★不正アクセス禁止法
■■■■■■■■■■■■■■■■■■■■■■■■
正当な権限を持たない人がネットワークを介して、他人のコンピューターにアクセスしようとする行為や、その助長行為を禁止するもの
★アクセス管理しているコンピューターが対象
★セキュリティホールをついたり、不正なパスワードを入力するのもだめ
■■■■■■■■■■■■■■■■■■■■■■■■
不正アクセス行為の禁止等に関する法律(ふせいアクセスこういのきんしとうにかんするほうりつ、平成11年8月13日法律128号)は、インターネット等のコンピュータネットワーク等での通信において、不正アクセス行為とその助長行為を規制する日本の法律。略称は不正アクセス禁止法など。
-------------------------------------------
何人も、不正アクセス行為をしてはならない(3条1項)。不正アクセス行為とは以下の行為である(3条2項)。
電気通信回線(インターネット・LAN等)を通じて、アクセス制御機能を持つ電子計算機にアクセスし、他人の識別符号(パスワード・生体認証など)を入力し、アクセス制御機能(認証機能)を作動させて、本来制限されている機能を利用可能な状態にする行為 (1号)
電気通信回線を通じて、アクセス制御機能を持つ電子計算機にアクセスし、識別符号以外の情報や指令を入力し、アクセス制御機能を作動させて、本来制限されている機能を利用可能な状態にする行為 (2号)
電気通信回線を通じて、アクセス制御機能を持つ他の電子計算機により制限されている電子計算機にアクセスし、識別符号以外の情報や指令を入力し、アクセス制御機能を作動させて、本来制限されている機能を利用可能な状態にする行為 (3号)
-------------------------------------------
1号は、他人のユーザーIDとパスワード等を使用した入力方法が想定されている。2号は、セキュリティーホール等の脆弱性やコンピュータウィルス等を利用した入力方法が想定されている。3号は、第2号と入力方法は同じだが、不正アクセスの対象となる電子計算機のバックエンドに認証サーバーがある場合が想定されている。
対象となる電子計算機へのアクセスには「電気通信回線」を経由する必要があるため、直接電子計算機の前で認証を突破する行為は不正アクセス行為とならない。本来なら制限されている機能を利用可能な状態にすればよく、データを盗み出したり改ざんしたりする必要はない。アクセス制御機能がない場合 (例えばリンクしてない単なる隠しディレクトリ)や識別符号が不要な場合(匿名ログイン等)は、管理者が想定しているアクセス行為であるならば、不正アクセス行為とはならない。電子計算機の利用を管理する管理者(アクセス管理者)や、その管理者からアクセスを許諾されている人は、不正アクセス行為の主体とはならない。
ポートスキャンは、それにより通常想定されている認証機能を破ることがなければ、不正アクセス行為とはならない。仮に不正アクセスの準備段階の行為だとしても、本法には予備罪や未遂罪が規定されていないため、抵触しない。ただしポートスキャンにより故意にサービスの低下を招く行為を行うと、電子計算機損壊等業務妨害罪に該当する可能性がある。
-------------------------------------------
具体例
インターネットを通じて、ブラウザで認証用のページから他人のユーザー名とパスワードを勝手に使ってログインする行為
インターネットを通じて、Telnetなどで他人のユーザー名とパスワードを勝手に使ってサーバーにログインする行為
インターネットを通じて、コンピュータの脆弱性を利用して認証機能を突破する行為
-------------------------------------------
助長行為
他人の識別符号(パスワード等)を、それが利用可能な電子計算機を分かっていて、その者以外の者(アクセス管理者等を除く)に提供すること(4条)。アクセス管理とは無関係な第三者に特定電子計算機のアカウント情報を提供する行為や、特定の電子計算機にアクセスするためのユーザー名やパスワードを匿名電子掲示板に書き込む行為がこれに当たる。
------------------------------------
防御措置
アクセス管理者は、以下の措置を行う努力義務がある(5条)。罰則はない。
識別符号等の適切な管理
アクセス制御機能の検証および高度化
その他不正アクセス行為から防御するために必要な措置
ACCS裁判
------------------------------------
ACCS裁判の判決によると、Webサーバーへのファイルアクセスに通常は認証機能のあるFTPを用いている場合、認証機能の備わっていないHTTP(CGIの脆弱性を利用)経由でアクセスした場合は、通常想定されている認証機能を迂回したとして不正アクセス行為に当たる、としている。プロトコルごとに認証機能の有無を判断するのではなく、管理者の想定している通常のアクセス行為により考えるべきとしている。
**************************************
社団法人コンピュータソフトウェア著作権協会(ACCS)の個人情報流出事件で不正アクセス禁止法違反に問われた元京大研究員に、懲役8カ月、執行猶予3年の有罪判決が下された。不正アクセスの定義が問われた裁判だったが、アクセス行為それ自体よりも、その後の元研究員の行動が明暗を分けた印象だ。
コンピュータソフトウェア著作権協会(ACCS)の個人情報流出事件で、不正アクセス禁止法違反で起訴された元京都大学研究員に3月25日、懲役8カ月、執行猶予3年(求刑・懲役8カ月)の判決が言い渡された(関連記事参照)。
判決などによると、元研究員は、ACCSのWebサイト上にある入力フォームのCGIプログラムに脆弱性を発見。これを利用して個人情報のログファイルを引き出した上、2003年11月に行われたセキュリティイベント「A.D. 2003」のプレゼンテーションでその手法を公開し、個人情報の一部をイベント参加者がダウンロードできる状態に置いた。
事実については弁護側・検察側とも同意しており、公判では、研究員の手法が、同法でいう不正アクセスにあたるかどうかが争点となった(関連記事参照)。
元研究員は、「CGIにはアクセス制御機能がなく、不正アクセスにはあたらない。イベントで脆弱性を公開したのは、プログラムの修正を促し、ネット社会の安全性を高めるため」などとして無罪を主張していたが、判決は「問題のファイルはFTPからアクセスするのが通常で、FTPにはアクセス制御機能が存在した。元研究員の手法は、FTPのアクセス制御を回避した不正アクセス行為。イベントで脆弱性を公開したのは自らの技術を誇示するためで、IT社会の発展を妨げることは明らか」として検察の主張をほぼ全面的に受け入れ、有罪判決を下した。
何が不正アクセスか
不正アクセス禁止法では、管理者によってアクセス制御機能が付加された「特定電子計算機」(電気通信回線に接続している電子計算機:同法2条)に対して、他人のパスワードを利用したり特殊なデータやコマンドを入力するなどして管理者の許可なくアクセス制御を回避し、アクセス可能な状態にすることを不正アクセスと定義している(同法3条)。
公判では、(1)「特定電子計算機」にアクセスが制御機能があったか、(2)研究員の手法が、「特殊なデータやコマンドを入力することでアクセス制御を回避した」といえるか――が争点となった。
弁護側は、特定電子計算機をプロトコルごとに解釈すべきとし、FTPとHTTPはそれぞれ別個の特定電子計算機だと定義。FTPのアクセス制御とHTTPのアクセスは無関係と主張した(関連記事参照)。
その上で、CGIにはアクセス制御機能がなかったため、CGI経由のアクセスは、公開されているファイルを閲覧するための通常のアクセスだったと主張。管理者がFTPでファイルを管理していたことや、FTPにはアクセス制御機能が存在していたことも知らず、FTPによるアクセス制御を回避する意図はなかったとした。(関連記事参照)。
検察側は、「特定電子計算機をプロトコルごとに定義するのは法律の規定と矛盾している」と反論。「管理者は問題のファイルにFTPでアクセスしており、FTPにはIDとパスワードによるアクセス制御機能があった。CGI経由のアクセスは管理者の想定外で、プログラムの脆弱性がなければ不可能。通常のアクセスとは言えず、FTPのアクセス制御を回避した不正アクセス行為にあたる」と主張した。
判決は検察側の主張を全面的に支持。特定電子計算機の定義については「物理的ハードと定義すべきで、プロトコルごとに解釈する根拠はない」と判断した。プロトコルごとに定義すると、トロイの木馬などを利用し、プロトコルをう回できる不正アクセスがに罪に問われなくなるとし、弁護側の主張を退けた。
その上で「同様のファイルにはFTPでアクセスするのが通常。ブラウザにURLを入力するだけでは閲覧できない秘匿性の高いファイルに対し、CGIの脆弱性を利用してアクセスするのは通常のアクセスとは言えず、FTPのアクセス制御を回避した不正アクセスにあたる」と認定。「プログラムに設定の間違いや脆弱性があったとしても、それだけでアクセス制御がなかったとは言えない」とした。
「技術を誇示するための犯行、IT社会の発展妨げる」
検察側と弁護側は、研究員がアクセスの手法をプレゼンした動機についても対立した。同法の目的である「高度情報通信社会の健全な発展に寄与すること」(同法1条)に照らし、それぞれの主張を展開した。
弁護側はプレゼンの目的を「脆弱性を指摘し、問題を修正してもらってインターネットの発展につなげるため」と主張した。検察側は「サーバ管理者に脆弱性を知らせる前にプレゼンで手法を公開したのは、自らの技術を誇示するため。いたずらに摸倣犯を増やすだけで正当な問題指摘とはいえない」と反論していた。
判決は検察側の主張を支持。元研究員が脆弱性を見つけてから3カ月間、管理者に報告せず放置したことや、「公表するとどうなるかすごく楽しみ」「前触れなく攻撃してみたい」などと発言したことに言及し、「真摯な指摘活動とはいえない」と指弾。「たとえセキュリティ対策を促すためとしても、管理者側に修正の機会を与えないまま発表して模倣犯の出現を促し、個人情報を漏えいした行為は正当視できない。高度情報通信社会の発展を妨げることは明らか」とした。
執行猶予とした理由については「セキュリティホールを持つプログラムは多く、サーバ管理者側もそれなりの対策をすべき。被告はすでに社会的制裁を受けた上、掲示板などで個人情報流出の有無を確認する(関連記事参照)など被害拡大の防止に努めている」と述べた。
脆弱性は野放しになる?
弁護団の北岡弘章弁護士は公判終了後、「有罪が決定すれば、脆弱性を指摘する技術者が減って管理の甘いサイトが増え、一般ユーザーの利益が損なわれるだろう」とした。控訴するかどうかは「まだ分からない」と話した。
北岡弁護士は「何が不正アクセスで、何が通常のアクセスなのか、正面からの答えは示されなかった。アクセス行為そのものよりは、その後の行為に引きずられた判決に見える」と指摘した。
不正アクセス禁止法の「特定電子計算機」の定義にも触れ「立法段階では物理的ハードを意図していたのだろうが、実体には合っていない」とした。
