Counter

ACCS不正アクセス事件
Site Index

■ACCSとヨセフアンドレオンとファーストサーバの関係がよくわからないんだけど、整理するとどんな感じなの?

 本件では、不正アクセス禁止法で言う「アクセス管理者」の定義をめぐっても色々と厄介な問題が発生しそうです。ASKACCSサーバの運用には、少なくともACCSヨセフアンドレオンファーストサーバという3つの当事者組織が関係しています。このうちどの組織が「アクセス管理者」にあたるかを考えた場合、おそらく主たるアクセス管理者はACCS並びに業務委託を受けていたヨセフアンドレオンになると思われますが、実はレンタルサーバ事業者であるファーストサーバも、以下の理由から部分的に「アクセス管理者」とみなされる可能性があります。

 

関係組織
ASKACCSサイトとの関係
当該CGIの脆弱性に
関する認識
ACCS
名義上のサイト運用管理者 なかった
ヨセフアンドレオン
ACCSから業務委託を受け、ASKACCSサイトの
構築・運用を担当
なかった
ファーストサーバ

(1)専有サーバのセットアップ・運用・保守を担当
(2)契約者に対して「標準CGI」を提供

あった

 まず重要なポイントは「ファーストサーバが提供する専有サーバサービスにはセキュリティ保守業務が含まれている」という点です。一般にレンタルサーバ事業者の事業形態には、サーバの設置だけを担当した後にroot権限を契約者に全面委譲する箱貸し丸投げの形態と、一定の管理権限をレンタルサーバ事業者側に留め置く形態とがあり、ファーストサーバの場合は共有サーバサービスだけでなく専有サーバサービス「エンタープライズ・シリーズ」でも「契約者にroot権限を委譲せず、運用管理やセキュリティ対策は自社側で引き受ける」というサービス形態を取っています。専有サーバ業務の説明ページの「セキュリティ対策をはじめとする面倒なサーバの設定・運用管理は、お客様に代わってファーストサーバが実施。パッチインストールやポート監視なんて難しそう・・・、と言う心配はもう無用です」という部分を読む限り、ファーストサーバは業務の一部に設定・運用管理・セキュリティ保守の代行を謳っており、少なくとも部分的にはASKACCSサーバの運用主体として「アクセス管理者」に相当する可能性があるわけです。

 一方ファーストサーバは自社サーバの契約者に「標準CGI」というCGIキットを無償提供しており、今回問題となったcsvmail.cgiもこの標準CGIキットに含まれていました。ファーストサーバはこのCGIについて、11/8以後のoffice氏とのやりとりで「2002年末から配布CGIの脆弱性(洗浄不足)に気づいていた」と弁明している一方、実際にはCGI利用者にその脆弱性を公開せず「新たなバージョンのCGIをリリースした」という報告だけを行い、旧CGIをリプレースするかどうかは各サイト運用者の任意の判断に任せていたことがわかっています(2ちゃんねる「ファースト鯖」スレ(149-)参照)。つまり現段階の情報を整理した限りでは:

(1) ASKACCSサイトの運用委託を受けていたヨセフアンドレオンは当該CGIの脆弱性を把握していなかった
(2) ヨセフアンドレオンがファーストサーバと契約していた専有サーバサービスでは、設置・運用・セキュリティ対策などもファーストサーバ側の業務内容に含まれていた
(3) ファーストサーバはASKACCSサイトで利用されていたCGIの脆弱性を認識していた

 ということになります。なおファーストサーバは、office氏が当該CGIの脆弱性をACCSやファーストサーバに通告した4日後の11/12日早朝、旧標準CGIを利用していた契約者サイトのCGIを強制的に新バージョンに差し替えており、独自判断による脆弱性対応の権限を持っていたことがわかっています。

 これらの条件下でファーストサーバが「アクセス管理者」に妥当するかどうかは、office氏の不正アクセス禁止法違反を審理するうえで重要な分岐点となる可能性があります。もしACCSとヨセフアンドレオンだけを不正アクセス禁止法の定める「アクセス管理者」とみなすとすれば、「アクセス管理者は、管理者が意図するアクセス制御の実効性を失わせるようなwebアプリケーションを、それと知らずに利用していた」=「特定利用を制限していたが失敗していた」というシナリオになりますが、ファーストサーバにも一部「アクセス管理者」としての性格を認めるならば、「アクセス管理者は、当該webアプリケーションが契約者の想定外の情報へのアクセスを招くことを認識し、またこれを修正する権限を持ちながらも、あえてその状態を放置していた」=「特定利用を制限していなかった」というシナリオになりかねず、その場合犯罪要件構成に必要な前提が成立しなくなるからです。