ミズーリ州「view source事件」の結末：起訴騒動の顛末と制度が機能した瞬間

Atom | RSS

このサイトを検索 | Search this site

Oct 14, 2021、STLtoday.com によると、

米国ミズーリ州、マイク・パーソン知事は、恩人を起訴するぞー。と言ってます。

提訴の理由は、ミズーリ州のウェブサイトのソースコードを表示して個人情報をハッキングしたとのこと...？

なんか、ヤベー州ですな。

ミズーリ州のマイク・パーソン知事が、州が管理するウェブサイトで教職員の個人情報が暗号化もされずに閲覧可能な状態になっているのを発見・報告したジャーナリスト、ジョシュ・ルノー氏を起訴する意向を示しています。原文

ミズーリ州 (Missouri)

ヤベー知事と教育委員会が支配しているミズーリ州に渡航する予定のある方はお気を付けくださいね。

赤色がミズーリ州です。

経緯とパーソン知事の考え

ネタ元：Engadget 日本版、英文

経緯

DESE: Department of Elementary and Secondary Education、州教育委員会

• ポストディスパッチ社の記者ルノー(Josh Renaud)氏は、州教育委員会 DESE のサイトを閲覧中にウェブページのソースコードに10万人以上の学校教師、学校管理者、カウンセラーの社会保障番号が平文で記述されているのを発見した。
• ルノー氏は公表せずにこの問題を国に報告したので、州当局は被害を免れた。
• ルノー氏は、問題がすべて解決されてからこれを記事化した。
• 州から感謝状の1枚も贈られてよいはずの対応だと思っていたが...
• マイク・パーソン知事は、ルノー氏を「ウェブサイトをハッキングした」と勘違い？し起訴する意向を示した。
• さらに州教育委員会のマギー・ヴァンデヴェン氏は、教育関係者への配布文書のなかで「ある人物がウェブページにおけるソースコードの暗号化を解除し、少なくとも3人の教育関係者の記録を持ち出し、その社会保障番号を閲覧した」と述べている。
• いいことしても、報われねぇ～ by Josh Renaud

頭湧いてんのか...？

• ルノー氏の行動は、他人の家のドアロックをピッキングで開けて勝手に入り込むような行為と考えている。(パーソン知事の脳内)
• 誰でも閲覧可能はソースコードを表示しただけなので、ピッキングのたとえは適切ではない。(FBIなど)
• 今回の事を例えるなら、「全開のドアの前を通りがかったら、人に見られたら困るであろうものが置かれていた」。
• チャック全開で歩いてきた人に「開いてますよ」とこっそり教えたら、「俺を侮辱した」と逆ギレされたようなもの。

【追記】その後、どうなったのか？（2022年2月 結末）

本件は、ジャーナリストがウェブサイトのHTMLソースを確認した際に、教職員の社会保障番号（SSN）が平文で埋め込まれている重大な欠陥を発見したことに端を発します。特殊な技術は不要で、ブラウザの「view source」機能で誰でも確認できる状態でした。

報告は事前に州側へ行われ、いわゆる責任ある開示のプロセスに沿ったものでした。しかし当時のミズーリ州知事である Mike Parson はこれを「ハッキング」と位置づけ、刑事捜査と起訴を求める姿勢を示します。

この判断は技術的観点から強い批判を受けました。本件は不正アクセスではなく「公開情報の閲覧」に過ぎず、一般的なセキュリティの定義に照らしても犯罪性は認められないためです。

最終的な判断を下したのは検察です。2022年2月、ミズーリ州コール郡の検察官は不起訴を正式に発表しました。

理由としては以下の通りです。

• 不正アクセスに該当しない
• 刑事的意図が認められない
• 公開状態にあった情報の確認に過ぎない

この判断により、事件は法的に完全終結し、その後の再捜査や起訴の動きも確認されていません。

本件で注目すべきは、「なぜこのような騒動が起きたのか」という点です。構造的には以下の要素が重なっています。

• 重大な情報漏えいによる政治的プレッシャー
• 技術的事象（ソース閲覧）への誤認
• 責任回避のための強硬な対外姿勢

その結果、本来は評価されるべき報告行為が、逆に「攻撃」と見なされる事態に発展しました。

一方で制度的な側面も見逃せません。アメリカの刑事手続きでは、告発は広く受理されたうえで、検察が適法性を厳格に判断します。本件でもそのフィルターが機能し、不適切な起訴は回避されました。

検察の判断と調査の実態

検察側は「法律違反と構成する余地は理論上あり得るが、刑事事件として追及することは公共の利益にかなわない」と判断しました。

275ページに及ぶ調査報告

後に公開された州警察の報告書は275ページに及び、「記者がF12キーを押した」「ソースコードをコピーした」といった行為が詳細に記録されていました。

しかし結論は一貫しており、「記者は公開されているデータにアクセスしただけで、不正な領域には侵入していない」というものでした。

知事の傲慢さと『ランボー』

今回の対応から想起されるのが、映画『ランボー (First Blood)』の冒頭です。

First Blood において、John Rambo はただ町に立ち寄っただけで、保安官に「厄介者」と決めつけられ、権力によって排除されようとします。

本件でも、管理上の欠陥を指摘しただけの記者が「脅威」と見なされ、攻撃対象へと転化されました。技術的事実は中立であっても、それが権力者の立場を揺るがす場合、「秩序を乱すもの」として扱われてしまう構図です。

まとめ

この事件は、「権力の暴走」という単純な話ではなく、技術理解と政治判断のズレが引き起こした典型例です。

そして同時に、最終的には法制度がブレーキとして機能した事例でもあります。

セキュリティの世界では、脆弱性報告は本来保護されるべき行為です。本件はその重要性と、誤った対応がもたらすリスクを強く示したケースとして記憶されるべきでしょう。

結局、この一件は、

• 州のウェブサイトには10年以上前からこの脆弱性があった。
• 「F12キーでソースを見る」ことが「ミズーリ・ハッキング」と皮肉られるようになった。
• 知事は最後まで自分の非を認めず、「デコードして閲覧したのは違法だ」と言い張った。

という、なんとも後味の悪い、しかし技術者にとっては「権力者の無知ほど怖いものはない」と再認識させる結果となりました。

教訓：ミズーリ州に限らず、チャック全開を指摘する時は相手の「器」を見てからにしたほうがよさそうです (o|o)

エンタメ,将棋

：SC2

このサイトを検索 | Search this site