2017年09月 / 08月≪ 123456789101112131415161718192021222324252627282930≫10月

--.--.-- (--)

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
--:--  |  スポンサー広告  |  EDIT  |  Top↑

2009.08.02 (Sun)

不正アクセス禁止法違反≠ソーシャルクラッキングかと

前のエントリーの最後に書いた、「不正アクセス行為について」。

http://www.cml-office.org/archive/?logid=415

 と学会MLだが、会員同士の情報交換用であり、非公開である。ログも
会員しか見ることができない。各自のメーラーで受信した後は、普段使って
いるパソコンのメールボックスにその内容が入るし、普通は、パソコンその
ものやメーラー起動にはパスワードが設定されている。
 ということは、流出した内容が真実であり、かつ、会員が自発的に出した
場合やパソコンへのウイルス感染等が原因の事故による流出でなかった
場合
・MLを運用しているサーバーから盗んだ
・会員個人の(パスワードロックしている)メーラーのメールボックスから誰か
 が盗んだ
・会員がパソコン修理等を依頼した業者がHDDから盗んだ
といったものが考えられる。つまり、当該エントリーに引用された資料入手
には、不正アクセス禁止法に違反する行為が伴っている可能性がある。
「一年以下の懲役又は五十万円以下の罰金」の対象になる、立派な刑事
事件なのだが……。

 ちょっと調べたのだが、不正アクセス禁止法って、親告罪ではない。という
ことは、通報や告発は誰でも可能で、被害者が訴えようが訴えまいが罪に
問われる。現状で最も疑われても仕方がない立場に居るのが、内容を公開
しているblog主ということになる。別の人からの情報提供の場合は、情報提
供者をかばえば今度はblog主の犯人隠避が問題になる。つまり、当該エン
トリーは「皆さん刑事手続で告発よろしく」と触れ回っているのに等しい。情報
の入手経路が違法でないことを十分確認しているのならともかく、よくそんな
危険な内容(というか犯罪自慢になりかねない内容)を公開しているなあ、
と。

http://s04.megalodon.jp/2009-0801-1911-19/www.cml-office.org/archive/?logid=415

「当該エントリーに引用された資料入手には、不正アクセス禁止法に違反する行為が
伴っている可能性がある」されてしまっている「当該エントリー」は、「唐沢俊一検証blog
の「“mindy9”=眠田直だった。」のエントリー。

「流出した内容が真実であり」と認めてしまっている――認めていないと解釈するなら、
話題にあげているエントリーをアップした「blog主」を、この犯罪をおかした可能性がゼロ
であることを充分承知の上で、執拗に犯罪者呼ばわり――という点については、この前の
似ているようで違う ―― スーパーハカーとスーパージェッター」のエントリーで指摘させ
ていただいた。

そっちのエントリーにも、以下のように書いたけど、
-------
「会員が自発的に出した場合」という一番ありそうな線をさっくり捨てて、ログの入手方法
をいきなり、「サーバーから盗んだ」「会員個人の〈略〉メールボックスから誰かが盗んだ」
「業者がHDDから盗んだ」の 3 つを可能性として列挙するのもスゴい。その発想はなかっ
たわ……まさかこの件で、スーパーハカーの暗躍していた可能性を、念頭におかなけれ
ばいけなかったとは。
-------
その補足というか、「まさか」と思った理由の説明と、「不正アクセス禁止法」について。

ちょっと調べたかぎりでは、いわゆる不正アクセス禁止法は、正式名称を「不正アクセス
行為の禁止等に関する法律」というもので。

http://www.ipa.go.jp/security/ciadr/law199908.html
>不正アクセス行為の禁止等に関する法律
>第一条  この法律は、不正アクセス行為を禁止するとともに、これについての罰則及
>びその再発防止のための都道府県公安委員会による援助措置等を定めることによ
>り、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御
>機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会
>の健全な発展に寄与することを目的とする。


つまり、この法律が防止しようとのは、「電気通信回線を通じて行われる電子計算機に
係る犯罪」であり、「アクセス制御機能により実現される電気通信に関する秩序の維持」
を図るものである。

