2006年11月21日(火曜日)
言うまでもなく不正アクセス?
「野村直之 Web 2.0 for Enterprise : ついに "マッシュアップ・ウイルス”が登場 (itpro.nikkeibp.co.jp)」。興味深い内容ですが、私が気になったのはこのくだり。
いずれにせよ「手引き」をした時点,つまりWindowsファイアウオールや「セキュリティセンター」の機能を無効にする時点で,不正アクセス行為の禁止等に関する法律 ,いわゆる不正アクセス禁止法に抵触する犯罪行為であることは言うまでもありません。
「言うまでもありません」と言われている内容が理解できないのは、私だけでしょうか……。
- このケースで何が「特定利用」に該当するのか。
※ちなみに「特定利用」とは不正アクセス禁止法の用語で、「電気通信回線に接続している電子計算機の利用(当該電気通信回線を通じて行うものに限る)」と定義されている。
- 「特定利用」に該当する何かがあったとして、何号不正アクセスになるのか (どう考えても1号ではないのですが、2号か3号に該当するのかどうか)。
- 行為を問われるのはマルウェアの作成者なのか配布者なのか。
「不正アクセス禁止法」の定義する「不正アクセス」の概念は、世間の人がその言葉から想像する概念と重なる部分もありますが、ずれている部分の方が大きいと思います。そのずれを意識しないでいると、「なにやら悪いことをしたんだから、当然、不正アクセスとして処罰できる」というような論調で議論してしまいがちです。ある行為が「不正アクセス」に該当するかどうかについて「当然」「言うまでもなく」と断じてしまうのは、ちょっと怖いと思ったりしています。
- 「言うまでもなく不正アクセス?」へのコメント (3件)
脆弱性の視野
セキュリティホールmemo (www.st.ryukoku.ac.jp)より。
ACCS 事件の場合、「サイトの脆弱性」というレベルでは「CGI 開発元が脆弱性の存在を把握していたにもかかわらず顧客に告知していなかった」のが真の原因でしょうし……。
コメントありがとうございます。技術的な話だけではなく、運用や背後の事情まで考慮する必要がありますね。カカクコム事件の時も脆弱性発覚後の対応に問題がありましたが、それは技術者レベルではなく運営者レベル、経営レベルの判断の問題だったわけで、そういうところも非常に重要だと思います。
※ACCS 事件については、さらに別のレイヤーで「プレゼン資料にモザイクがかかっていなかったのが真の原因」という話もあったような……。
- 前(古い): 2006年11月18日(Saturday)のえび日記
- 次(新しい): 2006年11月22日(Wednesday)のえび日記
