パスワードを忘れた? アカウント作成
8477 story

office氏不正アクセス事件の公判内容が明らかに 90

ストーリー by Oliver
不正アクセスの定義を探す 部門より

Anonymous Coward曰く、"2月のストーリー「ACCS事件でoffice氏逮捕」で話題となった、不正アクセス禁止法違反の罪で起訴されたoffice氏の第2回公判の様子をレポートする記事がITmediaニュースに「ACCS不正アクセス事件裁判、一部非公開に」と出ている。この記事によると、証人が「自社のサーバ構造などを公開法廷で話すと、サーバを狙い打ちにした不正アクセス行為を誘発する」と主張したため、証人尋問以降はすべて非公開となったもようだ。
一方、ひとりの傍聴人「ちせ」氏による第一回公判第二回公判のレポートが提供されている。 これらによると、弁護側は、「サーバ全体にIDやパスワードがかかっていたかどうかということより、特定の行為ごとに不正アクセスであるか否かを判断すべきである」と主張し、「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」とし、「office氏のやったことは、ファイル名を指定してそのファイルを読んだだけである」としているようだ。また、ITmediaの記事によると、「倫理面の問題は法改正で解決できる」という理由により、無罪にすると社会に悪影響を及ぼすから有罪にするというような判断は不要だとする主張もあったようだ。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • てやんでい! (スコア:4, おもしろおかしい)

    by Anonymous Coward on 2004年07月01日 15時19分 (#580363)
    >「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」

    主観のとおりに動いてもらっちゃ、プログラマはおまんま食い上げでい!
  • by j3259 (7093) on 2004年07月01日 15時35分 (#580371) ホームページ 日記
    「自社のサーバ構造などを公開法廷で話すと・・」みたいなことを 平気で言っちゃう所に セキュリティの教育受けてないんだろうなってのが垣間見えますね。 これって隠蔽によるセキュリティ (security through obscurity) でしょ? 特にコンピュータとか web の情報の場合、 隠蔽によるセキュリティは, セキュリティ的には全く無意味 [linux.or.jp]ってことになってるのに。 サーバが知られてダメならソースコード公開してる Linux, BSD, etc.. はどうなる。サーバに何使ってるかなんてすぐバレるようなもんだし。
    • by Anonymous Coward on 2004年07月01日 15時44分 (#580377)
      たんに有識者を追い出して、事を有利にすすめる為の方便でしょ。
      親コメント
    • by Anonymous Coward on 2004年07月01日 15時43分 (#580376)
      「隠蔽によるセキュリティ」というのは、隠蔽することで
      これで安全と思ってしまい、チェックが不十分になってしまう
      ことが弊害なのです。「隠蔽することそれすなわち悪」では
      ありません。

      また、実際問題ソース公開によって穴を付かれることはあるで
      しょうから、隠蔽もある程度のセキュリティ向上にはなり得ます
      (最終目的を穴がないことではなく、穴を付かれないこと、と定義
      した場合)。

      ソース公開というのは、短期的にはマイナスだけど、長期的には
      プラスになるかもよ、という戦略なのです。

      あと、世の中セキュリティが全てではありません。ソース公開に
      よりノウハウを盗まれたりする場合もあります。これはソース公開
      戦略のデメリットの一つと言えるでしょう。最終的にはメリットと
      デメリットを天秤にかけ、当事者が判断すべき事柄です。
      親コメント
      • なんだか論点が今回の件とはずれてるような…

        今回の件での隠蔽によるセキュリティって、ディレクトリ構造の隠蔽って意味なんじゃないんでしょうか?
        もちろん、もっと低水準な、実装依存のセキュリティもあるでしょうが…
        親コメント
      • 「隠蔽によるセキュリティ」というのは、隠蔽することで これで安全と思ってしまい、チェックが不十分になってしまう ことが弊害なのです。「隠蔽することそれすなわち悪」では ありません。
        書いたあとで、自分で補足入れようかと思ったけど、くどいなと思って止めといたんだけどやっぱ誤解を招いたかな。

        隠蔽することそのものは一応安全になるけど、 それでぐらつくようなセキュリティはセキュリティではない、 よって公開しても問題がないレベルのセキュリティにすべき、 よって公開しても問題がない、っていう話だと思います。 特に、情報っていうのは盗んでも、モノがなくなるわけじゃないんで、気付かないっていう性質も関係してると思います。

        オープンソース云々ってのは反例であって、世の中全てにオープンソースを勧めてるわけじゃないです。 オープンにしてもセキュアなような暗号化その他の技術が必要ではあるけど。

        親コメント
      • 違うでしょ~。隠蔽によるセキュリティは無意味と言えるくらい弱いから問題
        なのです。例えばデイレクトリ構造を隠蔽しているとしてパスを秘密鍵だと解
        釈すると、それは鍵としてどうですか?cgiのクエリー文字列にパスが含まれ
        たりしてたらどうですか?

        だから、

        >隠蔽することで
        >これで安全と思ってしまい、チェックが不十分になってしまう
        >ことが弊害なのです。「隠蔽することそれすなわち悪」では
        >ありません。

        これは全然関係ありません。んで、

        >オープンにしてもセキュアなような暗号化その他の技術

        これが鍵によるセキュリティの典型的な例。というわけ。
        親コメント
        • >違うでしょ~。隠蔽によるセキュリティは無意味と言えるくらい弱いから問題なのです。

          違います。ダメなプログラムは公開しても勝手に強くなってくれたりはしません。私の知る範囲では。

          隠すこともセキュリティの為になる方へ一票投じます。公開した方が…という論者には、それを検証する手段が増えるだけだという言葉を贈りたいと思います。
          --
          Copyright (c) 2001-2014 Parsley, All rights reserved.
          親コメント
    • by Anonymous Coward on 2004年07月01日 18時34分 (#580469)
      パスワードは一般的に隠蔽されてますが、セキュリティ的に無意味なんですか?
      何でもかんでも「隠蔽は無意味」とか言ってると、セキュリティの教育を受けてないんだろうなってのが垣間見えますよ。

      サーバの構造を非公開とすることによって、不正侵入を企てようとする者は、サーバの構成を知るために(既に知っている場合に比べて)より多くの足跡を残す可能性が高まり、それだけ検挙につながる可能性が高くなります。
      無論、隠蔽だけで安全になるわけではありませんが、隠蔽が全く無意味な訳ではありません。

      親コメント
      • 訳の問題 (スコア:2, 参考になる)

        by j3259 (7093) on 2004年07月01日 21時06分 (#580544) ホームページ 日記
        隠蔽という言葉が独り歩きしていますが、 これは obscurity への(一部で使われている)訳です。 obscure ってのは、不明瞭、解しがたい、人目につかない、おおい隠す、わかりにくくする、などの意味があって、obscurity はその行為です。鍵をかけるってよりは、誰にもその存在を教えないことによって得られるセキュリティっていう感じでしょうか。

        別の枝でも補足しましたが、obscurity に頼ったセキュリティは全体としてセキュリティがないも同然という話です。

        余談ですが、パスワードも一つでも弱いのがあると、システム全体の脆弱性になります。一般のユーザに設定させると、辞書語と数字の組み合わせを選ぶことが多く、制限や監視がなければクラックできます。

        自動生成された長いランダムなパスワードをユーティリティで保存して使うか、非対称暗号を使うなど方法が勧められており、 従来の「パスワード」によって得られるセキュリティはだんだん 無いよりはマシだけど安全ではないってレベルになってきてると思います。

        親コメント
      • by Anonymous Coward on 2004年07月01日 19時12分 (#580491)
        教育など必要ありません。同化すれば全ての情報は共有できるのですから。

        「我々はスーパーハカー。隠蔽は無意味だ」

        #ちゃちゃなのでAC
        親コメント
      • > サーバの構造を非公開とすることによって、不正侵入を企てようとする者は、サーバの構成を知るために(既に知っている場合に比べて)より多くの足跡を残す可能性が高まり、それだけ検挙につながる可能性が高くなります。
        > 無論、隠蔽だけで安全になるわけではありませんが、隠蔽が全く無意味な訳ではありません。

        パスワードなどがかかっていたのならともかく、ファイル名をスキャンするだけならそもそも検挙できるのかねえ?
        って、今回したのか!?
        親コメント
    • ACCSも、セキュリティに対する自信なくしてるのか、脆弱性を直していないのか
      …どちらにしても、証人の発言には不可解な部分があるように思うのですが。

      親コメント
  • by Anonymous Coward on 2004年07月01日 19時55分 (#580511)
    不正アクセス禁止法の出来が悪かった
    ということかなと思う。

    アクセス制御機能の有無で線引きするところに無理があったのではないか。今のようなウェブが主流になる前の知識で作られた法律のように思えるが、どうか。
  • by u1p (2709) on 2004年07月02日 13時33分 (#581027) 日記
    つーか、おまいら忙しすぎて、応じることできねーよな、きっと。
    俺もだ。
  • by Anonymous Coward on 2004年07月01日 15時47分 (#580378)
    > 「サーバ全体にIDやパスワードがかかっていたかどうかということより、特定の行為ごとに不正アクセスであるか否かを判断すべきである」

    不特定多数を相手にするサービスは保護対象外との主張でしょうかね。
    #HTTPやSMTP、anonymous FTPは全て保護対象外になってしまいそうです。

    > 「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」

    実装上の脆弱性は全て保護対象外という主張のようですね。

    > 「office氏のやったことは、ファイル名を指定してそのファイルを読んだだけである」

    XSSやSQL injectionを試みても同様のことが言えそうですね。

    攻撃する立場から言えば、非常にうれしい解釈ですが、守る立場から見ると「不正アクセス禁止法の存在の否定」に映りますね。
    • 解説(Flamebait? -1) (スコア:3, 参考になる)

      by Anonymous Coward on 2004年07月01日 16時11分 (#580391)
      >> 「サーバ全体にIDやパスワードがかかっていたかどうかということより、特定の行為ごとに不正アクセスであるか否かを判断すべきである」

      >不特定多数を相手にするサービスは保護対象外との主張でしょうかね。
      >#HTTPやSMTP、anonymous FTPは全て保護対象外になってしまいそうです。

      全て保護対象外です。
      原則、HTTPやSMTP、anonnymous FTPはアクセスを識別符号によって制限していないからです。

      >> 「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」

      >実装上の脆弱性は全て保護対象外という主張のようですね。

      識別符号によらない情報を入力して制御を奪うことは禁止されていますので、これはそうですね。

      >> 「office氏のやったことは、ファイル名を指定してそのファイルを読んだだけである」

      >XSSやSQL injectionを試みても同様のことが言えそうですね。

      否。
      アクセス制御が行われていないディレクトリ以下のファイルをHTTPで読み出すことは、不正アクセス禁止法の処罰の対象外ですが、
      それに対してXSSやSQL injectionはアクセス制御機構を無効化するような情報を入力する行為なので処罰の対象になります。

      参考
      http://www.ipa.go.jp/security/ciadr/law199908.html

      >攻撃する立場から言えば、非常にうれしい解釈ですが、守る立場から見ると「不正アクセス禁止法の存在の否定」に映りますね。

      守る立場の人は、どこまで法律の守備範囲か知らないと。
      「きちんと守ってくれなかった」と後で非難されることにもなりかねません。

      # フレームのもとっぽいのでAC
      親コメント
      • by Anonymous Coward on 2004年07月01日 18時29分 (#580468)
        それに対してXSSやSQL injectionはアクセス制御機構を無効化するような情報を入力する行為なので処罰の対象になります。
        無茶苦茶言うなあ。 XSS がどういうものか知らないで書いてるでしょ。 最近、ウェブの脆弱性というと何でも「ああ、クロスサイトですよねえ?」としたり顔で言う知ったか厨が多くてウンザリ。

        XSS はクライアント側で任意の JavaScript を動かせる場合があるというものですよ。その結果として、クッキーを盗めることがあって、さらにその盗んだクッキーを使うとセッションハイジャックができるって話。
        「アクセス制御機構を無効化するような情報を入力する行為」というのは、盗んだクッキーを使う行為の部分。
        XSS があるかどうかは、そういう攻撃が起き得るかの可能性を示しすだけなわけで、それ自体がアクセス制御機構を無効化するわけじゃない。

        SQL injection も、もろにアクセス制御機構を回避する攻撃に使う場合(パスワード欄にシングルクオート+云々を入れるとか)もあるけど、それ以外の攻撃もあるね。

        親コメント
      • by stwo (9482) on 2004年07月01日 21時45分 (#580554)
        >アクセス制御機構を無効化するような

        アクセス制御をしている「ツモリ」(主観)の
        運営者、製造者がいたとします。
        しばしば、SQLinjectionやXSSは【非常に単純な】
        設計上もしくは実装上の漏れです。素人でも見つけられますね。
        このような単純ミスの場合には、ディレクトリ丸裸と同様に
        アクセス制御機構が働いていたとは見做しにくいものです。
        CGIやWebアプリを作成した時に、未知のXSS脆弱性や
        未知のSQLinjectionを作りこんでしまった、、ということは
        考えられません。タネはとっくの昔に割れているものです。
        設計者や製造者、運営者は、既知の基本的なセキュリティー上
        の防止策を実装すべきです。

        >XSSやSQL injectionはアクセス制御機構を無効化するような
        情報を入力する行為

        アクセス制御機構が働いていないように作ってしまっていながら
        不正アクセス禁止法で守ってもらえると考えるようならば
        そのようなサイトは個人情報を扱うべきではありません。

        問題になっている森川氏のCGIもとっくの昔にネタばれしている
        ような古典的な注意点を守っていない点で罪が重いものです。
        なんでもかんでもhiddenな属性に格納して保護しているつもり
        になっているなんて、あなたの目には見えないが機械には丸見え
        ですよ?と森川氏に言いたいですね。

        、「CGIというものは、設定者の主観の通りにではなく、
        記述された指示の通りに動くものである」とは、このことです。
        アクセス制御をしている「ツモリ」(主観)ではなく、アクセス
        制御機構そのものが働かないような作りこみをワザワザしていた
        のですから。

        さて、一方において、Webアプリ構築時点では未知であった、
        ブラウザの脆弱性によりXSS脆弱性が露呈し、攻撃者が悪用
        したとしたらどうでしょう。もしも攻撃者がクッキーを盗み出し
        たとするならば、この時点で法の定める不正アクセスです。
        クッキーはユーザIDとパスワードの代替物でありそのことを
        もって個人を特定しているわけですから。不正に鍵を入手した
        段階でアウト。

        もうひとつの別な角度からの観点を併せて書いておきます。
        とあるサイトの馬鹿げた作りこみによるXSS脆弱性を悪用。
        攻撃者は犠牲者のブラウザ上にてクッキーを盗み出さずに
        ニセ画面を表示するだけのXSSによるHTMLインジェクション
        を行ったらどうでしょう。
        例えば、株式など経済的な問題のある風評を流す目的で
        エセニュースページを犠牲者に見せる事が可能です。
        この場合には、攻撃者は単純な防衛もしていないサイトの
        XSS脆弱性を踏み台にし、被害者を騙すことになります。
        肝心なことは、このケースではユーザIDやパスワードとは
        無関係であることです。いかにも悪事なのですが、現行法の
        定めるところの不正アクセスではありません。別な法の運用が
        はかられるべきでしょう。適切な法があるかどうかは不明です。
        事例もないですし。
        --
        | 慈愛こそ慈愛
        親コメント
        • by stwo (9482) on 2004年07月01日 22時11分 (#580580)
          論点がずれますので追加として書かせてください。

          おおざっぱにいえば、URL(URI)はプロトコル別にRFCで定義されて
          いますし、実はRFCで未定義であって別途定めるW3Cの規定により
          定められるURLもあります。
          このたび問題になったCGIのだらしない作り方を詳しく調べましたら
          次のようなことがわかりました。すなわち、上で書いた標準的な書法
          で記述されたURLの形式で、晒された個人情報に到達できてしまうの
          です。言い換えますと、代表的なブラウザであれば、あなたがブラウ
          ザを起動後、このURLをアドレスバーにいれてエンターキーを叩けば
          問題の個人情報がブラウザの画面に表示されるのです。
          このようなシステムが果して個人情報へのアクセス制御をしていたと
          言えるでしょうか?まさしくディレクトリ丸見えの延長上にあるので
          す。どこか不特定多数が訪問する掲示板やフォーラムなどで、この
          URLを晒したり、あるいはリンクを作っておいたりしたら、不特定
          多数がアクセス制御を侵犯したことに、、ならないですよねぇ。。。
          そのぐらい今回の森川氏謹製のCGIはだらしないものなのです。
          ちなみにこのCGIはmethod=POSTであることは上の論議に折込済みで
          す。

