パスワードを忘れた? アカウント作成
11011 story

「Lynxでアクセスしたら逮捕」の事件で有罪判決 99

ストーリー by Acanthopanax
??? 部門より

Anonymous Coward曰く、"今年1月のストーリー「Lynxでアクセスしたら逮捕された?」で話題となった事件の判決が出たとZDNet UKが伝えており、CNET Japanの日本語訳記事が出ている。この記事によると、判事は、被告に悪意がないことを認めながらも有罪判決を言い渡したようだ。イギリスのコンピュータ不正使用法(Computer Misuse Act)では、被告人に損害を与える意図があったことを検察当局は証明する必要はないのだという。被告人の弁護団は「サイトの入り口まで行ったに過ぎなかった」と主張したそうだ。
日本の不正アクセス禁止法では何が不正アクセスに当たるかがわりと明確に定められているのに対し、イギリスのComputer Misuse Actでは「その者が得ようとしたアクセスが無権限のものであり」と定義されているだけになっている。被告人の行為が日本法に照らすとどうかが興味深いところだが、具体的にどんな操作をしたかがわからない。
その他の英語のニュースソースを以下に示すので誰か分析して欲しい。 本家の記事The Registerの記事ZDNet UKの続報1ZDNet UKの続報2ZDNet UKの続報3。"

[2005-10-14 19:00 JST Acanthopanaxによる追記] コメント#813514によると、上位のディレクトリにアクセスしたことが問題とされたようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 有罪ですか (スコア:4, すばらしい洞察)

    by Anonymous Coward on 2005年10月13日 20時27分 (#813452)
    被告がコンピュータコンサルタントって事なので怪しさはあるけど、日本語訳記事の

     Cuthbertはあるバナー広告をクリックして同サイトに案内され約50ドルを寄付したと述べた。そのとき、感謝の言葉や確認ページが表示されなかったので、Cuthbertはフィッシング詐欺を疑い、サイトのセキュリティを確かめるために2つのテストを実施したという。

    フィッシング詐欺を疑う事はありえるので、これで逮捕された上に有罪というのも可哀想な話だなぁ。

    Lynxってグラフィックが非力なマシンや視覚障碍者にとっては重宝するブラウザなんだから、
    今後同様のサイト構築をする時は考慮に入れて欲しいもんです。
    再度似たような事件が起きたら、その時はサイト構築側の怠慢って事で。
    • by Anonymous Coward on 2005年10月13日 20時38分 (#813461)
      被告がコンピュータコンサルタントって事なので怪しさはあるけど、
      CNetJAPANの記事によると、「セキュリティテスト担当者として世界的な銀行グループABN Amroに勤務していた」方だそうです。
      親コメント
  • 当たり屋天国 (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2005年10月13日 20時55分 (#813477)
    逆に「Lynxのみ対応」と明言したサイトを作り、 IEなどでは何らかの不正アクセスが成功してしまうよう作り込んでおけば、 次々と狩りが成功してしまう国なのだろうか。

    CNETの記事には

     コンピュータ不正使用法は、「コンピュータコンテンツへの不正アクセスは罪にあたる」 と規定している。その際、被告人に損害を与える意図があったことを 検察当局は証明する必要はない。
     担当判事は、Cuthbertに損害を与える意図がなかったことを認めながらも、 この分野における判例法がほとんどないと指摘した。
    と書かれてあるが、この判決が判例として今後の基準になるわけだから、 それを利用した当たり屋ビジネスが成立する下地は整ったことになる。
    • 適当に~.ukなURLバラ撒いて、

      不正アクセスです!
      InternetExplorerでの閲覧は認められておりません
      不正アクセス反則金を下記の口座まで~
      ~~~~~~
      ~~~~~~

      インターネット識別コード 192.168.0.1
      インターネット識別コードはインターネット上で個人を識別する~~

      なんていう、ワンクリック当たり屋請求が
      正当な請求ということになるんだろうか…
      親コメント
  • by Anonymous Coward on 2005年10月13日 21時50分 (#813513)
    Lynxでアクセスしたから逮捕されたわけじゃなく
    サイトの中身をゴソゴソと探ってたから(悪意は無いけど)逮捕されたって事?
    ゴソゴソと探ろうとしたきっかけがLynxじゃ正しく表示されないって事だったわけで、Lynxでアクセスした事は直接関係無いように見えるけど。

    Firefoxでpopup blockをしていて、たまにちゃんと表示されないページがあったときにリロードしたり、ソースからそれらしいURL見つけて直接開こうとしてる私もアウトになるかもしれんって事か
  • CNet Japan の記事曰く
    > フィッシング詐欺を疑い、サイトのセキュリティを確かめるために2つのテストを実施した

    だそうなので、実際にはこれが不正アクセスと思われたと言う可能性はありそうです。
    このテストの内容が知りたいところですが、どこかに記載はありますかね?
    • Tsunami 'hacker' is innocent, say readers [zdnet.co.uk]
      から引用すると
      It's understood that Cuthbert added ../../../ to the URL,
      hoping to get access to higher directories in the hope of confirming
      whether or not the Web site was genuine. He argued in his case that
      when he set off an intruder alarm he was checking the site out as he
      feared that rather than actually donating he had been taken in by a
      phishing scam.


      そして、

      Tsunami 'hacker' conviction worries experts [zdnet.co.uk]

      より引用
      During the trial, Cuthbert's defence argued that any unauthorised
      access was entirely innocent. In evidence it was shown that he had
      attempted to access the tsunami donations site on two occasions and
      the site's security systems had denied him access.


