アカウント名:
パスワード:
>これって不正アクセス禁止法にはどう考えても該当しないと思うんですが、どうなんでしょうね。
まず、不正アクセス禁止法では「不正アクセス行為」として第三条の2の二で
アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
と定義しています。 (括弧内で識別符号であるものを除いているのは、識別符号の不正利用は第三条の2の一で定義しているから) ここで要件となっているのは「該当計算機がアクセス制御機能を持っている事」であって、アクセスパス自体にアクセス制御機能を持っている事は必要ありません。 そうでないと、たとえばMTAのバッファオーバーフローを使ってバックドアを開けるという行為を「不正アクセス」とはできなくなってしまいます。(MTAではinboundに付いてはアクセス制御されていないのが一般的ですから) ですから、ACCSの件でも、該当データがFTPなりtelnetなりsshなりでアクセス制御された領域にあれば要件を満たします。
次にアクセスパスの方ですが、実際にどのような形でアクセスして情報を引き出したのかがわからないので一般論ですが、良くある主張で「URLをちょっと書換えただけでは不正アクセスにはならない」というのがありますが、これは常に真ではありません。 たとえばhttp://user:pass@sample.com/という形で他人の識別符号を用いてアクセスすれば不正なのは明らかです。 あまり褒められた方法ではないですが、http://sample.com/login.cgi?ID=user&Pass=passという形であっても同様です。 一方でhttp://sample.com/とアクセスするのは不正ではないというのも明らかです。 となれば、URLを書換えた場合に不正となるかどうかというのは、この2者の間にあるグレーゾーンのどこからが不正で、どこからが合法かという事になるのですが、最終的には公知性と犯意の有無によって裁判所が判断する事になるでしょう。 公知性というのは、たとえばhttp://sample.com/foo/barというURLがhttp://sample.com/からリンクされているなどの場合。 また、最後のbarを削ってfoo/とすればディレクトリのリストが見える事が多々あるというのも公知の事実ですから、http://sample.com/foo/へアクセスする事。 またそのようなアクセスの結果ディレクトリリストが出てきて、そこに列挙されたファイルをアクセスする事。 これらは公知のものとなる可能性が高いでしょう。実際TBCの件なんかは公知の手段でのアクセスなので立件が無理という判断のようですし。
では、たとえば最後のbarをbazと書換えたら公開されていないはずのデータが取れてしまった場合等はどうなるかというと、こちらは犯意の有無が問題となってくるでしょう。 技術面だけを見る人は「同じ形であれば同じ結果(処分)にならないとおかしい」と考える人が多いですが、法律の世界では「犯意」が大きく結果を分けます。 たとえば料理をするために包丁を持っていて、振り返ったら人がいて刺し殺してしまった場合は「過失致死」ですが、そこに人がいる事を知って殺そうと思って刺せば「殺人」です。
今回の場合はどのような結果になるかはわかりませんが、現時点で「明白に白」とも「明白に黒」とも(少なくとも外野の我々は)言えません。 言える事は「不正アクセス禁止法に該当する場合もあり得る」という事。
そう考えると今回の場合、「バグにより公開されていた=管理者には公開する意思が無かった」という事を双方(Office氏を含めて)知っていた訳で、それに(レベルは低いにしても)「正当でないアクセス方法により情報を入手」したとなれば検察側としても十分に起訴可能と考えても不思議は無いように思えますが。 また、その時の情報を保存し公開したという事も、マイナス材料になりますね。
これって不正アクセス禁止法 [npa.go.jp]にはどう考えても該当しないと思うんですが、どうなんでしょうね。
以前のストーリ [srad.jp]でも出ました [srad.jp]が、判断が難しいところです。最終的な判断は裁判に委ねられるとして、警察としてはとりあえず逮捕状さえ請求できればよかったのではないかと。
