パスワードを忘れた? アカウント作成
11966356 story
セキュリティ

認証不要で不特定多数がアクセスできるWebカメラを朝日新聞が調査 225

ストーリー by hylom
無作為にIPアドレスを調査、だからなぁ 部門より
あるAnonymous Coward 曰く、

朝日新聞が、「パスワードが設定されておらず外部から自由にその映像を確認できる」Webカメラの存在について報じている(該当の記事)。

このような問題は以前から知られていたが、今回朝日新聞は以下のような手法で調査を行ったという。

IPアドレスを無作為にたどる方法で調べ、約125万のアドレスを抽出。先月末時点で2163台のウェブカメラがネットに接続されていることを確認した。

そのうえで接続状況を慎重に検証した結果、35%にあたる769台がパスワードを設定することによって第三者からのアクセスをブロックする対策をとっておらず、映像を見たり音声を聞いたりできた。

不正アクセス禁止法的にこの調査は大丈夫なのか、調査に第三者機関などが関わっているのか、どんな映像が見れたかわざわざ記事に書く必要があるのか、などいろいろ突っ込みどころが多い気がする。

なお、別記事によると「今回の調査は公益性があり、意義深い」とのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • PC遠隔操作事件のメールボックス進入 via ITmedia [itmedia.co.jp]
    道義的とか可能かどうかはともかくとして(それもどうだ?)、法的にどうかを考えないんかな、この方々は。

    --
    M-FalconSky (暑いか寒い)
  • 朝日新聞は「外部から映像が見えることが確認されたウェブカメラ」として、

    【場所を特定】美容院、書店、飲食店(すし店、レストラン、ファストフード店など)、ラブホテルの管理室、動物病院、物流商社の倉庫、住宅展示場、花店、質屋、学生寮、パン工場

    挙げている。ラブホとか学生寮とか、公益性がある調査なのですね(´・ω・`)

    • by Anonymous Coward

      ラブホテルのIPアドレスを調べる方法を教えてください。

      #朝日を叩いて売り上げを減らした読売

  • 所定のURLにアクセスすれば映像が見られるものだとすると、不正アクセスになるという根拠を見出せない。

    (1)
    製品固有で、単一で、共有のURLは、「識別符号」ではない
    ・個々の利用権者を区別して識別できないものは、識別符号ではない
    ・識別符号になりうる種類の情報でも、デフォルトのものは、識別符号ではない

    2  この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(以下「利用権者」という。)及び当該アクセス管理者(以下この項において「利用権者等」という。)に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものをいう。
    (各号省略)
    不正アクセス行為の禁止等に関する法律 [e-gov.go.jp]第2条第2項

    利用権者等が一人しかいない場合、すなわちアクセス管理者以外に特定電子計算機の特定利用に係る許諾を得て特定利用をする利用権者をおよそ予定していない場合には、当該特定利用の際に自分が用いるID・パスワードをアクセス管理者が設定していたとしても当該ID・パスワードはアクセス管理者を他の利用権者と区別して識別することができるように付されているわけではないから、当該ID・パスワードは識別符号に該当しない
    不正アクセス対策法制研究会『逐条不正アクセス行為の禁止等に関する法律 補訂』立花書房、2001年、p.40
    "利用権者等が一人しかいない場合" - Google 検索 [google.com]からの二次引用)

    (イ)次のようなID・パスワードは、いずれも利用権者等に付されている符号ではないか、利用権者等を区別して識別することができるように付されていないため、識別符号には該当しない。
    (省略)
    ○ コンピュータの出荷時に初期設定としてパスワード・ファイルに登録されているID・パスワード
    警察庁「不正アクセス行為の禁止等に関する法律等の概要及び運用上の留意事項について [npa.go.jp]」警察庁の施策を示す通達(生活安全局)|警察庁 [npa.go.jp]、平成12年1月21日、p.3

    (2)
    識別符号による認証機能がないものは、「アクセス制御機能」ではない

    3  この法律において「アクセス制御機能」とは、特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている機能であって、当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号(識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。次項第一号及び第二号において同じ。)であることを確認して、当該特定利用の制限の全部又は一部を解除するものをいう。
    不正アクセス行為の禁止等に関する法律 [e-gov.go.jp]第2条第3項

    (3)
    アクセス制御機能による利用制限がない機器に対しては、「不正アクセス行為」は成立しない

    4  この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。
    一  アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
    二  アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
    三  電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
    不正アクセス行為の禁止等に関する法律 [e-gov.go.jp]第2条第4項

