かの有名なoffice氏の求刑が出た模様。(ITmedia)(読売)(日経)
コンピュータソフトウェア著作権協会(ACCS)の個人情報流出事件で、不正アクセス禁止法違反で起訴された元京都大学研究員の公判が1月24日、東京地裁(青柳勤裁判長)で開かれ、検察側は論告で「研究員の不正アクセス行為は明らか。知識や技術をひけらかすために秘匿性の高い情報を公開した行為は悪質で、社会的影響も極めて大きい」と述べ、懲役8カ月を求刑した。
ITmediaの記事は、次のように続きます。
公判の争点は、元研究員がHTTP経由でサーバ内の個人情報ファイルにアクセスした手法が、不正アクセスにあたるかどうか。検察側は「問題のファイルは、FTP経由でアクセスするのが通常。FTP経由のアクセス時にはIDとパスワードによる認証を要求していた。HTTP経由でアクセスした元研究員の行為は、FTPによるアクセス制御機能を避けた不正アクセスにあたる」と主張。弁護側は、HTTPとFTPは別々に考えるべきで、HTTPにはアクセス制御がなかったため、正当なアクセスだったと主張している。
「FTPでアクセスすることしか想定されていない」というのは詭弁ですね。怖いです。個人情報を公開してしまったことについては責任を問われるべきですが、もし、これで不正アクセスの罪に問われるとなると、適当なスクリプトで情報収集しても責任は法律で問われるからという甘い設計になってしまわないか不安です。
別にハッキングしろということではありませんが、ハッキングされしまうようなスクリプトで個人情報を収集する行為そのものも間違っているし、海外から侵入された場合はどう裁くのかなという疑問もあると思います。京都府警の報道に対する情報も正確ではない気がしています。当初は、威力業務妨害も入っていたようですが、結局、それでは起訴に持ち込めず、不正アクセス禁止法のみでの提訴のようです。
そういえば、この事件、確か記憶によれば、ファーストサーバのレンタルサーバのスクリプトをそのまま用いていたとかいうのが原因だったようで、その会社自身は、元々はクボタの関連会社でしたが、ヤフーに買収されたようです。(クボタのリリース、ヤフーのリリース)そのあと、クレジット決済サービスなんてはじめたけど信用できるのかな?今回のいきさつの文書は、もうファーストサーバさんのサイトからは消えてるみたいです。どうしてこう都合の悪いリリースは消すかな(笑)
あちこち調査してみたけど、パーミッションだけによるものとか、XSS脆弱性のものとか、正確なものは分からなかった。ただ、一つ言えるのは、入力するフォームとかのパラメーターチェックはいるなぁ..というのは思う訳で。
コメント