「不正アクセス」の司法判断とは――ACCS裁判
コンピュータソフトウェア著作権協会(ACCS)の個人情報流出事件で、不正アクセス禁止法違反で起訴された元京都大学研究員に3月25日、懲役8カ月、執行猶予3年(求刑・懲役8カ月)の判決が言い渡された(関連記事参照)。
判決などによると、元研究員は、ACCSのWebサイト上にある入力フォームのCGIプログラムに脆弱性を発見。これを利用して個人情報のログファイルを引き出した上、2003年11月に行われたセキュリティイベント「A.D. 2003」のプレゼンテーションでその手法を公開し、個人情報の一部をイベント参加者がダウンロードできる状態に置いた。
事実については弁護側・検察側とも同意しており、公判では、研究員の手法が、同法でいう不正アクセスにあたるかどうかが争点となった(関連記事参照)。
元研究員は、「CGIにはアクセス制御機能がなく、不正アクセスにはあたらない。イベントで脆弱性を公開したのは、プログラムの修正を促し、ネット社会の安全性を高めるため」などとして無罪を主張していたが、判決は「問題のファイルはFTPからアクセスするのが通常で、FTPにはアクセス制御機能が存在した。元研究員の手法は、FTPのアクセス制御を回避した不正アクセス行為。イベントで脆弱性を公開したのは自らの技術を誇示するためで、IT社会の発展を妨げることは明らか」として検察の主張をほぼ全面的に受け入れ、有罪判決を下した。
何が不正アクセスか
不正アクセス禁止法では、管理者によってアクセス制御機能が付加された「特定電子計算機」(電気通信回線に接続している電子計算機:同法2条)に対して、他人のパスワードを利用したり特殊なデータやコマンドを入力するなどして管理者の許可なくアクセス制御を回避し、アクセス可能な状態にすることを不正アクセスと定義している(同法3条)。
公判では、(1)「特定電子計算機」にアクセスが制御機能があったか、(2)研究員の手法が、「特殊なデータやコマンドを入力することでアクセス制御を回避した」といえるか――が争点となった。
弁護側は、特定電子計算機をプロトコルごとに解釈すべきとし、FTPとHTTPはそれぞれ別個の特定電子計算機だと定義。FTPのアクセス制御とHTTPのアクセスは無関係と主張した(関連記事参照)。
その上で、CGIにはアクセス制御機能がなかったため、CGI経由のアクセスは、公開されているファイルを閲覧するための通常のアクセスだったと主張。管理者がFTPでファイルを管理していたことや、FTPにはアクセス制御機能が存在していたことも知らず、FTPによるアクセス制御を回避する意図はなかったとした。(関連記事参照)。
検察側は、「特定電子計算機をプロトコルごとに定義するのは法律の規定と矛盾している」と反論。「管理者は問題のファイルにFTPでアクセスしており、FTPにはIDとパスワードによるアクセス制御機能があった。CGI経由のアクセスは管理者の想定外で、プログラムの脆弱性がなければ不可能。通常のアクセスとは言えず、FTPのアクセス制御を回避した不正アクセス行為にあたる」と主張した。
判決は検察側の主張を全面的に支持。特定電子計算機の定義については「物理的ハードと定義すべきで、プロトコルごとに解釈する根拠はない」と判断した。プロトコルごとに定義すると、トロイの木馬などを利用し、プロトコルをう回できる不正アクセスがに罪に問われなくなるとし、弁護側の主張を退けた。
その上で「同様のファイルにはFTPでアクセスするのが通常。ブラウザにURLを入力するだけでは閲覧できない秘匿性の高いファイルに対し、CGIの脆弱性を利用してアクセスするのは通常のアクセスとは言えず、FTPのアクセス制御を回避した不正アクセスにあたる」と認定。「プログラムに設定の間違いや脆弱性があったとしても、それだけでアクセス制御がなかったとは言えない」とした。
「技術を誇示するための犯行、IT社会の発展妨げる」
検察側と弁護側は、研究員がアクセスの手法をプレゼンした動機についても対立した。同法の目的である「高度情報通信社会の健全な発展に寄与すること」(同法1条)に照らし、それぞれの主張を展開した。
弁護側はプレゼンの目的を「脆弱性を指摘し、問題を修正してもらってインターネットの発展につなげるため」と主張した。検察側は「サーバ管理者に脆弱性を知らせる前にプレゼンで手法を公開したのは、自らの技術を誇示するため。いたずらに摸倣犯を増やすだけで正当な問題指摘とはいえない」と反論していた。
判決は検察側の主張を支持。元研究員が脆弱性を見つけてから3カ月間、管理者に報告せず放置したことや、「公表するとどうなるかすごく楽しみ」「前触れなく攻撃してみたい」などと発言したことに言及し、「真摯な指摘活動とはいえない」と指弾。「たとえセキュリティ対策を促すためとしても、管理者側に修正の機会を与えないまま発表して模倣犯の出現を促し、個人情報を漏えいした行為は正当視できない。高度情報通信社会の発展を妨げることは明らか」とした。
執行猶予とした理由については「セキュリティホールを持つプログラムは多く、サーバ管理者側もそれなりの対策をすべき。被告はすでに社会的制裁を受けた上、掲示板などで個人情報流出の有無を確認する(関連記事参照)など被害拡大の防止に努めている」と述べた。
脆弱性は野放しになる?
弁護団の北岡弘章弁護士は公判終了後、「有罪が決定すれば、脆弱性を指摘する技術者が減って管理の甘いサイトが増え、一般ユーザーの利益が損なわれるだろう」とした。控訴するかどうかは「まだ分からない」と話した。
北岡弁護士は「何が不正アクセスで、何が通常のアクセスなのか、正面からの答えは示されなかった。アクセス行為そのものよりは、その後の行為に引きずられた判決に見える」と指摘した。
不正アクセス禁止法の「特定電子計算機」の定義にも触れ「立法段階では物理的ハードを意図していたのだろうが、実体には合っていない」とした。
関連記事
- ACCS裁判を追う
ACCSのサーバに侵入し、個人情報を引き出した上で脆弱性を指摘した元京大研究員が、不正アクセス禁止法違反で起訴された。被告は無罪を主張。“不正アクセス”の定義を問うを争う裁判を追う。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。