検察官は、かなりイライラしていた。今月20日、東京地裁で開かれたACCS不正アクセス事件の被告人質問でのできごとである。
事件はかなり有名になったから、知っている方は多いだろう。インターネット上でofficeと名乗っていた京都大学研究員の男性が、コンピュータソフトウエア著作権協会(ACCS)のウエブサイト「ASKACCS」に侵入したとして、不正アクセス禁止法違反で逮捕、起訴された事件である。裁判は5月26日の初公判以降、これまで4回にわたって開かれている。
弁護側も検察側も、「office氏がASCACCSのCGIを操作してウエブサーバ内のログデータを閲覧した」という客観的事実については争っていない。争点は、その行為がはたして不正アクセス禁止法に抵触するのかどうかに絞られている。もう少し具体的に言えば、検察側はoffice氏が「アクセス制限機能を有する特定電子計算機であるサーバコンピュータに、アクセス制御機能による特定利用の制限を免れることができる指令を入力し、不正アクセス行為をした」と断じているのに対し、弁護側は「CGIはID、パスワードなどの認証はなく、アクセス制御機能はなかった」と反論しているのである。
この争点について裁判所がどのような判断をするのかはかなり興味のあるところだが、いずれにしても結果は判決を待つしかない。その本質的な問題は置いておくとして、この日の裁判で非常に面白かったのは、検察官とoffice氏のやりとりだった。
office氏が何か答えるたび、検察官はあごに手をやり、被告席を時々にらみつけ、そして苦虫をかみつぶしたような声でふたたび質問を投げかける。
「事実関係については争わないんですね?」
「はい、争いません」
「ではASKACCSのサーバログに残っているあなたのアクセス時間と回数については、起訴状別紙の通りで間違いないですか」
「覚えてません」
「でもサーバログに残ってるんですよ? アクセスログが記録されてるのは知ってますか?」
「それは知ってますが、そのログが真正かどうかはわかりませんから」
「じゃあログが真正だと認められれば、内容を認めるんですね?」
「それは……真正だと立証されたら、お答えしたいと思います」
検察官から見れば、のれんに腕押しの答弁というところだろう。逮捕されて被告席に立つのは初体験のはずだが、office氏の法廷闘争は相当にタフである。見た目は真面目な技術者にしか見えないが、逮捕されてからの二十日間の拘留中も、警察官や検察官を相手に技術論争、法律論争を果敢に挑み、結局最後まで折れなかったというから相当なものだ。日本の検察官の取り調べの厳しさは、昔から定評がある。日ごろは威張っている官僚や政治家も、汚職などでひとたび逮捕され、検察官の強烈な取り調べを受けると、思わず泣き出してしまう人も少なくないという話を聞いたことがあるほどだ。
「あなたがCGIを操作していたのは、ACCSやサーバ管理会社が想定していないイレギュラーな方法だったんじゃないですか?」
「本を買った時に、私がカバーをめくって内側の表紙を見たとして、それはイレギュラーなやり方になるんでしょうか? 本を作る側はカバーをめくられるのを意図していないのかもしれませんが、私のカバーをめくるという行為は批判されるものではないでしょう」
突然たとえ話を持ち出して延々と説明し始めるoffice氏に、検察官の表情は激しく苛立ち、そしてとうとう彼は遮って叫んでしまう。
「質問に答えなさい!」
弁護士が「異議あり!」と立ち上がり、裁判長が「検察官、法廷にふさわしくない行為ですぞ」とたしなめ、法廷は混乱した。
検察官はなおも食い下がって質問を続ける。
「あなたのCGIの操作はイレギュラーじゃないんですか?」
「イレギュラーかどうかは私にはわかりません。ACCSにはそれをイレギュラーと思う人もいるでしょうし、そう思わない人もいると思います」
「じゃあそういう操作を意図した人もACCSにはいる?」
「そうかもしれません」
「意図してるんだったら、わざわざあなたが脆弱性を指摘する必要がないのでは?」
「……たとえ話をしていいですか?」
「どうぞ」
「アイスターという会社があって、経営している旅館がハンセン氏病患者の方の宿泊を拒否した事件がありました。そしてこの問題への抗議文を書いた人の住所と名前を、ある時アイスターはウエブで公表してしまったのです。これはアイスターが意図した行為だったと思うのですが、多くの人が抗議して、この行為は是正されました。だから意図していたとしても、指摘することは必要だと思います」
検察官は言葉に詰まってしまった。法廷には十数秒間、沈黙が流れた。
office氏の主張、態度が正しいのかどうかという議論は、別にしておこう。それにしても、ここまで検察官が被告人質問で翻弄されている姿を、私はこれまでに見たことがなかった。
事件はかなり有名になったから、知っている方は多いだろう。インターネット上でofficeと名乗っていた京都大学研究員の男性が、コンピュータソフトウエア著作権協会(ACCS)のウエブサイト「ASKACCS」に侵入したとして、不正アクセス禁止法違反で逮捕、起訴された事件である。裁判は5月26日の初公判以降、これまで4回にわたって開かれている。
弁護側も検察側も、「office氏がASCACCSのCGIを操作してウエブサーバ内のログデータを閲覧した」という客観的事実については争っていない。争点は、その行為がはたして不正アクセス禁止法に抵触するのかどうかに絞られている。もう少し具体的に言えば、検察側はoffice氏が「アクセス制限機能を有する特定電子計算機であるサーバコンピュータに、アクセス制御機能による特定利用の制限を免れることができる指令を入力し、不正アクセス行為をした」と断じているのに対し、弁護側は「CGIはID、パスワードなどの認証はなく、アクセス制御機能はなかった」と反論しているのである。
