高木浩光＠自宅の日記

2006年09月06日

■ ログアウトし忘れのブラウザをそうと知りつつ操作するのは不正アクセス行為に該当するか

やじうまWatchによると、mixiにログインしたまま放置されていた店頭のPCを操作してプロフィールを「改ざん」した（当人曰く）という人がいて、それを著名サイトで公言していることが注目を浴びているという。いくつか反応を見てまわったところ、不正アクセス禁止法違反ではないかという議論*1があり、その中に、「パスワードを入力したわけではないから、不正アクセス行為にあたらない」などという主張をみかけた。

興味深い話題なのでちょっと検討してみる。なお、ここでは、技術的側面から行為の外形が不正アクセス禁止法3条の構成要件を満たしているかだけを検討するものであり、刑罰に値する違法性があるか否かについては検討しない。

まず、不正アクセス禁止法3条2項各号の「入力して」とは、手元のコンピュータにキーボードで入力することを指すものではないことに注意したい。このことは、警察庁の法案立案担当者らにより執筆された逐条解説書で、次のように解説されている。

「入力」とは、ここでは電気通信回線を通じて対象となる特定電子計算機（ウ参照）に電磁的方式により送り、伝えることを意味しており、特定利用をしようとする者の手元にあるコンピュータのキーボードを叩く行為自体を意味するものではない。なお、入力される符号は実際にはデジタル信号に変換されて送り、伝えられることになっても、このように符号から変換されたデジタル信号は、元の符号として入力されていると評価されることになる。

不正アクセス対策法制研究会編著, 逐条不正アクセス行為の禁止等に関する法律, 立花書房, p.54

つまり、mixiのサーバコンピュータに対して「入力する」ことをこの法律は言っている。

「入力」は、ここでは、電気通信回線を通じて対象となる特定電子計算機に他人の識別符号を送信することを意味しているから、他人の識別符号を送信する方法として、一々キーボードを操作することは必ずしも必要ではなく、パソコンのインターネット接続ボタンを押す、識別符号が記録されているICカードを差し込むなどにより、自動的に識別符号を送信するコンピュータの機能を用いて入力することも含まれる。

不正アクセス対策法制研究会編著, 逐条不正アクセス行為の禁止等に関する法律, 立花書房, p.75

つまり、サーバコンピュータに入力するという結果を生じさせるあらゆる操作が、「入力して」という行為にあたるとされているように読める。

ここで話を簡単にするため、まず、仮にmixiがBasic認証によるログイン方式だったとして検討してみる。

ある青年が店頭のPCのInternet Explorerを操作してmixiにログインし、ウィンドウを閉じてその場を去った。しかし、Internet Explorerは他のウィンドウが開いていた（タスクバーに隠れていた）ことからプロセスとしては終了しておらず、Basic認証のセッションは継続したままの状態となっていた。そこへ現れた別人が、Internet Explorerのウィンドウを開き、mixiのサイトにアクセスしたところ、青年のアカウントでログインした状態でページが表示されることとなった。

この別人がmixiにアクセスしたとき、電気通信回線を通じて何が行われたかというと、青年のIDとパスワードが、base64エンコードされてHTTPのリクエストヘッダのAuthorization:フィールドに格納されて、mixiのサーバコンピュータに「入力」されている。その動作は、その別人がブラウザをmixiにアクセスさせる操作をしたことによって自動的に生じさせられている*2。

このようになるのは、Basic認証という方式が、1ページアクセスするごとに毎回、「入力された符号が当該利用に係る識別符号であることを確認して当該利用の制限の全部又は一部を解除する」という処理を繰り返しているからである。つまり、ページ毎にその都度ログインしているわけだ。

では次に、実際のmixiではどうかというと、cookieでログイン状態の継続が処理されており、パスワードが毎回送信されているわけではない*3。そうすると、放置されたログイン状態のブラウザを操作する行為は、同法3条2項1号の「他人の識別符号を入力して」に該当しないことになるのだろうか？

