パスワードを忘れた? アカウント作成
9876 story

ACCS事件でoffice氏に有罪判決 395

ストーリー by Oliver
求む!判決文 部門より

Ryo.F曰く、"/.Jでも注目されてきた(過去のストーリー:[1][2])ACCS事件の地裁判決が下った(河北朝日)。
Office氏は、「アクセス制御がなされておらず、不正アクセスではない」と主張したが、「アクセスはプログラムの脆弱(ぜいじゃく)性を利用したもので、管理者は想定もしていなかった。アクセス制御機能による『特定利用の制限』がかかっていたといえ、被告の行為は不正アクセスに当たる」とした。裁判長は、青柳勤氏。
「イベントで被告が手口をプレゼンテーションした結果、模倣者まで出現した。高度情報通信社会の健全な発展を阻害することは明らかだ」とあるが、URLの書き換え程度が不正アクセスに当たるって事になるのも、「高度情報通信社会の健全な発展を阻害する」と思うのだが…"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 報道は適当 (スコア:5, 興味深い)

    by Anonymous Coward on 2005年03月25日 14時32分 (#713713)
    傍聴に行って来た AC ですが、
    http://www.nikkei.co.jp/news/shakai/20050325AT1G2500K25032005.html

    青柳勤裁判長は「犯行は巧妙かつ悪質で、自己の能力、技能を誇示したいとの動機もあった」として、

    「犯行は巧妙かつ悪質で」の部分の発言は無かったと思う。
    新聞てずいぶんいい加減なんだね。

    そもそも裁判長が8ヶ月執行猶予3年て言った直後に、たくさんいた記者席の人は全員外にどたばたと出て行って、帰ってきた人は2人くらいだけだったよ。その後の裁判長の説明を聞いてもいないのに、記事書いてんだね。
  • これって (スコア:4, すばらしい洞察)

    by katu256 (7538) on 2005年03月25日 13時31分 (#713674)
    セキュリティ関係は、ノーガード戦法でもOKってお墨付きが
    司法から与えられたっ、て事なんでしょうかね。
    • ですねぇ。

      脆弱性の発表の仕方その他については、まあマズかったとは思うのですが、テストアタック方法としては普通の方法だと思いますし。

      文面(タレこみの文がそのままだとして)からすると、お墨付にしか読めないですね。

      # この裁判上ではしかたないでしょうが、
      # ACCSが情報漏洩する状態だったことについても両成敗するならまだ理解できるのだが...

      悲しくなったのでID(謎
      --
      M-FalconSky (暑いか寒い)
      親コメント
      • by Anonymous Coward on 2005年03月25日 14時40分 (#713722)
        何故そうなるのです?
        今回の判決では、office氏の行為が犯罪と認定されただけの話で、
        「今回の情報漏洩の賠償は、全額Office氏が払え」というようなもの
        では無い以上、「ノーガードOK」にはならないでしょう。

        というか、「ノーガード戦法」という言葉がここまで広がる理由がわからないです。
        私の記憶の限り、Office氏の警告を無視しつづけたのは外注の業者ですし、
        ACCSが態度を硬化させたのも、「ACCSへの通知前に、脆弱性及び情報をプレゼンで発表した」
        からでしょう。
        もちろんアホな外注を利用していたという責任はありますが、それだけにしては
        過剰反応に思えます。
        正直、単なる反ACCS厨にしか見えないです。
        親コメント
      • Re:これって (スコア:1, 興味深い)

        by imo (5135) on 2005年03月25日 14時58分 (#713730)
        >テストアタック方法としては普通の方法だと思いますし

        無関係の第三者が予告もなしにハッキングして情報を盗んでいく事が「普通」ですか……
        いい加減、こういう手合いは自浄作用として撲滅しないといけないでのはないだろうか。
        親コメント
        • いえ、*アタックまで*で、その後の情報取得は×かなと思います。

          私は今回の攻撃(?)方法は正常の範囲内だと思うのです。
          なので、正常の範囲内の脆弱性確認は、なんとか許容されるところかなと

          あと、予告できる仕組みってありましたっけ?

