ACCS不正アクセス裁判：脆弱性公開の技術者に有罪判決、司法判断の意義と影響

コンピュータソフトウェア著作権協会（ACCS）の個人情報流出事件で、不正アクセス禁止法違反に問われた元京都大学研究員に対し、京都地裁は3月25日、懲役8カ月、執行猶予3年（求刑・懲役8カ月）の判決を言い渡した。この判決は、セキュリティ研究者による脆弱性の公開行為が法的にどのように評価されるかという重要な前例として注目されている。

判決などによると、元研究員は、ACCSのWebサイト上の入力フォームで稼働するCGIプログラムに脆弱性を発見。これを利用して個人情報を含むログファイルを不正に取得し、2003年11月に開催されたセキュリティイベント「A.D. 2003」のプレゼンテーションでその手法を公開し、参加者が個人情報の一部をダウンロードできる状態に置いたとされる。

事実関係については弁護側と検察側の双方が同意しており、公判の主な争点は、元研究員の行為が不正アクセス禁止法で定義される「不正アクセス」に該当するかどうかに絞られた。

元研究員は、「CGIにはアクセス制御機能がなく、不正アクセスにはあたらない。イベントでの脆弱性公開は、プログラムの修正を促しネット社会の安全性を高めるための正当な行為だ」として無罪を主張した。しかし判決は、「問題のファイルは通常FTP（ファイル転送プロトコル）でアクセスされるものであり、FTPにはIDとパスワードによるアクセス制御機能が存在した。元研究員の手法は、このFTPのアクセス制御を回避する不正アクセス行為にあたる」と認定。さらに「イベントでの脆弱性公開は自己の技術を誇示する目的であり、IT社会の発展を妨げることは明らか」として検察の主張をほぼ全面的に受け入れ、有罪判決を下した。

不正アクセス禁止法では、管理者がアクセス制御機能を付加した「特定電子計算機」（電気通信回線に接続する電子計算機：同法2条）に対し、他人のパスワードを利用したり特殊なデータやコマンドを入力するなどして、管理者の許可なくアクセス制御を回避し、アクセス可能な状態にすることを不正アクセスと定義している（同法3条）。

公判では大きく二つの争点が取り上げられた。第一に、当該の「特定電子計算機」にアクセス制御機能が存在したかどうか。第二に、元研究員の手法が「特殊なデータやコマンドを入力することでアクセス制御を回避した」と評価できるかどうか――である。

弁護側は、特定電子計算機をプロトコルごとに解釈すべきだと主張。FTPとHTTP（Webブラウジングのプロトコル）はそれぞれ別個の特定電子計算機と定義し、FTPのアクセス制御とHTTP経由のアクセスは無関係だと論じた。

その上で弁護側は、CGIにはアクセス制御機能がなかったため、CGIを経由したアクセスは、公開ファイルを閲覧するための通常のアクセスだったと主張。元研究員は管理者がFTPでファイルを管理していたことや、FTPにアクセス制御機能が存在していたことを知らず、FTPによるアクセス制御を回避する意図はなかったと述べた。

これに対し検察側は、「特定電子計算機をプロトコルごとに定義するのは法律の規定と矛盾する」と反論。「管理者は問題のファイルにFTPでアクセスしており、FTPにはIDとパスワードによるアクセス制御機能があった。CGI経由のアクセスは管理者の想定外であり、プログラムの脆弱性がなければ不可能だった。これは通常のアクセスとは言えず、FTPのアクセス制御を回避した不正アクセス行為にあたる」と主張した。

判決は検察側の主張を全面的に支持。特定電子計算機の定義について、裁判所は「物理的なハードウェアとして定義すべきであり、プロトコルごとに解釈する根拠はない」と判断した。プロトコルごとに定義すると、トロイの木馬などを利用してプロトコルを迂回する不正アクセスが処罰できなくなる不都合が生じるとし、弁護側の主張を退けた。

さらに判決は、「同様のファイルにはFTPでアクセスするのが通常であり、ブラウザにURLを入力するだけでは閲覧できない秘匿性の高いファイルに対し、CGIの脆弱性を利用してアクセスするのは通常のアクセスとは言えない」と認定。「プログラムに設定ミスや脆弱性があったとしても、それだけでアクセス制御がなかったとは言えない」と述べた。

検察側と弁護側は、元研究員がアクセス手法をプレゼンテーションで公開した動機についても激しく対立した。不正アクセス禁止法の目的である「高度情報通信社会の健全な発展に寄与すること」（同法1条）に照らし、それぞれの立場から主張を展開した。

弁護側はプレゼンの目的を「脆弱性を指摘し、問題を修正してもらうことでインターネットの発展につなげるため」と説明。検察側は「サーバ管理者に脆弱性を知らせる前にプレゼンで手法を公開したのは、自己の技術を誇示するためであり、いたずらに模倣犯を増やすだけで正当な問題指摘とはいえない」と反論した。

判決は検察側の主張を支持。元研究員が脆弱性を発見してから3カ月間、管理者に報告せず放置したことや、「公表するとどうなるかすごく楽しみ」「前触れなく攻撃してみたい」などの発言を引用し、「真摯な指摘活動とはいえない」と厳しく指弾。「たとえセキュリティ対策を促すためとしても、管理者側に修正の機会を与えないまま発表して模倣犯の出現を促し、個人情報を漏えいした行為は正当視できない。高度情報通信社会の発展を妨げることは明らか」と結論付けた。

執行猶予を付した理由については、裁判所は「セキュリティホールを持つプログラムは多く、サーバ管理者側もそれなりの対策を講じるべきだ。被告はすでに社会的制裁を受けた上、掲示板などで個人情報流出の有無を確認するなど被害拡大の防止に努めている」と説明した。

判決後、弁護団の北岡弘章弁護士は記者団に対し、「有罪が確定すれば、脆弱性を指摘する技術者が減少し、管理の甘いサイトが増えて一般ユーザーの利益が損なわれるだろう」と懸念を示した。控訴については「まだ分からない」と述べるにとどめた。

北岡弁護士はさらに、「何が不正アクセスで、何が通常のアクセスなのか、正面からの答えは示されなかった。アクセス行為そのものより、その後の行為に引きずられた判決に見える」と指摘した。

また同弁護士は、不正アクセス禁止法における「特定電子計算機」の定義についても疑問を呈し、「立法段階では物理的なハードウェアを意図していたのだろうが、現実の技術実態には合っていない」とコメントした。この判決は、セキュリティ研究者と法執行の間の緊張関係を浮き彫りにし、今後の脆弱性開示の在り方に大きな影響を与える可能性がある。