アプリ内にハードコードされた認証情報を明らかにしたドイツ人開発者、「ハッキング」の罪で有罪判決

 (infosec.exchange)
1 ポイント 投稿者 GN⁺ 2024-01-20 | 1件のコメント | WhatsAppで共有

ドイツの法律がセキュリティ研究を危険な行為にしている

  • ドイツの裁判所が開発者に「ハッキング」の罪で有罪判決を下した。
  • その開発者は、ログメッセージが過剰に生成されるソフトウェアの調査を任され、そのソフトウェアがベンダーのデータベースサーバーへ MySQL 接続を行っていることを発見した。
  • MySQL 接続を確認したところ、そのデータベースにはクライアントだけでなくベンダーの全顧客のデータが含まれていることがわかった。開発者は直ちにベンダーへ通知したが、ベンダーは脆弱性を修正すると同時に告訴した。

裁判所の判断

  • 裁判所では、アプリケーションにハードコードされたデータベース認証情報(平文で見え、しかもデコンパイルすら不要)が、「ハッキング」の容疑を正当化するのに十分な保護手段なのかについてかなりの議論があった。
  • 裁判所の判決は、パスワードが存在していたため保護メカニズムが回避され、これがハッキングに当たると明記した。
  • この判決により、どれほど欠陥のある「保護」であっても、その存在だけでセキュリティ研究がドイツ法の下では犯罪的ハッキングへと転じる結果を招くことになった。

コミュニティの反応

  • コミュニティでは、さまざまなたとえを用いてこの事件について意見が交わされている。
  • 一部は、ハードコードされた認証情報を使うことがハッキングに当たり得るとしても、意図や実際に生じた被害も考慮すべきだと主張している。
  • 別の人々は、ベンダーのソフトウェアが文書化されていない外部インフラを呼び出し、潜在的に機微なデータを共有していた点を指摘している。
  • また、法的に保護される独立監査人の必要性と、それが実現可能でない場合の問題点にも言及されている。

GN⁺の見解

  • この事件は、セキュリティ研究者が脆弱性を発見して報告する行為に法的リスクが伴い得ることを示している。
  • 裁判所の判決は、セキュリティ研究と責任ある開示のあいだの緊張関係を浮き彫りにし、法的枠組みが技術の進歩とどのように調和すべきかについて重要な議論を引き起こしている。
  • このような判決はセキュリティ研究者に萎縮効果を与え、不適切なセキュリティ対策を取る企業が問題を回避できるようにし、最終的にはユーザーを危険にさらす可能性があることを示唆している.

関連記事

1件のコメント

 
GN⁺ 2024-01-20
Hacker Newsの意見

  • タイトルが紛らわしく、クリックベイトに近く見える

    • 記事のタイトルは紛らわしく、クリックベイトすれすれだ。実際の問題は、データベースの認証情報を露出させたことではなく、それを使って第三者のデータベースサーバーにログインしたことにある。これは、ドイツでセキュリティ研究を事実上不可能にしている刑法 StGB 202 ff. のせいで大きな問題になっている。

  • ドイツのセキュリティ研究の問題

    • ドイツではこの20年ほど、セキュリティ分野に関心を持つ若いエンジニアがほとんどおらず、育成された人材もまれだ。大企業が有能な人材をすべて吸い上げ、最優秀層は海外へ出ていく。その結果、ドイツの中小企業の多くは日常的にハッキング被害を受けており、監査も行われないため、ネットワークにつながるあらゆるものがセキュリティリスクになっている。

  • 法的助言

    • この事件が高等裁判所で棄却されると期待するのは、あまりに甘い考えだ。被告は複数の裁判段階を経る中で何年も無駄にし、弁護士費用として約10万ユーロを費やすことになるだろう。すべては、会社が自社データを適切に保護できなかったことが原因だ。明確なバグバウンティプログラムがない、自分の会社ではない、あるいは脆弱性を見つけるために雇われたわけでもないなら、問題を自分ごとにしないほうがいい。

  • ドイツのセキュリティ専門家たちの反応

    • 経験豊富なドイツの情報セキュリティ専門家の中には、この状況にあまりにも憤慨し、事件が起きても政府機関への協力を拒む人もいる。この状況を「苦しみを通じた学習」と表現している。

  • 英国の法律との比較

    • ドイツ法については断言できないが、英国ではこれは明白なコンピュータ不正使用行為と見なされ、単純な事件として扱われるだろう。

  • 法改正の必要性

    • 法律は書き直される必要があるように見える。意図が重要であり、この「ハッカー」は害を与えようとしていたようには見えない。会社が自ら脆弱性をさらし、それを明らかにした人を処罰しようとしている。

  • 類似事例

    • BASE64でエンコードされた社会保障番号をデコードしたことが「ハッキング」と見なされた事例に似ている。

  • オランダのフードスタートアップの事例

    • PostNLと連携していた際、他の顧客のデータにアクセスできる状態になったが、法的責任を避けるため、それを利用しないことにした。会社はこれを法的に報告すべきだったが、そうしなかった。

  • セキュリティに対する一般的な態度

    • 多くの「ハッキング」事例は、人々が玄関のドアを全開にしたまま放置しているようなものだ。ドアを開けっぱなしにして盗難に遭っても同情されないのに、会社がセキュリティを怠るとハッカーに怒りが向けられる。

  • 善意の原則に反する状況

    • 問題を見つけても、何も言わず、何もしないほうがいいという状況だ。問題があるかもしれないと思って立ち止まり、その後その会社の株を空売りするのが合法なのか気になる。

  • 問題発見時の対処法

    • 問題を見つけても無視するほうがましだ。パスワードが見えていると知らせることさえリスクを負う行為だ。ましてやそのパスワードを使うのは絶対に避けるべきだ。

  • 刑法第202a条

    • 「特別な方法によって無断アクセスから保護されたデータにアクセスすること」について説明しており、クライアントにハードコードされたパスワードもこれに含まれる。