[不正アクセス] 東京地裁H17.3.25不正アクセス行為の禁止等に関する法律違反被告事件 08:37(奥村弁護士の見解 4/5より)にて，ACCSとOffice氏の不正アクセスに関する裁判の判示が公開されたので，脳足らずなりに考えてみる。


考えるべきなのは，「３　本件各アクセス行為の構成要件該当性」だよね。
まずは，(1)を自分なりに要約。

• CGIソースとログファイルの閲覧時に不正アクセスをした。
• 二つのファイルは，CGIにバグ(脆弱性)がなければID・パスワードが必要となるFTPでしかアクセスできない。
• Office氏はリクエストを独自に変更する事で，CGIのバグ(脆弱性)を利用して該当ファイルにアクセスした。
• つまり，識別符号の入力を回避したということとなる。

てな感じかな。
(1)は，検察側(でいいのか？)の意見ってやつみたいですね。
「HTTPでみれないはずのファイルを脆弱性を使ってみたので不正アクセスだ」といった感じでしょうか。


で，(2)

• 通信はプロトコル単位で行われるので，アクセス制御もこの単位であるべき。
• Office氏は，HTTPでアクセスしたのだからFTPのアクセス制御とは関係ない。だから不正アクセスではない。
• サーバ*1単位でアクセス制御を考えるならば，制御されているかを知る手段(パスワード入力画面とか)が明確になっている必要がある。
• でなければ，今アクセスしている情報が「他のアクセス制御機能(FTPとか)」によって制御されているかが確認できない。
• この件でのアクセス手法はHTTPの規格にそったアクセス手法であり不正アクセスにならない。

う〜ん……「アクセス制御はプロトコル単位にしておくべきだし，そうでなければ裏で”実は制御されてたんだよ〜ん”という理由で不正アクセスとして罰せられかねない」かなぁ。


この段階でちょっと微妙な感じもするけど，裁判での検討である(3)を要約してから意見を述べてみましょうか。

• ア
  • 文理上，「不正アクセス行為の禁止等に関する法律」はサーバ*2単位が前提と規定されている。
  • プロトコル単位に判断すべきかどうかは規定されていない。
  • プロトコル単位にしてしまうと，不正プログラムによってバックドアが作られた場合に，そのバックドアの通信に関して不正アクセスで罰する事ができなくなる。
  • だから，プロトコル単位で判断をするべきではない。
  • アクセス制御が不明確な点においては，故意かどうかを考慮すればいい。
  • レンタルサーバ等は，レンタルに関する顧客が管理者となるので問題なく管理されてしかるべき。

……「法に書いてないから考えない。不明確でも故意かどうかを考慮すればOK」って読めてしまうなぁ。

• イ
  • 問題は，IDもパスワードも使用せずにそれらが必要なファイルにアクセスできるときにアクセス制御されていたと言えるかどうか。
  • アクセス制御の機構が完璧・完全であるなら，識別符号等以外の情報又は指令入力によってのアクセスについて考慮された”同法３条２項２号”は存在する意味がないはずである。
  • プログラムのバグや設定ミスをアクセス制御と認めないとするのは，複雑化するシステムに対して現実的ではない。
  • アクセス制御の強度ないし巧拙について客観的に判定する基準も存在しない。
  • つまり，アクセス制御にバグやミスがあってもアクセス制御は存在すると考えるべきである。
  • だから，CGIのバグ(脆弱性)を利用して管理者がHTTPで公開していないファイルに対してのこの度のアクセス手法は，不正アクセス行為である。

「IDやパスワード以外の方法で，管理者が公開していないファイルを無理やり見たのだから不正アクセスである」？
なんか，無理やり訳しすぎたかな？
つまるところ，
「HTTPで公開していないファイル」に対して「バグ(脆弱性)を利用してアクセス」したので不正アクセスであると。「このときの通信手法に関しては考慮しない」と。

制限がプログラムの瑕疵や設定上の不備によりアクセス管理者の意図に反して不十分な場合，そのことをもって特定電子計算機の特定利用を制御するためにアクセス管理者が付加している機能をアクセス制御機能と認めないこととするのは，プログラムやコンピュータシステムが複雑化し，プログラムの瑕疵や設定の不備の有無を容易に判別，修正できない現状に照らして現実的ではない

というのが技術者にとっての一番の論点になんだろうな。
極論を言えば，「仮想ディレクトリ指定をミスって公開すべきじゃないディレクトリを公開してしまった」でもアクセス制御たりえるわけです。
ま，罪になるか量刑がどうなるかはミスの度合いによって考慮されるのでしょう。でも，URLを削ってみた程度ですら，少なくとも訴えられた上に軽い量刑でも罰せられかねないという事になりますね。
まだ，地裁なので今後いくらでも結果が変わっていくのでしょう。
それにしても，

アクセス制御の強度ないし巧拙について客観的に判定する基準も存在しない。

は問題ですな。
バグのないプログラムなんて不可能なのだから，明確な線引きがなされなければどんなレベルのバグでもミスでも設定でも不正アクセスという罪そのものに関して考慮されないということになります。
少なくとも，「訴えられる可能性」を武器にしたサイバーノーガードは可能みたいです。ただし，あまりに稚拙と判断(判例と裁判官の知識・弁護人の力次第でしょうが)される場合には，無罪とか軽い罪という結果になって社会的な信用が落ちるかもしれませんけど。