / facebook