ACCS不正アクセス事件のテンプレ
Counter

ACCS不正アクセス事件
Site Index

■この事件でどういう社会的影響が考えられるの?

●このまま起訴に至れば、不正アクセス禁止法で言う「アクセス制御」や「不正アクセス」という概念がどの範囲までを指しうるのかが判決によって示されそうです。

 基本的に不正アクセス禁止法は「認証破り」を主たる処罰対象として立法された法律であり、これまでの判例もID・パスワードの盗用やアタック行為による認証回避など、目に見える形で認証制御を突破もしくは迂回するものが大半でした。しかし今回問題になったASKACCSのサービスは不特定多数のwebユーザに対して提供されており、通常利用の限りでは明示的な認証ステップは一切存在しません。どこかに「迂回された認証機構」を設定するならば、まず「webユーザに公開されたwebルートディレクトリ以下のリソース」と「webユーザには非公開のディレクトリ内のリソース」という区分を立て、利用権者が後者のリソースにアクセスするときに必要な認証行為を迂回した、という筋立てで立件するのが本筋かもしれません。

 その場合「本来webサービスとは、不特定あるいは特定のユーザに対してwebのルートディレクトリ下に設置されたデータやサービスへのhttpd経由のアクセスを許可するものである」といった感じの仮説的前提を持ち込むことで、office氏の行為を「通常はtelnetなりftpなりによる認証通過によってしかアクセスできない区画への侵入行為」と捉えることができるかもしれませんが、webサービスの含意をここまで厳しくすると、たとえばバックエンドにある別サーバ上のファイルに直接アクセスするwebアプリケーションなどの理論的位置づけが破綻してしまう気もします。

 また不正アクセス禁止法の条文は、アクセス管理者や不正アクセス実行者の「目的」や「意図」をめぐる要素を極力排除し、認証制御という外形的状態とその迂回という外形的行為をベースにして制定された感がありますが、そもそもセキュリティホールの脆弱性を「脆弱性」として(つまり仕様外・想定外の動作として)扱うには、どこかでサービスの設置・運用者の「意図」の問題が回帰して来ざるを得ない気もします。「アクセス制御」と「不正アクセス」の認定において設置者の「本来の意図」とか不正アクセス者の「本来の意図への気づき」といった要素に充分な配慮がなされるなら検察側がかなり有利になりそうですが、こうした「意図」への配慮が行き過ぎると本法の適用範囲が無際限に拡大してしまう恐れもあります。このあたりがどう扱われるかも注目でしょう。

●これまでは「節度ある相互協力関係」のもとで交流・情報交換を行ってきたハッカーコミュニティとセキュリティ業界・行政系組織の相互信頼関係が決定的に失われてしまったという声があります。今後のセキュリティ脆弱性への対応が、セキュリティ業界の慣行的ルールではなく厳格な法的アプローチにもとづいて行われるようになる可能性があり、それは必ずしも好ましい傾向ではない、という指摘も。

●善意の脆弱性報告行為への動機付けが低下し、結果的にネットワークという系全体のセキュリティ向上が阻害される、というコメントがいくつかありました。ただしITmediaの記事によると、ACCSは「この件が、善意による脆弱性の発見と修正という行為を萎縮させてしまうのは本来の意図とは異なる」とコメントしています。

●本件報道に関して、メディアにおけるハッカーとクラッカー(破壊的行為を行うハッカー)の同一視がさらに進む可能性があります。というか、これはもう今更な話?