米国のジョージア州で提案されているハッキング対策法案は、さまざまな懸念を引き起こしている。この法案は、セキュリティ研究を萎縮させ、ウェブサイトやインターネット サービス プロバイダの利用規約に違反する者を犯罪者扱いする可能性があるためだ。
SB315法案は、州のコンピュータ犯罪法を拡充し、情報の盗難や破損がなくても許可なく機器にアクセスした場合の罰則を盛り込むものです。1月にブルース・トンプソン州上院議員(共和党)が起草したこの法案は、ジョージア州上院で承認され、下院で審議されています。
州司法長官クリス・カー氏を含むこの法案の支持者たちは、保護範囲の拡大によって抜け穴が塞がり、州が犯罪者をより効果的に追及できるようになると述べた。
「現状では、妨害や盗難がない限りコンピューターへのアクセスが違法とならないのは、全米でわずか3州のうちの1つだ」とカー氏は法案が初めて提出された際に述べた。
「全く意味が分かりません。ジョージア州ではいかなるコンピューターへの不法アクセスも犯罪であるべきであり、この抜け穴をなくさなければなりません。」
DEF CONのハッカーが米国の投票機を乗っ取るのに数分しかかからなかった
続きを読む
しかし、この法案に反対する人々は、この法案は行き過ぎだと主張している。例えば、この法案は「権限のないアクセスであることを知りながらコンピュータまたはコンピュータネットワークにアクセスする者」を犯罪者扱いすることになる。許可なくパスワードを他人に開示することも禁じられている。
電子フロンティア財団(EFF)などの団体は、この法案が、企業システムに見つかった脆弱性を民間企業に警告する正当なセキュリティ研究者に対して不利に働く可能性があると懸念している。
具体的には、人権擁護団体は、研究者らがネットワークやサービスの欠陥を発見するために不正アクセスを行ったとして告訴し、組織がバグ報告や情報開示を阻止しようとするのではないかと懸念している。EFFはまた、この法案が現状のままでは、一般ネットユーザーを取り締まるために利用される可能性があると主張した。ウェブサイトの利用規約違反などは、この法案に違反すると言われている。
言い換えれば、ウェブサイトの利用規約で、体重や婚姻状況、電子メールアドレスなどについて正直に記入することが求められている場合、実際にそうしなかったり、フォームに間違いを入力したりすると、ピーチ州が提案しているハッキング対策法に抵触することになる。
「利用規約は民間企業が定めたものです。例えば、ケーブルテレビやインターネットのプロバイダーにも利用規約があります」とジョージア州電子フロンティア協会のスコット・ジョーンズ氏は言う。
「この法案はあまりにも広範囲に規定されているため、利用規約違反が刑事違反と解釈される可能性があり、それは不適切な権限委譲となるだろう。」
EFFは、研究者の保護を強化するために州に法案を修正するよう要請した[PDF]。
偶然にも、ジョージア州の電子投票システムは以前、セキュリティ研究者によって調査されており、複数の脆弱性を発見したと主張していました。この脆弱性をめぐる訴訟の中心となっていたコンピュータシステムは、後に謎の消去事件に発展しました。
ジョージア州は、サーバーから証拠を削除するだけでなく、コンピューターセキュリティ研究の厳しい監視を回避する別の方法を見つけたようです。それは、単にそれを禁止することです。®
