[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:8635] Re: ACCS不正アクセス事件で、有罪判決
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:8635] Re: ACCS不正アクセス事件で、有罪判決
- From: hamamoto <hamamoto@xxxxxxxxxxxxxxxxx>
- Date: Thu, 31 Mar 2005 23:19:14 +0900
はまもとです。
On Thu, 31 Mar 2005 20:04:35 +0900
Hiroshi Migimatsu ^^ <minz@xxxxxxxx> wrote:
>
> みんつですっす
>
> > ・一般に見てはいけないとされるものは勝手に見てはいけないし、まして公開
> > してはいけない
>
> そういうコトが「不正アクセス法」に触れる、とされてしまったわけ
> ですよねー。今回の事例を一般化した表現にするならば、
>
> 「リンクしてないコンテンツを表示する」
> -> 見せる意図がないことを容易に想定できる
> -> つまりは事実上「URL 直打ち」は不正アクセス法違反(!!)
>
> いくら技術論で論証しても、一般のWWWサイトに対する感覚からすれば
> この判断はやむないことなのでしょう。。。かね?
私としては、ちせさんの理由のまとめ↓を見られたのなら、上記のような点を
危惧する心配はない思います。(あえて引用します)
結局、行った行為は、ひとつのきっかけでしかなく、それを行ったときの思い
や、その後の影響範囲、社会的影響など、総合的な人間的な判断をしているよ
うに感じました。
私自身、その裁判の現場にいたわけではないのでわかりませんが、山崎はるか
さんのコメントからも同じような印象を受けましたので、感覚的な受け取りと
しては間違えてないかと。
結局、裁判所で判断するのは人間なので、ここまで人間的な判断になると、
技術的にその行為が不正アクセスか否かで理論的に勝負を挑んだofficeさん
にとっては、はじめから分が悪かったのかもしれません。
> 3:理由
> ・ACCSによるアクセス制限を免れることのできる指令を使って不正アクセスをした。
> ・ウェブサーバの設定ではCGIは処理を実行するようになっており、FTP以
> 外で読み込みが可能なものではなかった。つまりプログラムの瑕疵や設定の不備が
> なければFTPでしか見られないものであった。
> ・通常のアクセス方法として想定されていないことを行ったのだ。
> ・特定電子計算機とは本件サーバのことを指し、各プロトコルごとに判断する根拠
> はない。
> ・プロトコルが異なるためにアクセス制御機構を迂回できる場合も、トロイの木馬
> によって別のプロトコルで迂回できる場合も法律の規制範囲内であることからも、
> 不正アクセスとみなすべき。
> ・プログラムの瑕疵や設定の不備があればアクセス管理をしていない、と言うこと
> はできない。アクセス制御機能に該当しないというわけでもない。
> ・被告は三ヶ月前に該当CGIの脆弱性を知ったのに、十一月にプレゼンをするま
> でACCSにもファーストサーバにも連絡をしなかった。
> ・しかもプレゼンで「攻撃してみたいんですけど」と言い、JPCERTやACCS
> を揶揄するなど、真面目な姿勢ではなかった。これは正当な問題提起の活動の範囲内
> であるとは言い難い。
> ・また「大きな問題になる」と本人も自覚をしていた。そもそも、そうでなければ
> プレゼンで公開はしないはずである。
> ・個人が連絡をしたところでJPCERTは動いてくれないとはいえ、サーバ攻撃の
> 危険性を増してもよいというわけではない。
> ・ACCSは個人情報を集め、きちんと管理すると明言していた。被告もそれがき
> ちんと管理されているはずのものであり、公開を意図していないことは知っていた。
> ・修正の機会を与えず、危険性を高めた。
> ・CGIのソースを巧みに改変しており、巧妙かつ悪質である。
> ・被害者であるACCSは業務を停止せざるを得なくなるなど蒙ったダメージが大きい。
> しかも模倣犯が現れ、個人情報も漏洩した。
さておき、
>
> で、気になったのは、過去官公庁や企業のセキュリティポリシー運用を監査
> した際に、内部の情報盗難や機密労演の可能性などを論じていると、結構
> 「(公務員法などの)法によって(行動が制限されているので)担保している」
> って回答がは、結構多いのですよね。
>
> これを一般サイトにあてはめて、
> 「(個人情報程度のことなら)盗んだヤツが悪いし、法でやっちゃいけない
> と決まっていることなので対策の優先度は低い」
> というような文化が作られつつのであるのではないかと感じます。
>
> 本来の情報保護の観点、たとえば、盗まれた場合のリスクは回復不可能な
> 場合が多い、だから対策するのだ、ということからすると、本末転倒な
> 流れになってしまっているのではないでしょうかね。
>
> #「会場内で、HS入らねーんだもん、これからプレゼン作るっす」と
> #駆け下りていった Office 氏の姿ばかりが思い出されてしまう (^^;
確かに。。。
--
> □●□ NTTソフトウェア 株式会社
> □□● 右松 浩 (みぎまつ・ひろし)
> ●●● 0422-70-5128/090-4370-6819
>
>
> --[PR]------------------------------------------------------------------
> ★☆★ 「懸賞侍」見参!! ★☆★
> 侍ゲームで楽しく遊んで、豪華賞品を当てちゃおう!
> この戦国懸賞時代を制するのは君だ!
> さあ、バッサバッサと当ててしまえ!!!
> http://www.kenshosamurai.com/regist.html?aid=frml041227
> ------------------------------------------------------------------[PR]--
> ■GMO GROUP■ Global Media Online www.gmo.jp
>
>
+---------------------------------------------------------------------
| はまもと(Microsoft MVP Windows - Security)
| ■地域密着型情報セキュリティ勉強会
| 「第2回セキュリティもみじ」2005/5/21 開催予定
| http://d.hatena.ne.jp/sec-momiji/
| ■ハニーポッターの部屋
| http://d.hatena.ne.jp/connect24h/
| ■24 時間常時接続メーリングリスト「connect24h」開催中
| http://d.hatena.ne.jp/connect24h/20000514
| ■セカンダリDNS互助会
| http://d.hatena.ne.jp/connect24h/20000307
+----------------------------------------------------------------------
--[PR]------------------------------------------------------------------
★☆★ 「懸賞侍」見参!! ★☆★
侍ゲームで楽しく遊んで、豪華賞品を当てちゃおう!
この戦国懸賞時代を制するのは君だ!
さあ、バッサバッサと当ててしまえ!!!
http://www.kenshosamurai.com/regist.html?aid=frml041227
------------------------------------------------------------------[PR]--
■GMO GROUP■ Global Media Online www.gmo.jp