善意のハッキングを行うセキュリティ研究では訴えられない新方針を司法省が発表

他者のコンピューターに侵入するハッカーの中には、攻撃を目的とした悪意あるハッカーだけではなく、セキュリティ上の欠陥や脆弱(ぜいじゃく)性を特定するための調査を行う「ホワイトハット」ハッカーもいます。司法省が、こうした活動を助け、サイバーセキュリティを促進するため、善意のセキュリティ研究者を起訴しないという方針転換を明らかにしました。

Department of Justice Announces New Policy for Charging Cases under the Computer Fraud and Abuse Act | OPA | Department of Justice
https://www.justice.gov/opa/pr/department-justice-announces-new-policy-charging-cases-under-computer-fraud-and-abuse-act

DOJ Announces It Won’t Prosecute White Hat Security Researchers
https://www.vice.com/en/article/v7d9nb/department-of-justice-security-researchers-new-cfaa-policy

司法省が表明したのは「善意のセキュリティ研究を告発すべきではない」ということ。「善意のセキュリティ研究」とは、セキュリティ上の欠陥や脆弱性を、善意でテスト・調査・修正する目的のみでコンピューターにアクセスし、活動が個人・公衆に被害を与えないような方法で行われ、活動から得られた情報がセキュリティや安全性の向上に使用されるものを指します。

リサ・O・モナコ司法副長官は、「コンピューターセキュリティの研究は、サイバーセキュリティ向上の重要な推進力です。司法省は、善意のコンピューターセキュリティ研究を犯罪として起訴することに関心を持ったことはありません。今回の発表は、公益のために脆弱性を根絶する善意のセキュリティ研究者に明確さを提供することで、サイバーセキュリティを促進するものです」と述べました。

新方針では、善意のセキュリティ研究を行った人が、コンピューター詐欺・不正利用法(CFAA)違反として起訴されることはないということが明確になっています。

ただし、「セキュリティ研究を行っている」と主張すればすべてフリーパスになるというわけではなく、たとえば、所有者を恐喝するためにデバイスの脆弱性を探ることは、たとえ「調査だった」と主張しても善意のセキュリティ研究とはみなされません。

今回発表された新方針は、ただちに有効になるとのことです。