[connect24h:7138] Re: ＣＧＩの欠陥突き情報引き出した京大研究員逮捕警視庁

[Kensuke Nezu <nez@xxxxxxxxxxx>]

根津です。

Yuichi OHMiZU wrote:
> >
> >> Ikedaさんの挙げた「侵入」の定義は到底容認できません。自分を含めた
> >> 多くの人が一般的に行っていることが犯罪になりかねないのは勘弁して
> >> ほしいです。おちおちwebの利用も出来なくなってしまいます。
> >
> >普通にリンクたどってる限りは犯罪にならないですよね？
> >これだけでWebの利用は可能ですし、例に挙げられていたような
> >入力間違いで問題になった場合は「過失」となるわけで。
> >
> >勘違いしないで欲しいのは、すぐに「侵入」→「犯罪」→「逮捕」と
> >なるわけではないです。
> >程度によって「これからは注意してね」という程度の犯罪もあります。

それを「どこ」の「だれ」が決める、または権限があるのでしょうねぇ？
その辺が問題のような気がします。

もう一つ、不正アクセス防止法についての逮捕のお話なので、皆さん議論が
狭くなっていますが、国内法で裁きようのない海外からのものについては
どうすればよいのでしょうか？

＃この視点も考えなければならないことだと思います。

> 犯罪の要件については、成文化された法律が根拠になるわけで、不正アクセス
> については不正アクセス禁止法で定義がされています。
> 今回の容疑が、法律の解釈として正当かどうか深い議論があるのは周知のとおり。

さらに上記の分を持ち込むと、世界的にはサイバー犯罪防止条約くらいしか見あたりませんが、
これにも疵があることは、各所で色々と言われていますよね。

＃でも、本国会でそのまま関連法改正が通ってしまうかもしれませんが・・・。

> では、法律に書いてないことが全てやっていいことかというと、当然そうでは
> ないですよねえ。法律は最大公約数的な内容しかありませんので、倫理とか
> モラルとかマナーといった不文法的もので規制されるものもあると思います。
> いけださんはそうした部分を議論の土俵にあげたいと思っているのではという
> 気がしましたが、いかがでしょうか。

インターネットは長い間、管理者同士の信頼の基において、モラルやマナーが
不文律的にあったものと思います。同様にして、セキュリティホールなどの指摘の
仕方についても、様々な議論がなされながら一定の基準みたいなものがようやく
近年もやもやとしたものながらできてきたところだったのではないかと思っています。

そういう意味では、Officeさんの行為は、この育ちかけていた協定みたいなものを
反古にする行為で、それ相応の社会的制裁が必要だったと思います。

＃しかし、マスコミの取り上げ方には「他人の個人情報をもらした奴の個人情報
＃は一切保護する必要なし」とでも勘違いしている報道が散見される点は許し難い
＃気がしています。今回の報道では、主要新聞社や、主要TVネットワークキー局が
＃歪曲した事実と、被疑者の人権を無視した報道をしていたと感じています。
＃（Officeさんの「やりすぎ」以上に、報道の「やりすぎ」を感じました。）

> >数年前はそうではなかったかもしれませんが、
> >Officeさんのような行為は「多くの人が一般的に行っている」わけでは
> >なく、一部のインターネットに詳しい人が行っている行為です。

数年前でもかなり一部の人ではないかと・・・。

> >Web利用をしている多くの割合の人は「リンクしかたどらない」
> >人ばかりでURLなんか気にしていない素人ばかりです。
> >
> >犯罪とまでいえないまでも「これはやってはいけないこと」と
> >素人にもわかるように伝わるものにしないといけないと思います。
> >専門家は少々複雑でもどこまでが問題かどうかわかりますが
> >素人が知らぬうちにグレーソーンに踏み込んでしまいがちです。

真っ黒なところにだって素人は平気で踏み込みますね。
WinMXもそうです。「著作権・・・それなに？」という人は未だに多い。

> >もう10年以上インターネットと接していますが、
> >URLを推測して入力する行為については「正当」だと思ったことは
> >ありませんし正当化するつもりもありません。

URLを推測して・・・というのは私の個人的な感覚では「不正」な
行為だと思ったことはありません。リンクを辿ったときにリンク切れ
しているときに、そのサイトのトップが分からなかったりすると、
URLを推測しながら（短くしながら）アクセスするってあると思いますし、
私はそれが「不正」だと言われても困ります。

＃そういえば、不正の議論を見ていて思ったのですが、サイト側が
＃非公開にしたものが「（以前公開していたが）公開するつもりがないもの」
＃だった場合、Googleとかのキャッシュで見えてしまうのは違法なのでしょうか？
＃その場合、見てしまった人間が不正アクセスになるのでしょうか？
＃（キャッシュでも？）

> インターネットコミュニティは歴史が浅いので、他の分野と異なり、倫理、
> モラル、マナーといった規範の概念が、人によってさまざまです。
> ですから、どういうことが「やってはいけないこと」とできるかについては
> 今後も議論が続くと思います。
> 
> 私の考えについていうと、リンク以外のURLを入力してアクセスしようとする
> ことが、「やってはいけないこと」になるのは、うーん、どうかと思って
> しまいます。私のように合意できない人のほうが多いのではないでしょうか。
> 仮に合意とするならかなりの時間と紛糾が想像されますね。

私も上記のような「容易に起きうる情況」が想定できるので、合意できません。

> ところで規範を作るのなら、数が多く雑多な素人の側にルールの遵守を求める
> よりは、まずはサイトの管理者の側に規範を作ったほうが浸透しやすく、
> 社会的なコストを考えても合理的かな、と思っています。

これは、「見る側」が特定できない以上、「ルールの遵守」を求めようがない
海外からのアクセスをも想定すると、とても合理的に思えます。

> >みんながみんな必要としているとは思いませんので、
> >必要であれば「ネットセキュリティの専門家」として登録できる
> >ようにして、その人々は「カギの110番」のような位置付け
> >になればその技術を存分に発揮できるのではと思います。
> >そうすれば当局の管理の元に胸を張って思う存分にセキュリティ
> >技術の向上に邁進するのではないでしょうか？
> >素人が面白半分にグレーゾーンに踏み込まないようにするような
> >ルール作りを専門家の方々に求めたいと思います。

これは全世界の人に、日本の法律として「強制」できるとお考えなのでしょうか？
やはり、どうも、インターネットを日本の国内法の枠内に収めて考えてしまって
いるような気がしてなりません。
みなさんが貰っている「グローバルIPアドレス」は「グローバル」なんです。
日本国内に限定した視点でのみ考えていてはいけないと思います。

> >専門家の方々にはなかなか受け入れられないでしょうが、
> >あくまで線引きは素人の利用者にもわかるようにということが
> >私の意見です。
> >
> 
> いや、受け入れられないことはないと思いますよ。
> “素人”というのは、面白半分にグレーゾーンに踏み込んでくる可能性が
> あるというのは、だいたい合意できるのではないでしょうか。
> ですから、素人相手に明示的なルールを作って遵守を求めることは一つ必要
> かもしれませんね。はい。

素人にもできるだけ分かりやすくという点には賛成します。けれど、素人である
ことをexcuseの材料にすることも許せない場合もあります。その辺のバランスが
できている必要もあると思います。

> ただ、面白半分の輩はルールがあってもなくても踏み込んでくるというのは
> 容易に想像がつきます。ということでは、やはり管理者の側にはそのルールを
> 破られても対策できるセキュリティ技術を実践してもらうことを求めるのが
> よいと思います。

アクセスする側が「日本国内に限定できない」以上、管理者側に実践してもらう
ことを求めることが必須と思います。
強制するとか、そういうことは逆にあってはならないことだとも個人的には
思いますが、少なくとも努力義務は必要不可欠だと思います。

> で、さらにいうと、その実践のレベルが十分かは、当事者だけでは自己満足に
> なってしまうので、第三者の監査を受けることを規範にしていくのがのぞま
> しい方向では？
> （その監査を行うのはたとえば「当局」でなくて、民間の組織で済むのでは
> と思いますけど）。

適正な監査の目として、一般の人（公衆の目）の監視も必要だと思います。
（そうでないのなら、実社会でも役所などの情報公開制度も不要ということに
なりますし、自然破壊などを監視する市民団体やNPOも存在自体許されないことに
なります。）
 
> 管理者の側の責務については、不正アクセス禁止法にも条文があります。
> この範囲のことは、成文化されたルールとして求められているのだと思います。
> といっても、“言うは易し、行うは難し”なんですけどね。
> 
> > 第五条
> > 　アクセス制御機能を特定電子計算機に付加したアクセス管理者は、当該
> > アクセス制御機能に係る識別符号又はこれを当該アクセス制御機能により
> > 確認するために用いる符号の適正な管理に努めるとともに、常に当該アク
> > セス制御機能の有効性を検証し、必要があると認めるときは速やかにその
> > 機能の高度化その他当該特定電子計算機を不正アクセス行為から防御する
> > ため必要な措置を講ずるよう努めるものとする。

でも、この五条には罰則規定も何もありませんよね。
そういう条文は実効性に欠けてしまう点も問題といえば問題かもしれません。

-- 
------
根津 研介 日本Sambaユーザ会 / セキュリティ・スタジアム実行委員会 / (株)ファム
日本Sambaユーザ会      : http://www.samba.gr.jp
セキュリティスタジアム : http://www.security-stadium.org
 ※「Sambaファイルサービス管理リファレンス」でました！
    http://www.famm.jp/wireless/modules/weblog/details.php?blog_id=50
 ※「802.11セキュリティ」http://www.oreilly.co.jp/BOOK/80211security/
    802.11セキュリティサポートサイト： http://www.famm.jp/wireless

--[PR]------------------------------------------------------------------
■　　　　　☆　　　　　　　　　　　☆　　　　　★　　　　　☆　　　■■■■
■■　　☆　　★　★『 世界で１つだけのキャンペーン 』★　　　　☆　　■■■
■■■　　　☆　　★　━ こんな景品みたことない!! ━  　　　★　　★　　■■
■■■■　　　　★　　☆　　　　　　　　　　　　　　　　　　☆　　　★　　■
応募はこちら⇒ http://ad.freeml.com/cgi-bin/ad.cgi?id=c44t8
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp