最新日記】【最新コメント
タイトル前の■はそのトピックへのリンクになっています

気になったネタのメモ(改)

このページはリンク元、IPアドレス等のログを取っています。
なにとぞご了承いただきたくm(__)m

リンクはご自由にどうぞ。日記の各タイトルをリンク先にしてもかまいません。
ただし、逆襲リンクされたくない方は、リンクを張ったところに、わかりやすくその旨ご記述下さい。
さもなければ、必ずや逆襲リンクを行うことでしょう(^^)

また、たれこみもお待ちしております。

あやしいつっこみはすべて問答無用で削除します。このページでの削除権はすべて私にあります。



UNYUNに自由を!
TCP/IPの基礎をこの一冊で!






2004-2-6-(Fri)のネタ



さて、まじめに考える前に

あまりに馬鹿げた声明文(一刀両断)とやらもでてきたので。
#ばっさりじゃかわいそうなのではっきり書いておくか。
なんなの?これ。「企業」の「社長」が「会社のサーバ」で「公式に」『声明』だしてどうするんだよ。プレスリリースとかならともかく。
声明をよしとしても、その文章のなかで「おじさんが云々」なんて書くなよ、恥ずかしい。子供の作文じゃあるまいし。おじさんが云々と書いてある企業のリリース文なんて見たことないよ。情けない。
ついでにいうなら、ファーストサーバからCGIの入れ替えを示唆するメールを受けてどういう経緯で入れ替えしないことを選択したんだよ。非難する「声明」書くくらいならそれくらい説明しておいたほうがいいんじゃないの?
ついでにいうならここのトップページのコラム。なーにが「憎っくきサイバーテロリスト」だよ。テロにもならないような手段で情報流出しちゃうようなしょぼいサーバ組んだのは「あ・な・た・た・ち」。
その辺の情報公開はまだでしょうか?すごく楽しみにしています。

ま、ともあれ、だいぶ肩の力を抜くことができました(笑)。感謝ですな。

(追記)
たてつづけに私の「まじめな」意見をあげるつもりだったが、やはりいろいろと煮詰まっている。しばしお待ちを。
#ようは与太ならすぐ書ける、ってことですな(苦笑



本文 名前



さて、まじめに。

いろいろ論点が存在するし、それらが絶妙にからみ合っているのでなかなかむずかしい。

まず、officeさんのやったことを警察の理論、ACCSの理論、ファーストサーバの理論など、いろいろな視点でみた論点がはっきりしていないのがややこしさの原因その1。
また、本件が、今までに類似の判例がないため、違法性については想像でしか語れないのがややこしさの原因その2。
そして、何よりも私自身が渦中のイベントに参加しており、さらにそれなりに脆弱性について理解しているがゆえに生じてしまう、一般の視点と乖離。これが(自分のなかでの)ややこしさの原因3。
これらをうまく解きほぐしていくのは難しい。
が、これについて考えていかなければいけないと思っている。すでに多くの所で交わされているように、今回の事例が今後に与える影響が大きいからだ。ご存じの通り、私自身、いくつかのサイトに脆弱性の報告をしてきた。その問題の与える影響は大きなものではないため、放置してもいいような部類だったかもしれない。しかし、今後はどういう事情があれ、私は見つけてしまった脆弱性を隠蔽しなければいけなくなるかもしれないのだ。間違っても直してくれなんて言えない。下手すると威力業務妨害と言われるかもしれないのだ。

長文になると思うが、自分の考えをとりあえず書いておきたい。
まず、道義的な問題に話を絞っておく。道義的部分と法律的部分をごっちゃにすると単なる感情論になるからだ。

道義的に見て、officeさんがCGIの問題を利用して(結果的かもしれないが)得た情報を公開してしまったこと、そして(結果的かもしれないが)AD200Xというイベント団体がその情報をダウンロード可能としてしまった事、そして(故意だろうが)ある人物がさらに流出させる行動をとった事、これら(彼ら)はその行為について理由をつけておしまい、というわけにはいかないと思っている。
(もちろん、上記のとおり、その場にいた自分の責任も言い逃れできるものではないと思っている。だからこそ一時的にではあるが沈黙を守っていたし、2次流出の際にはその事実を確認の上関係者に連絡を取った。もちろんそれで十分とは思っていないからこそ、ここできちんと考えたいのだ。)

さてその一方で、脆弱性を知りながら放置したファーストサーバ(ACCSではないことに注意)には道義的責任はないのだろうか。また、必要もない情報(漏洩した結果、その情報が必要になったのは皮肉だ)を入力させていたACCSはどうだろうか。入力するページを作成したヨセフアンドレオンはどうだろうか。
個人的には、ファーストサーバはAD200Xに匹敵する道義的責任があると思っている。私の把握している情報によると、2003年6月にはoffice氏からファーストサーバ側に脆弱性の連絡がいっている。2003年8月にはCGIのバージョンアップ告知を顧客に行っている。この時、「古いバージョンも使えますがセキュリティ問題があったら使用不可にする場合があります」という趣旨の文言が入っていた。つまり、「今現在セキュリティ問題は確認されていないがあったら使わせないようにします」といっているに等しい告知である。推測だが、ACCSおよびヨセフアンドレオンはこの告知を見て、旧CGIを使い続けたのだろう。これは十分道義的責任を問われてしかるべきことであると思っている。
ACCSやヨセフアンドレオンはどうだろう。ACCSについて言えば、必要ない情報を書かせていたことは問題であるし、CGIの問題を見抜けなかった事についても責任があるのだろうが、それ以外(情報流出後のACCSの行動など)については道義的責任は低いのではないだろうか。(ただし、ACCSおよびヨセフアンドレオンが脆弱性の存在を知っていた場合、これはファーストサーバと同レベル、もしくはそれ以上の責任があるだろう。)ヨセフアンドレオンについて言えば、CGIのセキュリティについて情報収集を怠り(なんせあまりにお粗末な脆弱性なので)、こういったリスクを勘案しないままサイトを設計した責任は大きい。

そして、更に言えば、メディアの責任はどうだろう。河合氏という、政治の中核に存在する、学術的文やにおいてにも希有な存在である人物の甥であり、京都大学にいるoffice氏が不正アクセス、という非常に一般受けしそうな話題を見つけ、顔を撮影し、自宅も撮影すると言う行為はどうだろうか。あれほどの逮捕シーンは殺人犯を捕まえたときくらいしか見られないのではないだろうか。
そしてニュース番組を見ていると、脆弱なコンピュータの存在には触れず、犯人憎しの紋切り報道である。今回の問題は(後に触れるが)そんなに単純な背景をもつものではないことくらい本当は知っているんじゃないだろうか。

こうやって考えていくと、事件につきものの被害者、加害者の色分けができてくる。
被害者として名前をあげてよいのはACCS、ヨセフアンドレオン、ファーストサーバ、情報を公開された4名の方・・・だけだろうか?
加害者として名前を挙げてよいのはoffice氏・・・・だけだろうか?
どうしてもそうは見えない。純粋な被害者と言っていいのは情報を公開されてしまった4名だけに見えるのだ。
何度でも書くが、office氏のやったことは道義的に許されるものではないと思っている。
が、その一方で、(4名の方を除く)すべての登場人物が、そもそもやるべきことをやらなかったという意味において、道義的責任があるのではないだろうか。
その点について、きちんと語っているメディアは(私の知る限り)ないようだ。

まだまだ法律的責任やメディアの姿勢などについて書きたいが、だいぶこの記事が膨れ上がってきたのでとりあえずここでいったん終了。



本文 名前



その2。

(追記)下の記事と文体が180度異なっており、また意図しない意味に読み取れる文があったため、若干修正を加えた。ただし、内容については変更していない。
(更に追記)翌日、違う文章をアップした。こちらは不正アクセス禁止法について全く逆の結論について考察したものである。あわせて参照していただけると幸いだ。

先の道義的部分について肝心なことを書いてない罠。
office氏は、そのプレッシャーのかけ方には問題があったとは思うが、基本的には善意の人だったと思う。直して欲しいから様々な方法でプレッシャーをかけていたのだろう。この点については酌量して欲しいと思う。
とはいえ、やり方が大問題なので酌量レベルは高が知れていると思うが。

法律的観点。
といっても、私は専門家じゃないので、認識違いに対する突っ込み歓迎。

まず、威力業務妨害の方について。
刑法によると、
 第35章 信用及び業務に対する罪
  (信用毀損及び業務妨害)
  第233条 虚偽の風説を流布し、又は偽計を用いて、人の信用を毀損し、
  又はその業務を妨害した者は、3年以下の懲役又は50万円以下の罰金に処する。

  (威力業務妨害)
  第234条 威力を用いて人の業務を妨害した者も、前条の例による。
という事である。。今回の場合は何が威力として認識されたのか、と考えると、やはり「ACCSに連絡もせず、情報入手手法を不特定多数(正確には200人程度の特定多数)に公開してしまったことに尽きるのではないかと考えられるだろう。またその結果、ACCSは件のサーバについて、トップページをリリース文に差し替え、それを維持し続けている。
よく言われる論理として、「どうせ問題を連絡したら閉じたのだろうから業務妨害に当たるのか?」というものがあるが、連絡による閉鎖はトップページの差し替えなどが生じないと考えると、根拠として薄いと思われる。また、ききかじりだが、この罪は被害の有無には関係ないという話もあったりする。
というわけで、正直こちらに関してはoffice氏の行動が招いた帰結であると思う。
ただし、ACCSのリリースには「通報者と協力して」という表現が出てきている事から、糸口の一つ(先に述べた酌量の件)にはなるかもしれない。また、先にも書いたとおり、善意のつもりがいきおい余って、ということも絡むかもしれない。
この部分については、今後の成り行きを見守っていきたいと思っている。

次に不正アクセス禁止法違反。
この条文は長いのでここに示さない。リンクをたどっていただきたい。

ここで最大の争点となるのは、アクセス制御機能と識別符号の定義であろう。まず、先に識別符号について考えてみるとする。
問題となっているCGIはどのように動作するものであったかについて、様々な情報を総合すると、どうやら、住所などの個人情報入力にエラーがあった場合、指定されたファイルを表示する、そういった機能だったようだ。そして、入力が問題なく入っている場合、CGI中で指定されているログファイルと(多分)データファイルにその情報を書き込む、という機能を有していたようだ。
このCGIは不特定多数が利用できるものであった上、アクセス管理者から符号を受け取る必要はなかったと思われるため、アクセス制御にかかわる識別符号は存在しない、と言うことになるかと思われる。

さて、アクセス制御機能だが、この制御機能を迂回する事こそが不正アクセスである、と定義されている。ではアクセス制御機能はあったのだろうか。

まず、情報を入手するためには何をしなければならなかったかというと、CGIのプログラムそのものを入手する必要があった。なぜなら、ログファイルのありかがそこに記されているからだ。プログラムを入手し、ログファイルのありかを確認することではじめてログファイル(個人情報の入ったファイル)を閲覧することができたと考えられる。
さて、CGIの入手方法だが、先に動作を説明したとおり、エラーが生じると指定されたファイルを表示、という機能を持っている。このファイル指定において、プログラムそのものを指定すればプログラムが表示されることになり、入手できたことになる。
では、ファイル指定を行う箇所はどこにあるか、と言うと、表示されるWeb画面に実は書かれていたのだ。それはHTMLのソースを表示とすればだれでも見ることができるようになっている。ならば、HTMLのソースを保存して、ファイルの部分を書き換え、それを表示した上でエラーを起こせばファイル(プログラム)が入手できる、と言うことになるだろう。以下、同様にすれば、ログファイルが読み出せることになる。
アクセス制御はどこにあったのだろうか。表示するファイルの指定箇所はみだりに知らせるものではない、などという事実はなかったと推測できる。なぜならそのページをきちんと見ればだれでも見えるものであったからだ。アクセス制御機能は識別符号があって初めて成立するもの、と定義されているため、識別符号がない時点でアクセス制御機能はないもの、という結論に帰結するのではないだろうか。第一、利用者の識別をしていない(もちろん、入力が完全に完了すれば識別は可能である)ため、そもそも識別符号が存在するはずはないと思われる。

