パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

楽天・ドリコムの行動ターゲッティング広告、HTML/CSS仕様の不備を突いて訪問先サイトを調査」記事へのコメント

  • by Anonymous Coward

    不正アクセスと違うん?

    http://ja.wikipedia.org/wiki/%E4%B8%8D%E6%AD%A3%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9

    1. 電気通信回線(インターネット・LAN等)を通じて、アクセス制御機能を持つ電子計算機にアクセスし、他人の識別符号(パスワード・生体認証など)を入力し、アクセス制御機能(認証機能)を作動させて、本来制限されている機能を利用可能な状態にする行為。(第1号)
    2. 電気通信回線を通じて、アクセス制御機能を持つ電子計算機にアクセスし、識別符号以外の情報や指令を入力し、アクセス制御機能を作動
    • Re: (スコア:2, すばらしい洞察)

      「アクセス制御機能」が無いだろうから、不正アクセスにはならないんじゃないかな。
      • by Anonymous Coward
        >「アクセス制御機能」が無いだろうから、
        起動時にログインしてない?
        • それはOSのログインの事?
          OSの事なら、楽天はOSのログインを作動させたり迂回してないから関係ないよ。
          それに「起動時に」でしょ、このFlashが動作する時じゃないでしょ。

          ブラウザにログイン機能がついてて、URLが訪問済みかどうかのチェックをする度にログインが必要ってんなら別だけど。
          • by noopable (36825) on 2008年10月20日 23時39分 (#1441111) 日記
            動作時にアクセス制御っていう条件は不正アクセス禁止法にはないですよね。
            アクセス制御のかかった機器であるかどうかだそうです。

            ACCS事件の例 [cnet.com]では、FTP下でアクセス制御されていることを前提としたデータであれば、
            別のプロトコル(Http)下でアクセス制御されていないアクセスで取得した場合でも要件を満たしていて、
            アクセス制御は動作時でもプロトコルレベルでもなく、ハードウエアつまりPCにかかっていればよいという判決。

            『「アクセス制御機能」が「特定電子計算機」に付加されている機能であり、識別符号が「特定電子計算機に入力されるもの」と規定しているうえ、同法3条2項 2号も、アクセス制御機能による特定利用の制限を免れることができる情報または指令を入力する対象を「アクセス制御機能を有する特定電子計算機」と規定しており、アクセス制御機能の有無を特定電子計算機ごとに判断することが前提となっている。』
            ブラウザーのセキュリティモデルは、アクセスしたサイト以外のデータ(たとえば外部サイトのクッキーとか)には
            基本的にアクセスされないことが前提。基本的にはクロスドメインアクセスはできないようになっている。
            すると、今回話題に上っている他サイトへのアクセス履歴取得は
            • ログインの必要な特定電子計算機に対して
            • 仕様の不備を悪用して、
            • 非公開のデータを
            • ユーザー=管理者が意図していない方法で取得して利用可能にしている
            のでアクセス制御云々っていう部分に関しては判例的には要件を満たしているように思います。

            ただ、取得したデータを直接送信させて収集しているわけではなく、計算された結果
            としての広告用コードのみを送信して広告を取得するプログラムを配置している
            だけなので、不正アクセスには当たらないというのが楽天さんの主張では?

            結局ぜい弱性をつこうが何しようが、操作してるのはユーザー自身なので。

            親コメント
            • >動作時にアクセス制御っていう条件は不正アクセス禁止法にはないですよね。

              #1440699を見る限り、「アクセス制御を作動させる事」や「アクセス制御の制限を免れる事」が、どの条件にも含まれていると思います。
              URLのヒストリーの参照の為に、ログインをしてませんし、ログインを回避もしてません。
              だから不正アクセスではありません。

              以下、アクセス制御機能を、OSのログインとして説明します。
              まず、第三条の2の一では、他人のパスワードを使ってログインする事を禁止していますから、当てはまりません。
              ニでは、ログインしなければアクセスできない情報に、ログインせずにアクセスする事を禁止しています。
              三では、正規のパスワードを使わずに、別の方法でログインする事を禁止しています。

