はてなからセキュリティホールを突かれた不正アクセスについての報告があった。
これは先週の連休中に騒ぎになった件。id:guldeen さんのブックマークコメントが何者かによって改竄されたという事件があったのだ。*1
当初パスワードが推測または盗難されたのではないかという話だったが、実際の手口は、いわゆるセッションハイジャックだったようだ。要するに、
- guldeen さんが docomo の携帯電話からはてなにログインした
- ログインした状態でモバイル版はてなブックマークを利用した
- ログイン情報を含んだリンクがはてなのサーバの共有部分に残ってしまった
- 他人がはてなにアクセスした時にそのリンクが表示されてしまう状態だった
- 誰か(以下 X)がそのリンクをクリックして guldeen さんとしてログインした
- X が guldeen さんのブックマークコメントを書き換えた
という状態だったようだ。3, 4 ははてなの不具合によるもので、今回対策がなされて今では発生しない(はず)。*2
さて、はてなは上の X の行為を「不正アクセス」と見なしたようだ。
本件は、不正アクセス禁止法違反等に該当しますため、所轄の警察署ならびにIPAに届出をいたします。
「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 - はてなブックマーク日記 - 機能変更、お知らせなど
不正アクセス禁止法における該当部分はおそらくこれだろう。
(不正アクセス行為の禁止)
第三条
何人も、不正アクセス行為をしてはならない。2 前項に規定する不正アクセス行為とは、次の各号の一に該当する行為をいう。
一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
不正アクセス行為の禁止等に関する法律 (強調は引用者による)
識別符号(パスワードまたはそれを暗号化したもの等)を利用したわけではないので第三条2項二号(状況によっては三号)に該当するということだろう。*3
確かに X はリンクをクリックすることで「アクセス制御機能による特定利用の制限を免れることができる情報」をサーバに送信(特定電子計算機に電気通信回線を通じて入力)している。しかしここで気になるのはそのリンクははてなが生成したものだということ。
これが不正アクセスなら、はてなの不具合で生成されたリンクをたまたまクリックしただけでも不正アクセスが成立してしまうのだ。なにそれこわい。
そういう不安に基づく疑問が報告記事のコメントについていた。
gokichan 2009/10/02 12:07
「不正アクセス禁止法違反等に該当しますため」とありますが、これは本当に不正アクセス禁止法に該当するのでしょうか?
単に、リンクを踏んでしまっただけでおきてしまう現象で、こんなもので犯罪者扱いされるようでは、もう2度とhatena.ne.jpドメインのリンクはクリックできないです。
2009-10-01 - はてなブックマーク日記 コメント欄
もっともな疑問であろう。これに対するはてなスタッフ(id:naoya さん)の回答は以下の通り。
naoya 2009/10/02 12:20
はてなスタッフです。ご迷惑をおかけしております。
本日別途正式に告知をさせていただこうと思っておりますが、取り急ぎ回答させていただきます。
本不具合が原因で意図せず他のユーザーのセッションを引き継いでしまっただけでは、もちろん不正アクセス禁止法には該当いたしません。今回は、本不具合を利用して悪意あるデータの改竄が行われております。不正アクセス禁止法に該当するのは、このデータ改竄を含めた行為のみであると考えております。
説明が不十分で誤解を招く表現になっておりますことをお詫び申し上げます。より詳細な説明については、申し訳ございませんが本日の告知までお待ちください。よろしくお願いいたします。
2009-10-01 - はてなブックマーク日記 - 機能変更、お知らせなど
これは文字通りとれば間違いだろう。不正アクセス禁止法が禁じているのは「制限されている特定利用をし得る状態にさせる行為」なのだから、データ改竄の有無は関係なくログインしただけで不正アクセスが成立する。X の行為が不正アクセスなら id:gokichan さんが心配する「リンクを踏んでしまっただけ」でも不正アクセスだ。
