朝日新聞のウェブカメラ調査は不正アクセスなの?善意の指摘も難しい

朝日新聞

何をもって不正アクセスとするのかが、争点かなと。

追記 2015年3月19日

「anonymousでのFTPアクセスは合法」というご指摘を頂いております。判例やソースなど詳しい方お教えいただけると幸いです。診断方法としては一般的なものであって、それを大量にした、というところが今回の話題のポイントなのですかね。ううむ。

>>todotantan☆(。¯灬¯。)トドさん: “× 間違い→「全住宅の玄関を一件一件ガチャガチャと開けてみて、開いちゃった住宅が三割もあった!」 ○ 正しくは→「公道を歩いていたら玄関全開の家が三割もあった」
>>あろTAKE!(ときどき執事)さん:「全住宅の玄関を一件一件ガチャガチャと開けてみて、開いちゃった住宅が三割もあった」は間違い。anonymousでのFTPアクセスは法的にも想定された使い方で合法。


絶対わかるセスペ26秋 2015年春版: 藤田 政博, 平田 賀一, 左門 至峰: 本

朝日新聞のウェブカメラ調査が問題に?

記事

>>ウェブカメラ、ネットで丸見え3割 パスワード設定せず:朝日新聞デジタル
>>(魚拓) ウェブカメラ、ネットで丸見え3割 パスワード設定せず:朝日新聞デジタル

朝日新聞の調査が、不正アクセス禁止法に定植するのではないか、という疑義が盛り上がっています。

>>痛いニュース(ノ∀`) : 朝日新聞がウェブカメラのセキュリティを検証→「不正アクセスじゃないのか」と話題に – ライブドアブログ

すべてのアドレスをスキャンして特定のカメラサーバーを探し出しその「3割」に設定がなかった

インターネットでは、ネット接続している機器すべてにIPアドレスとよばれるナンバーが割り振られます。自動車でいうナンバープレートのようなものです。

その番号は、技術仕様として公開されています。何番から何番までがどの国なのか、どのドメイン(ホームページのアドレスの一部に使用)がどの番号に割り振られているか、など公開され認定団体や企業により管理されています。

今回疑義にあがっていますのは、そのアドレスを、朝日新聞がとにかく総当りして、Webカメラの状態を調べたのではないか、それが不正アクセス法違反に当たるのではないか、ということです。

しかし、これは言い換えれば、公道に面した住宅1軒1軒にノックをしているような行為とも言えます。その行為自体は、一般的な営業の現場でもよく見られ、問題ないようにも見えます。

それでは何が問題とされているのでしょうか。

不正アクセス禁止法とは

不正アクセス禁止法とは、「不正アクセス行為の禁止等に関する法律」という名称で2000年に施行された法律です。

>>不正アクセス行為の禁止等に関する法律(電子政府公式サイト)
>>不正アクセス行為の禁止等に関する法律 – Wikipedia

不正アクセス行為の禁止を定め、犯罪行為や秩序維持の目的で制定されました。故意、過失、未遂すべてが対象になります。

その第二条四項に不正アクセスの定義が記されています。しかし、ここでもPINGの禁止などは書かれていません。

いっぽう第五条には、不正アクセス行為を助長する行為の禁止も明示されていますので、これに該当するといえばそうなのかもしれません。

しかし、ここまで問題視されると原因とはいったい何なのでしょうか。

想定外アクセスを非とする判例の存在

朝日新聞

前述の法律は、法律という点である意味ひろく解釈できるような表現で書かれています。つまり、何をもって不正アクセスとするのか、という議論の余地があるわけです。また、ネットの世界は常に最新技術が登場しますので、その関連性など判断が難しいといえます。

その定義に関する判例がありました。それがACCS判例とよばれる事例です。

>>「不正アクセス」の司法判断とは――ACCS裁判 – ITmedia ニュース

これはACCSという団体から個人情報が漏洩したとされる事件で、その疑義が不正アクセス禁止法違反にあたるとされ、実刑が言い渡された事件です。

管理者は問題のファイルにFTPでアクセスしており、FTPにはIDとパスワードによるアクセス制御機能があった。CGI経由のアクセスは管理者の想定外で、プログラムの脆弱性がなければ不可能。通常のアクセスとは言えず、FTPのアクセス制御を回避した不正アクセス行為にあたる

一定の手順をふめば誰でも情報にアクセスできる状態だったとの主張も、「想定外」のアクセスであれば違法、との判断を司法が示したのです。

「ちょっと垣根をこえれば家には入れちゃう・・・!」
「それダメ!」
という感じです。

今回の件も、この「想定外」のアクセスに当たると見られ、話題になっているのです。

システムの弱さを指摘した・・・はずだが

いっぽう前述の記事では判決後に弁護側が、このようにコメントしています。

有罪が決定すれば、脆弱性を指摘する技術者が減って管理の甘いサイトが増え、一般ユーザーの利益が損なわれるだろう~アクセス行為そのものよりは、その後の行為に引きずられた判決に見える。

原告は高度なハッキングなどで強引に侵入したのではなく、誰でもアクセスできてしまう状態のものを入ってしまったことを問われるのでは、システムの弱点はなくならないだろう、という主張です。また、判決では何が不正アクセスなのかという答えは得られなかったとし、どちらかといえばその後の情報漏洩という事件性に影響されたのではないかとしています。

そういう点では、今回の朝日新聞の件も、甘いシステムに警鐘を鳴らしたとも言えます。しかし、そのやり方に問題があるのでは、ということなのです。

全住宅の玄関を一件一件ガチャガチャと開けてみて、開いちゃった住宅が三割もあった!、と。

こちらの記事によれば、助長する行為にはあたるかもとしながらも国家資格の過去問題に「ping, tracertなどで利用されているホストのIPアドレスを調査する」ことは、不正アクセス禁止法に抵触しないという過去問題もあるほど。

>>不正アクセス禁止法に抵触するもの – 情報処理午前:情報セキュリティ+セキュアド


ポケットスタディ 情報セキュリティスペシャリスト[第2版]: 村山直紀: Kindle

ただ今回は、それを管理者以外の人間が、しかも世界中のサーバーに総当り的にやったとすれば、迷惑行為ではないの?という疑義だとは思います。

善意の指摘も難しい

朝日新聞から、おそらく何らかの発表が午後にでも行われると思います。随時こちらの記事に追記していきたいと思います。

いっぽうで、前述の判例が「その後の行為にひっぱられた」と仮定しますと、今回は警鐘を鳴らしたということで、ウェブカメラ調査という行為が不正アクセスに当たるのかという判断に注目が集まるでしょう。

もしかしたら助長したという範囲におさまるかもしれません。システムの甘さへの指摘自体はネットでは一部で、評価する声も見られるほどです。

不正アクセス禁止法自体は、秩序維持と犯罪防止のためのものであるはずです。

そういう点では今回の件が、やり方の疑義はともかく、何か甘いシステムに警鐘をならすための新しい仕組みづくりのきっかけになれば良いと思います。

今後の成り行きに注目しましょう。


図解・実例からのアプローチ サイバー犯罪捜査入門(ハイテク犯罪捜査入門)―捜査応用編 (ハッカー検事シリーズ Vol. 3): 大橋 充直: 本

・ ・ ・ ・ ・

>>安っ!アマゾンで半額以下になっている食品タイムセール
セール特設ページを見る

↓↓↓無料のニュースレターを配信中です

法律や判例もキャッチアップ。