IT技術者のためのデジタル犯罪論

　ACCS不正アクセス裁判、検察側は元研究者に懲役8カ月を求刑

　コンピュータソフトウェア著作権協会（ACCS）のWebサイトから個人情報が漏洩した事件で、不正アクセス禁止法違反で起訴された元京都大学研究員に対する論告求刑公判が24日、東京地方裁判所で行なわれた。検察側は元研究員に対して懲役8カ月を求刑、弁護側は無罪を主張した。

　今回の事件では、元研究員はCGIフォーム送信用のHTMLソースを改変し、CGIの引数にファイル名を渡すことにより、CGI本体のファイルと個人情報が含まれるログファイルを取得したとされている。この行為そのものについては弁護側・検察側とも事実であるとして同意しており、公判では行為が「不正アクセス行為」に当たるかということが論点となってきた。

　検察側は論告で、被告の行為は通常であればFTPサーバーによってIDとパスワードが必要とされるファイルに対してこれを回避する方法でアクセスしたものであり、不正アクセス行為に相当すると主張。また、被告はこの行為をイベントでの公開を目的として、技術を顕示したいという動機から犯行に及んでおり、個人情報を公衆の面前で公開したことなどは社会的な影響も大きいとして、懲役8カ月を求刑した。
　また、弁護側の意見書として提出された、不正アクセス禁止法では特定電子計算機を物理的なコンピュータ本体ではなく、WebやFTPなどの個々のサービスとして解釈すべきであるという、北陸先端科学技術大学院大学の篠田陽一教授の主張についても、論拠が存在しないとして否定。特定電子計算機とは物理的な機器と捉えるのが正しく、本件ではFTPがIDとパスワードによるアクセス制御を行なっており、これを回避する方法でアクセスした被告の行為は違法であると主張した。
　被告は本件CGIが不特定のファイルを表示するものでないことや、入手したファイルもACCSが公開を意図していないと認識していたことは明らかであり、不正アクセス行為であるとの認識に基づく行為であったと主張。また、本件はセキュリティ研究者にとってサイトの問題点を探そうとする通常の行為であるという弁護側の主張に対しても、問題を発見した時点でサイト管理者に対して連絡を取ることは可能であるが、被告はこの問題点をイベントで公開した後にサイト管理者に対して連絡を行なっており、通常の問題点を探す行為とは言えないとした。

　一方弁護側は、元研究員の行為は正当なものであり不正アクセスには該当しないとして無罪を主張。WebやFTPといった個々のデータ転送方式やサービスごとに不正アクセスであるかを判断すべきであり、FTPでIDとパスワードによるアクセス制御を行なっているサーバーに対して、Webでアクセスすることが不正アクセスと捉えるのは誤りであるとして、検察側の主張を否定した。
　また、管理者が公開を意図していないファイルにアクセスしているとの検察側の主張についても、ファイルが公開を意図しているかどうかは閲覧者には知ることはできず、不正アクセス禁止法においても管理者の意図という主観を考慮するべきではないとした。また、HTMLソースを書き換えてアクセスしたという行為も特殊なことではなく、Webアプリケーションの問題点を発見した場合の公的機関への届出制度なども当時は整備されていなかったと主張した。

　元研究員による被告人最終陳述では、フォームの内容を変更したアクセスはHTMLの規格に定められた範囲であり、今回の行為は正当なものであると重ねて主張。また、警察や検察の取り調べでも、本件ではどのアクセス制御機能が問題となっているのかを再三尋ねたが回答は得られず、FTPによるアクセス制御であるという主張は公判でようやく示されたものだとして、検察側の主張は十分な論拠に基づくものではないと述べ、結審した。

　判決は、3月25日に言い渡される。

　検察側は論告で、被告の行為は通常であればFTPサーバーによってIDとパスワードが必要とされるファイルに対してこれを回避する方法でアクセスしたものであり、不正アクセス行為に相当すると主張。
とある。

　また、
　被告は本件CGIが不特定のファイルを表示するものでないことや、入手したファイルもACCSが公開を意図していないと認識していたことは明らかであり、不正アクセス行為であるとの認識に基づく行為であったと主張。

（罪となるべき事実） 　被告人は法定の除外事由がないのに，平成1５年11月6日午後11時２3分５５秒ころから同月8日午後3時47分50砂ごろまでの間，合計７回にわたり，別紙一覧表記載のとおり，京都市内ほか数か所において，パ－ソナルコンピュータから電気通信回線を通じて，アクセス管理権者である大阪市Ｆ株式会社が大阪市内に設置したアクセス制御機能を有する特定電子計算機であるサーバコンピュータに，当該アクセス制御機能による特定利用の制限を免れることができる指令を入力して上記特定電子計算機を作動させ，上記アクセス制御機能により制限されている特定利用をし得る状態にさせ，もって，不正アクセス行為をしたものである。

