不正アクセス行為の禁止等に関する法律等の概要及び運用上の留意事項について

不正アクセス行為の禁止等に関する法律等の概要及び運用上の留意事項について』という表題の文書が平成12年1月21日に警察庁から警察庁生活安全局長およびに警察庁情報通信局長名義で出されています。(平成12年1月21日付け警察庁丙生企発第31号、丙生環発第2号、丙技発第1号)文書の目的を記した部分を以下に引用します。全文は、奥村弁護士のブログをご参照下さい。

不正アクセス行為の禁止等に関する法律(平成11年法律第128号。以下「法」という。)及び不正アクセス行為の再発を防止するための都道府県公安委員会による援助に関する規則(平成11年国家公安委員会規則第12号。以下「規則」という。)の制定の趣旨及び要点等については、「不正アクセス行為の禁止等に関する法律等の施行について(依命通達)」(平成12年1月21日付け警察庁乙生発第1号、乙官発第1号、乙情発第1号)のとおりであるが、これらの概要、運用上の留意事項は下記のとおりであるので、遺漏のないようにされたい。

いきなり仰々しくて驚かれたと思いますが、法律が具体的に説明されている文書であって、これに基づいて警察は判断している、そのように捉えておけば良いかと思われます。

さて、この文書において私が注目している部分を抜き出します。

(3)アクセス制御機能(同条第3項)
ア概要

アクセス制御機能とは、特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている機能であって、当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号等であることを確認して、当該特定利用の制限の全部又は一部を解除するものである。

アクセス制御機能は、アクセス管理者が特定電子計算機の動作の管理を実現するための手段である。

(6)罰則

(引用者により省略)

なお、不正アクセス行為罪は、不正アクセス行為によりし得る状態になった特定利用を制限していたアクセス制御機能を単位として成立するが、アクセス制御機能の単位はこれを付加したアクセス管理者ごとに判断されることとなる。

特定利用を制限していたアクセス制御機能を単位としてという表現は実際的で技術者の感覚とそれほど異ならないでしょう。アクセス制御機能の単位はこれを付加したアクセス管理者ごとに判断されるという表現も自然だと思われます。全能のアクセス管理者の他にも様々な階層のアクセス管理者が、ひとつの特定電子計算機を管理していることは、ままあることです。アクセス制御機能の単位は実際には複雑なのですね。

さて、office氏の裁判の求刑が出ているようですけれども、検察側は、ひとつの特定電子計算機に、ひとつのアクセス制御機能が存在し(FTPスキーム上で)、office氏はそれにかかる不正アクセス行為を行なったのだとしています。弁護側は、無論、officeがHTTPスキームを通じてアクセスした際において、アクセス制御は存在していない、あるいは、万人に利用可能であった、と主張しています。

office氏FTPスキームなど触りもしませんでしたので、検察側の主張はかなりおかしいのです。不正アクセス行為罪は、不正アクセス行為によりし得る状態になった特定利用を制限していたアクセス制御機能を単位として成立するのですから。FTPスキームルートとHTTPスキームルートとでは当然アクセス制御が異なります。

上の通達は検察の意志ないし指導も相当にはいっているはず、と考えられなくもなく、不思議ではあります。裁判官さんはどのように判断するのでしょう。ちぐはぐな法を無理に適用して不可思議な判決がでないことを祈ります。世の中が暗くなりませんように。

荘内銀行への不正アクセスとポリシー

NTTデータの金融ANSERシステムサービス

NTTデータの金融ANSERシステムサービスについて知りたく思い、NTT DATA - サービス&プロダクト - ANSERのページの商品概要説明を読んでみました。以下に引用します。

商品概略

「ANSER」(Automatic answer Network System for Electrical Request)は、入金通知等の顧客への連絡業務、顧客からの残高照会等に対応する応答業務、顧客自身の保有する口座からの振込・振替業務等といった金融業務を自動化したサービスです。利用される金融機関の業態に応じて、銀行編、証券編、生保編の3つのサービスがあります。また、利用端末は、電話、FAX、専用ソフトを搭載したパソコン、ホームユース端末、インターネットブラウザパソコン、WEBブラウザ付き携帯電話など多岐に亘っています。

(引用者により省略)

特長
  • 1981年からサービスしており、20年以上に亘る信頼と実績に基づくサービス。
  • 既に全国で500以上の金融機関に利用されている。

今日まで私は金融ANSERシステムサービスの存在を全く知りませんでした。一般の金融機関の利用者がどれだけご存知なのか興味があります。調べようがありませんけれども。金融ANSERシステムサービスに口座電子決済などを代行委託している金融機関で、インターネットバンキングを開始した人ならば事前の契約時点において知らされるのかもしれませんね。

