この解釈では、例えばnamedの脆弱性を突いてシェルを実行し、リモートからログインした場合には、不正アクセス禁止法違反の罪に当たる可能性があります。つまり、一般に、ネットワークから認証を受けてアクセスできる誰かの権限でリモートから実行可能なシェルの類を実行できる状態とすれば、同法違反の罪に当たる可能性はあります。
一方、Windows NT 4.0上において、システムアカウントで動作するSQL Serverの脆弱性を突いて同アカウントで動作するシェルにリモートでアクセスできる状態にしたときは、ネットワークからシステムアカウントでログオンすることができず、またAdministratorsグループのアカウントも含めどのアカウントとも権限の内容が異なることから、同法違反の罪には当たらない可能性があるということになります。
不正アクセスだろうが何だろうが (スコア:1, 興味深い)
外部に公開すべきでない情報を保護するための技術的に妥当な
対策を引き続き怠らぬようお願いしたい。
不正アクセスであろうが何だろうが、漏洩した情報をすべて
回収できるようになった訳ではありませんので。
Re:不正アクセスだろうが何だろうが (スコア:3, おもしろおかしい)
Re:不正アクセスだろうが何だろうが (スコア:3, 興味深い)
今回、ここがもっとも判らない所
httpでのアクセス経路にてデーターが取り出されて居るのだから、httpでのアクセスに対して、アクセス制限がかけられて居たかどうかを証明し、判断するのが普通だと思うのに
なんか肩すかし食らってるようにしか思えないですよね
裁判官に知識が無いのがいけないのか、弁護人が説明できなかったのか、それとも検事がうまかったのか..
いったい何が起こったのだろう(苦笑)
Re:不正アクセスだろうが何だろうが (スコア:5, 参考になる)
|
|番台で女性かどうかチェック
|
女風呂+女体(個人情報)
| ↑
塀 |風呂桶(cgi)を積み重ね(パラメータ改変)て塀の上から覗いた
| |
男風呂+何かの花園(httpで閲覧可能なもの)
↑
|番台で男性かどうかチェック
|
男風呂の入り口(http)
「風呂桶が積み重ねられるのが問題」とか「塀の上に何も無いんだから覗かれて当然」とか言われても・・・ねぇ?
Re:だからって… (スコア:1, おもしろおかしい)
ちょっとヤンチャ過ぎたなって、今じゃ恥ずかしい気持ちです。
結局、私が風呂桶を積み重ねる人間が出ないように見張る事で
民事レベルでは決着したわけですが。
でも、「オナゴの肌を銭湯代だけで見たこと」が悪いのではなく
「風呂桶を積み重ねたのが悪い」って罪状で刑事罰を受けるのは
乙女に失礼だし、積み重ねた風呂桶に乗る事、それ自体には
何段積み重ねたらアウトと言う線引きが無いじゃないですか?
Re:不正アクセスだろうが何だろうが (スコア:1)
たとえば・・・
貸金庫会社が顧客から物を預かっていた。
金庫には入り口が二つあり、正面の入り口は鍵がかかっていた。
でも裏口には鍵がかかっていなかった。
Aさんはその事実を把握し、貸金庫会社に何度も警告した
しかし会社は無視し続けた。
Aさんはむかついたので盗みを実行した。
犯人はもちろん罰せられるけども、警告を送りつけられていたのに無視し続けていた会社にも過失があるように見えるが、さて…
Re:不正アクセスだろうが何だろうが (スコア:0)
どう考えても。
Re:不正アクセスだろうが何だろうが (スコア:0)
Re:不正アクセスだろうが何だろうが (スコア:0)
誰も塀なんか設けてなかったですよ。開けっ放しだったけど、普段は人が通るようなところではなかった、というだけ。
Re:不正アクセスだろうが何だろうが (スコア:0)
「URL直打ちでダウンロードできました」というのとは違いますよ?
