コンピュータソフトウェア著作権協会(ACCS)を舞台にした不正アクセス事件の第5回公判が11月下旬にあった。専門家の意見ということで、北陸先端科学技術大学院大学の篠田陽一教授が弁護側の証人として出廷した。
結論から言えば、篠田教授の主張は「office氏の行為は不正アクセスには当たらない」というものだ。その論拠として教授は、次の2点を挙げた。
まず第1の論拠は、不正アクセス禁止法をめぐる新たな解釈である。同法では、「アクセス制御機能を有する特定電子計算機」のアクセス制御を回避してサーバにアクセスすることを禁じているが、この「特定電子計算機」というのは物理的なマシンを指すのではなく、FTPやHTTPなどのサービスを指している――と篠田教授は指摘した。
この裁判で検察側は「問題のWebサーバがFTPでID、パスワード認証されているのにも関わらず、office氏はこれを回避してHTTPプロトコルを使ってCGIを操作して侵入した」と断じている。しかしFTPサービスとHTTPサービスは互いに独立したまったく別のもので、FTPでアクセス制御機能があるからと言って、HTTP経由でアクセスすることは不正アクセスにはならないだろう、というわけである。
もうひとつは、CGIをめぐる問題である。検察側はCGIの不正な操作で侵入したと言っているが、そもそもCGIにはアクセス制御機能がなく、ウェブブラウザのアドレス欄への文字入力という方法でCGIのソースを改変したとしても、それは犯罪ではない――と篠田教授は指摘した。
弁護側の主尋問に対してわかりやすく説明されたこれらの論理は、きわめて理路整然としており、瑕疵はないように思えた。
となると、興味深いのは、検察側はどう反対尋問を展開するのだろうかということだ。果たして篠田教授の論理を突き崩すことができるかどうか。
だが検察官は、思いもよらない方法で質問を切り出した。こう聞いたのである。
「その考え方は、不正アクセス禁止法とは矛盾しませんか?」
要するに篠田教授の論理は、不正アクセスという言葉の新しい解釈とでもいえる論理であって、そうした新解釈を行ったら、現行の不正アクセス禁止法と矛盾を生じてしまう可能性があるのではないか? 検察官はそういうことを質したのである。
しかし篠田教授はネットワーク技術の専門家だから、法律のことを聞かれても当然答えられない。当たり前である。答に窮している篠田教授に対し、検察官は「これは法律論になってしまいますが」と言いながらも、こう畳みかけた。
「その考え方と不正アクセス禁止法が矛盾していないという検証は、行っていますか?」
藪から棒にそんなことを言われても――おそらく篠田教授は、そんな受け止め方だったのではないか。
しかし日本の裁判所というところは、今のところは少なくとも、技術論争をする場所にはなっていない。技術的に正しいかどうかということではなく、それが法的に正しいかどうかを問われる場所なのである。
篠田教授の証言はある意味で、不正アクセス禁止法という法律そのものの問題点を暴く技術論争だったといえるだろう。少なくともこれまでに、特定電子計算機はプロセスか、それとも物理的なサーバーかという議論が法的な土俵で戦わされたことは一度もない。もしこの議論を推し進めた結果、不正アクセス禁止法そのものの定義に問題があるということになれば、法律を改正しなければならなくなる。
だがその役割は立法府である国会が持っているのであって、法を執行する司法機関である裁判所の役目ではない。裁判所の法廷で不正アクセス禁止法の不備を指摘するのは、無罪を勝ち取る方法としてはあまり得策とは言えないのではないか。
だから検察官はその部分を巧妙に突き、「その論理は現行の不正アクセス禁止法と矛盾しないのか?」と聞いたのである。もし矛盾するのであれば、現行の法律をもとに被告を裁く法廷では、その論理は意味をなさないからだ。
前の回の公判では被告人質問に立ったoffice氏にいいように翻弄された検察官だが、この公判の証人尋問では、「一本」とまでは言えないにしても、「有効」ぐらいは決めたということになるのかもしれない。
篠田教授の法廷での尋問に戻ろう。いったんは言葉に詰まってしまったものの、裁判長からも促され、篠田教授は気を取り直してこう答えたのである。
「検証はしていないが、矛盾していないと信じています」
結論から言えば、篠田教授の主張は「office氏の行為は不正アクセスには当たらない」というものだ。その論拠として教授は、次の2点を挙げた。