    (4)
    件の調査対象機器には、映像閲覧の際以外に、別途アクセス制御機能があるとする事実は示されていない

    (5)
    別途アクセス制御機能があるとしても、当該アクセス制御機能が映像閲覧を制限するものでなければ、「制限されている特定利用をし得る状態にさせる行為」に当たらない(前述第2条第4項)
    ・例えば、当該アクセス制御機能が、映像閲覧ではなく機器の設定を管理するものである場合

    (すべて強調・省略筆者)

    • もう1つ。
      法の対象となる「電子計算機」には、一定の独立性が必要とされていますが、カメラ機器をそうだと言えるのかどうか。

      本法においては、一定の独立性を有するものに限られ、各種機器に内蔵されているマイクロ・コンピュータは含まれない。
      警察庁「不正アクセス行為の禁止等に関する法律等の概要及び運用上の留意事項について [npa.go.jp]」警察庁の施策を示す通達(生活安全局)|警察庁 [npa.go.jp]、平成12年1月21日、pp.1-2

      親コメント
  • by maia (16220) on 2015年03月17日 21時12分 (#2779399) 日記

    別記事 [asahi.com]によると、

    原則として肖像権・プライバシー権を侵害します。(中略)映り込む人の同意が得られるとは思えない。

    朝日は監視カメラを全否定するつもりかw

    • by monyonyo (43060) on 2015年03月18日 6時08分 (#2779598)

      なぜそのような引用の仕方をされたのか理解に苦しみます。

      原文は以下のとおりです。
      >店舗に設置されたカメラは万引きやトラブル防止といった「正当な目的」が前提にあります。だが、そうではない場所に向けたカメラに対して、映り込む人の同意が得られるとは思えない。

      監視カメラの設置は原則として肖像権・プライバシー権を侵害するため、「正当な目的」か「映り込む人の同意」が必要ですが、万引きやトラブル防止といった目的で店舗に設置されたカメラの場合は「正当な目的」があるのだと説明されていますよね。「映り込む人の同意」の有無が問題となるのは、「正当な目的」のない監視カメラの場合の話です。

      親コメント
      • by maia (16220) on 2015年03月18日 12時09分 (#2779855) 日記

        似たような言明でも、微妙にニュアンスが異なる事があるものです。件の弁護士と、こちらの方の意見 [yomiuri.co.jp]。後者の方がバランスがとれていて、まだマシだと思う。

        > 「映り込む人の同意」の有無が問題となるのは、「正当な目的」のない監視カメラ

        公共空間を写している限り、監視カメラの設置目的は、セキュリティ絡み以外の何者でもないでしょう。犯罪捜査にも、時には無実の証明になるかもしれないし、何らかの事故の経緯を突き止める役にたつかもしれない。

        問題は設置目的というより、運用や目的外使用でしょう。例えて言えば、住民票を市役所の職員が覗き見るような事です。

        目的外使用はアウトです。それだけ。

        親コメント
  • >なお、別記事によると「今回の調査は公益性があり、意義深い」とのこと。

    はい、その通りですね。

    としか言い様がない。他に何か?

    ずさんな管理体制のカメラの存在についてはもっと認知されていくべきだとは思いますが、
    産経あたりが音頭を取っていつものつまらない朝日叩きネタで消化されていくとしたら、
    それは社会的にすごく不幸な気がする。

    • 同感。違法性が多少あったとしても、公益の方が大きいなら、マスコミは率先して法を犯すものですよ。
      それがマスコミというか、言論人のあり方だと思うのだけどな。
      起訴されたら、司法の場で戦い、世論と法制定時からの情勢変化を身方にして新たな司法判断を引き出す。
      そこまでやってこそのマスコミですね。

      ※今回の朝日新聞がそこまで覚悟と意図を持っているかは知らん。

      法律ってのは結局の所、公共の福祉(個々人の利害対立の妥協点探し)のための基準に過ぎないのよね。
      利害が偏ったら、修正するのが司法と立法の仕事で、それを焚きつけるのが言論の仕事です。

      それに、こういう話題になるとすっかり忘れられるけど、機器設置側の管理責任ってのもあるのだけどな。
      不正アクセス禁止法第八条 [e-gov.go.jp]によれば、

      常に当該アクセス制御機能の有効性を検証し... 速やかに...不正アクセス行為から防御するため必要な措置を講ずるよう努める

      となっている。
      勝手に検証することも違法ではあるけれど、放置してる側も違法なので、どっちも問題がある話だし、根源的には防御を疎かにしている設置側の責任が重いでしょう。
      まだ問題提起している方がよっぽどマシってもんだし、試しもせずに問題提起してもだれも聞いちゃくれんからね。

      親コメント
    • by Anonymous Coward

      "他に何か?"
      「不正アクセス禁止法的にこの調査は大丈夫なのか、調査に第三者機関などが関わっているのか、どんな映像が見れたかわざわざ記事に書く必要があるのか、などいろいろ突っ込みどころが多い気がする。」
       ということじゃないかな
      そもそもパスがかかっておらず、アクセス権限がないことにはならないから不正アクセス禁止法には引っかからないらしいぬ。 
      #意図して公開している可能性が無きにしもあらず…あらず

    • by Anonymous Coward

      「ポートスキャン」は違法行為になるのでしょうか?
      ポートが開いているか、どういう応答があるか調べるだけです。

      > IPアドレスを無作為にたどる方法で調べ、約125万のアドレスを抽出。先月末時点で2163台のウェブカメラがネットに接続されていることを確認した。
      という部分は、それを無作為に抽出したIPアドレスに対して実施したということなのだと受け取っています。

      > そのうえで接続状況を慎重に検証した結果、35%にあたる769台がパスワードを設定することによって第三者からのアクセスをブロックする対策をとっておらず、映像を見たり音声を聞いたりできた。
      こちらが問題で、法に反しないとしても、モラルには反する疑いがあり、
      「調査に第三者機関などが関わっているのか、どんな映像が見れたかわざわざ記事に書く必要があるのか」
      という問題提起がなされたのかと思います。

      • 不正アクセス禁止法制定のときに、法案が通ったらポートスキャンが違法になるじゃん、という問題提起があったのに、それにつき何の解決もせず法案が通ったのだから、当然に違法行為です
        見せしめ逮捕くらいにしか使われていませんが

        「ポートスキャン」は違法行為になるのでしょうか?
        ポートが開いているか、どういう応答があるか調べるだけです。

        親コメント
    • by Anonymous Coward

      法的にアウトだったとしても次からは「取材したサイバー犯罪経験のある人物によれば・・・」という形にしちゃえばOKだろうし
      朝日は過去の行いから叩かれやすいのもあって、そこだけに反応してる人が多い気がするが
      注目すべきはこの調査結果の方だよね/.的にも

      • by Anonymous Coward

        /.J的には朝日新聞が何かやった、ということが重要なのです

    • by Anonymous Coward

      無断侵入の武勇伝が意義深いなら、YoutubeやTwitterの犯罪自慢もずいぶん貴重な調査報告なんですね。

  • by Anonymous Coward on 2015年03月18日 17時16分 (#2780169)

    5年も前に読売新聞で既報なんだが。

    「見守り」ウェブカメラ、設定ミスで「丸見え」 : 社会 : YOMIURI ONLINE(読売新聞)
    http://b.hatena.ne.jp/entry/www.yomiuri.co.jp/national/news/20100927-O... [hatena.ne.jp]
    ウェブカメラ映像、丸見え…幼稚園内、部外者にも : ニュース : ネット&デジタル : YOMIURI ONLINE(読売新聞)
    http://b.hatena.ne.jp/entry/www.yomiuri.co.jp/net/news/20100927-OYT8T0... [hatena.ne.jp]

  • ネットワークカメラを「全世界に公開していない」という主張はアクセス制限を設けることでしか技術的にも法律的にも達成されない。

  • URLが識別符号である、というのは、感覚的にどうも納得がいかない。
    ので考えてみた。

    結論から言えば、「一般には」、以下の論理で、URLは「識別符号」ではないと言える。

    1.URLとは「世界のどこからでも」アクセスできるインターネット上のサービスを表す文字列を指す。ここでは「世界のどこからでも」が重要である。
    2.URLはあくまで文字列であり、URLの要素は以下の通り。
    「http://HOST/PATH」==(URL文字列)
    3.URL文字列が「」内を指すことは公知(の事実)である(RFCに書いてある)
    4.「HOST」は常に「世界のどこからでも」アクセスできる以上、必ず公知である。
    論理上世界中の人に紙を配っているのと同じ。
    5.「PATH」の部分だが、元記事を見ると「アクセスができる」とある。ということは
    「常識的な文字列」であると想定できる。マニュアルに載っていたり、それこそgoogle
    で検索すると出てくる文字列である。その場合は公知。
    6.URL文字列すべてが公知である以上、「第三者に知らせてはならない」という
    「識別符号」の要件自体を満たさない。

