ケータイIDによる利用者認証は、なりすましアクセスが不正アクセス禁止法で保護されないという件

ケータイIDによる利用者認証では、 なりすましアクセスが不正アクセス禁止法で保護されないのでは という高木先生のご意見と それに対してのbakeraさんとの議論です。
7
Hiromitsu Takagi @HiromitsuTakagi

ケータイIDによる利用者認証のもう一つの問題は、なりすましアクセスが不正アクセス禁止法で保護されない点。ただし2つのタイプのうち片方のみの話。1つは、何らかのパスワードがあって1回パスワードログインするとそれ以降パスワードなしでログインが継続するタイプ。これは同法で保護される。

2010-06-10 14:13:36
Hiromitsu Takagi @HiromitsuTakagi

一方、パスワードが存在せず、最初からケータイID(とIPアドレス制限)で同一利用者であることの確認をするだけのタイプ(着メロ課金等が典型)では、不正アクセス禁止法2条2項の識別符号が存在しない。ケータイIDは「みだりに第三者に知らせてはならないものとされている符号」ではないので。

2010-06-10 14:22:40
Hiromitsu Takagi @HiromitsuTakagi

不正アクセス禁止法が禁じるのは、アクセス制御機能により制限された利用をすること(し得る状態にすること)であり、アクセス制御機能とは2条2項の識別符号により制御するものを指すので、識別符号のないケータイIDだけによるサービスは、同法によって保護されていない。

2010-06-10 14:27:41
Hiromitsu Takagi @HiromitsuTakagi

そして、前者(パスワードがあるタイプ)は、cookieで同じことが実現できるのでケータイIDは無用なもの。一方、後者でケータイIDの需要があるようだけども、不正アクセス禁止法も保護しないし、他にもいろいろ間違っているので、そろそろそれを使おうとする発想を捨てるべき。UDIDとか。

2010-06-10 14:32:18
水無月ばけら @bakera

@HiromitsuTakagi 過去の裁判例を見る限りでは、携帯サイトの置かれているWebサーバのFTPのポートを開けておくだけで「アクセス制御機能」があったとみなされるのではないでしょうか (私はその裁判例が妥当だとは思いませんが)。

2010-06-10 14:37:56
ROCA @rocaz

面倒だからキャリアがUDIDだけで契約者認証するけど裁判に備えて同一マシンにFTPも上げておくライフハック RT @bakera: @HiromitsuTakagi 過去の裁判例を見る限りでは、携帯サイトの置かれているWebサーバのFTPのポートを開けておくだけで「アクセス..

2010-06-10 15:49:25
Hiromitsu Takagi @HiromitsuTakagi

@bakera その事案ではACCSのFTPアカウントが存在したからです。そのFTPアカウントでなら利用できたものを他の方法で利用したという理屈でした。

2010-06-10 16:12:55
水無月ばけら @bakera

@HiromitsuTakagi 「FTPのポートが」という言い方には語弊がありましたが、要はそのサーバ (物理的なマシン) 上に何らかのアクセス制御機能があれば良く、そのアクセス制御機能は不正アクセスが行われたサービスと関係ないものであってもかまわないという話であるはずです。

2010-06-10 16:16:18
Hiromitsu Takagi @HiromitsuTakagi

@bakera いえ。それは弁護側が「アクセス制御機能は存在しない」と主張したから判決が「存在する」と否定したものであって、判決文のロジックはそれだけではありません。つまり、アクセス制御機能が存在するから不正アクセス罪の構成要件を満たすと判断されたわけではありません。

2010-06-10 16:20:28
水無月ばけら @bakera

@HiromitsuTakagi はい、それはおっしゃるとおりだと思います。高木さんの言われるお話では、「端末固有IDが識別符号に当たらないため、1号不正アクセスは成立しない」ということについては同意します。

2010-06-10 16:23:39
Hiromitsu Takagi @HiromitsuTakagi

@bakera 私は2号、3号にも該当しないという意味で書きました。

2010-06-10 16:36:29
水無月ばけら @bakera

@HiromitsuTakagi はい、そう理解しています。2号に該当しない理由して「アクセス制御機能」が無いことを挙げられたように読めましたので、その論理は他のサービスにアクセス制御機能が存在するだけで否定されるのではないか、と思った次第です。

