高木浩光＠自宅の日記

■ 流出パスワードの紹介は改正不正アクセス禁止法第5条に注意

20日ほど前のこと、Twitterのものらしきパスワードが5万5千件ほど流出したそうだということで、「自分のものが含まれていないか確認しよう」という呼びかけが、Twitterやまとめサイトで展開されていた。この呼びかけは、「自分のメールアドレスとIDを調べることで、流出リストに自分が含まれているかどうか確認できます」として、晒されたID・パスワードのリストを紹介し、見てみることを奨めるものであった。このような行為は、5月1日に施行された改正不正アクセス禁止法の第5条に違反する虞れがあるので注意が必要である。

不正アクセス禁止法は、今年3月に国会で改正案が成立し、5月1日から改正法が施行されている*1。他人の識別符号を提供する行為は、「不正アクセス行為を助長する行為の禁止」として改正前では4条に規定されていたが、これが5条に移されて、内容が以下のように変更された。

改正前：

（不正アクセス行為を助長する行為の禁止）
第四条 何人も、アクセス制御機能に係る他人の識別符号を、その識別符号がどの特定電子計算機の特定利用に係るものであるかを明らかにして、又はこれを知っている者の求めに応じて、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。ただし、当該アクセス管理者がする場合又は当該アクセス管理者若しくは当該利用権者の承諾を得てする場合は、この限りでない。

改正後：

（不正アクセス行為を助長する行為の禁止）
第五条 何人も、業務その他正当な理由による場合を除いては、アクセス制御機能に係る他人の識別符号を、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。

変更点は以下の3つである。

• 「その識別符号がどの特定電子計算機の特定利用に係るものであるかを明らかにして、又はこれを知っている者の求めに応じて」との要件が削除され、禁止行為の範囲が大幅に拡張された。
• 「業務その他正当な理由による場合を除いては」との要件が加えられた。
• 「当該アクセス管理者がする場合又は当該アクセス管理者若しくは当該利用権者の承諾を得てする場合は、この限りでない」との但し書きが削除された。

改正前では、どこのアクセス制御機能で使えるID・パスワードなのか不明な場合は禁止対象でなかったのが、改正後では、どこかのアクセス制御機能で使える（行為者の認識においてもそうだろうという）ID・パスワードであれば禁止対象となった。これは大幅な変更であり、すべての人が注意を要する。

パスワードの流出事件はこれまでにも何度もあり、その都度セキュリティ関係者の間で、流出したID・パスワードのリストのURLが紹介されるという事態は起きていた。その場合でも改正前4条に違反する虞れはあったが、当該アクセス管理者が対策処置（当該パスワードの変更やアカウントの削除）をとった後であれば、それはもはや当該アクセス制御機能における識別符号ではなくなる*2ので、そのような場合には、流出したパスワードを誰かに紹介する行為は合法であり、正当なものとしては、主に、パスワードにはどんなものが多く設定されているかその実態の分析と周知のためなどに、そうした情報共有が行われることがあった。

今回のケースでも、Twitterのアクセス管理者が即座に対応をし、以下のようなツイートをしていたことから、「既に対策はとられている」という理由をもって改正前4条ならば違反にならないという考え方も可能であった。

まだ社内で調査中ですが、一部のアカウントにパスワードリセットが行われたようです。スパムアカウントだけで、一般のユーザーさんには影響がないと思われますが、ご心配の方はパスワードの変更をされてください。ご心配をおかけして申し訳ありません。support.twitter.com/articles/24192…

— twjさん (@twj) 5月 9, 2012

• 昨日の「パスワード流出」というニュースについて, Twitter Blog, 2012年5月10日

  流失したとされているアカウントには、Twitterからパスワードのリセットのリクエストをかけました。大半はスパムアカウントとして停止されているもので、普通にTwitterを使われている方々のアカウントはこのリストには含まれていません。

しかし、今回は、改正法施行後に起きた。改正後5条では、その識別符号がどこかのアクセス制御機能で使えるもの（行為者の認識においても）であれば、提供行為は禁止される。

今回晒されたID・パスワードには、Twitterだけでしか使われていないとは言えないものも含まれていた。つまり、Twitter公式ブログでは「大半はスパムアカウント」とされ、多くのID・パスワードが乱数で機械的に生成されたもののようだとする説もあったが、実際のリストを確認してみたところ、そのようなものばかりではなく、実在しそうなメールアドレスと人が使いそうな普通のパスワードの組のものもかなりの量が含まれていた（図1）。

