誰やねん?
「現時点において法律的判断が困難な行為は、不正アクセス禁止法第三条に抵触すると推察すべきである」
なんていうのは。
グレーゾーンはグレーであって、ブラックではないんだから、「グレーなので注意」と記載すべきですね。
情報システム等の脆弱性情報の取扱いに関する研究会」報告書
http://www.ipa.go.jp/security/fy15/reports/vuln_handling/documents/vuln_handling_2004.pdf
(イ) 抵触する行為
不正アクセス禁止法第三条に抵触する行為の例を以下に列挙する。
1) 脆弱性関連情報を利用して、アクセス制御機能を回避し、インターネットなどを介してシステムにアクセスした場合には、不正アクセス禁止法に抵触する
上記のアクセス制御機能の定義は、第二条第3項にあるが、具体的な技術に関して判例は示されていない。しかし、特定のウェブサイトにアクセスする場合、現時点において法律的判断が困難な行為は、不正アクセス禁止法第三条に抵触すると推察すべきである。
2) 例えば、管理者やユーザ本人の了解無く、他人のパスワードを取得し、それを用いて権限なしで、インターネットなどを介してシステムにアクセスした場合には、不正アクセス禁止法に抵触する
社会通念上、パスワードの設定はアクセス制御機能の設定に該当することは当然であると推察されるため、上記は明確に不正アクセス禁止法第三条に抵触する。
(ウ) 抵触しないと推察される行為
不正アクセス禁止法に抵触しないと推察される行為を以下に列挙する。
1) 当該ウェブアプリケーションの利用権者が、正規の手順でログインするなどして通常のアクセスをした際に、ブラウザとサーバとの通信の内容を観察したところ、それだけで脆弱性の存在を推定できた場合には抵触しないと推察される
2) Web ページのデータ入力欄にHTML のタグを含む文字列を入力したところ、入力した文字列がそのまま表示された。この段階ではアクセス制御機能の制限を回避するに至らなかったが、悪意ある者に別の文字列を入力されれば、このサイトにセキュリティ上の問題が引き起こされかねないと予想できた場合には抵触しないと推察される
(ただし、悪質な結果を招くタグを人にアクセスさせることを意図して公衆が閲覧する場に書き込み放置した場合等には、刑法の不正指令電磁的記録作成罪に触れる可能性がある。不正指令電磁的記録作成罪は「犯罪の国際化及び組織化並びに情報処理の高度化に対処するための刑法等の一部を改正する法律案」にて規定(4.4.3(1)②3)参照))
3) アクセス制御による制限を免れる目的ではなく、通常の自由なページ閲覧を目的として、日付やページ番号等を表すと推察されるURL 中の数字列を、別の数字に差し替えてアクセスしてみたところ、社会通念上、本来は利用できてはならないはずと推定される結果が、偶発的に起きてしまった場合には抵触しないと推察される(ただし、積極的に多数の数字列を変えて試す行為等は、制限を免れる目的とみなされ得る。)
3)については、不正アクセス行為に該当するが故意がないケース(この場合の「故意」とは、アクセス制御による制限を免れる目的であることをさす。故意が認められなければ罰せられることがない)であり、上記の枠の例としては適当でないとの意見もあった。本報告書では、発見者の届出が望まれるケースの例示として、本節で紹介することとした。
ただし、上記のような形で、脆弱性の発見を目的とした検査を、ウェブサイト運営者の許可なく実施することを奨励するものではない
