水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > アクセス権があるユーザでも不正アクセスになるか?

アクセス権があるユーザでも不正アクセスになるか?

2005年3月19日(土曜日)

アクセス権があるユーザでも不正アクセスになるか?

更新: 2005年3月20日

あるところに「会員限定」の掲示板がありました。それは会員だけが読めることになっていて、ID とパスワードを入力してログインすれば内容を読むことができます。私も会員ですので、ID とパスワードを入れて内容を読むことができました。

ところがある日、不意に嫌な予感がしたわけです。それは、「URL の一部を変えるだけで、内容がノーパスワードで読めてしまうのではないか?」という、非常に不吉な予感なのでした。

予感が当たっているのかどうかを確かめるのはとても簡単なのですが、一つ問題があります。予感が当たっていて、ノーパスワードでその掲示板の内容を読めてしまったら、それは不正アクセス禁止法に抵触するかもしれないのです。

そもそも私は正規のユーザですから、その私がノーパスワードで内容を読んだとしても、誰にも迷惑はかからないでしょう。しかし、これが「不正アクセス行為の禁止等に関する法律」の 3条 2項 3号で規定されている「不正アクセス行為」に該当する可能性は否定できません。

電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為

以上、不正アクセス行為の禁止等に関する法律 より

問題の掲示板にはログインフォームがあり、ID やパスワードの入力によって会員限定掲示板の内容が読めるようになっていますから、明らかにアクセス制御機能を備えていると言えるでしょう。「たまたま FTP のポートが開いていたから不正アクセス」とかいう訳の分からない話ではありません。

※もっとも、「URL の一部を変えるだけで簡単にアクセスできる状態では、アクセス制御機能を有しているとは言いがたい」という主張はできるかもしれません。アクセス制御機能を欠いている状態であれば不正アクセスにはならないわけです。しかし、そのような主張が通るのかどうか、そこがちょっと自信ないわけです。

というわけでちょっと困ったのですが、不正アクセスにならないことが確実な方法を思いつきましたので、それを実行に移すことにしました。同法の 3条 2項 2号にはこうあります。

アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。

以上、不正アクセス行為の禁止等に関する法律 より

※強調は引用者による

要は、管理者の許可を得て試せば OK というただそれだけの話です。今回は幸いにしてアクセス管理者が理解ある方だったので、特に問題なく許可をいただくことができました (ありがとうございました)。

ただ、いつもこうして許可がいただけるとは限らないわけでして、そこがなんとも難儀なところです。アクセス権があるユーザがアクセス制御機能を回避しても実害は全くないのですが、不正アクセス禁止法はそういう「実害」を避けるための法律ではない、というところがミソなのでしょうね。こういう、一般人の意識と乖離(かいり)したところが実に厄介です。

※2005-03-20追記: 届け出ようと思って様式を書いている時に問題の (許可を得てテストした) URL を確認したところ、アクセスできなくなっていました。というわけで修正されたようです。

関連する話題: セキュリティ

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト