[connect24h:7130] Re: ＣＧＩの欠陥突き情報引き=P$7$?5~Bg8&5f0wBaJa!!7Y;kD#

[satos1 <satos1@xxxxxxxxxxxxxxxxxxx>]

http://www.okumura-tanaka-law.com/www/okumura/access/030908access.htm
現在の運用についてまとめてあるページがありました。
作者の方に深く感謝します。

そもそも三条二項二号にいう「アクセス制御機能による特定利用の制限を免れることが
できる情報又は指令」によって「（アクセス制御機能に）制限されている特定利用を
し得る状態にさせる」というのは不明確に感じるわけです。
何が制限された特定利用で何が制限されていない特定利用か。

しかし上記ページで引用されている「逐条不正アクセス行為の禁止等に関する法律」
によれば、どうやら脆弱性（セキュリティーホール）を突く、ということのようです。
集計結果部分の三条二項二号に該当する事件も二件あり、うち一件はバッファオーバー
フロー攻撃による管理権限取得とのことです。
他にもそういう説明をしている所はあったので現状三条二項二号については
そういう認識のようです。ここまで書いてから気づいたのですが
http://www.npa.go.jp/hightech/fusei_ac1/gaiyou.htm
にもわかりやす説明でありますね…

仮にそういうことであるとすれば、専門雑誌や研究セミナーでの発表(資料の
ファイル名)等の行為を考えると三条二項二号に当てはまる行為だった、との印象が
強いです。この方法が誰でもできる簡単なものだった、とか、公知の情報を取得
しただけ、という言い分は通らない気もします。ただ、報告したCGIの製作者が
セキュリティ上の問題として使用者に通知しなかったのであればそれは被疑者に
有利なことでもあるでしょう。
CGIの本来の機能や実際の方法も問題になるんでしょう。

あと、保護法益については一条に
１、電子計算機に係る犯罪の防止
２、アクセス制御機能により実現される電気通信に関する秩序の維持
３、１と２によって高度情報通信社会の健全な発展に寄与する
と目的があります。しかし判例では「業務の円滑な遂行や関係者の
権利・利益に対する侵害の危険」
という判断のようです。これにより、「情報通信社会の安全性の発展の為に
業界慣行としての脆弱性指摘の為の検査行為を行ったのであって違法性がない」
との主張も通らないでしょう。（つーか、一条からこの主張はどうも厳しい。
元々手段・方法が社会的に是認されてるとは思えないし、
この事件では安全であるべき情報を暴露したんだから言えるわけもない）

そういえば事例17ってどっかで似たような話があったな〜

--[PR]------------------------------------------------------------------
　　　　　　　　　▼▼▼世界の横尾忠則がてがけた!!▼▼▼
　
　　→→→→→【スパイダーマン】の複製シルクスクリーンプレゼント←←←←←
　
　　　　　　　 http://ad.freeml.com/cgi-bin/ad.cgi?id=c4vY5
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp