ACCS事件について - しがないプログラマの日記

既に有名なところでも書かれているので、今さら感もありますが、「不正アクセスとは何か」--office氏の判決を読み解く - CNET Japan に詳しく内容が書いてあったので、自分の意見をちょっと書いておきたいなと。
まずは、ここから。

　不正アクセス行為の禁止等に関する法律2条3項は、「アクセス制御機能」が「特定電子計算機」に付加されている機能であり、識別符号が「特定電子計算機に入力されるもの」と規定しているうえ、同法3条2項2号も、アクセス制御機能による特定利用の制限を免れることができる情報または指令を入力する対象を「アクセス制御機能を有する特定電子計算機」と規定しており、アクセス制御機能の有無を特定電子計算機ごとに判断することが前提となっている。本件では、ACCSがファーストサーバ株式会社からレンタルしていた物理的な機器である本件サーバが特定電子計算機であり、これを基準にアクセス制御機能の有無を判断することは文理上当然である。他方、その有無をプロトコル単位で判断すべき文理上の根拠は何ら存在しない

判決理由とのことですが、『物理的な機器である本件サーバ』が不正アクセス行為の禁止等に関する法律に定められている『特定電子計算機』に相当し、『これを基準にアクセス制御機能の有無を判断することは文理上当然である』と言うことらしいです。弁護側は最初から、物理的なサーバ単位で考えるのではなくプロトコル毎に考えるべきだとしてきたのですが、その主張を『文理上当然』の一言で一蹴しています。一つの争点だったはずなのに、それを当然としてしまっているわけです。私は【不正アクセス行為の禁止等に関する法律】をほとんど読んでいないため詳しいことは分からないので、高木浩光＠自宅の日記 - 不正アクセス禁止法私はこう考えるへリンクを張るに止めます。
さて、判決理由はまだ続いていて、

そうすると、アクセス制御機能の有無については、特定電子計算機ごとに判断するのが相当であり、特定電子計算機の特定利用のうち一部がアクセス制御機能によって制限されている場合であっても、その特定電子計算機にはアクセス制御機能があると解するべきである。そして、本件においては、本件CGIおよび本件ログファイルを閲覧するには、FTPを介して識別符号を入力するものとされていたのであるから、本件サーバはアクセス制御機能を有する特定電子計算機といえるのである

もっとも、本件サーバにアクセス制御機能があるとしても、被告人の本件行為によってなし得る状態になった本件の各特定利用が、アクセス制御機能によって「制限」されていたかについては、さらに検討を要する。本件CGIおよび本件ログファイルを閲覧するには、FTPを介して識別符号を入力する必要があったが、被告人の本件アクセス方法によれば、識別符号の入力を要さずして同様の閲覧が可能であったことが認められる

このような場合、識別符号を入力してもしなくても同じ特定利用ができ、アクセス管理者が当該特定利用を誰にでも認めている場合には、アクセス制御機能による特定利用の制限はないと解するべきであるが、プログラムの瑕疵（かし）や設定上の不備があるため、識別符号を入力する以外の方法によってもこれを入力したときと同じ特定利用ができることをもって、ただちに識別符号の入力により特定利用の制限を解除する機能がアクセス制御機能に該当しなくなるわけではないと解すべきである

以上のことから、該当サーバではFTPに関してはアクセス制限があったため、どんなプロトコルのアクセスに対しても『アクセス制御機能を有する特定電子計算機』の要件を満たしていると。さらに、『識別符号を入力してもしなくても同じ特定利用ができ』るような場合でも『プログラムの瑕疵（かし）や設定上の不備があるため』利用可能になっている場合は、『識別符号の入力により特定利用の制限を解除する機能がアクセス制御機能に該当しなくなるわけではない』と言っています。つまり、設定がまずかったりサーバの脆弱性のためにアクセスが可能になっているからといってもアクセス制御されていないとは言えない、らしいです。

