ACCS事件に思うの最近のブログ記事

ACCS判決とトロイの木馬

2006年1月12日 21:00 弁天小僧 | | トラックバック(0)

 ACCS裁判の東京地裁の判決で、裁判官は、次のように判示している。

また、アクセス制御機能の有無をプロトコルごとに判断するとすれば、例えば、第三者が特殊なプロトコルを介し識別符号を入力せずにホームページのファイルを書き換える機能を有する不正なプログラム(いわゆるトロイの木馬型プログラム)を電子メールによって送信し、そのプログラムを無害なプログラムだと誤信させて実行させた上、その特殊なプロトコルを使用してFTPを介して書き込みをを行うべきホームページのファイルを管理者の意図に反して書き換えてしまう行為すら不可罪となってしまい、このような典型的ともいえる行為の処罰を法は当然想定していたというべきである。そうすると、アクセス制御機能の有無については、特定電子計算機の特定利用のうち一部がアクセス制御機能によって制御されている場合であっても、その特定電子計算機にはアクセス制御機能があると解すべきである。そして、本件においては、本件CGI及び本件ログファイルを閲覧するにはFTPを介して識別記号を入力するものとされていたのであるから、本件サーバはアクセス制御機能を有する特定電子計算機であるといえるのである。

 この判示から、裁判官の電子計算機とサーバについての認識が分る。

 裁判官は、次のように考えているのだろう。

  1. ホームページを公開している電子計算機では、HTTPとFTPが同時に動いている。
  2. FTPでIDとパスワードでアクセス制御しているのであるから、ホームページ(HTTP)や電子計算機もアクセス制御されていると言える。

 確かに多くのサーバでは、HTTPとFTPが同時に動いているかも知れない。しかし、外部からの進入を防ぐ目的で、FTPのポート(電子計算機の入り口、玄関)を閉じたり、そもそも動かないようにしている場合も多く、二つのサービスが、一つのコンピュータ上で同時に動いているとは限らない。ましてや、一般の利用者が同時に動いているかどうかを知る術がないのが現実である。

 そもそも、サービスを提供するプログラムをサーバと言う。しかし、サービスを提供するプログラムをサーバ機と言うことから、物理的な電子計算機もサーバと呼ぶことも多い。

 例えば、今使っているインターネットに接続されているパソコンにアバッチというプログラムをインストールし、多少の手続きをして、必要情報を設定すれば、インターネット上でホームページを公開する電子計算機にすることができる。
 そして、そのパソコン画面上でメモ帳を使ってホームページを書き換えて、ファィルをパソコンのハードディスク上に格納すれば、インターネット上で公開しているホームページを変更することができる。FTPなどを使う必要はない。

 今、ブラウザでホームページを見ている人は、そのホームページが、どういった電子計算機にあるホームページか、ましてや、FTPサーバが動いているかなどということは、分らないのが普通である。
 今見ているホームページが、極々普通の家庭の、勉強部屋の机の隣に置いているパソコンのハードディスク上にあるのか、大手町辺りの立派なビルの入出管理が厳しい部屋にあるサーバのハードディスク上にあるのかなど、分らないだろう。

 ところで、裁判官は、判決の中で「本件サーバはアクセス制御機能を有する特定電子計算機であるといえるのである。」としている。文脈からすると、「サーバ=物理的な電子計算機」と考えているように見える。サービスを提供するサーバプログラムと、サーバプログラムが動く物理的な電子計算機を区別せず、同一としてるいように思える。
 この様にサーバの意味を混同してしまった判決では、次の事件の判断に繋げる判例とはなりえないのではないだろうか。

 次に、「トロイの木馬型プログラムを罪にできない」と判示しているが、今回の話とトロイの木馬がどう関係するのか理解できない。
 トロイの木馬は、利用者を欺いて、利用者のパソコンに侵入して、銀行口座のパスワードなどを搾取したり、パソコンなどに極端な負荷を与えて、電子計算機の動きを妨害するようなプログラムである。
 不正アクセス禁止法のどの条文で、こういった挙動をするプログラムを罰するというのだろうか。
 また、裁判官は、「その特殊なプロトコルを使用してFTPを介して書き込みをを行うべきホームページのファイルを管理者の意図に反して書き換えてしまう」と言っている。 しかし、私がトロイの木馬を作るとすれば、わざわざFTPプロトコルなどは使わない。裁判官の言うところの特殊なプロトコル(通信規約)の中で、ファイルを書き換えてしまうと思う。トロイの木馬とFTPの関係が理解できない。

 私は、トロイの木馬で損害を与える行為や、ACCS事件のような手法で、プライバシー情報を抜き出し、公開するといった行為は罰せられるべきと思っている。
 しかし、ここで私が言いたいのは、今の不正アクセス禁止法では罰することができないのではないかということである。

 今、我々がやるべきことは、不正アクセスとは何か、何をどうすると不正アクセスなのかを、既存の法律や条文にこじつけたり、都合よく解釈するのではなく、時代に合わせて見直す努力をすることではないだろうか。
 裁判所は、現行の不正アクセス禁止法の問題点を、立法府に明示すべきと思う。法律家と技術者が知恵を出し合い、不正アクセスとは何かを正面から取り上げ、議論し、できるだけ矛盾を取り払った不正アクセス禁止法にしていくべきではないだろうか。問題を提起する判示が、裁判所の努めではないのだろうか。

 裁判所も、不正アクセス禁止法が、刑罰法規であると言う重みを認識すべきであろう。

ACCS判決、勝負あったとは思えないのだが・・・

2005年10月10日 21:20 弁天小僧 | | コメント(2) | トラックバック(0)

 私は、9月22日に「ACCS事件、東京地裁判決に思う」という記事を書いた。この記事に対して、ハスカップさんからコメントを頂いた。その中で、「不正アクセスの文理解釈の部分は,別のところで判示されていますが,こっちは勝負あったという感じがしました。」とコメントされていた。

 確かに、ハスカップさんのご指摘のように、判決文には、「・・・これを基準にアクセス制御機能の有無を判断すべきことは文理上当然である。」と判示している部分がある。
 しかし、この判示を読んでも、私には、「勝負あった」とは、思えなかった。そこで、私が感じたことを、補足しておこうと思う。

 計算機を動かす技術として、VM(Virtual Machine・仮想計算機)オペレーティングシステムといった技術がある。

 みなさんもご存知と思うが、OS(オペレーティングシステム)という基本ソフトウェアが、物理的なコンピュータを、動かしている。

 冒頭で提示したVMは、異なった複数のOSを、一台のコンピュータ上で、仮想的に複数台として動かす技術である。すなわち、物理的に一台のコンピュータを論理的に複数のコンピュータとして利用する技術と言える。
 例えば、WindowsとUNIXが、同一計算機上で同時に動いているといった場合があるかも知れない。OSが異なっていたとしても、外部記憶装置に格納されているデータは共有して利用するといったことも可能である。(実際に、そのような形で運用しているサイトがあるかどうかは別ではあるが。)
 コンビュータの利用者は、自分が利用しているコンピュータが、VMの下で論理的に一台のコンピュータとして動いているのか、物理的に別々のコンピュータ上で動いているかは意識せずに利用する。
 すなわち、自分が今使っているコンピュータが、物理的に区別されているかどうかは、コンピュータを利用する人からしてみれば、意味が無いことを示している。特定電子計算機とは、論理的に区別される一台のコンピュータと考えるのが妥当であろう。
 さて今、一台のコンビュータ上のVM下でWindowsとUNIXが同時に動いていたとしよう。また、Windowsを利用する際には、パスワードも必要なく、コンピュータを自由に利用できるとする。一方、UNIXを利用する場合、ユーザIDとパスワードが必要だとする。このような状況下で、Windowsを利用する人が、UNIXと共有しているデータを利用した場合、Windowsからデータを利用した人を、コンピュータに不正アクセスしたとして、不正アクセス禁止法で、罰することができるのであろうか。

 一方、インターネット(TCP/IP)では、コンビュータへの複数の入り口(玄関・ポート)を定義している。これらの入り口に対応して、VMで言うOSのような役目を持つプログラムが、外部との情報のやり取りを制御している。代表的なものに、HTTPやFTPがある。そして、これらはVMとは逆に(同じに?)、物理的に同じ特定電子計算機上で動いている必要はない。ましてや、利用者はコンピュータが物理的にどのような構成で動いてるかを知る術はないのが一般的である。

 裁判官は、このように、利用者が、コンピュータが物理的にどのような構成で動いているかを判断することができないにも係わらず、あたかも物理的に同一の特定電子計算機で動いていることを前提として、不正アクセス禁止法を解釈していないだろうか。裁判官は、不正アクセスに関して、具体的基準を判示することなく、あるいは目をつぶり、ただ「・・・これを基準にアクセス制御機能の有無を判断すべきことは文理上当然である。」と言っているように取れる。

 すなわち、HTTPという「特定電子計算機」を使う人が、FTPという他の「特定電子計算機」のユーザIDやパスワードを指定してアクセスしないと、不正アクセス禁止法で禁止している不正アクセスになると、条文のどこをどう読めば、文理上明確であると断言できるのだろうか。裁判官は、なんら具体的に判示していない。
 文理上断言できるのは、あくまで「一つの特定電子計算機」に、パスワード破りなどで侵入するのは不正アクセスだと言っているだけである。

 温泉が好きなので、よく温泉に行く。男女混浴の温泉というのもある。混浴といっても、男女の脱衣場は別々であることが多い。それぞれの脱衣場から繋がっている湯舟は一つであり、湯舟を男女一緒に利用するということである。もちろん、脱衣場が別々であったとしても混浴であることは明示されており、利用者は混浴であることを承知した上で利用する。

 しかし、男女が同じ湯舟を使うとしても混浴ではないという場合もある。そういった温泉で、男子の脱衣場には自由に入れるが、女子の脱衣場の入り口には番台があって、男子が入らないように制限されていたとする。ただし、湯舟が男女共同とはどこにも書いてない。こんな場合で、男子の脱衣場に入った男子が湯舟に行った場合、女子風呂に不法侵入したと言うのであろうか。
 男子に女子と一緒に湯舟を利用してほしくないのであれば、男子の脱衣場の前にも、番台を置くべきであろう。そして、女子の入浴時間帯は、男子は入浴させないといったような制限をすべきてあろう。

 こう見ていくと、確かに、「不正アクセス禁止法」には不備な点があると思し、今のような使われ方は想定していなかったのではないだろうか。しかし、だからと言って、裁判官は、不備な法律を根拠に、人を犯罪人として裁くというはいかがなものかと思う。犯罪として人を裁くのではなく、法律の不備を指摘すべきであろう。

 この点、判決文の中で唯一「不正アクセスとはなにか」に関して、裁判官の考えを示したと思われるところが、先の記事で指摘したトロイの木馬に関する部分ではないだろうか。そう感じたので、「注目した点」として取り上げたわけである。

ACCS事件、行為の違法性

2005年9月23日 07:30 弁天小僧 | | コメント(1) | トラックバック(0)

 不正アクセス禁止法で言うところの「不正アクセスとは何か」といった技術的な本質は横に置いて、東京地裁の裁判官が判決の中の「行為の違法性」で述べているように、被告人の行動については、確かにまずいと思う。

四 行為の違法性
(1)・・・特に、事前にACCS等に脆弱性の報告をせず、修正の機会を与えないまま、この発表をしたことは、被告人の手法をまねて攻撃するという危険性を高めるものであったとうばかりでなく、被告人の本件各アクセス行為はそのような形で公表することを目的としてなされたものであって、正常な問題指摘活動の限界をはるかに超えるものであり、正常な活動の一環であったとは到底認められない。また、プレゼンテーションの仕方やその際の発言内容等にも照らすと、脆弱性を発見した自己の能力、技能を誇示したいとの側面があったことも否定できないところである。被告人も、捜査段階において、「発表されたときになかりやばい内容、大きな問題になる」との認識があり(乙三)、正常な活動でないことを自覚していたと認められるのである。そうすると、被告人の行為は正常な問題指摘活動であるから違法性がないとの弁護人の主張は、前提を欠くものであって、被告人の行為が違法であることは明らかである。
(2)被告人は、本件動機について(-中略・イベントで公表すればJPCERT/CCが動くだろうと考えたという動機-)そのような動機を有していたとしても、サーバへの攻撃の危険性を高めるような公表行為が許されるはずはなく、そのような公表のためにされた本件アクセス行為が正当化されることもないと解すべきである。

 問題は、こういった行為を、現行の不正アクセス禁止法で、犯罪として裁けるかどうかにあるのではないだろうか。

ACCS事件、東京地裁判決に思う

2005年9月22日 19:01 弁天小僧 | | コメント(2) | トラックバック(0)

 今日、判例時報に掲載されている「ACCS事件」の東京地裁での判例を読んだ。

 ここで、裁判官は、「アクセス制御機能」の有無は、プロトコル(コンピュータ間のデータ通信の規約)ごとではなく、特定電子計算機ごとに判断すべきとしている。

 判決文で、特に目に止まったのは、次の部分である。

・・・
また、アクセス制御機能の有無をプロトコルごとに判断するとすれば、例えば、第三者が特殊なプロトコルを介し識別符号を入力せずにホームページのファイルを書き変える機能を有する不正なプログラム(いわゆるトロイの木馬型プログラム)を電子メールによって送信し、そのプログラムを無害なプログラムだと誤信させて実行させた上、その特殊なプロトコルを使用してFTPを介して書き込みを行うべきホームページのファイルを管理者の意図に反して書き換えてしまうというような行為すら不可罰となってしまい、このような典型的ともいえる行為の処罰を法は当然と想定していたというべきてある。
・・・

