ACCS判決とトロイの木馬

| | トラックバック(0)

 ACCS裁判の東京地裁の判決で、裁判官は、次のように判示している。

また、アクセス制御機能の有無をプロトコルごとに判断するとすれば、例えば、第三者が特殊なプロトコルを介し識別符号を入力せずにホームページのファイルを書き換える機能を有する不正なプログラム(いわゆるトロイの木馬型プログラム)を電子メールによって送信し、そのプログラムを無害なプログラムだと誤信させて実行させた上、その特殊なプロトコルを使用してFTPを介して書き込みをを行うべきホームページのファイルを管理者の意図に反して書き換えてしまう行為すら不可罪となってしまい、このような典型的ともいえる行為の処罰を法は当然想定していたというべきである。そうすると、アクセス制御機能の有無については、特定電子計算機の特定利用のうち一部がアクセス制御機能によって制御されている場合であっても、その特定電子計算機にはアクセス制御機能があると解すべきである。そして、本件においては、本件CGI及び本件ログファイルを閲覧するにはFTPを介して識別記号を入力するものとされていたのであるから、本件サーバはアクセス制御機能を有する特定電子計算機であるといえるのである。

 この判示から、裁判官の電子計算機とサーバについての認識が分る。

 裁判官は、次のように考えているのだろう。

  1. ホームページを公開している電子計算機では、HTTPとFTPが同時に動いている。
  2. FTPでIDとパスワードでアクセス制御しているのであるから、ホームページ(HTTP)や電子計算機もアクセス制御されていると言える。

 確かに多くのサーバでは、HTTPとFTPが同時に動いているかも知れない。しかし、外部からの進入を防ぐ目的で、FTPのポート(電子計算機の入り口、玄関)を閉じたり、そもそも動かないようにしている場合も多く、二つのサービスが、一つのコンピュータ上で同時に動いているとは限らない。ましてや、一般の利用者が同時に動いているかどうかを知る術がないのが現実である。

 そもそも、サービスを提供するプログラムをサーバと言う。しかし、サービスを提供するプログラムをサーバ機と言うことから、物理的な電子計算機もサーバと呼ぶことも多い。

 例えば、今使っているインターネットに接続されているパソコンにアバッチというプログラムをインストールし、多少の手続きをして、必要情報を設定すれば、インターネット上でホームページを公開する電子計算機にすることができる。
 そして、そのパソコン画面上でメモ帳を使ってホームページを書き換えて、ファィルをパソコンのハードディスク上に格納すれば、インターネット上で公開しているホームページを変更することができる。FTPなどを使う必要はない。

 今、ブラウザでホームページを見ている人は、そのホームページが、どういった電子計算機にあるホームページか、ましてや、FTPサーバが動いているかなどということは、分らないのが普通である。
 今見ているホームページが、極々普通の家庭の、勉強部屋の机の隣に置いているパソコンのハードディスク上にあるのか、大手町辺りの立派なビルの入出管理が厳しい部屋にあるサーバのハードディスク上にあるのかなど、分らないだろう。

 ところで、裁判官は、判決の中で「本件サーバはアクセス制御機能を有する特定電子計算機であるといえるのである。」としている。文脈からすると、「サーバ=物理的な電子計算機」と考えているように見える。サービスを提供するサーバプログラムと、サーバプログラムが動く物理的な電子計算機を区別せず、同一としてるいように思える。
 この様にサーバの意味を混同してしまった判決では、次の事件の判断に繋げる判例とはなりえないのではないだろうか。

 次に、「トロイの木馬型プログラムを罪にできない」と判示しているが、今回の話とトロイの木馬がどう関係するのか理解できない。
 トロイの木馬は、利用者を欺いて、利用者のパソコンに侵入して、銀行口座のパスワードなどを搾取したり、パソコンなどに極端な負荷を与えて、電子計算機の動きを妨害するようなプログラムである。
 不正アクセス禁止法のどの条文で、こういった挙動をするプログラムを罰するというのだろうか。
 また、裁判官は、「その特殊なプロトコルを使用してFTPを介して書き込みをを行うべきホームページのファイルを管理者の意図に反して書き換えてしまう」と言っている。 しかし、私がトロイの木馬を作るとすれば、わざわざFTPプロトコルなどは使わない。裁判官の言うところの特殊なプロトコル(通信規約)の中で、ファイルを書き換えてしまうと思う。トロイの木馬とFTPの関係が理解できない。

 私は、トロイの木馬で損害を与える行為や、ACCS事件のような手法で、プライバシー情報を抜き出し、公開するといった行為は罰せられるべきと思っている。
 しかし、ここで私が言いたいのは、今の不正アクセス禁止法では罰することができないのではないかということである。

 今、我々がやるべきことは、不正アクセスとは何か、何をどうすると不正アクセスなのかを、既存の法律や条文にこじつけたり、都合よく解釈するのではなく、時代に合わせて見直す努力をすることではないだろうか。
 裁判所は、現行の不正アクセス禁止法の問題点を、立法府に明示すべきと思う。法律家と技術者が知恵を出し合い、不正アクセスとは何かを正面から取り上げ、議論し、できるだけ矛盾を取り払った不正アクセス禁止法にしていくべきではないだろうか。問題を提起する判示が、裁判所の努めではないのだろうか。

 裁判所も、不正アクセス禁止法が、刑罰法規であると言う重みを認識すべきであろう。

トラックバック(0)

このブログ記事を参照しているブログ一覧: ACCS判決とトロイの木馬

このブログ記事に対するトラックバックURL: http://www.ofours.com/cgi-bin/mt/mt-tb.cgi/496

このブログ記事について

このページは、弁天小僧が2006年1月12日 21:00に書いたブログ記事です。

ひとつ前のブログ記事は「損切りのすすめ」です。

次のブログ記事は「栗むし羊羹・梅ぞの」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

携帯電話用ブログURL

Powered by Movable Type 4.1

最近のコメント