- - PR -
何処までが制御の回避行為?
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2004-02-04 15:06
http://www.asahi.com/national/update/0204/020.html
↑ACCSからの情報漏洩にからみ不正アクセス禁止法が適用されましたネェ ただ、ホントに今回の件は不正アクセスなんでしょうか? TBC等の時は、アクセス制御無しの剥き出しの状態でした。 アクセス制御を回避ってわけではないですね? ACCSの件は、クロスサイトスクリプティングの問題を利用して、ローカルに保存した ファイルを弄ったものを実行していました。 さてこれは、アクセス制御を回避する行為になるのでしょうか? さぁ、そしてSoftEtherですが、 企業が設置したFirewallで、あるPort6699が閉じられています。 SoftEtherを使ってPort6699の通信をPort443に回避して通信しました。 さて、これはアクセス制御の回避行為??? | ||||
|
投稿日時: 2004-02-05 11:55
> ACCSの件は、クロスサイトスクリプティングの問題を利用して、ローカルに保存した
> ファイルを弄ったものを実行していました。 このケースはクロスサイトスクリプティングではありません。 ・ACCSの投稿フォームで投稿内容の最終確認のため投稿内容を表示するCGIを利用 ・投稿内容を表示するCGIの引数にそのCGI自体を入れると、CGIのバグで CGIのソースが表示される ・そのソースを見て投稿内容が格納されるファイル名を確認する ・今度は投稿内容を表示するCGIの引数に投稿内容が格納されるファイル名を入れると、 CGIのバグですべての投稿内容が表示される これは電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能により その特定利用を制限されている特定電子計算機に電気通信回線を通じて その制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ その制限されている特定利用をし得る状態にさせる行為であり不正アクセスに該当します。 | ||||
|
投稿日時: 2004-02-05 14:06
ACCSの件は、非常にお粗末なセキュリティホールであるということから、そもそも制御されているとは見なせないと考えます。
したがって、CGIのソースが表示されることを確認する程度の行為で、不正アクセスと見なすべきではないと思います。 ただし、投稿内容が取得できることを予期して実行したとすれば、その時点で不正アクセスと見なして良いかもしれません。 SoftEtherに関しては次のように考えます。 ネットワーク管理者がアクセス制御をしているつもりであるのならば、アクセス制御の回避に当たるのではないでしょうか。 現状では「特定のポートを塞ぐこと」=「そのポートを使用するアプリケーションの実行を許可しない」という共通認識があるとみなしていいと思います。 ただし、今後は管理者側がその辺のポリシーを明確にしなければいけないと考えます。 | ||||
|
投稿日時: 2004-02-05 14:41
ども、BASEです。
ねこだいすきさん回答ありがとうございます。 >このケースはクロスサイトスクリプティングではありません。 あ、すいません。 発表者自身が、クロスサイトスクリプティングっていってたので、そう思ってました。 #ローカルに保存したファイルから、該当サイトのCGIを動かしているので、 #そういう動作がそうなのかな?と >これは電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能により >その特定利用を制限されている特定電子計算機に電気通信回線を通じて >その制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ >その制限されている特定利用をし得る状態にさせる行為であり不正アクセスに該当します。 極端かもしれませんが、簡単に書くと 入力項目が足りない場合”ng.html”と表示する仕様のCGIがあった場合、 どんなセキュリティホール、バグがあったとしても ”ng.html”を別のファイル名に置換えて実行させようとする行為が ”制限を免れる”行為に該当する。 って、ことであってます? ##なんか、パスワードミスって書いた内容消えて残念がっているうちに、 BBSハンドル名さん回答ありがとうございます。 >非常にお粗末なセキュリティホールであるということから、 >そもそも制御されているとは見なせないと考えます。 ここら辺は、セキュリティ技術者と検査される側のサーバ管理者で意見が分かれるんでしょうね #と、いうかMLとかでは、立場の違いなんでしょうが大変ですねやりあいが・・・ ただ、”見なせないこと”と”法律違反でないこと”は必ずしもイコールではないと思います。 どこまでがOKで、どこまでがNGなのか・・・とりあえず今回の事件の結果が判例の一つに なってしまいますね SoftEtherについて 仮に、不正アクセス禁止法に引っ掛けられるのであれば、 「法律違反」という言葉でそれなりに抑止効果は望むことが出来そうですね。 ただ、明確な意図として、許可する通信を細かく規定して社内に公開するなどとかしなければ ならない感じでしょうか? | ||||
|
投稿日時: 2004-02-05 18:32
井上です。
確か、不正アクセス禁止法では「アクセス制御手段の突破」と並んで、「セキュリティホールを突いた攻撃」も違法とされていたような気がするのですが。 _________________ www.kojii.net | ||||
|
投稿日時: 2004-02-06 07:31
ども、BASEです。 愛媛県警のハイテク犯罪対策室のページより 1.「他人のID・パスワード等」を盗用してアクセス制御されているコンピュータを不正に利用する行為(なりすまし) 2.アクセス制御しているコンピュータ等のセキュリティホールを突いて、アクセス制御されているコンピュータを不正に利用する行為 3.アクセス制御されているコンピュータを利用できる「他人のID・パスワード等」を、承諾なしに第三者に提供する行為 ですんで、セキュリティホールをつく場合はだめでしたね(汗 訂正です。 | ||||
|
投稿日時: 2004-02-06 09:31
おそらく、本人にとってはそれがあまりにも初歩的な欠陥であり、
セキュリティホールとは捕らえていなかったのでしょうね。 (コンビニで車のカギをつけっぱなしで離れたら、車を盗まれた。 それは当たり前でしょう? ぐらいの感覚でしょうか?) ただ、それを専門家ともあろう人が、公衆の面前で本物を使って やり方を公開してしまったというのはさすがにまずいでしょうね。 同じ動作をするダミーのCGIとデータを用意して、相手の了解を 得た上で公開するというのならまだしも... これでは「不正な利用」と言われても仕方ないと思います。 | ||||
|
投稿日時: 2004-02-06 10:14
井上です。
念のために、元の条文も当たってみました。 明確に「セキュリティホールを突く行為」と記されてはいませんが、不正アクセス禁止法第三条の第二項・第三項に規定されている「制限を免れることができる情報又は指令の入力」が、セキュリティホールを突いて、本来アクセスできないはずの情報にアクセスする行為、と解されるのでしょう。 ちなみに、他人のユーザー ID とパスワードを勝手に利用する行為は、同第一項の「当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ」ですね。 _________________ www.kojii.net |