情報ネットワーク法学会が開催した第5回研究大会において11月26日、産業技術総合研究所の高木浩光氏が登場。特にACCS事件に代表されるような「サーバー管理者の設定ミスやプログラムの脆弱性などを突いて、本来管理者が秘密にするつもりの情報にアクセスする行為」を適切な形で罰するために、どのような形で不正アクセス禁止法を解釈するのが妥当かという点についての見解を示した。
● 「アクセス制御機能の有無」にこだわる必要はない
|
産業技術総合研究所の高木氏は「アクセス制御機能の有無にこだわる必要はない」という。同氏は、技術系のイベントではおなじみだが、このような法律系の学会で発表を行うのは初めてだとのこと
|
一般にACCS事件のような事例では不正アクセス禁止法3条2項2号、3号の条文のうち「アクセス制御機能の有無」を議論することが多く、実際その点を巡っては多くの法律関係者からさまざまな解釈が示されているという。その上で高木氏は「実はアクセス制御機能の有無にこだわる必要はない」と指摘する。
高木氏がこう述べるには理由がある。不正アクセス禁止法では、対象となる電子計算機や行為の手段を限定している。例えば、電気通信回線に接続していない電子計算機や、電気通信回線を通じないで行なう行為を除外しているほか、「アクセス制御機能を1つも有しない電子計算機」も除外している。「不正アクセス禁止法3条の『アクセス制御機能を有する』とは、1つもアクセス制御機能を有しない電子計算機を除外しているだけ」であるため、「機能の有無にこだわる必要がない」というのだ。
ACCS事件の東京地裁判決では「FTPアカウントの存在」がすなわち「アクセス制御機能」であると認められたという。類似事件であるTBCの顧客名簿漏洩事件と比較し、「TBC事件でも(顧客情報が格納されていたWebサーバーには)FTPアカウントが存在していたはずだが、TBC事件は結局、不正アクセス事件として立件はされていない」と述べた。
この点について高木氏は、“ハッカー検事”として知られる大橋充直氏(札幌高等検察庁検事)が「アクセス制御機能が極めて拙劣でありユーザーがその存在を認識し得ないような状況においては、ユーザーがその制御機能を回避して管理者が意図しないデータへアクセスしたとしても、(同法違反として立件するために必要な)故意を満たさない」との見解を示していると紹介。しかし、こうした見解に対して「拙劣かどうかは行為者の技術的知識によるため、POSTメソッドでアクセスする手段を普通だと思う行為者の場合は、制限されているとの認識を持たないのではないか」と指摘した。
高木氏は「ひょっとして警視庁は(HTTPプロトコルでのアクセス時に)『GETメソッドでアクセスしていれば適法、POSTメソッドでアクセスしていれば違法』と判断しているのではないか」との疑いがあるとの見解を示した上で「しかし、この判断基準では、GETメソッドでセッションIDを受け渡しているようなWebサイトのセッションハイジャック攻撃を(不正アクセス禁止法で)罰することができなくなってしまう。サイトに欠陥がない場合でも、サイトへの攻撃を処罰できなくなるのはおかしい」と指摘し、この基準は不適当であると語った。
なお、一部の研究者からは「アクセス制御機能の有無」を物理的な機器単位ではなくプロトコル単位で判断すべきだという主張もなされているという。これに対して高木氏は「今回私はアクセス制御機能の有無をプロトコル単位で判断するのではなく、(ACCS事件に関する東京地裁の判決の通り)物理的機器の単位で判断する立場に立つ。(不正アクセス禁止法)3条2項の2号(アクセス制御機能が提供されているのと同じコンピュータのデータにアクセスする)と3号(アクセス制御機能を持つ端末と別のコンピュータのデータにアクセスする)がわざわざ分けられていることとの整合性が取れないと大橋検事も指摘している」とコメント。「プロトコル単位で判断すべきという主張には無理がある」と述べた。
|
アクセス制御機能の有無をサービスやプロトコル単位で論じる問題点
|
● 「利用」の概念には2つの解釈が可能
|
不正アクセス禁止法上の「利用」の概念に関する2つの解釈
|
では、どのようにして不正なアクセスと正当なアクセスを区別しようとしているのか。高木氏は、不正アクセス禁止法でいうところの電子計算機の「利用」という概念は2つの解釈が可能だと主張する。
1つは、「ターゲットとなる端末上で何らかの機能を動作させること」という解釈だ。この解釈では端末上で動作させる機能を規定していないため、場合によってはアクセス制御機能を回避してターゲット端末にログインする行為も、それ自体が端末上の何らかの(アクセス制限された)機能を「利用」していることになる。
高木氏はこの点が、アクセス制御機能を回避して「制限されている特定利用をし得る状態にさせる」と不正アクセス禁止法にわざわざ書いてある点と矛盾すると指摘。この条文の本来の意図は、実際には何も悪さをしなくても単にアクセス制御機能を回避してログインしただけで犯罪として立件することにあるのだが、前記の解釈に立てば単に端末を「利用する」のであれば不正アクセスとして立件するのは難しい。
もう1つの解釈は、「制限されている特定利用をし得る状態にすること」を「ネットワークを経由して、端末をある識別符号(ID・パスワードなど)を入力したときに実現する状態と同じ状態にすること」として解釈すると、例えばバッファオーバーフローの脆弱性を利用してルート権限を奪う行為や、前述したGETメソッドのURLに含まれるセッションIDを利用したセッションハイジャックなどが処罰対象に含まれる。その一方で、TBC事件のようにファイル名を指定するとファイルにアクセスできてしまう行為は、GET/POSTといったメソッドの種類を問う以前に、いずれかの識別符号を入力したときと同じ状態にするわけではないので、不正アクセス行為にあたるかどうかを客観的に区別可能だという見解を示した。
この見解に対し会場から「法の運用の立場では法解釈を曖昧にしておくことで、グレーゾーンの行為でも悪質なものを処罰できるが、その解釈を採用すると不正アクセスの対象外になるケースが増えて困るのではないか」との質問もあった。高木氏は「この解釈で対象外になるのは、『ファイル名を指定するとそれが読める』など、技術的にはむしろごく限られたケース。逆に、『GETなら対象外』という基準のほうが範囲が広すぎて困ったことになる」と答えた。
ただ「いずれにしてもどこまでを処罰するかという点は線引きの問題であり、(現在の法律が想定していない攻撃手法が出てきた場合に)どうしても漏れが出てくることは避けられない」。また、高木氏は「(意図せずに公開された状態になっている)個人情報ファイルにアクセスできるURLを匿名掲示板に書き込む行為は、看過できることではないだろう」と述べた。
【お詫びと訂正】
記事初出時、「新聞報道によれば、カカクコムへの不正アクセス容疑での起訴は見送られた」という内容の記述がありましたが、カカクコム事件の犯人は別件で起訴された後、カカクコム事件でも不正アクセス容疑により追起訴されました。このため、記事の当該部分は削除しました。関係者のみなさまにご迷惑をおかけしたことをお詫びいたします。
|
関連情報
■URL
情報ネットワーク法学会
http://in-law.jp/
関連記事:エステのTBC、サイト上で3万人分の顧客情報を流出
http://internet.watch.impress.co.jp/www/article/2002/0527/tbc.htm
■関連記事
・ 価格.comが一時閉鎖、不正アクセスでトロイの木馬を仕込まれる(2005/05/16)
・ 14社から計52万件の個人情報を盗む、不正アクセスで中国人留学生を逮捕(2005/07/06)
・ ACCSのWebサイトに個人情報の漏えいにつながるセキュリティホール(2003/11/12)
( 松林庵洋風 )
2005/12/01 16:17
- ページの先頭へ-
|