これは「ホワイトハッカー」ではない


ここ数日、情報セキュリティクラスタの一部でチョットだけ沸いたTwitterの投稿がありますので御紹介します。

まずは2020年1月8日に投稿されたこちら。

えっと、これは不正アクセス行為の禁止等に関する法律(通称、不正アクセス禁止法)に違反する行為ですね。一般的に脆弱性を発見した際に「寸止めしたらセーフ。やっちゃったらアウト。」と言われています。この方のケースでは「やっちゃってる」のでアウトですね。司法がどう判断するのかが気になりますけど、JavaScriptの無限ループで大騒ぎして子供を犯罪者に仕立て上げた警察当局は捜査に踏み切るべき事案です。実際に「データを抜いた」と明言しているわけですから。

で、その方は2020年1月10日にこんな投稿をしています。

自らホワイトハッカーを名乗っていますが、実際にデータを抜いてしまっているのでホワイトハッカーではありません。ホワイトハッカーは寸止めできて、然るべき機関経由で連絡し脆弱性の修正をして頂く人の事を言います。この方は、寸止めできなかった上に以下のような攻撃コードの公開もしていますので完全にブラックハッカー(クラッカー)です。

リンク先は現在削除されている状態ではありますが、およそ3日間に渡って公開されていた模様ですので「完全にアウト」です。しかも敢えて英語で投稿しているという事は「全世界にアピールする」事を意図していますので、悪意があるとみて間違いないところですね。まあ、脆弱性が未修正な状態で攻撃コードを公開してアピールする段階で言語を問わずアウトですけど。完全に警察が立件すべき事案です。参考までに申し添えておくと、魚拓サイトに既に魚拓が取られてますので削除した意味はなくなっています。

あと、こういう投稿をされている方もいらっしゃいますが…

大いなる勘違いですね。ハッキングとクラッキングは確実に違うのは確かですが、自称ホワイトハッカー氏は完全に後者であり、セキュリティのプロでも何でもありません。一般的にはスクリプトキディと言われる情報セキュリティ業界からは忌み嫌われる存在でしかありません。こういう誤った理解が一般に広まっている事は、我々、情報セキュリティで飯を食っている人間が正していかなければならない誤解だと反省しました。日々啓蒙活動を続けていても、こういう誤解は無くならないのだなあと困惑しているところであります。

あと、自称ホワイトハッカー氏は、こんな投稿もしています。

そもそも、連絡する先が間違っています。ホワイトハッカーを名乗るなら最低限知っておかなければならないのは「脆弱性を発見した際にはIPAもしくはJPCERT/CCに報告すべき」と言う事であります。私も脆弱性を発見する事がありますが、そのたびにIPAに届け出て対応頂いております。そういった情報セキュリティに携わる者の基本も知らずしてホワイトハッカーを名乗るのは噴飯ものですね。だいたい、マスコミに情報を流す(とは言っても、相当規模の事件でない限り取り上げられる事はありません)という行動から見て取れるのは、単に売名したいだけの人間だという事です。そこには正義の欠片も見受けられません。

「寸止め」の原則を知らない、「届出機関」を知らない、それは単なる素人でありハッカーでも何でもありません。ましてや、実際に攻撃を加えているわけですからホワイトでも何でもないという事になります。こういう人達がいる限り、ハッカーに対して正しい理解を得られるわけもなく、他のハッカーたちも世間から白い目で見られるのだという事を強く認識して頂きたいと思っています。

自称ホワイトハッカー氏が行った行為は情報セキュリティを生業としているものにとって非常に迷惑な行為であり、腹立たしい行為であります。ここは是非とも改心して正しい倫理観をもって頂ければと思います。


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です