今週のSecurity Check(第195回)

 問題を一つ。退社した元社員のユーザー名,パスワードを使って認証を回避した場合,「不正アクセス禁止法」(厳密には,不正アクセス行為の禁止等に関する法律)に照らして犯罪になるか?そしてその根拠は?

 この問題に,どのくらいの方が即答できるだろうか。不正アクセスという言葉はよく使われるが,不正アクセス禁止法で何を禁止しているのかは必ずしも正しく認識されていない。原因は「アクセス」の定義が明確になっていないことである。そこで今回は,法律からみる不正アクセスについて考えてみよう。

 不正アクセス禁止法のように,刑法とは別に存在する刑法系の法律を特別刑法という(刑法と特別刑法を合わせて広義に刑法と呼ぶこともある)。刑法系の法律では,違法とする行為を明確にすることが特に要求される。これが曖昧な法律や条文は憲法違反(憲法31条)となり,起訴されても無罪判決が下されることになる。もっとも現実には言葉は数式のようにはいかないので解釈問題は生じる(特に刑法の解釈は学説で対立が多い)。

 不正アクセス禁止法における不正アクセスの定義を知るには,法の目的を理解するのが早道だろう。刑法や特別刑法には,ある対象を保護する目的があり,この対象のことを「保護法益」という。不正アクセス禁止法の目的は同法の第1条に記載されている「アクセス制御機能により実現される電気通信の秩序の維持」である。つまり,保護するものは「電気通信の秩序」であり,「情報」ではない。秩序を保護するために,アクセス制御機能を無力化し,アクセス制御機能を回避する行為を犯罪としたのである。ここで言うアクセス制御機能は一般に認証機能と呼ぶもので,パスワードなどのデータが入力され,正当な権利者かそうでないかを識別する機能である。この点から,不正アクセス禁止法においては,データを不正に入手したり,改ざんしたりする行為は不正アクセスにはならない。
 
 ここで注意しておきたいのが,パスワードという言葉は不正アクセス禁止法には登場していないことだ。代わりに,識別符号という言葉を使っている。識別符号は,認証の様々な実装を想定し,パスワードに限らず,認証機能に用いるあらゆるデータを意味する造語である。

 正当な権利者とは,管理者から当該コンピュータの使用を許されている者で,同法では「使用権者」という。識別符号によって,利用権者等(「等」が付くと管理者を含む)とそうでない者を区別する。しかし,パスワード==識別符号ではない。識別符号は「他の利用権者と区別」するものでなければならないので,例えばデフォルト パスワードはこれに該当せず,識別符号ではないということになる。

 もう少し詳しく見てみよう。同法では,不正アクセスと不正アクセスを助長する行為を禁止している。不正アクセスには,(1)他人の識別符号を用いてアクセス制御を回避すること(3条2項1号),(2)識別符号以外のデータによってアクセス制御を回避すること(3条2項2号及び3号)の2種類がある。

 このうち(1)はなりすまし行為である。他人のパスワードを盗んだり,推測したりして認証を得ることが典型例である。不正アクセス禁止法違反として検挙されるのはこのケースが多い。(2)は誰とも識別されない行為である。典型例は,認証を得ずにセキュリティ上のぜい弱性を突いた攻撃で認証を回避する行為が,バッファ・オーバーフロー攻撃がこの類型になる。

 これらの点を踏まえて,冒頭の質問を考えてみよう。答えは,(2)の定義に基づいて不正アクセスと判断される,である。元社員の認証データは,もはや「他人の識別符号」にあたらない。正当な権利者とそうでない者を区別する機能を失っているため,不正アクセス禁止法における識別符号ではない。このため,(1)の定義にはあてはまらない。ただ,識別符号以外のデータで認証回避する点は(2)の定義にあてはまる。

 では,以下のそれぞれの場合ではどうか。

●アクセス制御機能のないコンピュータへのアクセス
 不正アクセス禁止法では,認証機能の回避を不正アクセスとしているので,アクセス制御機能のない機器に対して不正アクセスは起こり得ない。技術的な認証機能は有効でも,デフォルト・ユーザー,デフォルト・パスワードしか設定されていない場合も,デフォルト・ユーザーは使用権者を区別するものではなく,識別符号とは言えない。不正アクセス禁止法におけるアクセス制御は行っていないことになる。

 ただし,使用権者がほかに存在し,たまたまデフォルト・ユーザーの設定が残っているという場合は,アクセス制御機能が存在すると見なされ,識別符号以外のデータ入力による不正アクセスとなると考えられる。

●ネットワークを経由しないアクセス
 不正アクセス禁止法は,ネットワーク経由での認証回避のみを禁止しているのであって,すべての認証機能を保護してはいない。対象機器のキーボードから他人のパスワードを入力してなりすましを行っても不正アクセスにはならない(キーボードと本体とのケーブルは「電気通信回線」とはみなされない)。

●バックドア
 攻撃者が不正に作成したユーザーを利用した認証はどうか。これは元社員の認証データと同様である。バックドア・ユーザーのパスワードは識別符号以外のデータなので,(2)に基づいて不正アクセスとなる。

●管理者やユーザーから承諾を得て行う不正アクセス
 事前に承諾を得れば犯罪とはならないか。一般的な犯罪は,承諾を得ても犯罪となる。しかし不正アクセス禁止法では,「承諾を得てするものを除く」と規定されている。

 不正アクセス禁止法はサイバー犯罪への対策として独立した法律として誕生したもので,従来全く概念化されていなかった新しい犯罪を定義した法律である。ただこの法律は,ネットワーク経由の認証を保護するだけであり,全てのサイバー攻撃を捕捉するものではないことを覚えておいていただきたい。

志茂野 利夫
日本アイ・ビー・エム
ISS事業部ISSプロフェッショナル サービス
教育グループ マネージャ

ITpro Securityが提供する「今週のSecurity Check」は,セキュリティに関する技術コラムです。セキュリティ・ベンダーである「日本アイ・ビーエム ISS事業部」(旧インターネット セキュリティ システムズ)のスタッフの方々を執筆陣に迎え,同社のセキュリティ・オペレーション・センター(SOC)で観測した攻撃の傾向や,セキュリティ・コンサルタントが現場で得たエッセンスなどを織り交ぜながら,セキュリティに関する技術や最新動向などを分かりやすく解説していただきます。(編集部より)