被害を拡大、深刻化させる方向に運用されはじめた「不正アクセス禁止法」

　1月4日の朝日新聞に、著作権保護団体のインターネットサイトから個人情報が取り出され、公開された事件についての記事が掲載された。

製品・サービス・業界動向業界動向

2004年1月6日（火） 12時00分

　1月4日の朝日新聞に、著作権保護団体のインターネットサイトから個人情報が取り出され、公開された事件についての記事が掲載された。

　この事件は、著作権保護団体のインターネットサイトに存在する個人情報漏洩につながる脆弱性を発見した個人が、それをイベントで公開し、実際に引き出した個人情報を見せたというものである。この個人は、もちろんサイトには脆弱性の連絡を行っており、「善意」あるいは「正義」に基づいて活動していたと思われる。この一連の問題は「不正アクセス禁止法」に抵触する可能性があると指摘されている。
　この事件については、編集部が現在アンケートを実施しており、いろいろな指摘、意見がいずれ公表されるであろう。

　筆者がこの事件で一番気になるのは、個人が特定のインターネットサイトの安全性の確認を行うことを抑圧する方向に「不正アクセス禁止法」が運用されようとしているのではないかという点である。

　そもそも筆者は、新聞というメディアは、特定の少数の利益のために運用されている媒体であると認識している。紙面でいかに立派なことを書いていても、「記者クラブ」という既得権益に固執し、新聞販売店の強引な戸別訪問販売に依存し、特定の団体や企業のマイナスになる記事は掲載しない（あるいは表現に配慮する）という媒体には「偏向」があるに決まっていると思っている。
　今回、朝日新聞が一面にこの事件を掲載したということは、なんらかの意図をもっていると考えられる。その意図とは、「不正アクセス禁止法」による個人の自衛活動の抑圧ではないかと思う。

>> インターネットのパブリックサービスの事故はネット公害

「インターネットのパブリックサービス」というとおおげさな言い方になるが、ネット上で企業や団体がその活動の一環として運営するサービスは「パブリックサービス」といって差し支えないであろう。

　多数の人々が利用しており（あるいはする可能性があり）、そこで問題が発生した際には、多くの人々に影響がでる可能性があるサービスである。
　こうしたサービスに欠陥があり、それが元で多数の利用者に問題が発生するということは、「公害」といってもよいのではないかと筆者は考える。個人情報がダダもれのECサイトや会員制サービスサイトなどはその典型である。

　リアルの世界の「公害」には、刑事罰を含むさまざまな規制が存在しており、新たに問題が発生した際には、被害者を受け付ける体制や当事者が罰するための法律が用意されている。また、規制に準じて公的な監視を行う組織もあったりする。

　しかし、ネット公害に関しては、被害者を受け付けるための窓口は限定されており、当事者を罰する法制度も未整備である。特に個人情報の流出などの事件を引き起こしたとしても刑事罰に問われることはまずない。もちろん、公的な監視を行う組織もない。

　過去にサーバ管理の不適切さに起因する数多くの個人情報流出事件が起きているが、これらの被害を引き起こした企業の責任者が刑事責任を問われたケースは聞いたことがない。不買運動（当該サイトを利用しない運動？）が起きたこともない。お金と手間をかけて安全対策をするよりも、事件が起きたらそこだけ対処するようにしておいた方が経済合理性にかなっている。ネット公害をおこしても企業にとってはなんの問題もないのである。要するに、現状はネット公害天国なのである。

　個人情報流出はネット公害　当事者意識のない企業と関係官庁(2002.9.2)
https://www.netsecurity.ne.jp/article/1/6487.html

　IT政策大綱の正しい読み方　〜多様性廃し経済性優先。
　尊い犠牲者大量募集！〜(2002.10.24)
https://www.netsecurity.ne.jp/article/1/7116.html

>> 「無視する／逆ギレする」「公表しない」「保障しない」
>> ネット公害当事者の３無主義を可能とする罰則なしの無法地帯

　ネット公害を引き起こした企業でもたちの悪い企業は「無視する／逆ギレする」「公表しない」「保障しない」という３無主義を徹底している。

　「無視する／逆ギレする」
　　事件の連絡を受けても表ざたになるまで、無視する企業は少なくない。場合によっては、「そんないいがかりをつけるのであれば訴える」という逆ギレを起こして連絡した人間を恫喝する担当者や経営者もいる。特に、被害が発生しているか、どうか微妙な段階ではひたすら無視を決め込む企業は少なくない。

　「公表しない」
　　事件あるいは脆弱性について公表をしない。さらに、発見者、連絡者にも公表しないよう求める企業は少なくない。ネット公害の事実を隠蔽しようという姿勢である。筆者がある某大手ベンダのマネージャさんと話した際のコメントが印象的だった。「当社としては当社のサービス、製品に関する脆弱性発見の情報は歓迎しており、感謝もしています。ただし、それを一般に公表する必要性については認めませんし、公表を差し控えていただくようお願いしております。」

　「保障しない」
　　問題が発生してもなんの保障もしない。
　　最近では民事訴訟で賠償金を勝ち取るケースもでてきているが、全体の情報漏洩事件や脆弱性の数からすると、まだまだ少ないといえる。また、被害者が一般個人であった場合、訴訟費用およびそれにかかる時間も大変である。訴訟以前に、企業が自ら保障を考える際の目安などができてくると違うと思う。