ここで、cookieの内容が「ユーザID + ユーザIDのHMAC値」という構成（パスワードは含まれていない）になっていて、サーバ側はこの値を検証してログイン状態であることを確認している場合を検討する。この場合、このcookieの値は、不正アクセス禁止法2条3項の括弧書き

当該特定利用に係る識別符号（識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。次条第二項第一号及び第二号において同じ。）

に該当するのではないか。ここで注意したいのは、「次条第二項第一号及び第二号において同じ」とあるので、3条2項1号における「他人の識別符号を入力して」の「識別符号」もこれを含むものとして解釈することになる。（この場合にも、ページ毎にその都度ログイン（というか、不正アクセス禁止法で言うところの「入力された符号が当該利用に係る識別符号であることを確認して当該利用の制限の全部又は一部を解除する」という処理）を繰り返していると見なすことができる。）

では次に、もしcookieの内容が乱数で生成されたセッションIDのみから構成されている場合はどうか。セッションIDが3条2項1号の「識別符号」にあたるかどうかについては、5月20日の日記「セッションハイジャック攻撃は1号不正アクセス行為か、それとも2号ないし3号か」で書いている。そのときの結論は、「1号にはあたらなそうなのは立法上の不備ではないかと思うが、いずれにせよセッションハイジャック行為は2号か3号でいけるので運用上問題ない」というものだった。

しかし今回検討しているのは、セッションハイジャック攻撃ではなく、目の前にあるログアウトし忘れの端末の操作という行為である。これを、2号、3号の「当該アクセス制御機能による利用の制限を免れることができる情報又は指令を入力して」と解釈するのは無理があるのではないか。

とすると、ログインし忘れ端末をそうと知りながら操作し制限された利用を利用する行為は、セッション管理の実装方法によって、不正アクセス行為の構成要件を満たしたり満たさなかったりすることになってしまう。実装がどうなっているかなんて、操作する当人には知る由もないところなのにだ。

このようなことがなぜ生じるかと言えば、この法律が、行為者の目的によって不正アクセスを定義するのではなしに、技術上何が起きるようなことをしたかによって不正アクセス行為を定義した（しようとした）からではないか*4。そして、ログイン時の認証機能については法律の文章としてうまく書き下すことに成功したものの、その後のセッションの維持という技術的必然機能の存在について配慮しなかったところが、立法上の不備であるように思う。これは法改正で改善できるだろうか。

ちなみに、別の解釈として、ログアウトし忘れの端末を操作する行為が「制限された利用をし得る状態にさせる行為」かというときに、既に利用し得る状態になっているところに当人はやってきたのだから、「新たにし得る状態にさせたとはいえない」というような主張ができそうな気もするが、どうなんだろうか*5。

*1 不正アクセス禁止法の前に、電子計算機損壊等業務妨害罪と電磁的記録不正作出及び供用罪を検討するのが先だと思うが、この程度だと業務を妨害したことにはならないのかもしれない（よく知らない）のと、電磁的記録不正作出及び供用は、「人の事務処理を誤らせる目的で、その事務処理の用に供する権利、義務又は事実証明に関する電磁的記録を不正に作った者」なので、プロフィールが事実証明に関する記録かどうかなのかな（よく知らない）。

*2 その別人は、最初にmixiにアクセスした時点では、そのような結果になるとは予見していなかったであろうから、故意が認められない。しかし、他人のログイン状態であることを認識しながら、制限されている利用をするつもりで、続けてアクセスすると……。ところで、ログアウトボタンを押すことも「制限されている利用をする」ことに該当するのだろうか？？

*3 cookieの内容が暗号化されたパスワードである可能性もあるが、そうなのかどうかは知らない。

*4 それは避けられなかったことなのかもしれない。なぜなら、この法律は、制限された利用が利用されてしまうことによる不利益から利用権者やアクセス管理者を保護することを法益としたものではなく、あくまでも、アクセス制御機能の社会的信頼が害されることから保護するという趣旨で立法されているので。

