ACCS事件
大学研究員が、コンピュータソフトウェア著作権協会(ACCS)のWebサイト「ASKACCS」の脆弱性を発見。ACCSへの事前通知なしに、2003年11月のセキュリティイベント「A.D.2003」で脆弱性と攻撃手法を公開した。公開された手法を模倣した第三者による不正アクセスが発生し、2004年2月に不正アクセス禁止法違反と威力業務妨害の容疑で逮捕。不正アクセス禁止法違反で起訴され、一審で懲役8ヶ月・執行猶予3年の有罪判決が下され、控訴取り下げにより確定した。
- ▸不正アクセス禁止法違反
脆弱性を発見しても事前通知なしに公開・実行すると不正アクセス禁止法違反で検挙される可能性がある
セキュリティ脆弱性を発見した場合、まず運営者に非公開で通知する「責任ある開示(Responsible Disclosure)」の手順を踏むべき。事前通知なしに脆弱性や攻撃手法を公開したり、実際にアクセスして検証することは、不正アクセス禁止法違反に問われる可能性がある。
「検証のため」のアクセスでも不正アクセスとなる
脆弱性の存在を確認するためだけであっても、権限なしに他者のシステムにアクセスすることは不正アクセス禁止法違反となる。善意であっても「触らない」ことが重要。
攻撃手法の公開は模倣犯の責任も問われる可能性がある
攻撃手法を公開したことで第三者が同様の行為を行った場合、公開者も責任を問われる可能性がある。セキュリティ情報の公開には細心の注意が必要。