A Court Ruling on Bug Bounties Just Made the Internet Less Safe
2025/07/25 InfoSecurity — いまの時代の、サイバー脅威の頻度/規模/巧妙さが増大する現状において、官民の連携は強固な防衛手段である。しかし、United States v. Sullivan インシデントに関するU.S. Court of Appeals for the Ninth Circuit の最近の判決により、バグ報奨金プログラムを介した、責任のある脆弱性情報の開示のフレームワークが崩壊していく可能性が生じている。このフレームワークは、最も有効に機能している、官民連携の一つなのである。
この判決は、Computer Fraud and Abuse Act (CFAA) の解釈により、民間組織のシステムに対するアクセスを、遡及的に許可することを禁じるものである。裏を返せば、組織が自らの情報システムに対して持つ、管理権限を否定する内容でもある。
この解釈のもとでは、誠意のある行動をとり、脆弱性を発見し、責任を持って企業に報告するセキュリティ研究者であっても、正式な許可を得る前にアクセスした場合には、刑事訴追の対象となり得る。
これは、現代的なサイバー・セキュリティ実践から大きく乖離したものであり、組織と CISO に対して、さらには国家安全保障に対して、重大なリスクをもたらすものだ。
政策立案者が懸念することは?
バグ報奨金プログラムおよび Coordinated Vulnerability Disclosure (CVD)フレームワークは、Microsoft/Meta/Apple といった主要民間企業だけではなく、U.S. Department of Defense などの政府機関においても広く活用されている。これらの報奨金プログラムは、脅威アクターたちによる悪用に先立ち、倫理的ハッカーが脆弱性を発見/報告することを奨励する仕組みである。
Federal Bureau of Investigation (FBI) によると、これまでの5年間で、サイバー犯罪による世界的な経済的損失は $50bn を超えているという。その一方で、この期間において倫理的な研究者たちは、遡及的承認を前提としたプログラムを通じて、数十万件にも及ぶ悪用可能な脆弱性を発見している。
明確な利益を伴い、リスクが管理され、かつ、契約上の拘束力を有する状況下であっても、連邦裁判所が企業の CISO や法務部門に対して、アクセスの遡及的承認を禁じるのであれば、国家におけるサイバー・レジリエンス向上に資する、開示という行為そのものが阻害される。
この訴訟の背景にあるのは、Uber の元 CISO である Joe Sullivan が、同社のデータ侵害を隠蔽した罪により有罪判決を受けたが、控訴が棄却されたという事案である。
2016年に発生した侵害において、Uber のサーバにアクセスしたハッカーたちは、機密情報を取得した。Sullivan と彼のチームはハッカーを追跡し、金銭を支払うとともにNondisclosure Agreement (NDA) に署名させ、この侵害行為をバグ報奨金プログラムの一部として取り扱った。
前述の CFAA を制定する際に、善意に基づくサイバー・セキュリティ研究を、議会として犯罪とみなす意図は無かったが、今回の判決により、それが現実のものとなった。
この判決により、すでに深刻化しているセキュリティ人材不足の問題が、さらに悪化していく可能性がある。ISC2 が 2024 年に発表した、サイバー・セキュリティ人材に関する調査では、業界全体で 470万人を超える人材が不足しており、米国内でも 542,000人分以上のポジションが空席となっている。
したがって、それぞれの民間組織は、脆弱性の発見をクラウド・ソーシング化するために、倫理的ハッカーや独立系研究者に依存しており、具体的にはバグ報奨金プログラムにより協力を促している。このような研究者たちが基盤となり、将来におけるセキュリティ専門職が育成されることも忘れてはならない。
誠意を持って行動する研究者たちを、裁判所が犯罪者として扱えば、すでに逼迫しているセキュリティ・チームの活動が制限されるだろう。それだけではなく優秀な人材の流入を妨げ、いまという、最も不適切なタイミングで、さらに人材不足を拡大させてしまう。
ビジネスとセキュリティのリーダーにとっての危機
Sullivan インシデントの判決は、セキュリティ・リーダーたちに対して、以下のようなジレンマをもたらしている。
- 脅威を迅速かつ協調的に封じ込め、法的責任を問われるリスクを負う。
- 対応を先送りし、手遅れとなるリスクを選ぶ。
この判例は、実践的セキュリティ面での判断よりも、法的厳格性を優先するものであり、最もリスクを理解している CISO の裁量を制限してしまうものだ。
それにより、リスク管理に深刻な影響が及ぶことになる。セキュリティ責任者は、事前承認プロトコルが整備されていない限り、研究者との連携を躊躇するようになる。しかし、Zero-day 脆弱性に関する現状を考えるなら、このような事前承認体制を整備すること自体が非現実的である。結果的に、危険な脆弱性が未解決のまま、放置されるという事態を招く。
さらに懸念すべきは、訴追のリスクを懸念する研究者たちが、脆弱性の報告を一切行わなくなる可能性である。
この判決が提示するものには、企業に対する新たな法的責任の方向性である。既存のバグ報奨金制度を用いて、CISO が脅威に対処しようとする際に、適切なアクセス権限を取得しなければ、企業と幹部が、連邦当局による訴追対象となるかもしれない。
今後の道筋
Trump 政権/連邦議会/連邦裁判所が、DFAA について講じるべき措置は、善意に基づくサイバー・セキュリティ協力に対する、訴追手段ではないことを明確にすることだ。
行政/立法の機関は、正式に構造化/文書化された Bug Bounty/CVD プログラムに従事する個人と組織を対象にした、Safe Harbor 条項を明文化する法改正を検討すべきである。
その一方で組織の経営幹部は、明確な承認プロトコルを取り込み、適切に管理される開示フレームワークに対して投資すべきである。それと併せて、緊急対応に必要な柔軟性も維持しなければならない。
インターネットは、すべての人々の共通資産である。その安全性を保つためには、民間の技術革新と政府の法執行機関との間における、動的な協力が不可欠である。サイバー攻撃を防ぐための協力行為そのものを法的に罰することは、この共同の防衛体制を著しく弱体化させる。
セキュリティ研究者たちは敵ではない。多くの場合において、彼らの存在こそが、本物の攻撃者に対して先手を打てる、私たちのシステムなのである。彼らの活動を、法的措置により沈黙させてはならない。そして、経験を積み上げていく、未来の防衛者たちの芽を摘んではならない。
Uber の United States v. Sullivan 事件と、それに続く裁判所の判決を扱った記事です。判決の中で特に問題とされているのは、善意のセキュリティ研究者であっても、正式な許可なく脆弱性を調査した場合に刑事罰の対象となる可能性があるという点です。それにより、CSIRT やバグ報奨金プログラムを通じた “責任ある情報開示” を、大きく揺るがすリスクが生じそうです。研究者が脆弱性を見つけても、「訴追されるかもしれない」と思えば報告をためらい、結果として脆弱性が放置されてしまうことにつながると、この記事は指摘しています。よろしければ、カテゴリ BugBounty と Regulation を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.