*5 でも、その解釈を許すと、上で引用した逐条解説の「インターネット接続ボタンを押す」が該当することと矛盾してしまうような。

本日のTrackBacks(全6件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20060906]

▼ MonoNews:ログアウトし忘れ。いじると、不正アクセス禁止法になるか？ (2006年09月07日 18:31)

ログアウトし忘れていじられたのは不正アクセス禁止法に抵触するか - naoyaグループ - naoyaの日記ログアウトし忘れのブラウザをそうと知りつつ操作するのは不正アクセス行為に該当するか - 高木浩光＠自宅の日記「Mixiも信用できない」って（笑）書き換えるのは、...

▼ Knife Edge:件のmixiの件 (2006年09月07日 18:34)

先日のエントリにあった例の mixi の件ですが、産総研の高木さんが氏の blog 上でその違法性について考察されています。詳細はリンク先を見てもらうとして、mixi の場合は BF_SESSION と BF_STAMP という二つの Cookie 値でログイン認証を管理しているようです。未だに...

▼ TransFreeBSDの日記:[security]セッションIDの使用は不正アクセス禁止法第三条第二項第二号に反するのか？ (2006年09月07日 23:22)

この話題は興味あるし、高木浩光＠自宅の日記 - ログアウトし忘れのブラウザをそうと知りつつ操作するのは不正アクセス行為に該当するかという記事があるので引続き書いてみる。結論

▼ novtan別館:[技術ネタ]やっぱり違和感のある不正アクセス禁止法 (2006年09月08日 00:02)

ナイフを車に入れていただけで捕まるご時世ですが、そもそも法律で決まっていることに対して捕まってから文句を言うことは難しい。おかしいと思ったらそう思う人を議員に当選させて変えていかなければならないけどそう上手くもいかないわけで、そうすると捕まらないため..

▼ ネット上でみつけたおもしろいもの　ためになるもの紹介しようかなーー:箱根の「カレー風呂」 (2006年09月09日 17:14)

ネットはサファリなので、棲み分けが生じる。 http://d.hatena.ne.jp/wetfootdog/20060907/p1 日本の著作権は「鹿鳴館」である http://business.nikkeibp.co.jp/article/person/20060904/109190/ 天皇は日本人ではない http://chiebukuro.yahoo.co.jp/service/ques

▼ とりあえずブログ:オーマイニュースも信用できない？？？ (2007年05月10日 01:04)

エントリタイトルは受け狙いです。毎度ごめんなさい。はばたけ！ゴキブリ！の『登録確認メールについて』を読んでふと考えた。簡単にまとめると次のような事が起こりえるという話だと受け取っている。第三者にバリデーションメールを誤って送信する。その第三者がバリ..