          # 別ACさんの「お墨付じゃないだろ」も、そうかもと思います。
          # 私が法律に無知なので、間違えているんですねきっと。

          ...一番不味いのは自分の無知と改めて認識。うぅ…
          --
          M-FalconSky (暑いか寒い)
          親コメント
          • Re:これって (スコア:2, すばらしい洞察)

            by yanagi (6075) on 2005年03月25日 15時39分 (#713779) ホームページ 日記
            アタックしちゃいけない。そこが今回の争点だと思うんだけど。
            「他人にサーバに脆弱な部分がありそうだ」「試してみたい」この段階で
            「脆弱そうなんで確認のためにアタックするけどいい?」と確認を取っていれば問題はなかったはず。
            予告できる仕組みというか普通に対象者に連絡を取ればいいのでは?
            「セキュリティ技術者が脆弱性を探す行為」は行為だけ見ればアタックでしかなく
            それが許されるのは被攻撃者がそれを認めている場合です。

            無作為にあちこちのサーバをつついて脆弱性を探すという時代は
            終わって対象者に試験の許可を取ってから脆弱性探査を行うという
            流れになっただけでしょう。
            #脆弱性を利用する人は黒い人
            #脆弱性を悪用する人は悪い人
            --
            やなぎ
            字面じゃなく論旨を読もう。モデレートはそれからだ
            親コメント
            • Re:これって (スコア:2, すばらしい洞察)

              by nakaji (14764) on 2005年03月25日 15時52分 (#713794)
              対象者に試験の許可をとろうとする行為が「犯行の予告」となって、「未遂(?)」で逮捕される世の中にならないことを祈ります。
              親コメント
              • Re:これって (スコア:3, 参考になる)

                by Artane. (1042) on 2005年03月25日 19時23分 (#713959) ホームページ 日記
                いや、企業的にみれば、「過剰反応」する方が普通かもしれませんよ。
                「脆弱性がある疑いがあるのでテストする」
                →「脆弱性のある物を使っているという風評被害を起こすのか、会社の名誉を傷つけるのか!」となる経営者や管理職は少なくないでしょうね。
                # 特に経営陣がセキュリティに疎い会社ほどそういう過剰反応をすると思う

                親コメント
    • Re:これって (スコア:2, 参考になる)

      by marute (13883) on 2005年03月25日 15時47分 (#713787) 日記
      >セキュリティ関係は、ノーガード戦法でもOKってお墨付きが
      >司法から与えられたっ、て事なんでしょうかね。

      司法が、所謂『ノーガード戦法』に『「お墨付」を与えた』というのは
      論理が飛躍しすぎですよ。

      office氏に対する有罪判決は、あくまでも累犯を「容易に喚起」しうる
      点に関するる懲罰であって、けして『ノーガード戦法』を容認する内容ではないと思います。

      そもそも、office氏程の「ハッカー」は「白ハッカー」として、
      ACCSに対し、脆弱性を教授するべき立場であったにも関わらず、
      いたずらに、ACCSに対する「攻撃方法」を公表してしまった
      点が非難されていのだと思いますが?
      親コメント
    • by mocchino (13752) on 2005年03月25日 13時52分 (#713687)
      管理者が想定していないアクセスだと不正になるなら、まさにノーガードですねぇ
      全て想定出来るなら、セキュリティホールなんて生まれない訳で(苦笑)
      逆に言えば、まともに脆弱性検査&対応を実施していると宣言していない企業に対し個人情報は預けるなと言いたいのかもしれませんね

      来月から個人情報保護法が完全施行されるわけですが、さてはてどうなる事やら
      親コメント
    • Re:これって (スコア:1, 興味深い)

      by Anonymous Coward on 2005年03月25日 14時20分 (#713703)
      サイト管理者側がノーガード戦法をとるメリットって何ですか?

