1日たって色々と考えてみた
私の記憶を整理すると「業を煮やした挙句の末の行動」だった思うんですけど・・・。そもそも・・・。
- 某CGIの提供しているサービス会社
に対しては当該の問題点を通知は当該の問題点を認識しているはず(私の記憶が正しければ)(2005年3月30日訂正&加筆) - プレゼンテーションではある程度誇張される可能性があることも考えると、「言動に本心から悪意があった」と判断するのは妥当でしょうか? それは故意な拡大解釈はないですか?
- 不正アクセス禁止法は条文からすると形式犯ですよね? 形式犯である以上、行為に及ぶにあたりその形式にのっとっていると認識できない場合、犯罪に問うのはズルイやりかただと思うんですけどどうなんでしょう?
- CGI経由でファイルを表示しているWebサイトに対して直接手入力でURLを入力し、たまたまアレな情報が表示されてしまった場合(そして、そのファイルが内部からFTPによるアクセス制御機能により制御されていた場合)、それは有罪でしょうか? 不正アクセス禁止法は形式犯であって、犯意は問われないんですよね?
- 「CGIのフォームを経由して渡されるデータを改変することは考慮されていない」という話ですが、(1つ上の階層に上がるために)CGIに渡すデータを手で修正してリクエストを送信した結果、管理者が意図してない結果が表示されてしまった場合不正アクセス禁止法に抵触しますか? 犯意は問われないんですよね?
- プロトコルに依存しない、というのであれば、Telnet、NTLMどれでもいいからアクセス制御されてればいんですよね? そんなの、Internet上からうかがい知ることはできませんけど? あ、ちなみに、不正アクセス禁止法に書かれているアクセス制御機構は「共有アカウントを使用していれば条件を満たさない」と思うんですけど、その辺どうなんでしょう? 共有アカウントを使用して運用しているわけではない、とまで推測しないとダメなんでしょうか?
以下、昨日のメモ書き全文。
主文:懲役8ヶ月。執行猶予3年。
※アクセスしたことは争わない
◆状況について
- 本件でCGI経由を使用してアクセスされたファイルは、本来FTPを介してのみアクセスできるもの。FTPを介してアクセスする場合、アクセス制御機構によって制御される。
- 通常のアクセス者の行動として当該CGIへファイル名を指定することでアクセスすることは想定されていない。
- サーバのCGI、ログファイルへのアクセスは、CGIの不備がなければFTP経由によるアクセス制御機構を経てのみアクセス可能となるものである。
- よって、FTPによるアクセス制御機構を回避したものと解釈される。
- 「HTTPによるアクセスにおいては不正アクセス制御機構を迂回していない」という主張について。
◆CGIの動作について
- 利用者がフォームの内容を変更することまでは想定していない。
- HTTPのプロトコルにのっとっているからといって
- 不正アクセス行為に該当しないとはいえない。
- 本件の特定利用を承諾していないことは明白である。
◆行為の違法性について
- 発見していながら3ヶ月間知らせなかった。
◆本件の動機
◆被告人の認識について
- 個人情報を多数含んでいた
- ACCSでは「個人情報を厳重に管理する」と明言しており、被告はその旨を認知していた。本件LOGファイルは、
- 直接URLを入力してもアクセスできなかったこと。
- 公開を意図していないこと。
- 被告人もLOGファイルが表示されることがイレギュラーであると認識していた
- これに対し、被告人は、「アクセス制御があるかどうかわからなかった」という発言であるが、そのような状況であればプレゼンテーションする意味がないと解釈されるべき。
◆判決に際して
- ACCSにアクセスしてセキュリティホールを発見し、個人の技術や能力を誇示するためにイベントでプレゼンたーションをするに至ったものと思われる
- 事前にACCSへ通知せずにプレゼンテーションを行い、サーバを危険に晒せることと成った。ことのことにより、正当な行為の一環であるとは判断できない。
- ACCSは、社会的信用のダメージを受けた
- また、被告人の手法を模倣したり、プレゼンテーションのデータが掲示板で掲載されたことにより不特定多数に流布されるに至った
- 被告人は、本件には「不正アクセスを受けた側に責任がある」と主張するが、一方的なものとは思えない
- 事前にCGIのセキュリティホールが報道されていたことからACCS側にも管理責任がある
- すでに社会的制裁を受けている
