パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ACCS事件でoffice氏に有罪判決」記事へのコメント

  • by Anonymous Coward
    サーバ管理者各位にはこの判決にかかわらず個人情報を含め
    外部に公開すべきでない情報を保護するための技術的に妥当な
    対策を引き続き怠らぬようお願いしたい。

    不正アクセスであろうが何だろうが、漏洩した情報をすべて
    回収できるようになった訳ではありませんので。
    • 外部に漏らしたくない情報がある鯖にはFTP入れたんで対処完了!!
      • アクセス経路がhttpなのに、なんでftpで規制かけてるとOKなんでしょうね
        今回、ここがもっとも判らない所
        httpでのアクセス経路にてデーターが取り出されて居るのだから、httpでのアクセスに対して、アクセス制限がかけられて居たかどうかを証明し、判断するのが普通だと
        • by gnaka (17369) on 2005年03月25日 18時56分 (#713944) 日記
           この判決の背景には、この法律の目的ないし保護する利益は、ネットワークに接続されたコンピュータが、管理者が許可を与えた範囲でのみ第三者がそのコンピュータにアクセスできることである、との誤解があるように思えます。

           「不正アクセス禁止法」(これは通称ですが)という名前にも引きずられたのかもしれませんが、「識別符号」なる概念が基本に置かれる規定振りを見るかぎりでは、この法律の保護する利益範囲はもっと狭く、要するに認証機構が正常に動作することでしょう。とくに3条2項の構成では、1号で他人の識別符号の使用を禁止した後に、問題となった2号が来ているので、他人の識別符号の使用に準じるような形態での「情報(中略)又は指令を入力」することが想定されていると考えるべきです。したがって、ここでいう情報または指令の入力は、なんらかの識別符号を入力した場合と大体において同一の結果をもたらすものであることが必要であると解すべきです。

          # この解釈は要するに、おそらく高木説 [takagi-hiromitsu.jp]と結論において同旨となります。

           この解釈では、例えばnamedの脆弱性を突いてシェルを実行し、リモートからログインした場合には、不正アクセス禁止法違反の罪に当たる可能性があります。つまり、一般に、ネットワークから認証を受けてアクセスできる誰かの権限でリモートから実行可能なシェルの類を実行できる状態とすれば、同法違反の罪に当たる可能性はあります。
           一方、Windows NT 4.0上において、システムアカウントで動作するSQL Serverの脆弱性を突いて同アカウントで動作するシェルにリモートでアクセスできる状態にしたときは、ネットワークからシステムアカウントでログオンすることができず、またAdministratorsグループのアカウントも含めどのアカウントとも権限の内容が異なることから、同法違反の罪には当たらない可能性があるということになります。

           この解釈によると、本件では、被告人のした行為による結果として獲得した権限ないし能力は、ftpdでいずれのユーザとしてログインした場合に獲得できるサービスの内容よりもはるかに狭く、任意のユーザとしてログインした場合と結果がほぼ同一とはいえないので、不正アクセス禁止法違反の罪にあたらず、無罪とすべきものと考えられます。
          親コメント
          • なにか勘違いをしておられるようですが ITMediaの記事 [impress.co.jp]によると、

            「公判では弁護側は、不正アクセス禁止法における「特定電子計算機」とは物理的な計算機を指すものではなく、FTPやHTTPといった個々のプロトコルごとに解釈すべきであるという解釈を示した。これによれば、FTPでIDとパスワードによるアクセス制御を行なっているサーバーに対して、Webでアクセスすることが不正アクセスと捉えるのは誤りであるとして、元研究員の行為は不正アクセスにはあたらないと主張した。

             判決ではこの主張に対しては、「特定電子計算
            •  判決は「独自のプロトコルを備えたウイルスプログラムなどをサーバーに送り込み、そのプロトコルを利用してサーバーに侵入するといった行為を罰することができなくなる」といっていますが、私見によれば、このような不都合は起こりません。プロトコル毎にその認証機構を回避したかどうかを判断することを主張するものでないからです。このような「個別プロトコル説」は、処罰範囲が狭くなりすぎると思います。

               一方で、あるネットワークアクセスが、制限を免脱する不正アクセスであるかどうかは、回避された認証機構を通じてそのアクセス対象がアクセスされることにつき
              1. そのようにしてアクセスされなければならないものと管理者が想定しているか (主観的要件)
              2. そのようなアクセスが「通常」か (客観的要件)
              の2点から判断するという裁判所の「主観的個別対象説」は、逆に処罰範囲が広くなりすぎます。あくまでこの法律は、パスワード破りを処罰することを主眼としたものにすぎないからです。
              親コメント
            • >判決ではこの主張に対しては、「特定電子計算機をプロトコルごとに解釈すべきであるという根拠はない」として弁護側の解釈を否定。また、「このような解釈を採用した場合、独自のプロトコルを備えたウイルスプログラムなどをサーバーに送り込み、そのプロトコルを利用してサーバーに侵入するといった行為を罰することができなくなる」として、法律の特定電子計算機とは物理的なコンピュータそのものだと解釈すべきであるとの見解を示した。 」

              >とのことです。裁判所の解釈は明快で至極妥当な解釈であると思います。

              明快なように見えて実はさらに問題を複雑にする無理な解釈だと感じ
              • >[特定電子計算機]は、物理的コンピュータそのものをさすということなので
                >VMWare等で仮想マシンを多数起動し仮想マシンをレンタルした場合、
                >仮想マシンは[特定電子計算機]とは認められないことになってしまいました。

                仮想マシンは物理マシン上に存在しないのですか?
                永遠に仮想から抜け出れないのならば、夢の中での出来事では?
                親コメント
              • > 私がいま閲覧しているページが、実は管理者が閲覧されることを
                > 意図しないページである可能性があり、被害届が提出された場合には、
                >逮捕される可能性があると考えています。

                あまりにも極端すぎてありえません。通常のブラウザの動作で
                閲覧できるとしたら、それは管理者の重過失であると認められますよね。
            • >独自のプロトコルを備えたウイルスプログラムなどをサーバーに送り込み、
              >そのプロトコルを利用してサーバーに侵入するといった行為を罰することができなくなる

              そのバックドアを仕込んだ時点で別の法律に引っかかるんではないだろうか
              敢えて不正アクセス~を適用しようとすると、管理者が制限していると思っていれば制限されて
              • >バックドアを仕込んだ時点で別の法律に引っかかるんではないだろうか

                別のツリーでも言われてますが、その考えだけでは”他人が仕込んだバックドアに便乗して侵入する人”に対応できないんです。

人生unstable -- あるハッカー

処理中...