まず第1の論拠は、不正アクセス禁止法をめぐる新たな解釈である。同法では、「アクセス制御機能を有する特定電子計算機」のアクセス制御を回避してサーバにアクセスすることを禁じているが、この「特定電子計算機」というのは物理的なマシンを指すのではなく、FTPやHTTPなどのサービスを指している――と篠田教授は指摘した。
この裁判で検察側は「問題のWebサーバがFTPでID、パスワード認証されているのにも関わらず、office氏はこれを回避してHTTPプロトコルを使ってCGIを操作して侵入した」と断じている。しかしFTPサービスとHTTPサービスは互いに独立したまったく別のもので、FTPでアクセス制御機能があるからと言って、HTTP経由でアクセスすることは不正アクセスにはならないだろう、というわけである。
もうひとつは、CGIをめぐる問題である。検察側はCGIの不正な操作で侵入したと言っているが、そもそもCGIにはアクセス制御機能がなく、ウェブブラウザのアドレス欄への文字入力という方法でCGIのソースを改変したとしても、それは犯罪ではない――と篠田教授は指摘した。
弁護側の主尋問に対してわかりやすく説明されたこれらの論理は、きわめて理路整然としており、瑕疵はないように思えた。
となると、興味深いのは、検察側はどう反対尋問を展開するのだろうかということだ。果たして篠田教授の論理を突き崩すことができるかどうか。
だが検察官は、思いもよらない方法で質問を切り出した。こう聞いたのである。
「その考え方は、不正アクセス禁止法とは矛盾しませんか?」
要するに篠田教授の論理は、不正アクセスという言葉の新しい解釈とでもいえる論理であって、そうした新解釈を行ったら、現行の不正アクセス禁止法と矛盾を生じてしまう可能性があるのではないか? 検察官はそういうことを質したのである。
しかし篠田教授はネットワーク技術の専門家だから、法律のことを聞かれても当然答えられない。当たり前である。答に窮している篠田教授に対し、検察官は「これは法律論になってしまいますが」と言いながらも、こう畳みかけた。
「その考え方と不正アクセス禁止法が矛盾していないという検証は、行っていますか?」
藪から棒にそんなことを言われても――おそらく篠田教授は、そんな受け止め方だったのではないか。
しかし日本の裁判所というところは、今のところは少なくとも、技術論争をする場所にはなっていない。技術的に正しいかどうかということではなく、それが法的に正しいかどうかを問われる場所なのである。
篠田教授の証言はある意味で、不正アクセス禁止法という法律そのものの問題点を暴く技術論争だったといえるだろう。少なくともこれまでに、特定電子計算機はプロセスか、それとも物理的なサーバーかという議論が法的な土俵で戦わされたことは一度もない。もしこの議論を推し進めた結果、不正アクセス禁止法そのものの定義に問題があるということになれば、法律を改正しなければならなくなる。
だがその役割は立法府である国会が持っているのであって、法を執行する司法機関である裁判所の役目ではない。裁判所の法廷で不正アクセス禁止法の不備を指摘するのは、無罪を勝ち取る方法としてはあまり得策とは言えないのではないか。
だから検察官はその部分を巧妙に突き、「その論理は現行の不正アクセス禁止法と矛盾しないのか?」と聞いたのである。もし矛盾するのであれば、現行の法律をもとに被告を裁く法廷では、その論理は意味をなさないからだ。
前の回の公判では被告人質問に立ったoffice氏にいいように翻弄された検察官だが、この公判の証人尋問では、「一本」とまでは言えないにしても、「有効」ぐらいは決めたということになるのかもしれない。
篠田教授の法廷での尋問に戻ろう。いったんは言葉に詰まってしまったものの、裁判長からも促され、篠田教授は気を取り直してこう答えたのである。
「検証はしていないが、矛盾していないと信じています」
法の抜け道なんてそんなモンでしょ。
180km/hまでメーターが記されている車は道路交通法に矛盾してないか?
もちろん、裁判所がその考え方を支える価値観を判決を下すに当たって採用するかどうかは別問題です。たいていの「矛盾」は、前提条件としての事実を読み解く価値観の違いで説明できます。ある事実を、どう解釈し、どのような意味をそこに見出すか。
> 180km/hまでメーターが記されている車は道路交通法に矛盾してないか?
