【発見/報告】 ミズーリ州知事「ウェブページのソース表示はハッキング」。脆弱性指摘した人物を起訴の意向

ミズーリ州知事「ウェブページのソース表示はハッキング」。脆弱性指摘した人物を起訴の意向
逆ギレ案件

Munenori Taniguchi, @mu_taniguchi
9時間前 in governor of Missouri

ミズーリ州のマイク・パーソン知事が、州が管理するウェブサイトで教職員の個人情報が暗号化もされずに閲覧可能な状態になっているのを発見・報告したジャーナリスト、ジョシュ・ルノー氏を起訴する意向を示しています。

昨秋、St. Louis Post-Dispatch紙の記者として活動しているルノー氏は州教育委員会(Department of Elementary and Secondary Education：DESE)のサイトを閲覧中に、ウェブページのソースコード上に10万人以上の学校教師、学校管理者、カウンセラーの社会保障番号が平文で記述されているのを発見、公表はせず、国にこの問題を報告しました。

その後、問題がすべて解決されたのを待って、ルノー氏はこれを記事化しました。おかげで、州当局には直接な被害は発生することもありませんでした。

しかしこの、本来なら州から感謝状の1枚も贈られてよいはずの行動に対して、パーソン知事は何を思ったのかルノー氏を「ウェブサイトをハッキングした」として犯罪者扱いし、起訴する意向を示しています。さらに州教育委員会のマギー・ヴァンデヴェン氏も、教育関係者への配布文書のなかで「ある人物がウェブページにおけるソースコードの暗号化を解除し、少なくとも3人の教育関係者の記録を持ち出し、その社会保障番号を閲覧した」と述べました。

一般的にウェブページのソースコードは平文で記述され、誰でもブラウザーのメニューからソースコードを表示閲覧できます。しかし、知事と教育委員会の理屈では、自分が所有していないウェブサイトで、その(誰でも見ることができる)HTMLソースを見ると、その人は悪意あるハッカーとみなされてしまうことになります。

St. Louis Post-Dispatch紙はこの問題に対し、FBIが州当局に対し問題はウェブサイトの不適切な設定で情報が閲覧可能になっていたことであり、ルノー氏の行為は「ネットワーク侵害にはあたらない」と助言したと報じています。また紙が入手した公文書からは、教育委員会のヴァンデヴェン氏が、当初はルノー氏に脆弱性の発見と未然の解決に至ったことを感謝するつもりだったことがわかっています。ヴァンデヴェン氏は知事に面会したときに考えを翻したようです。

知事がこのようなおかしな判断に固執するのは、どうやら知事が任命する法的監督機関であるハイウェイパトロールが、St. Louis Post-Dispatch紙の記事に関する調査を実施し検察に引き渡した報告を根拠としているようです。知事は検察への報告があった翌々日から、検察に対してルノー氏と新聞社をコンピューター改ざんに関連する州法を適用して起訴すべきだと主張しているとのことです。

パーソン知事は会見で、ルノー氏の行動を「他人の家のドアロックをピッキングで開けて勝手に入り込むような行為」とたとえて非難しました。しかし、実際にはピッキング(暗号を解除する)行為などはおこなわれておらず、適切なたとえとは言えないでしょう。むしろ最初から「全開のドアの前を通りがかったら、人に見られたら困るであろうものが目の前にデデンと置かれていた」というほうが適切です。

ルノー氏にしてみれば、チャック全開で歩いてきた人に「開いてますよ」とこっそり教えたら逆ギレされたような展開はまったくつまらないはず。知事と教育委員会は周囲の(まともな)意見にもっと耳を傾けるべきかも知れません。

Source：The Verge

coverage：St. Louis Post-Dispatch

https://japanese.engadget.com/governor-wants-a-journalist-prosecuted-for-looking-at-website-source-code-235003188.html

予算がなくてDB買ってもらえなかったとかいう落ち？

みたいな？

この譬えだと逆ギレした方にも分がある