今更の感が無いではないのですが、例の、office氏が不正アクセス禁止法違反と威力業務妨害容疑で逮捕された事件についてです。もう、散々議論が尽くされているような気がしますし、今回のネタにしようかどうしようか悩んだのですが、私もかなり前に、「不正アクセス?」(2000.3.6)や、「不正アクセスと言ったって…」(2001.12.24)なんていう駄文を書いた手前もありますので、一応、私が気になる点を何点か挙げておこうか、と思います。
まず今回の事件で、警察が「不正アクセス禁止法違反」と言っているのが気になったわけです。私の理解は、この法に触れるのは「アクセス制限がされているシステムに、不正に入手した他人のパスワード等でアクセスする場合」「アクセス制限のあるシステムのセキュリティホールを衝いてアクセスする場合」なのですが、今回の場合、なぜこれが適用されたのだろうか、というところに疑問を持つわけです。聞くところによれば、今回問題なっているアクセスは「あるCGIプログラムに渡すパラメータに見たいファイル名のパスを指定すると、それが読めてしまう」ことを利用して個人情報を記録しているファイルを読み出した、ということのようですが、ここにおいて「アクセス制限」は初めから存在しないわけですし、そのCGIプログラムにファイルのパス名を渡すのは通常の使い方らしいので、これがセキュリティホールと呼べるようなものなのかどうか。
「ある情報にアクセスするための経路・手段(アクセスパス)が複数ある場合、それらの中の1つでもアクセス制限がかかっていれば、それ以外のアクセス制限がかかっていない経路を経由するものは常にセキュリティホールであり、不正アクセスである」というのをまじめに主張していた人もどこかで見かけました(←いま探したけど見つかりませんでした)。法を解釈するとそうなるらしいのですけど、条文を読むのが面倒なので私は調べていません ←というか、読んでもわからないかも。
これはつまり、極端に言えば、いま皆さんがご覧になっているこのページは、HTTPというプロトコルを使って見ているはずですが、実は、
ftp://ユーザー名:パスワード@www.amy.hi-ho.ne.jp/html/program/p3/prog319.html
というURLで、FTPというプロトコルを使って見ることも出来ます(「ユーザー名」「パスワード」は内緒)。このURLを使ったアクセスパスでは、パスワードによるアクセス制限を行っていますから、ここで私以外の人が不正に入手したパスワードを使ってアクセスを行えば、それは「不正アクセス禁止法違反」に該当します(←だから、良い子の皆さんはやらないでね〜)。その場合に、他の認証を行わないアクセスパスを使ったアクセスはすべて不正アクセスだとすれば、つまり皆さんがこのページをご覧になるために使っているURLである、
http://www.amy.hi-ho.ne.jp/~lepton/program/p3/prog319.html
によるアクセスはみな不正アクセスになってしまいます…って、んなバカな。
また別の話で、「広く公開されていないURLの文字列は、それがそのままパスワードである」という主張も見かけましたっけ。つまりそれを使ったアクセスは不正アクセスである、と。つまり一般に公開されている情報、もしくは公開されているページからリンクされているURL以外には行くな、と。でも、2ちゃんねるあたりにある怪しげなURLはどういう扱いをすべきなのかな、とも思います。
あまり法を拡大解釈するのはよろしくない事態だと、私などは思うのですが、どんなもんでしょうか。まあ最終的に裁判所がどう判断するか、ということになりますが、今回の「事件」のようなのは、法で守ってもらわずとも、技術的に避け得たわけですから、そういうのにまで法の網をかぶせるのはいかがなものか、と思うわけです。「あれもやっちゃダメ」「これもやっちゃダメ」という規制だらけの世の中を望む人が多いのであれば、私は何も言うことはありませんが。
この事件に関して、よく見かけた議論に「鍵が掛かっていなかったからと言って、他人の家に勝手に侵入するのは犯罪でしょ」というのがありました。一見説得力はありそうですけど、今回の「不正アクセス事件」にそのまま適用できるものなのだろうか、という疑問を私は持っています。
まず、今回の「不正アクセス」の対象が、例えて言えば、普段他人が勝手に入ることのない個人宅のようなものではなく、一般に公開している「誰でもご自由にお入りください」と言っている店舗や公共施設のようなものだった、というのがあります。しかも、その施設の入り口の鍵の話ではなく、中に入った後の、ある部屋に入るためのドアの鍵がかかっていない場所があって、訪れた客が(理由はともかく)中に入ってしまい、机の上に広げてあった秘密情報を見てしまった(カメラで撮影してしまった)というあたりではないか、と思います。しかもドアには「関係者以外立ち入り禁止」とも書いてなかった、と。「鍵が掛かっていなかった個人宅に勝手に侵入」というのとはかなり隔たりのあることのように思えます。
それと、この手の議論で不思議に思うのは、確かに「鍵が掛かっていなかったからと言って、他人の家に勝手に侵入するのは犯罪でしょ」というのは日本国内においては「まあ、そうでしょうね」とは思いますが、それが世界中どこに行っても常識なんだろうか、ということです。その「家」(「不正アクセス」されたサーバ)は日本にあったかも知れませんが、その家の前の通りは「どこでもドア」(インターネット)で世界中と繋がっていたりするわけで、海外からのアクセスに対して「不正アクセス禁止法違反だ!」と叫んだところで何の効果も無さそうなのですが、その辺はどうなんでしょう。
あと、威力業務妨害については……いまいち状況が見えないので、とりあえずはノーコメントということにしておきます。「あるサイトにセキュリティホールがあることを通知することが威力業務妨害に相当するとすれば、そういうのをたまたま見つけても放っておくしかないよね」というのに、いまのところ賛成しておきます。
ところで全然関係ないのですが、件のoffice氏、河合隼雄氏の甥だったというのはとりあえず置いておいて、一連の報道で、私が一番の衝撃を受けたのは「河合隼雄氏が文化庁長官をやっている」という事実だったりして ←こんなネタの駄文でもオチを書くんかよ ←しかも全然面白くないし。