パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ACCS事件office氏の有罪が確定」記事へのコメント

  • うーん (スコア:1, 興味深い)

    by Anonymous Coward
    個人情報を漏らしたからそれが目的と捕らえられ、不正アクセスになったのか、 それとも他所様のサーバへのセキュリティチェック自体が駄目なのか。 前者ならザマミロOfficeなんですが、後者だと自分で納得できるセキュリティか 確認できないようなトコに個人情報を含む情報を送信しないといけない時代が来そうでイヤン。
    • Re:うーん (スコア:2, すばらしい洞察)

      目的というか、個人情報を漏らしたことが罪に問われた訳でしょう。
      罪状が『不正アクセス』なために「urlを削っただけで不正アクセスなんて。」と感じますが、無罪で争うのは苦しいのでは。
      • Re:うーん (スコア:2, 興味深い)

        by akiraani (24305) on 2005年07月05日 21時01分 (#762984) 日記
         罪状が不正アクセス禁止法違反である以上、アクセスする先にあった情報が個人情報か否かは争点になってなかったような気がするのですが……。

         いや、検察もできることなら「個人情報保護法」でなんとかしたいところでしょうけど、事件が起こったのは施行前だから、仕方がなく別件起訴したという風に解釈してます。

        #法に詳しい人ツッコミお願いします。

        --
        しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
        親コメント
        • Re:うーん (スコア:2, すばらしい洞察)

          by Anonymous Coward on 2005年07月05日 21時49分 (#763022)
          見え見えの別件逮捕だからこそ問題視するべきなのではないでしょうか?

          法整備されていないのは問題ですが、それを別件逮捕で何とかするのは禁じ手です。
          別件逮捕である事が明白なのに、有罪と判決するのはもっといけません。
          こんな事をやってると立法の意味が無くなってしまいます。
          現場が暴走する元となる可能性もあります。
          親コメント
          • by Filler (16734) on 2005年07月05日 22時49分 (#763062) 日記
             そういえば、個人情報保護法前の事件だったんだ。
            ACCSは個人情報保護法で罰せられないの??と思ってたが根本的に判ってなかったわい。
             となるとやっぱり別件逮捕になるのかなぁ?起訴まで持っていった理由が「個人情報を晒した」ことにあるのは見え見えということは。
            (アクセスしたことがlogから発見されたのでは起訴はされなかったでしょう。「こうすればアクセスできる」と発表したから起訴までいったと判断してます。)
            となると被告側が無罪を取れる可能性も高かったのだろうか?
            不正アクセス防止法の主旨からすれば、別件逮捕というよりはザル法で何とか引っ掛けたというところか?
            親コメント
            • Re:うーん (スコア:1, 参考になる)

              by Anonymous Coward on 2005年07月06日 9時58分 (#763260)
              今回の件、個人情報保護法が施行された後でも、この法律を根拠では逮捕できないと思います。

              個人情報保護法を元に罰することができるのは、あくまで個人情報取扱事業者とかその代表者を罰するのであって、罰することができるようになるものも、その事業者が監督庁からの指導(勧告、命令)に従わなかったときです。他にも報告に嘘偽りがあったときとかありますけど。
              56条~59条あたりに書いてあります。

              したがって、従業員とか盗んだ人に対して、個人情報保護法で直接訴えることはできないはずです。
              ただ、いま改定案が作成中で、従業員とかその辺が盛り込まれようとはしているみたいですが。
              親コメント
          • by Anonymous Coward
            全然別件じゃないけどね
          • by Anonymous Coward
            別件逮捕じゃないでしょ。 本来サーバーの中に置いてあるファイルのコピーから呼び出される 筈のCGIを、引数を故意に勝手に書き換えた物からの呼び出しをし たし。 引き出された個人情報の載ったファイルは、 正規にログインが必要な手段を終えた後に、 アクセスされる事を前提としていたのだから。 ちゃんと不正アクセスをしていますよ。
            • Re:うーん (スコア:2, 興味深い)

              by Anonymous Coward on 2005年07月05日 22時41分 (#763058)
              > 本来サーバーの中に置いてあるファイルのコピーから呼び出される筈のCGI

              これは勝手な思い込みだと思います。

              > 引き出された個人情報の載ったファイルは、正規にログインが必要な手段を終えた後に、アクセスされる事を前提としていた

              この前提としていた、というのが曲者ですね。
              何をもって前提としていたといえるのかが、あの裁判でも争点の一つだった気がします。
              引数としてファイル名を取るという機能をあえて付けたわけですから
              それを明示的に利用すると不正アクセスなのか?という疑問があって当然でしょう。

              冒頭の別件逮捕か、というのはやはり別件逮捕ではないでしょうね。
              親コメント
              • Re:うーん (スコア:3, 参考になる)

                by Anonymous Coward on 2005年07月05日 23時32分 (#763083)
                不正アクセス禁止法は、端的に言えば、
                 ・正当な認証情報の盗用
                 ・当該サーバのもつ認証手段の回避
                 ・認証サーバによる認証をスキップして、その後ろのサーバーを利用
                の3つを禁じているので、法的には「システム(設定を含む)の脆弱性をワザと突いて使用可能な状態にしたら不正アクセス」ということになります。
                #違法行為とすることが適切かどうか、「不正アクセス」という語から一般の人が感じる行為と合致するかは別にして、法解釈的にはそうなる。

                なお、「回避したことに気づかなかった(そもそも隠されていることを知らなかった)」りした場合は、一気に解釈が難しくなります。
                #例えば、第三者から「これが正しい使い方だ」と言われ、普通に使っていた場合など

                で、警察・検察は「違法行為がなされたことを知ってしまったら」捜査する義務があるので、話題になっちゃった以上は、「当該行為が抵触した(ことが証明できたと検察が思った)全ての違法行為」について起訴されるのは必然です。

                かつ、法解釈的には正しいので、裁判所が違憲立法審査権を発動しない限り、有罪になるのはほぼ自明だったと思います。

                とはいえ、違憲立法審査っていっても、「不正アクセス禁止法が腐っているか」ではなく、「憲法に違反するか」の審査なので、違憲判決がでることはまず有り得ないです。

                というわけで、「どんな規定が適当なのか」という具体的要件を誰かが考えて、議員立法でもしないかぎり、このまんまだと思います。
                (「立法当時は現規定でよかったけれど、今は直さないとヤバイ」ということを定性的に説明できないので、内閣提出法案で直すことはほぼ不可能)
                親コメント
              • by Anonymous Coward
                (「立法当時は現規定でよかったけれど、今は直さないとヤバイ」ということを定性的に説明できないので、内閣提出法案で直すことはほぼ不可能)
                氏が高裁まで争って逆転判決が出れば、それもできたでしょうに・・・・(あ~あ
              • by Anonymous Coward
                URLを手入力してお縄とか、違法サイトにリンクしただけでお縄とか、トンデモ判例がこれ以上蓄積していかないように我々も手を打つ必要があるでしょう。

                #具体的には最高裁判所国民審査で全部×とか
            • Re:うーん (スコア:2, 参考になる)

              by Anonymous Coward on 2005年07月05日 22時51分 (#763063)
              引き出された個人情報の載ったファイルは、正規にログインが必要な手段を終えた後に、アクセスされる事を前提としていたのだから
              その前提が認められるかどうかで争っていたのでないでしょうか。実際の手口は cgiのもとからある機能を使ってファイルを読んだだけ、そのためにログインも必要なかったしバッファーオーバフロー等の穴を突いたわけでもなかった。

              officeは悪いことをしたとは思いますがそれが「不正アクセス法」で罰せられるべきとは思えない。というか思えなかった。でも確定したならしょうがないかなぁ。

              親コメント
              • Re:うーん (スコア:1, おもしろおかしい)

                by Anonymous Coward on 2005年07月05日 23時09分 (#763073)
                でもバッファオーバーフローの穴を突く(この事は不正アクセス禁止法違反になることは疑いが無いでしょう)にしても、バッファオーバーフローするようなデータを送信して、その送信データの中にサーバPCのスタックフレーム内のリターンアドレスを書き換え自分の思ったように実行させたいプログラムを挿入するだけですよ?

                #DDoSその他はどう解釈しようか。
                親コメント
              • Re:うーん (スコア:3, すばらしい洞察)

                by Anonymous Cat (27860) on 2005年07月06日 1時05分 (#763127)
                確かに技術的にはリターンアドレスを書き換えて、
                自分が送り込んだマシンコードを実行させるだけなんですけどね。
                その場合はプログラムやスクリプトに記述されていない処理が実行されますね。
                だから、第三条第2項二号もしくは三号違反が明らかで、結構分かりやすいです。

                しかしこの事件の場合は、わざわざ組み込まれた機能によって実行された処理が問題となっていますね。
                ここで大きく問題となるのは、その機能を管理者等の意図しない方法で使用することが
                「その制限されている特定利用をし得る状態にさせる行為」
                と言えるか、という点です。
                既にそのような状態になっていたのであって、し得る状態にさせたのは
                そのプログラム等の製作者では?というようにも考えられるわけです。
                (裁判でもそれが主な争点だったはず)

                そのようなしうる状態になっているものを悪用することを犯罪とすべきなのか?
                という点について、私は現行法の元では有罪とすべきではない、と考えています。
                さらに、製作者のミス等ではなく、トロイの設置したバックドアの場合であっても、
                同様に有罪とすべきではないと考えています。

                なぜならば、WebサーバとDDNSクライアントをインストールし、
                全HDを認証無しで公開し、検索エンジンやブログ等にURLを登録するような
                トロイが利用可能な状態にしたコンテンツを利用する可能性を否定できないからです。

                つまり、検索エンジンから飛んだサーバのファイルを見ただけで、
                「トロイの作ったバックドアを利用してファイルを盗み出された。
                これは不正アクセスであり、犯罪である」となるからです。

                このような事態を想定すると、「犯意の有無」が問題となるわけですが、
                現行法ではそれについては触れられていないですよね?

                # 法定犯であり自然犯ではないので「犯意の有無」は関係ない、という話もあった気がします

                # DoSは威力業務妨害で良いんじゃないでしょうか?
                ## 無言電話かけまくりも確かそうでしたし
                --
                単なる臆病者の Anonymous Cat です。略してACです。
                親コメント
              • by Anonymous Coward

                つまり、検索エンジンから飛んだサーバのファイルを見ただけで、
                「トロイの作ったバックドアを利用してファイルを盗み出された。
                これは不正アクセスであり、犯罪である」となるからです。

                「検索エンジン」の部分を「2chへの書き込み」に置き換え

              • by Anonymous Coward
                ディアナはこの際関係ないと思うぞ。
              • by Anonymous Coward
                >>その場合はプログラムやスクリプトに記述されていない処理が実行されますね。
                同項は「指令」=バッファオーバーラン等で仕込むプログラム類だけでなく、「情報」=何にでも該当し得る、本件でもURL、も構成要件の1つに入れられているのがクセモノです。

                >>つまり、検索エンジンから飛んだサーバのファイルを見ただけで、
                >>「トロイの作ったバックドアを利用してファイルを盗み出された。
                >>これは不正アクセスであり、犯罪である」となるからです。

                その場合不正アクセスの時点は、トロイが仕込まれて内部が検索
              • by Anonymous Cat (27860) on 2005年07月06日 17時25分 (#763482)
                >>その場合はプログラムやスクリプトに記述されていない処理が実行されますね。

                この表現はちょっとまずかったです。
                記述されていない処理を実行させても問題ない場合もありますね。
                例えば、入力された処理を適切か判断した後に実行するようなプログラムとかもありえますね。
                またBOFでシェルを作っても、そのアカウントのシェルが誰でも使えるなら問題ないですね。
                # 何でそんな面倒な方法で使うのかは疑問ですが

                他人のプロセスでBOFを使いマシンコードを実行させるのが法に触れるのは
                制限されたアカウントで動作するプロセスの制御を奪い、そのアカウントの権限を得るからですね。

                また、記述されていない処理を入力して実行させるプログラムの場合は
                制限された利用をし得る状態にさせるわけではないので、法には触れませんね。

                この事件の場合は、引数として渡されるファイル名を変更したわけですね。
                この行為に制限を免れる情報の入力があったのでしょうか。
                  引数としてファイル名を渡した・・・これはそういう仕様でしたね。
                  引数として渡した名前のファイルを表示させた・・・これもそういう仕様でしたね。
                特定のファイル名を引数として渡した行為については、
                制限を免れる情報の入力があったとは考えられません。

                他に一般的でない操作というと、フォームのhidden指定を解除したことでしょうか。
                hidden指定は本来は不可視にするものであり、利用を制限するものではないですが
                そのフィールドに書き込めなくなりますね。
                従って、フォームのそのフィールドを利用しうる状態にさせたという解釈も出来ます。

                しかし、これが法に触れるとすれば、自分の管理下にあるファイルを編集しただけで、
                他人が管理するマシンへの不正アクセスとなります。
                これはいくらなんでも適用範囲が広すぎると思います。
                --
                単なる臆病者の Anonymous Cat です。略してACです。
                親コメント
            • Re:うーん (スコア:2, 参考になる)

              by Anonymous Coward on 2005年07月05日 23時02分 (#763069)
              そのURLを勝手に書き換えたURL程度の情報が「アクセス制御
              機能による特定利用の制限を免れることができる情報」に該当するかが争点だったわけで、裁判所は分離解釈どうりに該当するとしたわけで。
              親コメント
            • by Anonymous Coward
              そうですね
              鍵もかけずに窓も開けっぱなしで出かけて泥棒に入られたとしても
              やっぱり悪いのは泥棒、家主はかわいそうな被害者ですもんね
              • by Anonymous Coward
                かわいそうではないだろう。

                この話もACCSはかわいそうじゃない、という流れなら
                わかるけど、Officeがかわいそうになってるのがキモイ。
              • by Anonymous Coward
                ええ、もちろん。
                防弾チョッキも着ないで街中を歩いていて、胸を刺されたとしても
                やっぱり悪いのは刺した人で、刺された人は被害者です。

Stableって古いって意味だっけ? -- Debian初級

処理中...