アカウント名:
パスワード:
PC遠隔操作事件のメールボックス進入 via ITmedia [itmedia.co.jp]道義的とか可能かどうかはともかくとして(それもどうだ?)、法的にどうかを考えないんかな、この方々は。
無知っつーか、現在のインターネットの仕様上そうあるべきなんだけどね。良くwebページや鯖を個人の家にたとえるけど、全く持って的外れで(例える行為そのものがいまいちというのもある)、あえて例えるなら「みんなが使うこと前提で提供された道」なんだよね。webページも鯖も道の一部。だから制限がなければだれもが使えて当たり前なんだよ。(でなければインターネットは成り立たない)
逆にその道を技術的に制限することも可となっている。無論その技術も完ぺきとは言い難く、ある程度手の込んだ手段で回避できてしまう。そのあたり線引きは必要だろうけど、単純なクローラーでアクセスできた、道を明確に決めたら(URLべた打ちしたら)アクセスできた程度の話なら、それは「公開されている(みんなが共有してよい)」ものであるという意思表示である、って見なさいと、普通に公開されているwebページだって「お前に見せる意思はなかった! 犯罪だ!」って言えちゃうよ。
インターネットも現実と通じたものだって言われて常識を問われるけど、今回は公共の道に自らのプライベート等を野ざらしにしている無防備さを疑問に思われるべきだし、他人のプライベートをさらしていることを責められるべき。
朝日新聞は好きではないが、今回は「最近の街ではカップルがどこかしこでキスしまくってる、風紀乱れスギ」って記事と大差ない感じ。#セキュリティという意味では圧倒的に重さが違うが、かつてのoffice事件と違って内容を広く暴露したわけでもなし
4 この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
http://law.e-gov.go.jp/htmldata/H11/H11HO128.html [e-gov.go.jp]
ってことで、パスワードが設定されていないってことはアクセス制御機能による特定利用の制限がなされていないということでアクセスしても問題ないと理解できるがいかが?
それのどこが不正アクセス禁止法に違反するんだw
朝日新聞は「外部から映像が見えることが確認されたウェブカメラ」として、
【場所を特定】美容院、書店、飲食店(すし店、レストラン、ファストフード店など)、ラブホテルの管理室、動物病院、物流商社の倉庫、住宅展示場、花店、質屋、学生寮、パン工場
挙げている。ラブホとか学生寮とか、公益性がある調査なのですね(´・ω・`)
ラブホテルのIPアドレスを調べる方法を教えてください。
#朝日を叩いて売り上げを減らした読売
所定のURLにアクセスすれば映像が見られるものだとすると、不正アクセスになるという根拠を見出せない。
(1)製品固有で、単一で、共有のURLは、「識別符号」ではない・個々の利用権者を区別して識別できないものは、識別符号ではない・識別符号になりうる種類の情報でも、デフォルトのものは、識別符号ではない
2 この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(以下「利用権者」という。)及び当該アクセス管理者(以下この項において「利用権者等」という。)に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものをいう。(各号省略) 不正アクセス行為の禁止等に関する法律 [e-gov.go.jp]第2条第2項
利用権者等が一人しかいない場合、すなわちアクセス管理者以外に特定電子計算機の特定利用に係る許諾を得て特定利用をする利用権者をおよそ予定していない場合には、当該特定利用の際に自分が用いるID・パスワードをアクセス管理者が設定していたとしても当該ID・パスワードはアクセス管理者を他の利用権者と区別して識別することができるように付されているわけではないから、当該ID・パスワードは識別符号に該当しない。不正アクセス対策法制研究会『逐条不正アクセス行為の禁止等に関する法律 補訂』立花書房、2001年、p.40("利用権者等が一人しかいない場合" - Google 検索 [google.com]からの二次引用)
(イ)次のようなID・パスワードは、いずれも利用権者等に付されている符号ではないか、利用権者等を区別して識別することができるように付されていないため、識別符号には該当しない。(省略)○ コンピュータの出荷時に初期設定としてパスワード・ファイルに登録されているID・パスワード警察庁「不正アクセス行為の禁止等に関する法律等の概要及び運用上の留意事項について [npa.go.jp]」警察庁の施策を示す通達(生活安全局)|警察庁 [npa.go.jp]、平成12年1月21日、p.3
(2)識別符号による認証機能がないものは、「アクセス制御機能」ではない
3 この法律において「アクセス制御機能」とは、特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている機能であって、当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号(識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。次項第一号及び第二号において同じ。)であることを確認して、当該特定利用の制限の全部又は一部を解除するものをいう。 不正アクセス行為の禁止等に関する法律 [e-gov.go.jp]第2条第3項
(3)アクセス制御機能による利用制限がない機器に対しては、「不正アクセス行為」は成立しない
4 この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為 不正アクセス行為の禁止等に関する法律 [e-gov.go.jp]第2条第4項
(4)件の調査対象機器には、映像閲覧の際以外に、別途アクセス制御機能があるとする事実は示されていない
(5)別途アクセス制御機能があるとしても、当該アクセス制御機能が映像閲覧を制限するものでなければ、「制限されている特定利用をし得る状態にさせる行為」に当たらない(前述第2条第4項)・例えば、当該アクセス制御機能が、映像閲覧ではなく機器の設定を管理するものである場合
(すべて強調・省略筆者)
もう1つ。法の対象となる「電子計算機」には、一定の独立性が必要とされていますが、カメラ機器をそうだと言えるのかどうか。
本法においては、一定の独立性を有するものに限られ、各種機器に内蔵されているマイクロ・コンピュータは含まれない。警察庁「不正アクセス行為の禁止等に関する法律等の概要及び運用上の留意事項について [npa.go.jp]」警察庁の施策を示す通達(生活安全局)|警察庁 [npa.go.jp]、平成12年1月21日、pp.1-2
> 買ったユーザーが設置するのにドメイン(またはIP)を必ず持っていて、そこに設置するので。失礼、パス以降ですね。適宜読み替えてください。
> 「何もセキュリティ的な制御されてなくても非公開urlにアクセスするだけで不正アクセス」ACCS事件は、FTPにアクセス制御機能があったという判決でしょう。下記記事とは全く異なる情報があるのでしょうか。
検察側は、「特定電子計算機をプロトコルごとに定義するのは法律の規定と矛盾している」と反論。「管理者は問題のファイルにFTPでアクセスしており、FTPにはIDとパスワードによるアクセス制御機能があった。CGI経由のアクセスは管理者の想定外で、プログラムの脆弱性がなければ不可能。通常のアクセスとは言えず、FTPのアクセス制御を回避した不正アクセス行為にあたる」と主張した。判決は検察側の主張を全面的に支持。(中略)その上で「同様のファイルにはFTPでアクセスするのが通常。ブラウザにURLを入力するだけでは閲覧できない秘匿性の高いファイルに対し、CGIの脆弱性を利用してアクセスするのは通常のアクセスとは言えず、FTPのアクセス制御を回避した不正アクセスにあたる」と認定。岡田有花「「不正アクセス」の司法判断とは――ACCS裁判 - ITmedia ニュース [itmedia.co.jp]、2005年03月28日
(強調・省略筆者)
ACCS事件の判決にならうとして、この判決を本件に置き換えるとするなら、「映像には【A】でアクセスするのが通常。ブラウザにURLを入力するだけでは閲覧できない秘匿性の高い映像に対し、【B】を利用してアクセスするのは通常のアクセスとは言えず、【A】のアクセス制御を回避した不正アクセスにあたる」となる必要があるはず。下線部が書き換えた箇所。
