コンピューターセキュリティー関係者約70人が月曜日、バグハンターがコードの欠陥を探す条件を定めようとする米国の投票アプリ開発会社Voatzの取り組みに異議を唱えた。
今月初め、マサチューセッツ州を拠点とするヴォーツ氏は、ヴァン・ビューレン対米国の訴訟でアミカス・ブリーフを提出した。この訴訟は米国最高裁判所で審理されており、その曖昧さから長らく批判されてきたサイバーセキュリティ法である米国コンピュータ詐欺および濫用防止法(CFAA)の適用範囲を決定することになる。
2月にウェストバージニア州の2018年中間選挙に提供したアプリに複数のセキュリティ上の脆弱性が見つかった調査で痛手を受けたこのソフトウェア企業は、CFAAを非常に広範に解釈した下級裁判所の判決を支持するよう最高裁判所に求めた。
米国最高裁判所がヴァン・ビューレン事件の判決を正しいと判断した場合、企業はポリシー文書を通じて、脆弱性調査やその他のオンライン上のやり取りに関して、何が犯罪行為に該当するかを自ら判断できるようになります。利用規約で特定のアクセスを禁止すれば、そのような行為はCFAA(消費者保護法)に基づく不正アクセスとして訴追される可能性があります。つまり、組織は何が違法なハッキングに該当するかを判断できるということです。つまり、サイトやサービスを無害に詮索しただけで、法廷に立たされる可能性があるということです。
セキュリティ問題を調査している人々は、企業が合法的なアクセスのパラメータを定義できるようにすると、バグ探しに萎縮効果が生じるのではないかと懸念している。
現在、ジョージタウン大学のコンピューターサイエンスと法律の教授であるマット・ブレイズ氏や、カーネギーメロン大学のコンピューターサイエンス、エンジニアリング、公共政策の教授であるロリー・フェイス・クレイナー氏など、数十人の個人が、EFF、民主主義技術センター、オープンテクノロジー研究所が今年初めにヴァンビューレン判決を覆すために提出したアミカス・ブリーフを支持する公開書簡に署名した。
CFAA最新情報:最高裁は、アメリカにおけるコンピューターの「許可された使用」が実際に何を意味するかという古くからある問題に取り組む予定
続きを読む
署名者は、セキュリティ研究は極めて重要であり、投票、医療、交通、その他の社会の側面で私たちが依存しているシステムの安全性とセキュリティを向上させると主張しています。
「この極めて重要な安全保障活動が今後も継続されるとは限りません」と書簡は述べている。「CFAA(連邦民事訴訟法)の広範解釈は、たとえそのような研究を行う社会的義務がある場合であっても、既存の萎縮効果を増幅させる可能性があります。」
書簡の筆者らはさらに、Voatz社がセキュリティ研究者に対して不誠実な行動を取り、彼らに対する方針を誤って伝えたことを非難した。書簡の筆者らは、同社がアプリのバグを発見した学生が事前の承認を得ていなかったとして当局に通報したことを例に挙げた。事前の承認は同社のバグ報奨金プログラムで認められている。Voatz社は、書簡におけるこれらの出来事の描写に異議を唱えている。
「研究者らが誠意を持って行動し、法的境界を尊重するためにあらゆる予防措置を講じていたにもかかわらず、法律に違反したというVoatzの示唆は、この研究の認可が企業自身の誠意ある行動に左右されるべきではないことを示している」と書簡は述べている。「Voatzのような企業にとって、協調的な脆弱性開示は、セキュリティ研究のプロセスをコントロールすることで、世間の監視から企業を守るためのメカニズムである。」
Voatzアプリに関するMITの報告書の共著者の一人、マイク・スペクター氏はツイッターで、CFAA改革の必要性について彼らが主張しているあらゆる政策論議の例として同社を挙げた。
「セキュリティ研究者に対するヴォーツ氏の非専門的な態度こそが、CFAAに改革が必要な理由だ」と彼は記した。「ヴォーツ氏の利用こそが、選挙制度により良い規制が必要な理由だ」
The Registerに電子メールで送られた声明の中で、Voatz の広報担当者は、同社のアミカス・ブリーフとそれに続く同社に対する公開書簡に関して次のように語った...®