弁護士の腕次第では、不正アクセス禁止法 [e-gov.go.jp]の容疑については何とかできるかもしれません。 でも威力業務妨害 [e-gov.go.jp]の方はどうしようもなさそうだけど。
さらに河合容疑者は11月8日、東京都渋谷区で開催されたイベントで、これらの個人データや不正アクセスの方法を公開した。さらにこの内容をACCSに対して電子メールで送信するなどして、ACCSの業務を妨害した。このためACCSは、同協会サイトのうち、個人情報漏洩のあった相談サイトの閉鎖を余儀なくされた。
もしこの事件で威力業務妨害が成立するということであれば、セキュリティホールを指摘・公開しただけで威力業務妨害で逮捕される、ということになりますよね。公開せず、指摘しただけでも逮捕される可能性だって残ります。これが妥当かどうか。
この件で過去の判例をちょっと漁ってみたのですが、
最裁 昭和28年1月30日 第二小法廷・判決 昭和25(れ)1864 住居侵入、業務妨害 [courts.go.jp]
要旨: 一 刑法第二三四条の業務妨害罪にいう「業務ヲ妨害シタル」こととは、具体的な個々の現実に執行している業務の執行を妨害する行為のみならず、被害者の当該業務における地位にかんがみ、その遂行すべき業務の経営を阻害するにたる一切の行為を指称する。 二 同条にいう「威力」とは、犯人の威勢、人数および四囲の状勢よりみて被害者の事由意思を制圧するにたる勢力を指称する。
……なるのか?
間に合えば良かったなら 間に合わせられなかったヤツが悪い。
甘いっす。
威力業務妨害ってのは現実的には換金出来る業務にのみ適応されます。 だから余りに迷惑な行為を受けてもそれが換金出来ない時は現実的には適応が難しい。 でもって、個人情報の保護って業務(私的にはそんなもの自体存在しないと見たが)ってのは換金不能ですよね。 なんでその方に利益があっても無視されるだけかと。 #つーか、犯罪により得られた副次利益を減刑材料とするかって話にもなるか?
まあそれでも威力業務妨害については、ある程度裁判で揉んでおいて、後で損害賠償請求を行う時のネタにでもするのか取引材料にするのでは?と思いますが。
威力業務妨害ってのは現実的には換金出来る業務にのみ適応されます。
警視庁は、サーバーには外部からの利用を制御する機能があり、河合容疑者の行為は、指令を送ってこの制御を免れる不正なアクセス行為と判断した。
逮捕と拘留を取り違えてませんか? 逮捕状の要件については刑訴法 [e-gov.go.jp]の第199条 [e-gov.go.jp]を見てください。威力業務妨害は50万円以下の罰金なので逮捕要件に該当します。 その間に検察官は裁判官に拘留請求を行い、必要 [e-gov.go.jp]と認められれば拘置所に拘留されることになります。その後、実際に起訴されれば裁判、という順番になります。
本来であれば拘留決定に伴って警察署の留置所から法務省管轄の拘置所へ移されなければならないのですが、現在の日本には代用監獄制度というありがたーい制度があって、警察署の留置所が拘置所の代わりとして使用できたりします。 警察署の留置所にぶち込まれて、弁護士との接見も制限されて、取調室で警察官に執拗に尋問される、というのが日本の刑事訴訟の典型だったり……。
請求を受けた裁判官は、必要と認めるときは、請求者の出頭を求めて陳述をきき、資料の提示を求めて(規143条の2)、事実の取調べ(43条3項)を行い、逮捕の理由(「罪を犯したことを疑うに足りる相当な理由」。199条1項)と必要(逃亡または罪証隠滅のおそれ等。規143条の3)について審査する。逮捕の「理由」が肯定されれば、明らかにその「必要」がないと認めるときをのぞき、逮捕状が発付される(199条2項)。ただ、軽微な犯罪については、住居不定または出頭要求への不対応という特別の必要性の存在が要求される(199条1項但書き)。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
不正アクセス禁止法? (スコア:1)
法文って難しくてよく読みこなせないんですが、パスワードなどのアクセス制御機構が存在してない場合、適用は無理としか思えません。
Re:不正アクセス禁止法? (スコア:3, 参考になる)
>これって不正アクセス禁止法にはどう考えても該当しないと思うんですが、どうなんでしょうね。
まず、不正アクセス禁止法では「不正アクセス行為」として第三条の2の二で
と定義しています。
(括弧内で識別符号であるものを除いているのは、識別符号の不正利用は第三条の2の一で定義しているから)
ここで要件となっているのは「該当計算機がアクセス制御機能を持っている事」であって、アクセスパス自体にアクセス制御機能を持っている事は必要ありません。
そうでないと、たとえばMTAのバッファオーバーフローを使ってバックドアを開けるという行為を「不正アクセス」とはできなくなってしまいます。(MTAではinboundに付いてはアクセス制御されていないのが一般的ですから)
ですから、ACCSの件でも、該当データがFTPなりtelnetなりsshなりでアクセス制御された領域にあれば要件を満たします。
次にアクセスパスの方ですが、実際にどのような形でアクセスして情報を引き出したのかがわからないので一般論ですが、良くある主張で「URLをちょっと書換えただけでは不正アクセスにはならない」というのがありますが、これは常に真ではありません。
たとえばhttp://user:pass@sample.com/という形で他人の識別符号を用いてアクセスすれば不正なのは明らかです。
あまり褒められた方法ではないですが、http://sample.com/login.cgi?ID=user&Pass=passという形であっても同様です。
一方でhttp://sample.com/とアクセスするのは不正ではないというのも明らかです。
となれば、URLを書換えた場合に不正となるかどうかというのは、この2者の間にあるグレーゾーンのどこからが不正で、どこからが合法かという事になるのですが、最終的には公知性と犯意の有無によって裁判所が判断する事になるでしょう。
公知性というのは、たとえばhttp://sample.com/foo/barというURLがhttp://sample.com/からリンクされているなどの場合。
また、最後のbarを削ってfoo/とすればディレクトリのリストが見える事が多々あるというのも公知の事実ですから、http://sample.com/foo/へアクセスする事。
またそのようなアクセスの結果ディレクトリリストが出てきて、そこに列挙されたファイルをアクセスする事。
これらは公知のものとなる可能性が高いでしょう。実際TBCの件なんかは公知の手段でのアクセスなので立件が無理という判断のようですし。
では、たとえば最後のbarをbazと書換えたら公開されていないはずのデータが取れてしまった場合等はどうなるかというと、こちらは犯意の有無が問題となってくるでしょう。
技術面だけを見る人は「同じ形であれば同じ結果(処分)にならないとおかしい」と考える人が多いですが、法律の世界では「犯意」が大きく結果を分けます。
たとえば料理をするために包丁を持っていて、振り返ったら人がいて刺し殺してしまった場合は「過失致死」ですが、そこに人がいる事を知って殺そうと思って刺せば「殺人」です。
今回の場合はどのような結果になるかはわかりませんが、現時点で「明白に白」とも「明白に黒」とも(少なくとも外野の我々は)言えません。
言える事は「不正アクセス禁止法に該当する場合もあり得る」という事。
Re:不正アクセス禁止法? (スコア:1)
- そもそもそんなものネットを経由したアクセス制御下に置くべきものなのか。
- httpdサーバとファイル管理サーバを切り離してLANで繋いでおかなけりゃいけないのかor件のファイルはLAN経由で操作するようにしていなければいけないのか
- 直感的には「そんなバカな」なんだが、だったらだったで「特定利用」をネット経由に限っている意味が分からなくなる
てなところで、「電気ドロ判例」並みのヤラシイ判例が出てくるのもなんだかなあ。と思いますです。#俺がこの仕事するんだったらそうするけどね。
Re:不正アクセス禁止法? (スコア:1)
Re:不正アクセス禁止法? (スコア:2, 興味深い)
今回はそのアクセス制御機構に大穴があり,そこをついたのが
問題にされた様です.
ていうか,記事によっては余罪追及のあるらしい書き方を
しているのですが,出来れば今回はお灸を据えるぐらいに
とどめてほしいですね.
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
Re:不正アクセス禁止法? (スコア:1)
通常アクセス可能なCGIが計算機内のどんなファイルも読み取って表示できるオプションを持っていた、という話しか聞いてないのですが。
Re:不正アクセス禁止法? (スコア:1)
やっていたのではないかと…
今回の穴は表の入り口は鍵がちゃんとかかっていたが
裏口もしくは勝手口が開けっ放しだったという感じでしょうか…
この状態で泥棒が入ったら,泥棒はやっぱり不法侵入だし
開けっ放しにしていた人はその認識の甘さで
批判されまくる…と.
#このたとえ余りよくないがID
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
Re:不正アクセス禁止法? (スコア:1)
例えばapacheでアクセス制御を行うとしたら、BASIC認証などのパスワード認証をかけるか、.htaccessなどでsource addressをDeny/Allowするかくらいですよね。
こうした処置が取られていたページだったようには思えないんです。
Re:不正アクセス禁止法? (スコア:1)
- 個人情報や認証に使うパースワードなどのデータは
htdocsツリー内に置かない.
- 無用のindexes設定はやめる
ぐらいでしょうか…
少なくても今回は、大穴とは言えURLを書き換えれば済む様な
レベルではなかったと思いますが…
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
Re:不正アクセス禁止法? (スコア:2, 参考になる)
日経BPの記事 [nikkeibp.co.jp]を読む限りはそう見えます。URLじゃなくてPATHかな。
直接読まれては困るものはDccumentRoot下におかないというのは常識レベルであって、「アクセス制御機構」ではないですよね。少なくとも機構と言えるものではないと思います。
せいぜい手法? そもそも「アクセス制御」と言えるのか……。
Re:不正アクセス禁止法? (スコア:1)
office氏がくだんのファイルを抜き取るためにどうしたのかが気になります。
仮に、すぐに類推できるものであれば、あれまあ見えちゃった、で済むのでしょうが、
穴の性質を良く知っていて、「ファイル名さえヒットすれば!」と何度も何度も攻撃を仕掛けたなら、
明らかに「悪意」と言われても仕方ないですよね。
(結果も重要ですが、動機が最も大事ですから)
窓にペタっと貼り付けておいて「見るな!」はおかしいですけど、
扉入ってすぐのところに置いてあるのを扉を開けて見ちゃうのは問題かと。
Re:不正アクセス禁止法? (スコア:1)
噂かもしれませんが、妥当で確実なやり方でしょうね。
Re:不正アクセス禁止法? (スコア:1)
_/[]O
あと,DocumentRoot配下に重要情報を置かないなどの
Webコンテンツセキュリティの基本はちょっと勉強すれば
『常識中の常識』して覚えてくれる(と思う)けど,
いきなり押しつけられた様なWebコンテンツ管理者レベルだと
正直微妙なところは出てきますね…
まぁ,今回の穴に関してはACCSのセキュリティ担当者が
以下略だったいうことで…
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
Re:不正アクセス禁止法? (スコア:0)
| やっていたのではないかと…
通常のWebセキュリティーレベル(?)なら、そもそも個人情報をWebから見える領域に置いたりしないのではないでしょうか。
| #このた
Re:不正アクセス禁止法? (スコア:1)
今回の話題の中心はセキュリティなんでしょうか?
