■不正アクセス禁止法についてはどんな争点が予想されるの?
この容疑で起訴に至った場合、office氏の行為を不正アクセス禁止法の定める「不正アクセス」と認定する上で、ASKACCSのログファイル$home/cgi-data/csvmail.logが「アクセス制御」された状態にあったかどうかが争点になりそうです。検察側・弁護側それぞれがどのような主張を展開するか、上記各スレで出た想定論点をまとめたものが以下の内容です(あくまで現時点での2ちゃんねらたちの推測と討論に基づくものです)。
●検察側
ASKACCSの管理者は、個人情報ファイルを通常のwebアクセスでは到達不可能なディレクトリに置いていた(=アクセス制御を行っていた)。一方容疑者はフォーム送信用htmlを改竄してログファイル名を調査し、CGIの意図されざる挙動を意図的に利用してアクセス制御を回避し、当該ログファイルの内容をCGIに表示させた。しかも当該CGIはPOSTメソッドで運用されており、他意なきデータ改竄は原理上ほぼありえない。URI末尾に"test.cgi?var1=xxx&var2=yyy..."といった形式で引数をつけるGETメソッド型CGIリクエストとは違い、POSTメソッド型CGIではURIの書き換えだけでは引数は変更できず、HTMLのソースを改変してform要素を加工するなど、データ読み出しを意図した準備工程が必要になるからである。またA.D.2003での言動からも、容疑者が「通常の利用者には当該ファイルへのアクセス方法を与えない」という管理者の意図を明確に理解し、それを破るために行動したことは明白である。よってこれは不正アクセス禁止法の定める不正アクセスにあたる。
さらに容疑者がこの手段を特定聴衆に対して公開し、これが二次被害の原因となったことも看過できない(不正アクセス禁止法違反判例---「有料掲示板「2ショットチャット」の認証機能が甘いことに乗じ、自作CGIプログラムを使用してセキュリティホールを突き、パスワードを入力することなく不正アクセスした。また、不特定多数の者が当該掲示板にアクセスできるようなリンクを自分の管理するホームページ上に作成した」(平成12年6月検挙。北海道、富山)で「不特定多数への公開」が問題になっている?)
●弁護側
当該CGIはフォーム送信用htmlを加工してCGIの引数にファイル名を渡すだけでファイル内容にアクセス可能な状態であり、いわば汎用のファイルビューアCGIとして動作していた。サーバサイドでは引数のサニタイズ(汚染チェック:異常な引数を排除して想定外の挙動を防ぎ、プログラム動作の安全を確保すること)は行われておらず、POSTされた引数データは全て受け入れるようになっていた。CGIのリクエストメソッドであるGETとPOSTは、実際にはいずれもhttpプロトコルによって送信される平文HTTPリクエストであり、「ブラウザのURI窓上でURIリクエストの形で容易に加工できるかどうか」という点はHTTPリクエストの正規性の本質には関係ない。たとえばtelnetコマンドなどでwebサーバにアクセスしてリクエストを送信すれば明白であるが、 両者の送信ストリームの違いは引数の置かれる位置だけであり、本質的には同一のものである。
送信される
HTTP
リクエストの
ストリームGET /cgi-bin/test.cgi?var=hoge
HTTP/1.1
Referer: (none)
User-Agent: Mozilla
…
…POST /cgi-bin/test.cgi
HTTP/1.1
Referer: (none)
User-Agent: Mozilla
…
var=hogeまた、問題のログファイルの名前「csvmail.log」は、このCGIを利用したことのある経験者は誰でも知っているもので、秘密情報として保護されてはいなかった。さらにサーバ管理者であり、当該サイトのセキュリティ保守業務を請け負っていたファーストサーバ社は、当該CGIを利用して誰もが自由に任意のファイルにアクセス可能であることを数年前から認識していたにも関わらず、その状態をあえて修正しないままに放置しており、サーバ管理者が当該CGIやファイルを「アクセス制御」状態に置いていたとは言い難い。よって本件は不正アクセス禁止法の定める不正アクセスには該当しない。
また、仮にアクセス制御が行われていたと判断するならば、ASKACCSのアクセス管理者自身が不正アクセス禁止法第5条の定める「アクセス管理者による防御措置」の努力義務を怠っていたことになる。
(アクセス管理者による防御措置)
第五条 アクセス制御機能を特定電子計算機に付加したアクセス管理者は、当該アクセス制御機能に係る識別符号又はこれを当該アクセス制御機能により確認するために用いる符号の適正な管理に努めるとともに、常に当該アクセス制御機能の有効性を検証し、必要があると認めるときは速やかにその機能の高度化その他当該特定電子計算機を不正アクセス行為から防御するため必要な措置を講ずるよう努めるものとする。
これまで2ちゃんねらたちが繰り返し争点にしてきたのが、この「不正アクセス」と「アクセス制御」の問題です。webページからの正規アクセスやURIの書き換えというhttpd経由の手段では読み出せなかったログファイルがCGIを使うことで読み出せた、という状態は「たとえ設置CGIを利用したエクスプロイト手段が存在しようとも、当該ファイルに対してアクセス制御がなされていたことには違いない」のか(脆弱性派)、「設置された汎用ファイル表示CGI自体が「制限されている特定利用をし得る状態」を最初からセットアップしていたのであり、これはそもそも不正アクセス禁止法で定めるアクセス制御機能とはいえない」のか(仕様派)という点で紛糾し続けています。
不正アクセス禁止法の3条2項2号を読む限り、不正アクセス禁止法とは、基本的には「当該アクセス制御機能による特定利用の制限」を何らかの「情報又は指令」によって解除することを禁じる法律のようです。つまり罪に問われるのは、アクセスしてはいけないリソースにアクセスする行為そのものではなく、その前段階にあるはずの、アクセスしてはいけないリソースにアクセスできるようにする行為のように読めます。果たして今回の件では、office氏自身が「HTMLを加工し、CGIにログファイル名の引数を渡す」というトリックによっ、て一挙に不正アクセス禁止法の定める「制限されている特定利用をし得る状態」を達成しつつcsvmail.logにアクセスしたといえるのか、それとも「制限されている特定利用をし得る状態」は設置CGI自体によって実現されており(別の見方をすれば「特定利用の制限」は最初から達成されておらず)、office氏はそのCGIを経由してログファイルにアクセスしただけなので、不正アクセス禁止法の3条2項2号で言う「情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為」には該当しないのか。このあたりの解釈については現在も議論が尽きません。
かなり類型化したまとめ方になりますが、不正アクセス禁止法の各要素に対する脆弱性派と仕様派の立場は以下のような感じになると思います。
脆弱性派
|
仕様派
|
|
アクセス制御機能
|
(1)CGIに特定の引数のみをPOSTさせる投稿用HTMLの構成 (2)webサーバのルートディレクトリ以外へのhttpd経由アクセスをchroot等で防止する設定 |
アクセス制御に相当する機能は最初から存在しない |
特定利用の制限
|
csvmail.logの読み込み/書き出しを特定利用権者以外に禁じている | 任意のデータを閲覧できるCGIを設置してweb利用者に解放しており、特定利用の制限は最初から成立していない |
利用権者
|
csvmail.logの取扱権限を持つはずのACCS職員(あるいはASKACCSサイト運営者も) | CGIを利用できる全リモートユーザー |
不正アクセス
|
(1)投稿用HTMLをダウンロード・改変してCGI設置者の想定外の引数を送信した行為 (2)httpd経由では到達不能なディレクトリ内ファイルをCGIを利用して読み出した行為 |
不正アクセス行為自体が存在しない |
なお不正アクセス禁止法の解釈に関しては、TAINS利用研究会 ネットワーク法律問題研究グループによる不正アクセス行為の禁止等に関する法律―逐条解説―、警察庁による不正アクセス行為の禁止等に関する法律の概要、弁護士Umezawa氏のblogエントリIP/IT法Memo: CGIの欠陥突き情報引き出した京大研究員逮捕 警視庁、奥村&田中法律事務所の奥村氏による不正アクセスの禁止等に関する法律の運用(罪数判断を中心に)などが参考になるでしょう。
TAINS逐条解説では本法律に関連する事案としてセキュリティホールを取り上げ、
セキュリティホール攻撃とは,システムプログラム等に含まれるセキュリティ上の弱点を突き,管理者権限を得たり許可されていないコマンドを実行可能とするような行為を指し,多くはまさに本法3条2項2号の対象となるべきものです。セキュリティホール攻撃の具体例としては,最近ではIMAPサーバやPOP3サーバに関するもの,amdサーバやstatdサーバ,mountdサーバに関するもの,ドメインネームサーバに関するもの,Webサーバのcgi-binプログラムに関するものなどがあります。
と解説しています。この部分を読む限り、3条2項2号は「正規web利用者には許可されていない行為をCGIの権限や機能を利用して実行すること」も処罰対象として扱えそうな雰囲気がありますが、一方では
コンピュータやネットワークに関しては,上記以外にもさまざまな問題がありますが,実際に訴訟になってみないと境界的な問題の判断は困難です。今後の裁判例の蓄積が期待されます。
と指摘されてもいます。また警察庁の不正アクセス行為の禁止等に関する法律の概要には、本件にとって大きく影響しそうな解釈があります。
以上のことから、不正アクセス罪が成立するためには、
● 特定電子計算機、すなわちコンピュータ・ネットワークに接続されているコンピュータに対して行われたものであること。
● コンピュータ・ネットワークを通じて特定電子計算機へのアクセスが行われたものであること。
● 他人の識別符号又はアクセス制御機能による特定利用の制限を免れることができる情報又は指令が入力されたものであること。
● アクセス制御機能によって制限されている特定利用をすることができる状態にさせたもの(一部のセキュリティ・ホール攻撃のように、特定利用をすることができる状態に止まらず、特定利用をしてしまう行為をも含む。)であること。が必要となります。
これはあくまで警察庁による解説で、裁判所がこれと同じ解釈をするかどうかはわかりませんが、上記赤字の部分を見る限り「office氏の行為には、同法が禁止している「特定利用をすることができる状態」にするステップが含まれていない」という擁護の仕方は通用しないのかもしれません。またUmezawa氏のblogでは
多分、裁判所が規範定立するとしたら、(ママ)に近いレベルで「制限」ありと認めてしまうと思います。おそらくは社会通念上(通常の一般人が)「保護している」と認める場合には、たとえ客観的には穴があって当該データの閲覧が制限されていなくとも)「制限」ありとしそうです。
と解説されています。これらの説明を総合すると、「実際の法運用においては、不正アクセス基本法の「特定利用の制限」に関する文言は、一般のIT関係者がイメージするよりもかなり広い意味で解釈されうるらしい」という印象を受けます。
なお奥村弁護士の不正アクセスの禁止等に関する法律の運用(罪数判断を中心に)によると、2003年夏の段階までで本法による有罪が確定した事例は18件、うち3条2項2号が適用された事例は2件で、そのうち1件はバッファオーバーフローによるroot権限奪取でした。また運用面の分析から、本法律の保護法益は成立前から一貫して社会的法益(個別事業者には無関係な、ネット社会の信頼性といったもの)だと言われてきた一方で、実際には個別の利用権者の法益を反映して量刑がなされてきたという点が指摘されています。少しビックリしたのは、「不正アクセス罪」のカウント方法にはいまだ確定的な基準がなく、判決ごとにバラバラだという点です。個別のアクセス回数を基準とし、190回の不正アクセスを190罪としてカウントしている判決もあれば、管理権/利用権の侵害を基準とし、2人のアクセス管理者・19人の利用権者に対する105回の不正アクセスを包括2罪として処理している判決もあります。不正アクセス禁止法はまだまだ判例という槌で叩きながら外形を整える段階にあるのかもしれませんが、それにしてもこの運用基準の曖昧さには驚かされます。