      確かに、ノーガード戦法を取るサイトにクラッカーが不正アクセスを
      した場合、クラッカーは禁止法で処罰されますが、だからといって
      発生した損害については誰も補償してくれませんよ?

      例えば私が銀行などのサイトを攻撃して100億円の損害を与えたと
      しても、私に弁済可能な金額なんてせいぜい1000万円くらいな わけで、
      99億9千万円の損失を被ったこの銀行がノーガードを取っていた
      メリットなんて何もないわけですが。

      今回のACCSだって信用がた落ちなわけですし、Office氏が有罪に
      なったところで、損害は回復されないんですけど。
      #2年半ほど前に、ユーザがファーストサーバ社のサービスを利用
      #したいというのを、押しとどめて良かったと思っているのでAC。
      親コメント
    • Re:これって (スコア:1, 興味深い)

      by Anonymous Coward on 2005年03月25日 14時24分 (#713708)
      ACCSから個人情報が漏洩して
      誰が情報を盗んだか分からなかった場合はACCSが謝罪する事態になってたんですかね、、、

      これからはセキュリティ的にまずいつくりになっていた場合でも
      誰も指摘してくれず、漏洩してからはじめて問題が発覚するようになるんでしょうね
      #むしろ隠蔽されるかも?
      親コメント
  • by ted21century (11877) on 2005年03月25日 13時45分 (#713684)
    不正アクセス行為の防御措置を破っていることが構成要件なのに,セミナーで公開して模倣犯を呼んだことまでも含めて判決文が書かれていることに違和感があります。

    どうせなら業務妨害で罪に問われた方が世のため人のためだったようにも思います。こんなあいまいな定義の不正アクセスを判例にしないためにも,控訴して戦い続けるのがoffice氏の社会的責任でしょう。
    • by Anonymous Coward on 2005年03月25日 13時56分 (#713688)
      判決文を読んでないのでわかりませんが、
      主文でなく情状の方にセミナー云々は書かれているのでは?
      情状に構成要件以外のことが書かれているのは変じゃないと思いますが。
      親コメント
      • by Anonymous Coward on 2005年03月25日 14時08分 (#713693)
        朝日の記事によれば、セミナー云々は情状の方ですね。
        不正アクセスの動機付けとして言及されているのであって、構成要件は
        あくまで不正アクセスに関することだと思います。
        親コメント
  • by tia (12881) on 2005年03月25日 14時15分 (#713697)
  • by mito (10101) on 2005年03月25日 23時39分 (#714084)
    という意見が多いようですが、現状、刑事処分での実装は現実的ではないと思われます。
    以下を守るべし、という法律がないので。
    たとえ出来たとしても、Windowsのパッチを当てていないエンドユーザを刑事罰の対象にするのは無理があると思います。

    インターネットは電気、ガス、水道と同じく、社会のインフラとなっていますので、
    その仕組みを知らない一般の人でも安全に使用できる仕組みを、行政から提供すべきだと思います。
    極論ですが、グローバルアドレスが割り振られた機器の管理には免許が必要・・・とか。
  • by Anonymous Coward on 2005年03月26日 0時59分 (#714134)
    今回の事件は

    ・被告人が取得した情報、侵入手段を公開した点は問題
    ・サーバのセキュリティが最低水準だったのは大問題

    という2つの問題をはらんでいるわけですが、技術者以外には後者の問題の深刻さが伝わっておらず、今回の判決でも後者の問題は全く考慮されず、多くの技術者がサーバのセキュリティやサーバの動作の仕方についてさかんに発言する事態になっているのだと思っています。
    ただ、技術者の発言が http と ftp が違うなどの技術的な発言が先行してしまい、畑違いの人間には分かりにくく、結果として今に至るまで技術者以外には問題の深刻さが理解されていないという悲劇的状況になっているのではないでしょうか?
    という反省をしたので技術者以外に向かって説明する努力をしてみようと思います。



    最大の問題は今回の事件においてサーバ(CGI)は本来持っているべきセキュリティに関する機能を全く持っていなかった事です。「こんな状態なのに今回の事件を不正アクセスと認定するのは止めてくれ」というのが主張の主旨になります。
    サーバ(CGI)のセキュリティが何故重要なのか?というと、それは HTML ページがホームページ訪問者が見ているものとして動作するのに対して、サーバ(CGI)は「通常は」ホームページ訪問者ではなく、ホームページ制作者が操作しているものとして動作するからです。
    「通常は」と言ったのは、セキュリティを高めるためにホームページ訪問者が操作しているものとして動作させる事ができるにも関わらず、それだとホームページ制作者やプログラム作成者にとって不便だから「通常はそうしない」という事情があるからです。 当然自分たちの都合でセキュリティを下げているわけですから、その代わりにプログラム作成者が CGI の中でセキュリティがきちんとしているようにプログラムを作るわけです。いや、作らなければならないのです。

    ここまででだいぶ見えてきたのではないかと思いますが、上記プログラムによる処理がされていない=全くセキュリティに関する処置が施されていない状態は、プログラム作成者こそが大問題であり、そのプログラム作成者を結果として擁護してしまう「今回の事件も不正アクセスね」という判決は大変困った判決になるわけです。



    #少しは技術者以外にも伝わるとといいなぁと思いつつ噛み砕いて説明してみました
    #./ で発言する意味は全くないかもしれませんが、活発なのがここくらいなので(苦笑
  • by hkt (2602) on 2005年03月25日 14時00分 (#713691)
    元研究員に有罪判決 ACCS不正アクセス事件 [itmedia.co.jp]によるとftpdで認証していたし,そちらからアクセスするのが普通なんだから,それ以外の方法でアクセスしたのは認証回避だということのようです.

    すごいな~,remote exploitをつついてサーバ乗っ取るのはsshdかtelnetdの認証回避だから不正アクセス禁止法違反ともいえるわけだ.
    サイバーノーガード強し…
  • 茶番 (スコア:2, 興味深い)

    by Elbereth (17793) on 2005年03月25日 14時17分 (#713700)
    お笑いなのは、(裁判官を含む)この事件の当事者達が、高度情報化社会の健全な発展を望んでそれぞれ行動しているはず(と思う)が、みんな逆に阻害するようなことばかりしているってことですかね。
  • 情報の価値 (スコア:2, 興味深い)

    by poundcake (11852) on 2005年03月25日 16時05分 (#713805) 日記
    個人情報だからまずい、でも個々人が訴えるほどの情報ではない。それでACCSはお咎めなしと。
    office氏が情報を漏洩したのも、そもそも大した情報じゃないからでしょう。

    ようやく個人情報保護法が動き出そうというような過渡期には、もうちょっとマイルドな対処を求めたい。
    地裁とはいえ…

    office氏がもっと価値のある情報をダウンロードしていれば、両成敗になって、
    日本(のネットワーク)が今より少し安全になったかもしれない。
    国内より外を見てもらいたいものです。セキュリティも、ACCSが大好きな著作権も。
  • by vn (10720) on 2005年03月26日 7時53分 (#714214) 日記
    ヨソのサーバに関して「これってセキュリティホール?」と思ったときに、
    だれだって空騒ぎは起こしたくない。管理者に連絡するなどの行動に
    移る前に、ある程度、本当にまずい設定になっているという確証を得たい、
    と考えるのは自然なことだ。
    その事前調査の過程で、たとえば意図した通りの POST リクエストを発行
    するために HTML フォームを独自作成したり、その結果取得した CGI スクリプト
    を読む、というのは、科学者として当然やるべきことをやる、という範疇から
    逸脱しているようには思えない。

    もし仮に、調査の過程で /etc/shadow みたいな情報を取得して、
    暗号化されたパスワードを総当たりで解読したなら、既存の法律に
    触れることを予想すべきだ。だがこの裁判で問題となっている調査
    行為には、そのようなあからさまな不法行為が見当たらない。

    「FTP ではパスワードで保護されていた」というのは筋の通らない主張だ。
    じゃあ FTP がパスワードなしで読み出し放題になっているマシンでも、
    AppleTalk や DECNET かなんかでパスワードがかかっているという理由だけで
    FTP 経由のあらゆる事前調査が不正アクセスになってしまうと言えるのか?
    そんな考え方は、社会のセキュリティ向上にとって害でしかない。

    それを踏まえ、今回の判決の少なくとも一部は間違っていると認めた上で、
    セキュリティホールに関する科学的な事前調査はどこまで許されるのか、
    その通知方法や、(通知が効果を上げなかった時の)公共への問題提起の
    方法はいかにあるべきか、という問題が未解決であると認めざるを得ない。
  • by flatline_prot (18730) on 2005年03月25日 13時45分 (#713683)
    >URLの書き換え程度が不正アクセスに当たるって事になるのも、

    URLじゃなくてHTMLじゃない? URL書き換えがダメなら、連番エロ画像やエロストリーミングファイルのぶっこぬきが出来なくなるじゃあないか!

    # 自分はやったことありませんよ

    どっちにせよM-FalconSkyさん [srad.jp]がコメントしてるように試験方法としては妥当なやり方だと思うな
    • Re:URL? (スコア:1, 興味深い)

      by Anonymous Coward on 2005年03月25日 14時06分 (#713692)
      試験方法として妥当かはともかく、試験する事は果たして許されるべきか?
      穴があるかも、と気づいて 試しに実際に穴の向こうを覗く ってのはやっぱり悪い事なんじゃないの、と。

      かと言って「試してないから推測だけど、穴あるんじゃないの?」と尋ねた所で相手にしないとこの方が多いだろうし、
      相手にしてもらうために「穴がある可能性を当人に伝えました」とWebで宣伝したりしたらそれこそ訴えられそう。
      親コメント
  • by Anonymous Coward on 2005年03月25日 13時57分 (#713689)
    サーバ管理者各位にはこの判決にかかわらず個人情報を含め
    外部に公開すべきでない情報を保護するための技術的に妥当な
    対策を引き続き怠らぬようお願いしたい。

    不正アクセスであろうが何だろうが、漏洩した情報をすべて
    回収できるようになった訳ではありませんので。
    • by maty (3877) on 2005年03月25日 14時29分 (#713710)
      外部に漏らしたくない情報がある鯖にはFTP入れたんで対処完了!!
      親コメント
      • by mocchino (13752) on 2005年03月25日 14時38分 (#713718)
        アクセス経路がhttpなのに、なんでftpで規制かけてるとOKなんでしょうね
        今回、ここがもっとも判らない所
        httpでのアクセス経路にてデーターが取り出されて居るのだから、httpでのアクセスに対して、アクセス制限がかけられて居たかどうかを証明し、判断するのが普通だと思うのに
        なんか肩すかし食らってるようにしか思えないですよね

        裁判官に知識が無いのがいけないのか、弁護人が説明できなかったのか、それとも検事がうまかったのか..
        いったい何が起こったのだろう(苦笑)
        親コメント
        • by Anonymous Coward on 2005年03月25日 16時07分 (#713806)
          女風呂の入り口(ftp)

          |番台で女性かどうかチェック

          女風呂+女体(個人情報)
          | ↑
          塀 |風呂桶(cgi)を積み重ね(パラメータ改変)て塀の上から覗いた
          | |
          男風呂+何かの花園(httpで閲覧可能なもの)

          |番台で男性かどうかチェック

          男風呂の入り口(http)

          「風呂桶が積み重ねられるのが問題」とか「塀の上に何も無いんだから覗かれて当然」とか言われても・・・ねぇ?
          親コメント
        • by gnaka (17369) on 2005年03月25日 18時56分 (#713944) 日記
           この判決の背景には、この法律の目的ないし保護する利益は、ネットワークに接続されたコンピュータが、管理者が許可を与えた範囲でのみ第三者がそのコンピュータにアクセスできることである、との誤解があるように思えます。

