極めて皮肉なことに、地下鉄システムのハッキングに関する公表を阻止しようとした市の戦いの結果、その情報が世界に放送されることになった。
マサチューセッツ湾交通局は金曜日、ボストン地下鉄(通称「T」)の運賃システムに発見された抜け穴について、MITの学生グループが議論するのを差し止めるため、連邦裁判所に提訴した。学生グループは日曜日にラスベガスで開催される年次ハッカー会議「DEFCON 16」で、その発見を発表する予定だった。しかし、裁判官は一時的な差し止め命令を出し、学生たちに講演を中止させ、沈黙を強いた。
問題はこれです。MBTAの苦情には、生徒たちのプレゼンテーションの全コピーが含まれていました。それが公文書となったため、インターネット上に流出し、数百万人のスクリーンに映し出された可能性があります。
MITの学生新聞「ザ・テック」によると、学生たちは裁判所の判決に対して控訴している。同紙は、裁判所の文書全文とプレゼンテーション全文をウェブサイトに掲載した。
スコラスティック・ディスカバリー
この情報は、実は学生がMITの授業で書いた論文の一部です。論文では、運賃支払いに使われるチャーリーカードシステムの問題点がいくつか指摘されています。具体的には、カードの価値を追跡するための中央データベースが使われておらず、カードの価値の改ざんを防ぐための安全なデジタル署名も存在しないことです。学生たちは、適切な機器(オンラインで数分で見つかるようなもの)があれば、誰でも50セントカードを500ドルカードに交換できると主張しています。
「CharlieTicketはクローン作成と偽造攻撃の両方に対して脆弱だ」と学生たちは書いている。
法律用語
では、MBTAにはチームが発見について話すのを禁じる権利があったのだろうか?おそらく、少なくとも法的にはそうだろう。もしMBTAが、情報の公開が危害をもたらすことを合理的に証明できれば、技術的には問題ないと言えるだろう。
MITの学生の一人は、自分とクラスメートが調査結果をMBTAに事前に報告したと述べているが、ボストン・ヘラルド紙のインタビューによると、それはDEFCONの発表予定日のわずか数日前だったようだ。つまり、MBTAは予防措置を講じる時間が十分になかったと主張する余地がある。
もちろん、長い目で見れば、MBTAは事実上自ら足を撃ってしまったと言えるでしょう。「地下鉄ハッキングの解剖」(PDF)というPDF形式の文書は今やあちこちに拡散しており、おそらくハッキングについて聞いたこともなかったであろう人々が、今ではその詳細を隅々まで知っているのです。判事がなぜ関連文書を封印しなかったのか、そしてそれが公表を防いでいたのかは不明です。
最終評決
これは確かに厄介なケースです。学生たちはMBTAの職員ではないため、発見した情報を共有する義務はありません。しかし、MBTAの対応を待たずに情報を公表すれば、明らかに業務上の損害を及ぼす可能性があったでしょう。
最良のシナリオは、7月にインターネット全体に影響を及ぼした大規模なDNS脆弱性を発見したセキュリティアナリスト、ダン・カミンスキー氏の先導に従うことだったかもしれない。カミンスキー氏は実に6ヶ月も前にこの問題に気付いていた。業界リーダーたちが確固たる解決策を見つけるまで、彼はこの問題を秘密にしようと尽力した。発見と解決策を最初に発表した後も、カミンスキー氏はハッカーに対し、発見した情報をもう1ヶ月は秘密にするよう訴えた。世界中のISPが脆弱性を修正し、システムを保護するための十分な時間を確保したためだ。
しかし、結局のところ、MITの関係者は誰もそれほどひどい目に遭っているわけではない。学生たちは束の間の名声を得たし、MBTAも深刻な問題とその解決策について何らかの洞察を得たことを願う。たとえMITチームの考えが評価されなかったとしても、課題でAを獲得できたのは大きな収穫だった。
