ばぶちの仕事しながら司法試験を突破し弁護士になりました

仕事をしながら司法試験に合格したばぶち(babuchi)の試験勉強記録+その後です。

不正アクセス

2021年10月12日 21時35分25秒 | その他
不正アクセス禁止法には、不正アクセス罪という犯罪があります。

これは簡単にいえば、アクセス制御機能を有するネットワーク回線として接続されているサーバに対して、他人の識別符号とされるIDとパスワードを入力して、アクセス制御機能によって制限されているサービスを使用できるようにする行為です。もう一つは、脆弱性を突いて、IDとパスワードによる識別符号を入力せずに、アクセス制御機能によって制限されているサービスの一部または全部を使用できるようにする行為です。

さて、SQLインジェクション攻撃というのがあります。
これはWebアプリケーションの脆弱性を攻撃し、SQLで構成される指令をデータベースに投入するに際し、当該指令を変更して、本来予定されているデータではないデータをデータベースから抽出する行為です。さて、このSQLインジェクションが不正アクセスに該当するのかというのが一つの問題です。

SQL文を構成してデータベースの中のデータを抽出するページの場合、例えば、あるAというページでは、1行の個人データが表示されるようになっていて、Bというページでは、2行の個人データが表示されるようになっている場合、AのページをSQLインジェクション攻撃をして、Bのページで表示される2行の個人データを表示するようにしたとします。これは、不正アクセスに該当するのかという問題です。
Aというページにおいて構成されるSQL文から、データベースにアクセスさせるためのSQL文(指令)をインジェクションして攻撃しているので、Aのページにおいては不正アクセスといえそうですが、Bというページにおいて2行の個人データは元々用意されているデータであるため、全体で見ればSQLインジェクション攻撃が成功したとしても、何ら問題ないデータの抽出ということになりそうです。

そのため、SQLインジェクション攻撃によって、本来予定されていないデータが抽出されることのみが不正アクセスになりそうです。さらにいえば、元々予定されているか予定されていないかは、どのように判断するかという問題があります。Webサーバの管理者の主管で判断される場合は、犯罪構成として不安定になるため、客観的な指標が必要ですが、Webサーバを確認するだけでは実際のところ、認定は困難ではないでしょうか。

これが、SQLインジェクション攻撃をされれば、不正アクセスになるということは、イコールではないということになります。