by
Anonymous Coward
on 2015年03月08日 22時34分
(#2774109)
逆に、同じ類型の事件が起きて、実際に有罪判決が出ている国ってそんなに一般的なの?
U.S. C. § 1030 a.k.a. CFAA (a) Whoever— (2)intentionally accesses a computer without authorization or exceeds authorized access, and thereby obtains— (C)information from any protected computer; https://www.law.cornell.edu/uscode/text/18/1030 [cornell.edu]
IPAに連絡 (スコア:5, 参考になる)
http://www.ipa.go.jp/security/todoke/index.html [ipa.go.jp]
下手に直接連絡すると不正アクセスしたと訴えられかねん
Re:IPAに連絡 (スコア:3, すばらしい洞察)
基本的には個人で問い合わせるよりも、IPA経由の方が迅速な対応が期待できますね。
IPAでも最低限の確認はするでしょうから、サイト運営側も最初から信頼性のおける情報として接することができるでしょう。
Re:IPAに連絡 (スコア:1)
迅速云々よりも、少なくとも日本だとURLを手書きしてアクセスしたら不正アクセスになるから、自分の身を守るためにも対策が必要。
Re: (スコア:0)
不正アクセス防止法は「他人のアカウントを利用する」「本来権限のない情報にアクセスする」といった要件がある。
権限の設定が誤っている場合は対象にならない。
その情報の使い方によって業務妨害と見做されたりすることはありえることだが。
この場合はサイト管理者の方が個人情報保護法違反で刑事罰をくらう可能性がある。
Re:IPAに連絡 (スコア:3)
個人情報保護法に直罰規定はありませんよ。
Re: (スコア:0)
ここって、本質じゃないところにだけ食いつく人が多いよね。
文法エラーだけ指摘するコンパイラみたい。
Re: (スコア:0)
本質だろ?
お前が本質を知らないだけ。
Re: (スコア:0)
>文法エラーだけ指摘するコンパイラみたい。
文法エラー直さずにコンパイルかけてくれるコンパイラ教えてください!
コンパイルかけるかけない別として、いいから文法エラー直せよ。最低条件だから。
と。そういう話になるので変な例えは出さないほうがいいですよ。
Re: (スコア:0)
やっぱり理解できてないんだね。
Re:IPAに連絡 (スコア:1)
最終的にそうなるとしても、個人が企業から訴訟を受けるリスク考えるとどの道危ないんですよ。
無理解な企業も、警察も、司法も、皆が無知ゆえに敵となる場合がある。
Re: (スコア:0)
本気でそう考えてんの?
ちゃんとInternetExplorer6でサイトを巡回してるかい?
よくわからんブラウザで巡回してると、無知な企業から訴えられる可能性も、当然考慮してるよね?
Re:IPAに連絡 (スコア:1)
報告するときに身を守れって話なんだからIEだろうがなんだろうが関係ないよ。
無知な企業は自分の過失を他人の攻撃とか寝言ぬかして襲い掛かってくるから、
最低限IPAのような窓口を盾にして行動しないと責任転嫁の生贄にされかねない。
普段の巡回の場合、その手の技術に疎い連中はアクセス履歴を調査して異常を検出したり、
異常が起きた時の利用者を特定する技術にも疎いだろうから、システム落としたりしなけりゃ割と平気だろう。
被害者面した加害者がぶっ飛んだ行動するとLibrahackみたいな事件に至る場合もあるが、
あの場合はシステムダウンその他いくつか不幸な要素が重なった故の事故で、日常的に起こる事故ではない。
Re: (スコア:0)
無知なのはお前。
欠陥があったら違法行為をしていいなんてのはガキの理屈。
あんた自宅の鍵掛け忘れたら泥棒に入られても訴えないんだな?
確約できんの?
被害者の不注意は刑法犯を免責しない。
過失相殺があるのは民事な?
Re: (スコア:0)
道路交通法の場合だと、視認性の損なわれた標識に気付かず進入禁止に違反した件が不処分になってますな。
Re: (スコア:0)
道路交通法の場合だと、視認性の損なわれた標識に気付かず進入禁止に違反した件が不処分になってますな。
それは犯罪の故意が成立しないからだから。
避けることが不可能だから罰されないだけ。
不正アクセスは無理。
偶然じゃなく故意にアドレス探ってるからね。
不正アクセスしてしまう可能性を知りながらやってるから全く状況が違うから。
Re: (スコア:0)
そうだとすると、例えばGoogle検索で開いたページが「本来見えてはいけないアクセス制限されたページ」だったとしても、1発目はセーフになるのだろうか。
#単純に興味ある
Re: (スコア:0)
被害者側の瑕疵でアクセス制限が機能していなくても?
