再来週土曜日の以下のシンポジウムで講演とパネル討論に出ます。楽しみです。
開催日時: 平成19年2月17日(土) 10:00-17:00
開催会場: 大阪弁護士会館2階ホール [大阪市北区西天満1-12-5]
主催: 大阪弁護士会 刑事弁護委員会、情報ネットワーク法学会、情報処理学会概要:
昨今の情報処理技術、特にインターネット等の発展により、情報処理技術や著作権法などの特別刑法が複雑に絡みあった刑事事件が数多く起こっております。このような事件の弁護活動には、当然ではありますが情報処理技術に関する素養、関連諸法規の知識、さらには技術や産業の発展といった多角的な見識が必要とされます。
そのような中で、ファイル共有ソフトである「Winny」に関する事件(以下「Winny事件」といいます。)の地裁判決が出ました。この事件に関しても、ファイル共有ソフトという技術に対する認識、海外の判決をはじめとするサイバー法に関する海外の実情などについて、情報処理技術者やサイバー法研究者等が様々な見解を発表しております。
そこで、情報処理学会及び情報ネットワーク法学会との共催により、本会も主催者として、各分野の研究者を招き、共同シンポジウムを開催することにより、新たな分野の刑事事件に関する相互交流をはかり、今後の研究の契機になることを目的として、標記シンポジウムの開催を企画した次第です。
技術的・法的見地から有用な話が提供されると思われます。是非、弁護士に限らず、皆さまのご参加をお待ちしています。
プログラム:
1. 「ファイル共有ソフト概説」
講師: 金子 勇 氏 (プログラマー・Winny開発者)2. 「ファイル共有ソフトを巡る法的問題点」
講師: 指宿 信 氏 (立命館大学法科大学院教授・情報ネットワーク法学会)3. 「ファイル共有ソフトと著作権に関する裁判例」
講師: 岡村 久道 氏 (大阪弁護士会会員・国立情報学研究所客員教授・情報ネットワーク法学会理事)4. 「ファイル共有を巡る技術的問題点」
講師: 高木 浩光 氏 (産業技術総合研究所 情報セキュリティ研究センター主任研究員・情報処理学会会員・情報ネットワーク法学会会員)5. 「IT事件に関する弁護技術上の問題点」
講師: 秋田 真志 氏 (大阪弁護士会・刑事弁護委員会副委員長)6. パネルディスカッション「Winny事件が残したもの」
ソフトウェア製品の脆弱性にせよ、Webサイトの脆弱性にせよ、それについての脆弱性情報(exploit)がどこかで公開されているのを見かけたとしよう。問題の内容からして脆弱性情報受付機関に届け出るべき事態であるにもかかわらず、それが届け出られる様子がなく*1、当該Webサイト運営者への直接の通知も行われている様子がないと思ったとき、それを見た人はどう行動すればよいか。
見た人が届け出ればよい。
「ソフトウエア等脆弱性関連情報取扱基準」の「発見者基準」によれば、
(1)発見者(自ら運営するウェブサイトのウェブアプリケーションについての脆弱性関連情報を発見又は取得したウェブサイト運営者を除く。)は、発見又は取得した脆弱性関連情報を経済産業大臣が別に指定する受付機関に届け出ること。ただし、当該ウェブサイト運営者に対し同じ内容を届け出ることを妨げない。
ソフトウエア等脆弱性関連情報取扱基準, 平成16年経済産業省告示第235号
と、「発見又は取得した脆弱性関連情報を」と書かれているように、「発見者」というのはなにも、技術的な意味での発見者(つまりいわば「第一発見者」)のことだけを指すわけではなく、誰かが公表してしまっているexploitを単に見かけた(取得した)という意味での発見者(「火災の発見者」のようなもの)も含むのだ。
だから、火災が発生しているけどまだ誰も消防署に連絡してないんじゃないかと思えたときと同様の判断で、脆弱性情報も受付機関に届け出ればよい。
その際、「俺が発明したわけじゃないのに、俺が発見者だなんて名乗り出るのは差し出がましい」などと気後れする必要はない。そうした情報の届出も想定している制度なのだから。
届出様式(ソフトウエア製品)(記入の手引き)にも、「この脆弱性関連情報の入手先」という記入項目があり、
[2. 脆弱性関連情報] の記入について
1) この脆弱性関連情報の入手先
この脆弱性関連情報をどのように入手したかを選択してください。
□ 自分で発見した
届出者の方自身が発見した場合は、こちらを選択してください。
□ 人から入手した
届出者の方自身ではなく、ほかの方が発見した情報を入手したことによる届出である場合は、こちらを選択してください。
□ ウェブサイトから入手した
(URL: )
ウェブサイトなどの一般に公開されている情報である場合は、こちらを選択してください。
とあるように、そうした届出が想定されている。私も実際、2004年7月の「未対策・未発表な多数の国内産脆弱性情報が暴露」の事例のとき、以下のように、公開情報の「発見者」として届出をしたことがある*2。
2004年 7月 28日
1. 届出者情報
1) 届出者情報
(略)
2) 届出者情報の取り扱いについて
(略)
3)対策情報公表時の届出者情報の掲載について
□ 希望する ■ 希望しない
2. 脆弱性関連情報
1) この脆弱性関連情報の入手先
□ 自分で発見した □ 人から入手した
■ ウェブサイトから入手した
(URL: http://www2.sala.or.jp/~uuu/security/ )
2) 脆弱性を確認したソフトウエア等に関する情報
様々なソフトウェア、および各所のWebサイトの未対策の脆弱性の情報が
以下のところで公開されてしまっている。
http://www2.sala.or.jp/~uuu/security/
3) 脆弱性の種類
ブラウザの脆弱性、クロスサイトスクリプティング等
4) 再現手順
公開されているサイトを参照
http://www2.sala.or.jp/~uuu/security/
5) 再現の状況
(略)
6) 脆弱性により発生しうる脅威
cookie盗難によるセッションハイジャック、ローカルファイル流出等
7) 回避策
公開されているサイトを参照
http://www2.sala.or.jp/~uuu/security/
8) 検証コード*
公開されているサイトを参照
http://www2.sala.or.jp/~uuu/security/
9) その他
3. IPA 以外の組織への届出について
□ あり ■ なし
4. 今後の連絡について
1) 対策情報の公表の連絡を希望するか
□ 希望する ■ 希望しない
(略)
5. その他
既に誰かが通報したかもしれませんが、念のため届け出ます。
一方、Webサイトの方の届出様式(記入の手引き)の場合には、「この脆弱性関連情報の入手先」の項目がないが、「脆弱性の発見に至った経緯」のところに書いておけばよいだろう。
ただし、Webサイトの脆弱性の届出においては、その脆弱性の存在を確認する際の行為が法令に違反しないように注意しなければならない。
1.発見者基準
(1)発見者(自ら運営するウェブサイトのウェブアプリケーションについての脆弱性関連情報を発見又は取得したウェブサイト運営者を除く。)は、発見又は取得した脆弱性関連情報を経済産業大臣が別に指定する受付機関に届け出ること。ただし、当該ウェブサイト運営者に対し同じ内容を届け出ることを妨げない。
(2)発見者は、以下の点を明示した上で脆弱性関連情報を届け出ること。
①発見者の氏名、連絡先等の情報及びその取扱い
②脆弱性を有するウェブアプリケーションを稼働しているウェブサイトの名称等
③当該脆弱性関連情報
(3)違法な方法により脆弱性関連情報を発見又は取得しないこと。
(4)発見者は、当該脆弱性が修正されるまでの間、当該脆弱性関連情報を第三者に漏えいしないよう適切に管理すること。ただし、当該脆弱性関連情報を正当な理由により第三者に開示する場合、あらかじめ受付機関に問い合わせをすること。
ソフトウエア等脆弱性関連情報取扱基準, 平成16年経済産業省告示第235号
付録1 発見者が心得ておくべき法的な論点
1.脆弱性関連情報の発見に際しての法的な問題
(1)関係する行為と法令の関係
a) ネットワークを用いた不正
・例えば、脆弱性関連情報を利用して、アクセス制御機能を回避し、インターネットなどを介してシステムにアクセスした場合には、不正アクセス禁止法に抵触します。
・例えば、管理者の了解無く、他人のパスワードを取得し、それを用いて権限なしでシステムにアクセスした場合には、不正アクセス禁止法に抵触します
・故意にサーバの機能や性能の異常を来たそうとして何らかの行為をなし、コンピュータの性能を低下させたりした場合、刑法上の偽計(もしくは威力)業務妨害罪に抵触する可能性があります。さらに、その妨害の程度によっては、刑法の電子計算機損壊等業務妨害罪にも抵触すると解される可能性があります。
b) 暗号化されている無線通信の復号
・暗号化されている無線通信を傍受し復号する行為(無線LAN のWEPキーの解読など)は、第159 通常国会にて改正された電波法に触れる可能性があります。
(2)不正アクセス禁止法に抵触しないと推察される行為の例
脆弱性の発見に最も関係が深い不正アクセス禁止法に対しては慎重な扱いが求められます。といっても脆弱性を発見する際に、必ずしも不正アクセス禁止法に抵触するとは限りません。以下に、不正アクセス禁止法に抵触しないと推察される行為の例を挙げます。
1) ウェブアプリケーションの利用権者が、正規の手順でログインするなどして通常のアクセスをした際に、ブラウザとサーバとの通信の内容を観察したところ、それだけで脆弱性の存在を推定できた場合。
2) ウェブページのデータ入力欄にHTML のタグを含む文字列を入力したところ、入力した文字列がそのまま表示された。この段階ではアクセス制御機能の制限を回避するに至らなかったが、悪意ある者に別の文字列を入力されれば、このサイトにセキュリティ上の問題が引き起こされかねないと予想できた場合。
3) アクセス制御による制限を免れる目的ではなく、通常の自由なページ閲覧を目的として、日付やページ番号等を表すと推察されるURL 中の数字列を、別の数字に差し替えてアクセスしてみたところ、社会通念上、本来は利用できてはならないはずと推定される結果が、偶発的に起きてしまった場合。(ただし、積極的に多数の数字列を変えて試す行為等は、制限を免れる目的とみなされる可能性があります。)
(3)IPA の対応と発見者の法的責任
IPA は、脆弱性関連情報の入手方法に関して関知しません。ただし、違法な手段で入手されたことが明白な脆弱性関連情報に関しては、受け付けないことがあります。
また、IPA が脆弱性関連情報を受け付けた場合でも、IPA は脆弱性関連情報の入手手段に関して合法であると判断したわけではありません。さらに、IPAが脆弱性関連情報を受け付けた場合、発見者の脆弱性関連情報の発見に係る法的責任が免責されるわけではありません。
2.脆弱性関連情報の管理に際しての法的な問題
(略)
以前(この届出制度が始まる前)に新聞に次の通りコメントしたことがあった。技術に詳しくない人にはわからないかもしれないが、脆弱性の種類によって、適法な利用をしただけでそこに脆弱性があると推定*3できるものもあるし、不正アクセス禁止法違反行為をしなければ発見できそうにないものもある。
◆ネットの安全性の問題について詳しい独立行政法人・産業技術総合研究所の高木浩光主任研究員の話
CGIの欠陥の有無を外部から確かめようとすると、欠陥の種類によっては不正アクセス禁止法に触れかねないので、具体的な指摘はほとんどされてこなかった。安全なプログラムを作る基礎知識を持たない開発者がCGIを作る場合も多く、欠陥を抱えたサイトが多数放置されている可能性は高い。
「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表, 朝日新聞, 2004年1月4日
何が適法で何が違法なのかはそう簡単な話ではない。偶然に知ってしまった場合を除くと、Webサイトの脆弱性を適法に発見するというのは、関連法令と当該技術についての相当な知識と理解を必要とするものである。
適法かどうかは自分で判断するしかなく、それが出来ない人は何もしないべきであり、出来る人だけが届け出ればよい。間口が狭いがそれはしかたのないことだ。
公開情報を発見して届け出るのはよいが、その際に脆弱性の存在を確認する行為まですることについては、素人にはお薦め出来ない。