水無月ばけらのえび日記

アサブロ

アサブロ (www.asablo.jp)というものがスタートするようですね。温泉マークは、「朝風呂」とかけているのでしょう。

いろいろな意味で興味深いです。

• 「アサブロ」にコメントを書く

関連する話題: ASAHIネット

不正アクセスで情報漏洩?

「旅行会社の顧客情報９万人分流出か　不正アクセスで (www.asahi.com)」という記事が出ていますね。

DBサーバの過負荷で発覚? 情報が少ないので何とも言えませんが、あるいは SQLインジェクションなのでしょうか。クラブツーリズム (www.club-t.com)のサイトには「ホームページ停止のお知らせ」という文書が出ていますが、「悪意の第三者による不正侵入」としか書かれていないですね。

※なんで「悪意」と分かるのか謎ですが。

• 「不正アクセスで情報漏洩?」にコメントを書く

関連する話題: セキュリティ / SQLインジェクション

アクセス権があるユーザでも不正アクセスになるか?

更新: 2005年3月20日

あるところに「会員限定」の掲示板がありました。それは会員だけが読めることになっていて、ID とパスワードを入力してログインすれば内容を読むことができます。私も会員ですので、ID とパスワードを入れて内容を読むことができました。

ところがある日、不意に嫌な予感がしたわけです。それは、「URL の一部を変えるだけで、内容がノーパスワードで読めてしまうのではないか?」という、非常に不吉な予感なのでした。

予感が当たっているのかどうかを確かめるのはとても簡単なのですが、一つ問題があります。予感が当たっていて、ノーパスワードでその掲示板の内容を読めてしまったら、それは不正アクセス禁止法に抵触するかもしれないのです。

そもそも私は正規のユーザですから、その私がノーパスワードで内容を読んだとしても、誰にも迷惑はかからないでしょう。しかし、これが「不正アクセス行為の禁止等に関する法律」の 3条 2項 3号で規定されている「不正アクセス行為」に該当する可能性は否定できません。

問題の掲示板にはログインフォームがあり、ID やパスワードの入力によって会員限定掲示板の内容が読めるようになっていますから、明らかにアクセス制御機能を備えていると言えるでしょう。「たまたま FTP のポートが開いていたから不正アクセス」とかいう訳の分からない話ではありません。

※もっとも、「URL の一部を変えるだけで簡単にアクセスできる状態では、アクセス制御機能を有しているとは言いがたい」という主張はできるかもしれません。アクセス制御機能を欠いている状態であれば不正アクセスにはならないわけです。しかし、そのような主張が通るのかどうか、そこがちょっと自信ないわけです。

というわけでちょっと困ったのですが、不正アクセスにならないことが確実な方法を思いつきましたので、それを実行に移すことにしました。同法の 3条 2項 2号にはこうあります。

要は、管理者の許可を得て試せば OK というただそれだけの話です。今回は幸いにしてアクセス管理者が理解ある方だったので、特に問題なく許可をいただくことができました (ありがとうございました)。

ただ、いつもこうして許可がいただけるとは限らないわけでして、そこがなんとも難儀なところです。アクセス権があるユーザがアクセス制御機能を回避しても実害は全くないのですが、不正アクセス禁止法はそういう「実害」を避けるための法律ではない、というところがミソなのでしょうね。こういう、一般人の意識と乖離(かいり)したところが実に厄介です。

※2005-03-20追記: 届け出ようと思って様式を書いている時に問題の (許可を得てテストした) URL を確認したところ、アクセスできなくなっていました。というわけで修正されたようです。

• 「アクセス権があるユーザでも不正アクセスになるか?」にコメントを書く

関連する話題: セキュリティ