最近のツイートでハイライトされたMikko Hypponen のように、アンチウイルス企業は悪意のあるソフトウェアのサンプルと正当なソフトウェアのサンプルの両方を収集して保存します。
これにより、ソフトウェアの海賊行為と何が違うのかと考えました。
Adobe Photoshop CSの急流をダウンロードした場合、そのソフトウェアを違法コピーしている-多くの国で違法と見なされている。アンチウイルスソフトウェアがAdobe Photoshop CSの同じコピーをサーバーにアップロードして分析する場合、どのような違いがありますか?
これは論点である可能性があります。ソフトウェアベンダーはこの特定のタイプの「海賊行為」を理解して許可するか、特定の国では「フェアユース」に該当します。
しかし、マルウェアの作者はどうですか?
マルウェアはソフトウェアの一部であり、そのソフトウェアの作成者には、ソフトウェアの作成者と同じ権利が与えられます。マルウェアの作成者は、ウイルス対策会社をソフトウェアの「著作権侵害」で訴えることはできますか?これは BlackHole Kit のようなソフトウェアだけに当てはまるわけではありませんが、- Stuxnet のような国家支援マルウェアについてはどうですか?
これが私の質問です。 アンチウイルス企業は著作権法から特別な保護を与えられていますか?それができない場合、特に企業や州のマルウェア作成者はそれらに対して使用できませんか?
最初に、マルウェアの作者がウイルス対策ベンダーに対して訴訟を起こすかどうかを真剣に質問します。しかし、マルウェアの作成者がマルウェアの作成と使用に対して既に課金されているため、作成者を完全に認めても失うものは何もないと仮定しましょう。
マルウェア分析のためのソフトウェアのコピーは、公正使用の教科書のケースのようです(とにかく、米国の法律に基づく)。もちろん、米国のフェアユースは、あなたが1度しか使えない抗弁ですすでに訴訟に従事しています(そしてそのパラメーターは悪名高いことで有名です)が、そのような訴訟がどのように行われるかについて、少し肘掛け椅子の推測に身を任せましょう解決します。 フェアユース基準 を1つずつ取るには:
使用の目的と特性:コピーの使用は合法的に transformative であり、これは単にオリジナルを再作成するのではなく、何か新しいものを作成します。ここでは、アナリストが元のソフトウェアに基づいてマルウェア評価を行っています。追加のコピーを作成するためだけにコピーを作成するのではありません。彼らはそのコピーを使って何か新しいものを作り出します。この要因はアナリストを大いに支持します。
コピーされた作品の性質:マルウェアは、著作権保護を正当に享受する公開された創造的な作品です。この要因は、マルウェアの作成者に有利です。
金額と実質性:アナリストは、ソフトウェア全体を分析に使用します。この要因は、マルウェアの作成者に有利です。
仕事の価値への影響:実質的になし、これはアナリストに有利です。実際、その作品の主な使用は違法であるため、作品の合法的な市場はほとんどありません。 (AVベンダーがマルウェアに対する防御策を講じることでマルウェアの価値を低下させる場合もありますが、これはnotsubstitute workの作成によって引き起こされる害と同じです。Wikipediaそれを適切に要約します:"パロディまたは否定的なレビューが元の作品の市場を損なう場合など、特定の種類の市場の害がフェアユースに反対しないことを裁判所は認識しています。")
要因#2と#3はマルウェアの作者に有利ですが、マルウェアの変革的な使用は、アナリストに有利なフェアユースの議論にtremendous法的な重みを与えます。公正使用の最終決定を下すことができるのは裁判官だけですが、私は合理的な裁判官が分析目的でマルウェアをコピーすることを支持することを決定すると思います。
N.B.:この回答では、著作権のみの限定された観点から、コピーの合法性を考慮しています。著作権を超える他の法令(ACTA、DMCAなど)があり、著作権所有者の許可なしにマルウェアまたは正当なソフトウェアをコピーするときに違反する可能性があります。使用がフェアユースによって保護されている場合でも、フェアユースの抗弁は著作権侵害からのみ保護し、フェアユースの行為中に発生する可能性のある(または必要な)他の違反は保護しません。
(たとえば、映画のクラスのビデオレポートに数秒の映画を含めることができますが、映画のコピーは、映画のスニペットのエクスポートを許可しない独自のプレーヤーでのみ再生されます。ダウンロードした場合、プレーヤーの「スニペットのエクスポートなし」制限を回避するためのツールであり、最終的な目標がおそらくフェアユースであったとしても、DMCAに違反しています。
要するに:アナリストの著作権侵害はおそらくフェアユースの下で法的に防御可能ですが、アナリストは依然として従来の著作権とは別の他の法令に違反している可能性があります。
海賊版ソフトウェアの分析には違法性がないからです。それを使用することは違法であり、それを広めることは違法です。ソフトウェアを編集することは違法またはEULAに違反する場合もあります(ソフトウェアをクラックすると、一部のファイルまたはバイナリが編集されることがよくあります)。
また、2番目のコメントは少し奇妙です。ソフトウェアには通常、ソフトウェアを使用するときに明示的または暗黙的に受け入れる必要があるライセンスが付属しています。要求があれば誰でもすぐに利用できるはずです。 「ねえ、私はあなたの原子力発電所と製油所を破壊することができたそのソフトウェアの一部を書いた」と誰も言うことはないので、それはStuxnetではかなり問題です。彼らの正しい心の誰もが「私は生活のために操作可能なマルウェアを構築する」と公然と言うことはないので、公式の企業/州のマルウェア作者のようなものはありません。これを公に宣伝できる唯一の場所は、学者または研究者です。
マルウェアの作成者は原則として同じ権利を取得しますが、それを分析することは違法であるとは言えません。ソフトウェアの作者は、たとえばアーティスト(作家、画家など)と同じ権利を保有していません。
しかし、それを手に入れて分析するだけでは、私の知る限り、原則として違法ではありません。
編集:
また、これは法律上の問題であるため、ソフトウェアを入手する人の意図が最大の要素になります。
それは問題ではないはずです。
はい。Photoshopを購入して、その一部を企業のサーバーにアップロードすると、著作権が侵害されます。しかし、AV企業はPhotoshop全体をコピーして保持する必要はありません。開発者は、1台のマシンにPhotoshopの正規のインスタンスをインストールできます。分析を終えたら、代わりに分析を保存できます。例えば。すべてのファイルのハッシュ。これは、Photoshopファイルを識別し、潜在的に悪意のある変更をチェックするために使用される可能性があります。灰色の領域があり、PhotoshopのEULAは詳細な分析は違法であると主張しますが、本当に気になるほど黒くはありません。
マルウェアの場合-はい、私たちはクリエイティブな作品は著作権で保護されていると見なすことができます。ライセンスがなければ、コピーする権利はありません。 IANAL。ただし、損害を得るには、マルウェアの作者は法廷でその作者であることを主張する必要があります。黒いソフトウェアの場合、これは通常望ましくありません。 「クリーンハンド」のような法的概念もあります。ソフトウェアが違法にインストールされた場合、私はAV活動に反対することは法廷外で笑われるのではないかと疑っています。
暗い灰色の部分を工夫できると思います。 「盗まれて」「悪意のある攻撃ツール」に組み込まれた高価な侵入テストツールを考えてみましょう。セキュリティ会社は攻撃ツールを分析したいのですが、使用するためにペンテストツールの著作権を侵害する必要があるかもしれません...しかし、私はあなたの懸念よりもはるかに狭い問題だと思います。
DMCAに従って、研究目的のフェアユースとして分類されます。ただし、実際にはこの法律は大企業にのみ適用される傾向があることに注意してください。独立した研究、または大規模な大学に関連するものでさえ、まったく同じことを訴えられるリスクがあります。