元研究員「HTMLソースの改変は通常の閲覧の範囲」

http://www.itmedia.co.jp/news/articles/0410/20/news047.html

関連リンク

・ファーストサーバ株式会社 不正アクセス事件に関する当社の対応について
http://www.firstserver.co.jp/pdf/news041015.pdf

・社団法人コンピュータソフトウェア著作権協会 ファーストサーバ(株)が公表した文書について
http://www.askaccs.ne.jp/houkoku12.html

nanashi様、いつも情報ありがとうございます。

ここへ来て、不自然な一枚板が崩れ始めています。

・かつてのスラドでの指摘
http://slashdot.jp/comments.pl?sid=133390&cid=435775
事実かどうか確認する術は無いのですが、ACCS側の主張と一致します。

(1)事件発生直後にファーストサーバ(株)から受け取った暫定報告書によると、2002年12月段階で「旧標準CGI」に脆弱性があることが判明し、12月末に顧客のCGIを上書きしたと述べられていたが、脆弱性を知った時点で、なぜ顧客に通知しなかったのか。
(なお、ファーストサーバ(株)文書にもあるように、ASKACCSに設置していた「旧標準CGI」は結果的には上書きされておりませんでした。)

(2)「旧標準CGI」は、顧客が書き込んだ内容(個人情報など)をCSVファイルとして保存する機能を持っており、ACCSは個人情報保護のためこのCSVファイルを定期的に削除していました。ところが、設定マニュアルに記載されていない自動生成ファイルがあり、そこに顧客が書き込んだ内容すべてが記録され、これを元国立大学研究員が不正に入手しています。CGI提供者であるファーストサーバ(株)は、なぜこのファイルの存在を顧客に知らせていなかったのか。

 以上の点について、今回公表された文書で、(1)については、同社のポリシーとして脆弱性情報を原則非公開としていたため顧客に対して通知しなかったこと、ならびにASKACCSのサイトの旧標準CGIについては、カスタマイズCGIと誤認して上書きを実施していなかったことが明かになりました。
 また(2)については、自動生成ファイルの存在を顧客に通知していなかったことについて明らかになりました。

顧客の情報を守るなら、顧客に対しては脆弱性を通知すべきでしょう。情報の価値を判断するのが顧客なら、対応策を採る、リスクを保有するといった選択肢は顧客が判断すべきことです。

これに対応するファーストサーバの主張部分は

なお、お客様の新標準CGIへの移行が完了する前に脆弱性を公開してしまうと、お客様に大きなリスクを発生させることとなるため、これを行わないこととした。

一般に公開すれば問題となるだろう。顧客へ公開したとしても、同様のCGIを検索されたらと考えれば、確かに顧客への公開も躊躇する部分もあるだろう。
…いや、それは変だぞ。そこから被害が発生したら、ファーストサーバはその部分について責を追うべきだろう。何より、責任問題を語るなら、契約ありきでしょう。

→契約に明記されていないなら、顧客に不利益が生じることを、自社の評価が下がることを恐れてダンマリを決めていた、違うかな、ファーストサーバ殿。pdfからは伝わってこないことで、こういう推定が出来てしまうので、是非反論を待ちますよ。

ここでやっとITmediaの記事から。

 検察側は、同様のファイルにはFTP経由でアクセスするのが普通だと主張した。サーバを管理していたファーストサーバやACCSFTPからアクセスしており、HTMLからのアクセスは通常利用の範囲外。元研究員もそれを認識していたのではないかとの趣旨の質問を繰り返した。

 これに対して元研究員は、「ファイルにアクセスする一般的な方法が何なのかは知らないし、自分がやった以外のアクセス方法があるかどうかは分からない。サーバ管理者側がファイルをどう管理しているかは、閲覧時は考えないのが普通」と反論した。

htmlだろうがftpだろうが、通常の利用範囲内だと思います。この検察側主張は苦しいなぁ。
FTPでメンテナンスしたら、画面の確認はやっぱりhttpでメンテナンス後に確認するんじゃないですか。まさか「FTPだけ」でメンテナンスはしないでしょう。このファイルはFTPでアクセス?それはuploadする時のことでしょう。ログファイルだからFTPで取ってくるというのの方が不自然でしょう。

そして焦点はやはり、「公開されているファイル」と被告が主張するファイルに不正アクセス禁止法が示す

当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為

に該当するかどうかに掛かっています。特定利用ではあるが、アクセス制御機能に該当するものがあったといえるかどうか。文理解釈で言えば、それはないです。条文からは

この法律において「アクセス制御機能」とは、特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている機能であって、当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号(識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。次条第二項第一号及び第二号において同じ。)であることを確認して、当該特定利用の制限の全部又は一部を解除するものをいう。

ユーザーIDとパスワードとしか読めませんので。

ところでここまで来て、ヨセフが出てこない。資本とか縁故とか、ファーストサーバ側かACCS側と強い関係があるのだろうか。