- Stanfordキャンパスで人気を集めていた匿名ソーシャルアプリ Fizz を善意で点検した学生たちが、データベース全体への読み書きアクセスと、匿名化されていないユーザー・投稿情報を発見
- 研究者たちは脆弱性開示レポートと修正提案を送り、Fizzが修正する時間を持てるよう公開猶予にも同意したが、その後の対応は 法的脅迫 に変わった
- Fizzは州法・連邦法違反、民事・刑事責任、懲役20年 の可能性にまで言及し、発見内容を公開しないよう求めた
- 研究者たちはElectronic Frontier Foundationの Kurt Opsahl と Andrew Crocker から無償の法的代理を受け、沈黙の要求に屈しなかった
- 善意のセキュリティ研究であっても、目的・範囲・行動記録を残し、データ保存・流出・アカウント操作を避け、法的脅威には一人で対応しないほうが安全
Fizzで発見したセキュリティ問題
- Stanfordの学生スタートアップ Fizz の匿名ソーシャルメディアアプリはキャンパスで人気を集めており、アプリは「100% secure」に近い表現を掲げていた
- ユーザーが機微な話を投稿する場だったため、セキュリティに関心のある学生たちは、その情報が実際に安全かどうかを確かめようとした
- 数時間でFizzのデータベースに対する 完全な読み書きアクセス が可能になった
- データベースにはユーザーと投稿の情報が保存されていた
- その情報は完全には 匿名化されていない状態 だった
- 研究者たちは、Fizzにはセキュリティ保護策がほとんどないと判断した
責任ある開示から法的脅迫へ
- 研究者たちは発見内容を 脆弱性開示レポート にまとめ、Fizzにメールで送った
- レポートには発見した問題と修正提案が含まれており、Fizzが修正する時間を持てるよう、特定の公開猶予日までは公にしないと先に同意していた
- Fizzは当初、レポートに感謝し、問題修正が最優先だと返答し、数週間にわたって一部アップデートを送ってきた
- その後態度が変わり、研究者たちに州法・連邦法違反と 民事・刑事責任 を持ち出して脅迫を送ってきた
- 脅迫には 懲役20年 の可能性まで含まれていた
- 核心は、発見内容を公開するなという要求だった
- 沈黙に同意すれば法的措置を進めないという構図で、回答期限は 5日 だった
- 研究者たちはこれを、脅して黙らせようとする試みだと受け止めた
EFFの法的支援と解決
- 研究者たちはネットワークに助けを求め、数日以内に Electronic Frontier Foundation のKurt OpsahlとAndrew Crockerにつながった
- 2人は研究者たちを無償で代理することを引き受け、研究者たちは開示プロセスと関連文書を弁護士たちに説明した
- 法的助言を受けた後、研究者たちはFizzの脅迫に屈しないと決めた
- KurtとAndrewはFizzに送る返信を作成し、その後Fizzチームは面会を求めた
- 双方は状況を円満に解決し、研究者たちはFizzが問題をユーザーに先んじて開示するよう強く求めた
- Fizzは最終的にユーザーへ問題を開示した
セキュリティ研究者が守るべき原則
- 研究を正当かつ文書化された状態 に保つべき
- 研究前に目的を明確にし、倫理的な境界を越えていないか確認すべき
- 研究者たちはアクセス可能なデータを保存したり流出させたりしなかった
- 他人のアカウントを操作せず、被害も発生させなかった
- すべての作業を詳細に文書化しており、これは脆弱性開示レポート作成と法的対応に役立った
- 冷静な対応 が必要
- 法的脅威を受けても専門的に対応すべき
- 目標は問題を大きくせず、状況を解決すること
- 感情的なメール返信は円満な解決の可能性を損なうおそれがある
-
弁護士を確保すべき
- 法的脅威を一人で処理しようとするのは大きな間違いになりうる
- Fizzは、研究者たちが無邪気に脅迫に屈することを期待していたのだと見られる
- 誰もがEFFの無償代理を受けられるわけではないが、善意のセキュリティ研究者のためのリソースは増えているため活用すべき
1件のコメント
Hacker Newsの意見
弁護士ではないが、この法律の奇妙な領域には職業上の関心がある。ここではEFFのスタッフ弁護士が少し無理のある主張をしているように見える
Fizzはクライアント/サーバー型アプリケーション、おそらくWebアプリのようで、研究者たちがテストしたのはFizzのサーバーで動いているソフトウェアだった
脆弱性を見つけたあと、研究者たちは取得したデータベース操作を利用して管理者アカウントを作成したが、このテストについて許可を得たことはなかった
この事実関係が正しいなら、私の知らないカリフォルニア州法がない限り、仮にあったとしても連邦法優越のため意味がないのではと思うが、彼らはEFFの回答での主張とは異なり、CFAAにかなり直接的に違反したように見える
ただし法的リスクを下げる要素は少なくとも3つある。公開内容とその後の行動から善意のセキュリティ研究だったことが明らかで、訴追対象として魅力的ではないこと、意味のある被害があったかも不明なこと、そしてFizzは小さく新しい会社なので、フォレンジック業者や保険会社の精算にまで進んだ可能性も低そうなことだ
またFizzの弁護士が、研究者たちから価値ある譲歩を引き出そうとして刑事訴追をちらつかせたことは、EFFが指摘した通り、州弁護士会規則違反である
ここでは良い側が勝ったように思うが、あまり多くの教訓を一般化するのは慎重でありたい。FizzではなくDunder Mifflin Infinityのソーシャル機能だったなら、結果はずっと険悪なものになっていたかもしれない
https://www.justice.gov/opa/pr/department-justice-announces-...
「被害額」の規模が被害者側の手に委ねられ、大きな官僚組織にとっては些細だが絶対額としては大きいリソースを任意に使わせ、自分に恥をかかせた不完全な行為者に厳罰を科すためにリソースを浪費する歪んだインセンティブを与える
そのような措置が正当な範囲内にあるとしても、その必要性を知らせてくれた人に費用を転嫁するのも不適切だ。公開サービスに深刻な脆弱性を残したまま運用していたなら、この人物が不適切な行動をしたかどうかに関係なく、他の誰かが悪用した可能性を評価しなければならない
その費用の原因は脆弱なサービスを運用した自分たちの行動であり、脆弱性を自力で発見したとしても、運用後であれば負担していたはずの費用である
被告に帰属させるべき損害は、実際に引き起こした被害、たとえばアクセス権を使って顧客の金融情報を入手し、クレジットカード詐欺を行った場合のようなものに限定されるべきだ
アプリの設定があまりにひどく、単にFirebaseプロトコルに従うだけでデータベースへの書き込み権限が得られるのなら、実際にはセキュリティ対策を回避したわけではないと容易に主張できる。回避すべきセキュリティ対策自体が存在しなかったからだ
AT&TがiPadのデータ通信加入者情報を、リストに載っていないWebページにそのまま置いていた事件を思い出す。結果は覚えていないが、あの時は当事者が取得できるデータをできるだけ大量に収集しようとしていたと理解しており、ここと同じではない
原文には「mea culpa」が見当たらないが、記事が「この人たちが何をしようとしていたか信じられる?」といったミーム的な調子であったとしても、教訓は学んでいてほしい
意図は良さそうだが、法律にはかなり明確に違反しているように見える
昨年DOJは、「善意のセキュリティ研究」を行う人を訴追しないよう、CFAAの訴追方針を更新した [1]
CFAAは悪名高いほど適用範囲が広いため、DOJの方針は、セキュリティ研究の合法性をより明確にするよう法律を改正することに比べれば、かなり不十分だ
新政権で方針が変わる可能性もあり、依然としてリスクはあるが、公式化される前よりはリスクが低い
[1] https://www.justice.gov/opa/pr/department-justice-announces-...
契約書や、特に威圧的な法的コミュニケーションで、作成する側が内容を正確に書かなくてもほとんど結果責任を負わない理由が理解しにくい
従業員契約書で「この契約の一部が無効でも、残りは無効にならない」といった文言を見たことがある。雇用主は自分たちのルールを執行しようとしているのであり、それ自体は合理的だが、許されない内容を書いても不利益がない。せいぜい裁判所がその条項を無効と判断するだけだ
負担は読み手にあり、たいてい読み手のほうがはるかに弱い立場にある
ここでも、会社が「これで君は連邦刑務所に20年入る可能性がある!」のような脅しの手紙を送れるのはなぜなのか。明らかに虚偽なのに
作成者側に、合理的な内容であることを保証する負担があるべきではないのか。ばかげていて、証明可能なほど間違っているなら、「ああ、なかったことに」より大きな否定的結果があるべきではないか
何が根本的かは、言われている通り裁判所が解釈する
従業員契約の例では、分離可能性はむしろ個人であるあなたも保護する。一部の条項が無効になっても、あなたを保護する条項を含む残りの合意が引き続き有効になるからだ
契約全体が無効になれば、何もない状態からやり直す必要があり、おそらく仕事も失うかもしれない。少しでも保護があるほうがゼロよりはましだ
双方が些細な技術的理由で法的義務全体から逃れたり、法的審査に耐えない毒入り条項を意図的に入れたりすることを防いでくれる
契約の一部が無効になれば、その部分は利用できない。その部分の無効が契約を根本的に変えるなら、契約全体が無効になる。ここでこれ以上何を望んでいるのか分からない
悪い契約書を作成したことに対して懲罰的に対応しようという話に聞こえるが、それはあらゆる法律・事業関係の形成に萎縮効果を生みかねず、かなり悪い考えのように思える
強力な法律文書の作成者にアクセスしにくい弱い側が、より大きな打撃を受ける可能性もある。契約文言の変更を交渉することすら交渉者にとって責任の地雷原になるなら、法務チーム全体と向き合う小さな主体にとって、責任の負担はさらに不均衡になるのではないか
あなたが想像している世界が、今よりも弱い当事者に大きなリスクを生まない形になるとは、あまり見えない
善意の文脈では、法律や判例は急速に変わり、時には裁判官の気まぐれで変わり、明確な判例がなかったり指針が曖昧だったりする法分野も多い
そのような場合、小さな条項が1つ法廷で持ちこたえられなかったからといって契約全体を再交渉しなくて済むように、分離可能性が重要になる
例えば競業避止条項が入った雇用契約を考えると、会社はすべての地域で同じ契約書を使うことができ、競業避止が違法な州では分離可能性条項のおかげで法域ごとに別の契約書を作らずに済む
ある州が以前は競業避止を認めていたが禁止法を可決した場合、競業避止条項のあるすべての雇用契約が突然無効になるべきだろうか。もちろん違う。それが分離可能性の役割だ
原文の脅しも文脈は分かりにくいが、「当社のコンピューターネットワークへの無断アクセスはXYZ法における連邦犯罪であり、最大20年の懲役が科される可能性がある」といった表現だったのかもしれない
一般人には非常に恐ろしいが厳密には虚偽ではなく、たいていの弁護士はくだらないと目を回すだろうが、十分に限定語を付ければどこで線を引くかは難しい
