個人情報取扱い手段の脆弱性を指摘してあげると逮捕されるらしい
Posted by yoosee on Web at 2004-02-04 23:42 JST1 ACCS事件で office 氏逮捕
先日の ACCS が個人情報漏洩した件を発見・発表した office 氏が「威力業務妨害」と「不正アクセス禁止法違反」で逮捕だそうだ。/.J にも大量にタレコミが来ていて、全部目を通す時間が無かったので他の編集者の方に掲載をお任せした。個人的には氏のやり方は好きではないしどうにも子供っぽいので、以前の報道で 40 歳と知って「え、年下じゃなかったの?」と驚いた記憶がある。今回の氏の失敗は、入手した個人情報を、4 人分とは言え公開してしまったことだろう。個人情報の公開自体は個人情報の保護に関する法律が未施行の現在は罪を問えないのだが、現実にはこれが引金になっていることは想像に難くない。しかしどちらにせよ、マスコミの報道が office 氏の行動だけをとりあげ、ACCS が被害者面して居直っているのが非常に腹立たしい。氏の行動の是非はともかく、放置されていれば個人情報は悪意のある第三者に利用され続けていた可能性も高い。それを無視し、今回の情報開示による当該サイトの閉鎖を「威力業務妨害」だと言うのは苦笑を通り越して腹立たしい。これでもし有罪の判例が出来てしまうと、迂濶にそうしたサイトの穴を指摘する行為は全て違法のライン際になってしまう。
2 不正アクセス禁止法違反?
さて個人的には氏の動向よりも、「不正アクセス禁止法違反」での逮捕という部分が気になる。条文が死ぬほど分かりにくく書いてあるのだが、@IT の用語説明 を読んだり IRC で話をした限りで大ざっぱに理解したところではになるのではないかと思われる。これがどれだけナンセンスかというと、http で普通にアクセス出来るところにデータが置いてあるケース、例えば 国土地理院の個人情報漏洩を指摘しても罪を問えるのではなかろうか。ユーザ ID や管理上の仕組みによりアクセス制限されている(と管理者が定義している)データ・領域にアクセスした場合、どんなにその「秘密のファイル」へのアクセスが容易だとしても条文上は同法違反
今回の ACCS の情報漏洩にしてもマスコミ報道では「CGI を不正に操作」と書かれているが、実際の脆弱性というのは
と言う、お粗末極まり無いものだ。しかし「不正アクセス禁止法」としては、例えば http://example.com/cgi/users.dat にデータがそのまま置かれてようが、 http://example.com/cgi/a.cgi?showfile=user.dat として参照できようが、anonymous ftp でファイルを取れる状態になっていようが、管理者が何らかの仕組で「このファイルには制限された方法でないとアクセスしてはいけない」としている場合、ファイルにアクセスした人を条文上は幾らでも罪に問うことができてしまう。それどころか、後付けで「そのファイルはアクセス制限されているんだ」と言い張ることすら、条文上は可能に読める。もちろん現実的には流石にそこまで警察・検察・裁判官が無茶な判断をしない・出来ないだろうが。表示する html ファイルを cgi の引数で渡せるようになっていて、そこに cgi 自身のファイル名を渡したら cgi の中身が見えた。更にその cgi ファイルの中に書いてあったデータファイル名を渡したらデータが見えた
どちらにせよ、裁判になれば今回が初めての判例になる。動向を興味深く見守りたい。
office氏に懲役8ヵ月の求刑がでましたね。 セキュリティ・マガジン誌上で氏の記事を楽しく読んでいただけに今回の事件は残念です。 判決は3月25日とのこと。 果たしてどうなることやら?
でわでわ。
あんなアクセスで有罪になったんじゃたまったもんじゃないと思いますが、どうなりますかね。
トラバ送信できました。 修正ありがとうございます。 でわでわ。