米最高裁が時代遅れで善意のハッカーを保護できないコンピューター詐欺・不正利用防止法訴訟を審理

米国時間11月30日、米最高裁判所は賛否を呼ぶ米国コンピューター・ハッキンク法の大幅な改訂につながり、何千万人という人々がコンピューターやオンラインサービスを利用する方法に影響を与える裁判の聴聞(米最高裁判所リリース)を行う。

Computer Fraud and Abuse Act(CFAA、コンピューター詐欺・不正利用防止法)は1986年に連邦法として成立し、我々の知る近代インターネット以前から存在しているが、現在ハッキング、あるいはコンピューターやネットワークの「不正」アクセスとされているものを支配している。議論を呼ぶ同法は、ハッカーを摘発することを目的としていたが、批評家はテクノロジー法律書で「最悪の法律」(EFF記事)と呼び、時代遅れであり、その曖昧な文言のためにセキュリティ脆弱性を発見、公表する善意のハッカーを保護することができないと指摘している。

本訴訟の中心人物は、ジョージア州の元巡査部長であるNathan Van Buren(ネイサン・ヴァン・ビューレン)氏だ。ヴァン・ビューレン氏は警察の自動車ナンバープレートデータベースにアクセスし、現金と引き換えに知人のために検索した。ヴァン・ビューレン氏は逮捕され、2件の罪で起訴された。警察データベースをアクセスして報酬を得たこと、およびCFAA違反だ。前者の罪状は却下されたが、CFAAの罪はそのままだった。

ヴァン・ビューレン氏は警察任務のためにデータベースをアクセスすることを許されていたかもしれないが、そのアクセス限度を超えていたかどうかは現在も重要な法的争点だ。

カリフォルニア大学バークレー校のOrin Kerr(オーリン・カー)法律学担当教授は、ヴァン・ビューレン対米国裁判は、最高裁判所が取り上げるべき「理想的事例」だという。「この問題をこれ以上明瞭に表すものはない」と、同教授は4月にブログに書いている

最高裁判所は、法律にとって「unauthorized(不正)」アクセスが何を意味するかを規定することで数十年来の法律を明確化しようとしている。しかしそれは、本質的に簡単な答えではない。

「本事例に関する最高裁の見解は、数千万人の米国一般市民が、日常的でありながらオンラインサービスや雇用者の決めた利用規約に適合していないコンピューター操作を行うたびに、連邦犯罪を犯すかどうかを決めるものです」とスタンフォード大学ロースクールの監視・サイバーセキュリティ副責任者、Riana Pfefferkorn(リアナ・ペッパーコーン)氏は語った。ペッパーコーン氏の同僚であるJeff Fisher(ジェフ・フィッシャー)氏は最高裁法定でヴァン・ビューレン氏を弁護している。

最高裁判所が、 「不正」の意味をどう決定するかは誰にもわからない。法廷は不正アクセスをサイトの利用規定に違反する(EFF記事)ことからユーザーアカウントを持たないシステムにログインすることまで、あらゆる範囲で定義する可能性がある。

CFAAを広く解釈すれば、出会い系サイトのプロフィールを偽ることから、ストリーミングサービスのパスワードを共有(未訳記事)したり、職場のコンピューターを雇用者のポリシーに違反して個人利用することまで、なんでも犯罪にできるとペッパーコーン氏は語る。

しかし最高裁判所の最終判断は、善意のハッカーやセキュリティ研究者がシステムのセキュリティを高める目的で意図的にシステム侵入する行為に対しても予期せぬ影響を与える可能性がある。ハッカーやセキュリティ研究者は数十年にわたりグレイエリアで活動してきた。それは、たとえサイバーセキュリティを改善することが目的であっても、彼らの活動を告発するように法律が作られているためだ。

テクノロジー企業は何年にもわたり、ハッカーがセキュリティ欠陥を個人的に報告してくることを推奨してきた。代償として企業はシステムを修復しハッカーに報酬を渡す。Mozilla(モジラ)、Dropbox(ドロップボックス)、Tesla(テスラ、未訳記事)をはじめとする一部の企業は、善意のハッカーをCFAAで告発しないという誓約までしている。しかしどの企業もそのような監視行動を歓迎しているわけではなく、トレンドに抵抗して欠陥を発見した 研究者を訴える(未訳記事)と脅したり、中には有り難くない記事見出しを防ぐために積極的に訴訟(ZDNet記事)した会社もある。

セキュリティ研究者は法的脅威に縁がないわけではないが、最高裁判所がヴァン・ビューレン氏に不利な裁定を下せば、彼らの活動を萎縮させ、脆弱性の公表を地下に追いやる恐れがある。

「もし、コンピューターシステムの利用ポリシーに違反することで刑事(および民事)犯罪になる可能性があるなら、システムのオーナーは善良なセキュリティ研究者を排除し、研究者がシステム上で発見した脆弱性を公表させなくする力を得ることになります」とペッパーコーン氏はいう。「バグ報酬プログラムが決めたルールをうっかり踏み外しただけで、研究者が法的責任を負う危険さえあるのです」。

「いまは裁判所が法律の適用範囲の曖昧さを解決し、CFAAの解釈を狭めることでセキュリティ研究者が強く求められている活動を行えるようにするチャンスなのです」とペッパーコーン氏はいう。「サイバーセキュリティを強化しようとする人々を遠ざける余裕など私たちにありません」。

最高裁判所は、本件を11月29日あるいは30日の早くに裁決する見込みだ。

カテゴリー:セキュリティ
タグ:CFAA

画像クレジット:Robert Alexander / Getty Images

原文へ

(翻訳:Nob Takahashi / facebook

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。