若きホワイトハッカーの悩み

3月16日、LINE株式会社は、一部の環境下においてLINEの脆弱性が見つかったがその点についての修正が完了したと公表した。

3月16日、LINE株式会社は、一部の環境下においてLINEの脆弱性が見つかったがその点についての修正が完了したと公表した。

この脆弱性はいわゆるホワイトハッカーによって発見され、彼らの属する株式会社スプラウトからソフトウェア等の脆弱性情報を取り扱うIPA(独立行政法人情報処理推進機構)に通知され、それを受けてLINE株式会社が対応してアプリを修正したものだった。

世界中で5億人以上が使っているメッセージアプリLINE。今回の脆弱性は利用者のスマートフォンに保存されているLINE内のトーク履歴や写真、友達リストなどを外部から不正に抜き出されたり、改竄される恐れがあるというもので、深刻だったと言える。今回は、発見された脆弱性が正式なルートで通知され、そして改善された上で公表された、といういい結果になったわけだが、それはこれを発見した人たちがいわゆるホワイトハッカー(善意のハッカー)だったからだ。もしこれがホワイトハッカーではない悪意のあるハッカーによって発見されていたら、LINE株式会社に対し巨額金銭を要求するとか、その脆弱性につけ込んで、他人のデータを盗んだり、ということになっていた可能性がある。

ホワイトハッカーの人たちは、一般的には、不正アクセス禁止法など関係法令に触れないようにして、今回のような脆弱性の発見などを行っていると思われるのに対し、悪意あるハッカーの場合は法律違反を恐れないことが多いだろうから様々な手法を用いて攻撃することなどが可能になる。その分、ホワイトハッカーは不利になっている、ということだ。

現在不正アクセス禁止法上では禁止されているかどうか曖昧ないくつかの手法について、善意で行う場合は適法とする、という「グレーゾーン解消制度」が必要、と株式会社スプラウトは訴える。世の中には未知の脆弱性が存在する。これらに対してしっかり対応していくためにも僕もこうした制度が必要だと考える。民泊サイトの話と共通するが、法律を守っている人たちが損をする、というのはよくない。

ところで、先日のLINEの脆弱性の件。これを発見した人たちにどれだけの謝礼がLINEからなされたのかというとどうやら金銭的な支払いはなく、LINEの公式ブログに以下の言葉が掲載されたことが御礼、のようなものだったという。LINE株式会社に限らず、一般的にそういうものらしいが。

『JPCERT/CC様、IPA様および株式会社スプラウト様(末房建太 様、中澤上明様、塩見友規 様)にご指摘いただいたお陰で、プログラム設計上の問題を早期に修正することができました。感謝申し上げます。』

ふるかわ 拝

(2015年4月22日「週刊yasushi」より転載)