アカウント名:
パスワード:
いや、検察もできることなら「個人情報保護法」でなんとかしたいところでしょうけど、事件が起こったのは施行前だから、仕方がなく別件起訴したという風に解釈してます。
#法に詳しい人ツッコミお願いします。
(「立法当時は現規定でよかったけれど、今は直さないとヤバイ」ということを定性的に説明できないので、内閣提出法案で直すことはほぼ不可能)
引き出された個人情報の載ったファイルは、正規にログインが必要な手段を終えた後に、アクセスされる事を前提としていたのだから
officeは悪いことをしたとは思いますがそれが「不正アクセス法」で罰せられるべきとは思えない。というか思えなかった。でも確定したならしょうがないかなぁ。
つまり、検索エンジンから飛んだサーバのファイルを見ただけで、 「トロイの作ったバックドアを利用してファイルを盗み出された。 これは不正アクセスであり、犯罪である」となるからです。
「検索エンジン」の部分を「2chへの書き込み」に置き換え
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
うーん (スコア:1, 興味深い)
Re:うーん (スコア:2, すばらしい洞察)
罪状が『不正アクセス』なために「urlを削っただけで不正アクセスなんて。」と感じますが、無罪で争うのは苦しいのでは。
Re:うーん (スコア:2, 興味深い)
いや、検察もできることなら「個人情報保護法」でなんとかしたいところでしょうけど、事件が起こったのは施行前だから、仕方がなく別件起訴したという風に解釈してます。
#法に詳しい人ツッコミお願いします。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:うーん (スコア:2, すばらしい洞察)
法整備されていないのは問題ですが、それを別件逮捕で何とかするのは禁じ手です。
別件逮捕である事が明白なのに、有罪と判決するのはもっといけません。
こんな事をやってると立法の意味が無くなってしまいます。
現場が暴走する元となる可能性もあります。
Re:うーん (スコア:1)
ACCSは個人情報保護法で罰せられないの??と思ってたが根本的に判ってなかったわい。
となるとやっぱり別件逮捕になるのかなぁ?起訴まで持っていった理由が「個人情報を晒した」ことにあるのは見え見えということは。
(アクセスしたことがlogから発見されたのでは起訴はされなかったでしょう。「こうすればアクセスできる」と発表したから起訴までいったと判断してます。)
となると被告側が無罪を取れる可能性も高かったのだろうか?
不正アクセス防止法の主旨からすれば、別件逮捕というよりはザル法で何とか引っ掛けたというところか?
Re:うーん (スコア:1, 参考になる)
個人情報保護法を元に罰することができるのは、あくまで個人情報取扱事業者とかその代表者を罰するのであって、罰することができるようになるものも、その事業者が監督庁からの指導(勧告、命令)に従わなかったときです。他にも報告に嘘偽りがあったときとかありますけど。
56条~59条あたりに書いてあります。
したがって、従業員とか盗んだ人に対して、個人情報保護法で直接訴えることはできないはずです。
ただ、いま改定案が作成中で、従業員とかその辺が盛り込まれようとはしているみたいですが。
Re:うーん (スコア:0)
Re:うーん (スコア:0)
Re:うーん (スコア:2, 興味深い)
これは勝手な思い込みだと思います。
> 引き出された個人情報の載ったファイルは、正規にログインが必要な手段を終えた後に、アクセスされる事を前提としていた
この前提としていた、というのが曲者ですね。
何をもって前提としていたといえるのかが、あの裁判でも争点の一つだった気がします。
引数としてファイル名を取るという機能をあえて付けたわけですから
それを明示的に利用すると不正アクセスなのか?という疑問があって当然でしょう。
冒頭の別件逮捕か、というのはやはり別件逮捕ではないでしょうね。
Re:うーん (スコア:3, 参考になる)
・正当な認証情報の盗用
・当該サーバのもつ認証手段の回避
・認証サーバによる認証をスキップして、その後ろのサーバーを利用
の3つを禁じているので、法的には「システム(設定を含む)の脆弱性をワザと突いて使用可能な状態にしたら不正アクセス」ということになります。
#違法行為とすることが適切かどうか、「不正アクセス」という語から一般の人が感じる行為と合致するかは別にして、法解釈的にはそうなる。
なお、「回避したことに気づかなかった(そもそも隠されていることを知らなかった)」りした場合は、一気に解釈が難しくなります。
#例えば、第三者から「これが正しい使い方だ」と言われ、普通に使っていた場合など
で、警察・検察は「違法行為がなされたことを知ってしまったら」捜査する義務があるので、話題になっちゃった以上は、「当該行為が抵触した(ことが証明できたと検察が思った)全ての違法行為」について起訴されるのは必然です。
かつ、法解釈的には正しいので、裁判所が違憲立法審査権を発動しない限り、有罪になるのはほぼ自明だったと思います。
とはいえ、違憲立法審査っていっても、「不正アクセス禁止法が腐っているか」ではなく、「憲法に違反するか」の審査なので、違憲判決がでることはまず有り得ないです。
というわけで、「どんな規定が適当なのか」という具体的要件を誰かが考えて、議員立法でもしないかぎり、このまんまだと思います。
(「立法当時は現規定でよかったけれど、今は直さないとヤバイ」ということを定性的に説明できないので、内閣提出法案で直すことはほぼ不可能)
Re:うーん (スコア:0)
Re:うーん (スコア:0)
#具体的には最高裁判所国民審査で全部×とか
Re:うーん (スコア:2, 参考になる)
officeは悪いことをしたとは思いますがそれが「不正アクセス法」で罰せられるべきとは思えない。というか思えなかった。でも確定したならしょうがないかなぁ。
Re:うーん (スコア:1, おもしろおかしい)
#DDoSその他はどう解釈しようか。
Re:うーん (スコア:3, すばらしい洞察)
自分が送り込んだマシンコードを実行させるだけなんですけどね。
その場合はプログラムやスクリプトに記述されていない処理が実行されますね。
だから、第三条第2項二号もしくは三号違反が明らかで、結構分かりやすいです。
しかしこの事件の場合は、わざわざ組み込まれた機能によって実行された処理が問題となっていますね。
ここで大きく問題となるのは、その機能を管理者等の意図しない方法で使用することが
「その制限されている特定利用をし得る状態にさせる行為」
と言えるか、という点です。
既にそのような状態になっていたのであって、し得る状態にさせたのは
そのプログラム等の製作者では?というようにも考えられるわけです。
(裁判でもそれが主な争点だったはず)
そのようなしうる状態になっているものを悪用することを犯罪とすべきなのか?
という点について、私は現行法の元では有罪とすべきではない、と考えています。
さらに、製作者のミス等ではなく、トロイの設置したバックドアの場合であっても、
同様に有罪とすべきではないと考えています。
なぜならば、WebサーバとDDNSクライアントをインストールし、
全HDを認証無しで公開し、検索エンジンやブログ等にURLを登録するような
トロイが利用可能な状態にしたコンテンツを利用する可能性を否定できないからです。
つまり、検索エンジンから飛んだサーバのファイルを見ただけで、
「トロイの作ったバックドアを利用してファイルを盗み出された。
これは不正アクセスであり、犯罪である」となるからです。
このような事態を想定すると、「犯意の有無」が問題となるわけですが、
現行法ではそれについては触れられていないですよね?
# 法定犯であり自然犯ではないので「犯意の有無」は関係ない、という話もあった気がします
# DoSは威力業務妨害で良いんじゃないでしょうか?
## 無言電話かけまくりも確かそうでしたし
単なる臆病者の Anonymous Cat です。略してACです。
Re:うーん (スコア:0)
「検索エンジン」の部分を「2chへの書き込み」に置き換え
オフトピック (スコア:0)
Re:うーん (スコア:0)
同項は「指令」=バッファオーバーラン等で仕込むプログラム類だけでなく、「情報」=何にでも該当し得る、本件でもURL、も構成要件の1つに入れられているのがクセモノです。
>>つまり、検索エンジンから飛んだサーバのファイルを見ただけで、
>>「トロイの作ったバックドアを利用してファイルを盗み出された。
>>これは不正アクセスであり、犯罪である」となるからです。
その場合不正アクセスの時点は、トロイが仕込まれて内部が検索
Re:うーん (スコア:1)
この表現はちょっとまずかったです。
記述されていない処理を実行させても問題ない場合もありますね。
例えば、入力された処理を適切か判断した後に実行するようなプログラムとかもありえますね。
またBOFでシェルを作っても、そのアカウントのシェルが誰でも使えるなら問題ないですね。
# 何でそんな面倒な方法で使うのかは疑問ですが
他人のプロセスでBOFを使いマシンコードを実行させるのが法に触れるのは
制限されたアカウントで動作するプロセスの制御を奪い、そのアカウントの権限を得るからですね。
また、記述されていない処理を入力して実行させるプログラムの場合は
制限された利用をし得る状態にさせるわけではないので、法には触れませんね。
この事件の場合は、引数として渡されるファイル名を変更したわけですね。
この行為に制限を免れる情報の入力があったのでしょうか。
引数としてファイル名を渡した・・・これはそういう仕様でしたね。
引数として渡した名前のファイルを表示させた・・・これもそういう仕様でしたね。
特定のファイル名を引数として渡した行為については、
制限を免れる情報の入力があったとは考えられません。
他に一般的でない操作というと、フォームのhidden指定を解除したことでしょうか。
hidden指定は本来は不可視にするものであり、利用を制限するものではないですが
そのフィールドに書き込めなくなりますね。
従って、フォームのそのフィールドを利用しうる状態にさせたという解釈も出来ます。
しかし、これが法に触れるとすれば、自分の管理下にあるファイルを編集しただけで、
他人が管理するマシンへの不正アクセスとなります。
これはいくらなんでも適用範囲が広すぎると思います。
単なる臆病者の Anonymous Cat です。略してACです。
Re:うーん (スコア:2, 参考になる)
機能による特定利用の制限を免れることができる情報」に該当するかが争点だったわけで、裁判所は分離解釈どうりに該当するとしたわけで。
Re:うーん (スコア:0)
鍵もかけずに窓も開けっぱなしで出かけて泥棒に入られたとしても
やっぱり悪いのは泥棒、家主はかわいそうな被害者ですもんね
Re:うーん (スコア:0)
この話もACCSはかわいそうじゃない、という流れなら
わかるけど、Officeがかわいそうになってるのがキモイ。
Re:うーん (スコア:0)
防弾チョッキも着ないで街中を歩いていて、胸を刺されたとしても
やっぱり悪いのは刺した人で、刺された人は被害者です。
Re:うーん (スコア:0)
ただ思いついただけを書いた大した内容の無いものだと思いますけど。
URLを削っただけではないらしいですよ。
個人情報を漏らしたことがログの調査や捜査、立件のきっかけにはなったかもしれませんが、
それ自体が罪に問われたわけでは無いと思います。
無罪で争うのは苦しいという理由も書かれていませんし。
この法律 [e-gov.go.jp]には、「制限されている特定利用を