「セキュリティ分野におけるリバース・エンジニアリングは,IT社会を保護するためには必要不可欠な技術である。米国では必要性が認知され,ノウハウの蓄積が進んでいる。国内でも法的な検討を含めた継続的な議論が必要だ」。セキュリティ・ベンダー米eEye Digital SecurityのSenior Software Engineerである鵜飼裕司氏は10月27日,住商情報システム主催のセミナーにおいて,セキュリティ分野におけるリバース・エンジニアリングや脆弱性解析などについて講演した。
修正パッチなどが未公開の脆弱性を悪用する「ゼロデイ攻撃」が相次いでいる。これは,攻撃者がリバース・エンジニアリングを“駆使”して,新たな脆弱性を見つけているためだ。「ハッカー・アンダーグラウンドの脆弱性解析能力は飛躍的に向上している」(鵜飼氏)。これに対抗するためには,防御側もリバース・エンジニアリングによって脆弱性を監査したり,攻撃コード(攻撃ペイロード)を分析したりする必要がある。
鵜飼氏によれば,この点について米国では理解が進んでおり,セキュリティ分野におけるリバース・エンジニアリングは,社会的公益性の高い技術であるとの共通認識が生まれているという。「セキュリティのカンファレンスでは,リバース・エンジニアリングによって得られたプログラムの一部を引用および解説することは日常的に行われている。民間・学術機関のトレーニング・プログラムや書籍なども充実している」(鵜飼氏)。
もちろん,すべてのリバース・エンジニアリングが認められているわけではない。「例えば,DRM(デジタル著作権管理)を回避するような行為(DRMバイパス)は法律違反である。だが,セキュリティ分野でのリバース・エンジニアリングは法的に自由度が高く,技術の蓄積にあまり障害がない」(鵜飼氏)。
一方,日本国内では「公益性の高いと考えられるセキュリティ分野においても,リバース・エンジニアリングに関する社会的な認知度は非常に低いのが現状である。この背景には,「クラッキング行為に悪用されることがあるので,あまり良いイメージがない」「著作権法上の解釈があいまいで,専門家のあいだでも意見が分かれる」――ことが挙げられるという。
「リバース・エンジニアリングそのものが著作権侵害にただちに該当するとはいえず,特に,公益性の高いソフトウエアのセキュリティ監査などの場合,違法ということはないのでは,というのが個人的な印象だが,はっきりしたことは何も言えないのが現状だ」(鵜飼氏)。
国内においても,セキュリティ分野におけるリバース・エンジニアリングの重要性は米国などと変わらない。だが,このままではノウハウが蓄積されず,脅威は増すばかりである。このため鵜飼氏は,「ソフトウエア開発者の権利や利益が適切に保護されることを前提に,社会的にもコンセンサスの得られるポイントを探る必要がある」と訴える。「国内におけるノウハウの蓄積は重要な課題だ。セキュリティ分野におけるリバース・エンジニアリングの社会的な認知を向上させ,法的な検討を含めた継続的な議論が必要である」(同氏)。
