アカウント名:
パスワード:
『本件においては、本件CGIファイルおよび本件ログファイルのURLを入力する方法によっては、これらを閲覧することができないように設定されていた。他方、本件アクセスは、本件CGIの脆弱性を利用したものであり、あえてその方法を管理者が認める必要はなく、想定もしていなかったものである。そうすると、本件の各特定利用ができたのは、プログラムの瑕疵または設定上の不備があったためにすぎないのであり、アクセス管理者が本件アクセス行為のようなかたちで特定利用することを誰にでも認めていたとはいえない。よって、本件においても、本件CGIおよび本件ログファイルの各閲覧は、アクセス制御機能による特定利用の制限にかかっていたものということができる』
日本だと、URL直打ちすれば認証なしでアクセス可能なページであっても、
本件においては、本件CGIファイルおよび本件ログファイルのURLを入力する方法によっては、これらを閲覧することができないように設定されていた。
HTMLファイルの内容を書き換えることにより、変更前とは異なるリクエストを本件サーバに送信し、本件CGIを起動させることで、ID、パスワードを入力することなく、本件CGIおよび本件ログファイルを閲覧したということができる
URLの入力による程度であれば、不正アクセスにはならないということだろうか。
駅前の自転車置き場で鍵のかけ忘れた自転車をこっそり借りちゃった。制限する手段はいくらでもあるのにそれをせずにアクセス可能な状態で置いていた以上は、・・・
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
公開URLじゃないでしょ (スコア:1)
私は、アンカーなどで明示されているのもだけが「公開」だと思うが。
Re:公開URLじゃないでしょ (スコア:2, すばらしい洞察)
そのころの常識が今でもそのまま通用するとは思わないけど、基盤はそこにあるわけ。
だからリンクが張られていないURLにアクセスする行為はwebの仕組みとしてはまったく正当なもので、制限する手段はいくらでもあるのにそれをせずにアクセス可能な状態で置いていた以上は、所有者の意図がどうであろうが「公開」に違いないと思うよ。
うじゃうじゃ
Re:公開URLじゃないでしょ (スコア:3, すばらしい洞察)
> 制限する手段はいくらでもあるのにそれをせずにアクセス可能な状態で置いていた以上は、・・・
「置いていた場所」の属性が問題ですね。
公共の自転車置き場は「私有物を一時的に預ける場所」と認知されているので、持ち去るべきではありません。
しかし、「公の場」とも認知されているため、他の利用者に見られて、指を差されて、
「何この痛チャリ、きんもー☆」と言われるのを防ぐ事も出来ません。
私有地に置く分には、見られたり指を差されたりしないように、
如何なる覆いで目隠しをしようが、その場所の属性設定者の自由です。
(明確な違法行為を犯さなければ)誰にも手は出せません。
# 「意図せぬ公開」にグダグダ言い訳するヒトって、ただ見てるだけのヒトを盗人扱いしたがるよね。
# 己の不作法を棚に上げて、酷い侮辱だ。
Re:公開URLじゃないでしょ (スコア:1, 興味深い)
結局のところ論点は
「原理的に閲覧可能であるWeb上のコンテンツに対する立場の違い」
だと思います。
そしてそれは時代とコミュニティの変遷とともに変化していく。
どちらが正しいか?
