不正アクセスについて、ユーザーが防御すべき点は理解できますが、不正アクセス罪の成立範囲がわからないので、法律はどこまで守ってくれるのかがわかりません。
不正アクセス罪の成立範囲は業界のいう「不正アクセス」の一部であって、それ以外は保護しない。保護されたいのなら、なんでもアクセス制御せよというのなら理解できます。
http://www.ipa.go.jp/security/ciadr/faq01.html
セミナーでのご質問から:Q0-4:不正アクセスの法的規制はどうなっていますか?(関連情報リンクあり)
Q0-8:CGI の脆弱性(セキュリティホール)って何ですか?CGI を使うとまずいことが起こるのでしょうか?(関連情報リンクあり)
Q0-9:パスワードの長さはどの程度必要でしょうか?(パスワードに関する注意事項)
Q0-10:ログの保管期間の目安はどのくらいでしょうか?
Q0-11:アカウントの共有は何がまずいのでしょうか?
Q0-12:ポートスキャンのような事前調査行為は法律に触れるでしょうか?
Q0-13:ファイアウォールの機能はルータでも実現できるのではないでしょうか?
Q0-14:パッチや新しいバージョンの情報のチェックはなかなか大変です。最低限チェックすべきサイトといったものはありませんか?<<
対策集も出ていますが、2号3号不正アクセス罪の成否については言及されていません。
http://www.ipa.go.jp/security/ciadr/cm01.html#cgi
種々の脆弱性(いわゆるセキュリティホール)への対策(CERT Advisoriesを中心に)
webサーバ(CGI)のセキュリティホール
サーバで利用するCGIに特定のコードが含まれているとセキュリティホールとなる。サーバソフトウェアの中には、標準のインストールの際に該当のサンプルプログラムをインストールするものがある。
不要なCGIプログラムの削除
CGIプログラム作成の際に当該コードを含まないように注意
脆弱性を指摘されているCGIプログラムを利用しないように注意
参考ページ
(特定の脆弱性が指摘されているCGIプログラム)
http://www.ipa.go.jp/security/ciadr/cgivuln.htm
JPCERT/CC CA-96.11.interpreters_in_cgi_bin_dir日本語訳
http://www.jpcert.or.jp/tr/cert_advisories/CA-96.11.txt
JPCERT/CC CA-96.06.cgi_example_code日本語訳
http://www.jpcert.or.jp/tr/cert_advisories/CA-96.06.txtBINDのセキュリティホールを利用した攻撃
バージョンアップにて対処
詳細は以下を参照
CERT(R) Advisory CA-2001-02 Multiple Vulnerabilities in BIND
http://www.cert.org/advisories/CA-2001-02.html