しかし、・正規の利用者は【A】で映像を閲覧する・【A】にアクセス制御がなくて誰でも閲覧できた・【A】以外の方法でのアクセスはしていないというのが本件調査で行われたアクセスとするなら、ACCS事件とは構図が異なる。
>>製品固有で、単一で、共有のURLは>そもそもこれが「ありえません」
え?うちの製品、管理画面のURLが製品固有で http://192.168.0.1/admin/ [192.168.0.1] 単一だけど……
論拠を示すなり、論証するなりしてください。
なお、IPアドレスを識別符号にすることは通常できないでしょう。識別符号(1号)は第三者に知らせてはならないことが要求されるので。結果、識別符号であることを確認する必要があるアクセス制御機能を構成しえないことになります。
2 この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(以下「利用権者」という。)及び当該アクセス管理者(以下この項において「利用権者等」という。)に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものをいう。一 当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号(二・三省略)3 この法律において「アクセス制御機能」とは、特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている機能であって、当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号(識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。次項第一号及び第二号において同じ。)であることを確認して、当該特定利用の制限の全部又は一部を解除するものをいう。 不正アクセス行為の禁止等に関する法律 [e-gov.go.jp]第2条第2項、第3項
(親コメと繋がりがないのはさておき)
親コメ #2781004 はクライアントのIPアドレスの話。
機器のIPアドレスならば、結局は「URLは識別符号である」という主張なのであって、大元の(1)の通り、識別符号ではない。機器のIPアドレスを、同時に識別符号として利用権者に付与するのだとしたら、利用権者を1人しか想定し得ない事になり、識別符号に当たらない。更にこれは、IPアドレスが元々非公開情報であるという前提がある場合であって、IPアドレスの管理の仕組みからして、非公開とは言えない。
第2条第3項を要約すると、「利用を自動的に制御するために、識別符号であることを確認して、制限の全部又は一部を解除するもの」がアクセス制御機能。識別符号がであることを確認せずとも利用できる場合、即ちそもそも「制限」がない場合には、「制限の解除」ができないので、アクセス制御機能にはなれない。
(3) アクセス制御機能(第2条第3項関係)アクセス制御機能とは、特定電子計算機の特定利用を正規の利用権者等以外の者ができないように制限するために、アクセス管理者が特定電子計算機又は特定電子計算機と電気通信回線で接続されている電子計算機に持たせている機能です。具体的には、特定電子計算機の特定利用をしようとする者に電気通信回線を経由して識別符号(識別符号を用いてアクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。)の入力を求め、正しい識別符号が入力された場合にのみ利用制限を自動的に解除し、正しい識別符号ではなかった場合には利用を拒否するコンピュータの機能をいいます。警察庁「不正アクセス行為の禁止等に関する法律の解説 [npa.go.jp]」警察庁 サイバー犯罪対策:法令等 [npa.go.jp]、p.4
> 使えるプロトコルの種類が増減するのでも良いし、アクセスできるビットレートが増減するのでも良い。> 不正アクセス禁止法の条文が想定しているのは、アクセス権限によって許可されるリソースが段階的・連続的に変わるような場合だ。
それは、その差が生じる部分について、制限を解除して利用させるか、制限を解除せずに「利用を拒否」するかのアクセス制御を行っていることに他なりません。ログイン利用者は1から10まで利用でき、ゲスト利用者(非ログイン)は1から5まで利用できるというとき、ゲスト利用者については、6から10の部分の利用を拒否している。
あなたは、「拒否」という言葉に極端な定義を持っているんですかね。
国際標準というなら条約じゃないですかね。
第二条 違法なアクセス締約国は、コンピュータ・システムの全部又は一部に対するアクセスが、権限なしに故意に行われることを自国の国内法上の犯罪とするため、必要な立法その他の措置をとる。締約国は、このようなアクセスが防護措置を侵害することによって行われること、コンピュータ・データを取得する意図その他不正な意図をもって行われること又は他のコンピュータ・システムに接続されているコンピュータ・システムに関連して行われることをこの犯罪の要件とすることができる。 外務省: サイバー犯罪に関する条約 [mofa.go.jp]
「権限なしに」の詳しい意味は知らない。条約には注釈書があるらしいものの、見つけられなかった。
「権限なく」とは、日本において、思想・信条の自由や表現の自由、プライバシーの権利といった基本的な権利に考慮することが許される柔軟な用語となっています(注釈書EM103)。このことは、おそらくこの条約が萎縮的効果をもたらす芸術や科学についても同様です。注釈書(EM)は、また、「ネットワークの設計において本来なされる正当かつ通常の活動、又は、正当かつ通常の運用行為若しくは商慣行は、犯罪化されるべきではない。」(注釈書EM38)と述べています。米国自由人権協会ほか「サイバー犯罪条約と国内法整備に関する日本国政府及び国会宛の書簡 [nifty.com]」2003年7月22日
無権限アクセスの成否については、米国の USC の第 1030 条の解釈論によると、現実にアクセス制御がなされていなくても、社会的観点から見てアクセス権があると評価できるかどうかによって、アクセス制御の有無を識別できるというのが米国の通常の考え方である。日本におけるアクセス制御の有無についての識別基準は不正アクセス禁止法第3条第 2 項に規定されているが、米国と比べると厳格なものとなっている。経済産業省「サイバー刑事法研究会報告書「欧州評議会サイバー犯罪条約と我が国の対応について」 [meti.go.jp]」2002年4月18日、p.9
(強調筆者)
基準は社会的観点だと。
別記事 [asahi.com]によると、
原則として肖像権・プライバシー権を侵害します。(中略)映り込む人の同意が得られるとは思えない。
朝日は監視カメラを全否定するつもりかw
なぜそのような引用の仕方をされたのか理解に苦しみます。
原文は以下のとおりです。>店舗に設置されたカメラは万引きやトラブル防止といった「正当な目的」が前提にあります。だが、そうではない場所に向けたカメラに対して、映り込む人の同意が得られるとは思えない。
監視カメラの設置は原則として肖像権・プライバシー権を侵害するため、「正当な目的」か「映り込む人の同意」が必要ですが、万引きやトラブル防止といった目的で店舗に設置されたカメラの場合は「正当な目的」があるのだと説明されていますよね。「映り込む人の同意」の有無が問題となるのは、「正当な目的」のない監視カメラの場合の話です。
似たような言明でも、微妙にニュアンスが異なる事があるものです。件の弁護士と、こちらの方の意見 [yomiuri.co.jp]。後者の方がバランスがとれていて、まだマシだと思う。
> 「映り込む人の同意」の有無が問題となるのは、「正当な目的」のない監視カメラ
公共空間を写している限り、監視カメラの設置目的は、セキュリティ絡み以外の何者でもないでしょう。犯罪捜査にも、時には無実の証明になるかもしれないし、何らかの事故の経緯を突き止める役にたつかもしれない。
問題は設置目的というより、運用や目的外使用でしょう。例えて言えば、住民票を市役所の職員が覗き見るような事です。
目的外使用はアウトです。それだけ。
>なお、別記事によると「今回の調査は公益性があり、意義深い」とのこと。
はい、その通りですね。
としか言い様がない。他に何か?
ずさんな管理体制のカメラの存在についてはもっと認知されていくべきだとは思いますが、産経あたりが音頭を取っていつものつまらない朝日叩きネタで消化されていくとしたら、それは社会的にすごく不幸な気がする。
同感。違法性が多少あったとしても、公益の方が大きいなら、マスコミは率先して法を犯すものですよ。それがマスコミというか、言論人のあり方だと思うのだけどな。起訴されたら、司法の場で戦い、世論と法制定時からの情勢変化を身方にして新たな司法判断を引き出す。そこまでやってこそのマスコミですね。
※今回の朝日新聞がそこまで覚悟と意図を持っているかは知らん。
法律ってのは結局の所、公共の福祉(個々人の利害対立の妥協点探し)のための基準に過ぎないのよね。利害が偏ったら、修正するのが司法と立法の仕事で、それを焚きつけるのが言論の仕事です。
それに、こういう話題になるとすっかり忘れられるけど、機器設置側の管理責任ってのもあるのだけどな。不正アクセス禁止法第八条 [e-gov.go.jp]によれば、
常に当該アクセス制御機能の有効性を検証し... 速やかに...不正アクセス行為から防御するため必要な措置を講ずるよう努める
となっている。勝手に検証することも違法ではあるけれど、放置してる側も違法なので、どっちも問題がある話だし、根源的には防御を疎かにしている設置側の責任が重いでしょう。まだ問題提起している方がよっぽどマシってもんだし、試しもせずに問題提起してもだれも聞いちゃくれんからね。
進んで人柱になって世間に警告をするためのマスコミ(言論有名人?)特権なんすね。
#なぜかサンゴに落書きとかがフラッシュバック中
"他に何か?"「不正アクセス禁止法的にこの調査は大丈夫なのか、調査に第三者機関などが関わっているのか、どんな映像が見れたかわざわざ記事に書く必要があるのか、などいろいろ突っ込みどころが多い気がする。」 ということじゃないかなそもそもパスがかかっておらず、アクセス権限がないことにはならないから不正アクセス禁止法には引っかからないらしいぬ。 #意図して公開している可能性が無きにしもあらず…あらず
「ポートスキャン」は違法行為になるのでしょうか?ポートが開いているか、どういう応答があるか調べるだけです。
> IPアドレスを無作為にたどる方法で調べ、約125万のアドレスを抽出。先月末時点で2163台のウェブカメラがネットに接続されていることを確認した。という部分は、それを無作為に抽出したIPアドレスに対して実施したということなのだと受け取っています。
> そのうえで接続状況を慎重に検証した結果、35%にあたる769台がパスワードを設定することによって第三者からのアクセスをブロックする対策をとっておらず、映像を見たり音声を聞いたりできた。こちらが問題で、法に反しないとしても、モラルには反する疑いがあり、「調査に第三者機関などが関わっているのか、どんな映像が見れたかわざわざ記事に書く必要があるのか」という問題提起がなされたのかと思います。
不正アクセス禁止法制定のときに、法案が通ったらポートスキャンが違法になるじゃん、という問題提起があったのに、それにつき何の解決もせず法案が通ったのだから、当然に違法行為です見せしめ逮捕くらいにしか使われていませんが
1 ブラウザを起動します2 http://www.google.com/ [google.com] に行きます3 ”不正アクセス禁止法 ポートスキャン”で検索してください
これで,最初に見つかるのがIPAのFAQのページで,そこには以下のように記述があります
> Q0-12 ポートスキャンのような事前調査行為は法律に触れるでしょうか?> A0-12 「不正アクセス行為の禁止等に関する法律」の施行により> ポートスキャンが犯罪に相当することになるかどうかは微妙なところですが、> スキャンそれ自体は該当しない可能性が大です。> ポートスキャンやDoS攻撃によりマシンやネットワークへの障害が発生しているような場合には、> 別の法律に該当(威力業務妨害等)の可能性があります。
これぐらい自分で調べて下さい.
法的にアウトだったとしても次からは「取材したサイバー犯罪経験のある人物によれば・・・」という形にしちゃえばOKだろうし朝日は過去の行いから叩かれやすいのもあって、そこだけに反応してる人が多い気がするが注目すべきはこの調査結果の方だよね/.的にも
/.J的には朝日新聞が何かやった、ということが重要なのです
無断侵入の武勇伝が意義深いなら、YoutubeやTwitterの犯罪自慢もずいぶん貴重な調査報告なんですね。
5年も前に読売新聞で既報なんだが。
「見守り」ウェブカメラ、設定ミスで「丸見え」 : 社会 : YOMIURI ONLINE(読売新聞)http://b.hatena.ne.jp/entry/www.yomiuri.co.jp/national/news/20100927-O... [hatena.ne.jp]ウェブカメラ映像、丸見え…幼稚園内、部外者にも : ニュース : ネット&デジタル : YOMIURI ONLINE(読売新聞)http://b.hatena.ne.jp/entry/www.yomiuri.co.jp/net/news/20100927-OYT8T0... [hatena.ne.jp]
ネットワークカメラを「全世界に公開していない」という主張はアクセス制限を設けることでしか技術的にも法律的にも達成されない。
URLが識別符号である、というのは、感覚的にどうも納得がいかない。ので考えてみた。
結論から言えば、「一般には」、以下の論理で、URLは「識別符号」ではないと言える。
1.URLとは「世界のどこからでも」アクセスできるインターネット上のサービスを表す文字列を指す。ここでは「世界のどこからでも」が重要である。2.URLはあくまで文字列であり、URLの要素は以下の通り。「http://HOST/PATH」==(URL文字列)3.URL文字列が「」内を指すことは公知(の事実)である(RFCに書いてある)4.「HOST」は常に「世界のどこからでも」アクセスできる以上、必ず公知である。論理上世界中の人に紙を配っているのと同じ。5.「PATH」の部分だが、元記事を見ると「アクセスができる」とある。ということは「常識的な文字列」であると想定できる。マニュアルに載っていたり、それこそgoogleで検索すると出てくる文字列である。その場合は公知。6.URL文字列すべてが公知である以上、「第三者に知らせてはならない」という「識別符号」の要件自体を満たさない。
よって管理者がどう考えようが、URLは「識別符号」ではない(一般に)と思う。(自信なし)
例外は「PATH」部分がやたら長くて難しい場合のみ。「%20%45%99%EE309r0wr9rks9pfwp3pslr9rksmffskfsemflmseofwkrow3ksmksl93j%30okfs30rpkjlskejlrf3」とか。
なぜ例外かといえば、元記事は「アクセスできた」ということであり、「PATH」が難しかったらそもそもアクセスできないだろうと考えたため。
なお、上記論理の場合「限定公開」かどうかは外部の人が知りようがない(というかすべて公知なので)ため定義としては使用しませんでした。
PATHが常識的なものであれば、URLは「識別符号」ではない。であれば、基本的には私の感覚と同じだ。
朝日新聞の記事の場合、PATHは推測できるものであるのは明らかなので(でないとアクセスできないので)URLは「識別符号」ではない、が正しい。
あとはグレーゾーンの問題だが、、例から行ってみよう。
「http://srad.jp/comments.pl?sid=654153&cid=2780483」というURLがあったとする。これは「識別符号」か?
私の感覚では「識別符号」ではないと考える。「第三者」でも推測がつくから。普通の人なら、数字を変えてみることは推測がつく。
「http://srad.jp/%20%45%99%EE309r0wr9rks9pfwp3pslr9rksmffskfsemflmseofwkrow3ksmksl93j%30okfs30rpkjlskejlrf3」
は限りなく「識別符号」に近い。このURLにアクセスしようとするなら、不正アクセスになるのはおそらく異論はないだろう。
ということで「PATH」に何らかの意味がある==「識別符号」ではないランダムで絶対に分からないような文字列==「識別符号」
と考えているような気がする。
URLはあくまで、「世界のどこからでも」アクセスできるインターネット上のサービスを表す文字列(定義上)なのでPATHに意味があることが通常であり、意味がないものは例外である。
なので、パスワードと違い、「PATH」については意味があるものを「識別符号」に分類するのは非常に抵抗がある。
パスワードの場合、「秘匿」するもの、というはそれこそ公知なので「パスワード」を推測して破ろうという行為は「パスワード」が1234とかであったとしても推測したパスワードでシステムに入ろうとするのは不正アクセスである。
が、URLの場合「公開」がデフォルトなので、推測でアクセスしてみること自体は不正アクセスにならない気がする。
グレーゾーンなので、私の感覚であるが。
IPアドレスを無作為に辿ったのなら、robot.txtの無視以外では不正アクセス禁止法には引っ掛からないと思う。パスワードを入れたら黒だけど、パスワードなしならそれもないだろう。ただ、ACCSの事件でもパスワードのクラックまではやってないので、裁判所によっては再び有罪になる可能性はあるかもしれない。
wikipediaで恐縮ですが、不正アクセス行為とは 電気通信回線(インターネット・LAN等)を通じて、アクセス制御機能を持つ電子計算機にアクセスし、他人の識別符号(パスワード・生体認証など)を入力し、アクセス制御機能(認証機能)を作動させて、本来制限されている機能を利用可能な状態にする行為 (1号) 電気通信回線を通じて、アクセス制御機能を持つ電子計算機にアクセスし、識別符号以外の情報や指令を入力し、アクセス制御機能を作動させて、本来制限されている機能を利用可能な
だがちょっと待ってほしい。URLやクエリ文字列が識別符号の役割をしているのかもしれない。SSH認証経由でのアクセスしか本来行えないはずの機械かもしれない。
・アクセス制御機能が無効化されており、同機能を経由していない・もとより制限されていない機能を利用した
∴不正アクセスとはいえない
岡崎市立中央図書館の不正アクセス事件。
岡崎の件は不正アクセス禁止法ではなく、刑法(偽計業務妨害罪)。検索をかけただけでパスワードクラックをした訳でもないので、不正アクセス禁止法を適用するには要件不足。
ACCSってことで言えば、「無作為なアドレス即値を約125万も総当たりして2163台を特定し そのうち769台のパスワードが未設定であることを絞り込む」というプロセスが新たな『迂回行為』の判例にならなくもないかも。
Webカメラを問題にする人はいなかったのにな。
てか、お天気カメラは良いのですか?
うちで利用しているケーブルテレビでは近所の駅前ライブカメラが見え見え。
人の顔が詳細に判別できるほどの解像度ではないのでたぶんOK。
お天気や駅前の混み具合とか見るのに便利
キャンプシュワブあたりにWebカメラ置かれちゃ困るってことかいの
ちょwグーグルで「inurl:ViewerFrame?Mode= 」って検索してみwww
1 名前:以下、名無しにかわりましてVIPがお送りします。[sage] 投稿日:2007/07/15(日) 19:55:33.10 ID:0grWkOIp0日本中の監視カメラをブラウザ上で操作できるぞwなんか誰かの家のベランダとかあるぞw
642 名前:以下、名無しにかわりましてVIPがお送りします。[sage] 投稿日:2007/07/15(日) 23:10:34.36 ID:D7k4sg1M0まさに自宅警備員wwwwwwwwww
http://news23vip.blog109.fc2.com/blog-entry-115.html [fc2.com]
>できるよ。>静的なURLであれば、文字列片っ端からスキャンするだけでアクセスできる。
パスワードも文字列片っ端から入れてみればアクセスできるだろ……
そもそも、静的なURLってなんだ。
https://hoge.example.com/path_to_protected_content/?password=hogehoge [example.com]
は動的で、
https://hoge.example.com/path_to_protected_content/params/password/hogehoge [example.com]
は静的なのか?
