ACCS関連の続報っていうか裁判所の見解よ。
http://japan.cnet.com/news/sec/story/0,2000050480,20082116,00.htm
http://japan.cnet.com/news/sec/story/0,2000050480,20082116-2,00.htm
http://japan.cnet.com/news/sec/story/0,2000050480,20082116-3,00.htm
そうねぇ。いろいろな意見があると思うんですけれども。あたしなりの見解ってものを簡単に述べさせていただくわ。

http://japan.cnet.com/news/sec/story/0,2000050480,20082116,00.htm より
検察側の公訴提起に対して、弁護側は主に2点の反論を行った。
まず第1に、不正アクセス禁止法に定められている「アクセス制御機能を有する特定電子計算機」というのは物理的なサーバを指すのではなく、サービスを可能にしているプロセスを指しているという主張。これは新たな法解釈だが、証人として北陸先端科学技術大学院大学の篠田陽一教授が出廷し、次のように証言した。
「FTPとHTTPはマルチタスク環境下で双方のプロセスが完全に独立しており、互いに干渉していない。ユーザーが見ているのは、プロセスから発信されている情報だけだ。HTTPのプロセスが送信している情報を見てクライアント側から操作を行うのであって、そのウェブサーバにFTPなど他のプロセスがあるのかどうかということをユーザーの側は知りようもない」

http://japan.cnet.com/news/sec/story/0,2000050480,20082116,00.htm より
第2に、HTMLを書き換えてCGIプログラムにアクセスするという行為は、不正アクセスには当たらないということ。今回の事件のCGIにはアクセス制御が存在しておらず、当たり前だが、HTMLのコードも外部に向かって公開されているものである。その公開HTMLコードを書き換えて csvmail.logというログファイルにアクセスした行為は、不正アクセス禁止法で言う「アクセス制御を免れることのできる指令を入力した」には当たらないではないか――というのが弁護側の主張である。

とてもわかりやすいお話だと思うの。たしかに、これを読んでうなずく技術系読者の方は多々いらっしゃると思うわ。でも、ちょっと待ってほしいの。


つぎは裁判所の見解の引用よ。

http://japan.cnet.com/news/sec/story/0,2000050480,20082116,00.htm より
『不正アクセス行為の禁止等に関する法律2条3項は、「アクセス制御機能」が「特定電子計算機」に付加されている機能であり、識別符号が「特定電子計算機に入力されるもの」と規定しているうえ、同法3条2項2号も、アクセス制御機能による特定利用の制限を免れることができる情報または指令を入力する対象を「アクセス制御機能を有する特定電子計算機」と規定しており、アクセス制御機能の有無を特定電子計算機ごとに判断することが前提となっている。本件では、 ACCSがファーストサーバ株式会社からレンタルしていた物理的な機器である本件サーバが特定電子計算機であり、これを基準にアクセス制御機能の有無を判断することは文理上当然である。他方、その有無をプロトコル単位で判断すべき文理上の根拠は何ら存在しない』

長くって、ちょっと難解だわねぇ。少し分解してみるわ。
まず、ポイントはここ。

http://japan.cnet.com/news/sec/story/0,2000050480,20082116,00.htm より
アクセス制御機能の有無を特定電子計算機ごとに判断することが前提となっている。

そう。これならわかり易くってかしら？
大体、弁護士側の発言ってちょっと屁理屈をこねすぎているわ。
もちろん、技術系の人間からしてみたら、HTTPとSMTPが別のプロトコルで動いてるなんて常識以前の話でしょうし、たとえばFTPとHTTPのBasic認証が「全然違うレベルで」認証をしているってのもあるいは常識なのかもしれないわ？当然、telnetとsloginとを混合するような愚か者もいないと思うの。
でも、よく考えてみて頂戴。一般の人にとって、そんなことは何の意味も持たないわ？ 常識的に考えて[パソコンはパソコン」ですし「サーバはサーバ」なのよ？
だから「このサーバがある部分でアクセス制御機能を持っている」のであれば、そのサーバは「アクセス制御によって守られたマシン」なの。
こんな簡単なこともわからないのかしら？
だから、こんなことまでいわれてしまうのよ？

http://japan.cnet.com/news/sec/story/0,2000050480,20082116,00.htm より
本件では、ACCSがファーストサーバ株式会社からレンタルしていた物理的な機器である本件サーバが特定電子計算機であり、これを基準にアクセス制御機能の有無を判断することは文理上当然である。他方、その有無をプロトコル単位で判断すべき文理上の根拠は何ら存在しない

すばらしく単純明快だわ。「文理上当然」よ。これ以上の説明はないんじゃなくってかしら？
端的に行ってしまえば「法律の文章を日本語の文法的見地から読み解けば、「特定電子計算機」とは「物理的媒体」を意味すると解するのが妥当である」って感じかしら？
法律を元に裁判を行う裁判所として、法律を至高のものとして扱う。当然の態度であり、潔癖な、すばらしく高潔な判断だと思うわ。法律って大切なものよ？ 間違ってもそれに対して「その法律の法解釈がどうの」とかさわいじゃいけないわ？ 法律は、神からの賜りもののごとく、丁重に、疑うことなく用いられなきゃならないものなのよ？

http://japan.cnet.com/news/sec/story/0,2000050480,20082116-2,00.htm より
判決文に戻ろう。判決理由は以下のように続いている。
『そうすると、アクセス制御機能の有無については、特定電子計算機ごとに判断するのが相当であり、特定電子計算機の特定利用のうち一部がアクセス制御機能によって制限されている場合であっても、その特定電子計算機にはアクセス制御機能があると解するべきである。そして、本件においては、本件CGI および本件ログファイルを閲覧するには、FTPを介して識別符号を入力するものとされていたのであるから、本件サーバはアクセス制御機能を有する特定電子計算機といえるのである』

これもわかりやすいわ。やっぱり裁判の内容はこれくらい「技術に無知な人間でもわかり易い」ことが大切なんじゃないかしら？
だって、該当マシンはFTPというよくわからないものでアクセス制御機能がついていたのよ？ そうしたら、よくわからないけどHTTPとかいう通信だって、結局おなじ物理媒体なんですもの、守られて当然じゃなくってかしら？
そうして、さらに続いていくの。

http://japan.cnet.com/news/sec/story/0,2000050480,20082116-2,00.htm より
『もっとも、本件サーバにアクセス制御機能があるとしても、被告人の本件行為によってなし得る状態になった本件の各特定利用が、アクセス制御機能によって「制限」されていたかについては、さらに検討を要する。本件CGIおよび本件ログファイルを閲覧するには、FTPを介して識別符号を入力する必要があったが、被告人の本件アクセス方法によれば、識別符号の入力を要さずして同様の閲覧が可能であったことが認められる』

http://japan.cnet.com/news/sec/story/0,2000050480,20082116-2,00.htm より
『このような場合、識別符号を入力してもしなくても同じ特定利用ができ、アクセス管理者が当該特定利用を誰にでも認めている場合には、アクセス制御機能による特定利用の制限はないと解するべきであるが、プログラムの瑕疵（かし）や設定上の不備があるため、識別符号を入力する以外の方法によってもこれを入力したときと同じ特定利用ができることをもって、ただちに識別符号の入力により特定利用の制限を解除する機能がアクセス制御機能に該当しなくなるわけではないと解すべきである』

