不正アクセス防止法に関する質問です。

http://ub.blog85.fc2.com/blog-entry-21.html
http://shopdd.blog51.fc2.com/blog-entry-463.html
http://bokoboko3.blog75.fc2.com/blog-entry-80.html
http://blog.goo.ne.jp/oui_monsieur/e/5122de50d808bc9324fe9bb236771fcb
等のサイトで、megaupload.com の制限を回避するために、User Agent 情報を偽装する方法が紹介されています。
このような行為を実行した場合、不正アクセス防止法違反になるのでしょうか?
(相手に)わかるとかわからないとか、摘発されるとかされないといった回答ではなく、純粋に違法か合法かの回答を期待しています。よろしくお願いします。

回答の条件
  • 1人2回まで
  • 登録:2007/02/22 09:40:19
  • 終了:2007/02/22 23:00:56

ベストアンサー

id:Tietew No.2

Tietew回答回数12ベストアンサー獲得回数42007/02/22 15:27:25

ポイント45pt

http://www.ipa.go.jp/security/ciadr/law199908.html

「サーバが海外にあれば(日本国内にいる人が国内から不正アクセスをしても)抵触しない」という理解は誤りです。サーバが外国にあろうと、日本人で無かろうと、日本国内で行為が行われたならば日本法は適用されます。

今回のご質問に関しては、User-Agent情報は不正アクセス禁止法における「識別符号」(同法第二条の2)にはあたらないと考えられるので、不正アクセス禁止法には違反しないと考えられます。

いちおう根拠を述べておくと、同法第二条にある以下の太字部分に該当しないためです。

第二条

 2 この法律において「識別符号」とは、(中略)当該利用権者等を他の利用権者等と区別して識別することができるように付される符号(中略)をいう。

  一 当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号

id:andalusia

ありがとうございます。

第三条第2項第二号には、『特定利用の制限を免れることができる情報(識別符号であるものを除く。)』とわざわざ書いてあるので、User Agent情報が識別符号でないとしても、こちら(第二号)のほうには当てはまってしまうのではないでしょうか?

海外のサーバの扱いの件は、どうもhyposさんとは見解が食い違っているようですね・・・

2007/02/22 18:05:48

その他の回答(2件)

id:hypos No.1

hypos回答回数90ベストアンサー獲得回数112007/02/22 11:55:01

ポイント25pt

少なくとも「日本国における」不正アクセス防止法にはかかりません

というのはサーバの場所が日本国外の場合、日本の法律は適用外となるためです

 

まぁ、聞きたいのはそういうことじゃないと思うので本題へ

この行為自体が日本で定義する「不正アクセス」となるか否か、ということに関してでいえば

ーーー以下引用ーーー

第三条 何人も,不正アクセス行為をしてはならない。

2 前項に規定する不正アクセス行為とは,次の各号の一に該当する行為をいう。

一アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ,当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)

二アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ,その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)

三電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ,その制限されている特定利用をし得る状態にさせる行為

ーーー引用終わりーーー

 

この第2項の(データサーバと認証サーバが別なら3項になりそうですが)

>当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)

これにあたるかどうかでしょうね

特定ソフトを入れている、という情報を偽装して送ることで制限解除をしている、と取れるわけで不正アクセスとみなされる可能性はあります

ただし

>アクセス制御機能を有する特定電子計算機

このアクセス制御機能の定義がパスワードなどによる照合なのでUAがアクセス制御機能と認められるかは微妙なラインです

(元々この法律はパスワードを破る、ないしセキュリティホールをついたバッファオーバーランなどの実行防止のためなのでこの種のものは想定外)

 

ということで不正アクセス防止法に抵触するか、でいえば白に近いグレーではないかと思います、実際の判例がないので(日本の法で関与できないものなので判例にしようがありませんが)実際のところはわかりませんが

id:andalusia

ありがとうございます。

サーバが海外にあれば(日本国内にいる人が国内から不正アクセスをしても)抵触しないというのは正しいのでしょうか?

海外宝くじに国内から応募することが違法、のロジックからすれば、違法のように思うのですが・・・

http://internet.watch.impress.co.jp/www/article/1999/0621/kokuse...

2007/02/22 12:34:12
id:Tietew No.2

Tietew回答回数12ベストアンサー獲得回数42007/02/22 15:27:25ここでベストアンサー

ポイント45pt

http://www.ipa.go.jp/security/ciadr/law199908.html

「サーバが海外にあれば(日本国内にいる人が国内から不正アクセスをしても)抵触しない」という理解は誤りです。サーバが外国にあろうと、日本人で無かろうと、日本国内で行為が行われたならば日本法は適用されます。

今回のご質問に関しては、User-Agent情報は不正アクセス禁止法における「識別符号」(同法第二条の2)にはあたらないと考えられるので、不正アクセス禁止法には違反しないと考えられます。

いちおう根拠を述べておくと、同法第二条にある以下の太字部分に該当しないためです。

第二条

 2 この法律において「識別符号」とは、(中略)当該利用権者等を他の利用権者等と区別して識別することができるように付される符号(中略)をいう。

  一 当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号

id:andalusia

ありがとうございます。

第三条第2項第二号には、『特定利用の制限を免れることができる情報(識別符号であるものを除く。)』とわざわざ書いてあるので、User Agent情報が識別符号でないとしても、こちら(第二号)のほうには当てはまってしまうのではないでしょうか?

海外のサーバの扱いの件は、どうもhyposさんとは見解が食い違っているようですね・・・

2007/02/22 18:05:48

質問者が未読の回答一覧

 回答者回答受取ベストアンサー回答時間
1 Tietew 12 11 4 2007-02-22 18:30:10
  • id:hypos
    >海外宝くじに国内から応募することが違法、のロジックからすれば、違法のように思うのですが・・・
    実際は海外くじの購入は違法ではないのでは?という解釈もあるようです(参考:http://www4.zero.ad.jp/wh1k/lottory/loto.html)
    基本的にここで問題になるのは「授受」が国内で行われたか否か、っていうのがあるわけです(つまり外国で買ってしまえば少なくとも日本の法には問われない)
    この場合の法のロジックは「法に抵触する行為が国内で行われた場合」ということじゃないでしょうか
    で、不正アクセスについては(大雑把に端折ります)「特殊情報を送ることで該当PCの制限解除状態になること」と定義してるのでその状態になったサーバが海外にある=海外での行為とみなされるのでは、と
     
    日本ではNGとされる無修正エロ動画なども海外サーバの日本人向けサイトからみるのは違法ではない、という例もありますし(現状の無修正を謳うエロサイトはほとんどそうです)
    ただ、逆に海外サーバでも日本からアップロードし、かつオリジナルが日本国内に存在する場合違法という判例があるようですので完全に白とはいえない所以です
  • id:andalusia
    ありがとうございます。
    ただ、Tietewさんとは見解が異なるようですね。。。

    不正アクセス防止法の条文を見る限り、
    「特定利用をし得る状態にさせる行為」
    と、「させる」と言っている以上、「させて」いるのは日本国内でブラウザを操作している人なんじゃないでしょうか?
    無修正エロ画像は、そもそも「頒布し、販売し、又は公然と陳列」行為が違法なだけで、「購入する」「見る」行為は(たとえサーバが国内にあっても)違法ではなかったと思います。
  • id:Tietew
    あしまった。回答欄に書いちゃった。同じものをコピペするので開いて頂かなくて結構です。

    User-Agentによる制御は「アクセス制御機能」には該当しないと考えられるため、やはり、同法には抵触しないと考えられます。
    >>
    第二条
     3 この法律において「アクセス制御機能」とは、(中略)入力された符号が当該特定利用に係る<span style="font-weight:bold;">識別符号</span>(中略)であることを確認して、当該特定利用の制限の全部又は一部を解除するものをいう。
    <<
    つまり、「アクセス制御機能」とは「識別符号」(または識別符号とその他の符号を組み合わせて = いわゆるユーザ名とパスワードの組み合わせのこと)を用いて制限を解除するかどうか判断する機構のこととなるので、User-Agent単体で識別する場合は「アクセス制御機能」にはあたらないと考えられます。

    >>
    第三条
     2 前項に規定する不正アクセス行為とは、次の各号の一に該当する行為をいう。
      二 <span style="font-weight:bold;">アクセス制御機能を有する</span>特定電子計算機に(中略)当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(後略)
    <<
    User-Agentによる制御が「アクセス制御機能」でないならば、当該の計算機は「アクセス制御機能を有する特定電子計算機」ではないので、同法第三条には抵触しないと考えられます。

    <hr>

    海外のサーバの扱いの件は、たとえば、2chのサーバはアメリカにありますが、2chの管理人が何度も裁判で敗訴していること、2chに犯罪予告を書き込んだものが有罪となっていること、などからも抵触しないと考えるのは誤りだと判ると思います。

    「制限解除状態となった」サーバが海外にあったとしても、解除せしめた<span style="font-weight:bold;">行為</span>は日本国内で行われたのであるなら、日本法で処断できるでしょう。

    注意:いついかなる場合も抵触するとは言っていません。ケースバイケースでしょう。ただ、「抵触しない」と言い切るのは誤りだと言っています。
  • id:andalusia
    ありがとうございます。
    なるほど。そもそも識別符号を使わない場合は、アクセス制御機能とは認められないということですね。
    とすると、第三条第2項第2号の「識別符号であるものを除く」というのは、チャレンジレスポンスのような機構で、パスワードそのものではないものを送ることを想定したものなんでしょうね。
    すべて疑問が解けました。ありがとうございました。
  • id:Tietew
    > 第三条第2項第2号の「識別符号であるものを除く」というのは、チャレンジレスポンスのような機構で、パスワードそのものではないものを送ることを想定したものなんでしょうね。

    いえ違います。第三条第2項は「禁止事項」を列挙してあることに注意して読んでください。

    正しい識別符号(パスワード等)以外を用いて、アクセス制御機能を突破することを禁じているだけです。つまり、SQLインじぇくしょんを利用して認証を突破するとか。

    自分のものであろうと「他人のものであろうと」、正しい識別符号を送ってアクセス制御機構を通過することそれ自体は第三条第2項第二号にはあたりません。他人のパスワードを用いた場合は第二号ではなく、第一号に抵触です。

    チャレンジレスポンス等のトークンは第二条第2項第三号「当該利用権者等の署名を用いて(中略)作成される符号」に該当するので、識別符号です。
  • id:Tietew
    追記

    次のような解釈でも成り立ちますね。どっちが正しい解釈かまでは詳細に検討していません。

    チャレンジレスポンス等のトークンは、同第3項の「識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号」に該当するので、第三条において識別符号に含まれます。
  • id:andalusia
    そうでした。「禁止事項」を列挙してあることを忘れていました。何度もありがとうございます。
    法律は難しいですね。よっぽどプログラミング言語のほうが簡単です・・・

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません