hixの日記: 子どものためのホワイトハック入門について
日記 by
hix
古いネタになってしまったが、中学生に指摘される校内ネットのセキュリティについて。
交渉のカードを与えるという点で、違法行為をしてセキュリティ的な脆弱性を指摘するのはリスクが高いと思う。
他に適切な方法が思い浮かばないし、法が現状に対してどうよ?という問題があるが、それらは別として、重要なのは「違法行為であることは明らかな事実」という事で、法的な処分や自分のその後の処遇が他力本願となってしまう。
ホワイトハックという行為は、
交渉のカードを与えるという点で、違法行為をしてセキュリティ的な脆弱性を指摘するのはリスクが高いと思う。
他に適切な方法が思い浮かばないし、法が現状に対してどうよ?という問題があるが、それらは別として、重要なのは「違法行為であることは明らかな事実」という事で、法的な処分や自分のその後の処遇が他力本願となってしまう。
ホワイトハックという行為は、
- 機密情報にアクセスする方法を自らの意思で第三者に漏洩しなかった。
- 取り出した情報を自らの意思で第三者に漏洩しなかった。
- 取り出した情報は所有者に提示した物以外に無い。
- 機密情報にアクセスする方法を当人の過失で第三者に漏洩しなかった。
- 取り出した情報が当人の過失で第三者に漏洩しなかった。
という事をハッカーは証明しなければならない。これは、相手に指摘したサーバなりネットワークなりが持つ脆弱性とは別の問題である。
自らの意思で第三者に漏洩した事でそれが証明不可能となってしまったが為に、office氏は悪人になってしまった。
しかしこれらの証明は、当人の過失の可能性を含んでいる事や、過去に幾らでもさかのぼれるし未来へも同様なので、はっきり言えば不可能に近い。悪意の前人の行為について濡れ衣を着せられる可能性だってある。
更に、逆に指摘を受けた側が違法性を高める偽装を行う事も可能である。例えば、このたびの事象では、学校側で件の中学生から携帯音楽プレーヤーを盗んで「落し物として拾った携帯音楽プレーヤーに名前が書かれていないので所有者を調べるべく中を覗いたら成績データが未だ残っていた!消したと言ったはずなのに一体どうするつもりだったんだ?」とか、件の中学生に親しい生徒の携帯音楽プレーヤーに成績データをばらまくとかして一気に形勢逆転する事が可能だ(運動着に着替える体育の時間は要注意だよ諸君)。
素直に非を認める相手であれば良いが、逆切れする相手…この程度ならまだ良い、ヤバいのは名誉や地位を守らねば成らぬ都合がある相手だ。多くの場合、見境が無い。
>「不正アクセスが重大な違法行為という生徒の認識が欠けていたことは残念」
という校長の言葉は、大筋で否定できても、高いリスクを連想させるという意味合いであながち間違っちゃ居ない。言った本人の意図には含まれていないと思うけど。
冒頭で述べたが、交渉のカードを相手に持たせる事に繋がるので、とことんまで闘う能力や覚悟が必要だ。
子どものためのホワイトハック入門について More ログイン