今年初めにセキュリティの弱さを非難されたブロックチェーンベースのモバイル選挙投票アプリの開発元であるVoatzは、米国最高裁判所に1986年のコンピュータ詐欺および濫用防止法(CFAA)を改正しないよう要請した。批評家は、この法律は適用範囲が広すぎるためセキュリティ研究を阻害していると指摘している。
アプリ開発会社は木曜日、ヴァン・ビューレン対米国の訴訟で、CFAAに基づき2017年にジョージア州の元警察官ネイサン・ヴァン・ビューレンが有罪判決を受けたことを支持する米国政府を支持するアミカス・ブリーフ[PDF]を提出した。
ヴァン・ビューレンは、ナンバープレートの番号をコンピュータで検索したとして、CFAA(消費者物価指数法)違反で有罪判決を受けました。職務上、警察のデータベースにアクセスする権限は与えられていましたが、あるストリッパーのために、金銭と引き換えにナンバープレートの検索を申し出ました。このエキゾチックダンサーは連邦政府に通報し、囮捜査で逮捕されました。報酬を受け取ると、ヴァン・ビューレンは、ストリッパーが売春容疑で捜査している覆面警官だと名乗る人物のナンバープレートを調べました。このナンバープレートは偽物で、ヴァン・ビューレンは逮捕されました。
彼の行為は、職場倫理は言うまでもなく、通信詐欺に関する他の法律にも違反したとされているが、CFAAの下での彼の有罪判決は、コンピューターセキュリティの専門家やサイバー自由擁護者を警戒させている。
「CFAAのこの拡大解釈の下では、ウェブサイトの利用規約に違反する行為は連邦犯罪となるだろう」とEFFは事件の概要で述べた。「利用規約違反が犯罪となれば、誰が何の罪で刑務所に行くかは民間企業が決めることになり、私たち全員が日常のオンライン行動でリスクにさらされることになる。」
法律の文言の曖昧さから問題が生じる可能性は容易に想像できます。米国司法省のコンピュータ犯罪訴追に関するガイドライン[PDF]では、「『無許可』という用語はCFAAでは定義されていない」とされています。
そして彼らの興味は...
民間企業である Voatz は、空白を埋めて、誰がどのような資格でそのシステムにインタラクトできるかを決定できるようにしたいと考えています。
偶然にも、同社のアプリは2月にコンピュータ科学者から様々なセキュリティ上の欠陥を指摘され、非難を浴びました。そして同社は、MITのコンピュータ科学者によるこの不当な調査を、無許可のセキュリティ調査の問題点の一例として提出書類に挙げています。
コンピュータセキュリティに悪影響を与えるものについて相談したい人は、まずいないでしょう。どちらかと言うと、敵意を抱くような内容の手紙を送るようなものです。
— マット・ブレイズ(@mattblaze)2020年9月3日
「Voatz氏自身のセキュリティ経験は、認可されたセキュリティ研究の利点を分かりやすく示している。また、認可されていない研究や、検証されていない、あるいは理論上のセキュリティ脆弱性の公表が、実際には有害な影響をもたらす可能性があることも示している」と同社の提出書類には記されているが、MITの研究者らは重大な欠陥を発見していないと主張している。
電子フロンティア財団や、CFAA の適用範囲を狭めることを支持しているセキュリティ企業などの組織が主張する意見に反対して、ヴォーツ氏は、許可されていない独立した研究は同法の適用除外とされるべきではないと主張する。
CFAA最新情報:最高裁は、アメリカにおけるコンピューターの「許可された使用」が実際に何を意味するかという古くからある問題に取り組む予定
続きを読む
「むしろ、必要な研究とテストは権限のある団体によって実行できる」と同社の説明文には記されている。
Voatz氏はさらに、セキュリティ研究者がルールやポリシーに違反することを許すと、企業の言葉が法律であるかのように、それらのポリシーを定める企業の期待が覆されると主張している。
同社は、物理的な土地への不法侵入で起訴される可能性があるのと同様に、CFAA に基づく利用規約違反に対しても処罰の対象となるべきだと主張しているが、この類推は、不法侵入が数年の懲役刑につながる可能性は低いという点を理解していない。
MITインターネット政策研究イニシアチブの創設ディレクターであり、Voatzアプリ分析[PDF]の3人の著者の1人であるダニエル・ワイツナー氏は、 The Registerへの電子メールの中で、企業が利用規約でセキュリティテストを犯罪とみなすことを認めるという考えに反対した。
「コンピューター詐欺および悪用防止法の曖昧さと潜在的な範囲の広さにより、セキュリティ分析の実施が著しく困難になった」とワイツナー氏は述べた。
テクノロジー企業が自ら策定したポリシー違反に対して刑事訴訟を起こすと脅すことを許すことは、独立した研究を常に危険にさらすことになります。そして、独立した研究がなければ、国民がこれらのシステムの安全性やセキュリティを信頼する根拠はどこにもありません。®