本日のリンク元

スラドarticle [16/01/13/0631236] ×80 : 78, 1, 1 (2023-03-02)
はてなブックマークコメント ×94 : 83, 6, 2, 2, 1 (2021-05-18)
https://www.bing.com/ ×8 (2016-06-06)
スラド ×29 : 27, 1, 1 (2016-04-05)
http://kitano-ow2.hatenablog.com/entry/2016/01/22/181355 ×27 (2016-01-23)
http://www.google.com ×5 (2016-01-23)
はてなブックマークコメント [anond.hatelabo.jp/20160121164807] ×7 (2016-01-22)
Togetter [922936] ×13 (2016-01-08)
https://www.google.co.jp ×31 (2015-10-01)
はてなダイアリー [sonodam 20060919] ×24 : 23, 1 (2015-03-28)
OKWave [qa7990254] ×22 : 11, 5, 4, 2 (2013-05-31)
http://www.asahi-net.or.jp/~ZI3H-KWRZ/law2riishas.html ×4 (2013-05-28)
http://qa.itmedia.co.jp/qa7990254.html ×15 (2013-03-29)
http://www.asahi-net.or.jp/~zi3h-kwrz/law2riishas.html ×876 (2013-03-23)
http://soudan1.biglobe.ne.jp/qa7990254.html ×6 (2013-03-18)
http://31.xmbs.jp/momo610/ ×10 (2012-04-29)
http://docomo.ne.jp/cp/as-rslt.cgi?pno=1&key=mixi 不正アクセス&sid... ×7 (2009-09-30)
はてなダイアリー [horikou 20060908] ×2 : 1, 1 (2008-09-20)
ココログ [seken cocolog] ×7 : 6, 1 (2008-08-09)
http://www.news.janjan.jp/media/0610/0610062307/1.php ×6 (2008-05-22)
はてなブックマークコメント [2715764] ×6 (2008-01-21)
２ちゃんねる掲示板 [news2 1195088163] ×4 : 1, 1, 1, 1 (2007-12-28)
http://freebsd.g.hatena.ne.jp/TransFreeBSD/20060907/p1 ×7 (2007-10-15)
２ちゃんねる掲示板 [newsplus 1181044999] ×4 : 1, 1, 1, 1 (2007-06-05)
blog.goo.ne.jp [nagamasa2005] ×6 : 4, 1, 1 (2007-05-16)
mixi diary [2321239] ×5 (2007-02-22)
http://itnavi.net/news200609.html ×4 (2007-01-11)
ココログ [stressfulangel cocolog] ×24 : 21, 2, 1 (2006-11-01)
http://72.14.235.104/search?q=cache:zyhE7LC27JgJ:b.hatena.ne... ×4 (2006-10-15)
http://www.janjan.jp/media/0610/0610062307/1.php ×196 (2006-10-07)
http://koreanthe3rd.jp/2006/09/index.php ×5 (2006-10-05)
http://koreanthe3rd.jp/index.php ×5 (2006-09-26)
http://koreanthe3rd.jp/2006/09/26-235900.php ×21 (2006-09-26)
はてなダイアリー [sonodam] ×109 : 108, 1 (2006-09-26)
http://weblog.secret.jp/blognplus00/index.php?e=809 ×6 (2006-09-14)
mixi diary [3797438] ×4 : 3, 1 (2006-09-13)
fc2 blog [xxxrevolutionxxx.blog71] ×5 : 2, 2, 1 (2006-09-13)
http://nekomimimeido.net/log0609.html ×6 (2006-09-12)
mixi diary [133219] ×5 : 3, 2 (2006-09-11)
http://takabsd.jp/d/?date=20080124 ×7 (2006-09-10)
http://nekomimimeido.net/index.html ×17 (2006-09-10)
livedoor Blog [sink01z] ×4 : 2, 2 (2006-09-09)
はてなダイアリー [matoriX 20060906] ×7 (2006-09-09)
mixi diary [2136564] ×2 : 1, 1 (2006-09-08)
http://www5b.biglobe.ne.jp/~nnaro/brainstorm200609.html ×92 (2006-09-08)
http://www.fastwave.gr.jp/diarysrv/kiwamoto/ ×16 (2006-09-08)
http://freebsd.g.hatena.ne.jp/TransFreeBSD/ ×4 (2006-09-08)
http://hw001.gate01.com/karzu/index.html ×66 (2006-09-08)
http://hw001.gate01.com/karzu/ ×1642 (2006-09-08)
http://beau.g-com.ne.jp/mon-extension-memo.html ×8 (2006-09-08)
http://beau.g-com.ne.jp/mon-extension-memo06_09-2.html ×16 (2006-09-08)
http://unixluser.org/diary/ ×66 (2006-09-08)
はてなダイアリー [dacs] ×8 (2006-09-07)
livedoor Blog [mononews] ×19 (2006-09-07)
livedoor Blog [fix_memo] ×525 (2006-09-07)
http://www.knifeedge.org/?p=99 ×10 (2006-09-07)
http://www5b.biglobe.ne.jp/%7Ennaro/brainstorm.html ×6 (2006-09-07)
２ちゃんねる掲示板 [newsplus 1157481991] ×5 : 2, 1, 1, 1 (2006-09-07)
http://www5b.biglobe.ne.jp/~nnaro/brainstorm.html ×731 (2006-09-07)
はてなダイアリー [caprin 20060907] ×4 (2006-09-07)
http://ricollabo.src.ricoh.co.jp/takeout/ ×4 (2006-09-07)
はてなダイアリー [caprin] ×5 (2006-09-07)
ime.nu /20060906.html ×107 (2006-09-07)

検索

キーワード不明 ×321 / mixi 不正アクセス ×94 / ログアウト ×31 / basic認証ログアウト ×28 / ログアウト忘れ ×19 / 不正アクセス mixi ×15 / BASIC認証ログアウト ×14 / mixi ログアウト ×12 / ログアウトし忘れ ×12 / 不正アクセス禁止法 mixi ×11 / mixi アクセス ×11 / ログアウト不正アクセス ×11 / ブラウザログアウト ×10 / 不正アクセス構成要件 ×9 / 不正アクセス ×9 / 不正アクセス禁止法構成要件 ×9 / Basic認証ログアウト ×9 / mixi アクセス禁止 ×8 / 自動ログイン不正アクセス ×8 / ログアウト忘れ ×8 / mixi 不正 ×7 / mixi不正アクセス ×7 / mixi 不正アクセス方法 ×7 / mixi ログインしたまま ×7 / mixi 不正ログイン ×7 / 不正アクセス禁止法事実証明 ×6 / mixi ブラウザ ×6 / mixi セッションハイジャック ×6 / 不正アクセスログアウト ×6 / mixi アクセス禁止解除 ×6 / basic認証ブラウザ ×6 / Basic 認証ログアウト ×6 / 不正アクセス行為 ×6 / 不正アクセス禁止法ログアウト ×5 / 拡張 ×5 / 不正アクセス禁止法クッキー ×5 / 逐条不正アクセス行為の禁止等に関する法律 ×5 / MIXI 不正アクセス ×5 / mixi 不正アクセス対策 ×5 / 不正アクセス自動ログイン ×5 / 送信元識別符号 ×4 / BF_STAMP ×4 / セッションログアウト ×4 / ログアウトブラウザ ×4 / セッション管理ログアウト ×4 / 電磁的記録不正作出及び供用罪 ×4 / Mixiも信用できない ×4 / BF_SESSION ×4 / 不正アクセス禁止法解釈 ×4 / Basic認証一部解除 ×4 / ログアウトわすれる ×4 / 不正アクセス禁止法ログイン状態 ×4 / 自動入力不正アクセス ×4 / セッションハイジャック mixi ×4 / html ログアウト ×4 / 不正アクセス禁止法該当しない暗号化していない ×4 / ログアウトし忘れ不正利用 ×3 / クッキー不正アクセス ×3 / cookie 不正 ×3 / 不正アクセス禁止法逐条 ×3 / cookie 暗号化ブラウザ解説 ×3 / ログアウト html ×3 / ブラウザ操作記録 ×3 / mixi basic認証 ×3 / 他人のＰＣにアクセス ×3 / アクセス禁止 mixi ×3 / ログアウト意味 ×3 / 不正アクセス行為とは ×3 / ログアウト忘れ防止 ×3 / mixi BF_SESSION ×3 / ログアウトセッション管理 ×3 / mixi cookie ×3 / mixi セッションid 生成 ×3 / 不正アクセス禁止法違反 mixi ×3 / mixi アクセス禁止方法 ×3 / 不正アクセス禁止法逐条解説 ×3 / 高木浩光 mixi ×3 / 不正アクセス定義 ×3 / mixi セッション管理 ×3 / cookie ブラウザ認証 ×3 / 不正アクセス行為の禁止等に関する法律 ×3 / 不正アクセス禁止法 ×3 / ログインしたまま不正アクセス ×3 / 該当 ×3 / mixi 不正アクセスログアウト ×3 / ＭＩＸＩ不正アクセス ×3 / 不正アクセス禁止法ログイン ×3 / 不正アクセス Cookie ×3 / mixi 不正アクセス高木 ×3 / http ログアウト ×2 / mixi 日記アクセス ×2 / オート不正放置 ×2 / ブラウザ識別 ×2 / mixi ×2 / ベーシック認証不正アクセスになるか ×2 / Cookie 不正アクセス ×2 / ログアウトボタン ×2 / mixi 他人が不正アクセス ×2 / mixi ログイン他人 ×2 / Cookie mixi BF_SESSION -Firefox ×2 / インターネット毎回接続ボタンを押す ×2 / ブラウザ操作制限 ×2 / クッキー操作による不正行為 ×2 / オートログインは不正アクセスに該当するか ×2 / パスワード入力していない不正アクセス ×2 / ログインしたままにする不正アクセス防止法 ×2 / 不正アクセス禁止法ログインしたまま ×2 / mixi ログイン不正 ×2 / 不正アクセス行為にあたらない ×2 / 不正アクセス禁止法解説 ×2 / ブラウザ ×2 / 不正ログイン mixi ×2 / 行為の外形 ×2 / mixi 他人ログイン ×2 / IE basic認証ログアウト ×2 / ログアウトし忘れた ×2 / 高木浩光不正アクセス ×2 / ヘッダリクエスト不正操作 ×2 / mixi 不正アクセス禁止法 ×2 / ログインしたまま忘れる ×2 / mixi パスワードログアウト ×2 / ie6 ウィンドウ毎識別方法 ×2 / BASIC認証ログアウト IE ×2 / 不正アクセス禁止法オートログイン ×2 / Authorization ログアウト ×2 / ベーシック認証ログアウト ×2 / ログイン状態不正アクセス ×2 / 不正アクセス禁止法自動ログイン ×2 / 不正アクセス禁止法 3条2項 ×2 / 不正操作ブラウザパスワード ×2 / cookie ×2 / 基本認証ログアウト ×2 / ログアウトセッション ×2 / mixi Cookie ×2 / 識別符号 ×2 / 不正アクセスキーボード ×2 / cookie ログイン自動高木 ×2 / mixi アクセス不正方法 ×2 / なのは ×2 / mixi ログイン他人の ×2 / アクセスブラウザ ×2 / BASIC認証 cookie ×2 / 不正アクセスにあたらない行為 ×2 / 不正アクセスログインしたまま ×2 / 不正アクセスパスワードの入力に当たるか ×2 / ブラウザ操作方法 ×2 / 業務妨害不正アクセス ×2 / 不正アクセス高木浩光 ×2 / ブラウザセッション ×2 / HTML ログアウト ×2 / 不正アクセスあたらない ×2 / ｈｔｍｌログアウト ×2 / 不正アクセス禁止法 MIXI ×2 / mixi ログアウト忘れ ×2 / 不正アクセスログイン ×2 / mixi 操作 ×2 / mixi不正ログイン ×2 / ブラウザ自動操作 ×2 / Service Temporarily Unavailable 意味 ×2 / ブラウザハイジャック ×2 / オートログイン不正アクセス ×2 / BASIC認証ブラウザ ×2 / mixi アクセス制御 ×2 / 不正アクセス禁止法 cookie ×2 / 不正アクセスログアウト忘れ ×2

2006年09月06日

■ ログアウトし忘れのブラウザをそうと知りつつ操作するのは不正アクセス行為に該当するか

最近のタイトル