現在地 HOME > 掲示板 > IT4 > 973.html ★阿修羅♪ |
|
Tweet |
ITは人を幸せにするか第19章漂流するセキュリティ(1)【ASKACCS 関連 穴を見つけても黙っている方が良いようだ】
http://kodansha.cplaza.ne.jp/digital/it/2004_02_11/index.html
2月4日、警視庁は京大の研究員を不正アクセス禁止法違反と威力業務妨害の疑いで逮捕した。この逮捕にネット上では賛否両論が飛び交っている。「逸脱はあるものの、基本的には『善意による脆弱性の指摘』であり、逮捕は行き過ぎではないか」「善意といっても特定の個人情報を公開するのは許されない」「警視庁の示威行為」といった意見である。さらに、この事件はセキュリティ担当者にルール不在による深刻な不安ももたらしているのである。
CGIの脆弱性を指摘するためだった。
いつの頃からか、IT関連の言葉には安全・確実を意味する「セキュアな」という形容詞がつくようになり始めた。ネットワークを介して、いつでもどこでも接続できるという利便性の向上は、裏を返せばその利便性を逆手にとった犯罪などのリスクも上がっていると言える。そこでネットワークの向上と同時に、セキュリティの堅牢さも必要とされてくる。
だが、目に見えてわかりやすい利便性の向上と異なり、セキュリティはわかりにくい。被害を被(こうむ)った後でなければ、正確にはそれに要する費用を算出することはできない。何も起こらなければセキュリティはなくてもよいものと考えがちだが、起こってみて初めてその被害の甚大さに気づく──それがセキュリティの難しさだ。
では、その対価は誰がどれだけ支払うべきなのか。
じつはセキュリティそのもの自体を取り巻く環境も、非常にわかりにくいものになりつつある。その一端が先般起こった京都大学研究員による不正アクセス事件に現れている。
「“彼”の発表が始まってまもなく『おーっ』という声が会場から上がった。それは『やっちゃっていいの?』という戸惑いと『そんな簡単にできるんだ』という驚きが入り交じったもの。それが例の事件だったわけです」
イベント参加者の一人でネットワークセキュリティの研究者A氏は、その夜のことをこう振り返る。
2003年11月8日、渋谷にあるライブハウス「O−West」で「A.D.2003」というイベントが行われた。ネットワークセキュリティに携わる人たちが集まるそのイベントは、既存のコンファレンスやシンポジウムなどと異なり、「商売やアカデミズムとは離れ、ある種のオフレコトークも含め、自由に情報交換できる場として」(前出研究者A氏)機能する集会だった。渋谷で夜行うイベントではあるが、基調としては「真面目なもの」というのが実態だったという。
「実験的ないしはウケ狙いのものもあるが、基本的に倫理的には高い人たちが集まっているので、違法行為をするような場ではなかった」(前出研究者A氏)
だが、夜8時頃その発表は行われた。
「office」と名乗る男性が公開したそのプレゼンテーションは、会場を騒がすだけの微妙な内容のものだった。あるウェブサイトのCGI(common gatewayinterface=ユーザーのブラウザ上での記述命令を、プログラムを介してサーバーで行いその結果をまたブラウザに表示する仕組み。掲示板などでも使用される)にブラウザでアクセスし、HTMLを多少操作するだけで、そのサイトに保存されている個人情報が読み出せる──発表の趣旨としてはCGIにおけるセキュリティの脆弱性を指摘する体裁だ。
だが、その方法に問題があった。office氏が示したその方法は、いわゆるハッキング、法的には不正アクセスと判断されてもおかしくないものだったのだ。
加えて、発表されたプレゼンテーションの内容にも問題があった。「パワーポイント」で発表直前に急遽作成されたそのファイルには、アクセス時に画像で捉えた4名ほどの個人情報(名前、住所、メールアドレス等)が無修正のまま掲示されていたのである。
イベント「A.D.2003」の実行委員代表である鵜飼裕司氏は、査読をしていなかったことを悔やんでいると語る。
「office氏の発表は、事前の査読を必要としない5分間のプレゼン枠でした。もし事前に内容がわかっていれば、中止や注意などもしたかもしれない。私自身は舞台裏にいたためにその発表は見ていなかったのですが……」