この争点について裁判所がどのような判断をするのかはかなり興味のあるところだが、いずれにしても結果は判決を待つしかない。その本質的な問題は置いておくとして、この日の裁判で非常に面白かったのは、検察官とoffice氏のやりとりだった。
office氏が何か答えるたび、検察官はあごに手をやり、被告席を時々にらみつけ、そして苦虫をかみつぶしたような声でふたたび質問を投げかける。
「事実関係については争わないんですね?」
「はい、争いません」
「ではASKACCSのサーバログに残っているあなたのアクセス時間と回数については、起訴状別紙の通りで間違いないですか」
「覚えてません」
「でもサーバログに残ってるんですよ? アクセスログが記録されてるのは知ってますか?」
「それは知ってますが、そのログが真正かどうかはわかりませんから」
「じゃあログが真正だと認められれば、内容を認めるんですね?」
「それは……真正だと立証されたら、お答えしたいと思います」
検察官から見れば、のれんに腕押しの答弁というところだろう。逮捕されて被告席に立つのは初体験のはずだが、office氏の法廷闘争は相当にタフである。見た目は真面目な技術者にしか見えないが、逮捕されてからの二十日間の拘留中も、警察官や検察官を相手に技術論争、法律論争を果敢に挑み、結局最後まで折れなかったというから相当なものだ。日本の検察官の取り調べの厳しさは、昔から定評がある。日ごろは威張っている官僚や政治家も、汚職などでひとたび逮捕され、検察官の強烈な取り調べを受けると、思わず泣き出してしまう人も少なくないという話を聞いたことがあるほどだ。
「あなたがCGIを操作していたのは、ACCSやサーバ管理会社が想定していないイレギュラーな方法だったんじゃないですか?」
「本を買った時に、私がカバーをめくって内側の表紙を見たとして、それはイレギュラーなやり方になるんでしょうか? 本を作る側はカバーをめくられるのを意図していないのかもしれませんが、私のカバーをめくるという行為は批判されるものではないでしょう」
突然たとえ話を持ち出して延々と説明し始めるoffice氏に、検察官の表情は激しく苛立ち、そしてとうとう彼は遮って叫んでしまう。
「質問に答えなさい!」
弁護士が「異議あり!」と立ち上がり、裁判長が「検察官、法廷にふさわしくない行為ですぞ」とたしなめ、法廷は混乱した。
検察官はなおも食い下がって質問を続ける。
「あなたのCGIの操作はイレギュラーじゃないんですか?」
「イレギュラーかどうかは私にはわかりません。ACCSにはそれをイレギュラーと思う人もいるでしょうし、そう思わない人もいると思います」
「じゃあそういう操作を意図した人もACCSにはいる?」
「そうかもしれません」
「意図してるんだったら、わざわざあなたが脆弱性を指摘する必要がないのでは?」
「……たとえ話をしていいですか?」
「どうぞ」
「アイスターという会社があって、経営している旅館がハンセン氏病患者の方の宿泊を拒否した事件がありました。そしてこの問題への抗議文を書いた人の住所と名前を、ある時アイスターはウエブで公表してしまったのです。これはアイスターが意図した行為だったと思うのですが、多くの人が抗議して、この行為は是正されました。だから意図していたとしても、指摘することは必要だと思います」
検察官は言葉に詰まってしまった。法廷には十数秒間、沈黙が流れた。
office氏の主張、態度が正しいのかどうかという議論は、別にしておこう。それにしても、ここまで検察官が被告人質問で翻弄されている姿を、私はこれまでに見たことがなかった。
こういう人、増えていきますよね。ITにかかわる技術者はセキュリティや権利についても、コンピュータにかかわっていない人より鋭い感性を持っているし。
その辺を検察側がきちんと理解しているのか、疑問です。
やりとりがおもしろいです。
読みいってしまいました。
いくら知識があっても、相当頭が切れる人でない限りはあのような振舞いはできないと思います。
想定していないんじゃなく想定できなかったが故の欠陥だったわけだし。
想定できたoffice氏と想定できなかったCGI制作者。
どっちに非があるかと言われても。。。。
このブログ結構面白いじゃない
(あいまいな表現でごめんなさい)
「任意の文字列をパラメータとして受け取る」
のが仕様なわけで。。。
そう考えると、CGIの制作者が、「任意の文字列が与えられるという仕様に対して、配慮を怠った」と考えるほうが自然な気がするなあ。
たとえ話をすると、
「NTTに損害を与えるような番号列が電話機から入力可能だったとすると、その番号列を入力したものは罰されるか」
ということで。
「番号を押した奴が悪い」というより
「そんな番号を存在させていたなんて、NTTはなんてバカなんだ」と考えるんじゃないかなあ。
わかり易い例えですね。
どこでもドアを使ったのびたが、しずかちゃんの入浴場面に出会ってしまっても、
覗いたのびたが悪いのかどこでもドアの仕様が悪いのか…
行き先をしずかちゃんちのおフロと指定した以上、
当然しずかちゃんの入浴を期待していたと思われます。
もしドラえもんがのび太くんの側にいたのならば
道具を貸した彼の責任が問われるかもしれません。
むはは
>「NTTに損害を与えるような番号列が電話機から
>入力可能だったとすると、その番号列を入力した
>ものは罰されるか」
>ということで。
損害を与えることをわかっていながら敢えてそうしたんなら、立派な犯罪だと思いますが。