脆弱性を見つけるのは法的に黒っぽい?
2009年2月10日(火曜日)
脆弱性を見つけるのは法的に黒っぽい?
公開: 2024年12月21日18時30分頃
「セキュリティ&プログラミングキャンプキャラバン2008 レポート (blog.s21g.com)」。
脆弱性を見つけるのは法的に黒っぽいですが、みなさん、どうしてるんですか?
ふぇー。黒っぽいですか。情報セキュリティ早期警戒パートナーシップガイドラインの付録には「不正アクセス禁止法に抵触しないと推察される行為の例」というのが出ていたりしますが、園田さんの「早期警戒パートナーシップ」という発言はその話ですかね。ちなみにこんな感じです。
1) ウェブアプリケーションの利用権者が、正規の手順でログインするなどして通常のアクセスをした際に、ブラウザとサーバとの通信の内容を観察したところ、それだけで脆弱性の存在を推定できた場合。
2) ウェブページのデータ入力欄にHTML のタグを含む文字列を入力したところ、入力した文字列がそのまま表示された。この段階ではアクセス制御
機能の制限を回避するに至らなかったが、悪意ある者に別の文字列を入力されれば、このサイトにセキュリティ上の問題が引き起こされかねないと予想できた場合。
3) アクセス制御による制限を免れる目的ではなく、通常の自由なページ閲覧を目的として、日付やページ番号等を表すと推察されるURL 中の数字列を、別の数字に差し替えてアクセスしてみたところ、社会通念上、本来は利用できてはならないはずと推定される結果が、偶発的に起きてしまった場合。(ただし、積極的に多数の数字列を変えて試す行為等は、制限を免れる目的とみなされる可能性があります。
以上、情報セキュリティ早期警戒パートナーシップガイドライン より
まあ、抵触しないと推察されるというだけなので、グレーですけれども。ここに書かれているのはあくまで一例で、基本的には、
- Webサイトの運営者や利用者に迷惑をかけないこと
- 不正アクセス禁止法の構成要件を満たさないようにすること
という2点に注意すれば良いのかなと思っています。後者はけっこう難しいですが。
脆弱性みつかったお! → 仕様です
すぐ仕様と言ってくるならまだ良いのですが、「脆弱性みつかったお→修正しました→なおってないお→修正しました→なおってないお→仕様です」とか対応されると、修正を諦めて仕様と言い張ることにしたとしか見えなかったりしますよね……。
- 「脆弱性を見つけるのは法的に黒っぽい?」にコメントを書く
関連する話題: セキュリティ
- 前(古い): 国語入試問題必勝法
- 次(新しい): IPAを騙る標的型攻撃の分析