どちらかというと(このスレッドでは)逮捕の根拠のようにも読めるのですが、法律の解釈の問題ってたとえ話に似ていると思いませんか?もしそうだとしたら、技術に詳しい者がどこまで拡大解釈を許せるかを議論することはある面で有益かとも思います。
その場合でも議論の方向の修正は随時必要だと思いますが。
根拠なく「たとえ話は有害」とするのはどうかと思うのでID。
ただ、/.のユーザーインターフェース的な観点から、このような議論を見たくない人のためにDHTML的にスレッドを「閉じ」られるような機能があればいいとも思いました。
Re:不正アクセス禁止法? (スコア:0)
GET /filename
で取れたわけじゃない(?)から
単純に 「見える領域」 とは言えないでしょう。
Re:不正アクセス禁止法? (スコア:1)
見せしめ的にタイーホしたのであれば、ここらへんまできっちり罰せられる可能性もありますよね。
ただ、これを世間がどう見るか、メディアがどのように伝えるか、皆さんがどのように考えているのかは非常に興味があります。
もしかすると法改正も近いかもしれませんね。
Re:不正アクセス禁止法? (スコア:1)
「反省しているようだから不起訴」などとなって,これが悪い前例になることを懸念します。
Office氏には,弁護士を立てて裁判で徹底抗戦して,不正アクセス禁止法違反については
無罪を勝ち取ることを期待します。
# 公開した点には同情の余地が無いので,威力業務妨害は避けられないだろうけど
Re:不正アクセス禁止法? (スコア:1)
端にアクセス制御機構が存在しないと言うのを拡大解釈すると、ほとんどのセキュリティーホールを突く攻撃に対して無効になってしまうでしょう。
ですから重要なのは「その情報を公開する意思があるか」ではないかと。
そう考えると今回の場合、「バグにより公開されていた=管理者には公開する意思が無かった」という事を双方(Office氏を含めて)知っていた訳で、それに(レベルは低いにしても)「正当でないアクセス方法により情報を入手」したとなれば検察側としても十分に起訴可能と考えても不思議は無いように思えますが。
また、その時の情報を保存し公開したという事も、マイナス材料になりますね。
Re:不正アクセス禁止法? (スコア:1)
以前のストーリ [srad.jp]でも出ました [srad.jp]が、判断が難しいところです。最終的な判断は裁判に委ねられるとして、警察としてはとりあえず逮捕状さえ請求できればよかったのではないかと。
弁護士の腕次第では、不正アクセス禁止法 [e-gov.go.jp]の容疑については何とかできるかもしれません。
でも威力業務妨害 [e-gov.go.jp]の方はどうしようもなさそうだけど。
Nullius addictus iurare in verba magistri
Re:不正アクセス禁止法? (スコア:3, 興味深い)
脳味噌腐乱中…
Re:不正アクセス禁止法? (スコア:2)
盗み放題ってことで。
業務の妨害しないでアクセスすれば、不正アクセス禁止法に触れない状態な穴開きサイトが続々増えるという薔薇色の世界が待っています。
# 普通に他の法律で罰しない限り、やりたい放題を公認したようにも見えるぞ。
## カルマ無駄遣いする時期だな
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:不正アクセス禁止法? (スコア:0)
この内容が知りたいですね。
どんなすごいことが書いてあったんだろう。
これ [srad.jp]風に言えば「おまえの恥ずかしい姿を公
Re:不正アクセス禁止法? (スコア:2, 興味深い)
どうなんだろうねぇ。だって仮に、office氏の個人情報公開がなかったとしても、office氏からセキュリティホールの指摘を受ければ、サイトの一部閉鎖(業務の停止)は避けられなかったのではないでしょうか?だとすると、個人情報公開の有無は、業務の停止とは無関係ということになりますよね。業務停止と関係していたのは、セキュリティホールがあったことと、その指摘を受けたこと、それを公開したこと、ということになります。
もしこの事件で威力業務妨害が成立するということであれば、セキュリティホールを指摘・公開しただけで威力業務妨害で逮捕される、ということになりますよね。公開せず、指摘しただけでも逮捕される可能性だって残ります。これが妥当かどうか。
Re:不正アクセス禁止法? (スコア:3, 参考になる)
この件で過去の判例をちょっと漁ってみたのですが、
……が該当しそうな感じです。判決要旨によると、 ……だそうなのです。
(ちなみに要旨の「事由意思」は「自由意志」の間違いです(判決本文参照))
ACCSとしてはこっそり教えられたにしろ公開されたにしろ、当該サイトを可及的速やかに閉めるしか当面の対策がなかったとは思いますが、それでもその行為に「自由意志」が介在できたかどうかが争点になると思われます。
……なるのか?
Nullius addictus iurare in verba magistri
Re:不正アクセス禁止法? (スコア:1)
セキュリティ専門家のためのサロン(もちろんお上の監視つき)でなら
公開してもいいよ、という態度なのでは。
# 悲観しすぎであってほしいところ
Re:不正アクセス禁止法? (スコア:1)
法律の話をする場合、起きてしまった事実に対して「たら・れば論」は厳禁です。
#私がRyo.F氏を殺さなくても、
#多分誰かが殺したであろうから無罪。
#…なんて通るわけないですよね。
Re:不正アクセス禁止法? (スコア:1)
初めて聞く話ですが、それはなぜなんです?
