法律の改正を目指す業界キャンペーン団体によると、英国の情報セキュリティ専門家の大半は、英国の時代遅れのコンピューター不正使用法に誤って違反することを懸念している。
NCCグループ、オルフェウス・サイバー、コンテクスト・インフォメーション・セキュリティ、ネットティテュード、Fセキュアなどが参加するサイバーアップ・キャンペーンは、2019年7月にボリス・ジョンソン英国首相に初めて書簡を送り、規制の見直しを促した。
同団体は最新の調査で、大手情報セキュリティ企業に代わって提出された回答に基づき、セキュリティ専門家の80%が法律違反を懸念していると推計した。
ノッティンガムのラッシュクリフ選出保守党議員ルース・エドワーズ氏は、本日発表された新たな報告書の中で、「私がこの業界にいた経験から、サイバーセキュリティ業界の間では、この法律が、我々が直面するサイバー脅威の進化から国家を守る専門家の能力を阻害し、この分野が国際舞台で主導的地位を確立することを妨げているのではないかという深刻な懸念が生じていることを知っています」と述べた。
このキャンペーンは、現代の IT アーキテクチャや現代の情報セキュリティの脅威が考えられるよりずっと前に起草されたという理由で、1990 年のコンピューター不正使用防止法 (CMA) を現代に合わせて更新することを望んでいます。
確信を持って:同意なしにポートスキャンするのは合法か違法か、研究者が主張
続きを読む
F-Secureの副社長エド・パーソンズ氏はThe Registerに対し、サイバーアップ運動を支持すると語り、今日の報告書は「セキュリティ専門家に、この法律がどのようなもので、それが日々の業務で行っている活動にどのように適用されるのかを思い起こさせる機会でもある」と述べた。
CMAに対する以前の批判には、英国を拠点とする脅威情報提供者は、海外の同業者ほど深く敵対者のインフラを調査できないという主張が含まれていました。そうしないと、同法第1条に違反する恐れがあるからです。同条は、他人のコンピュータに対する「無許可」行為を禁止しており、たとえそのコンピュータが個人または企業を攻撃するために犯罪者が操作している場合でも、無許可行為は禁じられています。「無許可」とは、アカウントにログインするために公開されているユーザー名とパスワードを使用するといった些細な行為を指す場合もありますが、多くの情報セキュリティ研究者やジャーナリストでさえ、この点を理解していません。
「別の視点からお話しすると、私の会社であるF-Secureは脅威インテリジェンスプロバイダーではありません」とパーソンズ氏は述べた。「私の下で働いている専門家たちは脅威インテリジェンスプロバイダーではなく、セキュリティリサーチやインシデント対応といった様々な分野のスペシャリストです。彼らは、現在のCMAによって自分たちの役割がある程度限定されていると感じています。これは特にセキュリティリサーチの分野において当てはまると思います。」
学者たちは英国の1990年コンピューター不正使用法の改革を求めている
続きを読む
パーソンズ氏は、現代の企業ITインフラの成長と進化を考えると、CMAによって「我々の業務の範囲を明確にすることがますます複雑化し、困難になっている」と述べ、「現代の組織は一般的にサードパーティプロバイダーのエコシステムで構成されており、クラウドベースのサービスも増えています。クライアントに代わって調査を行う際、何が範囲に含まれ、何が範囲に含まれないのか? そのため、何が許可され、何が許可されていないのかを判断することがますます難しくなっています」と続けた。
S3バケットを運用する者は、CMAの定義の範囲内で、侵入テスト会社に調査を依頼する権限を与えることができるのでしょうか?Amazonがその活動を検知し、敵対的と判断した場合はどうなるのでしょうか?こうした疑問の答えは一部の人にはよく知られていますが、その一部の人の中には、地元警察のサイバー犯罪対策チームや、彼らに代わって刑事訴訟を提起するよう促す検察官は含まれていないかもしれません。
これは主に仮説的な懸念ではあるが(パーソンズ氏は「この法律が情報セキュリティ研究者に対して怒りのあまり使われるのを見たことがない」と認めている)、これは CMA が目的に適っていないことの証拠としても挙げられる。
コンピュータを攻撃ベクトルとして用いた犯罪の多くは、検察官によってCMA非適用犯罪、主に詐欺として起訴されています。El Regで以前繰り返し取り上げたように、CMAに基づく起訴件数は依然として比較的少ないものの、コンピュータ関連犯罪の起訴件数は、CMAの統計自体が単独で示すよりもはるかに多い可能性があります。®
