判決
2005年3月25日(金曜日)
判決
- ACCSの個人情報漏洩事件で、元京大研究員に有罪判決~東京地裁 (internet.watch.impress.co.jp)」
- 元研究員に有罪判決 ACCS不正アクセス事件 (www.itmedia.co.jp)」
ちせさんの傍聴記録が出ていますが、非常に興味深い内容です。
- 不正アクセス行為の禁止等に関する法律違反の判決公判を傍聴した記録 (sp.homelinux.com)
・ウェブサーバの設定ではCGIは処理を実行するようになっており、FTP以外で読み込みが可能なものではなかった。つまりプログラムの瑕疵や設定の不備がなければFTPでしか見られないものであった。
このあたりを見ただけでも他の報道と全く精度が違います。これは csvmail.log の閲覧ではなく csvmail.cgi の閲覧が問題にされているのだと分かります。
以下はちせさんの主観的な感想なのですが、興味深いので引用しておきます。
おそらく、これは判決を聞いていての私の主観に過ぎないけれど、「仮に脆弱性を利用した不正アクセスを行ったとしても、誰にも公開せず管理者にすみやかに伝えて脆弱性の修正を促し、それによって問題が解決したならば罪には問われない」ということのように聞こえました。公判後にお話させていただいた方も「正当な問題指摘の範囲内であったなら、緊急避難の場合と同じで、違法性は阻却されるのではないか」とおっしゃっていましたが、それと同じような感じです。もっともこう書いたところで単なる印象に過ぎませんので、罪にはならないと信じて試していただいたりしたら困るのですが、そういう印象は強かったです。
※はっきり言ってしまいますが、「ソフトウエア等脆弱性関連情報取扱基準」(平成16年経済産業省告示第235号) の届出制度を利用した脆弱性の届出を行うということが、まさにこの「罪にはならないと信じて」試すこと、そのものです。「信じた」人は日本にすくなくとも 30人います。しかし 30人しかいません (30人というのは 2004年12月現在の数字なので、今ではもう少し多くなっているでしょう)。
- 「判決」にコメントを書く
関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件
