水無月ばけらのえび日記

シャットダウン事件と発見者の責任

公開: 2011年5月22日13時50分頃

こんなお話が。

• 巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に (slashdot.jp)」。
• 巫女テスター（17歳）、システムの致命的な欠陥を発見しサーバーごとシステムをシャットダウンした一部始終 (togetter.com)
• 巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 (togetter.com)

とあるシステムを見ていたら「パスワード再発行フォームのメールアドレス入力画面にＳＱＬを仕込むと全ユーザーの情報を引き出したり」といった致命的な脆弱性を発見してしまい、そして……本番環境を動かないようにしてシャットダウン。その後は警察を呼ばれそうになりつつも、クライアントの理解が得られて最悪の結果は回避できたようで。まとめには出ていませんが、「課長と部長に報告したし、埒があかないから更に上に話させてくれと再三掛け合って駄目だった結果がアレ」という事情もあったようですね。

一歩間違えば大変な事件になっていた可能性がありますが、結果的には丸く収まって良かった、運が良かった、というところでしょうか。

脆弱性にもいろいろありますが、これは簡単に能動的に攻撃でき、かつ被害も大きいタイプのものでしょう。そういうタイプの脆弱性を発見したら、「今にも攻撃されて被害が出るかもしれない」「とにかく早く対応しなければ」と思ってしまうわけで、報告しても対応してもらえないと分かったら……そういう状況で冷静でいるのは、それほど簡単なことではないと思います。発見者が責任感の強い人であれば、なおさらです。

しかし、サービスの安全性や情報の管理の責任を負うのは、あくまでサービス運営者です。事故が起きたときに賠償の責任を負うのも、サービス運営者です。そのサービス運営者が「情報が漏洩するかもしれないが、それでも良い」と判断したならば――発見者はその判断はまずいと意見するでしょうが、それでもその判断を固持したなら――その判断は尊重すべきだと、私は考えます。

あえて語弊のある言い方をすれば、「サービス利用者が被害を受けても、それは運営者の責任で、私は知らない」ということでもありますが、私はそれで良いと考えています。世の中には「脆弱性を知った者はサービス利用者を守る責任がある」などと考える人もいるようですが、私はそうは思いません。

脆弱性に関わる立場の人は、強すぎる正義感や責任感が不幸を生むこともある、ということを頭の片隅に置いておくようにした方が良いと思います。

※追記: 「発見者はサービス利用者の立場を代弁するべきではない」という記述がありましたが、高木さんのからご指摘 (twitter.com)をいただきました。確かにこの部分は妥当でないと思いましたので、その部分は撤回します。

• 「シャットダウン事件と発見者の責任」にコメントを書く

関連する話題: セキュリティ / 思ったこと