アカウント名:
パスワード:
所定のURLにアクセスすれば映像が見られるものだとすると、不正アクセスになるという根拠を見出せない。
(1)製品固有で、単一で、共有のURLは、「識別符号」ではない・個々の利用権者を区別して識別できないものは、識別符号ではない・識別符号になりうる種類の情報でも、デフォルトのものは、識別符号ではない
2 この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(以下「利用権者」という。)及び当該アクセス管理者(以下この項において「利用権者等」という。)に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、次のいずれかに該当するも
>製品固有で、単一で、共有のURLはそもそもこれが「ありえません」
製品でURLがすべて固定なら、世の中に一台しか製品だせないですよね。買ったユーザーが設置するのにドメイン(またはIP)を必ず持っていて、そこに設置するので。
>別途アクセス制御機能があるとする事実は示されていないACCS事件の判例では「パスワード、ファイルパーミッションなどの制御機構は必ずしも必要ない」とされました。URLのクエリ部分のみの変更なのですから。
つまり、「何もセキュリティ的な制御されてなくても非公開urlにアクセスするだけで不正アクセス」という判例です。
ばかな判例だと思いますが、判例が出ている以上、日本では違法です。
アクセス制御機能は、「権限のないアクセスを遮断する機能」を必要としない。字面から勝手な妄想するな。
アクセス制御機能の必要条件は、識別符号を確認してアクセス制限を緩める機能にすぎない。識別符号が確認されない場合にアクセス制限を緩めないことを必要としない。
なんでアクセス制御機能の定義も読まずに語ってるわけ?アクセス制御機能の定義には、権限のないアクセスを遮断することなんて書いてないぜ?
第2条第3項を要約すると、「利用を自動的に制御するために、識別符号であることを確認して、制限の全部又は一部を解除するもの」がアクセス制御機能。識別符号がであることを確認せずとも利用できる場合、即ちそもそも「制限」がない場合には、「制限の解除」ができないので、アクセス制御機能にはなれない。
(3) アクセス制御機能(第2条第3項関係) アクセス制御機能とは、特定電子計算機の特定利用を正規の利用権者等以外の者ができないように制限するために、アクセス管理者が特定電子計算機又は特定電子計算機と電気通信回線で接続されている電子計算機に持たせている機能です。具体的には、特定電子計算機の特定利用をしようとする者に電気通信回線を経由して識別符号(識別符号を用いてアクセス管理者の定める方法により
制限の意味はアクセス禁止じゃないぞ?識別符号が確認できるケースのほうが、識別符号が確認出来ないケースよりもアクセス権限がわずかにでも緩くなるならば法律の定義からアクセス制御機能が成立する。使えるプロトコルの種類が増減するのでも良いし、アクセスできるビットレートが増減するのでも良い。法律の日本語よく読めよ?法律の素人である官僚が書いた解説文じゃなくてさ。警察庁アホだな。法律の原文とは意味変わってんのw警察庁の文では「制限の全部又は一部を解除」ってあたりが全く表現されてない、理解できてないね。不正アクセス禁止法の条文が想定してい
「(正しい)識別符号が有ったときに~利用権拡大がなされる」とは「(正しい)識別符号がなかったときには~利用権拡大がなされない」という事ではないのか?「ゲストアクセスとしてある程度のリソース利用を許可する」とは「ゲストアクセスではある程度以上のリソース利用を許可しない」という事ではないのか?それとも、正しい識別符号がなくともある場合と同様に利用権拡大はするし、ゲストアクセスでもゲストアクセスでない場合と変わりない利用を許可する場合でも不正アクセス禁止法で保護されるという見解?
