« china:ウイグル族20人の難民をカンボジアが追放 | トップページ | jugement:グーグルブックス差止判決 »

2009/12/19

arret:セキュリティホールを公開すると違法

フランスの話である。

Cass.crim., 27 oct. 2009, legifrance速報

モンペリエ控訴院は、自動情報処理システムの攻撃に用いられるプログラムやデータを正当な理由もないのに使えるようにする行為は犯罪だとして、他のウェブサイトのセキュリティホールを自分のウェブページに公開していた被告人に対して1000ユーロの罰金を言い渡した。

これに対して被告人側が破毀申立て(上告)をした。

フランスの最高裁にあたる破毀院は、上告を棄却した。
刑法典323-3-1条に照らし、正当な理由がない以上は有罪だという。

ちなみにこの被告人は、セキュリィ会社であり、一種の無料診断サービスとしてやっていたという趣旨の弁解をしたが、それならメールで教えればよいのであって公開する必要はなく、かえって公開することでアクセス数を稼ぎ、セキュリティサービスの売上にもつながるということが認定されていた。

この事件で、真っ先に思い出すのがいわゆるoffice氏事件である。→office不正アクセス事件判決の解説
office氏事件では、不正アクセスとは何かがもっぱら争点だったようだが、脆弱性とかセキュリティホールとかを発見したときに、これを公開して警鐘を鳴らすという方法がよいのかどうかということは当然問題とされるべき点である。

高橋郁夫弁護士のウェブ上の指摘でも、office氏が脆弱性の警鐘を鳴らすという動機に疑問を挟み、以下のように述べている。

ウェブ アプリケーションの脆弱性について、脆弱性を減少させるべく、社会に対して警鐘を鳴らそうとしていたのであれば、もっと違った行動になっていたのではないかと思われる。彼は、発見した脆弱性について、シンポジウムまでに十分に対応しうる時間的余裕をもって、ACCS もしくは、ホスティング会社に対して連絡することができたはずである。また、具体的なサイトの名称や具体的な氏名をそのままプレゼンテーション・ファイルで明らかにする必要があったとも思えない。網かけ等をして、特定ができないようにして、警鐘をならすことが可能であったように思われる。逆に、純粋に脆弱性を発見・警告するというものだったときに、( 仮にその発見に際して、不正アクセス行為がなされていたとしても) 被害サイトがどのような対応を成し得ていたのか( あえて被害届けの提出ができたのか) ということもあるように思われる。

 ともあれ、フランスでは「正当な理由がない場合」という明文の留保が手がかりとなって、公開行為が許される可能性もあるが、単に警鐘を鳴らすとかセキュリティホールの存在を気がつかせるというだけでは正当な理由とは言えないというわけである。

|

« china:ウイグル族20人の難民をカンボジアが追放 | トップページ | jugement:グーグルブックス差止判決 »

法律・裁判」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/31412/47063880

この記事へのトラックバック一覧です: arret:セキュリティホールを公開すると違法:

« china:ウイグル族20人の難民をカンボジアが追放 | トップページ | jugement:グーグルブックス差止判決 »