となると、「電気通信回線を通じて」ではない、「電気通信」に関係ない行為は、この法律
の関知するところではないように思える。法律の条文は難しいので、以下の Wikipedia の
記述も参照してみた。

http://ja.wikipedia.org/wiki/不正アクセス行為の禁止等に関する法律
>何人も、不正アクセス行為をしてはならない(3条1項)。不正アクセス行為とは以下の
>行為である(3条2項)。
>1. 電気通信回線(インターネット・LAN等)を通じて、アクセス制御機能を持つ電子計算
>  機にアクセスし、他人の識別符号(パスワード・生体認証など)を入力し、アクセス制
>  御機能(認証機能)を作動させて、本来制限されている機能を利用可能な状態にす
>  る行為 (1号)
>2. 電気通信回線を通じて、アクセス制御機能を持つ電子計算機にアクセスし、識別符
>  号以外の情報や指令を入力し、アクセス制御機能を作動させて、本来制限されて
>  いる機能を利用可能な状態にする行為 (2号)
>3. 電気通信回線を通じて、アクセス制御機能を持つ他の電子計算機により制限され
>  ている電子計算機にアクセスし、識別符号以外の情報や指令を入力し、アクセス制
>  御機能を作動させて、本来制限されている機能を利用可能な状態にする行為 (3号)
>1号は、他人のユーザーIDとパスワード等を使用した入力方法が想定されている。2号
>は、セキュリティーホール等の脆弱性やコンピュータウィルス等を利用した入力方法が
>想定されている。3号は、第2号と入力方法は同じだが、不正アクセスの対象となる電
>子計算機のバックエンドに認証サーバーがある場合が想定されている。対象となる電
>子計算機へのアクセスには「電気通信回線」を経由する必要があるため、直接電子計
>算機の前で認証を突破する行為は不正アクセス行為とならない。


やはり、「『電気通信回線』を経由する必要がある」とされているし、「直接電子計算機の
前で認証を突破する行為は不正アクセス行為とならない」とされる。

つまり、何がいいたいかというと、最初に引用したブログの文章では、以下の 3 つ:

http://www.cml-office.org/archive/?logid=415

・MLを運用しているサーバーから盗んだ
・会員個人の(パスワードロックしている)メーラーのメールボックスから誰か
 が盗んだ
・会員がパソコン修理等を依頼した業者がHDDから盗んだ


これらを不正アクセス禁止法違反といっているようだけど、後ろ 2 つは「不正アクセス
禁止法」ではないのではないか――ということ。だって、「『電気通信回線』を経由」って
感じじゃない。

少なくとも、3 番目の「会員がパソコン修理等を依頼した業者がHDDから盗んだ」は電気
通信回線を通じてどうこうという話じゃないことは明らか。

2 番目の「会員個人の(パスワードロックしている)メーラーのメールボックスから」だが、
これで普通に頭に浮かぶのは、会員個人の PC を前に、そこのメールボックスの中に
ローカルに保存されているメールを盗むために、メーラーが尋ねてくるパスワードを入力
する犯罪者の姿じゃないかと。つまり、上の Wikipedia からの引用でいう「直接電子計算
機の前で認証を突破する行為」であり、「不正アクセス行為とならない」。

まあ「『電気通信回線』を経由」して会員個人の PC に侵入したり、会員個人の「メーラー
のメールボックス」は Web メールか何かで、「『電気通信回線』を経由」して ID とパスワ
ードを入力して情報をゲットしたりという話だったら、「不正アクセス行為」となるかなとは
思う。ただ、そういうことをさしているなら、「会員個人の(パスワードロックしている)メー
ラーのメールボックスから誰かが盗んだ」という書き方は、ちょっとないよなあとも思うけ
ど。

んで、「『電気通信回線』を経由」にこだわる理由としては、「不正アクセス行為の禁止
等に関する法律」の対象となるかどうかという問題だけではなく、経由するかどうかに
よって、必要となる能力やコネなどにかなりの違いが出てくるという問題があって。

