パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

無線LANのWEPキーを不正に入手して使用する行為は無罪、東京地裁が判断」記事へのコメント

  • by Anonymous Coward

    普通に考えたら、WEPとはいえアクセス制限をかけていたのだから、不正アクセス禁止法違反が筋なのでは。

    • by Anonymous Coward on 2017年05月01日 17時57分 (#3203739)

      不正アクセス禁止法が禁ずるのは「他人の識別符号を不正に取得する行為」。
      wepキーは全利用者共通で自分と他人の区別がないので、こっちも無理筋。

      親コメント
      • by Anonymous Coward

        そんな事言ったらSNSで組織アカウントを複数人で共用してる場合、そのアカウントが乗っ取られても不正アクセス禁止法で引っ張るの無理筋って事になっちゃわない?

        • by Y-taro (38255) on 2017年05月01日 21時48分 (#3203913)

          企業や同一部署に属する者が共同で利用することが認められている識別符号(いわゆるグループID)については、その態様にもよるが、アクセス管理者の直接の許諾を得た代表者を利用権者とし、他の者は利用権者から承諾を得て利用している(法第3条第2項第1号参照)ものと解することができる。
          警察庁「不正アクセス行為の禁止等に関する法律等の概要及び運用上の留意事項について [npa.go.jp]」平成12年1月21日、p.3
          警察庁の施策を示す通達(生活安全局)|警察庁Webサイト [npa.go.jp]

          正規の利用権者たる代表者を識別できればOKと。

          親コメント
          • by Anonymous Coward

            超脆弱とはいえ、正規の利用権者たる代表者をパスフレーズで識別してるWEPと何が違うのかわからない。

            • 元の話に戻って、「全利用者共通で自分と他人の区別がない」からです。
              アカウントの区別、といってもいいかもしれない。
              SNSは、あるアカウントを複数人で共有していようがいまいが、管理者は、そのアカウントを別のアカウントと区別できますよね。
              一方で、「全利用者共通」すなわちアカウントが1つしかないシステムでは、区別すべき他のアカウントがありません。

              不正アクセス禁止法では、管理者が利用権者を他の利用権者と区別して識別できることを求めていて、そうでないものは対象外なのです。
              マルチSSIDなら、SSIDごとに別の利用権者が存在するとも考えられ、他の利用権者を区別して識別できると言いうると思います。
              他の論点もありますが、それは別コメで。

              2  この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(以下「利用権者」という。)及び当該アクセス管理者(以下この項において「利用権者等」という。)に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものをいう。
              不正アクセス行為の禁止等に関する法律第2条第2項柱書 [e-gov.go.jp]

              (強調筆者)

              親コメント
              • by Anonymous Coward

                例えば、IDなしのパスワード認証に対してブルートフォースを仕掛けて、成功してログインできても、
                これは不正アクセスではない、という事でしょうか。

              • by Anonymous Coward
                さすがにザルAPでもWebインターフェイス用のadminアカウントは別にあるだろ
                FTPでアクセス制御してることを理由にHTTPのセキュリティホール突かれても有罪にできる裁判所ならどうにでも理屈つけられるはず
              • by Anonymous Coward

                んん?
                太字部分について、当該特定電子計算機における特定利用を許諾された利用権者の数が「1アカウント」しかなかった場合に法律の適用除外になるですと?

                随分頓痴気な解釈で当てはめの錯誤により故意を阻却しないとされそうな解釈ですね。

              • by Anonymous Coward

                ここを読んでも利用権アカウントが1アカウントだけの場合に適用除外とは読めないんですが、そのオレオレ解釈の根拠を示してもらえますか?できたら外部ソースの提示付きで。
                ぶっちゃけIDの付与は必須ではなくて、電気通信回線を通してパスワードを特定電子計算機に入力だけで不正アクセスになるんですよ。極端な例ではATMに他人の暗証番号入力だけで不正アクセス。

              • 対象の機器にある認証機能が「IDなしのパスワード認証」(全利用者共通)1つだけなら、その機器は不正アクセス禁止法の対象ではなくなるので、ブルートフォースであれ、他の方法で不正に入手したパスワードを使うのであれ、不正アクセスではないことになりますね。

                ふと思った。
                マルチSSIDをもって別の利用権者を識別していることにするなら、管理画面のパスワードと回線接続のキーをもって、別の利用権者を識別していることにもなるのかもしれない。
                (他の論点もあるのは前述同様)

                親コメント
              •  エ 識別符号は、「当該利用権者等を他の利用権者等と区別して識別することができるように」付されるものでなければならない。したがって、識別符号であるためには、複数の利用権者等に同一の符号が付されないようにするとともに、どの利用権者等に付されたものであるかが分かるように付されていることが必要となる。
                 利用権者等が1人しかいない場合、すなわちアクセス管理者以外に特定電子計算機の特定利用に係る許諾を得て特定利用をする利用権者をおよそ予定していない場合には、当該特定利用の際に自分が用いるID・パスワードをアクセス管理者が設定していたとしても当該ID・パスワードはアクセス管理者を他の利用権者と区別して識別することができるように付されているわけではないから、当該ID・パスワードは識別符号に該当しない
                不正アクセス対策法制研究会 編著『逐条 不正アクセス行為の禁止等に関する法律〔第2版〕』立花書房、2012年、p.41

                そして、識別符号を使って認証を行うのが「アクセス制御機能」で、アクセス制御機能を持つコンピュータに所定の無許諾アクセスをするのが「不正アクセス」です。
                識別符号が無ければアクセス制御機能が無いことになり、アクセス制御機能が無ければ不正アクセスに当たらないことになります。

                3  この法律において「アクセス制御機能」とは、特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている機能であって、当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号(識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。次項第一号及び第二号において同じ。)であることを確認して、当該特定利用の制限の全部又は一部を解除するものをいう。
                4  この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。
                一  アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
                二  アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
                三  電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
                不正アクセス行為の禁止等に関する法律 第2条第3項、第4項 [e-gov.go.jp]

                (全て強調筆者)

                親コメント
      • by Anonymous Coward

        不正アクセス禁止法を読むと無線APが特定電子計算機として、無線APの管理者がアクセス管理者とするのも無理筋ではなさそうな。
        利用権者の対象が個人だろうがグループだろうが法律の適用に差異はないし。

        恐らく警察と検察が無知蒙昧、無能だったんだろうね

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

処理中...