現在地 HOME > 掲示板 > IT4 > 914.html ★阿修羅♪ |
|
Tweet |
(回答先: 「不正アクセスではない」 研究員逮捕で京都大が会見【山形新聞】 投稿者 クエスチョン 日時 2004 年 2 月 06 日 21:12:00)
2004-02-04
ネット界も困惑? ACCS不正アクセス事件【毎日新聞】もしこれで脆弱性を指摘する行為が減るなら本末転倒である
http://www.mainichi.co.jp/digital/network/archive/200402/04/2.html
社団法人「コンピュータソフトウェア著作権協会」(ACCS、東京都文京区)の個人情報流出事件で、京都大学研究員、河合一穂容疑者(40)が4日、警視庁に不正アクセス禁止法違反と威力業務妨害の容疑で逮捕されたことはネット界にも波紋を呼んでいる。
ネット界では、セキュリティーの欠陥を外部からの指摘で修正するケースはよくある。マイクロソフト社は3日、セキュリティー・パッチを公表したが、その中で欠陥を指摘したと思われる人に対する謝辞が含まれている。今回も河合容疑者はACCSに、「当該CGIのぜい弱性を指摘することが目的だった」と連絡していた。
しかし、法律に詳しい関係者は「動機が善意であっても、意図的にぜい弱性をついて、不正アクセスをした場合は不正アクセス禁止法に違反する」と指摘する。動機が善意かどうかは、情状酌量になっても犯罪の構成要因とは関係ないと解説する。逆にアドレスを偶然いじっていて、アクセスした場合は、不正アクセスだが「意図的」でない限り、同法に抵触しないとみられる。
今回、河合容疑者が一部の個人情報を外部のイベントで紹介し、その資料が大手掲示板にアップロードされたことも問題視されている。しかし、法的に言えば、個人情報を外部に流出させたり、ダウンロードしなくても、通信が行われている不正アクセス自体が違法行為となるというわけだ。
従って、セキュリティの欠陥を指摘した場合はソフト解析をするなどで、相手側にぜい弱性を伝え、相手側の同意を得た上でないと、実際にアクセスすることはできないということになる。
また、同関係者によると、威力業務妨害についても、河合容疑者の一連の行動が、意図的であり、ACCSの権利を侵害したと判断されたため、適用されたという。
一方、ACCSの調査報告書では「当該CGIプログラムの採用にあたって、十分なセキュリティ等のチェックを行っていなかったこと」が原因であると指摘しており、欠陥がなければそもそも犯罪は行われなかった。
河合容疑者とも面識があるネットワークコンサルタントの佐藤隆一氏は「河合容疑者が事前に通告して、公開しないでぜい弱性を指摘すればよかったが、外部のイベントで個人情報まで公開してしまったのは問題だ」と指摘したうえで、「ACCSもCGIのぜい弱性をチェックできなかったことは責任がある」と話す。また、「プログラムの数字の一部(引数)を若干替えてやってみても不正アクセス禁止法違反となるのなら大事になる。善意でぜい弱性を指摘することも減るかもしれない。ネット界は困惑するだろう」と分析する。
善意のぜい弱性の指摘が萎縮するのを問題と見るネット関係者もいる。こうしたなか、経済産業省は情報処理推進機構(IPA)に委託し、ぜい弱性対策の研究を始めた。ぜい弱性を発見したらどこに届け出て、不正アクセス禁止法に抵触せず、ぜい弱性の指摘をするにはどうしたよいのかなどについての基準作りを行うものだ。年度内にも結論が出ることが期待される。
河合容疑者はこれまで、政府機関などのセキュリティーぜい弱性の指摘を行ってきた。民間企業になるとさらにセキュリティー意識が低いところも多い。昨秋にIPAが行った調査では半数の企業がウィンドウズの修正パッチをあてていないことが判明している。サイト管理者側のセキュリティー意識が高まらない限り、今後も同様の事件は起きる可能性はあるといえる。
[警視庁]
http://www.keishicho.metro.tokyo.jp/
[ACCS]
http://www.accsjp.or.jp/
(柴沼 均)