コンピュータソフトウェア著作権協会(ACCS)のウェブサーバーから2003年に個人情報を引き出し漏洩させたとして不正アクセス禁止法違反の罪に問われていた元京都大学研究員に対して3月25日、東京地方裁判所は懲役8カ月執行猶予3年(求刑懲役8カ月)の有罪判決を言い渡した。
被告の元京大研究員は、ACCSのウェブサイトにある「著作権・プライバシー相談室ASKACCS」の入力フォームで使われていたCGIにセキュリティ上の欠陥があることを利用して、サイト利用者の個人情報を入手した。その後、2003年11月8日に開催されたセキュリティイベント「A.D.2003」の席上で、ASKACCSサイトへの攻撃手法を公開したほか、入手した個人情報をイベント参加者に公表した。そのうえ、入手した個人情報をこのイベントの配布資料に同梱して誰もがダウンロード可能な状態にしていた。そして、2004年2月4日に不正アクセス行為禁止法違反および威力業務妨害の疑いで逮捕された。
裁判では、CGIフォーム送信用のHTMLを改変して個人情報が記載されたサーバーのログファイルを入手した行為が不正アクセスにあたるかどうかが争点だった。被告はCGIへのアクセスは制御されていなかったので不正アクセスにはならないと無罪を主張してきた。だが、判決ではCGIプログラムのぜい弱性を突いたアクセスで、IDやパスワードを入力してアクセスする通常の方法を回避しているので不正アクセスにあたるとされた。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス