ミズーリ州政府は、州政府のウェブサイトの一つに明らかなサイバーセキュリティ上の欠陥があることを指摘した新聞記者に対し、法的措置を取ると警告している。マイク・パーソン州知事は記者に感謝の意を表するどころか、記者を「ハッキング」したと非難し、刑事訴追を望んでいると主張している。
セントルイス・ポスト・ディスパッチ紙の記者ジョシュ・ルノー氏は最近、ミズーリ州初等中等教育局のウェブサイトで公立学校の教師、管理者、その他の教育関係者の社会保障番号約10万件がインターネットに公開されていたことを発見した。
なぜこんなことが起きたのか?ルノー氏によると、ウェブサイトのHTMLソースコードに個人情報が埋め込まれていたようだ。これはかなり深刻なミスだ。その後、同紙はミズーリ大学セントルイス校のサイバーセキュリティ教授に調査結果を検証したところ、教授はこのミスを「信じられない」と評した。その後、同紙は責任ある形で政府に脆弱性を開示し、影響を受けたページを削除する時間を与えた。そしてついに木曜日、同紙は調査結果を公表した。
しかし、パーソン知事は、政府が犯した大きな過ちの特定に協力してくれたルノー氏と新聞社に感謝するどころか、法的措置を取ると発表しました。木曜日、パーソン知事は記者会見を開き、州のウェブサイトが「ハッキング」され、犯人は法的責任を問われると主張しました。知事は発言の中で、この「ハッカー」が「少なくとも3人の教育者の記録」を閲覧・ダウンロードするために「多段階のプロセス」を実行したと主張しました。その後、パーソン知事はコール郡検察官とハイウェイパトロールのデジタルフォレンジック部隊が事件を捜査すると発表した。
「これは深刻な問題です。州は、ミズーリ州法で認められ、かつ義務付けられている範囲において、システムをハッキングした者、そしてハッキングを幇助または奨励した者を法の裁きにかけることを約束します」とパーソン氏は後にツイートした。「ハッカーとは、情報やコンテンツに不正にアクセスする者のことです。この人物は、ハッキングを行う許可を得ていませんでした。コードを変換・解読する権限もありませんでした。」
しかし、パーソン知事は情報セキュリティ関連のツイッター上で激しい非難が巻き起こることを想定していなかったようだ。記者会見後まもなく、激しい非難が噴出した。コンピューターサイエンスの専門家たちがこぞって現れ、知事の発言は全くハッキングとは思えない、むしろ州はウェブサイトの構築方法を知らないだけだと指摘した。
「公開されているウェブページのHTMLに社会保障番号をエンコードしないでください。もしエンコードしてしまったとしても、誰かが気づいて(責任を持って)警告してきたとしても、警察に通報しないでください」と、ジョージタウン大学ロースクールのコンピューターサイエンス研究者、マット・ブレイズ氏はツイートした。「また、自分が馬鹿に見えるようなツイートはしないでください」と彼は付け加えた。
ソフトウェアエンジニアでジャーナリストのトニー・ウェブスター氏は、知事は「100%倫理的な行動をとったジャーナリストを起訴すると脅している」と述べ、同時にルノー氏が「セキュリティの失敗を報道するための黄金律」に従っていたことも指摘した。
「全く馬鹿げている。HTMLソースを見るのはハッキングじゃない」と、ケイトー研究所の技術フェロー、ジュリアン・サンチェス氏はツイートした。「どのウェブブラウザにも『ソースを表示』ボタンがある。そして…あなたは既に、閲覧するウェブページのソースコードに『アクセス』している。サーバーがブラウザに送信するのは、まさにそのソースコードだ!」
一方、著名なコンピューター科学者のマーカス・ハッチンス氏は、パーソン氏のコンピューターに対する誤解を示唆するかのように、次のようにツイートした。
https://twitter.com/embed/status/1448740679128018952
確かに、州政府や地方自治体の職員は高度な技術力で知られているわけではない。しかし、今回の件について私たちが何か見落としている点がない限り、パーソン氏は本当に踏み込んだようだ。知事がコンピューターサイエンスに精通していないとしても、州政府にもIT部門があり、ウェブサイトの仕組みや、ルノーのような人物が「ハッカー」ではなく「善良なサマリア人」と見なされる理由を、行政幹部に説明できるスタッフがいるはずだ。
私たちはミズーリ州情報技術サービス部門と知事室の両方に連絡を取り、この事件について問い合わせました。返答があればこの記事を更新します。
