http://d.hatena.ne.jp/Horiuchi_H/20050331/1112250057
http://takagi-hiromitsu.jp/diary/20050324.html


まず最初に。
自分は「不正アクセス禁止法」に対する深い知識を持っていないけど、「不正アクセス」対策はそれなりに気を遣っているつもりの一般のWeb開発者です。


そして、私が今回の事件の全体を見てきた上でどのような判断をして欲しかったかというと、

・手法や前提条件上、ACCS及び当該スクリプトの開発会社側には通常のプログラム開発手順の中で公知となっている開発上の重大な欠陥を持っていた。
・本件被告人はこの脆弱性を指摘することを本件犯行以前にも繰り返しており、本件犯行もこのメソッドに従った行動である。
・しかし、本件は脆弱性を当該企業に通知する前に、不特定多数に対して脆弱性及び個人情報を公開した。これは被告人がACCSに対して、他の企業に脆弱性を指摘するものと比べて特別な悪意を持ってACCSの信用を貶めることを目的とし、個人情報漏洩の悪影響を考えずに犯行に及んだものであり、刑罰を科す必要がある。

という辺りの判決が妥当かなぁと思ってました。
あと、裁判の結果がどうあれ間違いない事実があって、

・スクリプトを作成したファーストネットは、このような欠陥があるプログラムを放置しつづけた。
・ACCSは、社会的責任のある団体にもかかわらず、適切な脆弱性評価を怠った。

そういう立場で読んだ今回の判決。


技術はシビア。そこに記述されたプログラムには、感情をはさむ余地が全くありません。全て、プログラムとして書かれた通りに動作するのです。
今回の争点は、そんな予期せぬ動作をどう扱うかという話し。
ソフトウェア技術者が予期していない動作をすることをバグというけど、バグが出るのを予期できるかどうかは、その技術者の素養や経験にかかっています。ひとつはシステムに対する多角的な発想、もうひとつはそれを確実に実装するための用心深さです。
BR>
そんな一技術者にとって、「不正にアクセスされる」という定義はこう。


実装当時の技術水準では考えが及ばなかった方法、または自分の力ではどうにもならないミドルウェア以上の領域に存在しているセキュリティホールが存在し、攻撃者がそれを突いて侵入するということです。
これは自分の責任範囲を超えているから、対策するためのパッチ当てやミドルの入れ替えを行うことで対策を行うしかないのだけれど、アナウンスがあったのにパッチ当てを行っていないので攻略された場合は、運営側が悪いと考えます。そんなのに攻略されるなんて、なんて阿呆なんだろうと思いつつ、明日は自分のとこが攻略されてしまうかもという危機感と共に、様々な方法が編み出されます。
なんせ、Internetは世界中のスクリプトキディやらクラッカーやらが発する攻撃パケットでわんさとにぎわっている、油断即死の世界です。脆弱性が良く知られているWindowsXPやら2000やらをパッチを当てずに直接Internetに繋ぐと、ものの数秒で攻略されてしまうほど。
今回はたまたま日本人がたまたま派手にやったので犯人がわかったけれど、普通はなかなかわからないから自衛するしかないわけで。。。
そんなグレイゾーンに、解釈がわかれる法律で乗り込もうとするのは難しいですよ。

自分の明らかな不注意によって発生した「セキュリティホール」という名のバグまたは実装漏れを、攻撃者が突いて侵入することは「不正アクセス」というよりもむしろ、そのような欠陥のある実装をしたほうに責任があると考えるのが普通です。もちろん欠陥を突いて攻撃することは充分犯罪だけど、その行為から身を守らなければならないってことです。


しかし、今回のケースはちょっと違うように思います。


Webシステムを開発する人間なら、誰しも開発したアプリケーションを一般公開した後、サーバに対して様々なアプローチがなされていることに気が付いています。ポートスキャンはもちろん、例えば様々な引数を入れて試す行為からHTMLを書き換えてPOSTするまで様々です。


そう、今回罪に問われた「HTMLを書き換えてイリーガルなデータをPOSTしようと試みる」輩などこの世の中には腐るほどいるし、実際自分が開発したアプリでも、それらで実行されることを想定してプログラムを組むことが基本だし、それをしていなかったプログラムなど、どうしようもない物です。
そんな欠陥品を法律で守ろうとするのは、明らかに過剰保護。欠陥品の存在をを認めてしまうようなものです。