              URLのヒストリーにアクセスする事は、この三つのどれにも当てはまりません。

              >ACCS事件の例では、FTP下でアクセス制御されていることを前提としたデータであれば、
              >別のプロトコル(Http)下でアクセス制御されていないアクセスで取得した場合でも要件を満たしていて、
              >アクセス制御は動作時でもプロトコルレベルでもなく、ハードウエアつまりPCにかかっていればよいという判決。

              これは、第三条の2のニにあてはまる事です。
              ログインしなければ見れない情報に、ログインせずにアクセスしたので違法アクセスと判断されました。

              >ログインの必要な特定電子計算機に対して
              >仕様の不備を悪用して、
              >非公開のデータを
              >ユーザー=管理者が意図していない方法で取得して利用可能にしている
              >のでアクセス制御云々っていう部分に関しては判例的には要件を満たしているように思います。

              それは要件として間違っています。
              仕様の不備は関係ありません。
              アクセス制御を作動させたり回避したりしている事も必要です。
              親コメント
              • by noopable (36825) on 2008年10月21日 10時01分 (#1441295) 日記
                最初にポジションを確認しておきますけど、

                今回のケースは私も違法だとは思っていないですよ。
                ただ、
                情報にアクセス制御がかかっていないから合法なんではなく、
                楽天やドリコムはアクセスしていないから合法なんです。

                これは、第三条の2のニにあてはまる事です。
                ログインしなければ見れない情報に、ログインせずにアクセスしたので違法アクセスと判断されました。
                間違ってはいないですけど、あいまいなのでこちらも補足しておきますね。
                ACCSで問題になった個人情報は、
                HTTPのCGI経由ならログインしなくても見ることができる状態になっていた(アクセス制御がかかっていない)。
                FTPやSSH、コンソール経由でのアクセスの場合はログインして権限がないと見られない情報です(管理者だけはアクセス制御下にあると思いこんでいた)。

                ACCS判決では、そこをプロトコルレベル(OS、コンソール、SSH、FTPを問わず)で判定するのではなく、
                機械装置としてアクセス制御がかかった機器であるからという判決になっています。
                その機器の中の情報を正常以外の方法でアクセスして取得したので違法という判断です。

                『不正アクセス行為の禁止等に関する法律2条3項は、「アクセス制御機能」が「特定電子計算機」に付加されている機能であり、識別符号が「特定電子計算機に入力されるもの」と規定しているうえ、同法3条2項2号も、アクセス制御機能による特定利用の制限を免れることができる情報または指令を入力する対象を「アクセス制御機能を有する特定電子計算機」と規定しており、アクセス制御機能の有無を特定電子計算機ごとに判断することが前提となっている。本件では、 ACCSがファーストサーバ株式会社からレンタルしていた物理的な機器である本件サーバが特定電子計算機であり、これを基準にアクセス制御機能の有無を判断することは文理上当然である。他方、その有無をプロトコル単位で判断すべき文理上の根拠は何ら存在しない』
                じゃぁ、今回の場合はっていうと、
                通常は、PC上のデータはOSにログインしてかつ許可がない情報は見られないような特定電子計算機ですし、
                ブラウザーを開かないと他のサイトへのアクセス履歴は『識別符号が「特定電子計算機に入力されるもの」』なので、
                他サイトへのアクセス履歴は「アクセス制御がかかっていない情報」ではないですよ。
                で、『同法3条2項2号も、アクセス制御機能による特定利用の制限を免れることができる情報または指令を入力』に相当するのはFlash内のコードにあたるわけです。

                ただ今回のケースは、不正利用するプログラムの配布・配置に過ぎず、
                不正アクセス法でいうところの、文頭に共通する「電子計算機にアクセスし」というアクセス行為は一切行っていないので、
                『現在国会で継続審議となっている刑法改正案の「不正指令電磁的記録作成等の罪」(いわゆる「ウイルス作成罪」)』
                の範疇になるわけです。

                >ログインの必要な特定電子計算機に対して
                >仕様の不備を悪用して、
                >非公開のデータを
                >ユーザー=管理者が意図していない方法で取得して利用可能にしている
                >のでアクセス制御云々っていう部分に関しては判例的には要件を満たしているように思います。

