■市井のホワイトハッカーはどう振る舞うべきなのか

たぶんXSSが理由でインターネットがとまった

http://masatokinugawa.l0.cm/2013/09/xss.benesse.html

仕事の一環としてwebサイトの脆弱性を探してる人達はたいていは所属している組織がその行為の正当性を保証してくれているから上記のような問題はほとんど起こりえない。問題は趣味の一環として脆弱性を探しているホワイトハッカーだ。

ちなみに上の記事のブクマに度々登場する「Office」とは10年前に逮捕されてしまった人のこと。

詳細は以下のページによくまとまっている。

http://www.itmedia.co.jp/news/topics/accs.html

この人が逮捕されてしまった決定的にまずかった点は、脆弱性の発見の過程で得られたとあるサイトに蓄積されていた個人情報を、あろうことかカンファレンスで公衆の面前に向けて公開しちゃったところ。擁護のしようがない。

自分がホワイトハッカーであることを証明するのは至難の業

自分では善意と思っていても、それが相手からどう見えるかどうかは別問題である。客観的な証拠が無ければ善意かどうかは証明できない。それをわかっていない安易なホワイトハッカーが多すぎるように感じる。

ネット上でホワイトハッカーとして有名ならば仮に逮捕されても世論が味方してくれるなどという甘い考えも蔓延している。確かにネット世論は味方するかもしれんがそれは法廷内では何も意味をなさない。客観的な状況証拠以外に善意を証明する術なんて無いんですよ。だから安易にホワイトハッカー気取るのは危険なんだ。

脆弱性を見つけたらサイト管理者とIPAに迅速に報告する

これ以外にホワイトハッカーが身を守る術は無い。これを怠っておいて面倒なことに巻き込まれて「俺はインターネットを良くしようと思ってやってるのに！」とぷんすか怒っても駄目。特にIPAへの報告はできるだけ早くやる。サイト管理者よりも先に報告する。これ鉄則。

とある自称ホワイトハッカーが熱弁していた自衛手段の一つに、ブラウザのUserAgentに「僕はあなたの味方だよ！」という意味の文言を入れておけば大丈夫というものがある。ジョークで言っているんだろうと思ったがどうやら本気だった模様。こういう馬鹿な人は逮捕されても仕方がない。

ホワイトハッカーに必要なのは技術力だけじゃない。自分は無害だ、むしろサイト管理者の味方なんだという客観的な事実を積み重ねる高度な政治的立ち回りが必要なんだよ。

確かにホワイトハッカー自体は世の中に間違いなく必要だ。でも、世間は無条件に諸手を上げてホワイトハッカーを歓迎しているわけじゃない。本当にホワイトなのかどうか見極める作業が必要なんだ。だからこそ、ホワイトハッカー側には高度な政治的立ち回りが必要となる。誰しもが客観的にその状況を見てホワイト認定してくれるようにログを積み重ねなければならない。以上。

追記

ちなみに問題となってるベネッセのサイトに気になるお知らせが。これが上記の件なのかどうかはわからないが一応紹介。

http://blog.benesse.ne.jp/info/corp/2013/09/post-4.html

外部からの不正アクセスを受けて内容の一部が改ざんされていたことを８月２９日にお伝えいたしました。

ＨＰを表示するためのデータの一部が、第三者によって不正に書き換えられていたことを８月２９日に発見し〜

「書き換えた」とあるので、上記の人とは違うとは思うが。どうなんだろう。もし書き換えたとすればそれはホワイトどころかグレーどころかブラックなんじゃないだろうか。別件であると信じたい。

Permalink | 記事への反応(1) | 17:27

ツイートシェア