TOP > Network > オーストラリアの少年、Webサイトの脆弱性発見で警察から注意...
関連カテゴリー: Industries | Network
オーストラリアの少年、Webサイトの脆弱性発見で警察から注意処分に
2014/07/09
オーストラリアの10代の少年が、同国ビクトリア州の公共交通機関のWebサイトに潜む脆弱性を2013年12月に発見した。だが、この行為がサイバー犯罪法違反に問われ、少年は起訴を回避するために警察からの注意処分を受け入れたことが分かった。
この少年は、同州メルボルン在住のJoshua Rogers君だ。現地時間2014年7月7日、IDG News Service宛てのメールで状況を説明してくれた。注意処分とは、法を犯したことを認めた者に対して警察が与える処分の1つで、これを受け入れることにより起訴を回避できる。今後5年間のうちに再び同じ違反を犯さなければ、記録から抹消される。
Rogers君の事例が示すように、一般公開されているWebサイトでセキュリティ研究者がソフトウエアの脆弱性を探る行為は、紙一重の道である。
米Googleや米Facebookなどの大手IT企業は、自社のサイトをセキュリティ研究者が精査することを奨励し、セキュリティ情報の提供に対して報奨金を出している。支払いの条件は、問題が解決されるまで研究者がその情報を公開しないことだ。
だが、そうしたお墨付きがない場合、たとえ調査のつもりでも、悪質な行為と単純にみなされてサイバー犯罪法違反と判断される恐れがある。
Rogers君は2013年12月、ビクトリア州の公共交通機関を運営するPublic Transport Victoria(PTV)のWebサイトで、SQLインジェクションの脆弱性を発見した。データベースに対する特定の種類の入力を正しくフィルター処理していない場合に生じる脆弱性だ。