                それは要件として間違っています。
                仕様の不備は関係ありません。
                アクセス制御を作動させたり回避したりしている事も必要です。
                こちらも補足させていただきますと、アクセス制御がかかったデータに対して仕様の不備を突くというのは、不正アクセス禁止法で禁止しているところだと書いているだけで、
                この要件で違法になると書いているわけではありません。
                後続して「結局ぜい弱性をつこうが何しようが、操作してるのはユーザー自身なので。」と書いたのはその意味なんですが、わかりにくかったですかね。すみません。。
                親コメント
              • by barrel (25979) on 2008年10月21日 1時24分 (#1441167)
                「通常アクセス制限されているもの」に対して穴を開けたら不正アクセスという判断だったと思います。
                何を持って通常アクセス制限されているかはどう判断するのか知りませんが
                ACCS事件ではFTPアクセスでしか見れないものをwebで取得したからNGという判断だったかな。

                このあたり高木氏が的確な指摘をしていたはず。
                親コメント
              • by s02222 (20350) on 2008年10月21日 1時40分 (#1441173)
                >三では、正規のパスワードを使わずに、別の方法でログインする事を禁止しています。

                「その計算機にログインしているユーザにとあるプログラムを実行させる」ことでアクセス制御機能を回避している、という解釈はアクロバティック過ぎますか?

                この件自体は割とどうでも良いと思っているんですが、どうもこの件、 ハイパースレッディングに深刻な脆弱性が報告される [srad.jp]とか、 CPUの高速化技術を悪用したRSA鍵盗聴が可能か [srad.jp]とかと似ているように思えてちょっと引っかかります。

                リンク先は大まかに言って、「あるスレッドの実行が他のスレッドに与える環境的な影響を測定することでパスワードを盗み出す手法」のような技で、これがそのまま実現できたわけではないんですが。 今回の件が合法なら、もし万が一、そんな感じの、より深刻な手法が実現しちゃったときにも合法と判断されちゃいそうに思います。「盗むとこまでは合法だけど、その盗んだパスワードを使った瞬間に違法」では何となく気色悪いですし。塞いでおくべき法の穴なんじゃないかな、と。

                ところで、そういや、今更気付いたんですが、HTMLに埋め込まれたスクリプトってプログラムの一種なのに、お決まりの「このプログラムを実行させることで起こったいかなる不利益も以下略」の儀式が無いですね。 何か起こったとき、誰が責任取るんでしょう? ブラウザは一応変なことが起こらないように設計されてるはずですが、責任取ってくれそうには見えませんし。

                と言うか、「ブラウザを使うことで起こったいかなる不利益も以下略」を承認したような気がします。 と言うことは、いざ何か起こった時ってユーザが勝手に責任取れ、なんでしょうね。 最初に一発、「その上でどんなスクリプトが動くか分かりませんが認めますか?」「はい」をやっちゃってるわけですね。考えてみると怖いなぁ・・・。
                親コメント
              • ちょっと誤解させてしまったかもしれませんので、補足説明させていただきますと、

                ブラウザにログイン機能がついてて、URLが訪問済みかどうかのチェックをする度にログインが必要ってんなら別だけど。
                この部分、ブラウザーにログイン機能やアクセス制御が付いているかどうかは関係なくて、
                ユーザーのマシンにアクセス制御がかかっていれば、
                不正アクセス禁止法で言われている、アクセス制御がかかった対象物として十分というのがACCSの判例ですということなんです。

                今回の件が不正アクセスにならないのは、楽天・ドリコム側は配置しただけで何も実行していないというところがキモなんですよ。
                親コメント
              • >この件自体は割とどうでも良いと思っているんですが、どうもこの件、 ハイパースレッディングに深刻な脆弱性が報告されるとか、 CPUの高速化技術を悪用したRSA鍵盗聴が可能かとかと似ているように思えてちょっと引っかかります。

                暗号の解読や鍵の解析が、「アクセス制御機能」を回避する為のものなら、不正アクセスになると思います。
                暗号の解読は、それ自体がアクセス制御機能の回避に当たり、違法行為になると思います。
                鍵の解析や盗聴の場合、それによって得た鍵を使って情報にアクセスする事が不正アクセスとなり違法行為と見なされるでしょう。

                URLヒストリーの参照との違いは、アクセス制御機能を回避したり、不正にアクセス制御機能を作動させている事です。
                親コメント
              • >「通常アクセス制限されているもの」に対して穴を開けたら不正アクセスという判断だったと思います

                ftpの場合、ftpでアクセスできる情報を、ftpのログインという機能で保護しているという考え方だと思います。
                そのftpでアクセスすべき情報を、ftpのログインをせずにアクセスしたから不正アクセスです。

                今回の件の場合、OSのログインで保護されてる情報を、OSにログインされてる状態でアクセスしてます。

                ACCSの件で、「管理者が意図していない方法かどうか」が問題になったのは、アクセスした情報が「ftpのログイン」というアクセス制御で保護されたものかどうかで争ったからです。
                意図された方法だったなら、アクセス管理で保護されているとはいえないので、合法。
                意図されていない方法なら、アクセス管理で保護されているので、それを回避したら違法。

                URLのヒストリーは、OSのログインで保護されてる事に疑いは無いので「管理者が意図していない方法かどうか」は争点となりません。
                ただし、保護されてはいるが、それを回避してないから問題は無いという事です。
                親コメント
              • by Anonymous Coward

                暗号の解読は、それ自体がアクセス制御機能の回避に当たり、違法行為になると思います。

                なりません。法律を知らないのに個人的な思い込みで出鱈目を言うのはやめなさい。

              • > ブラウザーを開かないと他のサイトへのアクセス履歴は『識別符号が「特定電子計算機に入力されるもの」』なので、
                > 他サイトへのアクセス履歴は「アクセス制御がかかっていない情報」ではないですよ。

                ひどい。。
                他のサイトへのアクセス履歴は『識別符号が「特定電子計算機に入力されるもの」』で、
                自由に情報を提供する状態にはなっていないので「アクセス制御がかかっていない情報」ではないですよ。
                親コメント
              • by barrel (25979) on 2008年10月21日 11時58分 (#1441362)
                >それを回避してないから問題は無いという事です。

                あれ、そうなんですか?
                じゃあどうやって管理者の意図しない方法で保護された情報を取り出したのでしょうか。
                回避している・していないの違いはどこにあるのでしょうか?

                # 個人的にはそもそも河合を有罪にした方法論には納得してないですけどね
                親コメント
              • あ、大丈夫です、その点は誤解してないです。
                #1441206を呼んでもらえば、同じ解釈をしてると理解してもらえると思います。
                親コメント
              • >じゃあどうやって管理者の意図しない方法で保護された情報を取り出したのでしょうか。
                >回避している・していないの違いはどこにあるのでしょうか?

                OSのログインに関してなら、OSにログインせずにアクセスすれば、アクセス制御を回避した事になります。
                今回のは、ログインしてあるんだから回避してません。

                「管理者の意図しない方法」は、先にも書いたとおり、今回の件では違法性に関連はありません。
                親コメント
              • ああ、暗号の解読は違いましたか。
                そうか「電子計算機にアクセス」の要件を満たさない場合があるのか。

                ご指摘ありがとうございます。
                親コメント
              • by Anonymous Coward
                > 自由に情報を提供する状態にはなっていないので
                > 「アクセス制御がかかっていない情報」ではないですよ。

                法律的な解釈は様々な要因で変わるので、
                「誰にも」断言出来ない曖昧な状況だと思いますが、
                技術的には、仕様において「情報を提供する状態になって」ます。
                それが「自由に」か否かは、解釈の違いに過ぎないので御自由にお考え下さい。

                ブラウザが仕様通りに提供した情報の使われ方が、
                多くのユーザの意図には反していると言うのが現状であって、
                それは、「情報を提供する状態」に設計した仕様が甘かったと言う事です。
                少なくとも、情報を提供しないために充分なアクセス制御は掛かっていないのです。
              • by Anonymous Coward

                ブラウザが仕様通りに提供した情報の使われ方が、
                多くのユーザの意図には反していると言うのが現状であって、
                それは、「情報を提供する状態」に設計した仕様が甘かったと言う事です。
                少なくとも、情報を提供しないために充分なアクセス制御は掛かっていないのです。
                うーん、
                ファーストサーバが提供したCGIの仕様通りに取得された情報が
                ACCSの意図には反していたというので争われたんで、
                office氏が取得した情報にはアクセス制御なんてかかってないですよ。

                ただ、アクセスした先のサーバに別のアクセス制限がかかっていたというだけで。

                #元IDですが、この辺で

にわかな奴ほど語りたがる -- あるハッカー

処理中...