このように考えていくと、先の条文に厳格に従えば、officeさんが情報を抜き取った、その手段については完全に白、と言えるのではないだろうか。あくまで不正アクセス禁止法はアクセス制御をなんとかして迂回することによってアクセスする行為を禁じているため、アクセス制御機能がないシステムについてはその適用は無理と言えるのではないだろうか。

さて、ここからが様々な意味において重要かと思う。
もし仮に、彼が不正アクセス禁止法違反として起訴された場合、どう考えても法律の拡大解釈である、と判断できはしないだろうか。すでに不正アクセス禁止法違反として逮捕した時点で不当逮捕と言えるかもしれない。ただ、こちらに関しては、先に書いたとおり、威力業務妨害がついているので、不当と言えるかどうかは微妙だが。
更に付け加えれば、彼が行った行為が許容できる内容であったかどうかを考えると、不当逮捕という発言をするのは少し筋違いだろうと思っている。

これらの観点についても、メディアはきちんと説明していないように見える。京都大学が「違法性はない」とコメントしている事を報道したくらいだろう。メディアとしては不正アクセス禁止法違反の方がインパクトがあるという事も関係するのだろうが、ジャーナリズムとしてはどうかと思う行動に見えてしょうがない。
これについては、警察の側にもすこしいきすぎを感じている。不正アクセス禁止法に違反したのだろうか?これについては、調査機関としての見解を求めたいと思う。

さて、二つの側面から考えてみた。
見ておわかりのように、私はoffice氏がまったくやましくない、などと言うつもりはない。
しかし、不当な部分は不当であると、きちんと意見を述べたいと考えている。
また、再三善意という言葉を使った。
これは、善意の第三者によるチェックが不当に悪いことと見られることが耐えられないからである。もっとも、これについては善意の第三者と指摘された者との間にしっかりとした信頼関係が築けない限りなかなか難しいことである。
しかしながら、うまくやっている例も存在する。当事者として指摘し、きちんと修正を行ってくださったところをいくつも知っている。もちろん、信頼関係を結ぶことができなかったのか、無視された例もあった。お互いのスタンスの差が影響したのかもしれない。推測の域を越えないが。

−−−−−−−−−

どうか、善意の第三者が沈黙してしまい、悪意の第三者だけが得をするような世の中になりませんように。
私個人として、できることからやっていきたいと思います。

以上、長文で申し訳ありませんでした。誤字脱字もあるかもしれませんし、間違っているところもあるかと思います。ご指摘いただけると幸いです。間違いが原因で白だの黒だのの結論が変わる可能性だってあります。これはもっと先にならないと分からないことでしょう。
しかし、変わらないのは、もっとうまくやっていく世界にしたいという思いです。これはきっと変わることはないと思います。



本文 名前



出張

のため、本日レスポンス劇悪です。



本文 名前



出張先より

修正文をアップしたわけだが。
もうひとつ追加することがあるのを忘れていた。

下に書いてある事は、あくまで私自身が拙い知識をフル回転させて書いたものであり、(私の中では合格点なのだが)これが結論になるとは思わないで欲しい。
あくまで現段階の私の知識範囲内での考えを形に残したものでしかない。
これから時が経つにつれ、結果が起訴不起訴、判決などの形で明らかになると思っている。
また、その明らかとなっていく過程を、きちんと理解、咀嚼したいと考えている。



本文 名前



DiaryMaker1.00b