パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ACCS事件でoffice氏逮捕」記事へのコメント

  • office氏の指摘って… (スコア:1, すばらしい洞察)

    by Anonymous Coward
    技術レベルはともかく,ちゃんとセキュリティーの認識が
    あるところならばむしろoffice氏の指摘は結構役に立つと
    思うのですけど…私の認識は甘いののですかね?
    # 近くに本当に役に立った人がいるのでAC
    • 確かに指摘もやってる事も正しいとは思います。
      ただその指摘の仕方や相手の都合を考えない要求とかが多くて、反感を買う事がおおいんですよ。
      それじゃなくてもナイーブな問題になりがちなのに、鬼の首を取ったような感じのメールが来ますからね。
      個人的にはガキが調子に乗りすぎてタイーホかーとw
      --
      May the 4th B w/z U
      • by Anonymous Coward
        個人的な意見を書くと、漏れも「指摘する側が調子に乗りすぎた」に激しく同意。
        けど、ここで重要なのは不正アクセス禁止法に抵触するとして逮捕されたんだな。

        不正アクセス禁止法を簡単に説明すると、
        "鍵がないと通れない扉"を開く際に使った鍵が、
        不正な手段でもって手に入れたものであった場合に適用される法律
        なんだよね。
        氏が主張しているように、今回では鍵が無いところを通った形になる。けども、警察は「不正アクセス禁止法に抵触する」といっているんだ。

        その際に手に入れた情報を公開し
        • by Anonymous Coward

          氏が主張しているように、今回では鍵が無いところを通った形になる。けども、警察は「不正アクセス禁止法に抵触する」といっているんだ。

          「鍵などまったくない、誰でも自由に行き来できる公道

          • 俺も不正アクセスに関しては適用出来るかかなり疑問だが、

            >研究員は同月に開かれたセキュリティ関連イベントで、使用されていたCGIの欠陥を指摘するとともに、4人分の個人情報を含んだプレゼンテーション資料を公開していた。ACCSは研究員の指摘で脆弱性に気付き、対策を施した。ACCSによると、研究員は「CGIの脆弱性を指摘するために行った」と説明していた。資料は当初ネット上で流通した形跡はないとされていたが、最近になって「2ちゃんねる」の掲示板に何者かがアップロードしていたことが分かっている。
            http://www.itmedia.co.jp/news/articles/0402/04/news020.html
            • by Anonymous Coward on 2004年02月04日 19時58分 (#488636)
              >の「4人分の個人情報を含んだプレゼンテーション資料を公開」が目的や動機で、「それを公開し悦に入るためにアクセスし情報を取得した」みたいな展開ならば不正アクセスの適用も有りの気がする。

              全然わんかんない。
              目的や動機がなんだろうと不正アクセス禁止法が適用できるかどうかとは無関係なんじゃ?
              親コメント
              • by chanbaba (13080) on 2004年02月04日 20時52分 (#488684) ホームページ
                犯行目的や犯行動機は重要なんじゃないの?

                例えば、傷害罪。AさんがBさんを殴った。

                >(傷害)第204条 人の身体を傷害した者は、10年以下の懲役又は30万円以下の罰金若しくは科料に処する。
                http://www.houko.com/00/01/M40/045.HTM#s2.27

                何故殴ったのか、どうして殴ったのかの目的や動機があるからこそ、故意性を立証出来て、傷害罪を適用出来るはず。

                Bさんが殴りかかってきたので、ガードしようとしたら肘がBさんの顔に当たった。
                この場合正当防衛に該当しそうだし、故意性は疑問。

                他人のパスワードを使ってアクセスする行為は駄目。しかし、一字違いだったので打ち間違った場合は、故意では無いので刑事罰を与えるのは無理だろう。

                と言うわけで、刑事事件なので目的や動機は重要だろう。
                親コメント
              • >と言うわけで、刑事事件なので目的や動機は重要だろう。

                重要なのは同意。俺の「全然関係ない」という書き方が誤解を与えたかも。
                俺が言いたいのは、あなたの例で言うと何故殴ったのか、どうして殴ったのかの目的や動機で故意性を立証できた上で、なぜか傷害罪ではなく窃盗罪を適用しようとしてたとして、殴ったことに窃盗
              • >これをやったんなら不正アクセス禁止法の適用になるだろうけど、そうじゃないって話だから不正アクセス禁止法の適用はどうなんだろう?って話。

                経緯は、

                >ハイテク犯罪対策総合センターの調べでは、河合容疑者は昨年11月6~8日、社団法人コンピュータソフトウェア著作権協会(東京都文京区)のサイトのサーバーに不正に接続し、ネット上で同協会に相談を寄せた約1200人分の氏名や住所、相談内容などを引き出した疑い。
                >
                > さらに同月8日、都内で開かれたネットの安全対策担当者やハッカーの集会で、参加者約200人に接続方法を公開し、協会にも接続したことをメールで通知した。そのうえで、サイトの一部の閉鎖を余儀なくさせ、協会の業務を妨げたとされる。
                http://www.asahi.com/national/update/0204/020.html