> #私がRyo.F氏を殺さなくても、
> #多分誰かが殺したであろうから無罪。
> #…なんて通るわけないですよね。
TameShiniTottaさんがRyo.Fを殺さなくとも、いずれ不治の病で死ぬのだから無罪、という判断をする国もありますね。
ところで例えば、原子力発電所の欠陥に気づいた人が、他所で騒いだために、その原発が操業停止に追い込まれた、って話ならどうなんです?仮に他所で騒がずに電力会社にだけ知らせたとしても、操業停止は避けられはしません。それでも有罪でしょうか?
#TameShiniTottaさんが例え話として挙げていたので、私も挙げてみました。
##こう言う議論って、法律の話の場合に厳禁ではないのですよね?
Re:威力業務妨害 (スコア:1, 興味深い)
セキュリティーホールを塞ぐことは公益に適う、逆に放置することは公益に反するので、期限を区切って公開が妥当であるという意見があります。これはこれで理に適った主張なのですが、ひょっとしたらそれが社会と軋轢を起こしたのかもしれません。
もちろんこれは可能性にしか過ぎません。実際のところは裁判の進捗とともに明らかになり、そして何が軋轢かは結審を以て判例として明示され存在し続けることになります。ただ、現状は「脆弱性を指摘されたけれど面倒くさいから威力業務妨害で告発しとけ」となりかねません。そのような好ましくない事態を避けるために、指摘の方法を考え直し、緩やかなルールを模索する必要があるでしょう。
Re:威力業務妨害 (スコア:1)
間に合わせられなかった方を指弾するためには、個人情報を提供した顧客が民事訴訟を起こす必要がありますね。
Re:不正アクセス禁止法? (スコア:1)
> 法律の話をする場合、起きてしまった事実に対して「たら・れば論」は厳禁です。
法律の話を含む、因果関係の話をしています。事象Aの後に事象Bが起こったからといって、AとBの間に因果関係があるとは限りません。Aが起ころうが起こるまいが、Bが起こるというのなら、AとBとの間に因果関係はない、と結論付けざるを得ません。このように因果関係を考えていくとすれば、「たら・れば論」を論じざるを得ないことになります。逆に、そのような議論を許さないというのであれば、事象Bの前に起こったすべての事象に対して、Bとの因果関係を認めなければならないことになります。
そういう話であっても、法律の話の場合は、上の引用のように言えるのですか?言えるとすれば、それは何故ですか?
Re:不正アクセス禁止法? (スコア:1)
> 最終的な判断は裁判に委ねられるとして、警察としてはとりあえず逮捕状さえ請求できればよかったのではないかと。
>
> 弁護士の腕次第では、不正アクセス禁止法 [e-gov.go.jp]の容疑については何とかできるかもしれません。
これ、ほんとに有罪になってしまうと、おとり捜査みたいなことができちゃいますよね。
件のCGIを置いておいて、(不正っぽく)アクセスしてきた者を片っ端から逮捕って。
# ちょっと怖いかも・・・
Re:不正アクセス禁止法? (スコア:1)
サイトの維持の他に個人情報の保護って業務もあるはずだから
今までおろそかにしていた業務をやっただけで妨害になってないのではと思うのですが?
まぁ個人情報さらしたことについては何らかの罰が必要なんでしょうけど
Re:不正アクセス禁止法? (スコア:2, 参考になる)
>今までおろそかにしていた業務をやっただけで妨害になってないのではと思うのですが?
甘いっす。
威力業務妨害ってのは現実的には換金出来る業務にのみ適応されます。
だから余りに迷惑な行為を受けてもそれが換金出来ない時は現実的には適応が難しい。
でもって、個人情報の保護って業務(私的にはそんなもの自体存在しないと見たが)ってのは換金不能ですよね。
なんでその方に利益があっても無視されるだけかと。
#つーか、犯罪により得られた副次利益を減刑材料とするかって話にもなるか?
