身を守るには
今回紹介した他にも、2018年に起きたWizard Bible事件のように、入門書のサンプルコードレベルの悪用困難なネットワークプログラムが不正指令電磁的記録とされた事例も存在します。
こうしたことから、セキュリティ研究者や技術者の中で大きな不安や萎縮を招いているのが現状です。
ところで、開発者やセキュリティ研究者が身を守るためにはどのようなことができるでしょうか?
不正指令電磁的記録に関する罪が創設された当時、様々な懸念が指摘されましたが、さすがに、アラートループ事件のような単純なジョークプログラムまでもが検挙の対象となるとは、誰も予想していなかったことでしょう。
このような状況に至っては、もはや、プログラムを開発しないし、配布もしないということしかありません。しかし、技術者としてそんな選択肢は選べません。
そのため、可能な限り、ユーザーにとって何が起こるか分かりやすいよう配慮をしたプログラムを開発するしかありません。例えば、Coinhiveのようなものであれば、同意画面を表示する、動作を示す注意書きを書くなどです。一般的なプログラムにおいても、マニュアルを整備し、確認メッセージなども都度適切に表示し安全処置を講じるのが望ましいでしょう。
しかし、それが理想とは言え、プログラムを開発するのは人的リソースのある大手企業ばかりではありません。個人開発者が至れり尽くせり、そこまで行うのは現実的に難しいことです。
安全処置もマニュアルの作成も法律上で義務づけられたものではありませんから、刑事罰を避けるためにこうした気苦労を負わなければならないのは本来はおかしなことです。
その上、もし何をするにしても一々確認メッセージが出てくるようなプログラムが是とされるなら、プログラムの使い勝手はどんどん悪化することになるでしょう。それこそ「プログラムに対する社会一般の信頼」が損なわれていくと言わざるを得ません。
セキュリティ研究の一環として、マルウェアを保管したり、模擬的なマルウェアを作成したりする場合はどうでしょうか? 少なくとも、自分の所有するコンピューターで実行する目的のみであれば「人の電子計算機における実行の用に供する目的」ではありませんから、罪に問われるリスクは低いかもしれません。
しかし、他人に共有した場合、研究目的であってもどうなるかは分かりません。本来であれば正当業務行為が認められるべきですが、現実には、個人として研究活動を行っている場合は、不利に働く可能性もあります。
仮に不起訴となっても、あるいは裁判で無罪判決を勝ち取ったとしても、失う物はたくさんあります。いざというときに我が身を守れるよう、技術者も法律に関する知識を積極的に学んでいかなければならないということは確かといえるでしょう。
他にも学ぶべき法律はたくさんありますが、特に話題となる、不正アクセス禁止法と不正指令電磁的記録を取り上げました。法律編はここまでですが、ぜひ、今後も、情報セキュリティに関連する法律の知識は意識して学んでいってください。
関連書籍
併せて読むと本連載をもっと楽しめます。
こうしす!社内SE祝園アカネの情報セキュリティ事件簿
本書について
伏石ちゃんシリーズの半世紀前である現代を舞台に、祝園充希の祖母・祝園アカネが社内SEとしてセキュリティトラブルに巻き込まれるコメディラノベです。
Amazon
伏石ちゃんは意図に反したい ~ハッキングから始まる高校生活~ [0] FANBOOK
本書について
マンガ2話に加え、描き下ろし2ページ、小説版、設定資料集を収録したファンブックです。
Amazon