*1  ACCS事件で office 氏逮捕

先日の ACCS が個人情報漏洩した件を発見・発表した office 氏が「威力業務妨害」と「不正アクセス禁止法違反」で逮捕だそうだ。/.J にも大量にタレコミが来ていて、全部目を通す時間が無かったので他の編集者の方に掲載をお任せした。個人的には氏のやり方は好きではないしどうにも子供っぽいので、以前の報道で 40 歳と知って「え、年下じゃなかったの?」と驚いた記憶がある。今回の氏の失敗は、入手した個人情報を、4 人分とは言え公開してしまったことだろう。個人情報の公開自体は個人情報の保護に関する法律が未施行の現在は罪を問えないのだが、現実にはこれが引金になっていることは想像に難くない。

しかしどちらにせよ、マスコミの報道が office 氏の行動だけをとりあげ、ACCS が被害者面して居直っているのが非常に腹立たしい。氏の行動の是非はともかく、放置されていれば個人情報は悪意のある第三者に利用され続けていた可能性も高い。それを無視し、今回の情報開示による当該サイトの閉鎖を「威力業務妨害」だと言うのは苦笑を通り越して腹立たしい。これでもし有罪の判例が出来てしまうと、迂濶にそうしたサイトの穴を指摘する行為は全て違法のライン際になってしまう。

*2  不正アクセス禁止法違反?

さて個人的には氏の動向よりも、「不正アクセス禁止法違反」での逮捕という部分が気になる。条文が死ぬほど分かりにくく書いてあるのだが、@IT の用語説明 を読んだり IRC で話をした限りで大ざっぱに理解したところでは

ユーザ ID や管理上の仕組みによりアクセス制限されている(と管理者が定義している)データ・領域にアクセスした場合、どんなにその「秘密のファイル」へのアクセスが容易だとしても条文上は同法違反

になるのではないかと思われる。これがどれだけナンセンスかというと、http で普通にアクセス出来るところにデータが置いてあるケース、例えば 国土地理院の個人情報漏洩を指摘しても罪を問えるのではなかろうか。
今回の ACCS の情報漏洩にしてもマスコミ報道では「CGI を不正に操作」と書かれているが、実際の脆弱性というのは

表示する html ファイルを cgi の引数で渡せるようになっていて、そこに cgi 自身のファイル名を渡したら cgi の中身が見えた。更にその cgi ファイルの中に書いてあったデータファイル名を渡したらデータが見えた

と言う、お粗末極まり無いものだ。しかし「不正アクセス禁止法」としては、例えば http://example.com/cgi/users.dat にデータがそのまま置かれてようが、 http://example.com/cgi/a.cgi?showfile=user.dat として参照できようが、anonymous ftp でファイルを取れる状態になっていようが、管理者が何らかの仕組で「このファイルには制限された方法でないとアクセスしてはいけない」としている場合、ファイルにアクセスした人を条文上は幾らでも罪に問うことができてしまう。それどころか、後付けで「そのファイルはアクセス制限されているんだ」と言い張ることすら、条文上は可能に読める。もちろん現実的には流石にそこまで警察・検察・裁判官が無茶な判断をしない・出来ないだろうが。
どちらにせよ、裁判になれば今回が初めての判例になる。動向を興味深く見守りたい。

( Permalink | Comments (5) | tags: low  )
1. フィッシング詐欺 from ぽんすブログ at 2005-02-24 05:37
最近、Yahoo!やVISAのWebサイトを装ったフィッシング詐欺が発生しています。 いまそこにある
Comments
1. tokky at 2004-02-06 07:50
サイバーノーガード戦法なんてものが載ってますけど、実は本当に有効なのかもしれませんね > https://www.netsecurity.n ... le/1/12226.html
2. yoosee at 2004-02-09 11:34
洒落と言うか皮肉ですよねぇ、これ。本気だったら笑えない。どのみちこんなの、身元を秘匿した攻撃者にはなんの意味も持たないんだし。
3. TAKO@ぽんすブログ at 2005-02-09 00:47  (link)
はじめまして。 トラックバックを打とうとしたのですが、何度も失敗するようなのでコメントします。
office氏に懲役8ヵ月の求刑がでましたね。 セキュリティ・マガジン誌上で氏の記事を楽しく読んでいただけに今回の事件は残念です。 判決は3月25日とのこと。 果たしてどうなることやら?
でわでわ。
4. yoosee at 2005-02-18 17:37
すみません、Tb出来るように直したつもりです。
あんなアクセスで有罪になったんじゃたまったもんじゃないと思いますが、どうなりますかね。

5. TAKO@ぽんすブログ at 2005-02-24 05:45  (link)
うーん、office氏にも過失がないワケではないので、そのヘンの判断が微妙です。 少しやり過ぎた部分もありますから。

トラバ送信できました。 修正ありがとうございます。 でわでわ。

Please write your comment. email address won't appear. Cannot use any HTML tags in comment.
コメントをお書き下さい。メールアドレスは公開されません。 またHTMLタグは利用できません。
Name   E-mail   URL
Comment

About W.W.Walker

World Wide Walker は yoosee による blog です。PDA, Web・サーバ技術, 美味しい食べ物などの話題を取り上げています... read more

このエントリーのブックマーク

Monthly Archives

Select Month to read