 要するに、サーバ(電子計算機)をプロトコルごととすると、トロイの木馬を処罰することができなくなる。そんなのは法律として可笑しいので、当該法律は当然処罰することを想定しているはずだ、と言っているように読める。

 主旨は分からないでもない。しかし、何か変である。
(1)該当法律は、今のようなコンピュータの利用形態を想定したものになっているのだろうか。
(2)裁判官は、法の不備を指摘するのであれば理解できる。
(3)しかし、法律を裁判官の判断で勝ってに解釈して、それを判決の理由にしているようにも見える。

 私は法律の専門家ではないので、法律論として論理立て指摘することはできない。しかし、直感的ではあるが、裁判官が、判決の理由としている考えは、やはり変だと思う。


ハイテク犯罪の捜査とデジタル犯罪論

2005年6月22日 08:14 弁天小僧 | | トラックバック(0)

 一つ前の記事で紹介した札幌高検の大橋検事の捜査研究に連載されている「ハイテク犯罪の捜査」は大変参考になり、興味深く読んでいる。これからの連載を楽しみにしている。

 一方、「IT技術者のためのデジタル犯罪論」のトピックスで、五右衛門さんが、次のように語っている。

トピックス
 札幌高検の大橋検事が捜査研究においてACCS事件判決の検討の連載を開始した。
 同連載を参照しながら、大橋検事の論説についての検討も掲載していく予定にしている。

どのような展開になるのか、大変興味がある。複眼的にこの問題を検証できる。楽しみである。

ハイテク犯罪の捜査

2005年6月16日 21:10 弁天小僧 | | トラックバック(0)

今、東京法令出版の「捜査研究6」を読んでいる。その中の「検証・ハイテク犯罪の捜査」が大変興味深い。今回は、情報ろうえい犯罪の新判例(ACCS事件)だった。

なる程と思う。でも・・・と、思うところもある。もう一度読み返してみよう。

<主な参考ウェブ>の上の方に、「IT技術者のデジテル犯罪論」が載っていた。参考にしていただいたようだ。

ACCS東京地裁判決の具体的不当性

2005年5月29日 21:40 弁天小僧 | | コメント(3) | トラックバック(0)

 私のブログにもトラックバックしてくれている「幻影随想 別館」を覗いてみて、「今時ありえないセキュリティ問題―おいおい、それはないだろう!?」という今日のエントリにビックリした。

ACCS東京地裁判決の具体的不当性の続きを読む
メインページ | アーカイブ | あの日、あの時 »

このアーカイブについて

このページには、過去に書かれたブログ記事のうちACCS事件に思うカテゴリに属しているものが含まれています。

次のカテゴリはあの日、あの時です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

携帯電話用ブログURL

月別アーカイブ


2008:4 2 1
2007:10 9 8 6 5 3 2 1
2006:12 11 10 9 8 7 6 5 4 3 2 1
2005:12 11 10 9 8 7 6 5 4 3 2 1
2004:12 11 10 9 8 7
Powered by Movable Type 4.1

検索

最近のコメント

  • ウイニー事件、もう一つの裁判・それから
    -> 05/24 22:18 by ハスカップ
  • ウイニー事件、もう一つの裁判・それから
    -> 05/24 21:40 by 弁天小僧
  • ウイニー事件、もう一つの裁判・それから
    -> 05/24 20:16 by ハスカップ
  • ウイニー事件、もう一つの裁判・それから
    -> 05/23 19:03 by 弁天小僧
  • ウイニー事件、もう一つの裁判・それから
    -> 05/20 23:55 by ハスカップ
  • ウイニー事件、もう一つの裁判・それから
    -> 02/25 18:12 by はじめまして
  • 琴柱灯篭(冬)・兼六園
    -> 02/03 10:52 by ふうてんの熊
  • 自動車と通信「曇り」に悪化
    -> 01/09 13:16 by koqfux
  • 福うさぎ
    -> 12/04 22:40 by おっちょん
  • 舞鶴要港部兵食献立調理講習記録
    -> 09/30 21:39 by おたかサン