>それとも、正しい識別符号がなくともある場合と同様に利用権拡大はするし、ゲストアクセスでもゲストアクセスでない場合と変わりない利用を許可する場合でも不正アクセス禁止法で保護されるという見解?それやっちゃうとWeb上ではサーバー管理者の胸先三寸で誰でも不正アクセス犯って事になるな。
だよな。日本は遅れてるから国際標準を早く取り入れないとな。18 U.S.C. § 1030 a.k.a. CFAA(a) Whoever—(2)intentionally accesses a computer without authorization or exceeds authorized access, and thereby obtains—(C)information from any protected computer;https://www.law.cornell.edu/uscode/text/18/1030 [cornell.edu]国際標準では、「管理者の意図しないアクセスは全て違法」だから。そんなの当たり前じゃん?女性の合意のない性行為は全て違法ってのと何も変わらない。ごく自然な法体系。これが不自然だと思ってる奴は犯罪性向の高い反社会性人格障害。
それは英米法のみの論理。国際標準ではない。大多数の国の法律の論理である大陸法では、そういう陪審の心証任せのやり方ではなく、違法行為を事前に定義し、それに合致するもののみを取り締まる。つまり、今の日本のような不正アクセスの取り締まり方の方が国際標準。
国際標準というなら条約じゃないですかね。
第二条 違法なアクセス締約国は、コンピュータ・システムの全部又は一部に対するアクセスが、権限なしに故意に行われることを自国の国内法上の犯罪とするため、必要な立法その他の措置をとる。締約国は、このようなアクセスが防護措置を侵害することによって行われること、コンピュータ・データを取得する意図その他不正な意図をもって行われること又は他のコンピュータ・システムに接続されているコンピュータ・システムに関連して行われることをこの犯罪の要件とすることができる。 外務省: サイバー犯罪に関する条約 [mofa.go.jp]
「権限なしに」の詳しい意味は知らない。条約には注釈書があるらしいものの、見つけられなかった。
「権限なく」とは、日本において、思想・信条の自由や表現の自由、プライバシーの権利といった基本的な権利に考慮することが許される柔軟な用語となっています(注釈書EM103)。このことは、おそらくこの条約が萎縮的効果をもたらす芸術や科学についても同様です。注釈書(EM)は、また、「ネットワークの設計において本来なされる正当かつ通常の活動、又は、正当かつ通常の運用行為若しくは商慣行は、犯罪化されるべきではない。」(注釈書EM38)と述べています。米国自由人権協会ほか「サイバー犯罪条約と国内法整備に関する日本国政府及び国会宛の書簡 [nifty.com]」2003年7月22日
無権限アクセスの成否については、米国の USC の第 1030 条の解釈論によると、現実にアクセス制御がなされていなくても、社会的観点から見てアクセス権があると評価できるかどうかによって、アクセス制御の有無を識別できるというのが米国の通常の考え方である。日本におけるアクセス制御の有無についての識別基準は不正アクセス禁止法第3条第 2 項に規定されているが、米国と比べると厳格なものとなっている。経済産業省「サイバー刑事法研究会報告書「欧州評議会サイバー犯罪条約と我が国の対応について」 [meti.go.jp]」2002年4月18日、p.9
(強調筆者)
基準は社会的観点だと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
不正アクセスになるという根拠は、出ていない (スコア:4, 参考になる)
所定のURLにアクセスすれば映像が見られるものだとすると、不正アクセスになるという根拠を見出せない。
(1)
製品固有で、単一で、共有のURLは、「識別符号」ではない
・個々の利用権者を区別して識別できないものは、識別符号ではない
・識別符号になりうる種類の情報でも、デフォルトのものは、識別符号ではない
Re: (スコア:0)
>製品固有で、単一で、共有のURLは
そもそもこれが「ありえません」
製品でURLがすべて固定なら、世の中に一台しか製品だせないですよね。
買ったユーザーが設置するのにドメイン(またはIP)を必ず持っていて、そこに設置するので。
>別途アクセス制御機能があるとする事実は示されていない
ACCS事件の判例では「パスワード、ファイルパーミッションなどの制御機構は必ずしも必要ない」
とされました。URLのクエリ部分のみの変更なのですから。
つまり、「何もセキュリティ的な制御されてなくても非公開urlにアクセスするだけで不正アクセス」という判例です。
ばかな判例だと思いますが、判例が出ている以上、日本では違法です。
Re: (スコア:0)
アクセス制御機能は、「権限のないアクセスを遮断する機能」を必要としない。
字面から勝手な妄想するな。
アクセス制御機能の必要条件は、識別符号を確認してアクセス制限を緩める機能にすぎない。
識別符号が確認されない場合にアクセス制限を緩めないことを必要としない。
なんでアクセス制御機能の定義も読まずに語ってるわけ?