図1: 晒されたID・パスワードのリストに普通のものも含まれていた様子

このようなID・パスワードは、Twitter以外の様々なWebサイトその他で、アクセス制御機能の識別符号として使われている可能性がある。これらが実際にそのようなもので、そのような認識でこれらを提供すれば、不正アクセス禁止法第5条違反ということになる。

ここで、「提供しているのはPastebinに貼付けた奴で、自分はそこにリンクしただけだ」という釈明が通るかという論点がある。ここには2つの論点があり、1点目は、リンクで閲覧を誘導する行為が提供に当たるのかという点、2点目は、公開状態のものをさらに提供する行為も禁止されているのかという点である。

2点目について、逐条解説書（改正前に書かれたもの）に、第2条第2項の識別符号の定義の解説において次の記述がある。

識別符号であるID・パスワードがハッカーによりホームページで公開されて第三者に知られてしまっている場合など、利用権者等でない第三者が当該識別符号の入力による特定利用ができる状態があったとしても、アクセス制御機能により特定利用が制限されていることに変わりはない（略）。ただし、ID・パスワードが広く知られてしまっている状態をアクセス管理者があえて放置していて、誰でもそのID・パスワードを用いて特定利用することができるようになっている場合は、当該特定利用については、アクセス制御機能による制限がないと言わざるを得ないと解されよう。

逐条 不正アクセス行為の禁止等に関する法律〔補訂〕, p.61, 立花書房, 2001年

つまり、例えば今回のケースで言えば、Twitter運営者があえて放置している場合には、もはやその識別符号による「アクセス制御機能による制限」はないということで、公開状態になっているID・パスワードを（TwitterのID・パスワードであることを明らかにして）さらに誰かに提供しても、それは（改正前では）違法とならないという考え方が有り得た。

しかし、「アクセス管理者があえて放置していて」というのは、当該アクセス管理者がその状況を認識していることが前提であって、今回のTwitterのケースであれば、「TwitterのID・パスワードだぞ」と名指しされたからこそ認識できるわけであって、Twitter以外の他のサイトで、同一のID・パスワードが利用されている場合に、それら他のサイトの全てのアクセス管理者が、この流出の事態に気付くということは考えにくい。したがって、改正後5条の観点からは、当該識別符号が使われている全てのアクセス管理者について「アクセス管理者があえて放置していて」という状況は考えにくい。

この点でも、「流出パスワードの提供」という行為のうち改正前では合法であった場合が、改正により合法でなくなっている。

このように、今回の改正で、他人の識別符号の提供行為の禁止は大幅に拡張されている。そのようなものまで処罰対象とするのは過剰な規制ではないかという意見もあるかもしれない。

しかし、今回の法改正の趣旨は、法の制定から12年以上が経過した今日では、ID・パスワードを登録するサービスの数が大幅に増え、人々は同じID・パスワードを複数のアクセス制御機能に使い回して登録せざるを得ない状況になったという情勢変化に対応したものである。

実際、3年ほど前から、不正アクセス事件の原因として、他のサイトで流出したID・パスワードが入力されているのではないかとの疑いがもたれるようになっていた。

• iTunesストアの不正アクセス被害で問題にすべきポイントは何か, 高木浩光＠自宅の日記, 2010年2月17日
• 「おまえがパスワードを流出させたんだ」と決めつける迷惑な人々, Web屋のネタ帳, 2008年9月10日

このような疑いはこれまで憶測でしか語ることができず、検証が行われたこともなかったが、今回の法改正に際して警察庁が調査を開始しており*3、ひとまず以下の結果が出ている。

• 侵入、100回に4回成功 不正アクセス「ログイン攻撃」 警察庁調査, 朝日新聞2012年3月10日夕刊

  大量のIDとパスワード（PW）の組み合わせを次々に自動入力してシステムへの侵入を試みる「ログイン攻撃」の実態を、警察庁が調べたところ、100回に4回もの頻度で侵入されていたことがわかった。同庁は、他人になりすました取引やメールの盗み見などに悪用されている恐れもあると見て、不正アクセスの実態把握に乗り出す。

  調査は昨年、ゲームやショッピングなどのサイト運営企業14社に実施した。うち8社が、1カ月間に約265万回の攻撃を受け、約10万回不正侵入されていた。

  （略）警察庁幹部は「有効だとわかったIDとPWは、売買され、悪用される」と見るが、実態はわかっていない。（略）同庁幹部は（略）「同じPWなどを使い回す人は多く、1社が黙っていれば被害は広がる。情報は攻撃対象や手口を分析し対策にいかす」と説明している。

今後この調査が進めば、どこかで流出したID・パスワードのリストが「ログイン攻撃」（「大量のIDとパスワードの組み合わせを次々に自動入力してシステムへの侵入を試みる」）に使われている事実が立証されるかもしれない。

「同じパスワードの使い回しをする奴が悪い」という考えの人もいるだろうが、私はそれに同調しない。自己防衛策として「パスワードを使い回ししないようにすると良いですよ」とするアドバイスは結構だが、「パスワードの使い回しをしてはならない」ことを前提とした社会になるべきではない。同じパスワードを使い回す自由がある。

このような状況に鑑みて、今回の法改正は、当初の目玉であったフィッシング行為の禁止（7条）の他に、識別符号の不正な流通を防止する禁止規定も設けたのである。このことについて、警察庁の「不正アクセス禁止法改正Q&A」は次のように説明している。*4

• 不正アクセス禁止法改正Q&A, 警察庁, 2012年4月

  Q5 改正法により禁止・処罰範囲が拡張される助長罪（第5条）について教えてください。

  A 改正前は、他人のID・パスワードを、そのID・パスワードがどのウェブサイト（のサービス） に対するID・パスワードであるかを明らかにして、又はこれを知っている者の求めに応じて、無断で第三者に提供する行為を禁止・処罰の対象としていました。

  しかし、近年、一人の人間が利用するコンピュータのサービスの数が増加しており、同一のID・パスワードを多数のサイトで使い回す例が一般化しています。その結果、提供されたID・パスワードがどのウェブサイト（のサービス）に対するものかが明らかでなくとも、多数のID・パスワードを入力すれば一定程度の割合で不正ログインに成功する場合があることから、今回の改正により（略）他人のID・パスワードを提供する行為が全て禁止され、違反者は（略）こととなりました。

今回の改正では、識別符号の不正な流通を防止するため、提供の他に、取得と保管も禁じている。

（他人の識別符号を不正に取得する行為の禁止）
第四条 何人も、不正アクセス行為（第二条第四項第一号に該当するものに限る。第六条及び第十二条第二号において同じ。）の用に供する目的で、アクセス制御機能に係る他人の識別符号を取得してはならない。

（不正アクセス行為を助長する行為の禁止）
第五条 何人も、業務その他正当な理由による場合を除いては、アクセス制御機能に係る他人の識別符号を、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。

（他人の識別符号を不正に保管する行為の禁止）
第六条 何人も、不正アクセス行為の用に供する目的で、不正に取得されたアクセス制御機能に係る他人の識別符号を保管してはならない。

不正アクセス行為の禁止等に関する法律 最終改正：平成二十四年三月三十一日法律第十二号

このように、他人の識別符号を取得する行為（第4条）や保管する行為（第6条）も禁止されているが、これらはいわゆる「目的犯」であり、不正アクセス行為の用に供する目的がなければ違法でない。「不正アクセス行為の用に供する目的」とは、自分自身が不正アクセス行為に及ぶ際に使うつもりがある場合や、自分以外の誰かが不正アクセス行為に及ぶ際に使われるであろうことを期待している場合など、そのような目的がある場合を指す。

したがって、今回Pastebinに晒されたリストを閲覧したとしても、（閲覧しただけで取得には当たる*5が）それだけでは（不正アクセス行為の用に供する目的がなければ）4条違反でないし、閲覧したリストをハードディスクに保存したとしても、それだけでは（不正アクセス行為の用に供する目的がなければ）6条違反ではない。（加えて、6条では、保管が違法となるのは「不正に取得された」他人の識別符号に限られている*6。）

単純所持罪ができたわけではないので、不正アクセス目的取得罪とか、不正アクセス目的保管罪と言うべきものだろう。*7

今回の騒動で、Pastebinに貼られた識別符号を閲覧した人、保存した人はかなりの人数にのぼると思われるが、不正アクセス行為の用に供する目的がなければ違法でないので、そこを心配することはない。

しかし、提供（第5条）は違う。第5条は目的犯ではない。不正アクセス行為の用に供する目的がなくても、単純に他人の識別符号を（利用権者やアクセス管理者以外の者に）提供したら、それだけで違法である。

このことは、改正前4条でも同様で、「不正アクセス行為を助長する行為」として禁止されている。不正アクセスを助長する行為は慎むべきとして単純に禁止されているのである。「悪気はなかった」は通用しないのであるが、罰則は軽めで、懲役刑や禁固刑はなく、30万円以下の罰金とされている。

5条違反であっても、12条1項2号に規定されている通り、「相手方に不正アクセス行為の用に供する目的があることの情を知って識別符号を提供した」場合の罰則は、1年以下の懲役又は50万円以下の罰金となっており、目的犯である4条、6条と同じ重さに規定されている（そうでない単純提供の場合は第13条の規定が適用される）ように、不正アクセス目的の有無で罪の重さが差別化されている。

そのことからも改めて認識させられるように、相手方に不正アクセス行為の用に供する目的があることの情を知っていなくても、他人の識別符号を提供するのは、罰金刑のある違法行為なのである。

このことに気付かずに、ついつい、晒されているID・パスワードをさらに広めてしまう過ちを犯してしまいがちな予感がするので注意したい。

なお、これが禁止されてしまうと、従来行われてきたような、パスワード流出の事実を通報したり、注意喚起することができなくなってしまうのではないかとの懸念が出てくるわけだが、5条では、（改正前4条にはなかった）「業務その他正当な理由による場合を除いては」との要件を設けて、違法となる範囲を狭めている。

「業務その他正当な理由」とは何なのかだが、刑法改正のときの「正当な理由がないのに」の要件は何ら限定するものにならないという刑法学者の見解とは違って、このような法定犯（行政犯）の「業務その他正当な理由による場合を除いては」という条文はちゃんと意味を持つのだそうだ。警察庁の「不正アクセス禁止法改正Q&A」は次のように説明している。

• 不正アクセス禁止法改正Q&A, 警察庁, 2012年4月

  Q6 改正により「業務その他正当な理由による場合」を除いて他人のID・パスワードを提供する行為が全て禁止された（第5条）ということですが、「業務その他正当な理由による場合」とはどのような場合を言うのですか。

  A 「業務その他正当な理由による場合」とは、社会通念上、正当と認められるような場合をいいます。例えば、

  • 情報セキュリティ事業者が、インターネット上に流出しているID・パスワードのリストを契約している企業に提供する行為
  • インターネット上に流出している他人のID・パスワードを発見した者が、これを情報セキュリティ事業者や公的機関に届け出る行為
  • ID・パスワードとしてよく用いられている単純な文字列を、ID・パスワードとして設定すべきでないものとして示す行為

  等は、不正アクセス行為を防止する目的で行われるものであり、「業務その他正当な理由による場合」に該当します。

  また、

  • 情報セキュリティに関するセミナーの資料等において、ID・パスワードのインターネット上への流出実態を示すために実際に流出したID・パスワードのリストを掲載する行為

  等も、流出実態の危険性を訴えることや対応策を検討することを目的に行われるものであるので「業務その他正当な理由による場合」に該当します。

この手の解説に出てくる例示は、確実なものだけが書かれているものなので、これらに該当しないケースはどうなのかという疑問はいっぱいあることだろう。

たとえば、流出しているパスワードを発見した者が、「情報セキュリティ事業者や公的機関」以外（たとえば報道機関に）に通報するのはどうなのかとか、不正アクセス行為を防止する目的で、知り合いのアクセス管理者に（そのアカウントをロックしたりパスワードリセットした方がいいと奨めるために）流出パスワードのことを個人が（情報セキュリティ事業者でない者が、契約なしに）親切で教えてあげるといった行為はどうなのか。

少なくとも、いくら不正アクセス行為を防止する目的を標榜していても、「自分のID・パスワードが流出していないか確認しよう！」と不特定多数に流出パスワードを広める行為は、除外されにくいのではないか。そのような目的では、パスワードまで知らせる必要はなく、IDだけを知らせるとか、IDを隠したまま該当の有無を知らせるだけで足りる。