2010-06-10 16:47:06
Hiromitsu Takagi @HiromitsuTakagi

@bakera ACCS事件の判決では、あるアクセスが当該アクセス制御機能による制限にかかっていたと言えるかが問題とされ、「本件CGI及び本件ログファイルの各閲覧は、アクセス制御機能による特定利用の制限にかかっていたものということができる」と判断されており、その理由として、…

2010-06-10 16:55:05
Hiromitsu Takagi @HiromitsuTakagi

…その理由として、「本件の各特定利用ができたのは、プログラムないし設定上の瑕疵があったためにすぎないのであり、アクセス管理者が本件アクセス行為のような形で特定利用をすることを誰にでも認めていたとはいえない。よって、本件においても、本件CGI及び…」と書かれています。つまり、…

2010-06-10 16:56:27
Hiromitsu Takagi @HiromitsuTakagi

ケータイIDによる利用者認証とACCS事件との違いは、正規利用者のアクセスと「不正」利用者のアクセスの方法が同じか異なるかです。ACCS事件では異なる方法でした。判決はその部分を示しつつそこを理由に「制限にかかっていた」と判断したものです。一方、…

2010-06-10 17:00:18
Hiromitsu Takagi @HiromitsuTakagi

一方、ケータイIDの送信は正規利用者も「不正」利用者も同一です。したがって、ACCS事件の構成要件該当性理由を基にケータイID送信の件を論ずることはできないと考えます。

2010-06-10 17:03:15
Hiromitsu Takagi @HiromitsuTakagi

そして、パスワードのあるタイプ(いわゆる「かんたんログイン」)の場合では、通常のセッションハイジャック攻撃が2号不正アクセス行為に該当する理由 (http://takagi-hiromitsu.jp/diary/20060520.html )と同様に考えられるかもしれないと…

2010-06-10 17:07:35
@kalab1998

@HiromitsuTakagi しかし,サービスとは別にリモートメンテナンス用アカウントが用意され,パスワードが設定されていたら同じになりませんか?

2010-06-10 17:13:43
Hiromitsu Takagi @HiromitsuTakagi

と思ったわけで、そのときは、そのセッションIDが「特定利用の制限にかかって」いるアクセス制御機能が存在するからです。しかし、日本のケータイWebでは、かかるアクセス制御機能が存在しないような認証モドキが行われているというのが、冒頭の話です。

2010-06-10 17:15:10
水無月ばけら @bakera

@HiromitsuTakagi 詳しいご説明ありがとうございます。ひとつ気になった点があります。

2010-06-10 17:22:16
水無月ばけら @bakera

@HiromitsuTakagi 「ケータイIDの送信は正規利用者も『不正』利用者も同一」というお話ですが、この「同一」というのは、単にシステム側では同一に見えるというだけで、アクセス者の行為が全く同一というわけではないと思います。

2010-06-10 17:22:47
@kalab1998

@HiromitsuTakagi 話が一部しか見えてないととんちんかんなことを言ってしまいますね.失礼しました.

2010-06-10 17:23:06
水無月ばけら @bakera

@HiromitsuTakagi そして、システム側から見て正規アクセスと同一であれば2号不正アクセスを構成しない、という論なのだとすると、これは無理があるのではないでしょうか。なぜなら、1号の場合も、システム側では不正アクセスとそうでないアクセスを区別できないはずだからです。

2010-06-10 17:23:21
水無月ばけら @bakera

@HiromitsuTakagi 1号の場合にはシステム的に正規アクセスと「同一」のアクセスであってもも行為者が異なれば違法、2号の場合には「同一」のアクセスであれば免責……となるのだとするなら、その理由は何でしょうか?

2010-06-10 17:25:56
Hiromitsu Takagi @HiromitsuTakagi

@kalab1998 理由がない。送られてきたケータイIDからサービス結果を返す処理は、正規利用者に対しても同様に提供しているのですから、それは、メンテナンス用アカウントのアクセス制御機能による利用の制限にかかった利用ではありません。(これはACCS事件判決と矛盾しません。)

2010-06-10 17:26:57