諌山裕氏の5/18付けBLOGOS記事「防衛相の抗議は筋違い」にコメントしました。
かつて、半島倫理、と呼ばれた考え方がありました。我が国でも、インターネットの黎明期には、同じような思想が結構力を持っていて、主流派とは言えないまでも、多数派の様相を呈しておりました。
この思想、一言で言えば「できることは、やってよい」というもので、他所のシステムのセキュリティがざるであれば、これに侵入することも許される、というものだったのですね。
これ、アカデミズムの世界にとどまる限り、さほど問題を生じない以上に、システムセキュリティの向上に大いに役に立ったわけで、UNIXの研究者たちは、互いに侵入の腕を競い合うようなところがありました。しかしながら、コンピュータの商業利用が盛んになるにつれて、この考え方が企業利益と対立する局面も増え、結局否定されることになるのですね。
「コンピュータ犯罪」(ドン・パーカー著、羽田三郎訳、秀潤社、1977年)という書物の一節にコンピュータコンサルタント、ネッド・チェイピン博士の証言「商業的に提供されている時分割制電算機システム内に貯蔵されたプログラムはどれでも、それを守るための相当の処置がなされてなければ、それは自動的に公共の場所にあるものだ」と述べて、1971年に発生したコンピュータへの侵入行為を正当化し、当時コンピュータ研究の盛んだったサンフランシスコ半島にちなんで「半島倫理」と呼ばれたのですが、裁判の結果は有罪となっております。
コンピュータ技術者の活動範囲を外れた公共の計算機システムに対するクラッキング行為と、その成果を誇る宣伝活動は、今日の我が国の法体系の中では、まず間違いなく非合法とされるはずです。このあたり、議論の余地もないと思うのですが。
返信がついております。
花の ヤン
<この思想、一言で言えば「できることは、やってよい」というもので、他所のシステムのセキュリティがざるであれば、これに侵入することも許される、というものだったのですね。>
いえいえ、今回のケースは違うと思いますよ。
今回の場合は、予約システムに不具合があるという情報が正しいか検証したものですからね。
さすがに、この話とは筋が違っていると思います。瀬尾 雄三
花の ヤン さん
基本的には、他人のシステムに、正規の権限なくしてアクセスすることは犯罪です。それが、システムの穴を立証する行為に限定されていれば、許容されたこともあったかもしれませんけど、朝日新聞社らは、それを己の経済活動に利用している。
つまり、それを防衛庁なりシステムの開発元に連絡するのではなく、新聞記事にして顧客に販売しているのですね。これは、不正に得た個人情報を晒して対価を得る行為とさほど異なるものではないのですね。
まあ、防衛庁は防衛庁でお粗末だとは思いますし、この程度であると分かってしまったことは大問題。今頃は、ロシア中国北朝鮮のハッカー軍団が、防衛庁のシステムの穴を探り始めていると思いますよ。こんな調子では、とっくの昔に、やられてしまっているかもしれませんが。逆に、朝日毎日のシステムをクラックしようという動きも始まっているかもしれない。やられそうな方々は、それぞれにお礼の準備をしておかなくてはいけません(このエントリーが正しいならば)。
今は消えてしまっているのですが、2005年8月7日のヤフーニュースに「ハッカー日中戦、8月15日に勃発!?」という記事が出ておりました。これ、中国最大のハッカー集団「中国紅客連盟」と日本の民間組織(右寄りの方々?)との9年越しの戦いを描いた中国サイドの記事ですが、その当時は、日本側もけっこう良い戦いをしておりました。双方、裏では国の資金が提供されているのかもしれませんが、油断は禁物でしょう。
花の ヤン
瀬尾 雄三 さん
<基本的には、他人のシステムに、正規の権限なくしてアクセスすることは犯罪です。それが、システムの穴を立証する行為に限定されていれば、許容されたこともあったかもしれませんけど、朝日新聞社らは、それを己の経済活動に利用している。>
今回の場合、予約サイトでの予約アクセスには制限がかかっていませんから、「正規の権限なくしてアクセスする」ことには該当しないと思います。
<つまり、それを防衛庁なりシステムの開発元に連絡するのではなく、新聞記事にして顧客に販売しているのですね。>
それも違うようですよ。
件のアエラの記事(https://dot.asahi.com/dot/2021051700045.html?page=1)では、予約サイトでの不具合を確認した後に防衛省に通報し取材を申し込んでいます。
記事を読んだ限りでは、その辺りの手順には問題はなさそうです。<今は消えてしまっているのですが、2005年8月7日のヤフーニュースに「ハッカー日中戦、8月15日に勃発!?」という記事が出ておりました。>
これは初めて知りました。
実在した前提で言えば、営利目的ではないのなら非生産的な話なんですが、本当にやりかねない人はいそうですね。瀬尾 雄三
花の ヤン さん
> 記事を読んだ限りでは、その辺りの手順には問題はなさそうです。(https://dot.asahi.com/dot/2021051700045.html?page=1)
私も記事を読みましたが、これ、問題ありまくりです。たとえばどこかの芸能人がみられたら困るような写真を、誤って他人にも簡単にアクセスできる状態にしていた場合、それを当人に通知して言質を取るのはまあ良いとしても、アクセスの方法を公開してしまうのはちょっと問題でしょう。余計な第三者がアクセスしてしまいますから。かりに公開するにしても、アクセスができなくなってからにすべきであるわけですね。
これが、個人ではなくて政府組織だからよいなどという考えがあるかもしれませんけど、これも駄目ですよ。それでなくても、防衛庁や首相官邸はDDoS攻撃を食らいやすい組織で、そんなことをやらせることは、国民にとって損失以外の何物でもない。そこに気が付かなくてはいけません。
今回の問題は、要は、朝日新聞がこの情報を「売った」こと。自分の利益のために使ってしまったら、そこに正義のひとかけらも、もはや残ってはおりません。
瀬尾 雄三
花の ヤン さん
> 今回の場合、予約サイトでの予約アクセスには制限がかかっていませんから、「正規の権限なくしてアクセスする」ことには該当しないと思います。
この予約サイトは、クーポン券をもらった人がそこに書かれた番号を使ってアクセスすることが前提ですから、それ以外の人が適当な番号でアクセスするのは「正規の権限なくしてアクセスする」ことに相当します。
もちろん、「制限がかかっていません」ということはその通り。つまり、ざるだったわけですね。でも、システムがざるだからアクセスしてよいという考え方が、つまりは「半島倫理」、「できることは、やって良い」という考え方そのものなのですね。
鍵のかかっていないドアは通って良い、誰も見ていないところに札束が置かれていたら頂いても構わない、弱そうな相手だったら好きなようにしちゃって構わない、、、そんなことはないですよね。
コンピュータシステムだって、同じなのですね。
花の ヤン
瀬尾 雄三 さん
<かりに公開するにしても、アクセスができなくなってからにすべきであるわけですね。>
それは防衛省が取材を受けた際に交渉するべき話ですよ。
防衛省が口止めを要望しなかったのは、わざわざそうする理由がなかったからでしょう。
なにしろ、単にシステム予約申し込みが誰でもできるというだけであって、誰でも予約成立できるというわけではありませんからね。<この予約サイトは、クーポン券をもらった人がそこに書かれた番号を使ってアクセスすることが前提ですから、それ以外の人が適当な番号でアクセスするのは「正規の権限なくしてアクセスする」ことに相当します。>
その主張は「クーポン券の番号=アクセス権」という周知がなされていなければ無効ですよ。
また、不正アクセス防止法でいう「なりすまし行為」は他人の認証番号等を無断で使用することですが、今回の場合は「他人の認証番号等」を用いたわけではありませんから、これの場合でも不正アクセスに該当するのか疑問です。
まあ、不正アクセス法違反は刑事事件になりますから、警察が捜査していない時点で不正アクセス法には引っかかってないのでしょう。瀬尾 雄三
花の ヤン さん
さしあたり、クーポン券に書かれている「券番号」が「識別符号」にあたることは確かでしょう。そして朝日新聞社の人間が打ち込んだ識別符号は、少なくとも自分の識別符号ではないことは確かだし、それによって予約及びその取り消しという、システムの特定利用をおこなったことも事実であるわけですから、違法行為の構成要件のほとんどは含まれております。
問題は、でたらめな識別符号が「他人の識別符号」であるのかどうかという点ですが、その要件として「特定の他の人物の識別符号」であることまで要求するかといえばこれは疑問であり、「自分の識別符号ではない識別符号」を「他人の識別符号」と称しているのだとすれば、でたらめな識別符号も「他人の識別符号」ということになる。
実際問題として、コンピュータシステムには、特定の人物の識別符号以外の識別符号も存在し得るわけで、rootとかpostmasterとか、ある場合にはguestなどが使える場合もあって、法の言う「他人の識別符号」は「他の人物の識別府f号」というよりは、「自分のものではない識別符号」と解釈するのが妥当だと思いますよ。
まあ、法の解釈に関しては、ここであまり突っ込んだ議論をしても意義は薄いのですが、要は、法の精神として、正規のやり方以外では(それができるからといって)システムにアクセスしてはいけない、ということだと思いますよ。朝日新聞社らの行為は、厳密に言えば、政府の電気代を少々くすねているわけですし、計算機資源という国民の財を多少なりとも不正に奪った。そして、ひょっとするとこれによってどこかの誰かが予約できずに困ったかもしれない。そして、この行為をコンテンツとする雑誌を販売して利益を上げている。これは、正当な行為とはいいがたいと思いますよ。
花の ヤン
瀬尾 雄三 さん
<そして朝日新聞社の人間が打ち込んだ識別符号は、少なくとも自分の識別符号ではないことは確かだし、それによって予約及びその取り消しという、システムの特定利用をおこなったことも事実であるわけですから、違法行為の構成要件のほとんどは含まれております。>
なるほど、おっしゃるとおりのような気がしてきました。 そうなると、ちょっとヤバいことになりますね。
>>サンフランシスコ半島にちなんで「半島倫理」
例の半島かと思いました。