グレーハットハッカー【grey hat hacker】
グレーハットハッカーとは?
ハッカーは一般に、合法性と有害な行為の有無に基づいて「ホワイトハット」「グレーハット」「ブラックハット」の三種に分類される。「ホワイトハットハッカー」は企業や組織から正式な依頼を受け、契約の範囲内でシステムの脆弱性を調査する技術者である。
「ブラックハットハッカー」は不正アクセスや情報窃取、破壊活動を目的として行動する犯罪者である。「グレーハットハッカー」は両者の中間的な存在で、許可なくシステムへ侵入する点ではブラックハットと共通するが、得た情報を悪用せず、ホワイトハットのように何らかの方法で運営側に知らせて改善を促す行動を取る。
グレーハットハッカーの動機は、技術的な好奇心やセキュリティ向上への使命感などさまざまである。脆弱性を報告する際に謝礼を求める場合もあれば、無償で通知する場合もある。ただし、報告を無視されたことを理由に脆弱性を公開したり、システムの一部を停止させるなどブラックハット化する者もおり、純粋な善意とは限らない。脆弱性の公表が管理側の修正完了前に行われた場合、第三者による悪用を招く危険も生じる。
法的には、意図の善悪にかかわらず、無断で保護された領域へ侵入した時点で、多くの国の法律では違法な不正アクセスとみなされる。日本では「不正アクセス行為の禁止等に関する法律」により、正当な権限のないアクセスは罰則の対象となる。運営側から見れば、相手が善意を主張していても、無許可の侵入は脅威として認識されうるうえ、調査過程で障害や情報漏洩が発生するリスクも否定できない。
近年では、企業が脆弱性報奨金制度(バグバウンティプログラム)を設け、正規の手続きで脆弱性を報告した技術者に報酬を支払う例が増えている。調査対象や報告方法、禁止事項をあらかじめ定めることで、違法行為やトラブルを防ぎながら外部の知見を取り込む仕組みである。この制度の普及により、グレーハット的な活動を合法的な協力関係へと誘導する環境が整いつつある。
共有ボタンをタップ