2009年1月7日の毎日新聞の記事で、「不正アクセス容疑の学生が書類送検」されたニュースが報道されていた。
記事によると、
・名古屋市の男子大学生が不正アクセス禁止法違反と私電磁的記録不正作出・供用の疑いで名古屋地検に書類送検された
・容疑内容は、友人になりすまして、会員制交流サイト「ミクシィ」にアクセスした
・不正アクセスの理由は、友人の日記や友人の交際相手の日記を見たかったため
・その大学生は、以前、友人に頼まれて友人の携帯電話を操作した時にパスワードを教えてもらった
というものだ。
「不正アクセス禁止法」とは、(注:セキュリティ用語から一部抜粋)一般的に、「ID・パスワードの不正な使用」や「そのほかの攻撃手法」によってアクセス権限のないコンピューターへのアクセスを行うことが犯罪である、と定義されている。
つまり、
1)他人のID・パスワードを奪取・盗用して、その者になりすましてアクセス認証を超える行為
2)なりすまし以外の攻撃手法を用いて、認証サーバをだまし、それに従属する目標の端末を利用する行為
3)目標の端末を利用可能にするために、その端末の属するネットワークのゲートウェイ端末のアクセス認証をだまして、その内部ネットワークの目標を達する(目的端末を利用可能にしてしまう)行為
が犯罪とされている。
ちなみに、この場合の罰則は、1年以下の懲役または50万円以下の罰金を科されることになる。
報道情報からこの事件を考えてみると、この男子大学生の行為は確かに問題ではある。
しかし、
・友人間の事件である
・男子大学生の友人は以前に、IDとパスワードを教えている
ことから、「当事者の間で解決できなかったのか?」「この友人はパスワードを変更するなどの処置が必要ではなかったのか」と思う。
つまり、友人にパスワードを教えるほどの信頼関係があったのならば、ミクシィに身に覚えがないログイン履歴があれば友人である男子大学生に問いただせばいいし、パスワードは容易に変更できるのだから他人にパスワードを教えて不利益を被る可能性、つまりリスクがあると思えば、即座に変更すればいいだけのことだ。
こうして考えてみると、「なぜ、警察沙汰になってしまったのだろう」と思う。
不正アクセスとは言えないが、会社が管理しているメールアドレスの方がよっぽど日常的に本人以外の実質的な不正アクセスがあると思う。
例えば、認証サーバーなどコンピューターのシステム管理者には、利用者のサーバーへのアクセス権限があるのはわかる。
ただこの場合の「システム管理者」とはどこまでを指すのか?、会社が管理するメールアドレスだからと言って、「メールアドレス使用者の上司」や「システム管理者の上司」の求めに応じてアクセスして得られた情報を開示してよいのか?など個人的には「えっ、いいものなの?」と思っている。(法律的には問題ないのかもしれないが)
この事件には、愛知県警生活経済課と北署が動いたので、おそらく男子大学生の友人または友人の交際相手が警察(サイバー担当)に相談して「容疑と容疑者」が特定されたのだろう。
「IDやパスワードを教えるほどの中なのに、相談先は警察」ということが、「なんだかなぁ」と感じるのは現代的ではないことなのだろうか。
【よかったらクリックお願いします♪】↓
ブログランキングranQ
企業家ブログ→http://www.kigyoukablog.jp/ranki.cgi?id=35
記事によると、
・名古屋市の男子大学生が不正アクセス禁止法違反と私電磁的記録不正作出・供用の疑いで名古屋地検に書類送検された
・容疑内容は、友人になりすまして、会員制交流サイト「ミクシィ」にアクセスした
・不正アクセスの理由は、友人の日記や友人の交際相手の日記を見たかったため
・その大学生は、以前、友人に頼まれて友人の携帯電話を操作した時にパスワードを教えてもらった
というものだ。
「不正アクセス禁止法」とは、(注:セキュリティ用語から一部抜粋)一般的に、「ID・パスワードの不正な使用」や「そのほかの攻撃手法」によってアクセス権限のないコンピューターへのアクセスを行うことが犯罪である、と定義されている。
つまり、
1)他人のID・パスワードを奪取・盗用して、その者になりすましてアクセス認証を超える行為
2)なりすまし以外の攻撃手法を用いて、認証サーバをだまし、それに従属する目標の端末を利用する行為
3)目標の端末を利用可能にするために、その端末の属するネットワークのゲートウェイ端末のアクセス認証をだまして、その内部ネットワークの目標を達する(目的端末を利用可能にしてしまう)行為
が犯罪とされている。
ちなみに、この場合の罰則は、1年以下の懲役または50万円以下の罰金を科されることになる。
報道情報からこの事件を考えてみると、この男子大学生の行為は確かに問題ではある。
しかし、
・友人間の事件である
・男子大学生の友人は以前に、IDとパスワードを教えている
ことから、「当事者の間で解決できなかったのか?」「この友人はパスワードを変更するなどの処置が必要ではなかったのか」と思う。
つまり、友人にパスワードを教えるほどの信頼関係があったのならば、ミクシィに身に覚えがないログイン履歴があれば友人である男子大学生に問いただせばいいし、パスワードは容易に変更できるのだから他人にパスワードを教えて不利益を被る可能性、つまりリスクがあると思えば、即座に変更すればいいだけのことだ。
こうして考えてみると、「なぜ、警察沙汰になってしまったのだろう」と思う。
不正アクセスとは言えないが、会社が管理しているメールアドレスの方がよっぽど日常的に本人以外の実質的な不正アクセスがあると思う。
例えば、認証サーバーなどコンピューターのシステム管理者には、利用者のサーバーへのアクセス権限があるのはわかる。
ただこの場合の「システム管理者」とはどこまでを指すのか?、会社が管理するメールアドレスだからと言って、「メールアドレス使用者の上司」や「システム管理者の上司」の求めに応じてアクセスして得られた情報を開示してよいのか?など個人的には「えっ、いいものなの?」と思っている。(法律的には問題ないのかもしれないが)
この事件には、愛知県警生活経済課と北署が動いたので、おそらく男子大学生の友人または友人の交際相手が警察(サイバー担当)に相談して「容疑と容疑者」が特定されたのだろう。
「IDやパスワードを教えるほどの中なのに、相談先は警察」ということが、「なんだかなぁ」と感じるのは現代的ではないことなのだろうか。
【よかったらクリックお願いします♪】↓
ブログランキングranQ
企業家ブログ→http://www.kigyoukablog.jp/ranki.cgi?id=35