アカウント名:
パスワード:
いや、検察もできることなら「個人情報保護法」でなんとかしたいところでしょうけど、事件が起こったのは施行前だから、仕方がなく別件起訴したという風に解釈してます。
#法に詳しい人ツッコミお願いします。
(「立法当時は現規定でよかったけれど、今は直さないとヤバイ」ということを定性的に説明できないので、内閣提出法案で直すことはほぼ不可能)
引き出された個人情報の載ったファイルは、正規にログインが必要な手段を終えた後に、アクセスされる事を前提としていたのだから
officeは悪いことをしたとは思いますがそれが「不正アクセス法」で罰せられるべきとは思えない。というか思えなかった。でも確定したならしょうがないかなぁ。
つまり、検索エンジンから飛んだサーバのファイルを見ただけで、 「トロイの作ったバックドアを利用してファイルを盗み出された。 これは不正アクセスであり、犯罪である」となるからです。
「検索エンジン」の部分を「2chへの書き込み」に置き換え
自分の個人情報を預けたサーバがお題目で「セキュリティチェック」と言いさえすればアタック自由だし、それで実際に情報を漏らしても当事者はお咎め無しってのは、それはそれでイヤンな世界だと思うのですが。
問題行動を取る人間への抑止力は、無いよりはあった方が良いでしょ? でも、それはサーバ側での改善をしない事を意味している訳では無い。 特に今回の裁判は刑事ですから、犯罪行為それ自体を問題にしている訳ですし。
#いい加減、Office氏の問題行為とサーバのセキュリティ問題を必要以上に混同して考えるのは止めて欲しい。 #セキュリティは向上させねばならないけど、問題行動も又、防がねばならないもん。 #本来は関係ない双方を相対方向で連動させて考えるのが間違いの元。
ちょっとマテ。 「Officeが悪い」って言っているだけで「ACCSは悪くない」と言っている訳では無いと思うのだが? そこで勝手に「ACCSは悪くない」って「自分自身で勝手に付けている」から
>というのはどうかと。
って成るだけじゃないかい?
#あと行為的に「悪い」と道義的に「悪い」ってのも同じものでは無いし。
「個人情報を公開したOffice氏は悪い」>> 「Office氏よりもまともな管理をしなかったACCSの方が悪い」>> 「ACCSの方が悪いのだからOffice氏は悪くない」
という珍妙な判断がオカシイと言う事で。
実は単に試しただけだ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
うーん (スコア:1, 興味深い)
Re:うーん (スコア:2, すばらしい洞察)
罪状が『不正アクセス』なために「urlを削っただけで不正アクセスなんて。」と感じますが、無罪で争うのは苦しいのでは。
Re:うーん (スコア:2, 興味深い)
いや、検察もできることなら「個人情報保護法」でなんとかしたいところでしょうけど、事件が起こったのは施行前だから、仕方がなく別件起訴したという風に解釈してます。
#法に詳しい人ツッコミお願いします。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:うーん (スコア:2, すばらしい洞察)
法整備されていないのは問題ですが、それを別件逮捕で何とかするのは禁じ手です。
別件逮捕である事が明白なのに、有罪と判決するのはもっといけません。
こんな事をやってると立法の意味が無くなってしまいます。
現場が暴走する元となる可能性もあります。
Re:うーん (スコア:1)
ACCSは個人情報保護法で罰せられないの??と思ってたが根本的に判ってなかったわい。
となるとやっぱり別件逮捕になるのかなぁ?起訴まで持っていった理由が「個人情報を晒した」ことにあるのは見え見えということは。
(アクセスしたことがlogから発見されたのでは起訴はされなかったでしょう。「こうすればアクセスできる」と発表したから起訴までいったと判断してます。)
となると被告側が無罪を取れる可能性も高かったのだろうか?
不正アクセス防止法の主旨からすれば、別件逮捕というよりはザル法で何とか引っ掛けたというところか?
Re:うーん (スコア:1, 参考になる)
個人情報保護法を元に罰することができるのは、あくまで個人情報取扱事業者とかその代表者を罰するのであって、罰することができるようになるものも、その事業者が監督庁からの指導(勧告、命令)に従わなかったときです。他にも報告に嘘偽りがあったときとかありますけど。
56条~59条あたりに書いてあります。
したがって、従業員とか盗んだ人に対して、個人情報保護法で直接訴えることはできないはずです。
ただ、いま改定案が作成中で、従業員とかその辺が盛り込まれようとはしているみたいですが。
Re:うーん (スコア:0)
Re:うーん (スコア:0)
Re:うーん (スコア:2, 興味深い)
これは勝手な思い込みだと思います。
> 引き出された個人情報の載ったファイルは、正規にログインが必要な手段を終えた後に、アクセスされる事を前提としていた
この前提としていた、というのが曲者ですね。
何をもって前提としていたといえるのかが、あの裁判でも争点の一つだった気がします。
引数としてファイル名を取るという機能をあえて付けたわけですから
それを明示的に利用すると不正アクセスなのか?という疑問があって当然でしょう。
冒頭の別件逮捕か、というのはやはり別件逮捕ではないでしょうね。
Re:うーん (スコア:3, 参考になる)
・正当な認証情報の盗用
・当該サーバのもつ認証手段の回避
・認証サーバによる認証をスキップして、その後ろのサーバーを利用
の3つを禁じているので、法的には「システム(設定を含む)の脆弱性をワザと突いて使用可能な状態にしたら不正アクセス」ということになります。
#違法行為とすることが適切かどうか、「不正アクセス」という語から一般の人が感じる行為と合致するかは別にして、法解釈的にはそうなる。
なお、「回避したことに気づかなかった(そもそも隠されていることを知らなかった)」りした場合は、一気に解釈が難しくなります。
#例えば、第三者から「これが正しい使い方だ」と言われ、普通に使っていた場合など
で、警察・検察は「違法行為がなされたことを知ってしまったら」捜査する義務があるので、話題になっちゃった以上は、「当該行為が抵触した(ことが証明できたと検察が思った)全ての違法行為」について起訴されるのは必然です。
かつ、法解釈的には正しいので、裁判所が違憲立法審査権を発動しない限り、有罪になるのはほぼ自明だったと思います。
とはいえ、違憲立法審査っていっても、「不正アクセス禁止法が腐っているか」ではなく、「憲法に違反するか」の審査なので、違憲判決がでることはまず有り得ないです。
というわけで、「どんな規定が適当なのか」という具体的要件を誰かが考えて、議員立法でもしないかぎり、このまんまだと思います。
(「立法当時は現規定でよかったけれど、今は直さないとヤバイ」ということを定性的に説明できないので、内閣提出法案で直すことはほぼ不可能)
Re:うーん (スコア:0)
Re:うーん (スコア:0)
#具体的には最高裁判所国民審査で全部×とか
Re:うーん (スコア:2, 参考になる)
officeは悪いことをしたとは思いますがそれが「不正アクセス法」で罰せられるべきとは思えない。というか思えなかった。でも確定したならしょうがないかなぁ。
Re:うーん (スコア:1, おもしろおかしい)
#DDoSその他はどう解釈しようか。
Re:うーん (スコア:3, すばらしい洞察)
自分が送り込んだマシンコードを実行させるだけなんですけどね。
その場合はプログラムやスクリプトに記述されていない処理が実行されますね。
だから、第三条第2項二号もしくは三号違反が明らかで、結構分かりやすいです。
しかしこの事件の場合は、わざわざ組み込まれた機能によって実行された処理が問題となっていますね。
ここで大きく問題となるのは、その機能を管理者等の意図しない方法で使用することが
「その制限されている特定利用をし得る状態にさせる行為」
と言えるか、という点です。
既にそのような状態になっていたのであって、し得る状態にさせたのは
そのプログラム等の製作者では?というようにも考えられるわけです。
(裁判でもそれが主な争点だったはず)
そのようなしうる状態になっているものを悪用することを犯罪とすべきなのか?
という点について、私は現行法の元では有罪とすべきではない、と考えています。
さらに、製作者のミス等ではなく、トロイの設置したバックドアの場合であっても、
同様に有罪とすべきではないと考えています。
なぜならば、WebサーバとDDNSクライアントをインストールし、
全HDを認証無しで公開し、検索エンジンやブログ等にURLを登録するような
トロイが利用可能な状態にしたコンテンツを利用する可能性を否定できないからです。
つまり、検索エンジンから飛んだサーバのファイルを見ただけで、
「トロイの作ったバックドアを利用してファイルを盗み出された。
これは不正アクセスであり、犯罪である」となるからです。
このような事態を想定すると、「犯意の有無」が問題となるわけですが、
現行法ではそれについては触れられていないですよね?
# 法定犯であり自然犯ではないので「犯意の有無」は関係ない、という話もあった気がします
# DoSは威力業務妨害で良いんじゃないでしょうか?
## 無言電話かけまくりも確かそうでしたし
単なる臆病者の Anonymous Cat です。略してACです。
Re:うーん (スコア:0)
「検索エンジン」の部分を「2chへの書き込み」に置き換え
オフトピック (スコア:0)
Re:うーん (スコア:0)
同項は「指令」=バッファオーバーラン等で仕込むプログラム類だけでなく、「情報」=何にでも該当し得る、本件でもURL、も構成要件の1つに入れられているのがクセモノです。
>>つまり、検索エンジンから飛んだサーバのファイルを見ただけで、
>>「トロイの作ったバックドアを利用してファイルを盗み出された。
>>これは不正アクセスであり、犯罪である」となるからです。
その場合不正アクセスの時点は、トロイが仕込まれて内部が検索
Re:うーん (スコア:1)
この表現はちょっとまずかったです。
記述されていない処理を実行させても問題ない場合もありますね。
例えば、入力された処理を適切か判断した後に実行するようなプログラムとかもありえますね。
またBOFでシェルを作っても、そのアカウントのシェルが誰でも使えるなら問題ないですね。
# 何でそんな面倒な方法で使うのかは疑問ですが
他人のプロセスでBOFを使いマシンコードを実行させるのが法に触れるのは
制限されたアカウントで動作するプロセスの制御を奪い、そのアカウントの権限を得るからですね。
また、記述されていない処理を入力して実行させるプログラムの場合は
制限された利用をし得る状態にさせるわけではないので、法には触れませんね。
この事件の場合は、引数として渡されるファイル名を変更したわけですね。
この行為に制限を免れる情報の入力があったのでしょうか。
引数としてファイル名を渡した・・・これはそういう仕様でしたね。
引数として渡した名前のファイルを表示させた・・・これもそういう仕様でしたね。
特定のファイル名を引数として渡した行為については、
制限を免れる情報の入力があったとは考えられません。
他に一般的でない操作というと、フォームのhidden指定を解除したことでしょうか。
hidden指定は本来は不可視にするものであり、利用を制限するものではないですが
そのフィールドに書き込めなくなりますね。
従って、フォームのそのフィールドを利用しうる状態にさせたという解釈も出来ます。
しかし、これが法に触れるとすれば、自分の管理下にあるファイルを編集しただけで、
他人が管理するマシンへの不正アクセスとなります。
これはいくらなんでも適用範囲が広すぎると思います。
単なる臆病者の Anonymous Cat です。略してACです。
Re:うーん (スコア:2, 参考になる)
機能による特定利用の制限を免れることができる情報」に該当するかが争点だったわけで、裁判所は分離解釈どうりに該当するとしたわけで。
Re:うーん (スコア:0)
鍵もかけずに窓も開けっぱなしで出かけて泥棒に入られたとしても
やっぱり悪いのは泥棒、家主はかわいそうな被害者ですもんね
Re:うーん (スコア:0)
この話もACCSはかわいそうじゃない、という流れなら
わかるけど、Officeがかわいそうになってるのがキモイ。
Re:うーん (スコア:0)
防弾チョッキも着ないで街中を歩いていて、胸を刺されたとしても
やっぱり悪いのは刺した人で、刺された人は被害者です。
Re:うーん (スコア:0)
ただ思いついただけを書いた大した内容の無いものだと思いますけど。
URLを削っただけではないらしいですよ。
個人情報を漏らしたことがログの調査や捜査、立件のきっかけにはなったかもしれませんが、
それ自体が罪に問われたわけでは無いと思います。
無罪で争うのは苦しいという理由も書かれていませんし。
この法律 [e-gov.go.jp]には、「制限されている特定利用を
Re:うーん (スコア:2, すばらしい洞察)
> 当協会では、脆弱性指摘活動が正当な方法によってなされるこ
>とは、ネットワーク社会の安全のために必要であると考えていま
>す。今回の被告の行為はそれを大きく逸脱するものでした。
ACCSの説明によれば、事前になんの報告も無く、イベントで手法や
入手した情報を公開した事を、重く見てるようです。
そのせいで、模倣犯が現れたとも書いてあります。
Re:うーん (スコア:0)
Re:うーん (スコア:0)
根拠ぷりーず。河合一穂被告はcgiをつくったfirstserverには脆弱性の指摘はしていたが、ACCSには
してないぞ。テンプレぐらい読め。
http://www.geocities.jp/officeandaccs/
Re:うーん (スコア:1)
でないとアタックはし放題って事に成ってしまうんですから。
自分の個人情報を預けたサーバがお題目で「セキュリティチェック」と言いさえすればアタック自由だし、それで実際に情報を漏らしても当事者はお咎め無しってのは、それはそれでイヤンな世界だと思うのですが。
問題行動を取る人間への抑止力は、無いよりはあった方が良いでしょ?
でも、それはサーバ側での改善をしない事を意味している訳では無い。
特に今回の裁判は刑事ですから、犯罪行為それ自体を問題にしている訳ですし。
#いい加減、Office氏の問題行為とサーバのセキュリティ問題を必要以上に混同して考えるのは止めて欲しい。
#セキュリティは向上させねばならないけど、問題行動も又、防がねばならないもん。
#本来は関係ない双方を相対方向で連動させて考えるのが間違いの元。
Re:うーん (スコア:0)
その空き巣は犯罪者でしょ。
セキュリティは守るためにあるんであって、犯罪の度合いを判断するために
あるんじゃないじゃん。
漏らしたりさらしたりしてようがいまいが、解放されていようがいまいが、
不正アクセスなんだから有罪にきまってるじゃん。
かってにひとの庭に入って「あいてますよー」だって、アホちゃうの。
Re:うーん (スコア:0)
鍵かけ忘れて貸し金庫の中身盗られちゃいました。
悪いのは盗んだ怪盗officeなので、ACCS銀行は悪くないです。
というのはどうかと。
#さて判例もできたことだし、403と404に示談交渉用の文書でも作っとくか……
Re:うーん (スコア:2, すばらしい洞察)
>悪いのは盗んだ怪盗officeなので、ACCS銀行は悪くないです。
ちょっとマテ。
「Officeが悪い」って言っているだけで「ACCSは悪くない」と言っている訳では無いと思うのだが?
そこで勝手に「ACCSは悪くない」って「自分自身で勝手に付けている」から
>というのはどうかと。
って成るだけじゃないかい?
#あと行為的に「悪い」と道義的に「悪い」ってのも同じものでは無いし。
Re:うーん (スコア:1)
倒産とかで消滅する可能性のある法人でもないから、大して評判気にする必要もないだろうし。
norimu
Re:うーん (スコア:1)
実際大抵の「Office氏が悪い」って言っている人でもACCSを擁護している人はほとんどいません。
それだと言うのに、
「個人情報を公開したOffice氏は悪い」>>
「Office氏よりもまともな管理をしなかったACCSの方が悪い」>>
「ACCSの方が悪いのだからOffice氏は悪くない」
という珍妙な判断がオカシイと言う事で。
Re:うーん (スコア:0)
NETに繋げて何を公開するかは、使用者の判断。
Re:うーん (スコア:0)
> その空き巣は犯罪者でしょ。
たとえ話は論点がぼやけるからダメですよ。
でまあ、あえてその例え話にのるなら、
不正アクセス禁止法は「鍵のかかった扉を勝手に開けて部屋に入る」ことを禁じる法律であって、「勝手に部屋に入って他人の物を盗む」ことを禁じる法律ではありません。
しいて言うなら、不正アク
Re:うーん (スコア:0)
Re:うーん (スコア:0)
Re:うーん (スコア:0)
ACごときに名乗る名はないのでAC
Re:うーん (スコア:0)
そんなことも分からんのか。
Re:うーん (スコア:0)
#763323 が言っているのは ftp が通用門で http が正門ということでしょ。で、正門に鍵がかかっていなかった。
だからたとえ話はやめろと言っているのに。>#763323
Re:うーん (スコア:0)
ただ「こんな鍵じゃ簡単に破れちゃうヨ!」って試して見たら御用となったと。
不正アクセスでは鍵の有無は問題だけど強度の規定無いし。
実は単に試しただけだ
Re:うーん (スコア:0)
> ただ「こんな鍵じゃ簡単に破れちゃうヨ!」って試して見たら御用となったと。
鍵はあったとは何の事を指してそうおっしゃているのですか? サーバの CGI プログラムに引数(得たいファイルの名)を渡すようなローカルの html ファイルを web ブラウザに読ませるなどの方法を取らないとログ
Re:うーん (スコア:0)