米国におけるハッキングの合法化事情

この記事をシェア

情報セキュリティの世界では、悪意を持ってプログラムの欠陥を暴くと「クラッキング」と呼ばれ、善意で同様のことを行うと「ハッキング」と呼ばれる。だが、この区別は一般的には理解されにくく、時に曖昧でもある。しかしIoT化が進む中で米政府は、ハッキングを推奨する方針を打ち出した。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

米国におけるハッキングの合法化事情

自動車をハッキングする……今や米国ではこれは問題がない。国防省にハッキングを掛ける……これも新しい指針の下では可とされる。もちろん、だからといって何をしてもいいというわけではない。これが意味するのは、犯罪者が利用しかねないようなバグを明るみに出す調査や研究に対して、米国政府(国防省)が歓迎しているということである。目的さえ間違わなければ、ハッキングを行っても訴えられることはない。逆に言えば、これまではそうとも言い切れなかった、というのが実情なのである。

長年の間、自動車愛好者は自分の車をチューニングして、もっと良いパフォーマンスを引き出そうと懸命だった。今日では、車の全ての機能がコンピューターによって制御されている場合もある。しかし今日に至るまで、例えばユーザーがパフォーマンスを上げるために燃料制御システムの調節を行うことは、法律的な面で禁じられてきた。なぜだろうか。製造者は、車マニアが製造者の所有するソフトウェアをハッキングしてはならず、車の所有者はただその利用許可を得ているにすぎない、と主張してきたのである。これは、所有する車にまつわる「デジタル著作権管理」(DRM)の問題である。自動車を買えば改造する権利も得られるが、車を動かすソフトに触れることは法的に許されない、というジレンマが生じていたのである。

過去には他の例もある。2015年4月に、トラクターの持ち主が自分の所有する高額な農業機械に付属するコンピューターソフトウェアを改造しようとして、製造者側の弁護士に訴えられる、という出来事があった。製造者側は、トラクターの持ち主は一定の条件下でソフトを使用する許可を与えられているだけであって、それを改造する権利はない、と主張した。持ち主側は、このソフトウェアでは自分たちの必要とする作業を行えず、購入した車の利用の仕方に制限を掛けてしまうものだ、と主張した。ある者は別の店に行って別の電子制御機器を購入したが、その者はハッキングを続けることとなった。

それにしても、サイバー攻撃をたくらむ農夫の一味が、ノートパソコンを片手に農場をうろつき回り悪事を働く、という光景は想像し難い。彼らはただ、自分のトラクターを自分が必要と思われるように動かしたいだけだったのだ。

きっかけは、音楽などの作品を盗用して著作権を侵害しないようにするために制定された法律であった。そして自動車製造者の側もまた、法解釈の時流に乗って、願わくは自社の車やトラクターを改造して問題を生じるような事態を起こさないようにしたいと考えたのである。しかし音楽に関して適用した事例を、日々の生活の中で(またはトラクターに)使われている他のソフトウェアのハッキングの問題にまで適用するのは、どうみても無理があった。

だが、実情に反して、ハッカーたちは善良なる市民のために働いているにもかかわらず、ソフトウェアの欠陥を解明するに当たっては、常に報復を受けるという恐怖におびえていたのである。所有している機械の欠陥を調査している人々の大半は、その機械あるいは自分自身を誹謗することに興味があるわけではない。彼らは使い勝手を良くしたいだけなのだ。しかも、善い行いをしているのに訴えられることなど、誰も望んではいない。だから人助けしようという動機も低くなってしまうのである。

これが、あら探しをする悪人ならば、どうであろうか。犯罪者や詐欺師はどの時代でも迷惑な存在であるが、今までも彼らは自分が望むだけ自由に検証ができた。そしてもし善意のハッカーの助けがなければ、数百万の潜在的な脅威の運び屋の存在が検証されなかっただろうし、それが責任を持って公開されることもなかっただろう。結果として、次から次へとデバイスの障害を起こしかねない攻撃を未然に防いできたのである。

先進的なソフトウェア会社ならば、すでにそうしたハッカーを積極的に受け入れ始めており、ソフトの欠陥の発見に熱心な意欲あるハッカーには報酬を与えて動機付けを行っている場合もあるだろう。(バグを発見すると謝礼がもらえる)「バグ・バウンティ」と呼ばれるプログラムは今や驚くべき成果を上げており、ソフトウェア会社が何百個もの欠陥を悪用される前に発見することもしばしばある。

自動車製造業者に関しては、そうした事例はそれほど多くはない。今までは、もし自分の車で作動しているソフトウェアに欠陥を見つけ報告したとしても、温かい歓迎を受けるということは考えられず、せいぜい謝辞を述べた形式的な手紙を受け取るだけであった。しかし今や、製造業者の一部はこの手法を柔軟に取り入れ、バグの届け出を広く募るようになっている。基本的にGMのような会社はハッカーの助言を経営資源の一部と見込んでいるのである。これは朗報である。

連邦政府をハッキングする

もしも愛車がハッキングされまいかと不安を抱いている人がいるのであれば、米国政府がハッキングされたと聞けば、非常に悔しく思ったことだろう。自動車製造業者は不快な手紙を送ってくるかもしれない。しかしおそらく黒塗りの車を送り付けて拉致するようなまねはしない。政府については、そうとも言えない。連邦捜査官は本当に面白くて斬新だと感じるエクスプロイトを試みることを、決して快く受け入れはしない。今でもそれは変わらない。

表面上は、バグ・バウンティの知恵はその明かりで連邦捜査局をも照らしている。結果はどうなっただろうか。もし彼らの契約のルールを順守するのであれば、多くの人の保護に役立つというもっと大きな利益のために、プログラムの欠陥を修理することができる。ただし、彼らの歩み寄りの努力は完璧というわけにはいかず、場合によっては激怒して政府の全てのポートをスキャンして、たたきつぶしたくなることがあるかもしれない。しかし、もし最低限の常識にのっとって実践するなら(そしておそらく、契約規則を読めば)彼らは言い分にしっかりと耳を傾けることだろう。

米国陸軍も同様である。バグ・バウンティという言葉は普及しており、この活動が誰にでも安全を提供するというだけでなく、ハッカーは彼ら陸軍のレーダー上では軍のサポートに関心のある人物として記録されることにもなる。そのため、ハッキングに当たって、米陸軍という大きな敵に照準器で狙いを付けられることもなくなるのである。

こういった現状を鑑みると、わずか数年前の過酷な偏見からすれば、ハッカーは歓迎すべき安息の時を迎えていると言うべきある。そのころは、もし脆弱性を見つけようと世界中を探求しそれを報告することにいそしんでいれば、下手をすると致命傷を負うくらいの危険を冒しているかのように感じられたものであった。バグ・バウンティという潮流はどのような実績を上げているのか。少なくともある自動車会社は数百の欠陥が発見され、その欠陥を彼らは修理した、と報告している。しかも高給の(しかも雇いたくても探し出すのが難しい)ハッカーを大量に雇うことなしに、である。これは完璧なシステムではないだろうか……いや、残念ながら完璧ではない。だが、どんなものも完璧ではないのだ。ただ言えるのは、これは理想とするコミュニティーへ向けた良いスタートであり、好ましいふるまいなのだということだ。だから今ここで、愛車をハッキングしている、と真実を吐露することができる。たとえハッキングを始めてから走りの調子がかえって悪くなっているとしても、である。

この記事をシェア

IoTのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!