【想定の範囲】
というと、最近巷を騒がせているホリエモンの「想定の範囲内ですから」という言葉が思いつきますね。株とかのことを多少知っているなら誰でも知ってる言葉が最近テレビ出飛び交ってますよね。TOBから始まりLBOだの、新株予約権だの、時間外取引だのって。うんざりです。
そもそも、報道陣も含めて頭悪い気がしますよね。だってどう考えても、あれだけのことをやるわけですから、それなりにシナリオを何十本も用意してるのは当然。遊びじゃないんだから、リスクもちゃんと考えてる。それに、敵対的買収ってのは欧米を見渡せばそれほど珍しいことじゃない。だから、パックマンディフェンスだの、ポイズンピルだの、焦土作戦だの、ホワイトナイトだの、いろいろとその対応策の定石的なものも存在するわけですよ。フジテレビがやってることは突拍子もないことじゃないんだから、十分想定できるに決まってるでしょう。
っと、前置きが長くなりすぎました。今回は想定の範囲内ではなく「想定の範囲外」のお話です。IT関連法やらセキュリティやらに興味のない人は、まったく知らないでしょうが、金曜日に非常に重要な判決が東京地裁から出されました。不正アクセス禁止法、ってものに関してです。
不正アクセスの元京大研究員に有罪判決 東京地裁(asahi.com)
ことを簡単にまとめると、こんな感じです。
-------
0.とあるプログラム(CGI)がありました。このプログラムはファイル名を指定してその内容をブラウザ上に表示するというもの。
1.プログラムのログデータはこのIDとパスワードなどを使わなければ開けないようになっていたが、このプログラム自身はこのログデータを開くことが可能だった。
2.URLとしては簡単に言うと「http://○○○○.com/プログラム?データファイル名」って感じ。
3.通常はそのファイル名は、ユーザが使った場合には自動的に特定のファイル名が入れられるので、ユーザはファイル名を直接入力することはない。
4.そのデータファイル名にプログラム名を入れたところ、プログラムのソースが表示された。
5.そのソースには、ログデータファイルの名前が書かれていた。
6.そこで、「http://○○○○.com/プログラム?ログデータファイル名」としたところ、ログデータの中身が全て表示されてしまった。
7.そこには、過去にそのプログラムを使った人の個人情報が含まれていた。
8.被告は、これをセキュリティ関連のイベントで「このプログラムには問題がある」と発表。
9.その時に、個人情報をイベント参加者が入手できる状態にしてしまった。(実際に入手されてしまい、P2Pネットワークで流されてしまった)
-------
わかりますかね?で、不正アクセス禁止法としては(あくまで俺の理解ですが)、アクセス制限のかかっているデータや領域に正当なアクセス権利を持っていない人がアクセスをすること、とうもののはずなんです。
さて、判決を見てみましょう。「アクセスはプログラムの脆弱(ぜいじゃく)性を利用したもので、管理者は想定もしていなかった」と言うことを理由として、通常の方法ではアクセスできないところに、想定の範囲外の方法(=プログラムの欠陥を利用)してアクセスしたものは不正アクセス禁止法に抵触する、と言っています。
あり得ないですよ。絶対にあり得ないです。
これらの事例を別物に例えるのは、誤解などを招くのであまりやらない方が良いとされていますが、ココを見る人はそんなに多くないので、たとえ話を出しましょう。前述のプログラムの話しを無理矢理、一般的なリアルの世界に置いてみます。
-------
金庫が置いてあります。その中にあるものは、通常の方法では当然取り出せません。
鍵を開ける方法を知っている人は限られています。(これがアクセス制限ですね。つまり前述の「1.」の部分)
で、金庫の前に人がいます。パッと見ただけでは気づかない人もいるかも知れませんが、ちょっと(ホントにチョットで良いです)この金庫に詳しい人であれば、この金庫の前にいる人が、金庫を開ける方法を知っている人であることは一目瞭然です。
(この人がプログラムに該当します「0.」の部分)
この人には誰でも話しかけられますが、通常は「この人に話しかけるときには○○と話しかけてください」と立て札があります。みんな、それを忠実に守っています。
(これは、実際のプログラムには自動的にあるファイル名つまり「○○」を開くように指定されていた「3.」)
しかし、実際にはその人には何でも(○○ということ以外も)話しかけることが可能だった。
(これが、ファイル名をプログラム名に書き換えることが可能だと言うこと「4.」)
さらには、その人は誰の言うことでも聞いてしまい、自分の知ってることは全て話してしまう人だった。Aさんが「あなたの知っていることを全て教えてください」というと、金庫の中にある情報なども全て話してしまった。(これは、プログラムのソースを表示して、ログデータファイル名も表示してしまったという部分「5.」)
そして、Aさんはその人に「金庫の中にある情報を出してください」と伝えました。すると、その情報を出してくれました。(ログデータファイルの中身が表示されと言う部分「6.」)
-------
長い。。。まぁ、こんな所だと思います。
で、どう思いますか?これを不正アクセス禁止法にある、「想定の範囲外だからダメ」っていう判決って…確かに、「7.」~「9.」に関しては被告が悪いと思います。それは、被告自身も認めています。片手落ち(これって差別用語でしたっけ?)のシステム/プログラムを作っておいて、「想定の範囲外」って言葉で片付けてしまうのはいかがなものかと。。。
う~ん、こうなると世のプログラマーとかシステム屋さんとかは、楽になりましたね。どんなものでも、とりあえずのアクセス制限だけを付けておいけば、問題が発生したり、その問題によって個人情報が漏洩して個人情報保護法を持って訴えられても「想定の範囲外ですから」で終わってしまうわけですよね。アクセスした人が悪人になるわけですよね。つまり、その問題を発見した人は、その問題を当該のプログラム/システムの持ち主には伝えないわけですよ。自分が犯罪人になっちゃうので。
で、本当に犯罪を犯そうとしてる人はそういうのを目ざとく見つけますから、情報は盗み放題ですね。
怖い判決が出たと思います。いや~、かなりオタクなエントリになってしまいました。。。