さて、今回のACCS事件の判決文では

ACCSおよびサーバ会社が社会的信用を失うなど、被害者らの被ったダメージは著しい。

というように書かれているけれど、この文章の前にはこのような一文があります：

本件犯行の手口は、本件CGIが、HTMLファイルが改変されないことを前提としてプログラムされていたことに乗じ、HTMLファイルを巧みに改変し、本件CGIを本来とは異なる動作をさせて、本件CGIのソースコードおよび1180名以上もの大量の個人情報を含む本件ログファイルを閲覧したというものであって、巧妙かつ悪質な犯行である

うへぇ。よくもまあ、こんなこと書けるな・・・
こんなHTMLファイルが改変されないことを前提として認めること自体が欠陥ですねｗ
そんな大穴の空いた（というかこんな欠陥、穴と言う方が恥ずかしい）
この程度の動作をさせることのどこが「巧妙」なのか理解に苦しみます。
たまたま見えちゃったのが大量だったわけで、それをもって悪質とするのは全くのお門違い。悪質の証明になってないです。


「FTPだとアクセス制御されてて、HTTPだとされてない。だけどFTPでアクセス制御されてるんだからプロトコルにかかわらずアクセス制御されていると見なす」って・・・
まさにクソミソパラダイスというか何というか・・・　そんなこと言ったら通常のWebページなんてほとんど全部FTPでアクセス制御してるものばっかりだから、全てだめじゃん。見せたい、見せたくないという主観的なものなんて、この世界では通用しないんだけどな...　取れるものは根こそぎ取られてしまうからね。たまたま取った人が（その道の）有名人だったから捕まえることができただけであって。

本件犯行により、アクセス制御機能に対する社会的信用は、大きく傷つけられたうえ、

いやさ、そんな適当なアクセス制御機能なんて、心配しなくても最初から傷モノだってｗ
だいたい大して難しくもない問題なのに、何が良くて、何が悪いのかをしっかり報道しないからこうなる。


そのようなプログラムを書いていた時点で、例え事前連絡があってこっそり直したとして、あとで「こういう脆弱性があったが直された」として公表したとしても同じことです。誰もそんなプログラムを書くような会社に開発は頼まないよ。
私たち技術者にとっては、何千人もの個人データが漏洩したことが問題なのではなくて、そのような漏洩を許すような構造のプログラムを書くことを許していた会社や契約自体が大問題！


いずれにしても、この判決は犯意のみを見て判断を下したんでしょうね。実際のところ、これが不正アクセスかどうかだったことなど最初からどうでもよく、結論ありきで強引に不正アクセスがあったように理論構築をしています。


だけど、それじゃあ本末転倒じゃないですか。矛盾だらけで見るに堪えない。FTPでアクセス制御されてるからHTTPで云々なんて、確かにわからん人が見たら何わけのわかんないこと言ってるんだで終わる話かもしれないけれど、私たちの目からたら、HTTPで認証かかってないなら、それは見せるためのものだってのは技術上当然なんだけどなぁ...


どちらにしても、全ての事実を白日の下にさらけ出して、それに対して判例という定義をするはずの裁判所が、まして全ての証拠が揃っていて、つま先から頭のてっぺんまで白黒がつくはずの技術的な事案で、なぜこんな中途半端な解釈しかしていない判決文になるのか・・・
この理解できない部分こそが、技術者と法曹関係者との間に横たわるギャップですね。
このあたりは、http://d.hatena.ne.jp/okumuraosaka/20050328/1111980095に興味深いコメントが。
つまり、地裁ではあまりまともに審理されないらしいです。


さて、日本はこの手の話をいつまで、「わからないもの」として取り扱っていくつもりなのかな。今や電車に乗れば技術書を見ていたり、システム開発の四方山話をしている二人組を見つけることは難しくないし、コンピュータ技術者なんて特権階級でもレアキャラでもなんでもない。そのへんによくいる存在なんだけど。こういう曖昧な判決や、何も知らないことを前提とした恐怖感を煽る報道がなされるたび、裁判制度や報道の基本的な信頼がひとつひとつ失われていっていることに気づかないのかな。


ううむ。この状態は一体あと何年先まで続くのかな。。。　と思ったぞ、と。