最新日記】【最新コメント
タイトル前の■はそのトピックへのリンクになっています

気になったネタのメモ(改)

このページはリンク元、IPアドレス等のログを取っています。
なにとぞご了承いただきたくm(__)m

リンクはご自由にどうぞ。日記の各タイトルをリンク先にしてもかまいません。
ただし、逆襲リンクされたくない方は、リンクを張ったところに、わかりやすくその旨ご記述下さい。
さもなければ、必ずや逆襲リンクを行うことでしょう(^^)

また、たれこみもお待ちしております。

あやしいつっこみはすべて問答無用で削除します。このページでの削除権はすべて私にあります。



UNYUNに自由を!
TCP/IPの基礎をこの一冊で!






2004-2-6-(Fri)のネタ



その2。

(追記)下の記事と文体が180度異なっており、また意図しない意味に読み取れる文があったため、若干修正を加えた。ただし、内容については変更していない。
(更に追記)翌日、違う文章をアップした。こちらは不正アクセス禁止法について全く逆の結論について考察したものである。あわせて参照していただけると幸いだ。

先の道義的部分について肝心なことを書いてない罠。
office氏は、そのプレッシャーのかけ方には問題があったとは思うが、基本的には善意の人だったと思う。直して欲しいから様々な方法でプレッシャーをかけていたのだろう。この点については酌量して欲しいと思う。
とはいえ、やり方が大問題なので酌量レベルは高が知れていると思うが。

法律的観点。
といっても、私は専門家じゃないので、認識違いに対する突っ込み歓迎。

まず、威力業務妨害の方について。
刑法によると、
 第35章 信用及び業務に対する罪
  (信用毀損及び業務妨害)
  第233条 虚偽の風説を流布し、又は偽計を用いて、人の信用を毀損し、
  又はその業務を妨害した者は、3年以下の懲役又は50万円以下の罰金に処する。

  (威力業務妨害)
  第234条 威力を用いて人の業務を妨害した者も、前条の例による。
という事である。。今回の場合は何が威力として認識されたのか、と考えると、やはり「ACCSに連絡もせず、情報入手手法を不特定多数(正確には200人程度の特定多数)に公開してしまったことに尽きるのではないかと考えられるだろう。またその結果、ACCSは件のサーバについて、トップページをリリース文に差し替え、それを維持し続けている。
よく言われる論理として、「どうせ問題を連絡したら閉じたのだろうから業務妨害に当たるのか?」というものがあるが、連絡による閉鎖はトップページの差し替えなどが生じないと考えると、根拠として薄いと思われる。また、ききかじりだが、この罪は被害の有無には関係ないという話もあったりする。
というわけで、正直こちらに関してはoffice氏の行動が招いた帰結であると思う。
ただし、ACCSのリリースには「通報者と協力して」という表現が出てきている事から、糸口の一つ(先に述べた酌量の件)にはなるかもしれない。また、先にも書いたとおり、善意のつもりがいきおい余って、ということも絡むかもしれない。
この部分については、今後の成り行きを見守っていきたいと思っている。

次に不正アクセス禁止法違反。
この条文は長いのでここに示さない。リンクをたどっていただきたい。

ここで最大の争点となるのは、アクセス制御機能と識別符号の定義であろう。まず、先に識別符号について考えてみるとする。
問題となっているCGIはどのように動作するものであったかについて、様々な情報を総合すると、どうやら、住所などの個人情報入力にエラーがあった場合、指定されたファイルを表示する、そういった機能だったようだ。そして、入力が問題なく入っている場合、CGI中で指定されているログファイルと(多分)データファイルにその情報を書き込む、という機能を有していたようだ。
このCGIは不特定多数が利用できるものであった上、アクセス管理者から符号を受け取る必要はなかったと思われるため、アクセス制御にかかわる識別符号は存在しない、と言うことになるかと思われる。