このあたりも大切なポイントだわね。確かに、今回のCGIって「パラメタを書き換える程度でパスワードの入力の必要さえなく個人情報が取得できた」わ。でも、そのマシンはFTPっていう機構で守られてた上に*1、そのアクセスは「プログラムの瑕疵（かし）や設定上の不備」によって初めてアクセスが可能になっているの。
他人様のミスをつつくことで情報を引き出そうなんてことをしちゃいけないなんて、子供でもわかりそうなものじゃないかしら？
こういうときは「ああ、ここは相手のプログラムのミスで、本当は見ちゃいけないんだなぁ」ってことを認識して*2、アクセスしないように気をつけないといけないんだわ？

http://japan.cnet.com/news/sec/story/0,2000050480,20082116-2,00.htm より
『本件においては、本件CGIファイルおよび本件ログファイルのURLを入力する方法によっては、これらを閲覧することができないように設定されていた。他方、本件アクセスは、本件CGIの脆弱性を利用したものであり、あえてその方法を管理者が認める必要はなく、想定もしていなかったものである。そうすると、本件の各特定利用ができたのは、プログラムの瑕疵または設定上の不備があったためにすぎないのであり、アクセス管理者が本件アクセス行為のようなかたちで特定利用することを誰にでも認めていたとはいえない。よって、本件においても、本件CGIおよび本件ログファイルの各閲覧は、アクセス制御機能による特定利用の制限にかかっていたものということができる』

ここでのポイントは「プログラムの瑕疵または設定上の不備があったためにすぎないのであり、アクセス管理者が本件アクセス行為のようなかたちで特定利用することを誰にでも認めていたとはいえない。」の部分よね。
やっぱり、日本人の奥ゆかしい特性である「以心伝心」っていうすばらしい伝統を、裁判長様はきっとご存知なんだわ。
だから、何もいわれず、どこにも記述されていなくても、バグや設定上の不備ってものを敏感に悟るだけの心の機微が要求されているのよ？


そうして、内容は佳境に入っていくわ。

http://japan.cnet.com/news/sec/story/0,2000050480,20082116-3,00.htm より
『被告人は、プライバシー関係の情報を検索していた際に、ACCSのASKACCSのページを閲覧するなどして本件アクセスが可能となるセキュリティホールを発見し、これをACCS等に知らせないまま、自己の能力、技能を誇示したいとの動機もあって、セキュリティに関するイベントで発表するために、本件各不正アクセス行為に及んだのであって、このような犯行の経緯や動機に酌量の余地はない。被告人は、関係機関にセキュリティ対策を広く知らせるために本件各アクセス行為をし、その手法を発表したなどと供述するが、ACCS等に事前に報告せずに修正の機会を与えないまま公表し、攻撃の危険性を高めているのであって、供述するとおりの動機があったとしても、到底正当視できるものではない』

ここにも大切なことはいくつも眠っているの。「ACCS等に知らせないまま」ってのは大事だわ。たとえ「過去に何度もMailを送り、知らせようとして」も、無視されていた以上相手はきっと認識していなかったはずよ。もちろん「提供サーバ会社からの告知があった」って事実も関係なしね。だって「認識してなければ知らない」んですもの。十分に寝耳に水だったはずよ？

http://japan.cnet.com/news/sec/story/0,2000050480,20082116-3,00.htm より
『本件犯行の手口は、本件CGIが、HTMLファイルが改変されないことを前提としてプログラムされていたことに乗じ、HTMLファイルを巧みに改変し、本件CGIを本来とは異なる動作をさせて、本件CGIのソースコードおよび1180名以上もの大量の個人情報を含む本件ログファイルを閲覧したというものであって、巧妙かつ悪質な犯行である』