結局、この種の文書は普通の人のために設計されていない法律用語で弁護士が書く。大学生にこうした脅しをかけたのはひどいことであり、会社に代わってこの手紙を書いて送った弁護士は、会社にとんでもなく悪い助言をしたことになる
弁護士会に問題提起することはできるだろうが、この状況で説得力のある事案にするのは非常に難しそうだ
これが団体交渉が重要な理由の1つだ。労組は会社の弁護士に対抗する法的代理人を賄えるが、個々の従業員には難しい
米国式の制度は「各自が自分の弁護士費用を負担する」方式なので、被害者が訴訟を起こしやすい
一方、英国はおおむね「敗者が双方の弁護士費用を負担する」方式なので、大きな被害を受けていても多くの原告が訴訟をためらう
その脅しによってどのような被害を受け、正当な補償はいくらなのか。補償を得るために弁護士を雇って訴訟する費用はいくらで、勝訴の見込みはどの程度なのか
脅しの手紙を送る側も、同じ種類の問いを自問していたはずだ
相手のほうが多くのリソースを持っていて不公平だと感じるなら、それはより一般的な社会問題だ。お金が多ければ、あらゆる形の正義によりアクセスしやすい
この記事は、今日の脆弱性公開の扱われ方が全体として前向きに変わったことを示しているように思う。
90年代には、どの会社もこんな感じだった。企業は訴訟をちらつかせ、公開そのものが法的に疑わしいもののように見えた。フォーラムやBBSでは、そもそも公開しても安全なのかが議論され、匿名メールアカウントのような提案が交わされていた。
もちろん今も一部は残っている。特に古い体質の会社や、ここでのように世間知らずの大学生が相手ならそうだが、全体としては公開に有利な方向へ劇的に変わった。
セキュリティ研究者の身元を守る専門の仲介者、公開を奨励し称賛する大企業、6桁ドルのバグバウンティ、セキュリティ研究者により友好的になった法律まである。
筆者にとってはかなり不快な出来事だっただろうが、昔はこうした状況が標準、あるいはもっと悪かったもので、今ではある程度まれになったという良いリマインダーでもある。
多くの企業がバグバウンティを受け入れ、自社に対するこうした活動を奨励しているため、残念ながら「子どもたち」に、こういうことは完全に合法で、道徳的で、倫理的なのだと学習させてしまっている。
しかしこの話が示すように、実際にはサイコロを振っているだけで、今回はうまくいったにすぎない。
明示されたバグバウンティプログラムを通じて対象側の協力を得ているのでなければ、匿名メールのような方法は今でもより良い考えかもしれない。ただし、セキュリティ研究者が「名を上げる」助けにはならない。
実質的には不法侵入を認めるようなものでもある。たとえて言えば、鍵のかかっていないドアから入って、冷蔵庫の中を見られるか確認しただけだとしても同じだ。
世論という法廷では、企業の嘘を暴く手助けをしたように見えるかもしれないが、実際の法廷では犯罪で有罪だという事実は変わらない。
そういう意味では、典型的な90年代型の報復とは違う。学生たちにとってはかなり怖かったはずだ。
裕福な親の介入の可能性も無視はしないが、もちろん状況や当事者たちについて何か知っているわけではない。
すごい話だ。Stanford Dailyの記事には弁護士同士がやり取りした書簡の写しがあり、かなり強烈だ。EFFが動かなければ、私たちはそれを読むことはできなかっただろう。
https://stanforddaily.com/2022/11/01/opinion-fizz-previously...
