ITmedia NEWS >

元研究員「HTMLソースの改変は通常の閲覧の範囲」ACCS裁判を追う

» 2004年10月20日 16時34分 公開
[岡田有花,ITmedia]

 コンピュータソフトウェア著作権協会(ACCS)の個人情報流出事件で、不正アクセス禁止法違反で起訴された元京都大学研究員の第4回公判が10月20日、東京地裁で開かれた。

 2回ぶりの公開裁判となった同公判では、被告人質問が行われた。第2、第3回公判は、検察側証人の申し出が認められて一部非公開となり、傍聴人は入廷できなかった(関連記事1関連記事2)

 弁護側による被告人質問で元研究員は、自身が問題の個人情報ファイルにアクセスした方法は通常アクセスの範囲内だと主張。対する検察側は、元研究員の手法は不正なものだったとの前提でただした。

 公判では、元研究員はCGIフォーム送信用のHTMLソースを改変し、CGIの引数にファイル名を渡して問題のファイルにアクセスしたと指摘されている。「HTMLソースを改変して目的のコンテンツを表示させるのは、ブラウザのブックマーク機能と変わらない」と元研究員は主張する。

 「ブックマーク時は、Webサイト上のソースの一部を編集してPCに保存する。ブックマークをクリックすると、保存したデータをもとに、目的のサイトをブラウザ上に表示する仕組みだ。今回の手法はこれと同じ。許されないはずはない」とし、これは通常のWebサイト閲覧行為に含まれると主張した。また、HTMLソースを見たり改変することは趣味のようなものだと話した。

 検察側は、同様のファイルにはFTP経由でアクセスするのが普通だと主張した。サーバを管理していたファーストサーバやACCSもFTPからアクセスしており、HTMLからのアクセスは通常利用の範囲外。元研究員もそれを認識していたのではないかとの趣旨の質問を繰り返した。

 これに対して元研究員は、「ファイルにアクセスする一般的な方法が何なのかは知らないし、自分がやった以外のアクセス方法があるかどうかは分からない。サーバ管理者側がファイルをどう管理しているかは、閲覧時は考えないのが普通」と反論した。

 例え話を多用し、質問にゆっくりと答える元研究員に対して、検察官が「質問に答えなさい」と声をあげ、裁判長に制止されるシーンもあった。

「被害者には謝罪したいが、ACCSには謝る必要がない」

 CGIの脆弱性をセキュリティイベント「AD.2003」で公開したのは「脆弱性を指摘し、問題を修正してもらってインターネットの発展につなげるため」(元研究員)だという。

 脆弱性を利用して引き出した個人情報を、プレゼン資料に載せて公開したのは「脆弱性の具体的な証拠を提示するためだった」(元研究員)。ただ、情報が公開された個人に迷惑をかけたことは申し訳ないと思っており、謝罪したいと話した。

 一方、ACCSやファーストサーバに謝罪するつもりはないとした。「ACCSは、セキュリティ対策を施していないサイトで情報公開するのはモラルに反していると公言しながら、自らモラルに反した行いをした。ファーストサーバは、欠陥品を出荷し続けていた。謝る必要はない」(元研究員)。

 「プレゼンを見た人が、手法をまねてACCSのサーバへアクセスして個人情報を引き出すことは予想しなかったのか」と検察側に問われると、「会場でASK ACCSのURLは公開しなかったため、誰もアクセスしないだろうと思った」と弁明。検察側が「ASK ACCSのURLは検索エンジンで簡単に見つけられる」と指摘すると、元研究員は「問題のファイルは公開されているんだから、誰でも見られて当然」とした。

 裁判長は「被告人が何をしたかという点については、弁護・検察側で同意している。次回以降はこれを法的にどう評価するかという争いになる」とした。

 次回公判は11月22日。弁護側は、情報学に詳しい大学教授による技術的な意見書と、コンピュータ犯罪に詳しい大学教授による法的な意見書を提示する予定。裁判長は、検察側にも次回までに法的な意見書を用意するよう要請した。(編集部注:初出時、次回公判は20日としましたが、22日の誤りでした。ここにお詫びして訂正します) 

Copyright © ITmedia, Inc. All Rights Reserved.