(Mark Joseph Edwards)

 最近あった3つの出来事はセキュリティの研究者に重大な影響を与えるかもしれない。最初の出来事はサンフランシスコで開催された「RSA 2003 Conference」で起きた。コンピュータ犯罪を担当する司法省の上級法律顧問Richard Salgado氏は,スパムやクラッキングを避けるための囮である「ハニーポット」を実装しているユーザーに対して,犯罪になる可能性があると警告した。

ハニーポットは通信傍受の犯罪行為
 米Symantecが運営するセキュリティ情報サイト「SecurityFocus」のレポートによれば,Salgado氏はハニーポットを運用することで,ある法律上の問題が生じる可能性を論じた(該当サイト)。米国の連邦電話盗聴法(US Federal Wiretap Act)の下では,あなたのネットワーク・トラフィックを監視するためにハニーポットを使うことは,通信の傍受という犯罪行為になるかもしれないという。Salgado氏は法令に照らしていくつかのポイントを概説した。

 Salgado氏によれば,法律違反をしないためには,3つの法律上の例外適用を,いくつかのハニーポットの設定に当てはめることを提案する。1つ目は,もし監視されている団体が,監視に同意する場合。2つ目は,嫌疑を受ける人が法を執行して通信を途中で捕捉している場合。3つ目は,ハニーポットのオペレーターが自分たちのサービスと資産を守るために明示的に通信を盗聴する場合。

 司法省は,可能性のあるうち1つ目の例外を適用してもらうために,ハニーポットのオペレータはユーザーに対して監視していることを警告するバナーを表示したほうがいいと勧めている。2つ目の例外適用の可能性は自明である。3つ目は多分,一番現実性が高い。

 しかしDelgado氏によると,「ハニーポットの目的が攻撃者を誘惑することにあるので,自分はそこに法律上の問題があると思う」といった。だれかが攻撃を引きつけるシステムを特別に準備しながら,自分のサービスと資産を守るためだと主張するのはおかしいと指摘した。

 明らかにハニーポットはネットワークを守るためのもので,ハニーポットのソフトウエアを走らせるコンピュータを守るものではない。ある意味でハニーポットは機密の高い施設の中のわなに似ている。攻撃者はわなの最初の扉を突破しても,2番目の扉を通り抜けることはできない。そのうちに最初の扉が閉まり,攻撃者はわなにかかって捕らえられる。ハニーポットはわなとほとんど同じではないか?

セキュリティ技術の報告はリバース・エンジニアリング?
 セキュリティ研究者にとって重要になりそうな2つ目の出来事は,「Digital Millennium Copyright Act(DMCA)」に関するものだ。最近,特定ベンダーのため行動している弁護士たちが,特定の問題,正確にいえばリバース・エンジニアリングに関して,セキュリティ研究者を黙らせるためにその法律を使った。英国のニュース・サイト「The Register」の報告によれば,最近のInterZ0neセキュリティ・コンファレンスにおいて,プレゼンをしたら告訴すると弁護士たちが脅したため,発表者たちが予定していた講演を中止したという(該当サイト)。

 どうやら発表は,研究者のBilly Hoffman氏とVirgil Griffith氏によるもので,多くの大学が学生の口座と電子商取引トランザクションを管理するために使っている「Blackboard Transaction System」に関して,問題点を詳述するはずだったらしい。このシステムは,トランザクションを記録するために学生のIDカードを使う。2人の研究者はソース・コードを提供して,だれかにBlackboard読み出しシステムをエミュレートしたり,そのものを作らせたりする計画を立てようとしていた。

ハニーポットのエミュレート機能が違法に
 3つ目の出来事は,またハニーポットに関係するセキュリティ研究者に影響を与えるかもしれないものだ。Niels Provos氏は,私が以前に紹介したHoneydプログラムを開発した人だ(該当サイト)。Provos氏はミシガン州に活動拠点を置くドイツ国籍の人だが,ミシガン州刑法(Michigan Penal Code)のAct 328 of 1931では,「電気通信サービスについてその起点や目的地,またはそれが行われる場所を隠蔽する...[そういう目的に使うために設計された不法な通信機器]...を組み立て,開発,製造,所有,配布することを禁じる」という条項がある(該当サイト)。

 Honeydは複数のコンピュータからなるネットワークをエミュレートして,さらに異なったOSをエミュレートできるから,結果的にこのプログラムは通信源を隠す。法解釈のあいまいな文章が,Provos氏を告訴される危険にさらすことになる(該当サイト)。そこで,Provos氏は自分のHoneydソフトウエアを米国内からオランダにあるサーバーに移すことに決めた(該当サイト)ことに決めた。今そのソフトにアクセスするには,ユーザーはサイトへのアクセスが許可されるより前に自分がいる場所,国籍と,国内法に関する3つの質問に答えるよう要求される。しかしElectronic Frontier Foundation(EFF)の弁護士はこういう移動も不十分かもしれないといっている(該当サイト)。

 どうも比較的新しい連邦法に対応した新しい州法は,セキュリティ専門家を危険な状況に置くようだ。こうした研究者は,どのように行動し,どのように自分たちの発見を報告するかを考え直したいと思うだろう。不要な対決を避けるためには,より注意深くすることが要求される。稼働と同じくらい簡単に,ハニーポットは何か法律上の問題を起こす可能性があり,侵入者から訴訟を起こされることさえあり得る。上記の記事を読んでさらに詳細を調べ,この移り変わってゆく状況で,合法的に営業していることを確かめるためには,自分の法律顧問によく相談することだ。