アクセス制御機能の定義には、権限のないアクセスを遮断することなんて書いてないぜ?
Re: (スコア:2)
第2条第3項を要約すると、
「利用を自動的に制御するために、識別符号であることを確認して、制限の全部又は一部を解除するもの」
がアクセス制御機能。
識別符号がであることを確認せずとも利用できる場合、即ちそもそも「制限」がない場合には、「制限の解除」ができないので、アクセス制御機能にはなれない。
Re: (スコア:0)
制限の意味はアクセス禁止じゃないぞ?
識別符号が確認できるケースのほうが、識別符号が確認出来ないケースよりもアクセス権限がわずかにでも緩くなるならば法律の定義からアクセス制御機能が成立する。
使えるプロトコルの種類が増減するのでも良いし、アクセスできるビットレートが増減するのでも良い。
法律の日本語よく読めよ?
法律の素人である官僚が書いた解説文じゃなくてさ。
警察庁アホだな。法律の原文とは意味変わってんのw
警察庁の文では「制限の全部又は一部を解除」ってあたりが全く表現されてない、理解できてないね。
不正アクセス禁止法の条文が想定してい
Re: (スコア:0)
「(正しい)識別符号が有ったときに~利用権拡大がなされる」とは「(正しい)識別符号がなかったときには~利用権拡大がなされない」という事ではないのか?
「ゲストアクセスとしてある程度のリソース利用を許可する」とは「ゲストアクセスではある程度以上のリソース利用を許可しない」という事ではないのか?
それとも、正しい識別符号がなくともある場合と同様に利用権拡大はするし、ゲストアクセスでもゲストアクセスでない場合と変わりない利用を許可する場合でも不正アクセス禁止法で保護されるという見解?
Re: (スコア:0)
>それとも、正しい識別符号がなくともある場合と同様に利用権拡大はするし、ゲストアクセスでもゲストアクセスでない場合と変わりない利用を許可する場合でも不正アクセス禁止法で保護されるという見解?
それやっちゃうとWeb上ではサーバー管理者の胸先三寸で誰でも不正アクセス犯って事になるな。
Re:不正アクセスになるという根拠は、出ていない (スコア:0)
>それとも、正しい識別符号がなくともある場合と同様に利用権拡大はするし、ゲストアクセスでもゲストアクセスでない場合と変わりない利用を許可する場合でも不正アクセス禁止法で保護されるという見解?
それやっちゃうとWeb上ではサーバー管理者の胸先三寸で誰でも不正アクセス犯って事になるな。
だよな。
日本は遅れてるから国際標準を早く取り入れないとな。
18 U.S.C. § 1030 a.k.a. CFAA
(a) Whoever—
(2)intentionally accesses a computer without authorization or exceeds authorized access, and thereby obtains—
(C)information from any protected computer;
https://www.law.cornell.edu/uscode/text/18/1030 [cornell.edu]
国際標準では、「管理者の意図しないアクセスは全て違法」だから。
そんなの当たり前じゃん?
女性の合意のない性行為は全て違法ってのと何も変わらない。ごく自然な法体系。
これが不自然だと思ってる奴は犯罪性向の高い反社会性人格障害。
Re: (スコア:0)
それは英米法のみの論理。国際標準ではない。
大多数の国の法律の論理である大陸法では、そういう陪審の心証任せのやり方ではなく、
違法行為を事前に定義し、それに合致するもののみを取り締まる。
つまり、今の日本のような不正アクセスの取り締まり方の方が国際標準。
Re:不正アクセスになるという根拠は、出ていない (スコア:2)
国際標準というなら条約じゃないですかね。
「権限なしに」の詳しい意味は知らない。
条約には注釈書があるらしいものの、見つけられなかった。
Re:不正アクセスになるという根拠は、出ていない (スコア:2)
(強調筆者)
基準は社会的観点だと。