本件においては、本件CGIファイルおよび本件ログファイルのURLを入力する方法によっては、これらを閲覧することができないように設定されていた。他方、本件アクセスは、本件CGIの脆弱性を利用したものであり、あえてその方法を管理者が認める必要はなく、想定もしていなかったものである。そうすると、本件の各特定利用ができたのは、プログラムの瑕疵または設定上の不備があったためにすぎないのであり、アクセス管理者が本件アクセス行為のようなかたちで特定利用することを誰にでも認めていたとはいえない。よって、本件においても、本件CGIおよび本件ログファイルの各閲覧は、アクセス制御機能による特定利用の制限にかかっていたものということができる

そうすると、本件サーバのCGIおよび本件ログファイルを閲覧するためには、プログラムの瑕疵や設定の不備がなければ、FTPを介してIDとパスワードを正しく入力しなければならないところを、被告人は、HTMLファイルの内容を書き換えることにより、変更前とは異なるリクエストを本件サーバに送信し、本件CGIを起動させることで、ID、パスワードを入力することなく、本件CGIおよび本件ログファイルを閲覧したということができる

『本件CGIの脆弱性を利用したもの』、『その方法を管理者が認める必要はなく、想定もしていなかったもの』とありますが、つまり管理者が想定していなかった方法でアクセスできたとしても、『アクセス制御機能による特定利用の制限にかかっていた』と言えるそうです。その前で『URLを入力する方法によっては、これらを閲覧することができないように設定されていた』とありますが、URLを入力する方法で閲覧できないようになっていればどのようなプロトコルでも管理者が想定していなかった方法でアクセスできてしまったとしても、FTPでアクセス制御が為されていればアクセス制御されていたことになるらしいです。
結論は、

すなわち、被告人は、本件CGIおよび本件ログファイルの閲覧という各特定利用を制限しているFTP プロトコルを利用したアクセス制御機能を有する本件サーバに、その制限を免れる指令を電気通信回線を通じて入力して本件サーバを作動させて前記各特定利用をしうる状態にしたといえ、被告人の行為は、不正アクセス行為に該当する

『URLを入力する方法によっては、これらを閲覧することができないように設定されていた。』かつ『ID、パスワードを入力することなく、本件CGIおよび本件ログファイルを閲覧した』ため『不正アクセス行為に該当する』となっています。

しかし、上記の判決内容が【不正アクセス行為の禁止等に関する法律】で定める不正アクセスに該当するとなるのは、技術者から見ると明らかにおかしく見えます。まずおかしい点は、プロトコル毎にアクセス制限を行っているのが当然なのに物理的なサーバを持ってアクセス制御を論じようとしている点。例えば、負荷分散のためにロードバランサを介して複数のサーバでHTTPなどのサービスを提供している場合などはどのように考えるのでしょう？また、今回のようにFTPとHTTPなどの複数のサービスを１台のサーバで提供しているのは普通の形態ですが、この場合のアクセス制御をサービスではなく物理的なサーバで考えるのはナンセンスである点。何故ナンセンスなのかは、当然である。と言いたくなりますが、法律を考えている方々には違うようですね。
さらに、アクセス制御為されていたかどうかの判断に管理者がそれを想定していたかという判断が入っている点は問題があるのではないかと。これでは、管理者が想定していないと言えば、何でも【不正アクセス】になってしまうことになります。『URLを入力する方法によって』うんぬんとは書かれていますが、それ以外の方法の場合はどうなのかはまったく決定されていないので、場合によっては恣意的に線引きが為されてしまうのではないかと思われます。今回の件に関しても、実際にはPOSTメソッドである値を送れば良かっただけとの話なのでブラウザからの通常のリクエストの範囲で見えていたとも言える状態だったはずです。それが何故【不正アクセス】なのか、それでは何が【不正アクセス】になるのかをもっとキッチリ決めて欲しい物です。
このままでは管理の甘いサーバが多くなるだけで、検挙されない不正アクセスが増えるだけの結果に終わるのではないでしょうか？不正アクセスを検知するためには、サーバの管理者が正しく設定を行いなるべく穴をふさいだ状態で運用し、さらには毎日の監視作業を行う必要があるはずです。それを行わずにこのような判決を盾に、脆弱性を指摘してきた人を【不正アクセス】だと断ずるような流れになってしまっては社会的に不利益になるのではと考えます。