Stanford Dailyの記事によると、「当時Fizzは、ユーザー情報や投稿などを保存するためにGoogleのFirestoreデータベース製品を使っていた……Fizzは必要なセキュリティルールを設定していなかったため、誰でもデータベースに直接クエリを投げることができた……全ユーザーの電話番号および/またはメールアドレスに完全にアクセスでき、投稿やアップボートをこの識別情報に直接結び付けることができた……さらに、データベース全体が編集可能だった。誰でも投稿、カルマ値、モデレーター状態などを編集できた」とのこと。
これは本当にありえない。
クライアントがデータベースに直接書き込むため、たいてい権限チェックを忘れ、クライアントが自分のオブジェクトにしか書き込まないと信頼してしまう。
かなり前に、Firebaseのユーザー値を
isAdmin=trueに変えて電動キックボード会社の管理者アクセス権を得たことがあり、その後うっかりレンタル中だったキックボードをFirebaseから削除してしまった。そのキックボードがその後どうなったのかは分からない。アプリ内の地図はおおよその位置だけを表示し、特定のズームレベルではピンが消えるようになっていた。
mitmproxyでリクエストを書き換えると、未成年が18歳以上を検索できないようにするフィルターや、成人が未成年を検索できないようにするフィルターも回避でき、位置・性別のような有料専用フィルターも回避可能だった。有料状態をサーバー側で確認していなかった。アプリIDと公開フロントエンドアプリに含まれるAPI値を入力し、任意でセッションIDにも対応して、ログインユーザーにだけ見える軽いセキュリティルールを使うFirestoreアプリも扱え、JavaScriptコードから見つけたコレクション名を受け取って探索するWebツールを想像している。
興味深いことに、FizzのAshton CoferとTeddy Solomonは、自分たちの失態が明らかになると広報上の火消しを試みた。 https://stanforddaily.com/2022/11/01/opinion-fizz-previously...
彼らの返答は弱く、その後この件についてコメントを拒んできたように見える。
「Fizzは2021年12月7日に『Security Improvements Regarding Fizz』という声明を出したが、本稿公開時点で、そのページはFizzのWebサイトでもGoogle検索でももはやたどり着けない」とされている。
また、アプリは今でも「匿名」ユーザーの活動に関する個人識別情報を保存している可能性が高そうだ。
「さらに、私たちのデータが内部的に匿名化されているのかもまだ分からない。創業者たちは昨年The Dailyに対し、ユーザーは開発者に識別可能だと述べており、Fizzのプライバシーポリシーは今もそうであることを示唆している」とのこと。
ここでいう「開発者」には、この問題へのコメントを拒み、会社の関連コミュニケーションを削除し、当初は完全に穴だらけのバケツを「100%安全なソーシャルメディアアプリ」として売り込んでいて、発覚すると法的脅しを利用した、まさにその創業者たちが含まれる可能性もある。
自分の情報をFizzに入れたいとはまったく思えない。
法的な脅しはしても結果を免れられるのに、身体的暴力を脅すと刑務所に行く可能性があるのはなぜなのか?
合法的な行為をすると脅すことは、概して合法である。たとえば当局に通報すると脅すことは違法ではない
「脅しの最後には要求があった。発見した内容を絶対に公に話すな、というものだ。本質的には、沈黙に同意すれば法的措置を追求しないという意味だった」
法的に、こうした要求は州検察や警察との会話まで妨げられるのだろうか?
「100%安全」だと主張しながら、実際には安全ではなく、ユーザーが会社や最低限の能力を持つハッカーの詮索から何の保護も受けていないことを知っているなら、少なくとも詐欺であり、犯罪的な盗聴に近い。ユーザーが「100%安全」だと信じて秘密をサービスに打ち明けるよう、意図的にだましているからだ
この件が「友好的に」終わったのは、率直に言って正義の失敗だ。Fizzチームは詐欺容疑を受けるべきだ
米国では市民より企業が重視される。米国の広告は虚偽の主張であふれている
私たちは言葉に意味がないふりをして、これを見過ごしている
興味深い。うちの大学にもSideChatという非常によく似たプラットフォームがあり、大きくは違わない気がする
昨年、「ジェンダー・アファーミング・ケア」の妥当性に疑問を呈したら永久BANされたので、彼らが私についてどれだけ知っているのか気になってきた
ジャーナリズムの観点から見ると、Fizzを公に指摘した点は素晴らしい。「Fizzはユーザーデータを保護していなかった。その後、何が起きたのか?」
これは「誰かがハッキングした」のではなく、Fizzが約束したことを果たせなかったということだ
いまだに脆弱性が修正されたかどうかテストされたのかは気になる
ただし、ユーザーデータは以前主張していたように内部で完全に匿名化されているわけではなさそうだ