にほんブログ村 ニュースブログ 海外ニュースへまとめ
このエントリーをはてなブックマークに追加

【米国】州ウェブサイトの欠陥を発見・報告した記者に州知事激怒、訴訟の構え

インターネット,北米

 ウェブサイトのソースは、基本的に誰でも見られる。例えばChromeなら、ソースを見たいページ上で右クリックして"ページのソースを表示"を左クリックするだけでいい。

 そんなものなので、そこに機密の情報をそのまま載せることは通常ありえないのだが、アメリカ・ミズーリ州のウェブサイトはそれをやってしまったらしい。
 それだけでもう残念な話なのだが、さらに残念なことは、それを見つけて指摘した記者に対して、州知事が"訴えてやる!"と気勢をあげているところだ。

その記者は本当に凄腕のハッカー?

「火曜日、ミズーリ州セントルイスの地元紙ポスト・ディスパッチの記者は、州教育局運営のウェブサイトに欠陥があり、そのために教員や学校管理者の社会保障番号が漏洩する危険があると州に警告し、欠陥の問題が解決されるまで、そのことを報じないとする合意をかわした。
 だが、同州マイク・パーソン知事は、同記者を『ハッカー』と呼び、刑事訴追を求めることを宣言、『我々の政権は、個人情報を盗んで市民に損害を与えようとするあらゆる加害者と戦います』と、語る。

 ポスト・ディスパッチ紙によると、記者の1人が教員の資格や証明書を検索できるウェブサイト内ツールの脆弱性を発見、それは教師の社会保障番号がページのHTMLソースコードに含まれていたというもの。州は、同紙からの警告を受けてこの検索ツールを消去したが、いつから社会保障番号が閲覧可能な状態であったかは不明であるとする。

 州の行政情報技術サービス局は水曜のプレリリースで、『ハッカーは少なくとも3人の教育者のデータを取得し、HTMLソースコードをデコードして、彼らの社会保障番号を見た』とし、そして、知事は『州として、我々のシステムをハッキングした者、それを支援・教唆した者を裁判にかけることをお約束します』として、記者について『州に恥をかかせ、ニュースヘッドラインを売ろうとした』と断じた。

 だが、データセキュリティの専門家クリス・ビッケリー氏は、『HTMLの中に社会保障番号を入れることは、それがブラウザ上のレンダリングでは非表示であってもとても愚かなことで、インターネットの黎明期からあるミスです。エクスプロイト、ハッキング、脆弱性とは何の関係もありません』とする。

 ポスト・ディスパッチ紙は、弁護士の意見として、『当該記者が発見した内容を報告することは、情報悪用を阻止するための措置を州がとれるようにするというもので、責任ある行動でした。ハッカーとは、悪意・犯罪的な意図をもってコンピューターのセキュリティを破壊する者をいい、今回は、ファイアウォールやセキュリティへの侵入もなく、悪意もありませんでした。これを”ハッキング”だといい自分達の失敗をごまかすことには根拠がありません』と語った。」

著者抜粋翻訳・引用元:こちら

以下、この記事についてのレディターの反応

名前: mreed911
 どうやら知事は”ハッキング”について相当無知なようだ。


名前: Burger_King_PR_Team
>>mreed911
 知事はただ誰かが悪者に見えるようにそれを言っただけだろう。


名前: Ares1935
>>Burger_King_PR_Team
 たぶんそう・・ただそもそも不思議なのは、この件はもともと知事に責任のある問題じゃなかった。
 だけど誰かを擁護するためにそれを言ったなら、彼の親族に州のIT責任者がいるとかか?
 おそらくウェブサイト全体の管理をどこかの民間企業に委託してるだろうから、州はその企業に怒りを向けるべきだった。


名前: DragoonDM
 HTMLソースコードをデコードするなんて、まさにマスターハッカーにしかできない神業だね。


名前: chimneydecision
>>DragoonDM
F12「そうだね」


名前: amoderate_84
>>DragoonDM
 HTMLに社会保障番号をハードコーディング?
 このサイトを作った奴こそ過失罪で起訴されるべきだし、知事はやめちまえ。


名前: 2WheelRide
>>amoderate_84
 それは、問題を発見した人じゃなくて、問題を作った人が罰せられるべきだという話?
 それはその通りだけど、今の僕たちは、そうではないでたらめな時代に生きているのさ…


名前: shutdafrontdoor
>>DragoonDM
 HTMLをデコード…
 こんなバカな発言をしないように訂正してくれるITの専門家を政府は雇ったらどうだ。
 そしてバカが自分でもよくわからないバカなことを言う度に、何が間違っているのか教えるコースを受講させる。そのコースに合格するまで公の場で話をすることを禁じるんだ。


名前: SkywayCheerios
 はいあなたは、ブラウザが読み込めるようにHTMLをインターネット上に公開しました。
 それがウェブページというものです。


名前: ImBrokeNowBoi
>>SkywayCheerios
 “HTMLをデコード”したの意味も分からない。


名前: Druggedhippo
>>ImBrokeNowBoi
 ひょっとしたらUTF-8だったのかも。
 または、URLエンコードされていたのかもしれない。

 そんなことはどうでもいい。
 これは非専門家が一般大衆に賢く見られたいがために専門用語を使っているだけだ。


名前: filetransferprotoco1
>>ImBrokeNowBoi
 彼らのいうHTMLをデコードとは右クリックしてソースを表示することを意味する。
 つまりブラウザの使い方を知っていれば君は”ハッカー”だ。


名前: geekworking
>『州に恥をかかせ、ニュースヘッドラインを売ろうとした』
 正しいニュースヘッドラインは”知事が批判者に報復するため法制度を乱用しようとしている”であるべきだ。


名前: Fake_William_Shatner 3
>>geekworking
 知事はウェブとニュースの両方を学ばないとね。彼に教えてあげる暇な高校生いない?


名前: YoureGrammarWronger
>>geekworking
 記者はただここに欠陥があるよ、と言っただけ。
 普通の人なら「わかった、直しておくよ、ありがとう」といっただろうになぁ。


名前: wackywavingarmgumby
>>YoureGrammarWronger
 さらにこの記者は、サイトの問題が修正された後に記事を公開した。


名前: greiton
>>wackywavingarmgumby
 記者は、調査し、問題を発見し、州がその問題を解決して安全を保つためのあらゆる措置をとってから記事を発表したのになぁ。


名前: jonaselder
 知事は、ホストがクライアントに提供するのはHTMLソースコードであって、Webページそのものではないことを理解していないのか?
 ホストによって提供されたコードを、クライアントがブラウザで読み込んでWebページが表示される。この記者は何もデコードなんてしていない。
 ただホストから提供されたものを、より正確にそのまま見ただけ。
 つまり州が自分で自分のところの教員の社会保障番号を公表したにすぎない。


名前: edge-browser-is-gr8
>>jonaselder
 もちろん理解しているはずがないだろう。彼はもう66歳でしかも政治家だぞ。
 彼らの誰もその技術を知らないまま、その技術を規制する法律を作っているんだよ。


著者抜粋翻訳・引用元:Reddit