アカウント名:
パスワード:
>これって不正アクセス禁止法にはどう考えても該当しないと思うんですが、どうなんでしょうね。
まず、不正アクセス禁止法では「不正アクセス行為」として第三条の2の二で
アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
次にアクセスパスの方ですが、実際にどのような形でアクセスして情報を引き出したのかがわからないので一般論ですが、良くある主張で「URLをちょっと書換えただけでは不正アクセスにはならない」というのがありますが、これは常に真ではありません。 たとえばhttp://user:pass@sample.com/という形で他人の識別符号を用いてアクセスすれば不正なのは明らかです。 あまり褒められた方法ではないですが、http://sample.com/login.cgi?ID=user&Pass=passという形であっても同様です。 一方でhttp://sample.com/とアクセスするのは不正ではないというのも明らかです。 となれば、URLを書換えた場合に不正となるかどうかというのは、この2者の間にあるグレーゾーンのどこからが不正で、どこからが合法かという事になるのですが、最終的には公知性と犯意の有無によって裁判所が判断する事になるでしょう。 公知性というのは、たとえばhttp://sample.com/foo/barというURLがhttp://sample.com/からリンクされているなどの場合。 また、最後のbarを削ってfoo/とすればディレクトリのリストが見える事が多々あるというのも公知の事実ですから、http://sample.com/foo/へアクセスする事。 またそのようなアクセスの結果ディレクトリリストが出てきて、そこに列挙されたファイルをアクセスする事。 これらは公知のものとなる可能性が高いでしょう。実際TBCの件なんかは公知の手段でのアクセスなので立件が無理という判断のようですし。
では、たとえば最後のbarをbazと書換えたら公開されていないはずのデータが取れてしまった場合等はどうなるかというと、こちらは犯意の有無が問題となってくるでしょう。 技術面だけを見る人は「同じ形であれば同じ結果(処分)にならないとおかしい」と考える人が多いですが、法律の世界では「犯意」が大きく結果を分けます。 たとえば料理をするために包丁を持っていて、振り返ったら人がいて刺し殺してしまった場合は「過失致死」ですが、そこに人がいる事を知って殺そうと思って刺せば「殺人」です。
今回の場合はどのような結果になるかはわかりませんが、現時点で「明白に白」とも「明白に黒」とも(少なくとも外野の我々は)言えません。 言える事は「不正アクセス禁止法に該当する場合もあり得る」という事。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
不正アクセス禁止法? (スコア:1)
法文って難しくてよく読みこなせないんですが、パスワードなどのアクセス制御機構が存在してない場合、適用は無理としか思えません。
Re:不正アクセス禁止法? (スコア:3, 参考になる)
>これって不正アクセス禁止法にはどう考えても該当しないと思うんですが、どうなんでしょうね。
まず、不正アクセス禁止法では「不正アクセス行為」として第三条の2の二で
と定義しています。(括弧内で識別符号であるものを除いているのは、識別符号の不正利用は第三条の2の一で定義しているから)
ここで要件となっているのは「該当計算機がアクセス制御機能を持っている事」であって、アクセスパス自体にアクセス制御機能を持っている事は必要ありません。
そうでないと、たとえばMTAのバッファオーバーフローを使ってバックドアを開けるという行為を「不正アクセス」とはできなくなってしまいます。(MTAではinboundに付いてはアクセス制御されていないのが一般的ですから)
ですから、ACCSの件でも、該当データがFTPなりtelnetなりsshなりでアクセス制御された領域にあれば要件を満たします。
次にアクセスパスの方ですが、実際にどのような形でアクセスして情報を引き出したのかがわからないので一般論ですが、良くある主張で「URLをちょっと書換えただけでは不正アクセスにはならない」というのがありますが、これは常に真ではありません。
たとえばhttp://user:pass@sample.com/という形で他人の識別符号を用いてアクセスすれば不正なのは明らかです。
あまり褒められた方法ではないですが、http://sample.com/login.cgi?ID=user&Pass=passという形であっても同様です。
一方でhttp://sample.com/とアクセスするのは不正ではないというのも明らかです。
となれば、URLを書換えた場合に不正となるかどうかというのは、この2者の間にあるグレーゾーンのどこからが不正で、どこからが合法かという事になるのですが、最終的には公知性と犯意の有無によって裁判所が判断する事になるでしょう。
公知性というのは、たとえばhttp://sample.com/foo/barというURLがhttp://sample.com/からリンクされているなどの場合。
また、最後のbarを削ってfoo/とすればディレクトリのリストが見える事が多々あるというのも公知の事実ですから、http://sample.com/foo/へアクセスする事。
またそのようなアクセスの結果ディレクトリリストが出てきて、そこに列挙されたファイルをアクセスする事。
これらは公知のものとなる可能性が高いでしょう。実際TBCの件なんかは公知の手段でのアクセスなので立件が無理という判断のようですし。
では、たとえば最後のbarをbazと書換えたら公開されていないはずのデータが取れてしまった場合等はどうなるかというと、こちらは犯意の有無が問題となってくるでしょう。
技術面だけを見る人は「同じ形であれば同じ結果(処分)にならないとおかしい」と考える人が多いですが、法律の世界では「犯意」が大きく結果を分けます。
たとえば料理をするために包丁を持っていて、振り返ったら人がいて刺し殺してしまった場合は「過失致死」ですが、そこに人がいる事を知って殺そうと思って刺せば「殺人」です。
今回の場合はどのような結果になるかはわかりませんが、現時点で「明白に白」とも「明白に黒」とも(少なくとも外野の我々は)言えません。
言える事は「不正アクセス禁止法に該当する場合もあり得る」という事。
Re:不正アクセス禁止法? (スコア:1)
- そもそもそんなものネットを経由したアクセス制御下に置くべきものなのか。
- httpdサーバとファイル管理サーバを切り離してLANで繋いでおかなけりゃいけないのかor件のファイルはLAN経由で操作するようにしていなければいけないのか
- 直感的には「そんなバカな」なんだが、だったらだったで「特定利用」をネット経由に限っている意味が分からなくなる
てなところで、「電気ドロ判例」並みのヤラシイ判例が出てくるのもなんだかなあ。と思いますです。#俺がこの仕事するんだったらそうするけどね。
Re:不正アクセス禁止法? (スコア:1)