・個人情報はHTTPで閲覧できる場所にはなかった。つまりHTTPからのアクセスに対して制限はかけられていた。
・FTPではIDとパスワードでアクセス制限をかけていた。
・cgiを通すことで初めて誰でもアクセス可能となった。
・ただし、そのcgiもユーザがパラメータを故意に書き換えないと個人情報を閲覧することはできない。
この場合、
Re:不正アクセスだろうが何だろうが (スコア:1)
CGIだろうとHTMLファイルだろうとURLから手で入力した範囲は「URLの直打ち」ですな
どっちもHTTP鯖から引っ張ってるだけだしCGIをたたくのはだめで
HTMLはOKなの?
Re:不正アクセスだろうが何だろうが (スコア:0)
HTTPで閲覧できる場所になかったなら今回のような事件にはなりませんでした。
>・cgiを通すことで初めて誰でもアクセス可能となった。
そのcgiはHTTPでアクセス可能でした。
Re:不正アクセスだろうが何だろうが (スコア:0)
テンプレのページ [geocities.jp]では「通常のhttpd経由のアクセスではこのファイルには到達できなかったと言われています」と書いてあります。
「言われています」なので確定情報ではないですけどね。
で、HTTPDから直接見えるのと見えないのとではどう状況が変わっていたのでしょう?
URL直打ちでファイルにアクセスできたと勘違いしている人が多数いるからこのような状況になっているのだと思いますけど。
で、CGIをかまさないとアクセスできないことに注意してください。
逆に言えばCG
Re:不正アクセスだろうが何だろうが (スコア:0)
繰り返しになりますが、見えなければそもそもこの事件は起こりませんでした。
>公開されているものを使って何をやっても良いと言うおつもりで?
おや、「良い」なんてどこから出してきたんでしょう。勿論そんな事は言
Re:不正アクセスだろうが何だろうが (スコア:0)
HTTPで閲覧できたのはアクセス制限を回避したからであって、
cgiがHTTPでアクセス可能だったかどうかなんて関係ないだろ。
>HTTPで閲覧できる場所になかったなら今回のような事件にはなりませんでした。
そりゃそうだ(w
もっといえば
Re:不正アクセスだろうが何だろうが (スコア:1)
HTTPでファイルを取得したことが問題になってるのに
「HTTPでアクセスできないところにあった」ってのは
問題点を覆してるでしょ?ってことです。
別段人間がってのは問題にもなってないですよ?
どこの裁判の話でしょうか?ぜひ教えてください(w
#713961のACさんにこのいやみも意味わかるかな?難しいかな?
Re:不正アクセスだろうが何だろうが (スコア:0)
>cgiがHTTPでアクセス可能だったかどうかなんて関係ないだろ。
cgiがHTTPでアクセス可能でなければ今回の事件は起きませんってば(笑
とことん馬鹿だなあ。
>そりゃそうだ(w
-中略-
>人間が存在しなければ、今回のような事件にはならなかったよな。
はあ、そうですね。で、それが何か?
ところで、
>>・個人情報はHTTPで閲覧できる場所にはなかった
Re:不正アクセスだろうが何だろうが (スコア:0)
Re:不正アクセスだろうが何だろうが (スコア:0)
攻撃しようが何しようが合法ってことですね。
Re:不正アクセスだろうが何だろうが (スコア:1)
触れていると思いますが。
今回のケースではHTTPでは認証や制御がそもそも行われていなかったという
office氏側は主張に対して、有罪判決の根拠がFTPでは認証も制御もしていた
ので不正アクセスとみなす、という技術者が納得しがたいものであったことが
ここまでコメントが増えている理由の一つかと思います。
少なくとも、制御を行おうという意志が見せてくれればここまで議論になることも
なかったと思うのですが、この程度の書き換えでデータを閲覧できたという事実
から、私には制御を行っているようには見えませんでした。
Re:不正アクセスだろうが何だろうが (スコア:0)
問題は「そのCGIが個人情報にアクセスするために用意されていたわけではなかった」という事を、第三者が(管理者の意図を汲み取って)把握する必要があるのか、と言う点かと。ましてや「ftp で認証がかかっていた」なんて知りようがない。
また今回は POST での取得だったわけですが、
Re:不正アクセスだろうが何だろうが (スコア:0)
>ので不正アクセスとみなす、という技術者が納得しがたいものであったことが
ソースは?
