WeevことAndrew Auernheimerの予想以上に痛ましい物語は、昨日、さらに一歩進んだ。この悔悟の念が見られないインターネットトロルは、なりすましと不正なコンピュータアクセスという2つの訴因により、(米国にて)懲役41ヶ月の判決を受けたのだ。
Weevについては以前「Weevを保釈するか?」という記事をポストした。
今日のマスコミの報道(およびTwitterでの反応)の多くは、専らCFAA法(Computer Fraud and Abuse Act、コンピュータ詐欺および不正行為防止法)に焦点を合わせている。このCFAAとは、不正アクセスに関する(あいまいに書かれた)法律だ。
Weevの判決は、セキュリティの研究に「萎縮効果(chilling effect)」をもたらすという懸念を表明している人々もいる。
しかし心配はいらない!
我々が見た報道のほとんどすべては、なりすましでの告訴について現実に考察することをしていない。
したがって、セキュリティ上の欠陥を公表する際のトラブルを防ぐ、便利なハウツーは次のようになる。
1.
2. 欠陥を見つけたなら、それを悪用するな。問題をデモンストレーションできればそれで十分だ
3. 他人のPII(personally identifiable information、個人情報)を集めるな、記録するな、転送するな
4. 報告者と接触する場合は、彼ら自身のデバイスIDを使って欠陥をデモンストレーションさせろ