パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

認証不要で不特定多数がアクセスできるWebカメラを朝日新聞が調査」記事へのコメント

  • 所定のURLにアクセスすれば映像が見られるものだとすると、不正アクセスになるという根拠を見出せない。

    (1)
    製品固有で、単一で、共有のURLは、「識別符号」ではない
    ・個々の利用権者を区別して識別できないものは、識別符号ではない
    ・識別符号になりうる種類の情報でも、デフォルトのものは、識別符号ではない

    2  この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(以下「利用権者」という。)及び当該アクセス管理者(以下この項において「利用権者等」という。)に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものをいう。
    (各号省略)
    不正アクセス行為の禁止等に関する法律 [e-gov.go.jp]第2条第2項

    利用権者等が一人しかいない場合、すなわちアクセス管理者以外に特定電子計算機の特定利用に係る許諾を得て特定利用をする利用権者をおよそ予定していない場合には、当該特定利用の際に自分が用いるID・パスワードをアクセス管理者が設定していたとしても当該ID・パスワードはアクセス管理者を他の利用権者と区別して識別することができるように付されているわけではないから、当該ID・パスワードは識別符号に該当しない
    不正アクセス対策法制研究会『逐条不正アクセス行為の禁止等に関する法律 補訂』立花書房、2001年、p.40
    "利用権者等が一人しかいない場合" - Google 検索 [google.com]からの二次引用)

    (イ)次のようなID・パスワードは、いずれも利用権者等に付されている符号ではないか、利用権者等を区別して識別することができるように付されていないため、識別符号には該当しない。
    (省略)
    ○ コンピュータの出荷時に初期設定としてパスワード・ファイルに登録されているID・パスワード
    警察庁「不正アクセス行為の禁止等に関する法律等の概要及び運用上の留意事項について [npa.go.jp]」警察庁の施策を示す通達(生活安全局)|警察庁 [npa.go.jp]、平成12年1月21日、p.3

    (2)
    識別符号による認証機能がないものは、「アクセス制御機能」ではない

    3  この法律において「アクセス制御機能」とは、特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている機能であって、当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号(識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。次項第一号及び第二号において同じ。)であることを確認して、当該特定利用の制限の全部又は一部を解除するものをいう。
    不正アクセス行為の禁止等に関する法律 [e-gov.go.jp]第2条第3項

    (3)
    アクセス制御機能による利用制限がない機器に対しては、「不正アクセス行為」は成立しない

    4  この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。
    一  アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
    二  アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
    三  電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
    不正アクセス行為の禁止等に関する法律 [e-gov.go.jp]第2条第4項

    (4)
    件の調査対象機器には、映像閲覧の際以外に、別途アクセス制御機能があるとする事実は示されていない

    (5)
    別途アクセス制御機能があるとしても、当該アクセス制御機能が映像閲覧を制限するものでなければ、「制限されている特定利用をし得る状態にさせる行為」に当たらない(前述第2条第4項)
    ・例えば、当該アクセス制御機能が、映像閲覧ではなく機器の設定を管理するものである場合

    (すべて強調・省略筆者)

    • もう1つ。
      法の対象となる「電子計算機」には、一定の独立性が必要とされていますが、カメラ機器をそうだと言えるのかどうか。

      本法においては、一定の独立性を有するものに限られ、各種機器に内蔵されているマイクロ・コンピュータは含まれない。
      警察庁「不正アクセス行為の禁止等に関する法律等の概要及び運用上の留意事項について [npa.go.jp]」警察庁の施策を示す通達(生活安全局)|警察庁 [npa.go.jp]、平成12年1月21日、pp.1-2

      親コメント
    • by Anonymous Coward

      >製品固有で、単一で、共有のURLは
      そもそもこれが「ありえません」

      製品でURLがすべて固定なら、世の中に一台しか製品だせないですよね。
      買ったユーザーが設置するのにドメイン(またはIP)を必ず持っていて、そこに設置するので。

      >別途アクセス制御機能があるとする事実は示されていない
      ACCS事件の判例では「パスワード、ファイルパーミッションなどの制御機構は必ずしも必要ない」
      とされました。URLのクエリ部分のみの変更なのですから。

      つまり、「何もセキュリティ的な制御されてなくても非公開urlにアクセスするだけで不正アクセス」という判例です。

      ばかな判例だと思いますが、判例が出ている以上、日本では違法です。

      • > 買ったユーザーが設置するのにドメイン(またはIP)を必ず持っていて、そこに設置するので。
        失礼、パス以降ですね。適宜読み替えてください。

        > 「何もセキュリティ的な制御されてなくても非公開urlにアクセスするだけで不正アクセス」
        ACCS事件は、FTPにアクセス制御機能があったという判決でしょう。
        下記記事とは全く異なる情報があるのでしょうか。

        検察側は、「特定電子計算機をプロトコルごとに定義するのは法律の規定と矛盾している」と反論。
        「管理者は問題のファイルにFTPでアクセスしており、FTPにはIDとパスワードによるアクセス制御機能があった。CGI経由のアクセスは管理者の想定外で、プログラムの脆弱性がなければ不可能。通常のアクセスとは言えず、FTPのアクセス制御を回避した不正アクセス行為にあたる」と主張した
        判決は検察側の主張を全面的に支持
        (中略)
        その上で「同様のファイルにはFTPでアクセスするのが通常。ブラウザにURLを入力するだけでは閲覧できない秘匿性の高いファイルに対し、CGIの脆弱性を利用してアクセスするのは通常のアクセスとは言えず、FTPのアクセス制御を回避した不正アクセスにあたる」と認定
        岡田有花「「不正アクセス」の司法判断とは――ACCS裁判 - ITmedia ニュース [itmedia.co.jp]、2005年03月28日

        (強調・省略筆者)

        親コメント
        • ACCS事件の判決にならうとして、
          この判決を本件に置き換えるとするなら、
          映像には【A】でアクセスするのが通常。ブラウザにURLを入力するだけでは閲覧できない秘匿性の高い映像に対し、【B】を利用してアクセスするのは通常のアクセスとは言えず、【A】のアクセス制御を回避した不正アクセスにあたる」
          となる必要があるはず。下線部が書き換えた箇所。

          しかし、
          ・正規の利用者は【A】で映像を閲覧する
          ・【A】にアクセス制御がなくて誰でも閲覧できた
          ・【A】以外の方法でのアクセスはしていない
          というのが本件調査で行われたアクセスとするなら、ACCS事件とは構図が異なる。

          親コメント
        • by Anonymous Coward

          ごく当たり前の判決。
          なぜなら、アクセス制御機能の定義では
          「識別符号を確認してアクセス制限を緩和すること」が必須となっているだけで
          「識別符号が確認されない場合にはアクセス制限を完璧に行うこと」
          とは書かれてないから。
          大部分のやつは法律を読まず、「アクセス制御機能」という字面から勝手に話をでっち上げてる。

        • by Anonymous Coward
          最良証拠主義だからね。FTPで有罪にできそうだからFTPが出てきただけで、FTPがなければWindowsログインでも何でも良かったと思うよ。さすがに一切アクセス制御機能のないPCをWebサーバにはしないだろ。
          # そういや昔はMacはリモートログイン機能がないから安全説とかあったな
      • >>製品固有で、単一で、共有のURLは
        >そもそもこれが「ありえません」

        え?
        うちの製品、管理画面のURLが製品固有で http://192.168.0.1/admin/ [192.168.0.1] 単一だけど……

        親コメント
        • by Anonymous Coward

          >>製品固有で、単一で、共有のURLは
          >そもそもこれが「ありえません」

          え?
          うちの製品、管理画面のURLが製品固有で http://192.168.0.1/admin/ [192.168.0.1] 単一だけど……

          ここはパスワード真理教の信者が多いからね。
          パスワード真理教の教義では「パスワードにあらずんばアクセス制御機能にあらず」となっている。

          こうして現実にはIPアドレス範囲によるアクセス制御機能だって実用化されているのにね。

          • Re: (スコア:0, おもしろおかしい)

            by Anonymous Coward

            >>IPアドレス範囲によるアクセス制御機能

            • by Anonymous Coward

              また馬鹿が出たか。
              識別符号を「確認して」と
              識別符号に「よって」を
              なぜ混同しちゃったの?
              IPアドレスによるアクセス制御機能は成り立つよ。

              • 論拠を示すなり、論証するなりしてください。

                なお、IPアドレスを識別符号にすることは通常できないでしょう。
                識別符号(1号)は第三者に知らせてはならないことが要求されるので。
                結果、識別符号であることを確認する必要があるアクセス制御機能を構成しえないことになります。

                2  この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(以下「利用権者」という。)及び当該アクセス管理者(以下この項において「利用権者等」という。)に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものをいう。
                一  当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号
                (二・三省略)
                3  この法律において「アクセス制御機能」とは、特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている機能であって、当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号(識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。次項第一号及び第二号において同じ。)であることを確認して、当該特定利用の制限の全部又は一部を解除するものをいう。
                不正アクセス行為の禁止等に関する法律 [e-gov.go.jp]第2条第2項、第3項

                (親コメと繋がりがないのはさておき)

                親コメント
              • by Anonymous Coward

                ”IPアドレス範囲によるアクセス制御機能”の話なんてnim氏はしてませんが。
                「製品固有で、単一で、共有のURLなんてありえない」って発言に、あり得るよ、ってnim氏はツッコミ入れただけ。
                ルータか何かの管理画面URLが固定だという話から、なんでそんな方向に話が飛ぶんだ?

              • by Anonymous Coward

                Webカメラが動作しているIPアドレスとしてコレを公開してた奴は居ないだろ。
                ていうかいたらその時点でこの調査で言う公開Webカメラであり脆弱かどうかのカウントから除外すべき対象。

              • 親コメ #2781004 はクライアントのIPアドレスの話。

                機器のIPアドレスならば、結局は「URLは識別符号である」という主張なのであって、大元の(1)の通り、識別符号ではない。
                機器のIPアドレスを、同時に識別符号として利用権者に付与するのだとしたら、利用権者を1人しか想定し得ない事になり、識別符号に当たらない。
                更にこれは、IPアドレスが元々非公開情報であるという前提がある場合であって、IPアドレスの管理の仕組みからして、非公開とは言えない。

                親コメント
      • by Anonymous Coward

        >製品固有で、単一で、共有のURLは
        そもそもこれが「ありえません」

        製品でURLがすべて固定なら、世の中に一台しか製品だせないですよね。
        買ったユーザーが設置するのにドメイン(またはIP)を必ず持っていて、そこに設置するので。

        URL中のIPアドレスやホスト名が「当該利用権者等を他の利用権者等と区別して識別することができるように付される」符号の一部になるって、珍論にしか見えないんだけど…

        • by Anonymous Coward

          URL中のホスト名とされる部分は自由度が高くてそれなりの長さのランダム文字列をとれるから、ランダム文字列を付したURLと同じく識別符号として用いることは可能と思う。
          ただwwwとか暗黙的なホスト名や限定的で自由度のあまりないIPアドレスなどが識別符号であるとするのは強引であろうと思う。

      • by Anonymous Coward

        アクセス制御機能は、「権限のないアクセスを遮断する機能」を必要としない。
        字面から勝手な妄想するな。

        アクセス制御機能の必要条件は、識別符号を確認してアクセス制限を緩める機能にすぎない。
        識別符号が確認されない場合にアクセス制限を緩めないことを必要としない。

        なんでアクセス制御機能の定義も読まずに語ってるわけ?
        アクセス制御機能の定義には、権限のないアクセスを遮断することなんて書いてないぜ?

        • 第2条第3項を要約すると、
          「利用を自動的に制御するために、識別符号であることを確認して、制限の全部又は一部を解除するもの」
          がアクセス制御機能。
          識別符号がであることを確認せずとも利用できる場合、即ちそもそも「制限」がない場合には、「制限の解除」ができないので、アクセス制御機能にはなれない。

          (3) アクセス制御機能(第2条第3項関係)
          アクセス制御機能とは、特定電子計算機の特定利用を正規の利用権者等以外の者ができないように制限するために、アクセス管理者が特定電子計算機又は特定電子計算機と電気通信回線で接続されている電子計算機に持たせている機能です。具体的には、特定電子計算機の特定利用をしようとする者に電気通信回線を経由して識別符号(識別符号を用いてアクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。)の入力を求め、正しい識別符号が入力された場合にのみ利用制限を自動的に解除し、正しい識別符号ではなかった場合には利用を拒否するコンピュータの機能をいいます
          警察庁「不正アクセス行為の禁止等に関する法律の解説 [npa.go.jp]」警察庁 サイバー犯罪対策:法令等 [npa.go.jp]、p.4

          親コメント
          • by Anonymous Coward

            制限の意味はアクセス禁止じゃないぞ?
            識別符号が確認できるケースのほうが、識別符号が確認出来ないケースよりもアクセス権限がわずかにでも緩くなるならば法律の定義からアクセス制御機能が成立する。
            使えるプロトコルの種類が増減するのでも良いし、アクセスできるビットレートが増減するのでも良い。
            法律の日本語よく読めよ?
            法律の素人である官僚が書いた解説文じゃなくてさ。
            警察庁アホだな。法律の原文とは意味変わってんのw
            警察庁の文では「制限の全部又は一部を解除」ってあたりが全く表現されてない、理解できてないね。
            不正アクセス禁止法の条文が想定してい

            • > 使えるプロトコルの種類が増減するのでも良いし、アクセスできるビットレートが増減するのでも良い。
              > 不正アクセス禁止法の条文が想定しているのは、アクセス権限によって許可されるリソースが段階的・連続的に変わるような場合だ。

              それは、その差が生じる部分について、制限を解除して利用させるか、制限を解除せずに「利用を拒否」するかのアクセス制御を行っていることに他なりません。
              ログイン利用者は1から10まで利用でき、ゲスト利用者(非ログイン)は1から5まで利用できるというとき、ゲスト利用者については、6から10の部分の利用を拒否している。

              あなたは、「拒否」という言葉に極端な定義を持っているんですかね。

              親コメント
            • by Anonymous Coward

              「(正しい)識別符号が有ったときに~利用権拡大がなされる」とは「(正しい)識別符号がなかったときには~利用権拡大がなされない」という事ではないのか?
              「ゲストアクセスとしてある程度のリソース利用を許可する」とは「ゲストアクセスではある程度以上のリソース利用を許可しない」という事ではないのか?
              それとも、正しい識別符号がなくともある場合と同様に利用権拡大はするし、ゲストアクセスでもゲストアクセスでない場合と変わりない利用を許可する場合でも不正アクセス禁止法で保護されるという見解?

              • by Anonymous Coward

                >それとも、正しい識別符号がなくともある場合と同様に利用権拡大はするし、ゲストアクセスでもゲストアクセスでない場合と変わりない利用を許可する場合でも不正アクセス禁止法で保護されるという見解?
                それやっちゃうとWeb上ではサーバー管理者の胸先三寸で誰でも不正アクセス犯って事になるな。

              • by Anonymous Coward

                「AならばB」の否定は「AでないならばBではない」ではないよ?
                高校でやるような論理学だよ?
                AではないのにBである例が1つでもあれば、「AでないならばBではない」は成立しない。

                つまり、ここでいう「AではないのにBである」とは、「正しい識別符号がないのに利用権拡大がなされる」場合であるが、そのような例があろうとなかろうと、「AならばB」の定義に影響を与えていない。
                「正しい識別符号がないのに利用権拡大がなされる」場合の有無は、「正しい識別符号が有ったら利用権拡大がなされる」という定義には無関係だ。

              • by Anonymous Coward

                >それとも、正しい識別符号がなくともある場合と同様に利用権拡大はするし、ゲストアクセスでもゲストアクセスでない場合と変わりない利用を許可する場合でも不正アクセス禁止法で保護されるという見解?
                それやっちゃうとWeb上ではサーバー管理者の胸先三寸で誰でも不正アクセス犯って事になるな。

                だよな。
                日本は遅れてるから国際標準を早く取り入れないとな。
                18 U.S.C. § 1030 a.k.a. CFAA
                (a) Whoever—
                (2)intentionally accesses a computer without authorization or exceeds authorized access, and thereby obtains—
                (C)information from any protected computer;
                https://www. [cornell.edu]

              • by Anonymous Coward

                それは英米法のみの論理。国際標準ではない。
                大多数の国の法律の論理である大陸法では、そういう陪審の心証任せのやり方ではなく、
                違法行為を事前に定義し、それに合致するもののみを取り締まる。
                つまり、今の日本のような不正アクセスの取り締まり方の方が国際標準。

              • 国際標準というなら条約じゃないですかね。

                第二条 違法なアクセス
                締約国は、コンピュータ・システムの全部又は一部に対するアクセスが、権限なしに故意に行われることを自国の国内法上の犯罪とするため、必要な立法その他の措置をとる。
                締約国は、このようなアクセスが防護措置を侵害することによって行われること、コンピュータ・データを取得する意図その他不正な意図をもって行われること又は他のコンピュータ・システムに接続されているコンピュータ・システムに関連して行われることをこの犯罪の要件とすることができる
                外務省: サイバー犯罪に関する条約 [mofa.go.jp]

                「権限なしに」の詳しい意味は知らない。
                条約には注釈書があるらしいものの、見つけられなかった。

                「権限なく」とは、日本において、思想・信条の自由や表現の自由、プライバシーの権利といった基本的な権利に考慮することが許される柔軟な用語となっています(注釈書EM103)。このことは、おそらくこの条約が萎縮的効果をもたらす芸術や科学についても同様です。注釈書(EM)は、また、「ネットワークの設計において本来なされる正当かつ通常の活動、又は、正当かつ通常の運用行為若しくは商慣行は、犯罪化されるべきではない。」(注釈書EM38)と述べています。
                米国自由人権協会ほか「サイバー犯罪条約と国内法整備に関する日本国政府及び国会宛の書簡 [nifty.com]」2003年7月22日

                親コメント
              • 無権限アクセスの成否については、米国の USC の第 1030 条の解釈論によると、現実にアクセス制御がなされていなくても、社会的観点から見てアクセス権があると評価できるかどうかによって、アクセス制御の有無を識別できるというのが米国の通常の考え方である。
                日本におけるアクセス制御の有無についての識別基準は不正アクセス禁止法第3条第 2 項に規定されているが、米国と比べると厳格なものとなっている。
                経済産業省「サイバー刑事法研究会報告書「欧州評議会サイバー犯罪条約と我が国の対応について」 [meti.go.jp]」2002年4月18日、p.9

                (強調筆者)

                基準は社会的観点だと。

                親コメント
          • by Anonymous Coward

            使えるプロトコルの種類に制限があるじゃん。
            河合一穂の事例では。

      • by Anonymous Coward

        >つまり、「何もセキュリティ的な制御されてなくても非公開urlにアクセスするだけで不正アクセス」という判例です。

        そんなこと誰も言ってないぞ。
        電波受信した?

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

処理中...