パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

認証不要で不特定多数がアクセスできるWebカメラを朝日新聞が調査」記事へのコメント

  • 所定のURLにアクセスすれば映像が見られるものだとすると、不正アクセスになるという根拠を見出せない。

    (1)
    製品固有で、単一で、共有のURLは、「識別符号」ではない
    ・個々の利用権者を区別して識別できないものは、識別符号ではない
    ・識別符号になりうる種類の情報でも、デフォルトのものは、識別符号ではない

    2  この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(以下「利用権者」という。)及び当該アクセス管理者(以下この項において「利用権者等」という。)に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、次のいずれかに該当するも

    • by Anonymous Coward

      >製品固有で、単一で、共有のURLは
      そもそもこれが「ありえません」

      製品でURLがすべて固定なら、世の中に一台しか製品だせないですよね。
      買ったユーザーが設置するのにドメイン(またはIP)を必ず持っていて、そこに設置するので。

      >別途アクセス制御機能があるとする事実は示されていない
      ACCS事件の判例では「パスワード、ファイルパーミッションなどの制御機構は必ずしも必要ない」
      とされました。URLのクエリ部分のみの変更なのですから。

      つまり、「何もセキュリティ的な制御されてなくても非公開urlにアクセスするだけで不正アクセス」という判例です。

      ばかな判例だと思いますが、判例が出ている以上、日本では違法です。

      • > 買ったユーザーが設置するのにドメイン(またはIP)を必ず持っていて、そこに設置するので。
        失礼、パス以降ですね。適宜読み替えてください。

        > 「何もセキュリティ的な制御されてなくても非公開urlにアクセスするだけで不正アクセス」
        ACCS事件は、FTPにアクセス制御機能があったという判決でしょう。
        下記記事とは全く異なる情報があるのでしょうか。

        検察側は、「特定電子計算機をプロトコルごとに定義するのは法律の規定と矛盾している」と反論。
        「管理者は問題のファイルにFTPでアクセスしており、FTPにはIDとパスワードによるアクセス制御機能があった。CGI経由のアクセスは管理者の想定外で、プログラムの脆弱性がなければ不可能。通常のアクセスとは言えず、FTPのアクセス制御を回避した不正アクセス行為にあたる」と主張した
        判決は検察側の主張を全面的に支持
        (中略)
        その上で「同様のファイルにはFTPでアクセスするのが通常。ブラウザにURLを入力するだけでは閲覧できない秘匿性の高いファイルに対し、CGIの脆弱性を利用してアクセスするのは通常のアクセスとは言えず、FTPのアクセス制御を回避した不正アクセスにあたる」と認定
        岡田有花「「不正アクセス」の司法判断とは――ACCS裁判 - ITmedia ニュース [itmedia.co.jp]、2005年03月28日

        (強調・省略筆者)

        親コメント
        • ACCS事件の判決にならうとして、
          この判決を本件に置き換えるとするなら、
          映像には【A】でアクセスするのが通常。ブラウザにURLを入力するだけでは閲覧できない秘匿性の高い映像に対し、【B】を利用してアクセスするのは通常のアクセスとは言えず、【A】のアクセス制御を回避した不正アクセスにあたる」
          となる必要があるはず。下線部が書き換えた箇所。

          しかし、
          ・正規の利用者は【A】で映像を閲覧する
          ・【A】にアクセス制御がなくて誰でも閲覧できた
          ・【A】以外の方法でのアクセスはしていない
          というのが本件調査で行われたアクセスとするなら、ACCS事件とは構図が異なる。

          親コメント
        • by Anonymous Coward

          ごく当たり前の判決。
          なぜなら、アクセス制御機能の定義では
          「識別符号を確認してアクセス制限を緩和すること」が必須となっているだけで
          「識別符号が確認されない場合にはアクセス制限を完璧に行うこと」
          とは書かれてないから。
          大部分のやつは法律を読まず、「アクセス制御機能」という字面から勝手に話をでっち上げてる。

        • by Anonymous Coward
          最良証拠主義だからね。FTPで有罪にできそうだからFTPが出てきただけで、FTPがなければWindowsログインでも何でも良かったと思うよ。さすがに一切アクセス制御機能のないPCをWebサーバにはしないだろ。
          # そういや昔はMacはリモートログイン機能がないから安全説とかあったな

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...