まあそれでも威力業務妨害については、ある程度裁判で揉んでおいて、後で損害賠償請求を行う時のネタにでもするのか取引材料にするのでは?と思いますが。
Re:不正アクセス禁止法? (スコア:1)
これは民事の話で、威力業務妨害罪に関しては関係ないのでは。確かに、業務妨害罪を財産罪に分類する立場もあるようですが、一般的には、「人の社会生活上の地位における人格的活動(社会的活動)の自由を保護法益とする犯罪と解」(大谷實「刑法講義各論第三版」p.130)されています。
Re:不正アクセス禁止法? (スコア:1)
っていうか、これってパーミッションのことかな?
それともApacheのディレクトリの指定のこと?
脳味噌腐乱中…
Re:不正アクセス禁止法? (スコア:1, 参考になる)
彼にはぜひ謝罪などせず黙秘を通してほしいぞ。不起訴になったら
検察審議会に通報しよう! 略式起訴されたら公判請求しよう!
彼の肩を持つ気はサラサラないが、不正アクセス禁止法の拡大解釈
や恣意的な運用は許せん! 裁判で無罪を訴えてくれ!
ムリじゃなくても (スコア:2, すばらしい洞察)
「見せしめ&懲らしめ」のためですね。
逮捕って
・証拠隠滅の恐れがある
・逃亡の恐れがある
場合に行われますけど、実際に世間で起きてる事件の大半は
逃亡の可能性は低く事後の証拠隠滅も難しいものがほとんどで、
それじゃなぜ逮捕拘留するかというと、やっぱり
「見せしめ&懲らしめ&出来るだけ弁護士から遠ざける」
ためなんですね。
--------------------
/* SHADOWFIRE */
Re:ムリじゃなくても (スコア:2, 参考になる)
逮捕と拘留を取り違えてませんか?
逮捕状の要件については刑訴法 [e-gov.go.jp]の第199条 [e-gov.go.jp]を見てください。威力業務妨害は50万円以下の罰金なので逮捕要件に該当します。
その間に検察官は裁判官に拘留請求を行い、必要 [e-gov.go.jp]と認められれば拘置所に拘留されることになります。その後、実際に起訴されれば裁判、という順番になります。
本来であれば拘留決定に伴って警察署の留置所から法務省管轄の拘置所へ移されなければならないのですが、現在の日本には代用監獄制度というありがたーい制度があって、警察署の留置所が拘置所の代わりとして使用できたりします。
警察署の留置所にぶち込まれて、弁護士との接見も制限されて、取調室で警察官に執拗に尋問される、というのが日本の刑事訴訟の典型だったり……。
Nullius addictus iurare in verba magistri
Re:ムリじゃなくても (スコア:1)
以下、田宮 裕著「刑事訴訟法[新版]」pp.74-75
ここでいう「規」は刑事訴訟規則 [courts.go.jp]です。
Re:不正アクセス禁止法? (スコア:1)
欠陥のあるスクリプト経由で任意のファイルが読み出せることを
サーバ管理者に連絡する以前に公の場で紹介して晒し者にしていたことは
不正アクセス行為を助長する行為にあたるのではないでしょうか。
Re:不正アクセス禁止法? (スコア:3, 興味深い)
少なくとも不正アクセス禁止法に定めるところの
一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
には当てはまりません。だって、アクセス制御機能(特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている機能であって、当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号(識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。次条第二項第一号及び第二号において同じ。)であることを確認して、当該特定利用の制限の全部又は一部を解除するもの)が関係しないから。
前のストーリーにも書いたけど、これが該当するなら
「ftpでのアクセスにはパスワードかけてあるのに、httpでアクセスされた! これは不正アクセスだ!」という主張がまかり通ることになっちゃいます。
やったことが正しかったとは言わないけれど、違反している法律はこれじゃないと思うんですが。
Re:不正アクセス禁止法? (スコア:1)
httpで個人情報ファイルの格納されている直接のアドレスを指定しただけでは権限がないのでアクセスできません。
従ってユーザ権限で動作するCGI経由で、想定していなかった任意のファイルにもアクセス可能になってしまうという
セキュリティホールをついて個人情報を盗んだのであって、なりすましの一つでもあるわけですし、
またこの不正アクセスの手法について実例を用いて公の場で発表したのですから幇助の可能性もありますね。
Re:不正アクセス禁止法? (スコア:2, すばらしい洞察)
ftp://example.com/home/user/naisyo.dat
にアクセスするのは権限がなくてできないけれども、
http://example.com/~user/naisyo.dat
ならアクセスできる、
というのと、何が違うんですか?