                を鵜呑みにすると11/6~8に侵入。11/8に集会で公表。

                >研究員は同月に開かれたセキュリティ関連イベントで、使用されていたCGIの欠陥を指摘するとともに、4人分の個人情報を含んだプレゼンテーション資料を公開していた。
                http://www.itmedia.co.jp/news/articles/0402/04/news020.html

                を鵜呑みにすると、「4人分の個人情報を含んだプレゼンテーション資料を公開」も行っている。

                俺の勝手な推測に過ぎないが、「同月に開かれたセキュリティ関連イベント」が「11/8に行われた集会」と同一なんだと思っている。
                プレゼン用の資料の作成時間なども考えると、集会で公表し悦に入るために侵入したとしか思えない。
                経緯が、ACCSに再三連絡しているにも関わらず2ヶ月間放置される。公表をすることも連絡しその上で集会で公表した。と言う経緯ならば話は違ってくると思う。

                貴方が疑問視しているのは、パスワードで守られた所にデータが置かれていない点と、刑事罰は広義で解釈するではなく狭義に該当するか辺りだと思うが、セキュリティーホールを突いてアクセスする行為も禁止されていますよね。
                実際はどうだったのかは知らないけど、英数(36文字)8文字のディレクトリと英数8文字のファイル名が完全に一致する確立は、1/36乗16=1/7958661109946400884391936。
                これを持って通常ではアクセス出来ないことは証明されるのではないか?
                彼自身が、「同月に開かれたセキュリティ関連イベント」でプレゼンしているところをみると、やはりセキュリティーホールは存在するとしか判断出来ない気がする。

                で、11/8に侵入したのは、資料作りの確認作業と判断出来るのではないだろうか?

                仮にそう判断出来る物と定義すると、そもそも法に盛り込まれている「セキュリティーホールを突くアクセス禁止(3条2項2号)」って何を禁止しているの?

                ここからデータファイルにリンクが貼られていたとしよう。何となくクリックしただけでは当然それだけでは禁止対象にはならないだろう。
                POSTメゾットが使用してあったので(CGIでGETメゾットアクセスでは読めない)、fromとジャバスプリクトでクリックしただけでデータの取得が可能であっても、クリックしただけでは当然それだけでは禁止対象にはならないだろう。
                問題は上のビビたる確立でしか通常分かりえない物に対しのアクセスで、それが通常隠すべきデータであることを知りっていて、それをセキュリティーホールだと認識していたわけだよね。
                セキュリティーホールだと認識を持ったのならば、通常は連絡と秘密の厳守をするわけだよな。連絡しなくても秘密の厳守はする。
                彼は資料作りのためにその後もアクセスしてデータを取得し、その一部である4人分の個人情報を集会で晒したわけだよな。

                で、上のURLが2条2項1号の
                >当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号
                に該当するかどうかが裁判争点でしょうか(裁判になったらね)。
                データファイルのURLはこれに該当するのではないか?
                URLが符号であることは同意出来るよね。
                条文では、「当該アクセス管理者によって」と書かれているから定義者は管理者側。少なくても彼ではない。客観的にみても晒して良い物とは判断されない。
                彼自身も、集会でセキュリティーホールの指摘をしているので、管理者が第三者に見せるためにみれるようにしていると言う認識は無いはず。

                管理者に連絡されると、管理者は第三者に知らせてはならないものだからこそ、見れない様にするのですよね。実際しているし。
                「連絡しているにも関わらず見れるようにしているからこれには当たらない」と言う主張も彼は出来ない。

                刑事罰は狭義に対してのみ科されるべきだが、彼の行動は狭義に該当するのではないか?
                きわどいとは思うが、彼の行動を考えれば考えるほど狭義に該当する気がしてならない。
                集会が迫っていたので彼は手順を踏まなかった
                親コメント
              • by Anonymous Coward
                >実際はどうだったのかは知らないけど、英数(36文字)8文字のディレクトリと英数8文字のファイル名が完全に一致する確立は、1/36乗16=1/7958661109946400884391936。
                >これを持って通常ではアクセス出来ないことは証明されるのではないか?

                csvmail.cgiのソースを見て、$home/
              • by Anonymous Coward
                傷害罪の適用には故意性なんて要りませんが。
              • そうだっけ?
                過失ならば過失傷害罪なんじゃ?
                親コメント
              • ついでに、

                >(故意)第38条 罪を犯す意思がない行為は、罰しない。ただし、法律に特別の規定がある場合は、この限りでない。

                なんで傷害罪に故意性が必要無いと思っているのか良く分からん。
                親コメント

最初のバージョンは常に打ち捨てられる。

処理中...