という問題ではなくて、どちらが今現在、ネット上の社会通念として
コンセンサスを得ているか?でしょう。
ネットを古くから使っていてURLを自分で直入力するのが当たり前の世代では
「意図せぬ公開」でグダグダいうのは許しがたいというのは大変良く分かりま
すし、その逆もしかりです。
それに、「意図」せぬ公開という議論の「意図」の部分をどこまで取るか?に
よってもいろいろと是非がありそうですし、たとえば、Webサーバーのセキュ
リティホールのようなものは、プログラム上のセキュリティホールと設定上の
ミスによるホールが、どこまでが「意図」でどこからが「意図してないのか?」
というのも、厳密に議論すると結構難しいと思う。ですから、そんな、言葉の
問題ではなくて。広義の意味と狭義の意味がごっちゃにもなる。
だから、この手の問題を議論するときには、
「どちらがより正しいか?」ではなくて
「どちらがより今の社会に適応しているか?」
もしくは
「どちらがより未来のネットの姿に相応しいか?」
という方向性の議論をすべきだと思います。
個人的には、緩やかにですけど、法的もしくは社会のコンセンサスとして「意
図せぬ公開を公開されてしまう行為」は、徐々に違法という扱いになってしか
るべきだと思いますがね。オタクとしてはあまり好ましいとは思いませんが、
Re:公開URLじゃないでしょ (スコア:1)
>コンセンサスを得ているか?でしょう。
コンセンサスが変わっても、HTTPの機能が変わるわけではないのです。
道具を正しく使うには、正しい使い方を知っている必要がありますし、
正しい使い方を知っていればそもそもこんな問題は発生しません。
新しい要求にはそれに応じた新しい道具を創るのが筋でしょう。
例えば、選択肢を増やして公開範囲を制限することは可能かもしれません。
HTTPは大きく言って公開か認証か非公開かという三択ですが、公開したい
相手だけに認証なしに公開するという選択肢があれば摩擦は減るでしょう。
三次元空間の対人関係を、どうやって電子空間に投影するかが問題ですが
情報の統合化が進んで規格が固まれば、たとえばケータイに登録があって
お友達属性の人にだけ公開するといった設定が可能になるかもしれない。
ケータイをドングルのように使うことになったら、それはそれで抵抗がありますが……
Re:公開URLじゃないでしょ (スコア:1)
本来のルートに認証プロセスがあり、そこからリダイレクトされる構成だとしたら、
それは不正アクセスと見なされるのではないでしょうか。
「不正アクセスとは何か」--office氏の判決を読み解く:ニュース - CNET Japan
http://japan.cnet.com/news/sec/story/0,2000056024,20082116-2,00.htm [cnet.com]
で、たとえに出された鍵をかけ忘れた自転車を盗むという行為は、本来
鍵を持っている人のなりすましと考えられるので、結局は不正に
なるんじゃないですかね
Re:公開URLじゃないでしょ (スコア:1)
「不正アクセスとは何か」--office氏の判決を読み解く:ニュース - CNET Japan より引用
リンク先の件ではきちんと鍵が掛かっていたようです。
Re:公開URLじゃないでしょ (スコア:1)
もちろん読んでます。この裁判の本質はその次の括弧書き以降じゃないですか?
「設定の不備」をどこまで認めるかに依りますが、本来有るべきFTPを介した
ID、パスワード認証を迂回してアクセスしたことが問題であり、そのものに
鍵がかかっているかどうかは問題ではないように読めます。
なお、リンク先の一つ前のページ戻ってもらうと「鍵がかかってないファイルに
アクセスしたのだから問題ない」という弁護側の主張は認められていません。
--
『そうすると、本件サーバのCGIおよび本件ログファイルを閲覧するためには、
プログラムの瑕疵や設定の不備がなければ、FTPを介してIDとパスワードを正しく
入力しなければならないところを、被告人は、HTMLファイルの内容を書き換える
ことにより、変更前とは異なるリクエストを本件サーバに送信し、本件CGIを起動
させることで、ID、パスワードを入力することなく、本件CGIおよび本件ログファイルを
閲覧したということができる』
CGIにID、パスワード認証がなかったとしても、『プログラムの瑕疵や設定の不備』
(要するに脆弱性)を突いてアクセスしたのだから不正アクセスになるのである、
という論理だろう。
--
Re:公開URLじゃないでしょ (スコア:2, 参考になる)
ちなみに、FTPの認証を回避した方法が という通常行うことの無い手段で実現されているので、#1311177 のコメントのような心配はあまりないかなぁと私は思います。 さらに書くと、CNET Japan の記事では、 というふうに判決を読み取っています。
ついでに、結構前の話なので、どのような方法で"本件CGIおよび本件ログファイル"を閲覧したか忘れましたので調べてみました。
ACCS不正アクセス事件のテンプレ
http://www.geocities.jp/officeandaccs/index.html [geocities.jp]
CNET Japan の内容を踏まえて読んでみると、そう間違った情報ではないかと思いますので、参考までに。
Re:公開URLじゃないでしょ (スコア:1, 興味深い)
理想的には不正アクセスと見なされない方がいいように思います。
例えば、「ある有益な情報の載ったページを見つけたのでブックマークしておいた。
後日、どこかの掲示板にそのページへのリンクを掲載して書き込みを行った。」という場合、
もし掲示板に書き込みした時点で、そのページが認証プロセスを経てリダイレクトされる
構成に変更されているが、直打ちでアクセス可能になっていれば、不正アクセスに
なりかねないですね。
VioletR 氏の元コメントにも、CNET Japan へのリンクが付いてますよね。
たとえの方では、鍵をかけていない自転車は共用自転車なので誰でも乗って行って
構わない(実際にそういう共用自転車が多い)という駐輪場に、
共用自転車ではないが鍵をかけ忘れた自転車が置かれていて、
それに乗っていったという感じ? 要は鍵をかけ忘れているのかどうかを
完全に確認するのが困難なんですよ。
Re: (スコア:0)
Re:公開URLじゃないでしょ (スコア:1)
こちらの書き方も悪かったけど、それは論点が違う。
元コメントは公開とみなすかどうかの基準を「リンクなどが張られているかどうか」としている。
wwwの概念ではその理屈は通用しないだろ、というのが私の見方です。
それを好き勝手に利用していいか、というのはまた別の話。
うじゃうじゃ
Re:公開URLじゃないでしょ (スコア:1, すばらしい洞察)
今回の件を自転車の例で行くと、
駅前の自転車置き場で鍵のかけ忘れた自転車が置いてあった、という話をした。
という事になるが、この話を聞いた貴方は自転車泥棒を連想するわけですね?