調査は情報セキュリティ大学院大(横浜市)の湯浅墾道(はるみち)教授に加え、サイバー犯罪に詳しい捜査関係者の助言を受けながら進めた。外部から見える状態のウェブカメラを確認する際の検証作業には細心の注意を払い、接続状況を調べた。また、公開を前提に観光名所などの「中継用」として設置されている941台(ライブカメラ)は調査の対象から除いた。 外部から見える状態のカメラには、設置されている場所が推定できる複数の断片的な情報に加え、店舗や施設に出入りする一般市民の姿が映し出されるものもあった。湯浅教授は「こうした状態が続くと、プライバシー侵害や住民の不在を狙った空き巣を誘発する危険がある。パスワードの設定など外部から見られない対策がきちんと講じられているか、すぐに確認してほしい」と呼びかけている。(須藤龍也、長野佑介)
調査は情報セキュリティ大学院大(横浜市)の湯浅墾道(はるみち)教授に加え、サイバー犯罪に詳しい捜査関係者の助言を受けながら進めた。外部から見える状態のウェブカメラを確認する際の検証作業には細心の注意を払い、接続状況を調べた。また、公開を前提に観光名所などの「中継用」として設置されている941台(ライブカメラ)は調査の対象から除いた。
外部から見える状態のカメラには、設置されている場所が推定できる複数の断片的な情報に加え、店舗や施設に出入りする一般市民の姿が映し出されるものもあった。湯浅教授は「こうした状態が続くと、プライバシー侵害や住民の不在を狙った空き巣を誘発する危険がある。パスワードの設定など外部から見られない対策がきちんと講じられているか、すぐに確認してほしい」と呼びかけている。(須藤龍也、長野佑介)
調査については「続きを読む」の先に上のように「捜査関係者の助言」があった旨書いてありました。「捜査関係者」が必ず警察を指すとは限りませんが、新聞で慣用的に用いられる用語としては警察と判断していいかと思います。
>自ら犯罪行為に走って
2chレベルの脊髄反射
http://0.0.0.1/ [0.0.0.1]~とかで軒並み調べていけば全部知ってる事になるんじゃまいか。国内に限定すればどこから始めりゃ良いのかはともかく。
会員用の続きの部分によれば、「公開を前提に観光名所などの「中継用」として設置されている941台(ライブカメラ)は調査の対象から除いた。」とのこと。
比率はさておき、上記以外にも秘匿性の低いものがありうるところ、通常は外部から見えないこと期待されるものが見えてしまっていることを示すために「769台のうちのほとんどが防犯や監視用として設置され、レンズが向けられている対象と状況から書店や美容院、飲食店、スーパーなどとみられた。事業所の従業員控室、幼い子どもたちがいる託児所のようなスペースもあった。」という説明がなされているのだろう。
ストーリーの「どんな映像が見れたかわざわざ記事に書く必要があるのか、などいろいろ突っ込みどころが多い気がする。」は言いがかりに思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
まるで成長していない (スコア:5, 興味深い)
PC遠隔操作事件のメールボックス進入 via ITmedia [itmedia.co.jp]
道義的とか可能かどうかはともかくとして(それもどうだ?)、法的にどうかを考えないんかな、この方々は。
M-FalconSky (暑いか寒い)
Re:まるで成長していない (スコア:3, すばらしい洞察)
無知っつーか、現在のインターネットの仕様上そうあるべきなんだけどね。
良くwebページや鯖を個人の家にたとえるけど、全く持って的外れで(例える行為そのものがいまいちというのもある)、
あえて例えるなら「みんなが使うこと前提で提供された道」なんだよね。webページも鯖も道の一部。
だから制限がなければだれもが使えて当たり前なんだよ。(でなければインターネットは成り立たない)
逆にその道を技術的に制限することも可となっている。
無論その技術も完ぺきとは言い難く、ある程度手の込んだ手段で回避できてしまう。
そのあたり線引きは必要だろうけど、
単純なクローラーでアクセスできた、道を明確に決めたら(URLべた打ちしたら)アクセスできた程度の話なら、
それは「公開されている(みんなが共有してよい)」ものであるという意思表示である、って見なさいと、
普通に公開されているwebページだって「お前に見せる意思はなかった! 犯罪だ!」って言えちゃうよ。
インターネットも現実と通じたものだって言われて常識を問われるけど、
今回は公共の道に自らのプライベート等を野ざらしにしている無防備さを疑問に思われるべきだし、
他人のプライベートをさらしていることを責められるべき。
朝日新聞は好きではないが、今回は「最近の街ではカップルがどこかしこでキスしまくってる、風紀乱れスギ」
って記事と大差ない感じ。
#セキュリティという意味では圧倒的に重さが違うが、かつてのoffice事件と違って内容を広く暴露したわけでもなし
Re:まるで成長していない (スコア:1)
4 この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。
一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
http://law.e-gov.go.jp/htmldata/H11/H11HO128.html [e-gov.go.jp]
ってことで、パスワードが設定されていないってことはアクセス制御機能による特定利用の制限がなされていないということでアクセスしても問題ないと理解できるがいかが?
Re:まるで成長していない (スコア:1)
それのどこが不正アクセス禁止法に違反するんだw
外部から映像が見えることが確認されたウェブカメラ (スコア:4, 興味深い)
朝日新聞は「外部から映像が見えることが確認されたウェブカメラ」として、
【場所を特定】美容院、書店、飲食店(すし店、レストラン、ファストフード店など)、ラブホテルの管理室、動物病院、物流商社の倉庫、住宅展示場、花店、質屋、学生寮、パン工場
挙げている。ラブホとか学生寮とか、公益性がある調査なのですね(´・ω・`)
Re: (スコア:0)
ラブホテルのIPアドレスを調べる方法を教えてください。
#朝日を叩いて売り上げを減らした読売
不正アクセスになるという根拠は、出ていない (スコア:4, 参考になる)
所定のURLにアクセスすれば映像が見られるものだとすると、不正アクセスになるという根拠を見出せない。
(1)
製品固有で、単一で、共有のURLは、「識別符号」ではない
・個々の利用権者を区別して識別できないものは、識別符号ではない
・識別符号になりうる種類の情報でも、デフォルトのものは、識別符号ではない
(2)
識別符号による認証機能がないものは、「アクセス制御機能」ではない
(3)
アクセス制御機能による利用制限がない機器に対しては、「不正アクセス行為」は成立しない
(4)
件の調査対象機器には、映像閲覧の際以外に、別途アクセス制御機能があるとする事実は示されていない
(5)
別途アクセス制御機能があるとしても、当該アクセス制御機能が映像閲覧を制限するものでなければ、「制限されている特定利用をし得る状態にさせる行為」に当たらない(前述第2条第4項)
・例えば、当該アクセス制御機能が、映像閲覧ではなく機器の設定を管理するものである場合
(すべて強調・省略筆者)
Re:不正アクセスになるという根拠は、出ていない (スコア:2)
もう1つ。
法の対象となる「電子計算機」には、一定の独立性が必要とされていますが、カメラ機器をそうだと言えるのかどうか。
Re:不正アクセスになるという根拠は、出ていない (スコア:3)
> 買ったユーザーが設置するのにドメイン(またはIP)を必ず持っていて、そこに設置するので。
失礼、パス以降ですね。適宜読み替えてください。
> 「何もセキュリティ的な制御されてなくても非公開urlにアクセスするだけで不正アクセス」
ACCS事件は、FTPにアクセス制御機能があったという判決でしょう。
下記記事とは全く異なる情報があるのでしょうか。
(強調・省略筆者)
Re:不正アクセスになるという根拠は、出ていない (スコア:2)
ACCS事件の判決にならうとして、
この判決を本件に置き換えるとするなら、
「映像には【A】でアクセスするのが通常。ブラウザにURLを入力するだけでは閲覧できない秘匿性の高い映像に対し、【B】を利用してアクセスするのは通常のアクセスとは言えず、【A】のアクセス制御を回避した不正アクセスにあたる」
となる必要があるはず。下線部が書き換えた箇所。
しかし、
・正規の利用者は【A】で映像を閲覧する
・【A】にアクセス制御がなくて誰でも閲覧できた
・【A】以外の方法でのアクセスはしていない
というのが本件調査で行われたアクセスとするなら、ACCS事件とは構図が異なる。
Re:不正アクセスになるという根拠は、出ていない (スコア:1)
>>製品固有で、単一で、共有のURLは
>そもそもこれが「ありえません」
え?
うちの製品、管理画面のURLが製品固有で http://192.168.0.1/admin/ [192.168.0.1] 単一だけど……
Re:不正アクセスになるという根拠は、出ていない (スコア:2)
論拠を示すなり、論証するなりしてください。
なお、IPアドレスを識別符号にすることは通常できないでしょう。
識別符号(1号)は第三者に知らせてはならないことが要求されるので。
結果、識別符号であることを確認する必要があるアクセス制御機能を構成しえないことになります。
(親コメと繋がりがないのはさておき)
Re:不正アクセスになるという根拠は、出ていない (スコア:2)
親コメ #2781004 はクライアントのIPアドレスの話。
機器のIPアドレスならば、結局は「URLは識別符号である」という主張なのであって、大元の(1)の通り、識別符号ではない。
機器のIPアドレスを、同時に識別符号として利用権者に付与するのだとしたら、利用権者を1人しか想定し得ない事になり、識別符号に当たらない。
更にこれは、IPアドレスが元々非公開情報であるという前提がある場合であって、IPアドレスの管理の仕組みからして、非公開とは言えない。
Re:不正アクセスになるという根拠は、出ていない (スコア:2)
第2条第3項を要約すると、
「利用を自動的に制御するために、識別符号であることを確認して、制限の全部又は一部を解除するもの」
がアクセス制御機能。
識別符号がであることを確認せずとも利用できる場合、即ちそもそも「制限」がない場合には、「制限の解除」ができないので、アクセス制御機能にはなれない。
Re:不正アクセスになるという根拠は、出ていない (スコア:2)
> 使えるプロトコルの種類が増減するのでも良いし、アクセスできるビットレートが増減するのでも良い。
> 不正アクセス禁止法の条文が想定しているのは、アクセス権限によって許可されるリソースが段階的・連続的に変わるような場合だ。
それは、その差が生じる部分について、制限を解除して利用させるか、制限を解除せずに「利用を拒否」するかのアクセス制御を行っていることに他なりません。
ログイン利用者は1から10まで利用でき、ゲスト利用者(非ログイン)は1から5まで利用できるというとき、ゲスト利用者については、6から10の部分の利用を拒否している。
あなたは、「拒否」という言葉に極端な定義を持っているんですかね。
Re:不正アクセスになるという根拠は、出ていない (スコア:2)
国際標準というなら条約じゃないですかね。
「権限なしに」の詳しい意味は知らない。
条約には注釈書があるらしいものの、見つけられなかった。
Re:不正アクセスになるという根拠は、出ていない (スコア:2)
(強調筆者)
基準は社会的観点だと。
別記事の方が怖い (スコア:2)
別記事 [asahi.com]によると、
朝日は監視カメラを全否定するつもりかw
Re:別記事の方が怖い (スコア:3, 参考になる)
なぜそのような引用の仕方をされたのか理解に苦しみます。
原文は以下のとおりです。
>店舗に設置されたカメラは万引きやトラブル防止といった「正当な目的」が前提にあります。だが、そうではない場所に向けたカメラに対して、映り込む人の同意が得られるとは思えない。
監視カメラの設置は原則として肖像権・プライバシー権を侵害するため、「正当な目的」か「映り込む人の同意」が必要ですが、万引きやトラブル防止といった目的で店舗に設置されたカメラの場合は「正当な目的」があるのだと説明されていますよね。「映り込む人の同意」の有無が問題となるのは、「正当な目的」のない監視カメラの場合の話です。
Re:別記事の方が怖い (スコア:2)
似たような言明でも、微妙にニュアンスが異なる事があるものです。件の弁護士と、こちらの方の意見 [yomiuri.co.jp]。後者の方がバランスがとれていて、まだマシだと思う。
> 「映り込む人の同意」の有無が問題となるのは、「正当な目的」のない監視カメラ
公共空間を写している限り、監視カメラの設置目的は、セキュリティ絡み以外の何者でもないでしょう。犯罪捜査にも、時には無実の証明になるかもしれないし、何らかの事故の経緯を突き止める役にたつかもしれない。
問題は設置目的というより、運用や目的外使用でしょう。例えて言えば、住民票を市役所の職員が覗き見るような事です。
目的外使用はアウトです。それだけ。
「今回の調査は公益性があり、意義深い」とのこと。 (スコア:1)
>なお、別記事によると「今回の調査は公益性があり、意義深い」とのこと。
はい、その通りですね。
としか言い様がない。他に何か?
ずさんな管理体制のカメラの存在についてはもっと認知されていくべきだとは思いますが、
産経あたりが音頭を取っていつものつまらない朝日叩きネタで消化されていくとしたら、
それは社会的にすごく不幸な気がする。
Re:「今回の調査は公益性があり、意義深い」とのこと。 (スコア:1)
同感。違法性が多少あったとしても、公益の方が大きいなら、マスコミは率先して法を犯すものですよ。
それがマスコミというか、言論人のあり方だと思うのだけどな。
起訴されたら、司法の場で戦い、世論と法制定時からの情勢変化を身方にして新たな司法判断を引き出す。
そこまでやってこそのマスコミですね。
※今回の朝日新聞がそこまで覚悟と意図を持っているかは知らん。
法律ってのは結局の所、公共の福祉(個々人の利害対立の妥協点探し)のための基準に過ぎないのよね。
利害が偏ったら、修正するのが司法と立法の仕事で、それを焚きつけるのが言論の仕事です。
それに、こういう話題になるとすっかり忘れられるけど、機器設置側の管理責任ってのもあるのだけどな。
不正アクセス禁止法第八条 [e-gov.go.jp]によれば、
となっている。
勝手に検証することも違法ではあるけれど、放置してる側も違法なので、どっちも問題がある話だし、根源的には防御を疎かにしている設置側の責任が重いでしょう。
まだ問題提起している方がよっぽどマシってもんだし、試しもせずに問題提起してもだれも聞いちゃくれんからね。
Re:「今回の調査は公益性があり、意義深い」とのこと。 (スコア:1)
進んで人柱になって世間に警告をするためのマスコミ(言論有名人?)特権なんすね。
#なぜかサンゴに落書きとかがフラッシュバック中
Re: (スコア:0)
"他に何か?"
「不正アクセス禁止法的にこの調査は大丈夫なのか、調査に第三者機関などが関わっているのか、どんな映像が見れたかわざわざ記事に書く必要があるのか、などいろいろ突っ込みどころが多い気がする。」
ということじゃないかな
そもそもパスがかかっておらず、アクセス権限がないことにはならないから不正アクセス禁止法には引っかからないらしいぬ。
#意図して公開している可能性が無きにしもあらず…あらず
Re: (スコア:0)
「ポートスキャン」は違法行為になるのでしょうか?
ポートが開いているか、どういう応答があるか調べるだけです。
> IPアドレスを無作為にたどる方法で調べ、約125万のアドレスを抽出。先月末時点で2163台のウェブカメラがネットに接続されていることを確認した。
という部分は、それを無作為に抽出したIPアドレスに対して実施したということなのだと受け取っています。
> そのうえで接続状況を慎重に検証した結果、35%にあたる769台がパスワードを設定することによって第三者からのアクセスをブロックする対策をとっておらず、映像を見たり音声を聞いたりできた。
こちらが問題で、法に反しないとしても、モラルには反する疑いがあり、
「調査に第三者機関などが関わっているのか、どんな映像が見れたかわざわざ記事に書く必要があるのか」
という問題提起がなされたのかと思います。
Re:「今回の調査は公益性があり、意義深い」とのこと。 (スコア:1)
不正アクセス禁止法制定のときに、法案が通ったらポートスキャンが違法になるじゃん、という問題提起があったのに、それにつき何の解決もせず法案が通ったのだから、当然に違法行為です
見せしめ逮捕くらいにしか使われていませんが
「ポートスキャン」は違法行為になるのでしょうか?
ポートが開いているか、どういう応答があるか調べるだけです。
Re:「今回の調査は公益性があり、意義深い」とのこと。 (スコア:2)
1 ブラウザを起動します
2 http://www.google.com/ [google.com] に行きます
3 ”不正アクセス禁止法 ポートスキャン”で検索してください
これで,最初に見つかるのがIPAのFAQのページで,そこには以下のように記述があります
> Q0-12 ポートスキャンのような事前調査行為は法律に触れるでしょうか?
> A0-12 「不正アクセス行為の禁止等に関する法律」の施行により
> ポートスキャンが犯罪に相当することになるかどうかは微妙なところですが、
> スキャンそれ自体は該当しない可能性が大です。
> ポートスキャンやDoS攻撃によりマシンやネットワークへの障害が発生しているような場合には、
> 別の法律に該当(威力業務妨害等)の可能性があります。
これぐらい自分で調べて下さい.
Re: (スコア:0)
法的にアウトだったとしても次からは「取材したサイバー犯罪経験のある人物によれば・・・」という形にしちゃえばOKだろうし
朝日は過去の行いから叩かれやすいのもあって、そこだけに反応してる人が多い気がするが
注目すべきはこの調査結果の方だよね/.的にも
Re: (スコア:0)
/.J的には朝日新聞が何かやった、ということが重要なのです
Re: (スコア:0)
無断侵入の武勇伝が意義深いなら、YoutubeやTwitterの犯罪自慢もずいぶん貴重な調査報告なんですね。
5年前に読売新聞が通った道 (スコア:1)
5年も前に読売新聞で既報なんだが。
「見守り」ウェブカメラ、設定ミスで「丸見え」 : 社会 : YOMIURI ONLINE(読売新聞)
http://b.hatena.ne.jp/entry/www.yomiuri.co.jp/national/news/20100927-O... [hatena.ne.jp]
ウェブカメラ映像、丸見え…幼稚園内、部外者にも : ニュース : ネット&デジタル : YOMIURI ONLINE(読売新聞)
http://b.hatena.ne.jp/entry/www.yomiuri.co.jp/net/news/20100927-OYT8T0... [hatena.ne.jp]
「全世界に公開していない」という主張 (スコア:1)
ネットワークカメラを「全世界に公開していない」という主張はアクセス制限を設けることでしか技術的にも法律的にも達成されない。
URLは「識別符号」ではない。 (スコア:1)
URLが識別符号である、というのは、感覚的にどうも納得がいかない。
ので考えてみた。
結論から言えば、「一般には」、以下の論理で、URLは「識別符号」ではないと言える。
1.URLとは「世界のどこからでも」アクセスできるインターネット上のサービスを表す文字列を指す。ここでは「世界のどこからでも」が重要である。
2.URLはあくまで文字列であり、URLの要素は以下の通り。
「http://HOST/PATH」==(URL文字列)
3.URL文字列が「」内を指すことは公知(の事実)である(RFCに書いてある)
4.「HOST」は常に「世界のどこからでも」アクセスできる以上、必ず公知である。
論理上世界中の人に紙を配っているのと同じ。
5.「PATH」の部分だが、元記事を見ると「アクセスができる」とある。ということは
「常識的な文字列」であると想定できる。マニュアルに載っていたり、それこそgoogle
で検索すると出てくる文字列である。その場合は公知。
6.URL文字列すべてが公知である以上、「第三者に知らせてはならない」という
「識別符号」の要件自体を満たさない。
よって管理者がどう考えようが、URLは「識別符号」ではない(一般に)と思う。(自信なし)
例外は「PATH」部分がやたら長くて難しい場合のみ。「%20%45%99%EE309r0wr9rks9pfwp3pslr9rksmffskfsemflmseofwkrow3ksmksl93j%30okfs30rpkjlskejlrf3」とか。
なぜ例外かといえば、元記事は「アクセスできた」ということであり、「PATH」が
難しかったらそもそもアクセスできないだろうと考えたため。
なお、上記論理の場合「限定公開」かどうかは外部の人が知りようがない(というかすべて公知なので)ため定義としては使用しませんでした。
Re:URLは「識別符号」ではない。 (スコア:1)
PATHが常識的なものであれば、URLは「識別符号」ではない。
であれば、基本的には私の感覚と同じだ。
朝日新聞の記事の場合、PATHは推測できるものであるのは明らかなので(でないとアクセスできないので)
URLは「識別符号」ではない、が正しい。
あとはグレーゾーンの問題だが、、例から行ってみよう。
「http://srad.jp/comments.pl?sid=654153&cid=2780483」
というURLがあったとする。これは「識別符号」か?
私の感覚では「識別符号」ではないと考える。「第三者」でも推測がつくから。
普通の人なら、数字を変えてみることは推測がつく。
「http://srad.jp/%20%45%99%EE309r0wr9rks9pfwp3pslr9rksmffskfsemflmseofwkrow3ksmksl93j%30okfs30rpkjlskejlrf3」
は限りなく「識別符号」に近い。このURLにアクセスしようとするなら、不正アクセスになるのは
おそらく異論はないだろう。
ということで「PATH」に何らかの意味がある==「識別符号」ではない
ランダムで絶対に分からないような文字列==「識別符号」
と考えているような気がする。
URLはあくまで、「世界のどこからでも」アクセスできるインターネット上のサービスを表す文字列(定義上)
なのでPATHに意味があることが通常であり、意味がないものは例外である。
なので、パスワードと違い、「PATH」については意味があるものを「識別符号」に分類するのは非常に抵抗がある。
パスワードの場合、「秘匿」するもの、というはそれこそ公知なので「パスワード」を推測して破ろうという行為は
「パスワード」が1234とかであったとしても推測したパスワードでシステムに入ろうとするのは不正アクセスである。
が、URLの場合「公開」がデフォルトなので、推測でアクセスしてみること自体は不正アクセスにならない気がする。
グレーゾーンなので、私の感覚であるが。
法律 (スコア:0)
IPアドレスを無作為に辿ったのなら、robot.txtの無視以外では不正アクセス禁止法には引っ掛からないと思う。パスワードを入れたら黒だけど、パスワードなしならそれもないだろう。ただ、ACCSの事件でもパスワードのクラックまではやってないので、裁判所によっては再び有罪になる可能性はあるかもしれない。
Re: (スコア:0)
wikipediaで恐縮ですが、不正アクセス行為とは
電気通信回線(インターネット・LAN等)を通じて、アクセス制御機能を持つ電子計算機にアクセスし、他人の識別符号(パスワード・生体認証など)を入力し、アクセス制御機能(認証機能)を作動させて、本来制限されている機能を利用可能な状態にする行為 (1号)
電気通信回線を通じて、アクセス制御機能を持つ電子計算機にアクセスし、識別符号以外の情報や指令を入力し、アクセス制御機能を作動させて、本来制限されている機能を利用可能な
Re:法律 (スコア:1)
だがちょっと待ってほしい。
URLやクエリ文字列が識別符号の役割をしているのかもしれない。SSH認証経由でのアクセスしか本来行えないはずの機械かもしれない。
Re: (スコア:0)
・アクセス制御機能が無効化されており、同機能を経由していない
・もとより制限されていない機能を利用した
∴不正アクセスとはいえない
Re: (スコア:0)
岡崎市立中央図書館の不正アクセス事件。
Re:法律 (スコア:1)
岡崎の件は不正アクセス禁止法ではなく、刑法(偽計業務妨害罪)。
検索をかけただけでパスワードクラックをした訳でもないので、不正アクセス禁止法を適用するには要件不足。
Re: (スコア:0)
ACCSってことで言えば、
「無作為なアドレス即値を約125万も総当たりして2163台を特定し
そのうち769台のパスワードが未設定であることを絞り込む」
というプロセスが新たな『迂回行為』の判例にならなくもないかも。
ちょっとまえは (スコア:0)
Webカメラを問題にする人はいなかったのにな。
てか、お天気カメラは良いのですか?
Re:ちょっとまえは (スコア:1)
うちで利用しているケーブルテレビでは近所の駅前ライブカメラが見え見え。
人の顔が詳細に判別できるほどの解像度ではないのでたぶんOK。
お天気や駅前の混み具合とか見るのに便利
公開Webカメラおくべからず (スコア:0)
キャンプシュワブあたりにWebカメラ置かれちゃ困るってことかいの
inurl:ViewerFrame?Mode= (スコア:0)
ちょwグーグルで「inurl:ViewerFrame?Mode= 」って検索してみwww
1 名前:以下、名無しにかわりましてVIPがお送りします。[sage] 投稿日:2007/07/15(日) 19:55:33.10 ID:0grWkOIp0
日本中の監視カメラをブラウザ上で操作できるぞw
なんか誰かの家のベランダとかあるぞw
642 名前:以下、名無しにかわりましてVIPがお送りします。[sage] 投稿日:2007/07/15(日) 23:10:34.36 ID:D7k4sg1M0
まさに自宅警備員wwwwwwwwww
http://news23vip.blog109.fc2.com/blog-entry-115.html [fc2.com]
Re:inurl:ViewerFrame?Mode= (スコア:1)
>できるよ。
>静的なURLであれば、文字列片っ端からスキャンするだけでアクセスできる。
パスワードも文字列片っ端から入れてみればアクセスできるだろ……
そもそも、静的なURLってなんだ。
https://hoge.example.com/path_to_protected_content/?password=hogehoge [example.com]
は動的で、
https://hoge.example.com/path_to_protected_content/params/password/hogehoge [example.com]
は静的なのか?
Re:マスコミの特権意識は異常 (スコア:5, 参考になる)
調査については「続きを読む」の先に上のように「捜査関係者の助言」があった旨書いてありました。
「捜査関係者」が必ず警察を指すとは限りませんが、新聞で慣用的に用いられる用語としては警察と判断していいかと思います。
Re:マスコミの特権意識は異常 (スコア:1, おもしろおかしい)
>自ら犯罪行為に走って
2chレベルの脊髄反射
Re:マスコミの特権意識は異常 (スコア:2)
http://0.0.0.1/ [0.0.0.1]~とかで軒並み調べていけば全部知ってる事になるんじゃまいか。
国内に限定すればどこから始めりゃ良いのかはともかく。
**たこさん**・・・
Re:35%と言いますが (スコア:2)
会員用の続きの部分によれば、
「公開を前提に観光名所などの「中継用」として設置されている941台(ライブカメラ)は調査の対象から除いた。」
とのこと。
比率はさておき、上記以外にも秘匿性の低いものがありうるところ、通常は外部から見えないこと期待されるものが見えてしまっていることを示すために
「769台のうちのほとんどが防犯や監視用として設置され、レンズが向けられている対象と状況から書店や美容院、飲食店、スーパーなどとみられた。事業所の従業員控室、幼い子どもたちがいる託児所のようなスペースもあった。」
という説明がなされているのだろう。
ストーリーの
「どんな映像が見れたかわざわざ記事に書く必要があるのか、などいろいろ突っ込みどころが多い気がする。」
は言いがかりに思う。