これもひどい話だわ。だって「HTMLファイルのINPUTメソッドのvalueアトリビュートをちょっと書き換えてみる」程度の、それはそれは難しい作業でHTMLを「巧みに改変」してるんですもの。
裁判長様がおっしゃるとおり、まさに「巧妙」な手口だわ？ いったい、どれくらいの人がこんな巧妙な手段を思いつくっていうのかしら？*3

http://japan.cnet.com/news/sec/story/0,2000050480,20082116-3,00.htm より
『本件犯行により、アクセス制御機能に対する社会的信用は、大きく傷つけられたうえ、ACCSはASKACCSのページの閉鎖を余儀なくされ、ACCSおよびサーバ会社が社会的信用を失うなど、被害者らの被ったダメージは著しい。また、被告人がコンピュータネットワークに関するイベントにおいて、本件の手口についてプレゼンテーションしたため、被告人の手口を模倣した者まで出現したばかりか、本件ログファイルに含まれていた個人情報の一部がプレゼンテーション資料としてダウンロード可能になっていたことから、個人情報が不特定の人間に漏洩しているのである。このような結果が高度情報通信社会の健全な発展を阻害することは明らかであるし、被害者らが被告人の厳重処罰を求めることも当然と言わなければならない』

そう。ここがとっても大切なの。
たとえそれが「見る人間から見ればザルどころか枠*4」なアクセス制御機能だっとはいえ。まがりなりにも「アクセス制御機能」という名称がついたものに対する信頼*5を完膚なきまでに裏切り。
しかも、ACCSというすばらしい社団法人が、責任の所在はともかくとして、Web Pageの一部一時期閉鎖にまで追い込まれるっていうのは、尋常じゃないと思うの。

http://japan.cnet.com/news/sec/story/0,2000050480,20082116-3,00.htm より
『被告人は、当公判廷において、行為の外形部分についてはおおむね認めるものの、故意の存否等については不合理な弁解を繰り返すうえ、本件についてはむしろ不正アクセスを受けた被害者にこそ責任があると主張してはばからず、みずからの責任に思いを致し、真摯に内省する態度を看取することができない。そうすると、被告人の刑事責任を軽視することはできない』

しかも「本件についてはむしろ不正アクセスを受けた被害者にこそ責任があると主張してはばからず」ってのがよろしくないわ？
たとえ「どんなに脆弱でノミほどの知能すら持ち合わせてないとしか思えないほど杜撰で見る影もない」CGIをつくり、またそれを「まともな検証ひとつせずに脊髄反射レベルの無神経さで」導入した人たちの過失があったとしても、それを以って「不正アクセスを受けた被害者にこそ責任がある」っていわれても困るわ？
大体、サーバ屋さんとかジョセフとかACCSの連中にそんな能力あるわけないじゃない？ そんな「無能な連中が無能であるために彼らにも一定の責任がある」なんて論法は、ただの弱いものいじめだとあたしは思うの。彼らは「有能な人間にかばわれて」はじめて「社会的に貢献しているという錯覚を持ちつつリハビリが可能である」連中よ？ そういった部分をきちんとわきまえていないあたりが、きっと裁判長様の癇に障ったんじゃないかしら？


今回の裁判の内容を簡単にまとめると「とりあえず適当なプロトコル*6でアクセス制御機能を一つでっち上げて後は無能な管理者を置いておけば不正アクセスに対する防御は完璧」って感じかしら？
あら？ これはいわゆる「サーバ ノーガード戦法」じゃなくってよ？ だって、ちゃんと「ftpで」制御してるんですもの。でも、べんりねぇ。ftp一つで、HTTPも、きっとPOP3やIMAP4や、あるいはTELNETですらも「アクセス制御している」ってことにできるらしいんですもの。あら、もしかしたらsloginとかまでOKになるのかしら？ わくわくだわ*7


まぁ、いずれにしてもわかり易い裁判だったとは思うわ。なんていうのかしら「無知と無能がよりあって傷をなめあって、一部の正論を吐く異端者をつるし上げる」って感じかしら？
でも、やっぱり日本の裁判ってすばらしいと思うの。だって「ここまで愚かで蒙昧な見解を正面きって発言してくる」のよ？ きっとその奥には、あたしたちには計り知れないほど深い深慮遠謀があってのことだと思うわ？
もっとも、その深みって「黄泉の国とか地獄」からのお招きなだけって気もするんですけれども。