不正アクセスとはを考える
shi_moさんのブログ「タイトル未定」でACCS事件に関してmiscellaniesでの記事が紹介されている。
その中で、注目したのは、中段にあるoffice氏の掲示板として紹介されている「お馬鹿な質問 (office) 」である。
お馬鹿な質問 (office)
コンピュータに「侵入する」って どういう状態? (認証を回避して) シェルが使えるようになること?
任意のコマンドが リモートから実行できるだけでは まだ「侵入した」とは言えませんよねぇ?
アクセス制御の設定ミスなどにより (管理者が意図しない) ユーザが任意のファイルを「閲覧」できてしまう状態は たぶん セキュリティ問題の 範疇ですよね?
(Tea Room for Conference No.1393 03年06月4日)
コンピュータに「侵入する」って どういう状態? (認証を回避して) シェルが使えるようになること?
任意のコマンドが リモートから実行できるだけでは まだ「侵入した」とは言えませんよねぇ?
アクセス制御の設定ミスなどにより (管理者が意図しない) ユーザが任意のファイルを「閲覧」できてしまう状態は たぶん セキュリティ問題の 範疇ですよね?
(Tea Room for Conference No.1393 03年06月4日)
「シェルが使えるようになる」とは、「telnet でサーバに入って、UNIX など OS のシェルコマンドを使って、リモートコントロール(遠隔操作できる)ようになる」ということを言っているのだうろと思う。
そして、
「アクセス制御の設定ミスなどにより ( 管理者が意図しない ) ユーザが 任意のファイルを「閲覧」できてしまう状態はたぶんセキュリティ問題の範疇ですよね ? 」
は CGI プログラムの不良を突くことはセキュリティ破りだと認識していると言うことであろう。
この記事で私が思うことは・・・
まず、私は、CGIプログラムの不良とは、単にプログラムのロジック上の不具合だけを指すのではなく、仕様不良も含まれると考えている。
今回の場合、ACCSが利用していたCGIプログラムが、一般ユーザがブラウザで、サーバ上のCGI領域の中に格納されているファイルを印刷できるような構造になっていることは、セキュリティ面での仕様不良であり、セキュリティホールとも言える。
ここで、私が認識しているHTTPサーバの一般的な仕様だが、HTTPサーバは、コンテンツを格納する領域をドキュメントルートと呼び、これに含まれない領域は、一般ユーザには見せないと言った仕様になっている。特にセキャリティ上、配慮が必要なCGIは、プログラムが扱うファイルなどがブラウザなどで見えないようにドキュメントルート以外の領域に格納できるようになっている。一般的なサーバでは、CGIをドキュメントルート領域外に置いて運用している。ただし、ユーザIDやパスワードでアクセスを制御するものではない。
すなわち、一般の人が、たまたま、この領域に格納されている .txt や .htm .jpg .csv といったコンテンツのファイル名を知って、ブラウザで見ようとしてもサーバ (HTTP サーバ ) は拒否するといった仕組みの中で運用されているのが一般的である。
一方、CGIプログラムでホームページを生成して、画面に表示するといったことをよくやる。
CGIでホームページを表示させるには、ホームページ用のHTMLタグを、print文でファイル(画面)に書くといった風にプログラミングする。このprint命令で、クライアント画面にホームページが表示される。
ところが、CGIをプログラミングする際、表示するホームページの内容(HTMLのタグ)を、CGIの中にテキストの形で持って置くというのは、表示しようとするホームページの修正、変更の度にプログラムを変更しないといけないわで、かなり面倒である。
そこで、ホームページの内容をテキストの形でファイルの中に入れて置いて、そのファイルを読み込んで、印刷するという汎用的なプログラムを作っておけば便利である。また、ファイル名を指定すれば、その内容を画面に印刷するといった汎用的なものにしておけば、なおのこと利用範囲も広く便利ということになる。ただし、外部の人がこの汎用的な表示プログラムを使えないように分からなくしておくのが一般的である。
しかし、ACCSのサーバでは、ブラウザを通して簡単に使えるようになっていたことで、本来ブラウザでは見ることができなかったファイルの内容も見ることができるようになったということであろう。
すなわち、office氏のやったことは、ACCSのサーバに設置されていたCGIプログラムの仕様不良を突けば(セキュリティホールを突けば)、本来見えないファイルの内容が見れるようになっていたので、見たということだろう。
さて、上述の掲示板とされる内容からすれば、office氏は、このセキュリティホールを突いてアクセスすることが、セキュリティ問題の範疇であると認識していたと言える。
そして、ACCS裁判の公判でも、これが「不正アクセス禁止法」の「条文が禁止していること」には当らないと主張しているのだろう。
さて、上述で説明したような「セキュリティ破り」は「不正アクセス禁止法」の対象になっているのか、あるいはなっていないのか。
不正アクセス禁止法でいう「不正アクセス」とは、何を指しているのだろうか。不正アクセス禁止法は刑事罰のある刑法である。裁判所の判断が待たれる。
不正アクセス禁止法の条文は、telnetでのアクセスを強く意識した条文になっているように思える。
不正アクセス行為の禁止等に関する法律
第三条2項
一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
【私の考え】
telnetで、目的とするサーバを操作する場合、ユーザIDとパスワードが必要になる。他人のIDやパスワードを盗用するなどして、その者になりすましてサーバにアクセスする行為は犯罪になるということだろう。
二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
【私の考え】
なんらかの方法で、IDやパスワードをすり抜けて、当該サーバ内に入り込み、サーバにアクセスする行為は犯罪になると言っているのだろう。
三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
【私の考え】
他のサーバを踏み台にして、ターゲットとするサーバに入り込み、そのサーバを使う行為は犯罪であると言っているのだろう。
第三条2項
一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
【私の考え】
telnetで、目的とするサーバを操作する場合、ユーザIDとパスワードが必要になる。他人のIDやパスワードを盗用するなどして、その者になりすましてサーバにアクセスする行為は犯罪になるということだろう。
二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
【私の考え】
なんらかの方法で、IDやパスワードをすり抜けて、当該サーバ内に入り込み、サーバにアクセスする行為は犯罪になると言っているのだろう。
三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
【私の考え】
他のサーバを踏み台にして、ターゲットとするサーバに入り込み、そのサーバを使う行為は犯罪であると言っているのだろう。
トラックバック(0)
このブログ記事を参照しているブログ一覧: 不正アクセスとはを考える
このブログ記事に対するトラックバックURL: http://www.ofours.com/cgi-bin/mt/mt-tb.cgi/214
個人的な印象ですが....
不正アクセスを刑法の住居侵入にたとえるなら、Office氏の事件は軽犯罪法23条に相当するようなイメージがあります。
生け垣の向こうでご夫人が水浴をしているのを、背伸びして覗き見た感じ。