 |
 |
記事検索 |
最新ニュース |
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
ACCSの個人情報漏洩事件で、元京大研究員に有罪判決~東京地裁 |
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
今回の事件では、元研究員はCGIフォーム送信用のHTMLソースを改変し、CGIの引数にファイル名を渡すことにより、CGI本体のファイルと個人情報が含まれるログファイルを取得したとされている。この行為については弁護側・検察側とも事実であるとして同意しており、公判ではこの行為が「不正アクセス行為」に当たるかということが争点となってきた。 青柳勤裁判長は、「被告の行為はWebブラウザのアドレス欄にURLを入力しただけでは閲覧できないファイルに対して、プログラムの脆弱性を利用してアクセスしたものであり、通常のアクセスであるとは言えない。管理者がIDとパスワードが必要なFTPによるアクセスを想定していたファイルに対して、これを回避する形でアクセスを行なっており、不正アクセス行為にあたることは明らかである」として、ほぼ全面的に検察側の主張を認め、有罪の判決を下した。 公判では弁護側は、不正アクセス禁止法における「特定電子計算機」とは物理的な計算機を指すものではなく、FTPやHTTPといった個々のプロトコルごとに解釈すべきであるという解釈を示した。これによれば、FTPでIDとパスワードによるアクセス制御を行なっているサーバーに対して、Webでアクセスすることが不正アクセスと捉えるのは誤りであるとして、元研究員の行為は不正アクセスにはあたらないと主張した。 判決ではこの主張に対しては、「特定電子計算機をプロトコルごとに解釈すべきであるという根拠はない」として弁護側の解釈を否定。また、「このような解釈を採用した場合、独自のプロトコルを備えたウイルスプログラムなどをサーバーに送り込み、そのプロトコルを利用してサーバーに侵入するといった行為を罰することができなくなる」として、法律の特定電子計算機とは物理的なコンピュータそのものだと解釈すべきであるとの見解を示した。 被告の情状については、問題となった脆弱性を発見しながら3カ月以上に渡り放置し、セキュリティイベントで手口を公開した後にサイト管理者に対して連絡を行なうなどしており、セキュリティ研究者の正常な活動と言える範囲を超えているとした。こうした被告の行為は自らの技能を誇示したいという動機に基づいており、アクセスログからは約1,200人分の個人情報を取得し、イベントで手口を公開したことにより模倣する者も現われるなど、高度情報通信社会の健全な発展を阻害するものだとした。 元研究員の弁護を行なった北岡弘章弁護士は判決後、「今回の裁判では、何が不正アクセスであって、何が不正アクセスにはあたらないのかを問いたかった。今回の判決ではこうした点については示されず、管理者が通常のアクセスと考えているかどうかといった、管理者側の主観に基づく判断となっており、不満に思っている」とコメントした。また、上告するかどうかについては「現時点では決まっていない」と述べた。 関連情報 ■関連記事 ・ office氏が公判で無罪主張、ACCSの個人情報入手は不正アクセスではない(2004/05/26) ・ ACCS裁判、弁護側は不正アクセス禁止法の技術的解釈について意見書を提出(2004/11/22) ・ ACCS不正アクセス裁判、検察側は元研究者に懲役8カ月を求刑(2005/01/24) ・ ACCSの個人情報漏洩事件、有罪判決を受けた元京大研究員が控訴(2005/03/28) ・ ACCSの不正アクセス裁判で有罪判決が確定、元京大研究員が控訴取り下げ(2005/07/05)
( 永沢 茂/三柳英樹 )
- ページの先頭へ-
|
