2005年07月09日

ACCS裁判の意味するものは?

この前、ACCS裁判で有罪判決を受けたoffice氏が控訴を取り下げたという。
これで不正アクセスが確定したわけだけど、釈然としない気もする。
ほんとにこれを不正アクセスにしちゃってもいいのかな?

 ITmedia ACCS不正アクセス事件の有罪確定 元研究員が控訴取り下げ
 http://www.itmedia.co.jp/news/articles/0507/05/news025.html

 slashdot ACCS事件office氏の有罪が確定
 http://slashdot.jp/article.pl?sid=05/07/05/1138212&topic=73


事件の経緯はなんだっけとWebを漁ってみる。

 ITmedia「ACCS裁判を追う」
 http://www.itmedia.co.jp/news/topics/accs.html

 ACCS不正アクセス 京大研究員逮捕事件のテンプレ
 http://www.geocities.jp/officeandaccs/index.html

 ASK ACCS「2003年11月に発生した個人情報保護流出事件について」
 http://www.askaccs.ne.jp/security_2003.html

 ファーストサーバ 不正アクセス事件に関する当社の対応について
 http://www.firstserver.co.jp/pdf/news041015.pdf

 slashdot ACCS事件でoffice氏に有罪判決
 http://slashdot.jp/articles/05/03/25/0423214.shtml?topic=73

office氏関連の動き
○2003年11月8日に行われた「A.D.200X」主催のセキュリティカンファレンス「A.D.2003」で、河合一穂(office)氏がACCSのサイトの一つであるASKACCSの著作権侵害報告CGIの脆弱性を説明し、4人の個人情報の掲載されたpptファイルを上演。

○カンファレンス前に、office氏は4度アクセスして、1,184名の個人情報を取得していた。

○このpptファイルが会場内の無線LANを通じてダウンロード可能な状態だった。

○2004年1月27日、このpptファイルは2ちゃんねるアップローダーに流出した。

○カンファレンス終了後、すくなくとも2人が同じ手口でアクセスした。

○カンファレンス後のにoffice氏は、ACCSにメールでこの脆弱性を報告した。


ACCSサイト運用
○管理体制については、ACCSは、ASKACCSのホームページの運賊管理をヨセフアンドレオン社に委託。ファーストサーバのサーバにて運用されていた。

○11月9日、ASKCCSサイト閉鎖


ファーストサーバ
○脆弱性のあったCGIは、ファーストサーバが作成、標準CGIとして提供していた。

○2002年12月、CGIの脆弱性を発見。対策されたCGIが作成された。
 旧標準CGIを対策されたCGIで上書き。
 CGIのソースコードをカスタマイズしているCGIは、対策されたCGIで上書きせず。
 ACCSサイトのCGIは、旧標準CGIをカスタマイズCGIと誤認して、上書きしてなかった。

○2003年3月、ソースのカスタマイズができない新標準CGIを作成。
 旧標準CGIをサポート外にするとして、新標準CGIへの移行を奨励。
 脆弱性を公表せず。

○2003年11月、ACCS事件に対応して、旧標準CGIを対策したCGIで上書きする。
 カスタマイズCGIについて、ソースの書き換え支援をして、脆弱性の除去作業。

---------------------------
法律以前の部分について、私の感想。

office氏が個人情報を公開したことはよくない。ダウンロードできる状態にしたことは特に問題だね。
脆弱性を指摘する方法が間違っている。ACCSへ直接ないしは公的機関を通して伝えるのが先。
アクセスすることは、ほめられることじゃない。
しかし、不正とまで言い切ってしまうのもどうかと。
ログファイル名を割り出すときと、ログファイルにアクセスするときに、postの引数を書き換えたことが問題になっているわけだが、問題のログファイルのアクセス制御はされてなかった。


A.D.200Xの運賊について、事前のチェックが絶対に必要というわけではないけど、
こういうことがある以上、ある程度のチェックは必要だったのかな。

A.D.200Xが解散に追い込まれたことをみると、気をつけなきゃって思う。
脆弱性について話すことがわるいんじゃなくて、当事者に報告して対策する時間をあげなきゃいけない。


ファーストサーバが脆弱性のあるCGIを修正したとき、客にたいして脆弱性の連絡がなかった。
これじゃ、客は脆弱性のあるCGIを入れ替えようと考えるわけがない。
まるで、三菱自動車のリコール隠しみたい。できるだけ知られないようにこっそり直そうなんて一番まずいやりかたでしょ。

ACCSにも問題があった。

 「ASKACCS個人情報流出事故調査委員会による『事故調査報告書』
 http://www.askaccs.ne.jp/houkoku3.html

この報告書に述べられてる通り。
とくに、不要な個人情報を集めていたことが問題。


Webサイトの管理者の人は他人事と思わずに、頑張って予算を獲得してWebサイトのセキュリティのチェックをほしいな。

---------------------------

「不正アクセスとは何か?」が裁判の焦点だったけども、私には法律論は難しくてどう考えればいいのかわからない。

 総務省 法令データ提供システム
 「不正アクセス行為の禁止等に関する法律」
 (平成十一年八月十三日法律・百二十八号)
 http://law.e-gov.go.jp/cgi-bin/idxselect.cgi?IDX_OPT=1&H_NAME=%95%73%90%b3%83%41%83%4e%83%5a%83%58%8b%d6%8e%7e%96%40&H_NAME_YOMI=%82%a0&H_NO_GENGO=H&H_NO_YEAR=&H_NO_TYPE=2&H_NO_NO=&H_FILE_NAME=H11HO128&H_RYAKU=1&H_CTG=1&H_YOMI_GUN=1&H_CTG_GUN=1

 奥村弁護士の見解「2号不正アクセス罪における「アクセス制御」とは?」
 http://d.hatena.ne.jp/okumuraosaka/20040712#p1

 高木浩光@自宅の日記「不正アクセス禁止法 私はこう考える」
 http://takagi-hiromitsu.jp/diary/20050324.html

高木さんの説が通るのなら、まあ納得がいくのだが、今回の判決ではそうはならなかった。
佐々木さんの記事が詳しい。

 「不正アクセスとは何か」--office氏の判決を読み解く
 http://japan.cnet.com/news/sec/story/0,2000050480,20082116,00.htm
裁判所は不正アクセス禁止法で定められている「特定電子計算機」という言葉を、あくまで日本語文法的にのみ解釈し、「それは物理的なハードウェアを指している」と断定したのだ
アクセス制御機能の有無については、特定電子計算機ごとに判断するのが相当であり、特定電子計算機の特定利用のうち一部がアクセス制御機能によって制限されている場合であっても、その特定電子計算機にはアクセス制御機能があると解するべきである。そして、本件においては、本件CGIおよび本件ログファイルを閲覧するには、FTPを介して識別符号を入力するものとされていたのであるから、本件サーバはアクセス制御機能を有する特定電子計算機といえるのである

FTPにはパスワードがついてるのだから、アクセス制御はあると考えるということらしい。
私にはここが理解不能なんだが。
なんでここでFTPのパスワードの話が出てくるんだ?

うーん、もしかして私の普段の行動も不正アクセスと言われちゃうのか?

私は普段JavaScriptを切っているので、リンクがJavaScriptで貼ってあると、舌打ちしながら、ページのソースからリンク先のURLをコピーして、ブラウザ窓に貼り付けてアクセスしている。

これも管理者の意図しないアクセスで、FTPにパスワードがついていれば不正アクセス?

IE以外ははじくJavaScriptなどの場合が特にやばいのか??


裁判を傍聴していたちせさんの記事を読んでいて、もしかして裁判官がFTPとHTTPの区別がついてないのかと思った。

 ちせのページ@せきゅりてぃ
 http://sp.homelinux.com/seer/library.shtml

まさかだけど、そう考えると一応つじつまが合う。
ルクレツィアさんも裁判官に弁護士の主張が理解できていないという説?

 Lucrezia Borgia の Room Cantarella
 http://d.hatena.ne.jp/Lucrezia/20050331#p1

まさかね。裁判官がそこまで無知じゃないでしょ?
そもそも、わからなければ、専門家を呼んだり、勉強するはず。
いいかげんな判決だしてたら、だれも裁判所の言うことを信用しなくなるわけだし。

だれか詳しい人がいらっしゃったら教えてください。


posted by 端っこなひと at 02:56| Comment(0) | TrackBack(0) | 情報セキュリティ | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

この記事へのトラックバックURL
http://blog.seesaa.jp/tb/4938193

この記事へのトラックバック