ITmedia NEWS >

ACCS不正アクセス事件、元研究員に懲役8月求刑

» 2005年01月24日 13時30分 公開
[岡田有花,ITmedia]

 コンピュータソフトウェア著作権協会(ACCS)の個人情報流出事件で、不正アクセス禁止法違反で起訴された元京都大学研究員の公判が1月24日、東京地裁(青柳勤裁判長)で開かれ、検察側は論告で「研究員の不正アクセス行為は明らか。知識や技術をひけらかすために秘匿性の高い情報を公開した行為は悪質で、社会的影響も極めて大きい」と懲役8カ月を求刑した。弁護側は「サーバにはアクセス制御がなかった。有罪判決が出れば誰も脆弱性を指摘しなくなり、ネット社会の安全が揺らぐ」と無罪を主張して結審した。

 公判の争点は、元研究員がCGIフォーム送信用のHTMLソースを改変し、CGIの引数にファイル名を渡して問題のファイルにアクセスした手法が、不正アクセスにあたるかどうか。問題となったのは(1)“通常アクセス”の範囲、(2)「特定電子計算機」の定義、(3)脆弱性を指摘する社会的必要性――だ。

 論告で検察側は「問題のファイルは、FTP経由でアクセスするのが通常。FTP経由のアクセス時にはIDとパスワードによる認証を要求していた。CGI経由でのアクセスは、FTPによるアクセス制御機能を避ける行為で、通常利用の範囲外。不正アクセスにあたる」と主張した。さらに、CGIは本来、不特定のファイルを表示するものではなく、問題のファイルも公開を前提としていなかったのは明らかで、元研究員もそれを認識していたはずと指摘した。

 弁護側は「HTMLソースの編集はごく一般的な行為。サーバ管理者のファイルを管理法は、ユーザー側からは分からない。管理者が意図していなければ、日常的なアクセスでも不正というのはおかしい」と主張(関連記事参照)。同法の立法趣旨にも触れ、通常のアクセス行為を保護すべきだとした。

 弁護側は、同法上の「特定電気計算機」の定義を問題視した。同法は特定電子計算機を「電気通信回線に接続している電子計算機」と定義し、一般的にはハードウェアを意味していると解釈される。しかし弁護側は、特定電子計算機はHTTPやFTPなどプロトコルやサービスによって別個のものと考えるべきと主張(関連記事参照)。複数サービスを1台のサーバで提供することも多く、同法の定義は現状に矛盾するとした。検察側はこの解釈を「法律の規定と矛盾している」と一蹴した。

 Webサイトなどの脆弱性を指摘する技術者は必要という点では、検察・弁護側とも一致している。しかし検察側は「脆弱性を指摘する前に、サーバ管理者に届け出るべきだった。入手した情報や手法を管理者に通報する前にイベントで公開した行為は、いたずらに摸倣犯を増やすだけで正当な問題指摘とはいえない」と批判した。弁護側は「当時は脆弱性の届出制度もなかった」と、やむをえず事後報告になったとし、個人情報をイベントで公開したことは反省していると言い添えた。

 研究員は最終弁論で「HTMLを改変する行為は、HTMLのフォームの規格に照らしても正当。アクセス中にエラーメッセージも出なかったため、管理者の想定外のアクセスだったと推測するのは不可能だった」と述べた。また、逮捕・取調べ時に、検察や警察に「アクセス制御とは何か」と繰り返し質問したが答えてもらえず、公判時に初めて明らかになったと指摘。問題のサーバの所在地や構成も答えてもらえないなど「検察官は事実を極めて軽んじている」と声を強め、無罪を主張した。

 判決は3月25日に言い渡される。

Copyright © ITmedia, Inc. All Rights Reserved.