しかし、罪を犯す意志がない行為は罰せられないという刑法の原則があるので、ログイン情報を含んだリンクをそうと知らずに「リンクを踏んでしまっただけ」なら罰せられないだろう。id:naoya さんが言うのはそういうことなのかもしれない。要するに罰せられるか否かという観点で不正アクセスであるか否かを判断していると。
しかしそうなると「罪を犯す意志」が X にあったかどうかが問題になる。すなわち X がログイン情報を送信する意志をもってリンクをクリックしたのかどうかだ。
ここで、いや、リンクをクリックしたのは偶然だとしてもブックマークコメントの改竄は「意志」があっただろう、と思うかもしれない。しかし、データ改竄行為自体は不正アクセスではない。というのはアクセス制御機能がない計算機のデータを改竄しても「不正アクセス」にはならないのだ。
つまり、X は「はてなのアクセス制御機能そのものがなくなった」と認識してデータ改竄に及んだのであり、データ改竄操作の際に「特定利用の制限を免れることができる情報又は指令」を送信しているとは思っていなかった、ということであれば、X には「不正アクセス」という「罪を犯す意志」はなかったと言えるのではないか。
もちろん、データ改竄の結果発生した被害、たとえばはてなに対する業務妨害や id:guldeen さんに対する名誉毀損等については「不正アクセス」とは別に犯罪は成立するだろう。しかし本件が司法によって「不正アクセス」と判断されるかどうかは注意が必要な点だと思う。
追記: 条文の参照先を変更
本文内で引用した不正アクセス禁止法の参照先が改正前のものであったので改正後のものに差し替えました。引用した内容については変更はありません。
追記2: もう一人の被害者の件
すみません、注1に書いたもう一人の被害者というのは id:hiroomi さんでした(御指摘 thx! >id:BEW さん)。
追記3: なぜそこにこだわるか
X に悪戯の意図があったのは改竄の内容からして明白なのですが、悪戯するために「不正アクセス」をしたと言えるのかどうかを気にしています。悪戯は悪戯で適切な法律で罰せられるべきだと思います。なぜそんな細かいことを気にするのかと言うと、不正アクセス禁止法は直接には誰にも迷惑をかけていない人でも処罰できるかなり強力な法律だからです。
本文で書いたように不正アクセスはログイン状態になっただけで成立しますし、ログイン後何をしたかは問いません。変な判例が出ると別件逮捕とかに利用されかねないのではないかと。
HiromitsuTakagi [法律][不正アクセス禁止法][セキュリティ] そもそもなぜ皆「不正アクセス罪」に拘るの?電子計算機損壊等業務妨害罪の方が法定刑も懲役5年以下又は罰金100万以下と魅力的だし、はてなが被害者となるのはこっちなんだから、こっちをもっと訴えるべきでないの?
はてなブックマーク - guldeen 事件は「不正アクセス」なのか? - 児童小銃
その通りだと思いますが、僕としてははてなが「不正アクセス」を、そしてそれのみを全面に出してしまったので戸惑っています。
まあ、業務妨害罪は親告罪ではないので、はてなじゃなくても勝手に通報すればいいんですが。というか事件自体は警察に知れているので既に捜査が始まっているかも。
追記4: お詫びと訂正
追記2 で id:hiroomi さんの名前を間違えてました。名前を忘れた挙げ句、名前を書いたら間違っているという、、、踏んだり蹴ったりとはまさにこのことですね!
。。。すみません。お詫びして訂正いたします。
(id:yachimon さん御指摘ありがとうございます)
*1:本当はもう一人被害者がいたと記憶しているのだが… クロイツフェルト・ヤコブ病のクロイツフェルトさんみたいなものだと思って諦めてください…
*2:簡単のために「ログイン情報」と書いたがこれはセッションIDを指す。
*3:参照:高木浩光@自宅の日記 - セッションハイジャック攻撃は1号不正アクセス行為か、それとも2号ないし3号か, 警察庁の不正アクセス行為類型の分類方法には不..
