企業のセキュリティ問題を突き止めた研究者に裁判所が罰金を科す、有益な研究が阻害されてユーザーが危険にさらされる可能性も

セキュリティ研究者らは、すでに展開されているソフトウェアやウェブサービスに存在する脆弱(ぜいじゃく)性を見つけるため、あの手この手を尽くして調査やテストを行っています。ところが、クライアントに代わってソフトウェアを調査して脆弱性を発見したITコンサルタントに対し、ドイツの裁判所が罰金を科したことがわかりました。

Gericht sieht Nutzung von Klartext-Passwörtern als Hacken an | heise online
https://www.heise.de/news/Warum-ein-Sicherheitsforscher-im-Fall-Modern-Solution-verurteilt-wurde-9601392.html

IT consultant in Germany fined for exposing shoddy security • The Register
https://www.theregister.com/2024/01/19/germany_fine_security/

Ethical Hacking on Trial: German Court Fines Security Researcher for Reporting a Company's Data Vulnerabilities - Socket
https://socket.dev/blog/ethical-hacking-on-trial-german-court-fines-security-researcher

ドイツのITコンサルタントであるヘンドリック・H氏は2021年に、Modern Solutionという企業が提供するオンラインマーケットの商品管理システムについて、システムを利用するクライアントからの要望を受けてトラブルシューティングを行いました。この際、Modern Solutionのコードがベンダーによって運用されているMariaDBのデータベースに接続していることに気づいたそうです。

さらに、このリモートサーバーにアクセスするためのパスワードがプログラムファイルに平文で保存されており、テキストエディタで開くと暗号化されていないハードコードされた資格情報が表示されることも判明。プログラムファイルからパスワードを見つければ誰でもリモートサーバーにログインし、直接のベンダーだけでなくベンダーが抱えるクライアントのデータにもアクセス可能だったとのこと。Modern Solutionのプログラムファイルはウェブから無料で入手可能なため、簡単にテキストエディタでファイルを検査して、データベースのパスワードを調べることができたと報じられています。

H氏はこの問題をModern Solutionに報告しましたが、セキュリティレポートに対する反応が薄く、問題についてのコメントを拒否したとのこと。そこでH氏は、Modern Solutionのセキュリティ脆弱性について技術ジャーナリストのマーク・シュタイアー氏に開示し、6月23日にはウェブメディアにデータ漏えいの可能性についての記事が掲載されました。

シュタイアー氏は記事の中で、Modern Solutionの顧客は弁護士に相談するように呼びかけると共に、セキュリティ上の欠陥をModern Solutionの怠慢だと非難しました。Modern Solutionはこれに対して(PDFファイル)声明を発表しましたが、後にH氏を「内部関係者を通じてパスワードを入手し、パスワードで保護されたデータへ不正にアクセスした」として告訴。9月には警察がH氏の自宅と職場を家宅捜索し、ノートPCやスマートフォン、外部記憶媒体などを押収したとのこと。

H氏は不正データアクセスの罪で起訴され、弁護側は「H氏の行為は倫理的なセキュリティテストであり、クライアントが依頼した分析の一環として行われ、Modern Solutionのセキュリティを向上させるのに役立つ脆弱性を突き止めた」として争いました。ところが、ユーリッヒ地方裁判所は「ITコンサルタントの行為は外部のコンピューターシステムに対する不正アクセスおよびスパイ行為に当たる」と判断し、2024年1月に罰金3000ユーロ(約48万円)を科しました。

シュタイアー氏はこの判決についての記事で、「この罰金命令は根本的に間違っているため、さらにショッキングなものです。ほぼ平文で保存されているパスワードは、ドイツの刑法第202条で求められる『特別なセキュリティ』を構成しません。裁判官がそれを適切に評価できないのは仕方ありませんが、そうであるならばこの点について、専門家に意見を聞かなくてはならなかったでしょう。しかし、残念ながらそうはなりませんでした」とコメントしています。

今回の判決にはまだ法的拘束力はなく、H氏は上訴するつもりだとのことです。

犯罪目的ではないセキュリティテストに対して裁判所が罰金を命じたことにより、倫理的なセキュリティ研究が阻害され、企業のセキュリティを向上させる取り組みが鈍る危険性があると指摘されています。

セキュリティ系メディアのSocket.devは、「悪意のあるハッカーであれば、サービスを中断させたり、顧客データを販売したり、脆弱性をブラックマーケットで売りさばいたりして、Modern Solutionとその評判にはるかに大きなダメージを与える可能性がありました。同社は研究者に感謝する代わりに、自社のシステムを守るきっかけとなった試みを犯罪とすることで彼に報いたのです」と非難しています。

セキュリティ研究者のウラジーミル・パラント氏はMastodonへの投稿で、「私はこの判決が覆されることを強く望んでいますが、これはまさに人々が恐れていたことです。想定される『保護』にどんな欠陥があろうとも、保護が存在するというだけで、ドイツの法律ではセキュリティ研究が犯罪的なハッキングに変わってしまうのです。これは合法的な研究を冷え込ませ、企業が不十分なセキュリティを放置することを許し、結局はユーザーを危険にさらすことになります」と主張しました。