徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

最近セキュリティの勉強をしているのでお聞きしたいです。
日本のバグハンター達(個人で脆弱性を見つけてる人)は、何かしらの法律違反にならないのでしょうか?

例えば調査で企業のログインページなどに、XSSやSQLインジェクションのスクリプトを挿入した場合、何も動作しなかったらセーフなのでしょうか?

スクリプトを挿入してログインなどをしてしまったら不正アクセス禁止法になるのは分かるのですが、そこら辺の線引きが気になります。

2021/12/30 17:33

回答を端的に書けば、「バグハントの方法によっては法律違反になる」ということであり、逆に言えば、「法律違反にならない範囲でバグハントすべき」という、当然のことになります。
バグハントの対象として公開ウェブサイトに対するものと、ソフトウェアに対するものがあります。後者は手元の環境で試験できるので、法律違反になる要素はほとんどありません。公開ウェブサイトに対してはかなり注意しないと危ないですし、私から「ここまでは大丈夫」という線を示せるものでもありません。私自身公開ウェブサイトの脆弱性報告をしたことはありますが、この辺は「自己責任で」という他ありません。バグバウンティで脆弱性に報奨金を出しているサイトの場合は、ガイドラインに従って調査している限り、その会社から訴えられることはないと思いますが、不正アクセス禁止法等は親告罪ではないので、絶対大丈夫とも言い切れません。
IPAが定期的に脆弱性報告と法律に関する調査報告書を公開していますが、それは「微妙なライン」があるからに他なりません。詳しくは報告書を読んでください。
https://www.ipa.go.jp/security/fy30/reports/vuln_handling/index.html

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
不特定多数の利用者が自由にユーザーアカウントを作れるWebサービスで、「メールアドレス認証だけ」でログインできる方式は危険でしょうか?

いま一般的にはまず「パスワード認証」を備えて、さらにパスワードを忘れた時にメールアドレスに指定の鍵(短時間だけ有効な認証コードや認証URL)を送ってパスワードを再設定できる方式がメジャーなように思います。

よく考えたらそれはつまりメールアドレス認証ができればそのアカウントの持ち主と判断しているので、最初からメールアドレス認証だけでログインしても同じなのでは?と思ってしまいます。

しかしパスワード登録がないWebサービスは個人的には見かけたことがありません。

スマホ等を利用した多要素認証でセキュリティ向上というのはひとまず置いておいて、「パスワード認証は不要で、メールアドレス認証でいいのでは?」という点が気になっています。パスワードが盗まれるリスクが1つ減るから良いのでは?とすら思ってしまうのですが・・。
itのセキュリティ業界って狭くないですか?
知ってる人にすぐ繋がるような。
ログイン機能に対するCSRFは、一般的なCSRFと比べてリスクが低いといえるでしょうか?
IE のサポート終了は、徳丸本第3版を執筆する理由になりますか?
徳丸先生の思う「ご自身の過去最高の殺し文句」は何ですか