ACCSのお話よ。
http://internet.watch.impress.co.jp/cda/news/2005/03/25/6983.html
http://sp.homelinux.com/seer/lib/05u/jl.html
http://altba.com/bakera/hatomaru.aspx/ebi/topic/2213
http://www.itmedia.co.jp/news/articles/0503/25/news022.html
http://www.asahi.com/national/update/0325/TKY200503250132.html
http://d.hatena.ne.jp/sonodam/20050325#p1
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2005/03.html#20050325__ACCS
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2005/03.html#20050327__ACCS
http://takagi-hiromitsu.jp/diary/20050324.html#p01
http://snowangel.jp/security/index.cgi?d=2005.03.26&r=1#03.26
http://snowangel.jp/security/index.cgi?d=2005.03.25&r=1#03.25

まぁ、なんていうかあちこちに書かれまくってるんですけれども。
あたし的には…ずいぶんと素敵な判決結果だったわねぇってのが感想だわ。
具体的に少し覗いてみるわね。


まず、全体を通して書かれている、ある意味最大級のポイントの一つはここだと、あたしは思うの。

http://internet.watch.impress.co.jp/cda/news/2005/03/25/6983.html より
青柳勤裁判長は、「被告の行為はWebブラウザのアドレス欄にURLを入力しただけでは閲覧できないファイルに対して、プログラムの脆弱性を利用してアクセスしたものであり、通常のアクセスであるとは言えない。管理者がIDとパスワードが必要なFTPによるアクセスを想定していたファイルに対して、これを回避する形でアクセスを行なっており、不正アクセス行為にあたることは明らかである」として、ほぼ全面的に検察側の主張を認め、有罪の判決を下した。

http://sp.homelinux.com/seer/lib/05u/jl.html より
・ＡＣＣＳによるアクセス制限を免れることのできる指令を使って不正アクセスをした。
・ウェブサーバの設定ではＣＧＩは処理を実行するようになっており、ＦＴＰ以外で読み込みが可能なものではなかった。つまりプログラムの瑕疵や設定の不備がなければＦＴＰでしか見られないものであった。
・通常のアクセス方法として想定されていないことを行ったのだ。
-中略-
・ＣＧＩのソースを巧みに改変しており、巧妙かつ悪質である。

http://www.itmedia.co.jp/news/articles/0503/25/news022.html より
青柳裁判長は「問題のファイルには、FTPサーバからIDとパスワードを入力してアクセスするのが通常。CGI経由のアクセスは、FTP上のアクセス制御を回避した不正アクセス行為にあたる」と認定した。

http://www.asahi.com/national/update/0325/TKY200503250132.html より
青柳勤裁判長は「アクセスはプログラムの脆弱（ぜいじゃく）性を利用したもので、管理者は想定もしていなかった。アクセス制御機能による『特定利用の制限』がかかっていたといえ、被告の行為は不正アクセスに当たる」と述べた。

そうねぇ。
このあたりの引用から想像すると、なんていうのかしら、「一定水準は十分にクリアできる程度にそれなりにセキュアな設計の元で作成されたCGIに対して、かなり高度なクラッキング技術を用いることによって異常アクセスの穴をこじ開けてみた」って見えるの。
だって、裁判長様のおっしゃるところによると、きちんと「アクセス制御機能による『特定利用の制限』がかかっていた」「Webブラウザのアドレス欄にURLを入力しただけでは閲覧できないファイルに対して、プログラムの脆弱性を利用してアクセスしたもの」で、それは「通常のアクセス方法として想定されていない」「ＦＴＰ以外で読み込みが可能なものではなかった」はずのものに対する「ＡＣＣＳによるアクセス制限を免れることのできる指令を使って不正アクセスをした」「ＣＧＩのソースを巧みに改変しており、巧妙かつ悪質である」ものなんですもの。
それって、それなり以上の水準を持った技術なんじゃなくってかしら？
ただ、ちょっとだけ気になる点がないわけではないの。あたしが少し前に書いた、どんな風に転がっていくのかしら？( http://d.hatena.ne.jp/Lucrezia/20041119#p1 )を見ていただきたいんですけれども(ちなみに、引用元のURLの記事はすでに消されていたわ。だから、あたしは大抵の場合において結構な量の引用をしておくのよねぇ…面倒なんですけれども)。
あたしが記憶している、そうして、いくつものところで報告されている限りにおいては、今回の脆弱性って「馬鹿みたいに単純な」手法でまかなわれているわ。
大体、パラメタの一つや二つ触ったくらいで「プログラム本体が用意に閲覧できる」っていかがなものかしら？ ましてやその上に「ドキュメントルート外のファイルが閲覧できる」おまけつきなのよ？ こんな豪華なおまけ、ミニサイズのすばらしい出来の絵本を作ったグリコでさえ、考えてもみなくってよ？


もちろん、いつも言っていることなんですけれども。別にあたしは「officeさんに罪がない」とは思っていないわ。
ただ、あたしが気になるのは「それ以外の連中の罪があまりにも御座成りになってやいないかしら？ って部分なの。
極楽せきゅあ日記さんが、いみじくもあたしの言いたいことをほぼそのままおっしゃってくださっている件があるわ。

http://d.hatena.ne.jp/sonodam/20050325#p1 より
無知である、ということは鯖管が責任を怠っていた、と言えないのか？

もっとも、あたしは疑問形でなんか考えていないわ。
無知である。言い換えるのであれば「業務上必要な知識を習得するための努力を怠っている」ことは、議論を待つまでもなく有罪であり、有害だわ。
とはいっても、きっとピンとこなかったり、図星をさされたものだからってむきになって反論する精神的未熟児なお子様もいらっしゃると思うの。そんなかたは…そうねぇ。交通事故にでもあってみたらいかがかしら？ そうして、救急病院に運ばれたさきで、お医者様のこんな台詞を、生死の狭間で聞いてみるの。
「どうしよう。ボク、外科医の勉強ってちゃんとやってなかったし実習もあまりまじめにやってなかったから、どこから処置をしたらいいのか想像もつかないや。今から本で調べに行くけど…でも、調べ終わるまでに死んじゃってもボクが悪いわけじゃないよね？」
社会に出て、そんなくだらない言い訳が通るといいわね、ボクちゃん？


ちなみに、もうひとつ出ている議論なんですけれども。あたしが見ている限りにおいては「適当な手続きさえそれなりに踏めばノーガード戦法OK!!っていうふうにしか読み取れないわ。
少なくとも今回の判決で「技術的にどうにかする」よりも「法的にどうにかする」ほうが明らかに容易そうで(少なくとも経営系の技術に鈍いロートル達にとって)、って印象がより強くなったのはほぼ確定っぽいわ。
でもそれって「脆弱なままのサイトを横行させる」結果にしかならないのよねぇ。で、これって、４月からの個人情報保護法とは正面からぶつかっていくのよね。
その場合「企業にも一定の責任を科す」のかしら？
いいえ、あたしは「クラッカーたちに全責任を擦り付ける」構図があまりにもありありと目の前に浮かんでくるの。
あら、ちょっといい間違えたわ。本当のクラッカーたちはきっとお咎めなし。お咎めがあるのは「脆弱性を見つけて善意で連絡を入れてくれる篤志の方々」だわね*1。


でも、こんなことを散々書いておいて、なんですけれども。
「不正アクセス禁止法」はきっとすばらしい法律になると思うわ。だって、すばらしき技術者たちの「自由な技術力の開示」と「情報公開の理念の徹底化」を手伝ってくれるんですもの。
もちろん、すばらしい法律にだって問題はあるし、それなりに、犠牲が出るところへの犠牲はやむをえないわ？ だって、それが法律を扱っている連中の望んでいる世界なんですもの。少なくとも、一連の「検事と裁判官の発言」からは、そうとしか取れないわ*2。
ちょっと使い古された表現で恐縮なんですけれども。まさに「ユビキタス*3情報社会」への入り口、って感じなのかしら？
すばらしい理念だわ。もっとも、あたしは「いつでもどこでも」なんて節操のない概念大嫌いなんですけれども。情報だって秘め事だって「特別な場所で特別な相手と特別な時間にひっそりと」在るからこそ楽しいんじゃなくってかしら？
その辺がわからないうちは、あたしの手の甲どころか、靴のつま先にすらKissなんてさせてあげられなくってよ？