そこを無視できるようなことを言うからおかしくなる。
Re: (スコア:0)
未必の故意か重過失かはその時の状況による。
前後のアクセス履歴と付き合わせれば悪意を持って粗探ししてた証拠になるし。
悪意を持って検索し続けてて、後から「たまたま」と言い張っても無駄だから。
Re: (スコア:0)
アクセス制御が機能しているかどうかを決める権利は被害者にある。
加害者には無いから。
アクセス制御が完全に機能してなければ盗んでいいというのは犯罪者の論理。
アクセス制御をしようとしていた証拠があるだけで被害者は保護される。
法律には、アクセス制御機能の定義があるから。
お前の理想通りじゃなければアクセス制御ではないというのは法廷では通用しないから。
Re: (スコア:0)
故意でなければ。
基本的に過失は罰しない。
不正アクセス禁止法も過失は罰しない。
#道交法の進入禁止は過失も罰するけど
Re: (スコア:0)
だから、鍵をかけるつもりがあったかどうかなんて本人にしかわからんだろ。
アクセス制御をするつもりがあったかなかったかではなく、アクセス制御があったかなかったかだ。
瑕疵でアクセス制御が機能していなかったならそれは「アクセス制御はなかった」だ。
Re: (スコア:0)
無理無理。仕様書出されて有罪確定。
Re: (スコア:0)
アクセス制御「されている」ことが要件なんだから、「するつもりだった」とか「されてるはずだった」じゃ満たさない。
Re: (スコア:0)
アクセス制御「されている」ことが要件なんだから、「するつもりだった」とか「されてるはずだった」じゃ満たさない。
されていることが要件なんてお前が言ってるだけだけど?
そもそも要件の意味を理解してないようだし。
法律読んでこいよ。
そんなことは書いてないから。
そしてアクセス制御機能がどのようなものであるかを決める権利はお前にはない。
設置者・管理者にある。
そしてそれは仕様書により立証され、「本人しかわからない」ということはあり得ない。
どうして法律を知りもしないお前ごときが、法律にお前ごときが思いつくような穴があるとか妄想できるんだ?
単に日本語の読解力や知力が足りてないだけだろ。
何度言ったら記憶出来るのかな?
アクセス制御がなんであるかを決める権利はお前には無い。
Re: (スコア:0)
ACCS事件ぐらいggrks
Re: (スコア:0)
アクセス制御されているから有罪になってるんだよね?
ググった後の日本語が難しくて判決文読めなかったのかな?
Re:IPAに連絡 (スコア:1)
Librahack事件という汚点が日本の警察にはあるからねぇ。
Re:IPAに連絡 (スコア:1)
あとはACCS裁判とか。
Re: (スコア:0)
あれが有罪にならない国とかあんの?
ちなみにそれどこ?
Re: (スコア:0)
逆に、同じ類型の事件が起きて、実際に有罪判決が出ている国ってそんなに一般的なの?
Re: (スコア:0)
URLとパスワードに法的な区別があるのか思っちゃったの?
法律にパスワードって言葉でも出てくると思っちゃったの?
Re:IPAに連絡 (スコア:1)
逆に、同じ類型の事件が起きて、実際に有罪判決が出ている国ってそんなに一般的なの?
U.S. C. § 1030 a.k.a. CFAA
(a) Whoever—
(2)intentionally accesses a computer without authorization or exceeds authorized access, and thereby obtains—
(C)information from any protected computer;
https://www.law.cornell.edu/uscode/text/18/1030 [cornell.edu]
Re: (スコア:0)
法律にはアカウントなんて概念は出てこないけど。ちゃんと読んで来いよ。
「他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為」に相当するので違法だよ。
識別符号はIDともパスワードとも限らず、Cookieや、URL中のセッション番号でも良い。
そしてアクセス制御機能は設計されている証拠があれば、欠陥があろうとも無かろうともアクセス制御機能が成立し、不正アクセス禁止法で保護される対象になる。
アクセス制御機能に欠陥があるなら保護されないなんて理屈が通るわけ無いだろ?
有罪になる人間が居なくなる。
Re:IPAに連絡 (スコア:2)
細かく条件はありますが、とりあえず「識別符号」とは、「当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号 」のようです。
大抵の場合、利用規約でパスワードは利用者の責任で秘密にすることが求められていますが、Cookie やセッション番号についても秘密にするように言及されているものも多いのでしょうか?
Re: (スコア:0)
もちろん、他人のコンピューターにあるCookieやセッション番号を盗んできたら成りすませるわけだからみだりに第三者に知られたらまずいでしょ。
ローカルに保存しておいて、それを参照しなければアクセス出来ないような制御がされているんだから、そのような仕様書が書かれた時点で規約とか関係なしに「第三者に知らせてはならないもの」扱いでしょ。
どういう意図で設計されているか、運用されているかは明文化されている必要がないからね。
他の証拠で立証できればそれで良い。
Re: (スコア:0)
法律には、利用規約に書かなければ保護しませんなんて書いてないけど。
秘密にしようとしていた意図が存在したことの、数ある立証手段のうちの一つが規約文書ね。
Re: (スコア:0)
アクセス制御機能は、わずかにでもアクセス制御機能として設計された痕跡があれば成立するから。
完璧に機能しなければアクセス制御機能では単なる無いなんてのはお前の思想であって、他人に押し付けるなよ。
お前の思想に合わない相手からは情報を盗んでいいのか?
法律には「完璧に機能しないものはアクセス制御機能ではない」なんて書いてないからな。
Re: (スコア:0)
理解できてないのはお前。
タレコミで言う「個人情報」は個人情報保護法の対象外。
字面だけしか知らずに中身知らないなら黙ってれば恥かかないのに。
Re:IPAに連絡 (スコア:1)
やっぱちゃんとした組織に言うしかない。
むしろこんなとこ(スラド本家)で話題にしたら、いざ問題が公になった時投稿者まであらぬ疑いをかけられかねない。
「(何とはいわず)セキュリティ問題を見つけたがどこに連絡すればいいか」と聞けばいいのだから。
Re: (スコア:0)
内部で見つけた場合は巫女メソッド
外部で見つけた場合は巫女メソッドに期待
SNSで巫女メソッド見かけたら援護
# 炎上必死
Re: (スコア:0)
関連ストーリーが山ほど貼ってあるのに含まれていなかったからリンクしておこう
巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に [security.srad.jp]
もう一つ
http://srad.jp/~ymitsu/journal/575521/ [srad.jp]
あとreo氏のコメントも
Re: (スコア:0)
個人がやったら不正アクセスになることでもIPAがやったらならないなんてことは一切ないのに不思議な話だ。
大事なことだからもう一度言うがIPAには不正アクセスの調査に関して別に警察のような特別な権限は一切与えられていない。
Re:IPAに連絡 (スコア:2)
IPAは、届出を受けた脆弱性情報について、必ずしも実際に当該脆弱性にアクセスして確認しているわけではないと思いますが、仮に当該脆弱性にアクセスする行為があったとしても、一般人よりは違法性が阻却されるとの評価を受けやすいように思いますよ。
IPAの脆弱性情報受付業務は、法令に基づいて行っているわけですから。
Re: (スコア:0)
法に定められた正当業務行為だから問題ないね。
Re: (スコア:0)
このツリーにもいっぱいコメントが付いているような知ったかぶりから身を守るのに極めて有用。
Re: (スコア:0)
権限の問題じゃなくて、身分の問題です。
セキュリティ問題に無知な民間企業の担当者が
1.どこの馬の骨とも知れない個人に脆弱性を指摘された
2.公的機関に脆弱性を指摘された
指摘した相手が個人の場合、聞く耳持たずに犯罪者扱いする危険性が高いってこと。
逆に、役人の言うことなら聞き入れるって人はそれなりにいますからね。
Re: (スコア:0)
身分の問題ですよ。
法律に基づいた業務行為による指摘と、単なる一市民では法的身分が異なります。
言い換えると、無視すると行政処分が飛んでくる相手と、無力な一市民の差ですね。
一市民が暴れても、名誉毀損扱いされたり犯人扱いされるだけですからねぇ…。
公務員は、そこらへん法律で守られますので。正当教務行為ですから。
管理者への許可も、IPAが確認するためなら不要だったりしないのかな?
Re: (スコア:0)
PWかけてない時点で不正アクセスにはどうやってもなりません。
Re: (スコア:0)
PWかけてない時点で不正アクセスにはどうやってもなりません。
法律にはパスワードという概念は登場しないから。
セッション番号でもCookieでもURL中のIDでも不正アクセスになる。
世の中のアクセス制御がパスワードだけだと、なんで思っちゃったの?
Re: (スコア:0)
2度ほどIPAに報告したことある。
1度目はまさに今回のネタと同じようにECサイトでURLのIDを書き換えるだけで購入履歴が見れた。
連絡後、対処したとIPAから連絡あったから、チェックしてみたら表示する内容から個人情報部分が消えただけだった。
購入内容などは見れるまま。もう諦めて放置。
2度目は某小売企業の店舗間通信のFTPサーバーが一般公開されてて、日々の売上情報などがすべて見れた。(Google検索で見つけた)
IPAに連絡したけど、相手企業がわからない、ってことで終了した。
まぁこんなもんだよね。