１　弁護人は，被告人が本件サーバコンピュータ（以下「本件サーバ」という。〉にアクセスしたことは特に争わないが，
　①被告人のアクセス行為は「アクセス制御機能」のない電子計算機に対するものだから，不正アクセス行為の禁止等に関する法律3条2項2号に定める「不正アクセス行為jに当たらない
　②被告人が本件各アクセスに及んだのは，コンピュータの脆弱性についてのボランティア的な問題指摘活動の一環としてであって，ネットワーク社会の安全性を高める行為であるから，違法性が阻却される
　③仮にアクセス制御機能が本件において存在したとしても，被告人はそれを知らず，制限を免れる認識も，本件アクセス行為が許されない行為であるとの認識もなかった
　などとして，被告人は無罪であると主張する。そこで，以下，検討する。

　本件各アクセス行為の構成要件該当性
(1)　このようにして見ると，本件サーバの本件CGI及び本件ログファイルを閲覧するためには，プログラムの瑕疵や設定の不備がなければ，FTPを介してIDとパスワードを正しく入力しなければならないところを，被告人は，Ｃ.htmlの内容を書き換えることにより，変更前とは異なるリクエストを本件サーバに送信し，本件CGIを起動させることで，ID，パスワードを入力することなく，本件CGI及び本件ログファイルを閲覧したということができる。
　すなわち，被告人は，本件CGI及び本件ログファイルの閲覧という各特定利用を制限しているFTPプロトコルを利用したアクセス制御機能を有する本件サーバに，
　その制限を免れる指令を電気通信回線を通じて入力して
　本件サーバを作動させて前記各特定利用をし得る状態にしたといえる。

(2)　これに対して，弁護人は，・・・・等を根拠に，
　アクセス自体が個別のプロトコルに従った個々具体的なデータ転送の状態であるから，　アクセス制御もまた，個々のデータ転送についての方式に従って個別的に設定される必要があるなどとして，
　「アクセス制御機能」の有無は個々のデータ転送方式（プロトコル）ごとに考えるべきであるとし，
　被告人は，本件各アクセスをアクセス制御機能の一切存在しないHTTPを介しておこなっているのだから，
　本件各アクセス行為がアクセス制御機能による特定利用の制限を免れることはあり得ず，不正アクセス行為に当たらないと主張する。
　そして，このように解さずに，「アクセス制御機能」の有無を物理的な電子計算機ごとに考えるとすると，アクセスが許可されているかという規範の問題に直面するためには，アクセス制御が「識別符号」の形で客観的に現れていなければならないにもかかわらず，　サーバがマルチプロセス（同時に複数のプロセスが動作すること）で動作している現状においては，
　特定のプロセスによるサービスを利用しているのみでは他のプロセスによるサービスの存在を知り得ないこととなるし，
　複数の顧客がそれぞれ１台のコンピューターの一部を管理するレンタルサーバにおいて，アクセス制御を施さず公開している顧客のファイルにアクセスする行為が，非公開としている者のアクセス制御を理由に不正アクセス行為とされてしまうなどの不都合が生ずると主張する。
　また，被告人も，本件各アクセスはHTML, HTTPの規格に沿ったアクセス行為であるから，不正アクセス行為に当たらないなどと供述している。

(3)ア　そこで，検討すると，不正アクセス行為の禁止等に関する法律２条３項は，「アクセス制御機能」が「特定電子計算機」に付加されている機能であり，識別符号が「特定電子計算機に入力され」るものとしている上，同法３条２項２号も，アクセス制御機能による特定利用の制限を免れることができる情報又は指令を入力する対象を「アクセス制御機能を有する特定電子計算機」と規定しており，
　アクセス制御機能の有無を特定電子計算機ごとに判断することが前提となっている。
　そして，この特定電子計算機とは「電気通信回線に接続している電子計算機」をいい（同法２条１項），さらに，「電子計算機」とは自動的に演算や情報処理を行う電子装置である物理的な機器をいうのであって，
　本件では，Ａ協会がＦ株式会社からレンタルしていた物理的な機器である本件サーバが特定電子計算機であり，これを基準にアクセス制御機能の有無を判断すべきことは文理上当然である。