さて、ちょっとタイムリーさを逃し気味ではあるが、Winnyの開発者が「著作権法違反のほう助」の罪で有罪になった件。とりあえず記事をいくつか。
ちょっと昔、週刊誌かなにかで「裁判官がおかしい」という見出しがさかんに踊っていた時期があった。いやほんと、この判決もおかしい。
- Winny自体は価値中立だ
- Winnyによって著作権侵害の蔓延を積極的に企図したとまでは認められない
- でも有罪。罰金刑が相当である。
禅問答にすらならないような意味不明の三段論法。
ちなみに、perl言語界隈の技術屋として有名な小飼氏はかなりご立腹。→
404 Blog Not Found:極めて不当かつ想定の範囲内の判決
ちょっと話が飛ぶが、「こういう白とも黒ともつかないわけわからん結論を出さないようにするために裁判員制度をやるんだ!」という話もある。でも実はそうでもない。
たしかに、今後予定されている裁判員制度では有罪無罪の決定や量刑の判断については裁判官と裁判員の権限が同等ということになっている(へぇ)。しかし、裁判員が動員されるのは殺人などの重大犯罪の場合のみであり、今回のWinny裁判のような軽犯罪(っていうのか?)ではこれまでどおり裁判官のみで判断される。結局のところ、諸外国と比べると無罪判決を極端に嫌う日本の裁判官の体質と組織構造の問題は今後もずっと尾を引き続けるだろう。
とにかくしばらくの間、日本のIT技術はこのむちゃくちゃな判決にしばられっぱなしとなる。進歩の早い業界でそんな状況が長く続くことは致命傷になりかねない。
さてさらに話は変わる。
Winnyというソフトウェアが中心の話であるがゆえ、「ソフトウェアを作る自由が云々」といったような議論になりがちだが、筆者としては別な恐怖感を覚えた。著作権法違反という、どちらかいうと軽微なほうの刑罰に、「ほう助」の罪が簡単に適用されてしまうということは、他の法律違反でも「ほう助」で有罪にされてしまう可能性が飛躍的に高まってしまったのではないだろうか。
三井住友VISAカードのWebサイトには、「クレジットカード番号とその暗証番号を入力することでその会員の個人情報や取引履歴を表示する」という機能がある。もちろん、他人のクレジットカードの番号やその暗証番号を使ってここにログインすることを試みればそれは間違いなく「不正アクセス禁止法違反」で100%有罪である。
ところが、ここでいうクレジットカードの暗証番号はご存知のとおりたった4桁の数字。アルファベットも記号も使えない。インターネットから直接操作できてしかもお金にからむシステムにおいてこんな脆弱なパスワードシステムなどありえないことは言うまでもない。まったくもって言うまでもないことなんだが、あえてこんな資料を引用しておく。
金融庁の金融研究研修センターの「金融機関と情報セキュリティ」というフォーラムの概要報告書より抜粋 (コピーこちら)
インターネットバンキングについては、当初、SETなどの技術を利用して安全性を追及した形で導入が図られたが、使い方が難しかったことから利用者は増えなかった。ところが2000 年ごろにSSLを使って、単にパスワードを入れて認証するという方式を導入したところ、一気に普及した。そうしたシステムでは、「128bitSSLでお客様の情報を保護しています」という説明がよく使われるが、SSLはインターネットの中を電文が送受信される際に、インターネットにつながっている他のPCやサーバーからその内容が見えないようにしているだけであって、特別な認証技術ではなく、現実には認証はパスワードだけで行っているので、4 桁の暗証番号について1 万通りの総当り攻撃を行ったり、特定の文字列を当てはめたランダムな辞書攻撃により破られる可能性がある。そういう攻撃に対する防御は、ある程度は講じられているが、あらゆる手口に対してきちんと防御できているのか、という点については安心できない。
この資料はクレジットカード会社ではなく銀行のインターネットバンキングの話題なのだが、金融機関における4桁数字の暗証番号の脆弱性という点においては同じことだ。
いつごろからかは知らないが、三井住友カードは、ログイン方法にワンクッション入れるように変えた。
会員番号・暗証番号でのログイン方法が変わりました。
(1)従来の会員番号・暗証番号に加えて、画面に表示された4桁の数字を入力していただきます。
※場合によってはあわせて生年月日を入力していただきます。
Vpassのログイン方法:三井住友VISAカードより抜粋
画面に表示された4桁の数字というのは、いわゆるcaptchaで、
「ボット(bot)が種々のコンピュータのサービスを使うのを防ぐために使われる」ものである(
Captchaとはより引用)。なぜ、ボットつまりソフトウェアが会員がログインするページに対して自動的にアクセスしてくるのを排除する必要が出てきたかって、それは先述の金融庁の資料にもあるとおり、「4 桁の暗証番号について1 万通りの総当り攻撃される」ことを少しでも阻止する目的なのだろう。
しかしおそろしいことに、三井住友VISAカードのサイトのcaptchaは、captchaとしての意味をまったくなしていない。笑っちゃうくらいお粗末な仕様なのだ。それについては次の解説が詳しい。
さらにその後、captchaもどきの数字をいれさせる画面に、その会員の生年月日をいれさせる欄もついた。だからなんだというのだろう? 振り込め詐欺みたいな高度なソーシャルエンジニアリングを駆使するまでもなく他人の生年月日くらい簡単に調べられるだろう。
上にも引用したが、Vpassのログイン方法:三井住友VISAカードのページには、「※場合によってはあわせて生年月日を入力していただきます。」という一文が付け加えられている。しかし筆者が試した限りでは「常に」生年月日の入力を求められた。どんな「場合によっては」なのだろう?苦し紛れすぎる。
認証のためのパスワードとは言えないもの=captchaになってないcaptchaとか生年月日とか=をあたかもパスワードのように扱うにはクレジットカードの会員用Webサイトというものはクリティカルすぎる。いまのお飾りのようなcaptchaがまともなcaptchaになるとしても本来のcaptchaの概念や目的にはまるでそぐわない。
そもそも、クレジットカード番号とその暗証番号でWebサイトにログインできてしまうような仕組みを提供しているカード会社が他にあるだろうか?とりあえずDCカード、ライフカード、ニコスカード、JCBカード、アメリカンエキスプレスをあたってみた。各社とも三井住友VISAと同様にWeb上で取引履歴などを閲覧できるサービスをやっていたが、その認証にはクレジットカード番号とその暗証番号ではなくまったく別のIDとパスワードを別途登録させてそれを使うようにしていた。 マスターカードはWeb上でのそういうサービス自体が見当たらなかった。
なるほど、三井住友VISA以外のカード会社は、まともなセキュリティ意識をもってサービスを構築しているようだ。
ちなみに、クレジットカードの不正使用による金銭被害はクレジットカード会社が補償してくれる、と思っている人が多いが、それはカード番号だけが漏れた場合の話であって、暗証番号がばれて被害にあった場合の補償はしてくれないのが一般的である。
三井住友VISAカードの会員規約にもその旨かかれているが、マスターカードの解説のほうが簡潔でわかりやすかったので紹介しておく。
ゼロライアビリティーの適用除外は以下のとおりです。
* (省略)
* 不正使用に際し、カードホルダーの確認手段として暗証番号(PIN)が使用された場合
MasterCard - ゼロライアビリティー より
さて、ここまで書いてしまった筆者には一抹の不安が残る。
なにしろ、クレジットカードという、犯罪の標的として非常にポピュラーな情報を取り扱うWebサイトを、技術的に見てこれほどお粗末な仕組みで運用してしまうようなおかしな人たちである。しかもセキュリティ意識の高い同業他社は手を出しもしないことで。こんなお粗末な仕様のWebサイトの脆弱さについて誰かがどこかに書くなりしゃべるなりしたら、おかしな人たちはその人を「不正アクセス禁止法違反のほう助」で告発してしまうかもしれない。そしてまるで技術知識のない警察の捜査員は真に受けて起訴に持ち込み、おかしな裁判官はおかしな禅問答を唱えておかしな有罪判決文を押し付けるのだ。くわばら、くわばら。
しょうがないので、「暗証番号の総当り攻撃」なんていう小学生でも思いつきそうな事柄についてさえ、金融庁とかそういったところの資料をひもときながら話をすることでいちいち予防線を張らなければならない。
話をちょっと極端にふってしまったけど、そういうことだ。
きゅうくつな世の中になったものである。
追記:↑は小飼氏の記事と思い切りかぶっていたので(気づけよ自分)それもなんなのでこっちも紹介↓
