この解釈では、例えばnamedの脆弱性を突いてシェルを実行し、リモートからログインした場合には、不正アクセス禁止法違反の罪に当たる可能性があります。つまり、一般に、ネットワークから認証を受けてアクセスできる誰かの権限でリモートから実行可能なシェルの類を実行できる状態とすれば、同法違反の罪に当たる可能性はあります。
一方、Windows NT 4.0上において、システムアカウントで動作するSQL Serverの脆弱性を突いて同アカウントで動作するシェルにリモートでアクセスできる状態にしたときは、ネットワークからシステムアカウントでログオンすることができず、またAdministratorsグループのアカウントも含めどのアカウントとも権限の内容が異なることから、同法違反の罪には当たらない可能性があるということになります。
不正アクセスだろうが何だろうが (スコア:1, 興味深い)
外部に公開すべきでない情報を保護するための技術的に妥当な
対策を引き続き怠らぬようお願いしたい。
不正アクセスであろうが何だろうが、漏洩した情報をすべて
回収できるようになった訳ではありませんので。
Re:不正アクセスだろうが何だろうが (スコア:3, おもしろおかしい)
Re:不正アクセスだろうが何だろうが (スコア:3, 興味深い)
今回、ここがもっとも判らない所
httpでのアクセス経路にてデーターが取り出されて居るのだから、httpでのアクセスに対して、アクセス制限がかけられて居たかどうかを証明し、判断するのが普通だと
Re:不正アクセスだろうが何だろうが (スコア:3, 興味深い)
「不正アクセス禁止法」(これは通称ですが)という名前にも引きずられたのかもしれませんが、「識別符号」なる概念が基本に置かれる規定振りを見るかぎりでは、この法律の保護する利益範囲はもっと狭く、要するに認証機構が正常に動作することでしょう。とくに3条2項の構成では、1号で他人の識別符号の使用を禁止した後に、問題となった2号が来ているので、他人の識別符号の使用に準じるような形態での「情報(中略)又は指令を入力」することが想定されていると考えるべきです。したがって、ここでいう情報または指令の入力は、なんらかの識別符号を入力した場合と大体において同一の結果をもたらすものであることが必要であると解すべきです。
# この解釈は要するに、おそらく高木説 [takagi-hiromitsu.jp]と結論において同旨となります。
この解釈では、例えばnamedの脆弱性を突いてシェルを実行し、リモートからログインした場合には、不正アクセス禁止法違反の罪に当たる可能性があります。つまり、一般に、ネットワークから認証を受けてアクセスできる誰かの権限でリモートから実行可能なシェルの類を実行できる状態とすれば、同法違反の罪に当たる可能性はあります。
一方、Windows NT 4.0上において、システムアカウントで動作するSQL Serverの脆弱性を突いて同アカウントで動作するシェルにリモートでアクセスできる状態にしたときは、ネットワークからシステムアカウントでログオンすることができず、またAdministratorsグループのアカウントも含めどのアカウントとも権限の内容が異なることから、同法違反の罪には当たらない可能性があるということになります。
この解釈によると、本件では、被告人のした行為による結果として獲得した権限ないし能力は、ftpdでいずれのユーザとしてログインした場合に獲得できるサービスの内容よりもはるかに狭く、任意のユーザとしてログインした場合と結果がほぼ同一とはいえないので、不正アクセス禁止法違反の罪にあたらず、無罪とすべきものと考えられます。
Re:不正アクセスだろうが何だろうが (スコア:0)
「公判では弁護側は、不正アクセス禁止法における「特定電子計算機」とは物理的な計算機を指すものではなく、FTPやHTTPといった個々のプロトコルごとに解釈すべきであるという解釈を示した。これによれば、FTPでIDとパスワードによるアクセス制御を行なっているサーバーに対して、Webでアクセスすることが不正アクセスと捉えるのは誤りであるとして、元研究員の行為は不正アクセスにはあたらないと主張した。
判決ではこの主張に対しては、「特定電子計算
Re:不正アクセスだろうが何だろうが (スコア:1)
一方で、あるネットワークアクセスが、制限を免脱する不正アクセスであるかどうかは、回避された認証機構を通じてそのアクセス対象がアクセスされることにつき
- そのようにしてアクセスされなければならないものと管理者が想定しているか (主観的要件)
- そのようなアクセスが「通常」か (客観的要件)
の2点から判断するという裁判所の「主観的個別対象説」は、逆に処罰範囲が広くなりすぎます。あくまでこの法律は、パスワード破りを処罰することを主眼としたものにすぎないからです。Re:不正アクセスだろうが何だろうが (スコア:0)
>とのことです。裁判所の解釈は明快で至極妥当な解釈であると思います。
明快なように見えて実はさらに問題を複雑にする無理な解釈だと感じ
Re:不正アクセスだろうが何だろうが (スコア:1)
>VMWare等で仮想マシンを多数起動し仮想マシンをレンタルした場合、
>仮想マシンは[特定電子計算機]とは認められないことになってしまいました。
仮想マシンは物理マシン上に存在しないのですか?
永遠に仮想から抜け出れないのならば、夢の中での出来事では?
Re:不正アクセスだろうが何だろうが (スコア:0)
> 意図しないページである可能性があり、被害届が提出された場合には、
>逮捕される可能性があると考えています。
あまりにも極端すぎてありえません。通常のブラウザの動作で
閲覧できるとしたら、それは管理者の重過失であると認められますよね。
Re:不正アクセスだろうが何だろうが (スコア:0)
>そのプロトコルを利用してサーバーに侵入するといった行為を罰することができなくなる
そのバックドアを仕込んだ時点で別の法律に引っかかるんではないだろうか
敢えて不正アクセス~を適用しようとすると、管理者が制限していると思っていれば制限されて
Re:不正アクセスだろうが何だろうが (スコア:0)
別のツリーでも言われてますが、その考えだけでは”他人が仕込んだバックドアに便乗して侵入する人”に対応できないんです。