「Log4j」の脆弱性を突く攻撃手段の情報共有は違法？ 日本ハッカー協会に聞いた

文字列を記録させるだけで任意のリモートコードを実行できるゼロデイ脆弱性があることが明らかになった、Javaのログ出力ライブラリ「Apache Log4j」。12月10日に話題になってから、Javaを使ったシステムに関係するITエンジニアは対応に追われている。一方で、その脆弱性を突く具体的な手段をネット上で共有する行為は「不正指令電磁的記録に関する罪に問われるのではないか」と議論が起きている。 「罪に問われる可能性はある」 問題解決のためとはいえ、攻撃手段となりうる情報の共有は罪に問われるのか。日本ハッカー協会の杉浦隆幸理事に聞いたところ「log4jの脆弱性をつく攻撃を実際に実行して、成功してしまうと不正アクセス禁止法に該当する」と前置きした上で「そのコードを共有する行為は不正指令電磁的記録に関する罪に問われる可能性は十分にある」と指摘する。 不正指令電磁的記録に関する罪とは、コンピュータウ

[ryunosinfx]

（ITに）弱い者達（警察、検察と司法）が夕暮れ 更に弱い者（個人の情報発信者※法人はOK）を叩く〜その音（逮捕のニュース）が響きわたればブルース（萎縮と閉塞は）は加速していく〜

[yoshis1210]

技術的なことを聞くならわかるけど、罪に問われるかどうかは法律家に聞くべきでは。

[UhoNiceGuy]

この辺のことは早く法整備して欲しいわ。Wizard Bible程度でも警察が来るような状態だと知識の共有ができない。防犯の為にサムターン回しの手法を説明することも違法な状態なんだぜ

[Fushihara]

画像化したら安心！とかその時点で腐ってる

[arx0balest]

果たしてクラッカーが日本的臭いものに蓋しぐさに忖度して攻撃をお止めになって下さるかどうか。

[ockeghem]

立法趣旨からは違法でないはずだが検挙されてしまう可能性があるのが現状、とでも書いてほしいところ

[small_tree]

画像にあるコードを手元のエディタに書いてゴニョゴニョした後実行したら攻撃できてしまうレベルなら普通はアウトじゃないのかな。まぁ、現時点では弁護士に聞くのが一番確実だと思いたいが判例はまだないか。

[tattyu]

警察をまともにするにはどうしたら良いんでしょうね。

[strawberryhunter]

LDAPの基礎知識があれば簡単に用意できるんだろうけど、今回の脆弱性についてLDAPサーバー側を解説しているところはほとんどない。良心のある人はわざわざ再現可能な形で攻撃手法を公開しないだろう。

[kabuquery]

ldapサーバー側に悪意のあるコード置かなきゃリクエスト行くだけだ危険じゃないけど

[develtaro]

はてブで例のコード書くのはやめようね

[mino90]

テキストで共有するとうっかり実行されてしまう場合があるからってこと！？

[umaemong]

攻撃が簡単に成り立ってしまうので、単純にコードを書き込むだけでも『攻撃を実際に実行』したとみなされかねない状況だという話かな。