なぜ妄想でそこまで言えるのだろうなぁ……
Re:不正アクセスだろうが何だろうが (スコア:0)
>なぜ妄想でそこまで言えるのだろうなぁ……
あえて聞こう。
君が妄想と断言した理由は?ソースでもあるの?
無駄な質問する前に、このストーリーぐらい読もうな。リンク先も含めて。
Re:不正アクセスだろうが何だろうが(-1,余計なもの) (スコア:0)
妄想とか言う前に、せめて一通りコメント眺めてくれ。
Re:不正アクセスだろうが何だろうが (スコア:0)
件のOffice氏自体がCGIの管理のバグとして
Re:不正アクセスだろうが何だろうが (スコア:0)
>
>誰も塀なんか設けてなかったですよ。開けっ放しだったけど、普段は人が通るようなところではなかった、というだけ。
>
違うだろ。それとも意図的にミスリードさせようとしてる?
開けっ放しだったけど、普通の人が通るようなところではなかった、というだけ。
といった方が正しいと思われ。
Re:不正アクセスだろうが何だろうが (スコア:0)
>
>違うだろ。それとも意図的にミスリードさせようとしてる?
違わない。よってミスリードにもならな
Re:不正アクセスだろうが何だろうが (スコア:0)
|
|番台で女性かどうかチェック
|
女風呂+女体(個人情報)
| ↑
塀 なぜか鏡がハーフミラー(cgi)で顔を近づけ(ファイル指定)ただけで向こうが見える
| |
男風呂+何かの花園(httpで閲覧可能なもの)
↑
|番台で男
Re:不正アクセスだろうが何だろうが (スコア:0)
Re:不正アクセスだろうが何だろうが (スコア:0)
原則として男が入れないところ(入っちゃダメと明示してあるところ)に入ろうとした、見ちゃ行けないところを見ようとしたワケじゃないでしょう? インターネット上にコンピュータ接続するなら、見られたくない側が適切なアクセス制御を施す必要があるでしょ。だってアクセスしてみないとアクセス制御されてるかわかんないし。
/*ポートスキャンは法的にアウトになってたっけ?*/
インターネットは情報を公開するためのものですよ。公開さ
Re:不正アクセスだろうが何だろうが (スコア:3, 興味深い)
「不正アクセス禁止法」(これは通称ですが)という名前にも引きずられたのかもしれませんが、「識別符号」なる概念が基本に置かれる規定振りを見るかぎりでは、この法律の保護する利益範囲はもっと狭く、要するに認証機構が正常に動作することでしょう。とくに3条2項の構成では、1号で他人の識別符号の使用を禁止した後に、問題となった2号が来ているので、他人の識別符号の使用に準じるような形態での「情報(中略)又は指令を入力」することが想定されていると考えるべきです。したがって、ここでいう情報または指令の入力は、なんらかの識別符号を入力した場合と大体において同一の結果をもたらすものであることが必要であると解すべきです。
# この解釈は要するに、おそらく高木説 [takagi-hiromitsu.jp]と結論において同旨となります。
この解釈では、例えばnamedの脆弱性を突いてシェルを実行し、リモートからログインした場合には、不正アクセス禁止法違反の罪に当たる可能性があります。つまり、一般に、ネットワークから認証を受けてアクセスできる誰かの権限でリモートから実行可能なシェルの類を実行できる状態とすれば、同法違反の罪に当たる可能性はあります。
一方、Windows NT 4.0上において、システムアカウントで動作するSQL Serverの脆弱性を突いて同アカウントで動作するシェルにリモートでアクセスできる状態にしたときは、ネットワークからシステムアカウントでログオンすることができず、またAdministratorsグループのアカウントも含めどのアカウントとも権限の内容が異なることから、同法違反の罪には当たらない可能性があるということになります。
この解釈によると、本件では、被告人のした行為による結果として獲得した権限ないし能力は、ftpdでいずれのユーザとしてログインした場合に獲得できるサービスの内容よりもはるかに狭く、任意のユーザとしてログインした場合と結果がほぼ同一とはいえないので、不正アクセス禁止法違反の罪にあたらず、無罪とすべきものと考えられます。
Re:不正アクセスだろうが何だろうが (スコア:0)
「公判では弁護側は、不正アクセス禁止法における「特定電子計算機」とは物理的な計算機を指すものではなく、FTPやHTTPといった個々のプロトコルごとに解釈すべきであるという解釈を示した。これによれば、FTPでIDとパスワードによるアクセス制御を行なっているサーバーに対して、Webでアクセスすることが不正アクセスと捉えるのは誤りであるとして、元研究員の行為は不正アクセスにはあたらないと主張した。
判決ではこの主張に対しては、「特定電子計算
Re:不正アクセスだろうが何だろうが (スコア:1)
一方で、あるネットワークアクセスが、制限を免脱する不正アクセスであるかどうかは、回避された認証機構を通じてそのアクセス対象がアクセスされることにつき
- そのようにしてアクセスされなければならないものと管理者が想定しているか (主観的要件)
- そのようなアクセスが「通常」か (客観的要件)
の2点から判断するという裁判所の「主観的個別対象説」は、逆に処罰範囲が広くなりすぎます。あくまでこの法律は、パスワード破りを処罰することを主眼としたものにすぎないからです。Re:不正アクセスだろうが何だろうが (スコア:0)
>とのことです。裁判所の解釈は明快で至極妥当な解釈であると思います。
明快なように見えて実はさらに問題を複雑にする無理な解釈だと感じ
Re:不正アクセスだろうが何だろうが (スコア:1)
>VMWare等で仮想マシンを多数起動し仮想マシンをレンタルした場合、
>仮想マシンは[特定電子計算機]とは認められないことになってしまいました。
仮想マシンは物理マシン上に存在しないのですか?
永遠に仮想から抜け出れないのならば、夢の中での出来事では?
Re:不正アクセスだろうが何だろうが (スコア:0)
> 意図しないページである可能性があり、被害届が提出された場合には、
>逮捕される可能性があると考えています。
あまりにも極端すぎてありえません。通常のブラウザの動作で
閲覧できるとしたら、それは管理者の重過失であると認められますよね。
Re:不正アクセスだろうが何だろうが (スコア:1)
プロトコルの違いってのは何処で判断したら良いのでしょう。
不正アクセスというのは、既存のプロトコルを利用したものだけでしょうか?
例えば、httpのルールに厳密には従ってない手法で進入した場合、これはhttpとはちがう独自のプロトコルだから、不正アクセスとはならないなんて事になると困る気がします。
Re:不正アクセスだろうが何だろうが (スコア:2, 興味深い)
また、上記規制が有ると判断された上で、httpのルールに反してアクセスされたと言う事が判断され有罪となったのなら問題無いでしょう。
今回、httpとは別にftp用で公開しているアクセスポートに対してアクセス規制していれば、http用に公開しているポートにアクセス規制して無くても、それはアクセス規制していることとなると判断されてしまっていると
で本当にそれがhttpに対するアクセス規制と判断されて良いのでしょうか?って事です。
Re:不正アクセスだろうが何だろうが (スコア:1)
Re:不正アクセスだろうが何だろうが (スコア:1)
当然バックドアを仕掛けた人は不正アクセスに問われますが、既に仕掛けられている物に対しては今の法案だと問えなくなるでしょう
でそれはまずいから今回も違法としたいとなるのかもしれませんが
厳密には、バックドアを仕掛けられた場合を考慮していない法律に穴が有るのがまずいんですよね
なおかつ本件の場合、管理者が想定したプロトコルでアクセスしておりバックドアに対するアクセスでは無いのに、その事象を考慮するために有罪と言う点はなんとも納得いかないかと
無論これがバックドアを使用したアクセスであると言う事例であったのであれば、裁判官の判断の考慮が発生すると言う事もある程度は許容できると思うのですが...
Re:不正アクセスだろうが何だろうが (スコア:1)
> 不正アクセスにはならなくなってしまいませんか?
それで良いんじゃないでしょうか?
ウィルスやワーム等を飼っているマシンに侵入された場合
不正アクセス禁止法に問えない、となれば
出鱈目サーバー管理者も、自サーバーのセキュリティに気をつけざるを得ないでしょう。
その方が社会的に余程有益だと思いますが…
Re:不正アクセスだろうが何だろうが (スコア:0)
Re:不正アクセスだろうが何だろうが (スコア:1)
そのざる状態でも規制がかかっていたと言う事に判断されたのなら
まだ納得はいくんですけど、その辺が証明されていないのでは?と
Re:不正アクセスだろうが何だろうが (スコア:0)
改札で有人ゲートが閉じてるとき、
自動改札を通ったら不正乗車になってしまいますね。
Re:不正アクセスだろうが何だろうが (スコア:0)
>
>改札で有人ゲートが閉じてるとき、
>自動改札を通ったら不正乗車になってしまいますね。
あなたが実は全く理解せずに書き込んで
Re:不正アクセスだろうが何だろうが (スコア:1)
ご注意
このHPはFTPにより制限されています。
接続されたい方は事前に電話、FAX等で確認後これからアクセスする経路を申請、許可を受けた後閲覧してください。
不正接続があった場合刑事事件として起訴されます。
なお、このページ見ている段階であなたは不正アクセスですので起訴されました。警察の到着までお待ちください。
Re:不正アクセスだろうが何だろうが (スコア:2, 興味深い)
というわけで最近話題の 受け入れテストセキュリティチェックリスト for WEBアプリケーション [geocities.jp]というのはいかがでしょう。
このくらいは当たり前で最低線?それともいい線いってるのでしょうか? 技術者向けじゃなくて、発注企業側向けのこの手の参考書籍ってあっても良いように思います。
といいつつ自分自身はこの辺はさっぱりなんで、エロい方の突っ込み、参考図書紹介などお願いします。
Re:不正アクセスだろうが何だろうが (スコア:2, 参考になる)
内容としては最低限この程度はクリアしないと守ってるとは言えませんよというほど、基本的なものです。今回の事件も最低限すら守っていなかったために発生したものですから技術屋さんとしては恥ずかしいと思わないといけない程度のレベルのものです。
確かにどの程度のチェックをやってれば安全だよと言う指針がないので受け入れテストをやる側も知らないといけないよねっていうことで皆さんの協力を得て最低限のレベルのものを作ったものです。
発注側企業向けの資料は今のところないですが、AppScan、WebInspect、ScanDoといったツールを使えばこの程度のチェックはやってくれます。もっともこれらツールのチェックを通ったから安心だと言えないんですけど…抜け道はいくつかありますから。
Re:不正アクセスだろうが何だろうが (スコア:1)
なるほど、あくまでも基本的な物なのですね。まさか、そんなポカはやってないよね的な。
WEBアプリって発注する側は気楽に頼んじゃう傾向あるし、大手に頼んでもつくるのは孫請けだったりするだろうし、この手のリストがあることはとっても有用だと思います。ただ、発注企業側にこういう話を浸透させるのは難しいだろうなぁ。ううむ
Re:不正アクセスだろうが何だろうが (スコア:0)
えっと、単に「お願い」だけされても…
その技術力を継続的に維持し、強い倫理観をもって