           「不正アクセス禁止法」(これは通称ですが)という名前にも引きずられたのかもしれませんが、「識別符号」なる概念が基本に置かれる規定振りを見るかぎりでは、この法律の保護する利益範囲はもっと狭く、要するに認証機構が正常に動作することでしょう。とくに3条2項の構成では、1号で他人の識別符号の使用を禁止した後に、問題となった2号が来ているので、他人の識別符号の使用に準じるような形態での「情報(中略)又は指令を入力」することが想定されていると考えるべきです。したがって、ここでいう情報または指令の入力は、なんらかの識別符号を入力した場合と大体において同一の結果をもたらすものであることが必要であると解すべきです。

          # この解釈は要するに、おそらく高木説 [takagi-hiromitsu.jp]と結論において同旨となります。

           この解釈では、例えばnamedの脆弱性を突いてシェルを実行し、リモートからログインした場合には、不正アクセス禁止法違反の罪に当たる可能性があります。つまり、一般に、ネットワークから認証を受けてアクセスできる誰かの権限でリモートから実行可能なシェルの類を実行できる状態とすれば、同法違反の罪に当たる可能性はあります。
           一方、Windows NT 4.0上において、システムアカウントで動作するSQL Serverの脆弱性を突いて同アカウントで動作するシェルにリモートでアクセスできる状態にしたときは、ネットワークからシステムアカウントでログオンすることができず、またAdministratorsグループのアカウントも含めどのアカウントとも権限の内容が異なることから、同法違反の罪には当たらない可能性があるということになります。

           この解釈によると、本件では、被告人のした行為による結果として獲得した権限ないし能力は、ftpdでいずれのユーザとしてログインした場合に獲得できるサービスの内容よりもはるかに狭く、任意のユーザとしてログインした場合と結果がほぼ同一とはいえないので、不正アクセス禁止法違反の罪にあたらず、無罪とすべきものと考えられます。
          親コメント
    • by tetsuya (11853) on 2005年03月25日 16時41分 (#713846) 日記
      そうですね、問題のあるサイトにおいて責任をもつべきはそのサイトの持ち主な訳で発注側がしっかりとチェック事が大事だと思うんですよね。とはいえ自分では作れないから発注する訳で、それもなかなか難しい。

      というわけで最近話題の 受け入れテストセキュリティチェックリスト for WEBアプリケーション [geocities.jp]というのはいかがでしょう。

      このくらいは当たり前で最低線?それともいい線いってるのでしょうか? 技術者向けじゃなくて、発注企業側向けのこの手の参考書籍ってあっても良いように思います。

      といいつつ自分自身はこの辺はさっぱりなんで、エロい方の突っ込み、参考図書紹介などお願いします。
      親コメント
      • by ikepyon (613) on 2005年03月26日 1時13分 (#714140) 日記
        作成の人です。
        内容としては最低限この程度はクリアしないと守ってるとは言えませんよというほど、基本的なものです。今回の事件も最低限すら守っていなかったために発生したものですから技術屋さんとしては恥ずかしいと思わないといけない程度のレベルのものです。
        確かにどの程度のチェックをやってれば安全だよと言う指針がないので受け入れテストをやる側も知らないといけないよねっていうことで皆さんの協力を得て最低限のレベルのものを作ったものです。
        発注側企業向けの資料は今のところないですが、AppScan、WebInspect、ScanDoといったツールを使えばこの程度のチェックはやってくれます。もっともこれらツールのチェックを通ったから安心だと言えないんですけど…抜け道はいくつかありますから。
        親コメント
  • URL推測が犯罪なら (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2005年03月25日 14時51分 (#713726)
    やばっ。北大の合格結果発表、時間前にのぞいちゃったよ [kahoku.co.jp]。
    ftpでファイルの管理していた場合、これも犯罪ということになるのか知らん。ログから追跡されて不合格にとか。
typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...