このプレゼンテーションから3ヵ月後の2月4日、発表者のoffice氏は不正アクセス禁止法違反と威力業務妨害の容疑で警視庁ハイテク犯罪対策総合センターに逮捕された。office氏の正体は京都大学国際融合創造センターに勤務する河合一穂研究員と発表された。
善意による「欠陥の指摘」を逸脱
河合氏による不正アクセス容疑の対象になったのは、(社)コンピュータソフトウェア著作権協会(ACCS)の運営する「ASKACCS」というウェブサイトだ。河合氏はイベント時に同サイトにCGI経由でアクセスし、同サイトが保有する1184人分の個人情報データを閲覧。そのうち4名の情報を画像にしてイベント会場で公開した。
ACCSの久保田裕専務理事が怒りをまじえて語る。
「こちらの運営するサイトに不備があり、個人情報を公開されてしまったことには本当に申し訳なく思っており、実際に私たちは当該の方には謝罪にも赴いています。一方、今回の河合氏の行動は、あまりに問題があると言わざるをえない。かりにこちらのウェブサイトに不備があったとしても、そこで抜き出した個人情報をイベントの場でさらす必要があったのか? それは功名心ではなかったのか? 善意による『欠陥の指摘』という行為を大幅に逸脱していると判断されても仕方ないでしょう」
河合氏は、過去にも首相官邸や総務省、電子情報技術産業協会、大手都市銀行などのウェブサイトの欠陥を指摘し、ネット上ではある程度知られる存在でもあった。「A.D.2003」のイベント直後に、officeこと河合氏はACCSにメールで同サイトの不備を連絡している。ACCSは11月9日にメールを受信したのち、当該サーバーを停止。調査の後、個人情報を公開された人物に報告と謝罪を行ったのち、同月12日に自らの失態を謝罪する記者会見を開いた。
当初は「脆弱性を指摘してくれたことを感謝」(久保田氏)していたACCSだが、まもなく河合氏との関係はこじれ始める。ACCS側は河合氏による指摘ののち、ヨセフアンドレオン社という「ASKACCS」サイトの制作者から、詳細を確認すべくメールを河合氏あてに送信した。だが、河合氏は送信メールのドメインが「ASKACCS」でなかったことから、連絡を拒否。また、河合氏が前述の「A.D.2003」イベントにてCGI脆弱性の指摘を行う際に個人情報を抜き出したことを報告したことから、相互不信的な状態となっていった。
「office(河合)氏は最初の連絡段階では匿名であり、また、電話での連絡を求めてもそれには応じてくれなかった。しかも、メールの文章では非常に高圧的な態度で書いてくる。そういう状況では、いったい相手が何者であり、どういう意図であるかがわからないので対応しにくいわけです。ところが、彼はこちらとのメールのやりとりを歪曲したかたちで自らの掲示板に記していった。このあたりでなにか常識的ではない人だという印象をもちました」(久保田氏)
その後、河合氏がプレゼンファイルを含む個人情報データを削除したとの連絡が11月18日にあり、12月26日にACCSは事件の内部調査を報告、事件は収束したかに思えた。
だが、1月4日に朝日新聞が「個人情報守れぬサイト 危険性指摘の国立大研究員1200人分引き出す」と1面で報道した。警視庁が不正アクセス禁止法違反の疑いありで情報収集しているというのだ。ここからまた事態が動き始める。
1月上旬に河合氏自らがACCSを訪れ謝罪を行ったのもむなしく、同28日には「2ちゃんねる」のファイル保存サーバー(アップローダー)に、何者かが当該プレゼンファイルを掲載。「懸念していた事態」(久保田氏)が起こり、その1週間後に河合氏は逮捕されることになった。
事件発生から逮捕までの流れをまとめるとこうした経緯になる。だが、逮捕だけでこの事件が終わったわけではない。
彼の逮捕は正しいものだったのか、何をもって不正アクセスとするのか──。
逮捕から1週間経った現在、ネット上ではいまなおこの事件に対して、肯定否定そして疑問などさまざまな声が飛び交っている。
「公道」に置いてある状態
掲示板や日記系の書き込みなど、個人の意見として多く散見されるのは、「個人情報をさらしたのだから逮捕もやむなし」というものだ。
一方で、これまでの河合氏の脆弱性指摘などの活動から、逮捕はやりすぎではないかという声もある。
「A.D.2003」イベントに参加していたセキュリティ事業者のB氏は、セキュリティに携わる者として河合氏の行動は恥ずかしい振る舞いとしか言えない、と語る。
「いくらそれまでの脆弱性指摘の行動が公益に沿ったものだとは言っても、今回のは別。あのアクセスは一線を超えているし、とりわけ個人情報をさらしてしまったことに関しては、道義的に許されないことをしたと思う」
だが、逮捕までする必要があったかという点、またマスコミの過剰な報道については異議に近い気持ちを抱いている。
「逮捕時の報道は、まるで殺人でも犯したかのような扱い。テレビでも放映され、全国的に流されており、『見せしめ』的な非常に意図的なものを感じる」
同様な思いの関係者は少なくない。
同じくイベント参加者で別のセキュリティ事業者C氏も強く疑問を呈する。
「朝日への記事のリークといい、その後の逮捕までの流れといい、警察の意図的な世論誘導を感じずにはいられない。無断で侵入してデータを改竄したり、システムをダウンさせて業務妨害させたなどの行為であれば、さらし首も当然と思うが、(こう言ってはよくないのだけれど)わずか数人のデータを特定の場で公開しただけ。結果的に個人情報が流れてしまったことについては申し開きはできないだろうが、あれほどの報道が必要だったのか疑問に思う」
彼らがそう思うのも理由がないわけではない。どちらにとっても、河合氏が会場で披露したCGI脆弱性による欠陥は、「まったく珍しくないどこにでもある欠陥で不正アクセスとは思えない」ためだ。
レベルをどこに設定するかが問題、としたうえでB氏が言う。
「あのイベントで行われた他の人の高度な技術(ハードウェアに対するバッファオーバーフローの実験など)をレベル100とすれば、彼が披露したのはレベル1。非常に低いものです。ネットワークセキュリティの技術者であれば、河合氏が行ったことは誰でもできるし、プレゼンを見た限りではACCSのサイトはいわゆる『公道に置いてある』欠陥状態。アクセス制限されていることを突破してしまうのが不正アクセス禁止法の罪状にあたるのだとすれば、彼がやったことはその突破にもあたるかどうか。微妙な判断だと思う」
C氏の意見もそれに近い。
「聞くところによれば、ACCSのサイトにあった個人情報は、公開ディレクトリではなかったものの、CGIの設定ミスではよくある現象。IDとパスワードを収集、ないしは偽装的に侵入したものなら、明らかにアクセス制限を解除したと考えてもいいが、河合氏の行った“不正アクセス”は、見方の問題で、そうではないとも言える。逮捕はできたとしても、検察での立件が難しいのではないか」
こうした擁護の立場に対して、まったく異なる意見もある。
参加者のD氏は、あの会場であの行為を行ったことがそもそもの過ちだと指摘する。その理由は驚くほどシンプルだ。会場内の参加者に警察庁と警視庁の人間がおり、まさに目の前で見ていたからだと言うのだ。D氏は職務上詳細は述べられないとしたうえで、こう話す。
「ある知人から、会場内であの人が警察庁であの人が警視庁の人と知らされた。要するに河合氏は警察当局の目の前で、“不正アクセス”したことを披露したのであり、それがほぼ決定的な捜査の端緒になったのだと思う」
B氏にも確認したところ、D氏と同様、警察関係者がいたことを認めている。
そのうえで、B氏はofficeこと河合氏が目をつけられていたのはこの時点が最初ではなかったはずだと指摘する。河合氏は前述のようにこれまで官公庁などのサイトの欠陥を「善意の警鐘者」として指摘してきたが、その一方で『ハッカージャパン』や『スキャン』といったネット系専門誌で脆弱性の侵入手口などを詳細にレポートするなど、不正アクセス行為に近い実験を実際にしているような記事を多く書いていたことでも知られていたためだ。
「その意味では、office氏が登壇した時点で当局関係者は注目していた、あるいはoffice氏のプレゼンを待っていたと見てもおかしくない」(B氏)
逮捕から3日後の段階でも、河合氏は容疑を否認しており、彼の所属する京都大学国際融合創造センターの松重和美センター長も1月中に学内で検討した段階で「違法性はない」という見解を示している。また、ネット上でも「個人情報をさらしたのはまずいが、脆弱性の指摘を不正アクセスと言われるのはどうか」といった意見も少なくない。
だが、そもそもの逮捕容疑にあるのは、個人情報の開示のほうではない。
不正アクセス禁止法を制定した研究会が編著した『逐条 不正アクセス行為の禁止等に関する法律』(立花書房)によれば、こうした一文がある。
「本法の目的は、前記のとおり、アクセス制御機能に対する社会的信頼を確保して、犯罪の防止及び電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することにあり、それ自体が法益となるべきものである。
したがって、本法の不正アクセス罪においては、電子計算機に蔵置されている他人の情報を入手したり、他人の電子計算機を無権限で使用することは成立の要件ではない。また、不正アクセス行為を手段としない情報の不正入手やコンピュータの無権限使用は、本法の処罰の対象には含まれていないところである」
事実、河合氏の逮捕容疑にあたるのは、不正アクセス禁止法違反と威力業務妨害である。そして、じつはこちらをあてはめるかぎり、争いは少々ありそうなものの、たしかに逮捕の要件は満たしているようなのである。
セキュリティ担当者に広がる不安
第三条 (1)何人も、不正アクセス行為をしてはならない。
(2)──アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
2000年2月に施行された「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」には、上記のような条文がある。
わかりやすく解釈すれば、管理者が表示させたくない情報に第三者が触れた時点で、この法律は適用できると読めるのである。これを河合氏の事例にあてはめて言えば、ウェブの脆弱性を利用して個人情報が読み出せる可能性を試して確認した時点で、すでに同法に違反していることになる。ACCS側にとって、個人情報データはわざわざ表示したかったデータではなかったことがまず前提にある。また河合氏も見えてはならないはずのファイルと理解していたからこそ、脆弱性の指摘をした。論理としては皮肉な構造だが、こう解釈することにより、不正アクセス禁止法に抵触していると考えられるのである。
その意味では、河合氏逮捕の要件は個人情報をさらしたことには関係がなく、ただACCSサイトにあった個人情報を確認できた段階で可能だったと言えるのである。
あるセキュリティ技術者が言う。
「ネットでは意見がさまざま混乱していますが、おそらく警察はこの一点をもって送検できると考えているのかもしれません。しかし、むしろ警察は不正アクセス禁止法という法律の存在をこの機会に広く知らしめたかったのではないか。そう考えると、officeの逮捕は納得がいく」
officeこと河合氏の脆弱性指摘という一連の活動は(その過程は把握できないにせよ)結果的には当該機関に貢献したことも少なくない。だが、今回は明らかに一線を越えた――それが今回の逮捕の実際だろう。
とはいえ、もしこの法律が今後拡大解釈して適用されることになった場合、脆弱性の指摘に関しては曖昧な危うさが残されることになる。
前出のB氏が言う。
「たとえば、公開ディレクトリに出ていたファイル、つまり丸見えのファイルがあることを当該サイトに指摘しただけでも逆ギレされて訴えられる可能性だってある。もしそうなった場合、われわれは誰も『善意の警鐘者』として指摘することができなくなる」
そのうえでこう続ける。
「そもそも現在のような脆弱セキュリティへの指摘に対してなんのルールもない状況では、この不正アクセス禁止法は非常に危険なものになりかねない。まずはルールが必要だと思うんです」
同様の意見は、他にも多い。どの程度なら脆弱性を指摘してもいいのか、その方法はどのように行えばいいのか、どうすれば信頼ある警鐘と判断されるのか。セキュリティ技術をもつ人たちの間には善意の警鐘に対して不安が広がっている。
セキュリティを重視する風潮が広がるなかで、セキュリティ担当者が自発的な警鐘をしようと思っても、法的に身を縮めるような状態になっては本末転倒だろう。だが、明確な基準やルールのないまま不正アクセス禁止法が適用された現在では、そんな不安な状態に置かれていると言ってもおかしくない。
中央大学理工学部の土居範久教授は、セキュリティ担当者にとって現在の状況は非常にやりにくくなっていると認める。
「欠陥を欠陥と指摘できないような状況が続いては非常にまずい。そもそもソフトウェアには完全無欠なものなどないのだから」
そのうえで日本独特の状況も大きく影響していると言う。
そんな日本固有の事情はまさにもうひとつの逮捕要件、威力業務妨害などにも現れている。その根本的な原因はどこにあるのか。
(以下次号)