だよな。 日本は遅れてるから国際標準を早く取り入れないとな。 18 U.S.C. § 1030 a.k.a. CFAA (a) Whoever— (2)intentionally accesses a computer without authorization or exceeds authorized access, and thereby obtains— (C)information from any protected computer; https://www. [cornell.edu]
不正アクセスになるという根拠は、出ていない (スコア:4, 参考になる)
所定のURLにアクセスすれば映像が見られるものだとすると、不正アクセスになるという根拠を見出せない。
(1)
製品固有で、単一で、共有のURLは、「識別符号」ではない
・個々の利用権者を区別して識別できないものは、識別符号ではない
・識別符号になりうる種類の情報でも、デフォルトのものは、識別符号ではない
(2)
識別符号による認証機能がないものは、「アクセス制御機能」ではない
(3)
アクセス制御機能による利用制限がない機器に対しては、「不正アクセス行為」は成立しない
(4)
件の調査対象機器には、映像閲覧の際以外に、別途アクセス制御機能があるとする事実は示されていない
(5)
別途アクセス制御機能があるとしても、当該アクセス制御機能が映像閲覧を制限するものでなければ、「制限されている特定利用をし得る状態にさせる行為」に当たらない(前述第2条第4項)
・例えば、当該アクセス制御機能が、映像閲覧ではなく機器の設定を管理するものである場合
(すべて強調・省略筆者)
Re:不正アクセスになるという根拠は、出ていない (スコア:2)
もう1つ。
法の対象となる「電子計算機」には、一定の独立性が必要とされていますが、カメラ機器をそうだと言えるのかどうか。
Re: (スコア:0)
>製品固有で、単一で、共有のURLは
そもそもこれが「ありえません」
製品でURLがすべて固定なら、世の中に一台しか製品だせないですよね。
買ったユーザーが設置するのにドメイン(またはIP)を必ず持っていて、そこに設置するので。
>別途アクセス制御機能があるとする事実は示されていない
ACCS事件の判例では「パスワード、ファイルパーミッションなどの制御機構は必ずしも必要ない」
とされました。URLのクエリ部分のみの変更なのですから。
つまり、「何もセキュリティ的な制御されてなくても非公開urlにアクセスするだけで不正アクセス」という判例です。
ばかな判例だと思いますが、判例が出ている以上、日本では違法です。
Re:不正アクセスになるという根拠は、出ていない (スコア:3)
> 買ったユーザーが設置するのにドメイン(またはIP)を必ず持っていて、そこに設置するので。
失礼、パス以降ですね。適宜読み替えてください。
> 「何もセキュリティ的な制御されてなくても非公開urlにアクセスするだけで不正アクセス」
ACCS事件は、FTPにアクセス制御機能があったという判決でしょう。
下記記事とは全く異なる情報があるのでしょうか。
(強調・省略筆者)
Re:不正アクセスになるという根拠は、出ていない (スコア:2)
ACCS事件の判決にならうとして、
この判決を本件に置き換えるとするなら、
「映像には【A】でアクセスするのが通常。ブラウザにURLを入力するだけでは閲覧できない秘匿性の高い映像に対し、【B】を利用してアクセスするのは通常のアクセスとは言えず、【A】のアクセス制御を回避した不正アクセスにあたる」
となる必要があるはず。下線部が書き換えた箇所。
しかし、
・正規の利用者は【A】で映像を閲覧する
・【A】にアクセス制御がなくて誰でも閲覧できた
・【A】以外の方法でのアクセスはしていない
というのが本件調査で行われたアクセスとするなら、ACCS事件とは構図が異なる。
Re: (スコア:0)
ごく当たり前の判決。
なぜなら、アクセス制御機能の定義では
「識別符号を確認してアクセス制限を緩和すること」が必須となっているだけで
「識別符号が確認されない場合にはアクセス制限を完璧に行うこと」
とは書かれてないから。
大部分のやつは法律を読まず、「アクセス制御機能」という字面から勝手に話をでっち上げてる。
Re: (スコア:0)
# そういや昔はMacはリモートログイン機能がないから安全説とかあったな
Re:不正アクセスになるという根拠は、出ていない (スコア:1)
>>製品固有で、単一で、共有のURLは
>そもそもこれが「ありえません」
え?
うちの製品、管理画面のURLが製品固有で http://192.168.0.1/admin/ [192.168.0.1] 単一だけど……
Re: (スコア:0)
>>製品固有で、単一で、共有のURLは
>そもそもこれが「ありえません」
え?
うちの製品、管理画面のURLが製品固有で http://192.168.0.1/admin/ [192.168.0.1] 単一だけど……
ここはパスワード真理教の信者が多いからね。
パスワード真理教の教義では「パスワードにあらずんばアクセス制御機能にあらず」となっている。
こうして現実にはIPアドレス範囲によるアクセス制御機能だって実用化されているのにね。
Re: (スコア:0, おもしろおかしい)
>>IPアドレス範囲によるアクセス制御機能
…
Re: (スコア:0)
また馬鹿が出たか。
識別符号を「確認して」と
識別符号に「よって」を
なぜ混同しちゃったの?
IPアドレスによるアクセス制御機能は成り立つよ。
Re:不正アクセスになるという根拠は、出ていない (スコア:2)
論拠を示すなり、論証するなりしてください。
なお、IPアドレスを識別符号にすることは通常できないでしょう。
識別符号(1号)は第三者に知らせてはならないことが要求されるので。
結果、識別符号であることを確認する必要があるアクセス制御機能を構成しえないことになります。
(親コメと繋がりがないのはさておき)
Re: (スコア:0)
”IPアドレス範囲によるアクセス制御機能”の話なんてnim氏はしてませんが。
「製品固有で、単一で、共有のURLなんてありえない」って発言に、あり得るよ、ってnim氏はツッコミ入れただけ。
ルータか何かの管理画面URLが固定だという話から、なんでそんな方向に話が飛ぶんだ?
Re: (スコア:0)
Webカメラが動作しているIPアドレスとしてコレを公開してた奴は居ないだろ。
ていうかいたらその時点でこの調査で言う公開Webカメラであり脆弱かどうかのカウントから除外すべき対象。
Re:不正アクセスになるという根拠は、出ていない (スコア:2)
親コメ #2781004 はクライアントのIPアドレスの話。
機器のIPアドレスならば、結局は「URLは識別符号である」という主張なのであって、大元の(1)の通り、識別符号ではない。
機器のIPアドレスを、同時に識別符号として利用権者に付与するのだとしたら、利用権者を1人しか想定し得ない事になり、識別符号に当たらない。
更にこれは、IPアドレスが元々非公開情報であるという前提がある場合であって、IPアドレスの管理の仕組みからして、非公開とは言えない。
Re: (スコア:0)
>製品固有で、単一で、共有のURLは
そもそもこれが「ありえません」
製品でURLがすべて固定なら、世の中に一台しか製品だせないですよね。
買ったユーザーが設置するのにドメイン(またはIP)を必ず持っていて、そこに設置するので。
URL中のIPアドレスやホスト名が「当該利用権者等を他の利用権者等と区別して識別することができるように付される」符号の一部になるって、珍論にしか見えないんだけど…
Re: (スコア:0)
URL中のホスト名とされる部分は自由度が高くてそれなりの長さのランダム文字列をとれるから、ランダム文字列を付したURLと同じく識別符号として用いることは可能と思う。
ただwwwとか暗黙的なホスト名や限定的で自由度のあまりないIPアドレスなどが識別符号であるとするのは強引であろうと思う。
Re: (スコア:0)
アクセス制御機能は、「権限のないアクセスを遮断する機能」を必要としない。
字面から勝手な妄想するな。
アクセス制御機能の必要条件は、識別符号を確認してアクセス制限を緩める機能にすぎない。
識別符号が確認されない場合にアクセス制限を緩めないことを必要としない。
なんでアクセス制御機能の定義も読まずに語ってるわけ?
アクセス制御機能の定義には、権限のないアクセスを遮断することなんて書いてないぜ?
Re:不正アクセスになるという根拠は、出ていない (スコア:2)
第2条第3項を要約すると、
「利用を自動的に制御するために、識別符号であることを確認して、制限の全部又は一部を解除するもの」
がアクセス制御機能。
識別符号がであることを確認せずとも利用できる場合、即ちそもそも「制限」がない場合には、「制限の解除」ができないので、アクセス制御機能にはなれない。
Re: (スコア:0)
制限の意味はアクセス禁止じゃないぞ?
識別符号が確認できるケースのほうが、識別符号が確認出来ないケースよりもアクセス権限がわずかにでも緩くなるならば法律の定義からアクセス制御機能が成立する。
使えるプロトコルの種類が増減するのでも良いし、アクセスできるビットレートが増減するのでも良い。
法律の日本語よく読めよ?
法律の素人である官僚が書いた解説文じゃなくてさ。
警察庁アホだな。法律の原文とは意味変わってんのw
警察庁の文では「制限の全部又は一部を解除」ってあたりが全く表現されてない、理解できてないね。
不正アクセス禁止法の条文が想定してい
Re:不正アクセスになるという根拠は、出ていない (スコア:2)
> 使えるプロトコルの種類が増減するのでも良いし、アクセスできるビットレートが増減するのでも良い。
> 不正アクセス禁止法の条文が想定しているのは、アクセス権限によって許可されるリソースが段階的・連続的に変わるような場合だ。
それは、その差が生じる部分について、制限を解除して利用させるか、制限を解除せずに「利用を拒否」するかのアクセス制御を行っていることに他なりません。
ログイン利用者は1から10まで利用でき、ゲスト利用者(非ログイン)は1から5まで利用できるというとき、ゲスト利用者については、6から10の部分の利用を拒否している。
あなたは、「拒否」という言葉に極端な定義を持っているんですかね。
Re: (スコア:0)
「(正しい)識別符号が有ったときに~利用権拡大がなされる」とは「(正しい)識別符号がなかったときには~利用権拡大がなされない」という事ではないのか?
「ゲストアクセスとしてある程度のリソース利用を許可する」とは「ゲストアクセスではある程度以上のリソース利用を許可しない」という事ではないのか?
それとも、正しい識別符号がなくともある場合と同様に利用権拡大はするし、ゲストアクセスでもゲストアクセスでない場合と変わりない利用を許可する場合でも不正アクセス禁止法で保護されるという見解?
Re: (スコア:0)
>それとも、正しい識別符号がなくともある場合と同様に利用権拡大はするし、ゲストアクセスでもゲストアクセスでない場合と変わりない利用を許可する場合でも不正アクセス禁止法で保護されるという見解?
それやっちゃうとWeb上ではサーバー管理者の胸先三寸で誰でも不正アクセス犯って事になるな。
Re: (スコア:0)
「AならばB」の否定は「AでないならばBではない」ではないよ?
高校でやるような論理学だよ?
AではないのにBである例が1つでもあれば、「AでないならばBではない」は成立しない。
つまり、ここでいう「AではないのにBである」とは、「正しい識別符号がないのに利用権拡大がなされる」場合であるが、そのような例があろうとなかろうと、「AならばB」の定義に影響を与えていない。
「正しい識別符号がないのに利用権拡大がなされる」場合の有無は、「正しい識別符号が有ったら利用権拡大がなされる」という定義には無関係だ。
Re: (スコア:0)
>それとも、正しい識別符号がなくともある場合と同様に利用権拡大はするし、ゲストアクセスでもゲストアクセスでない場合と変わりない利用を許可する場合でも不正アクセス禁止法で保護されるという見解?
それやっちゃうとWeb上ではサーバー管理者の胸先三寸で誰でも不正アクセス犯って事になるな。
だよな。
日本は遅れてるから国際標準を早く取り入れないとな。
18 U.S.C. § 1030 a.k.a. CFAA
(a) Whoever—
(2)intentionally accesses a computer without authorization or exceeds authorized access, and thereby obtains—
(C)information from any protected computer;
https://www. [cornell.edu]
Re: (スコア:0)
それは英米法のみの論理。国際標準ではない。
大多数の国の法律の論理である大陸法では、そういう陪審の心証任せのやり方ではなく、
違法行為を事前に定義し、それに合致するもののみを取り締まる。
つまり、今の日本のような不正アクセスの取り締まり方の方が国際標準。
Re:不正アクセスになるという根拠は、出ていない (スコア:2)
国際標準というなら条約じゃないですかね。
「権限なしに」の詳しい意味は知らない。
条約には注釈書があるらしいものの、見つけられなかった。
Re:不正アクセスになるという根拠は、出ていない (スコア:2)
(強調筆者)
基準は社会的観点だと。
Re: (スコア:0)
使えるプロトコルの種類に制限があるじゃん。
河合一穂の事例では。
Re: (スコア:0)
>つまり、「何もセキュリティ的な制御されてなくても非公開urlにアクセスするだけで不正アクセス」という判例です。
そんなこと誰も言ってないぞ。
電波受信した?