JNSA社会活動部会　部会長　丸山司郎

1980年にYMOというバンドがギャグレコード「増殖」を発売しオリコン1位を獲得しました。音楽とコントを交互に録音してあるレコードで、コントの一つにスネークマンショーの「ここは警察じゃないよ」があります。このコントは、警官が麻薬中毒者を逮捕に来て、玄関の前で「警察だ！お前を逮捕する」と怒鳴るが麻薬中毒者がラリッており、埒が明かないというお話です。今聞いても面白いので、YouTubeで探してみてください。

さて皆さん、セキュリティに携わっている者として、自分の行いが法的に大丈
夫なのかと不安に感じたことはないでしょうか？
例えば、このような行為はいかがでしょう。
1. たまたまメールに添付されていたマルウエアを見つけ、自分で解析しようと保管していた。
2. 個人で管理しているサーバに、ハニーポットを設置していたら侵入されマルウエアが設置されていた。
3. 攻撃コードの検証をするため、自分で作った動作するプログラムを保管している、また検証結果を、コード付きで自分のブログで公開した。

ある朝突然、自宅の玄関に警官が来て「警察だ！お前を逮捕する」と言われたら笑い話では済みません。しかし、昨今、そのような情報セキュリティに関わる逮捕が何件かニュースになっております。
1. 未成年者がランサムウエアを作る時代、日本初の逮捕事例を読み解く
https://blog.trendmicro.co.jp/archives/15133
2. ウイルス保管容疑でセキュリティ企業ディアイティの社員逮捕、同社は反論
https://tech.nikkeibp.co.jp/it/atcl/news/17/110102576/
3. 違法マイニングで１６人摘発　１０県警、仮想通貨獲得で不正アクセス
https://www.sankei.com/affairs/news/180614/afr1806140035-n1.html
4. 不正プログラム書き込み疑い補導
https://www3.nhk.or.jp/lnews/kobe/20190304/2020003239.html?fbclid=IwAR1XYyXH0znC6z7Tx5aHEx75cEADD2zbM-8qvHCT51VzweCoNdxBL1I5EFc

話は変わりますが、昨年12月、世界のアキバでSECCON 2018 CTFが開催されました。
今年の国際大会は日本勢が1?3位を占めるという嬉しい結果となりました。
CTF以外にも、体験型イベントのハンズオンやワークショップ、カンファレンスなど多彩な企画が2日間にわたって開催され、過去最高の来場者数を達成しました。
SECCONというCTF競技は、攻める側と守る側の攻防戦です。
情報セキュリティという分野が、まだまだ発展途上であり、未成熟な分野であることから、SECCONにおいても不安材料があるに違いないということで、カンファレンスの一つとして「行列のできるSECCON模擬法廷」を開催しました。SECCONはどの企画も大盛況でしたが、中でもこの企画は会場を巻き込んで大変盛り上がりました。

模擬法廷ですので、専門家として、情報セキュリティ大学院大学の湯淺墾道先生、弁護士の北條孝佳先生に、検事役、弁護役を交互にご担当いただき、被告には、SECCONの実行委員の方3名にご担当いただき臨場感を出しました。
（先生方にはあらかじめ、被告をシドロモドロにしてくださいとお願いしてあります。）

＜相談テーマ １＞
「私は、先日のセキュリティカンファレンスで最新の攻撃手法を発表しました。
ところが、翌週その手法を使って実際に犯罪が行われてしまいました。
犯罪の内容は、Webサーバの脆弱性をついたサーバへの侵入と、マイニングツールの埋め込みでした。
私は何らかの罪に問われるのでしょうか？」

さて、皆さんは、どのようにお考えでしょう。
この時点で、会場の皆様に挙手で意見を伺うと、「罪に問われるという」意見が若干多い状況でした。

この後、検事役、弁護役から相談者に厳しい質問が投げかけられます。
（弁護役も追い詰めていた感は否めませんでしたが、会場は大盛り上がりでした）
・相談者は、セキュリティ関係の専門家なのか？
・聴講者には悪用しないように注意喚起したのか？
・攻撃手法は、そのまま使えるような内容だったのか？
・攻撃手法が危険であり、悪用可能なことは理解していたのか？
・発表内容は、主催者側が組織としてレビューしていたのか？

実際の裁判となると、このような様々な側面から事実関係の確認を行い、犯罪を行った本人の責任、攻撃手法を発表した者の責任を明らかにしていくという事が理解できました。
様々な討議の結果、再度、会場の皆様に挙手で意見を伺うと、「罪に問われるという」意見が随分と増えておりました。

＜相談テーマ ２＞
「私は、Hardeningを運営しています。前回の開催で、参加者が誤ってランサムウエアをグローバル向けに配信してしまいました。海外からは被害の報告が出てきており、ホテルのドアが1日開閉不能となる大きな事故が報道されています。
参加者のせいであって、私のせいではないと思うのですが責任はありますでしょうか？」

さて、皆さんは、どのようにお考えでしょう。
この時点で、会場の意見は、半々という状況でした。

この相談にも、検事役、弁護役から相談者に厳しい質問が投げかけられます。
・競技の環境は、クローズド環境だったのか？
・配布したランサムウエアは一般に出回っているものか？
・外部ネットにつながないような対策はとられていたのか？
・事前の注意喚起は十分に行われていたのか？
・外部につなげた人の、経験値はどのくらいか？

様々な討議の結果、再度、会場の皆様に挙手で意見を伺うと、雰囲気に慣れてきたのか「罪に問われるという」意見が圧倒的でした。

最後に、会場からも日々の行動について不安なことがあれば質問してほしいと募った所、皆さん積極的に質問され、先生方と真剣に意見交換をしていただきました。

現実は、テレビでやっている笑福亭仁鶴師匠の「バラエティー生活笑百科」や、「行列のできる法律相談所」のように単純に判断できるものではなく、様々な側面から責任の所在を明らかにしていかなければならないということが分かりました。
セキュリティ業界で働く者として、JNSAという業界団体を活用し、自分たちの仕事を正々堂々と行える健全な業界にしていきたいと考えております。

 

＃連載リレーコラム、ここまで

＜お断り＞
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】
★JNSAセキュリティしんだん「ダウンロード規制拡大方針の動向」を
公開しました。
　https://www.jnsa.org/secshindan/secshindan_27.html
　第156号掲載のメールマガジンを最新の情報に更新して掲載しています。

★西日本支部主催「NSF2019 in Kansai」3月6日に開催いたしました。
多くの皆様のご参加ありがとうございました。
当日の講演資料を公開いたしました。
https://www.jnsa.org/seminar/nsf/2019kansai/

【事務局からのお知らせ】
★2019年度年会費ご請求書とJNSA会員登録情報確認票を会員企業各社のご連絡担当者様にお送りさせていただきました。
　ご登録情報に変更がありましたら、事務局までご連絡をお願いします。

★JNSAは、（ISC）2やSANSの代理店として、会員企業の方へトレーニングの割引販売を行っております。受講の際にはぜひ事務局までご連絡下さい。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン　第157号
発信日：2019年3月8日
発　行：JNSA事務局　
*************************************