さて、アクセス制御機能だが、この制御機能を迂回する事こそが不正アクセスである、と定義されている。ではアクセス制御機能はあったのだろうか。

まず、情報を入手するためには何をしなければならなかったかというと、CGIのプログラムそのものを入手する必要があった。なぜなら、ログファイルのありかがそこに記されているからだ。プログラムを入手し、ログファイルのありかを確認することではじめてログファイル(個人情報の入ったファイル)を閲覧することができたと考えられる。
さて、CGIの入手方法だが、先に動作を説明したとおり、エラーが生じると指定されたファイルを表示、という機能を持っている。このファイル指定において、プログラムそのものを指定すればプログラムが表示されることになり、入手できたことになる。
では、ファイル指定を行う箇所はどこにあるか、と言うと、表示されるWeb画面に実は書かれていたのだ。それはHTMLのソースを表示とすればだれでも見ることができるようになっている。ならば、HTMLのソースを保存して、ファイルの部分を書き換え、それを表示した上でエラーを起こせばファイル(プログラム)が入手できる、と言うことになるだろう。以下、同様にすれば、ログファイルが読み出せることになる。
アクセス制御はどこにあったのだろうか。表示するファイルの指定箇所はみだりに知らせるものではない、などという事実はなかったと推測できる。なぜならそのページをきちんと見ればだれでも見えるものであったからだ。アクセス制御機能は識別符号があって初めて成立するもの、と定義されているため、識別符号がない時点でアクセス制御機能はないもの、という結論に帰結するのではないだろうか。第一、利用者の識別をしていない(もちろん、入力が完全に完了すれば識別は可能である)ため、そもそも識別符号が存在するはずはないと思われる。

このように考えていくと、先の条文に厳格に従えば、officeさんが情報を抜き取った、その手段については完全に白、と言えるのではないだろうか。あくまで不正アクセス禁止法はアクセス制御をなんとかして迂回することによってアクセスする行為を禁じているため、アクセス制御機能がないシステムについてはその適用は無理と言えるのではないだろうか。

さて、ここからが様々な意味において重要かと思う。
もし仮に、彼が不正アクセス禁止法違反として起訴された場合、どう考えても法律の拡大解釈である、と判断できはしないだろうか。すでに不正アクセス禁止法違反として逮捕した時点で不当逮捕と言えるかもしれない。ただ、こちらに関しては、先に書いたとおり、威力業務妨害がついているので、不当と言えるかどうかは微妙だが。
更に付け加えれば、彼が行った行為が許容できる内容であったかどうかを考えると、不当逮捕という発言をするのは少し筋違いだろうと思っている。

これらの観点についても、メディアはきちんと説明していないように見える。京都大学が「違法性はない」とコメントしている事を報道したくらいだろう。メディアとしては不正アクセス禁止法違反の方がインパクトがあるという事も関係するのだろうが、ジャーナリズムとしてはどうかと思う行動に見えてしょうがない。
これについては、警察の側にもすこしいきすぎを感じている。不正アクセス禁止法に違反したのだろうか?これについては、調査機関としての見解を求めたいと思う。

さて、二つの側面から考えてみた。
見ておわかりのように、私はoffice氏がまったくやましくない、などと言うつもりはない。
しかし、不当な部分は不当であると、きちんと意見を述べたいと考えている。
また、再三善意という言葉を使った。
これは、善意の第三者によるチェックが不当に悪いことと見られることが耐えられないからである。もっとも、これについては善意の第三者と指摘された者との間にしっかりとした信頼関係が築けない限りなかなか難しいことである。
しかしながら、うまくやっている例も存在する。当事者として指摘し、きちんと修正を行ってくださったところをいくつも知っている。もちろん、信頼関係を結ぶことができなかったのか、無視された例もあった。お互いのスタンスの差が影響したのかもしれない。推測の域を越えないが。

−−−−−−−−−

どうか、善意の第三者が沈黙してしまい、悪意の第三者だけが得をするような世の中になりませんように。
私個人として、できることからやっていきたいと思います。

以上、長文で申し訳ありませんでした。誤字脱字もあるかもしれませんし、間違っているところもあるかと思います。ご指摘いただけると幸いです。間違いが原因で白だの黒だのの結論が変わる可能性だってあります。これはもっと先にならないと分からないことでしょう。
しかし、変わらないのは、もっとうまくやっていく世界にしたいという思いです。これはきっと変わることはないと思います。



本文 名前



DiaryMaker1.00b