庄内銀行

[connect24h:8320] Re: 銀行のサーバが攻撃されていました。を読んで、庄内銀行のセキュリティーポリシー・プライバシーポリシーがどのようなものなのかを後学の為に知りたく思い、庄内銀行のサイトを閲覧しました。しばらくねばりましたが、ポリシーを発見できませんでした。いくつか気がついた点を書いてみます。

荘内銀行は、荘銀ダイレクトというサービスを行なっています。インターネットバンキング・モバイルバンキング・テレホンバンキングの各サービスを併せたサービスのようです。

トップページには、「VeriSign セキュア サイト シール」が貼られています。その直下には、当サイトはSSL暗号化通信に対応しておりますと書かれています。SSLを利用した「通信情報の暗号化」と「企業/組織の実在性の認証」とに関してのVeriSignからのセキュアサイトシールですね。保証の対象は、もちろん当サイト=www.shonai.co.jpです。ところが、荘銀ダイレクトというサービスにSSLを利用してログインすると、www.shonai.co.jpのサイトとは無関係なサイトに接続されます。「VeriSign セキュア サイト シール」を掲げている意味がわかりません。実は荘銀ダイレクトのサービスは、NTTデータの金融ANSERシステムサービスにて委託代行しているのでした。当然サイトも異なります。

荘銀ダイレクトのサービスを利用しようとするときにはアドレスバーのないポップアップウィンドウ配下で閲覧することになります。サイトが荘内銀行のものではない、ということを利用者はアドレスバーのみですぐには判別できません。SSL鍵アイコン(IEの場合)を利用者がダブルクリックすると、「VeriSign セキュア サイト シール」で保証されていないサイトであることがわかります。https://www2.paweb.anser.or.jp/でしたが、これが、金融ANSERシステムなのでした。

私が荘銀ダイレクトのサービスの責任者だったらどうするかなと考えて見ました。予算や人員、設備の都合で自社サーバでの電子決済は諦めたとします。まず、「VeriSign セキュア サイト シール」は不要なので撤廃するでしょう。プライバシーポリシーを適切に定めてこれをウェブ上www.shonai.co.jp内で明示します。ポリシーでは、金融ANSERシステムサービスを紹介し、NTTデータサービスの該当説明ページへのリンクも用意します。荘銀ダイレクトのサービスは、この信頼度の高いサービスに委託していることも明記します。また、この委託サービスを利用しているあいだのURLの表示はこれこれであると明示します。ポップアップウィンドウではアドレスバーとステータスバーを必ず表示することも明記し、利用者に確認を求めます。これ以外のURLはフィッシング詐欺の可能性があるとも明記します。NTTデータとの契約により、利用者の個人情報は厳格に守られ、その利用は荘内銀行だけに限られること、NTTデータはその情報を機械的に保存し処理することがあるが荘内銀行以外にデータをもらさないことを明示します。こんなところでしょうか。利用者はポリシーを見て自らのネットバンキングの安全性を確認していくわけです。これだけのことをしっかり行なえるサイトならば、そのポリシーは「VeriSign セキュア サイト シール」よりも信頼度が高くなると思います。

さて、[connect24h:8320] Re: 銀行のサーバが攻撃されていました。を読んでいて今しがた確認したのですけれど、荘内銀行トップページに、今回のWebサーバ乗っ取られについての報告文がリンクされていました。

上記のお詫びページから引用します。

ホームページならびにインターネットバンキングご利用の一時中断のお詫び(1月22日〜1月24日)

外部から当行ホームページへの不正なアクセスがあり、その復旧と安全確認のため、1月22日(土)午後2時45分からホームページならびにインターネットバンキングのご利用を一時中断させていただきました

メンテナンスおよび安全確認を行った上、1月22日(土)午後6時20分にインターネットバンキングを、1月24日(月)午後10時40分にホームページのご利用を再開させていただきました。

この間、インターネットバンキングおよびホームページをご利用いただけない状況にありましたことをお詫び申し上げます。

今回の不正アクセスの対象となったホームページにつきましては、当行のお客様の情報にかかわる分野のシステムとは全く切り離されたものであり、顧客情報漏洩等の問題は一切ございませんのでご安心いただきますと共に、引き続き当行をご愛顧いただきますようお願い申し上げます。

今回の不正アクセスの対象となったホームページにつきましては、当行のお客様の情報にかかわる分野のシステムとは全く切り離されたものであり、顧客情報漏洩等の問題は一切ございませんと言うのは、私の日記で本日申し上げたことにより理解することが出来ます。しかしながらWebサイトの侵入があった時に、NTTデータの金融ANSERシステムサービスへのリンクを捏造されて悪意あるフィッシングに値するようなサイトに誘導されていたとしたらどうなのでしょうか。もちろん、そのようなことは発生していなかったと充分に調査された上で、上のお詫び文書が公開されたことと思います。私だったら万が一の為にも最低限でもパスワードの再取得を利用者にお願いすることでしょう。そのお願いは、メールでは行ないません、もちろんですけれども。

参考文献