なりすましかどうかは問題じゃないんです。
法律上問題になるのは「パスワードによって保護されているかどうか」の一点であり、今回のセキュリティホールはパスワードによって保護されているところをこじ開けたものではないわけです。
だから、不正アクセス禁止法では挙げられないでしょ、と。
Re:不正アクセス禁止法? (スコア:1)
http://example.com/~user/naisyo.dat
でも外部からは権限がないので直接アクセスできず403が返ってくるファイル。
だから河合は
を
のようにわざわざ書き換えて保存したページからCGIを呼び出していたのよ。
Re:不正アクセス禁止法? (スコア:2, 参考になる)
利用できないタグのはずなのに。
エラーの時に
http://example.com/~user/error.html
が表示されるようになっていたが
http://example.com/~user/naisyo.dat
はそのままWWWブラウザに入力しても表示できない。
この時、
<input type=”hidden” name=”open” value=”error.html”>を
<input type=”hidden” name=”open” value=”naisyo.dat”>
のようにわざわざ書き換えてローカル保存したページからCGIを呼び出して実行させたのでnaisyo.datを読めたわけです。
Re:不正アクセス禁止法? (スコア:1)
ftp://example.com/home/user/naisyo.dat
はエラーを吐かれて見れない。だからわざわざ
http://example.com/~user/naisyo.dat
に書き換えたんだ、という状況と何が違うんですか? と聞いてるんです。
あるいはこれが逆でもいいです。
護りたいファイルをdocumentrootの外に置いて安全だとしていたら、実は何の設定ミスかanonymous ftpでルートから入れた。
ftp://example.com/data/naisyo.dat でアクセスできてしまった。
これは不正アクセスですか?
Re:不正アクセス禁止法? (スコア:2, 興味深い)
> これは不正アクセスですか?
あの法律が出来た時って、そう言った奴は取り締まらないような話が有った気がします。
ちなみに、不正アクセスであっても「故意性」がない「過失」ならば刑事罰を科すのは無理なはず。
俺はやはり公開した行為が「何で公開したの?」という話から、公開する目的で不正アクセスを行ったと言う展開なんだと思う。
俺の曖昧な記憶では、
相談したいが、自分の情報が漏れないか心配なのでhtmlのソースを見たら穴がありそうだったので確認のために試しすとか、そう言った行為まで禁止するのではないと言う捉え方をしていました。
>ACCSは研究員の逮捕について、「CGIの脆弱性を指摘することについては、セキュアなネットワーク社会を構築するために有用な側面もあると考えます。しかし、セキュリティとは本来、個人情報など重要な情報を保護するという目的のために存在する『手段』であり、今回のこの男性の行為は、手段のために目的を犠牲としたもので、本末転倒と言わざるをえません」とコメントしている。
http://www.itmedia.co.jp/news/articles/0402/04/news020.html
と言っている点からも、個人情報の公開などの行為がある以上、それが目的だとしか思えず。
目的がそこにある以上、不正アクセス禁止法の趣旨に一致すると言う判断なんじゃ?
Re:不正アクセス禁止法? (スコア:1)
googleのページからでなく、ローカルにタグを書き換えたページからアクセス、あるいはそれに相当するのを生成するプログラム経由でアクセスしたらだめですか。。
Re:不正アクセス禁止法? (スコア:0)
ことごとく立件が難しいとなれば、ハードな取調べになることが予想される