      寄付するサイトのドメインが正しいかどうか
      ディレクトリをさかのぼって、それで2回、
      該当サイトのセキュリティシステムに
      接続拒否の記録されただけのようです。
      親コメント
      • これが本当なら醜いなぁ。
        最初、CNET Japanの日本語訳記事を読んで「証言を二転、三転し」とか「セキュリティを確かめるために2つのテストを実施」ってあったので、無断テストじゃぁしょうが無いかなと思ってました。
        でも、その「テスト」が"../../../"じゃぁなぁ……
        どんな証言をしたかわかりませんけど、彼は最初、その「テスト」が問題だったとは思わなかったんじゃない?彼自身がなにが問題だったか良く理解しないまま証言して、段々と問題点が分かってくるに従い証言も変わってきたのでは?
        すごく同情してきちゃった。

        さて、日本の不正アクセス禁止法だと、接続拒否されているこのケースでは「不正アクセス行為」とみなされませんね。「不正アクセス行為」は「特定利用をし得る状態にさせる行為」ですから。

        あと、些細な事かも知れませんけど、記事に追記された内容に付いて。
        ZDNet UKの続報1の書き方と、IDSが作動した事を合わせて考えると、「上位のディレクトリに」というより、リクエスト中に"../../../"とあったからだと思ったのですが、どうでしょうか?
        google等のクローラーもディレクトリを辿るようなアクセスはしているように思うし、それだけでIDSが動作するとは思えないのですが。まぁ、憶測に過ぎませんが。
        親コメント
        • 追記ですが、
          有罪判決を出した裁判官のコメントがでていました。

          Tsunami hacker convicted [theregister.co.uk]

          ここより引用
          District Judge Mr Quentin Purdy said: "For whatever reason Mr Cuthbert intended to secure access, in an unauthorised way, to that computer...it is with some considerable regret...I find the case proved against Mr Cuthbert.

          いかなる理由(フィッシングを疑った)があったにせよ、許可されていない方法でアクセスした事実により有罪という判断が下ったようです。

          「許可されていない」というのが、そのサイト管理者の
          「想定外」と置き換えれるなら、ちょっと怖いです。
          親コメント
          • 情報ありがとうございます。
            私は、「許可されていない」でも「想定外」でもコンピュータ業界とかセキュリティ業界とかそういった所で、そう判断するのが妥当という物なら有罪でもしかたないとは思うんですけど、「そのサイト管理者(=検察?)」の「許可されていない」「想定外」のアクセスだから駄目って様に思えてなんだかな、って感じです。
            記事読んでも、アクセスの理由を争ってたような感じなんですけど、そもそも不正かどうかは争われなかったのかな?
            まぁ、紳士たる者かぎまわるような事をしてはならんという、イギリスらしい所なのかも知れませんが。
            親コメント
    • It's understood that Cuthbert added ../../../ to the URL, hoping to get access to higher directories in the hope of confirming whether or not the Web site was genuine. He argued in his case that when he set off an intruder alarm he was checking the site out as he feared that rather than actually donating he had been taken in by a phishing scam.

      ディレクトリトラバースしたらしい。
      もう1つはなんだろう。
      office氏のときもディレクトリトラバース

      • office氏のときもディレクトリトラバースだったっけ?
        office氏は GET でなく POST でした。

        あ、あと、相対パスでなくて絶対パスでした。
        つまり 「../../../」ではなく「/usr/local/apache/cgi-bin/foo.cgi」。

  • by Anonymous Coward on 2005年10月13日 21時13分 (#813483)
    タレコミ人です。
    「ZDNet UKの続報3」のリンク先を間違えて「続報1」と同じにしていました。正しくは以下のものが続報3のつもりでした。

    Tsunami 'hacker' conviction worries experts
    [zdnet.co.uk]
  • 社会全体に多大な損失をもたらすという意味で犯罪的だわな。上告の余地はあるんだろうけど。
    # 何のための法かと小一時間と言わず丸一日くらい問(ry
  • by Anonymous Coward on 2005年10月14日 0時21分 (#813621)
    英国の法律でこのような結論が出たのは、このような法律になっているからであって、当然とも言える。日本の不正アクセス禁止法で判断したらどうなるか?というのは意味がない。
    もし、掘り下げて考えようとするならば、user idもpasswordも要求しないような接続を単純に繰り返してくるような攻撃(普通に考えてDoSの類)を、どう罰するのかを考えた方がいいのではないか?英国のこの法律ならば、このような行為についても同じ法律で裁くことは可能だが、日本ならば、不正アクセス禁止法ではなく、威力業務妨害などを持ち出すしかないだろう。

    そんな馬鹿な攻撃元はフィルタで遮ってしまえばOKだなんて考える人は、そのフィルタに掛かるコストを忘れているに違いない。
    • by Mogami (9104) on 2005年10月14日 0時42分 (#813633)
      法律は天から与えられるのではなく人間が作る物ですからね。
      ここで議論してる全員が間接的に影響力をもってます。
      「意味がない」ってことはないと思いますよ。

      どこかの国で庶民の常識感覚から外れた判決がでているとき、
      自分の国だったらどうなるかとか、
      元のはなしを他山の石として議論するのは、良い事だと思います。
      親コメント
      • >どこかの国で庶民の常識感覚から外れた判決がでているとき、 自分の国だったらどうなるかとか、
        >元のはなしを他山の石として議論するのは、良い事だと思います。

        ほう。ならば、先に不正アクセス法の運用について考えるのが先なのではありませんか?
        --
        Copyright (c) 2001-2014 Parsley, All rights reserved.
        親コメント
typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...