社団法人コンピュータソフトウェア著作権協会(ACCS)のサーバーから個人情報を引き出したとして、不正アクセス禁止法違反の罪に問われていた元京都大学研究員、河合一穂被告に対し、東京地方裁判所は3月25日、懲役8カ月、執行猶予3年の有罪判決を言い渡した。
河合被告は2003年11月8日に開催されたセキュリティ関連イベント「AD2003」で、Webサイトで使われるCGIの脆弱性を示す具体的事例としてACCSを紹介。同サイトから引き出した個人情報をダウンロード可能な状態においたことから、警視庁が不正アクセス禁止法違反などの疑いで逮捕していた。
弁護側は「パスワードなどアクセス制限を求められない方法でアクセスしており、不正アクセスには当たらない」と主張。これに対して、青柳勤裁判長は「サーバーにはアクセス制御機能があり、被告は管理者が想定していなかったプログラムの脆弱性を利用したアクセスを行っている」と弁護側の主張を退けた。
また、被告が欠陥に気付いてから3カ月もの間、ACCS側に報告せず、修正の機会を与えないままイベントで手法を公表していることに触れ、「脆弱なWebサイトを減らすことを目的に、プログラムの欠陥を指摘する動機があったとしても、これを正当視できない」と述べた。
弁護を担当した北岡弘章弁護士は判決に対し、「何が不正アクセスで何が不正アクセスではないのか、結局のところ正面からの答えがない。その後の行為に判決が引きづられている感がある。こうした脆弱性の指摘がなくなれば、多くのサーバーの脆弱性が放置され、結局、一般ユーザーの利益を損なうことになる」と不満をあらわにした。控訴に関しては被告と話し合ってから決めるとしている。
(原 隆=日経パソコン)