そんな独創的な連想法で受け入れ難いといわれても困ります。
***
なぜかセキュリティの話になると、こうやって論点をずらして話を曖昧にしようとする輩が一人二人は必ず現れますが、何故なんでしょうね?
やっぱりセキュリティに関して正しい知識を啓蒙して欲しくない立場の方なんでしょうか。
例)
サーバからデータを盗み見たという事件を指して
誤:金庫に入ってたデータを盗み出したんだから窃盗と同じ。
正:せいぜい「金庫に入ってたデータを複写した」。
持ち主の手からなくなるか残るかという点で本質が違いすぎる。
河合一穂が逮捕された事件を指して
誤:セキュリティホールを指摘したら逮捕された。
正:不正アクセスの疑いがあったから逮捕された。 (厳密には威力業務妨害の嫌疑も同時にかかってたが)
セキュリティホールを指摘するのは今でも全くもって合法。
後者の例は/.jでも多かったうえにずっと居座ってたなあ…
Re:公開URLじゃないでしょ (スコア:1)
「家」と「ホームページ(広義の意味の)」で考えてみるとわかりやすいのではないでしょうか。
どちらも同じように、住所(URL)を辿れば誰でもその場所にアクセスすることができます。
「土地」にせよ「www」にせよ、パブリックな空間です。その中にプライベートな空間を構築しているわけです。
しかし、家には敷居や壁があって、プライベートな空間であることを明示しているから、鍵がかかっていないからといって勝手に侵入していいことにはなりません。
でもWebページの場合は、URLにアクセスした時点で原理的に中身が見えてしまうわけですから、公開したくないのであれば管理者が壁や鍵をしっかりと設置しなければならないのではないかと思います。
#公開していないURLにリンクを張るな、というのは、根底に検索エンジン至上主義(あるいは、インターネットの入り口は検索エンジンであるという考え方)みたいなものがあるように思うのですが。
Re: (スコア:0)
と思うわけです。
#例えて言えばスカートが短すぎて下着丸見えな女の人がいた場合、その下着を見たらどうなるの?って話です。
##道義的には、見てみぬふりをするのがマナーとかいうのはわかってるけど
Re: (スコア:0)
さらにソレを撮影した場合は?とか、少々見る角度を工夫しちゃったとかは?
もっとも、「見えてますよ」と教えるのもソレはそれで問題になりそうな例ですね。
Re: (スコア:0)
悪いのは鍵をかけなかった方?
ノックしなかった方?
って事じゃないかしら?
Re: (スコア:0)
Re:公開URLじゃないでしょ (スコア:1)
もっとも、物理的な掲示板と違って「空間」という制約は存在しないので
あらゆるweb pageは巨大な一つの掲示板に貼られているイメージになります。
HTTP serverが認証なしに参照できる情報は、掲示板に張り出された状態です。
自分で掲示しておいて、見るなという方がどうかしています。
Re: (スコア:0)
# 情報の世界に有体物の論理を持ち込んでも遠からず破綻する可能性が高いので、独自の規範を持つことは必要な気がしています。裁判所を納得させられるかはいささか不安が残りますが。
Re: (スコア:0)
コンテンツの権利者(もしくは管理者)としての権限で対策を執る、削除を要求するとならなかった辺りが失笑ネタなんじゃないかと。
# 日本でも昔ありませんでしたっけ? オンラインゲーム関係のURLちょっと弄って、っての。ROかな?