よく聞く説明としては、銀行の ATM 端末に差し込む磁気カードの暗証番号が 4 桁の
数字のみでも、まあ一応オッケーなのは、暗証番号だけでは不正使用ができなくて、
カード自体の入手が必要だけど、それはそう容易ではないためだ、というのがある。
盗むにしても、偽造するにしても、それなりのハードルが存在するということで。2 番目
と 3 番目の例は、こちらに近い。

それに比べ、「『電気通信回線』を経由」しての認証突破は、カードの入手に相当する
困難はない。パスワードの解析などを、ツールまかせにすることも可能。だからパスワー
ドは、たとえば 6 桁以上にしろとか、英数字と記号文字を混ぜろとか、辞書に載って
いるような単語の使用は避けろとかいわれる。

- http://ja.wikipedia.org/wiki/コンピュータセキュリティ
- http://ja.wikipedia.org/wiki/辞書攻撃
- http://ja.wikipedia.org/wiki/ソーシャル・エンジニアリング

で、1 番目の「MLを運用しているサーバーから盗んだ」とかの「不正アクセス行為」は、
会員個人の PC への物理的な接触は必要としないものの、実行にはそれなりの専門的
なスキルが必要となるわけで。いくら大手なのに意外とセキュリティの甘いところが多々
あるとか、悪い人のつくった便利なツールがあるとかいっても、侵入される側もそれなりに
防御の努力をしているわけだから、誰でも簡単にクラッキングできるわけもなく。

1990 年代中盤くらいの時期ならともかく、攻撃する側、守る側、イタチごっこを繰り返し
ながら、日々進歩していったわけだから。

というか、自分がスーパーハカーか、スーパーハカーの知り合いでもいない限り、そんな
手段で、親睦団体の ML のログを入手できないかなどと、そもそも念頭にも浮かばない
のではないかと。

もっと少人数で、やたら結束の強い秘密団体のかかえる機密情報ならともかく、と学会の
ML の内容である。Wikipedia によると会員は 3 桁。

http://ja.wikipedia.org/wiki/と学会
>2008年現在で会員数は約100名[4]。一般からの入会の申請は受け付けず、会員2名
>の推薦があった場合のみ入会が認められている[5]。会の規約はこの入会の規定と会
>費を納めることだけであり[2]、会員の思想や信条は問わない。そのため、会員は必ず
>しも超常現象研究家(懐疑派)や疑似科学批判者だけというわけではなく、作家や落
>語家、大学の教員はもちろん、宗教家や占い師、ヒーラーや新しい歴史教科書をつく
>る会会員などもおり、幅広い。


それだけいろいろな「思想や信条」の会員がいるなら、ログの横流しをする者がいても、
まったく不自然ではないと思うが。その者自身がその ML でヤバい発言はしていない
のなら、リスクはない。推測でものをいって申し訳ないが、どうせログを横流したらどう
するとかいう罰則も決められていないだろう。

そんな会員などいないけど、しかし ML のログの不正入手を望む者が、会員個人の PC
を直接操作することは可能という状況は想像しにくいし。しかもその者は、その PC の
パスワードを破る能力とそのための時間をあたえられてなければいけない。

だから 3 番目の「会員がパソコン修理等を依頼した業者がHDDから盗んだ」なんていう
のまで入っているのかな。会員がパソコン修理を依頼する業者なんて予測困難だから、
と学会を知っていて、あれこれの騒動も知っていて、ついでにML の中身を見てやろうと
思い、職業上の倫理観も何のそので横流しすることを決心する修理者にあたったという、
と学会というのは余程ツイていない団体なんだろうとしか思えない状況を仮定するしか
ないのだが。そもそも、と学会というものを修理者が知っている確率とは……という話で。

スポンサーサイト

テーマ : 感想 - ジャンル : 本・雑誌

03:29  |  資料編 (14) +  |  TB(0)  |  CM(0)  |  EDIT  |  Top↑

Comment

コメントを投稿する


 管理者だけに表示  (非公開コメント投稿可能)

▲PageTop

Trackback

この記事のトラックバックURL

→http://tondemonai2.blog114.fc2.com/tb.php/190-87f1dcbf

この記事にトラックバックする(FC2ブログユーザー)
この記事へのトラックバック

▲PageTop

 | BLOGTOP | 
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。