          あ、余談ながら、この際ですので言っておきましょう。Web画面から
          メールを飛ばすFORMのCGIを良く見かけます。HTMLソース表示をして
          みたら宛先がform内に書いてあることが極めて多いですよね。もう、
          その瞬間スパム送り放題なのですがいいのですかねぇ。これなども
          異常に古典的なものなのですが。もし皆さんがたまたま使おうとした
          そのようなCGIが変な作りになっていたら、作成者に是非メールで
          注意してあげてください。
          office氏の場合には、メールの宛先ではなく、ファイル表示パスが
          FORM内に書いてあっただけですが、ヨワヨワですねぇ。
          --
          | 慈愛こそ慈愛
          親コメント
          • by NOBAX (21937) on 2004年07月03日 11時00分 (#581572)
            >その瞬間スパム送り放題なのですがいいのですかねぇ。
            ぜんぜん話が違うような。
            親コメント
        • 不正アクセス禁止法による不正アクセス行為というのは、
          法文からすると、アクセス制限をしているところに、
          人のパスワードを使って入ったり、セッションハイジャック等のなりすまし行為をすることを言うのでしょう。

          単純ミスによる脆弱性をもつソフトを使ったことによって、
          パスワードがばれたり、クッキーを取られたりしても、
          不正アクセス行為をされたら、不正アクセス禁止法で処罰されるべきです。

          重要な他人の情報を持つものは、
          少なくとも既知の脆弱性をもつソフトを使うべきでないというのは、
          不正アクセス禁止法とは関係なく、また別の倫理上の話でしょう。
          親コメント
          • by raijin (7091) on 2004年07月02日 0時12分 (#580667)
            ねたでつか?

            >>単純ミスによる脆弱性をもつソフトを使ったことによって、
            >>パスワードがばれたり、クッキーを取られたりしても、
            >>不正アクセス行為をされたら、不正アクセス禁止法で処罰される
            >>べきです。

            そりゃそうでしょ。 だから?

            論点は、公知の脆弱性をついて情報を閲覧する行為が不正アクセス
            禁止法にひっかかるかどうかでしょ?

            問題は、旧来のパソコン通信や専用線による通信等で想定されていた
            不正アクセス行為という定義で、現在の状態をカバーできなくなった
            ことにあるんだけど。

            ただ、不正アクセス法を強化するんなら、管理者などへ対する
            管理責任を明確に定義して、管理放棄や管理不行き届きを処罰対象
            にしてほしいね。
            親コメント
    • by Anonymous Coward on 2004年07月01日 16時13分 (#580394)
      > 守る立場から見ると「不正アクセス禁止法の存在の否定」に映りますね。

      それはそれで間違ってないと思いますよ。
      そもそも「不正アクセス」の定義が充分じゃないのですから、

      攻める立場でも守る立場でもなく、
      スクリプトの設定ミスを指摘して逆切れされた経験を持つ者から見ると、
      ノーガードでうろうろしてる馬鹿に肩が当った程度で、
      「アクセス管理者の許諾を得ていない接触だ!」と
      因縁付けられる事体の心配はしたくないので、
      「二条三項」はきっちり押さえておいて頂きたい。
      法律はノーガードにお墨付きを与えているワケではない。
      親コメント
  • by Anonymous Coward on 2004年07月01日 15時22分 (#580364)
    以前とサーバー構造が同じなら、それはそれで問題がありそうな。
    防御対策を施したけど、興味本位のアタックをされるのが嫌ってのなら納得。
    • Re:一部非公開 (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2004年07月01日 15時36分 (#580372)
      ここで言う「非公開になった『サーバー構造』」ってのは、
      「piblic_html以下」とか「cgi-bin以下」の「ディレクトリ構成」の事ですよね?
      それ以外の意味での『サーバー構造』なんて、この際誰も問題にしてないでしょうから。

      然るべきパーミッションを設定しているか、
      然るべきユーザ認証を設定しているか、
      然るべきCGIスクリプトへの修正を施しているか、
      その辺りに未だに自信が無いんじゃないでしょうか。
      親コメント
typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...