　こうしたネット公害天国を謳歌している企業の事例は、毎月 "Scan Monthly Report" に「事後対応ベスト＆ワースト」という形で発表されているその月に起こった事件の事後対応がよかった企業と悪かった企業を発表するというものである。ワースト企業は、まさしくネット公害企業といってもさしつかえないであろう。
　過去の事例を見てもわかるように、著名企業、大手企業であってもネット公害天国にどっぷりつかって、脆弱性放置、事後の保障なしで通している企業は珍しくない。

【マンスリーレポート2003/09】
　インシデント事後対応　ベストはミニストップ、ワーストは郵びんやさん (2003.10.27)
https://www.netsecurity.ne.jp/article/1/11450.html
【マンスリーレポート2003/11】
　インシデント事後対応　ベストはアスクル、ワーストは該当なし (2003.12.15)
https://www.netsecurity.ne.jp/article/1/11852.html

　＊上記URLで公開されているのは「ベスト」のみで、ワーストは社名のみ公開。ワーストも含めた全文記事は、有料版の Scan Scurity Wire に掲載。

>> 自分で自分の身を守る方法を封じる「不正アクセス禁止法」

　ネット公害天国の現状にあっては、個人が自分あるいは自分に関係する人々を守ろうとした場合、利用するサイトやサービスの安全性を自分自身で確認する必要がある。なぜなら、調べてくれるところもないし、問題があっても保障も罰則もないわけなので自分の身は自分で守るしかないのである。
　しかし、事前の安全性のチェックを行うことは場合によっては、「不正アクセス禁止法」に抵触する可能性がある。

　カミングアウトしてしまうと筆者は自分の使っているサイトに対して基本的なセキュリティチェックをかけた際に「登録されている多数の個人情報を表示」したり、「サーバに管理者権限」で入れたりしたことがある。これは別にねらいを定めて攻撃を行ったわけではない。一般的に知られる脆弱性の確認コードをねんのためにいれてみたら、そのまんま動いてしまったのである。正直、筆者はこのような基本的な問題が放置されているとは考えていなかった。脆弱性への反応でセキュリティ対策のレベルがわかればと思った次第である。それが対策なしだった。

　筆者のこの行為は、不正アクセス禁止法に抵触する可能性がある。しかし、厳然としてそこに脆弱性とそれによる危険性は存在しており、筆者はその確認をしなければ知らずにサイトを利用して被害を受けたかも知れないのである。
　ネット公害天国で、どのようなサイトでもいつ事故、事件が起きるかわからない状況で、自分の身を守るための確認作業を法律によって規制されてしまうのは大変困った問題である。

>> 不正アクセス禁止法が水戸黄門の印籠に変わる時証　ネット公害増長の悪法

　前置きが長くなったが、今回の問題には、このネット公害天国に拍車をかける危険性があると筆者は感じている。
　今回、問題となったのは、主として集会においての個人情報を含む脆弱性情報を公表したことと認識している。集会でそこまでの情報を公表してしまうこと自体は、問題のある行為といわざるを得ない。
　しかし、その一方でサイトの脆弱性を確認することや脆弱性を公表することにも問題があるとされてしまうことは問題である。
　脆弱性の確認と公表は、不正アクセス禁止法を適用可能な範囲になる可能性をもっている。確認作業は対象とするサイトの安全性が低レベルな場合には「侵入」できてしまうこともあるし、脆弱性の公表が第三者の行為を補助するといえないこともない。実際、過去に善意で脆弱性報告を行った個人が逆に告訴されることもあった。

　自分で自分の利用するサービスの安全性を確認する行為および確認した結果を公表する行為が「違法」とされてしまうことは、ネット公害放置の現状において八方ふさがりになってしまう。
　安全確認をサイト側に求めれば当然「安全です」と回答があり、心配だから確認しようとすると、水戸黄門の印籠のように「不正アクセス禁止法」に違反する犯罪者として糾弾されかねない。
　ネット公害を引き起こした企業に対して、なんら実効性のある罰則のない現状において、「不正アクセス禁止法」だけが一人歩きしてしまうことに深い危惧を感じるのは筆者だけではあるまい。

　いくらネット公害を引き起こしてもその指摘を行った人間を「不正アクセス禁止法」で訴えられるとなれば、企業はいくらでも強気で「無視する／逆ギレする」「公表しない」「保障しない」の姿勢をつらぬくことができる。
　なにしろネット公害にあっては、「不正アクセス禁止法」に対抗できる手段を誰ももっていないのである。

　自分の利用しているサーバの状況を確認する方法(2002.7.2)
https://www.netsecurity.ne.jp/article/1/5767.html

　自分の利用しているサーバの状況を確認する方法　不正中継確認(2002.8.5)
https://www.netsecurity.ne.jp/article/1/6212.html

>> 住基ネットなどにも同じ問題　総務省の言うことを聞くしかないのか！？

　もちろん、こうした問題は企業だけではない。

　住基ネットの安全性について疑問を投げかけた長野県に対して総務省は「個別具体的に問題を示す」ようにいっている。しかし、個別具体的な問題は、総務省がテスト環境を公開していない限りは、現在実稼動中のシステムに確認作業をかけるしかない。「不正アクセス禁止法」に抵触する可能性のある行為を行わない限り、総務省のいう個別具体的な問題の指摘は不可能である。運営者である総務省および自治体は住基ネットでの問題発生について保障を行う義務がない。

　「IT政策大綱の正しい読み方」を地で行く
　総務省のセキュリティホール放置(2002.11.5)
https://www.netsecurity.ne.jp/article/1/7249.html

[ Prisoner Langley ]
https://www.netsecurity.ne.jp/article/10/10589.html

《ScanNetSecurity》