CGIの欠陥を突く不正アクセスで国立大学研究員逮捕

　警視庁ハイテク犯罪対策総合センターと池袋警察署は4日、コンピュータソフトウェア著作権協会（ACCS）のホームページから個人情報を入手した国立大学研究員の河合一穂（京都市在住、40歳）容疑者を不正アクセス行為禁止法違反および威力業務妨害の疑いで逮捕した。

　河合容疑者は、ACCSのウェブサイトにおいて、著作権問題の相談を受け付ける「著作権・プライバシー相談室〜ASKACCS」窓口のフォームで用いられていたCGIにセキュリティ上の欠陥があることを利用して、2003年11月6日〜8日にかけて数回にわたりウェブサイトに不正アクセスし、相談者の個人情報を入手。セキュリティ上の欠陥をACCSに通報した河合容疑者が所持していた個人情報とACCSの保有する個人情報が一致したため、ACCSでは当該ウェブページを閉鎖し、セキュリティ上の対策を施すなどの処置を行った。

　ところが、河合容疑者が2003年11月8日に東京都渋谷区で行われたセキュリティイベント「A.D.2003」の席上でASKACCSウェブサイトの攻撃手法を公開し、入手した個人情報を参加者に示したほか、電子メールで攻撃手法を送信。相談者の個人情報をこのイベントの配布資料に同梱してダウンロード可能な状態に置いていたことも判明した。漏洩した個人情報は今年1月には2ちゃんねるでもダウンロード可能な状態になったため、ACCSではプロバイダにダウンロードの停止を要請するとともに、プロバイダ責任制限法に基づいた発信者情報開示請求やログの請求などを進めていた。

　ACCSでは、今回の逮捕に関して「CGIの脆弱性を指摘することについては、セキュアなネットワーク社会を構築するために有用な側面もあると考えます。しかし、セキュリティとは本来、個人情報など重要な情報を保護するという目的のために存在する『手段』であり、今回のこの男性の行為は、手段のために目的を犠牲としたもので、本末転倒と言わざるをえません。この男性の目的が本当に『CGIの脆弱性の指摘』であれば、実際に個人情報を入手し、不特定多数の人の前で公開することまでは必要なかったと考えます。」としている。

　河合容疑者はかねてより主要企業や官公庁などのウェブサイトのセキュリティ上の問題点を指摘するなど、officeというハンドルネームを用いてセキュリティ啓発活動を行っていた。