道路交通法はメータの数字にまで言及していません。けれども、法の精神に照らすなら、仮に私有地内であってもそのメータが意味を持つような高速走行はすべきでないし、とすると市販車にそれが必要ないことは明らかです。
……というのはひとつの見方であって。けれども逆に言えば、矛盾している、という見方もありうるわけでしょう。結果的に、現在はまだ、規制の対象としないことになっている。でも将来はどうなるかわかりませんよ。どちらの結論もありうるのだと私は思います。
その場合、あらゆるファイルはFTPのようにアクセス制御が施されてるサービスで保護されています。
しかし、public_html以下のファイルたちはHTTPから閲覧可能です。このディレクトリ自体はFTPからアクセスできるもので、アクセス制御下にあるものと思われます。
となりますと、あらゆるウェブコンテンツはFTPのアクセス制御に保護されていますので、通常のHTTPアクセスも不正アクセスであると言うことが可能になりますね。
矛盾してるのはどちらなのやら。
単に「矛盾を含んだ演繹系からは、任意の帰結が導かれる」と言いたかっただけでしょうね。
ここの持ち主を含め、論理音痴な法律頭の持ち主に言っても理解できないとは思いますが。
なら、何で当該法律は憲法に反してるとかいった点について弁護人は争ってないんでしょうね。弁護人がその点で争ってないのだから、当該法律について、少なくとも裁判官の頭の中では矛盾を含まない一つの解釈(演繹系っていうんですか、あなたの中では 笑)が成立しうるという点において、誰も疑問を持ってない筈です。もうちょっと勉強してから書き込みましょう。
悪いけどし得ないです。仮にしてたら、その裁判官は論理音痴です。
憲法と論理はどっちが上位概念なんですか?お
ちょっとした技術者なら、この主張が、あまりにも現実からかけ離れていることがわかるだろう。
むしろ検察側の「Webサービスを提供しているシステムにはWebサーバやFTPサーバなど多数のコンポーネントが使われており、そのシステム全体が提供する環境での議論」の方がむしろ本来の技術的視点からのシステム論としては正しい。
篠田教授は木を見て森を見ていない。現実を直視していない学者の机上の空論以上にはなっていないと強く感じる。
サービスも、サービスを受ける側には
サービスの1部にあたる場合もあると
言いたいのでは・・・
意図していた場合は、意図してることを
指摘する必要があったと・・・
法律論は次回、法律に詳しい別の専門家がするってことのはずです。
法律論についてしかつつけない検察側は今回の公判は負けてるとしか言いようがない気がする。
あと、今回、office氏が行ったアクセス手段は、極論すればcgiへのパラメータを変えただけで、本来のHTTPの動作の範囲内で、バッファオーバーフローの弱点をつくのとは話が違うように感じます。
俺は、篠田教授の理論は、こんな感じだろうと受け取った。
1.検察側の理論を用いる(ホスト単位でアクセス制御機能を有する特定電子計算機と定義する)と、FTPでアクセス保護することと、HTTPのプロトコルを用いてpublic_html以下にアクセスできるようにすることは、FTPからみると、HTTPのアクセスすべてが不正アクセスといえるようになってしまう。だから、サービス単位でアクセス制御機能を有する特定電子計算機として考えるのが自然な解釈といえる。
2.とすると、HTTPはアクセス保護がないよね、ってことになる。>この法律で取り締まる範囲外。
3.そもそも、HTTPでも、ファイル名が分からなければ、アクセス不可だし、問題の個人情報がかかれているファイルをHTTPでアクセス不可能な場所においておけば問題がおこらない(メール等で別のサーバに送信するとか)。それを怠って不正アクセスとはなにごとか。
でも、結局、裁判官が法をどう解釈するかしだいな気がする。
次回以降も楽しみな裁判ですね。
それだと、サービス側が意図したこと意外の
サービスは、違法と言う風になってしまう。
明確にWebServerのサービスとFTPのサービス
がどのようなサービスというものか
きちんと定義して、どこまでがサービス
提供者がサービスとしておこなってるか
明確にしなければならず、それが行って
ないのなら、サービス側が意図していない
サービスもサービスを受ける側には
サービスと受け取られる可能性があると
言うことだと思いますが・・・