まっちゃ139 29th 不正アクセス禁止法についてなどなど
行ってきたよ!
スタッフのお手伝いも少ししてきたので、岡村先生のオープニングほか、ぼちぼち抜けてるけど、頑張ってメモしたところがあるので、キーワード的に置いておく。
詳しくはこちらにまとめられているので参照されたし。
http://togetter.com/li/757793
園田先生
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- -
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
y2k 大騒ぎの後、無事に乗り切ったと思っていたその後の1月。
中央官庁ハッキング事件が起こる
総務庁、人事院、郵政省とかいろいろ
1月下旬から2月下旬までWEBページ書き換えが起こった
たくさんのページが日本人を罵倒する文言に
16件のうち、12件中国、1件アメリカ
これらが追求できなかった。
2/13施行予定の「不正アクセス禁止法」の重要性を世間にアピールする結果となった。
〜〜60年代
コンピューター犯罪が
〜〜70年代
情報犯罪が目立ってくる
有名俳優Tの長女誘拐事件
当時の銀行オンラインシステムを使った初めての犯罪
このとき、犯人を逮捕するためだけにシステム改造された
〜〜80年代
テレホンカードの偽造の流行
東海銀行のシステム悪用被害15億
三和銀行オンライン詐欺
当時の銀行の暗号システムが稚拙で、セキュリティ意識が低かった
〜〜90年代
ネットワーク犯罪に
ハイテク犯罪の多様化
商用利用が認められるインターネット閉鎖的なネットから民間へ
ハイテク犯罪への戦い
1986 OECDが不正アクセス犯罪化を推奨
1984 カナダ、コンピューターの無権限利用に関して刑法一部改正
1986 アメリカコンピューター無権限利用にkジャンして連邦法改正
1986 ドイツ、データの探知に関して刑法改正
園田先生、ドイツにいってドイツと日本の比較研究
1988 フランス、情報処理関連不正行為に関する法律成立
1990 イギリスコンピュータ不正使用法成立
日本の動き
1980 ***から不正利用が発生キャッシュカードの改ざん
1987 刑法一部改正
(***は聞きもれ)
犯罪類型はどうするのか
人をだましてお金を巻き上げるのが詐欺
コンピューターには心理がないし騙されない
これは詐欺とはいえない
新たに虚偽のデータを入れて財産を取得する行為を処罰する必要がある
「コンピューターの無権限利用」議論が起こるが見送られる
目的犯だけを処罰するべきという意見
ハッキングそのものを広く処罰する、という意見
典型的なものは通貨偽造罪
偽造、行使
これは偽造した瞬間に違法
行使を目的とした偽造
使う目的がなければ偽造罪にならない
お金にそっくりなものを作るのはだめだけど、軽犯罪
使うのが目的犯
ハッキングそのものを処罰するのはやりすぎだということに
ネットワークにつながっているものをハッキングするのが処罰される
スタンドアローンでは対象にならない
不正アクセスがなぜ処罰に値するのか
ハッキングというのは予備罪としての意味はない
殺人の準備が殺人予備罪
実行して失敗したら未遂罪
コンピューターの社会的重要性が大きくなってきている
不正アクセス行為は電子的な不正侵入罪
住居侵入と不正アクセスが同じかというとそうではない
住居侵入ははいることが不正侵入
鍵がなかったら侵入にならないか、そうではない
不法侵入を重大に考えると不正アクセス禁止法の解釈を誤る
ネットバンキングの不正送金
財産犯罪の主な手段に
不正に経済的利益を得るため<動機
識別符号盗用型<ほとんどこれ
利用権限のパスワードの設定、管理の甘さ<!!!
パスワードの管理さえちゃんとしていれば、ほとんど防げるということ
技術力を高めるのも基本だけど
パスワードの管理は個人の心理的なもの
〜〜ACCS事件
裁判で問題になることがほとんどない
不正アクセスとはなんなのかが裁判所で争われた唯一の事件
被告人が執行猶予がついたのでこれでよいとなった
控訴とりさげ、一審判決で終わった。本当に残念
平成17年3月25日判決
・アクセス制御機能とはなにか
・特定利用とは何か
この2点が争われた
公開領域、非公開領域
ほかの通信プロとコルのアクセス制御はどうなのか
この判決はおかしいのではないか
ほかのプロトコルによってアクセスを回避する行為はすべて不正アクセスと裁判所が言ってしまったことになる
実務はこうやって運用されているのに
物理的な存在で、そのどこかに鍵がかかっていれば、成立するらしい
結果として拡大解釈されてしまったと
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- -
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
てつたろ先生
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- -
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
slideshareにご本人のが上がっているので余談だけ
ー岡村せんせの話に対してー
大学の責務、でも予算次第
自分でちゃんと守れ
セキュリティ人材育成
研究がんばれ!!!
がんばれいわれても!!!
ー園田せんせの話に対してー
Y2K問題はわかりやすい一つの教訓
なんで大騒ぎになったのか?
エンジニアがふつうの人に、なるほどと思ってもらったから大騒ぎになった
でも効きすぎだった。どう考えてもそんなリスクなかった
わかってもらえない問題がある
2038年問題!!!
32ビット目が立つ瞬間!
何が起こるか?
うるう秒廃止しようよ!
これがわかってもらえない!
昔銀行のカードも脆弱だった
B-CAS複雑で良い仕組みだったけど破られちゃった
テクニカルでやばいことってのは、ちょっと考えたらわかることが世の中にばらまかれているということ
仕組み的には脆弱じゃなかったけど、工場で脆弱性が作りこまれた
最後の最後に工場で出荷したあと事故って回収される
Flashメモリの書き換えが頻繁しすぎて買い替え可能回数越えた
トータルでちゃんと見れてない
ACCS京都大学の研究員の人だった
和歌山のときにACCS事件のときのデモンストレーションが行われた現場にたまたまいた
その後京大へ行って「誰かそういうのわかるやつ!いませんか!」
高名な弁護士に電話した!
hiddenフォームパラメータでCGIの挙動が変えられるというCGI
エラーファイルのHTMLを置いといてhiddenに書く
アクセス制御機構が一つのパッケージになっているものをターゲットにしている
あくまでもCGIなので、、、FTPも。。
CGIの持っているアクセス制御てきなものが別にある
どっちになるかわかりませんねー!
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- -
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
森井先生のはどこまで公開していいんだかどうなのかわからなかった^^;
めっちゃ非難されてるねーんという話から危ないハードの話、暗号の大会でもうちょっとで表彰台だぜーってなって準備万端してたら、抜かれちゃったという話にはほのぼのしてしまいました。
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- -
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
今回はLTの時間がなかったので、次回を楽しみにしておこう。
毎回(って言っても3回目の参加だな)そうだけど、スタッフの熱意があったかくて、よい場所でした。
ごついゴミを持って帰ってくださった方感謝ですよ。