    よって管理者がどう考えようが、URLは「識別符号」ではない(一般に)と思う。(自信なし)

    例外は「PATH」部分がやたら長くて難しい場合のみ。「%20%45%99%EE309r0wr9rks9pfwp3pslr9rksmffskfsemflmseofwkrow3ksmksl93j%30okfs30rpkjlskejlrf3」とか。

    なぜ例外かといえば、元記事は「アクセスできた」ということであり、「PATH」が
    難しかったらそもそもアクセスできないだろうと考えたため。

    なお、上記論理の場合「限定公開」かどうかは外部の人が知りようがない(というかすべて公知なので)ため定義としては使用しませんでした。

  • by Anonymous Coward on 2015年03月17日 20時33分 (#2779369)

    IPアドレスを無作為に辿ったのなら、robot.txtの無視以外では不正アクセス禁止法には引っ掛からないと思う。パスワードを入れたら黒だけど、パスワードなしならそれもないだろう。ただ、ACCSの事件でもパスワードのクラックまではやってないので、裁判所によっては再び有罪になる可能性はあるかもしれない。

    • by Anonymous Coward

      wikipediaで恐縮ですが、不正アクセス行為とは
       
              電気通信回線(インターネット・LAN等)を通じて、アクセス制御機能を持つ電子計算機にアクセスし、他人の識別符号(パスワード・生体認証など)を入力し、アクセス制御機能(認証機能)を作動させて、本来制限されている機能を利用可能な状態にする行為 (1号)
              電気通信回線を通じて、アクセス制御機能を持つ電子計算機にアクセスし、識別符号以外の情報や指令を入力し、アクセス制御機能を作動させて、本来制限されている機能を利用可能な

      • by Anonymous Coward on 2015年03月17日 20時46分 (#2779387)

        だがちょっと待ってほしい。
        URLやクエリ文字列が識別符号の役割をしているのかもしれない。SSH認証経由でのアクセスしか本来行えないはずの機械かもしれない。

        親コメント
      • by Anonymous Coward

        ・アクセス制御機能が無効化されており、同機能を経由していない
        ・もとより制限されていない機能を利用した

        ∴不正アクセスとはいえない

      • by Anonymous Coward

        岡崎市立中央図書館の不正アクセス事件。

        • by Anonymous Coward on 2015年03月17日 21時35分 (#2779411)

          岡崎の件は不正アクセス禁止法ではなく、刑法(偽計業務妨害罪)。
          検索をかけただけでパスワードクラックをした訳でもないので、不正アクセス禁止法を適用するには要件不足。

          親コメント
    • by Anonymous Coward

      ACCSってことで言えば、
      「無作為なアドレス即値を約125万も総当たりして2163台を特定し
       そのうち769台のパスワードが未設定であることを絞り込む」
      というプロセスが新たな『迂回行為』の判例にならなくもないかも。

  • by Anonymous Coward on 2015年03月17日 21時32分 (#2779410)

    Webカメラを問題にする人はいなかったのにな。

    てか、お天気カメラは良いのですか?

  • by Anonymous Coward on 2015年03月17日 21時37分 (#2779413)

    キャンプシュワブあたりにWebカメラ置かれちゃ困るってことかいの

  • by Anonymous Coward on 2015年03月17日 22時14分 (#2779440)

    ちょwグーグルで「inurl:ViewerFrame?Mode= 」って検索してみwww

    1 名前:以下、名無しにかわりましてVIPがお送りします。[sage] 投稿日:2007/07/15(日) 19:55:33.10 ID:0grWkOIp0
    日本中の監視カメラをブラウザ上で操作できるぞw
    なんか誰かの家のベランダとかあるぞw

    642 名前:以下、名無しにかわりましてVIPがお送りします。[sage] 投稿日:2007/07/15(日) 23:10:34.36 ID:D7k4sg1M0
    まさに自宅警備員wwwwwwwwww

    http://news23vip.blog109.fc2.com/blog-entry-115.html [fc2.com]

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...