CGIプログラムの操作は事実
コンピュータソフトウェア著作権協会(ACCS)のCGIを操作し、保存されていた個人情報を入手したとして不正アクセス禁止法違反に問われた河合一穂(office)氏の判決公判が3月25日に開かれ、青柳勤裁判長は懲役8カ月、執行猶予3年(求刑懲役8カ月)の有罪判決を言い渡した。かねてから公判廷で争われてきた「不正アクセスとは何か」という争点について、弁護側の主張は完全に退けられる結果となった。今後、セキュリティ業界に与える影響は少なくない。
この裁判では、事件の容疑事実については争われなかった。つまり、office氏がACCSのウェブサイトである「ASKACCS」のCGIプログラムを操作し、質問者の個人情報を含むログファイルを閲覧した行為については、弁護側も認めていたのである。
office氏がアクセスしたのは、ASKACCSのサーバ内にあった「csvmail.cgi」というCGIプログラムである。このCGIプログラムは、レンタルサーバ会社のファーストサーバ社が提供していたものだ。office氏はこのCGIにデータを渡すためのHTMLファイルをダウンロードし、csvmail.cgiのファイル名自体を引数として返した。すると、csvmail.cgiのソースコードが表示された。この中にログファイル名「csvmail.log」が記述されていたことから、再びこのログファイル名を引数として返し、ログファイルの中身を表示させることに成功した。この行為が「不正アクセス」であるとして、不正アクセス禁止法に問われる結果となったのである。
検察側の公訴提起に対して、弁護側は主に2点の反論を行った。
まず第1に、不正アクセス禁止法に定められている「アクセス制御機能を有する特定電子計算機」というのは物理的なサーバを指すのではなく、サービスを可能にしているプロセスを指しているという主張。これは新たな法解釈だが、証人として北陸先端科学技術大学院大学の篠田陽一教授が出廷し、次のように証言した。
「FTPとHTTPはマルチタスク環境下で双方のプロセスが完全に独立しており、互いに干渉していない。ユーザーが見ているのは、プロセスから発信されている情報だけだ。HTTPのプロセスが送信している情報を見てクライアント側から操作を行うのであって、そのウェブサーバにFTPなど他のプロセスがあるのかどうかということをユーザーの側は知りようもない」
つまりoffice氏の行為は、アクセス制御機能の存在しないHTTP/CGIサービスを操作しただけであって、FTPサービスが持っていたアクセス制御機能とは直接対峙していない。これはアクセス制御機能を「回避」「バイパス」したのではなく、あくまで別プロセスを使ってアクセスしたと考えるべきだ――という意見である。
第2に、HTMLを書き換えてCGIプログラムにアクセスするという行為は、不正アクセスには当たらないということ。今回の事件のCGIにはアクセス制御が存在しておらず、当たり前だが、HTMLのコードも外部に向かって公開されているものである。その公開HTMLコードを書き換えてcsvmail.logというログファイルにアクセスした行為は、不正アクセス禁止法で言う「アクセス制御を免れることのできる指令を入力した」には当たらないではないか――というのが弁護側の主張である。
弁護側の主張は一蹴される
しかし判決で、裁判所はこれらの主張を完全に退けた。判決文を詳細に見てみよう。
判決理由の冒頭では、弁護側の主張が次のように簡潔に説明されている。
『弁護人は、被告人が本件サーバコンピュータにアクセスしたことは特に争わないが、「アクセス制御機能」の有無は個々のデータ転送方式(プロトコル)ごとに考えるべきであって、被告人は、本件各アクセスをアクセス制御機能のいっさい存在しないHTTPを介して行っているのだから、本件各アクセス行為がアクセス制御機能による特定利用の制限を免れることはあり得ず、不正行為に当たらないなどと主張する』
ではこの主張に対して、裁判所はどう判断したのだろうか。判決理由は、次のように続いている。
『不正アクセス行為の禁止等に関する法律2条3項は、「アクセス制御機能」が「特定電子計算機」に付加されている機能であり、識別符号が「特定電子計算機に入力されるもの」と規定しているうえ、同法3条2項2号も、アクセス制御機能による特定利用の制限を免れることができる情報または指令を入力する対象を「アクセス制御機能を有する特定電子計算機」と規定しており、アクセス制御機能の有無を特定電子計算機ごとに判断することが前提となっている。本件では、ACCSがファーストサーバ株式会社からレンタルしていた物理的な機器である本件サーバが特定電子計算機であり、これを基準にアクセス制御機能の有無を判断することは文理上当然である。他方、その有無をプロトコル単位で判断すべき文理上の根拠は何ら存在しない』
読めばわかるとおり、「アクセス制御機能はプロトコルごとに考えるべきだ」という弁護側の主張は、裁判所によって一蹴されている。「物理的な機器であるサーバが、特定電子計算機にあたる」と断定しているのだ。なぜプロトコルで考えるべきではなく、物理的なハードウェアとしてのサーバで考えるべきなのかは、詳しくは説明されていない。「文理上当然である」というたったひとことで説明されているだけだ。
「文理」とは、いったい何だろうか。
一般的には、文理というのはものごとの論理や文章の筋みちなどを意味している。だが裁判所が「文理」という言葉を使った場合、それは法解釈の用語として受け止めるのが当然だろう。法律の世界には、「文理解釈」「論理解釈」という言葉がある。「文理解釈」は法文の字句や文章の意味を、日本語の文法的に解釈することを意味している。これに対して、立法の目的や法秩序との整合性、論理的意義などに基づいて法を解釈することは、「論理解釈」と呼ばれている。今回の判決では、裁判所は不正アクセス禁止法で定められている「特定電子計算機」という言葉を、あくまで日本語文法的にのみ解釈し、「それは物理的なハードウェアを指している」と断定したのだ。
裁判所がなぜ立法趣旨なども踏まえて論理解釈を行わなかったのかは、わからない。現在の不正アクセス法の一般的解釈をひっくり返すような法解釈論にまでは、あえて踏み込みたくなかったのかもしれない。しかしこの裁判所の判断に対しては、弁護側も強い不満を表明した。判決後に報道陣に囲まれた北岡弘章弁護士は、次のように語っている。
「立法した側は、たしかに『特定電子計算機』は物理的な計算機をイメージして、不正アクセス禁止法を作ったのかも知れない。しかしそのイメージは、現実とは合致しておらず、実態と合っていない。現状を見れば、特定電子計算機をそう解釈する積極的な理由はないと思う」
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力