東京地裁平成16(特わ)752

提供: Wikisource
ナビゲーションに移動 検索に移動

不正アクセス行為の禁止等に関する法律違反被告事件

東京地方裁判所平成一六年(特わ)第七五二号

平成17年3月25日刑事第一〇部判決

       主   文

被告人を懲役八月に処する。

この裁判が確定した日から三年間その刑の執行を猶予する。

訴訟費用は全部被告人の負担とする。

       理   由

(罪となるべき事実)

 被告人は、法定の除外事由がないのに、平成一五年一一月六日午後一一時二三分五五秒ころから同月八日午後三時四七分五〇秒ころまでの間、合計七回にわた り、別紙一覧表記載のとおり、京都市内ほか数か所において、パーソナルコンピュータから電気通信回線を通じて、アクセス管理権者である大阪市中央区安土町 《番地略》甲野ビル三階乙山株式会社が大阪市内に設置したアクセス制御機能を有する特定電子計算機であるサーバコンピュータに、当該アクセス制御機能によ る特定利用の制限を免れることができる指令を入力して上記特定電子計算機を作動させ、上記アクセス制御機能により制限されている特定利用をし得る状態にさ せ、もって、不正アクセス行為をしたものである。

(証拠の標目)《略》

(争点に対する判断)

一 弁護人は、被告人が本件サーバコ ンピュータ(以下「本件サーバ」という。)にアクセスしたことは特に争わないが、〔1〕被告人のアクセス行為は、「アクセス制御機能」のない電子計算機に 対するものだから、不正アクセス行為の禁止等に関する法律三条二項二号に定める「不正アクセス行為」に当たらない、〔2〕被告人が本件各アクセスに及んだ のは、コンピュータの脆弱性についてのボランティア的な問題指摘活動の一環としてであって、ネットワーク社会の安全性を高める行為であるから、違法性が阻 却される、〔3〕仮にアクセス制御機能が本件において存在したとしても、被告人はそれを知らず、制限を免れる認識も、本件アクセス行為が許されない行為で あるとの認識もなかったなどとして、被告人は無罪であると主張する。そこで、以下、検討する(なお、以下において、関係証拠を証拠等関係カードの甲乙等の 番号で引用する場合には、不同意により当該証拠に取り調べられていない部分があっても、その旨の注記は省略する。)。

二 証人Bの公判供述を始めとする関係各証拠によれば、以下の事実が認められる。

(1) 乙山株式会社は、一台のサーバコンピュータを複数の顧客で共用させる形で顧客にレンタルして利用させていた。レンタルの際、各顧客には一定のディスク領域 が割り当てられるが、そのディスク領域には、サーバのためのシステムが格納されている領域と、顧客のためのデータを格納する領域(第二回公判中証人B尋問 調書末尾添付の図(甲四添付の図一)のうち、ピンク色で示された部分。以下「顧客使用領域」という。)が設定されていた。顧客が、顧客使用領域にあるファ イルを読み書きするためには、サーバの設定を行うソフトウェア(コンフィグレータ)を使用してFTP(File Transfer Protocolの 略。ファイル転送に使用されるプロトコルの一つ。なお、プロトコルとは、コンピュータ間の通信における約束ないし手順をいう。)のアカウントを発行した 上、FTPを介してサーバにアクセスし、前記の手順で発行したアカウントのIDとパスワードを入力する必要があった。

 また、同社のサーバを利用 してホームページを開設するには、FTPを使って顧客使用領域内のドキュメントルート以下の領域(同図の青色で示された部分)にホームページとして表示す るHTML(Hypertext Markup Languageの略。ホームページを作成するときに使用される言語。)ファイル等を蔵置することとなっ ていた。そのように蔵置すると、ウェブサーバ(apache)がインターネット閲覧者のリクエストに応じてドキュメントルート以下の領域のファイルを読み 込み、HTTP(Hypertext Transfer Protocolの略。ウェーブサーバからホームページのデータを転送するときに用いられるプロ トコル。ブラウザは、そのデータを解析し、ホームページとして表示する機能がある。)を介し、ホームページのデータとして送信することとなっていた。ただ し、拡張子(ファイルの末尾に付される文字列。ファイルの種類を区別するなどの機能がある。)が「cgi」のファイルについては、ウェブサーバの設定によ り、その内容を送信するのではなく、当該ファイルをCGI(Common Gateway Interfaceの略。ホームページにおいて動的処理を実現 するためのプログラムの一つ。)プログラムとして起動し、その処理結果をインターネット利用者が閲覧できるように送信などすることとなっていた。

(2)社団法人コンピュータソフトウェア著作権協会(以下「ACCS」という。)は、乙山株式会社から本件サーバをレンタルして運用していた。

 ACCSにおいては、本件サーバを利用して、「著作権・プライバシー相談室」のホームページ(以下「ASKACCSのページ」という。)を設け、インター ネット利用者からの相談を受け付けるサービスを行っていた。質問者は、ホームページに表示された空欄(フォーム)に氏名や質問内容を書き込むこととなって いたが、その際、氏名等については、偽りなく記載するように指示されていた(甲一四)。ASKACCSのページでは、このサービスを行うにあたり、質問 者、質問時刻、質問内容等を記録すると同時に電子メールとして配信するために、csvmail.cgiというCGI(以下「本件CGI」という。)を使用 していた。すなわち、本件CGIは、ASKACCSのページにある「送る」のボタンをクリックすることによって、ウェブサーバから起動され、前記フォーム の内容を電子メールで送信するとともに、その内容をcsvmail.log(以下「本件ログファイル」という。)に追記するようにプログラムされていた。 また、本件CGIは、フォームに正しくないデータが入力されたエラーの際、その旨を閲覧者に知らせるために、csvmail.htmlにおいて、タグ内で 「ng_file」というパラメータを設定することにより、正しくないデータが入力された時に、本件CGIが当該パラメータに設定されたファイルを読み込 み、その内容(エラー)をブラウザが表示できるようにしていた(ASKACCSのページにおいてはng.htmlが指定されていた。)。

 ところで、本件ログファイルは、ドキュメントルート以下の領域外の顧客使用領域にあったため、また、本件CGIは、ドキュメントルート以下の領域にあった が前記のとおりウェブサーバの設定で実行されるものとされていたため、本件CGI及び本件ログファイルは、いずれもブラウザで各ファイルの URL(Universal Resource Locationの略。インターネット上でHTMLファイル等の情報の所在を示す。)を入力しても (GETメソッド)、その内容(なお、本件CGIのプログラムとソースコードは同一のファイルである。)を閲覧することはできず(甲一八、一九)、これら のファイルを閲覧するには、後記(3)の方法を除き、FTPを介して行う必要があった(これに対し、弁護人は、本件サーバでは、HTTP、FTP以外のプ ロトコルも動作していた(弁四)と主張するが、弁護人が動作していたとするプロトコルを含めて考慮しても、その他の方法によって閲覧が可能であったとは認 められない。)。

 ところが、本件CGIは、読み込むファイルについて制限は設けられていなかったため、本件CGIを起動するウェブサーバの権限 で読み込みが可能なファイルをすべて読むことができた。その結果、本件CGIは、インターネット閲覧者が,前記パラメータに別のファイル名を設定して本件 CGIを起動することにより、csvmail.htmlでパラメータに設定されていたものでないファイルであってもブラウザに表示させ、閲覧することがで きるという脆弱性を有していた。これは、一般の閲覧者の通常のアクセス手法としては想定されていないものであった。

(3)被告人は、平成一五年七 月二五日ころ、csvmail.htmlを自らのパーソナルコンピュータのディスクに保存した上、同ファイル中、 「name=”ng_file”value=“ng.html”」と記載されている部分のうち「ng.html」とある部分を本件CGIのファイル名に書 換えて「ng_file」のパラメータを変更するなどした上、改変した同ファイルをブラウザで読み込んだ。それから、被告人は、フォームに何ら記入するこ となく、「送る」ボタンをクリックし、本件CGIを起動させた。本件CGIは、フォームに何も記載されていなかったことから、エラーの際に表示させるファ イルとして、本件CGIを読み込み、本件CGIのソースコードを被告人のブラウザに表示させた。さらに、被告人は、表示された本件CGIのソースコードを 読んで、本件ログファイルのパス(パスとはファイルの存在する位置を示す文字列をいう。)を発見すると、前記同様に、今度はcsvmail.htmlの前 記部分を本件ログファイルのパスに書き換えるなどして、本件ログファイルの内容を表示させた。 

 被告人は、その後、この手法について、後記 (4)のプレゼンテーションで発表するために、同様の手法で判示の各アクセス行為に及んだ(なお、弁護人及び被告人は、アクセスログの記録(甲三)が第三 者によって不正に作出された可能性を指摘するが、かかる可能性をうかがわせる具体的な事情は何ら存在しない上、第三者が被告人のアクセス記録をことさらに 作出する必要性もないことから、アクセスログは正確に被告人のアクセスを記録していると認められる。また、アクセスログには、本件CGIを起動させた旨の 記録があるのみで、本件CGI又は本件ログファイルを読み込んだ旨の記録はないものの、本来ACCSのHTMLファイルから呼び出されるはずの本件CGI が通常とは異なる呼び出され方をしていること及び転送バイト数に照らし、前記の各ファイルにアクセスしたものと推認できる(甲三)。これらの点について は、被告人も捜査段階において認めていたところである(乙五、七、一〇)。)。

(4)被告人は、平成一五年一一月八日東京都渋谷区内所在の O―WESTで開催された「A.D.2003」と称するイベントにおいて、前記(3)の手法についてプレゼンテーションをした。その際、被告人は、不特定 多数の聴衆に対して、「多分記入されているのは全部本当の名前なんでしょうね。」、「相談者からのメールは(中略)厳重に管理し、その内容が外部に公表さ れることは一切ありません、とあるわけです。」などと述べながら、前記(3)の手法を説明した上、(JPCERT/CCが)「どうしてくれるんでしょう ね、すごく楽しみなのですが。」、「前触れなしに攻撃するというのを今回見せたかったのですけれども、残念ながらまだ攻撃していないんで。」、「いまから Cさんのところ攻撃してみたいんですけど。」などと発言した。また、このプレゼンテーションにおいて被告人が映写し、イベントの会場内で参加者がダウン ロードできるようになっていたプレゼンテーション資料には、本件ログファイルに含まれていた個人情報の一部が掲載されていたほか、「通報しまス…… た?」、「さぁJPCERT/CCどうする(激ワラ」等との記載があった(甲一四)。

 被告人は、前記のプレゼンテーションの後に、前記(3)の手法で本件ログファイル等を閲覧できる旨指摘する内容の電子メールをACCS、乙山株式会社等に送信した(甲二二、二四、乙五)。

三 本件各アクセス行為の構成要件該当性

(1) このようにして見ると、本件サーバの本件CGI及び本件ログファイルを閲覧するためには、プログラムの瑕疵や設定の不備がなければ、FTPを介してIDと パスワードを正しく入力しなければならないところを、被告人は、csvmail.htmlの内容を書き換えることにより、変更前とは異なるリクエストを本 件サーバに送信し、本件CGIを起動させることで、ID、パスワードを入力することなく、本件CGI及び本件ログファイルを閲覧したということができる。 すなわち、被告人は、本件CGI及び本件ログファイルの閲覧という各特定利用を制限しているFTPプロトコルを利用したアクセス制御機能を有する本件サー バに、その制限を免れる指令を電気通信回線を通じて入力して本件サーバを作動させて前記各特定利用をし得る状態にしたといえる。

(2)これに対し て、弁護人は、証人Dの公判供述、同人作成の意見書(弁一)、E作成の意見書(弁九)等を根拠に、アクセス自体が個別のプロトコルに従った個々具体的な データ転送の状態であるから、アクセス制御もまた、個々のデータ転送についての方式に従って個別的に設定される必要があるなどとして、「アクセス制御機 能」の有無は個々のデータ転送方式(プロトコル)ごとに考えるべきであるとし、被告人は、本件各アクセスをアクセス制御機能の一切存在しないHTTPを介 して行っているのだから、本件各アクセス行為がアクセス制御機能による特定利用の制限を免れることはあり得ず、不正アクセス行為に当たらないと主張する。 そして、このように解さずに、「アクセス制御機能」の有無を物理的な電子計算機ごとに考えるとすると、アクセスが許可されているかという規範の問題に直面 するためには、アクセス制御が「識別符号」の形で客観的に現れていなければならないにもかかわらず、サーバがマルチプロセス(同時に複数のプロセスが動作 すること)で動作している現状においては、特定のプロセスによるサービスを利用しているのみでは他のプロセスによるサービスの存在を知り得ないこととなる し(D証言)、複数の顧客がそれぞれ一台のコンピュータの一部を管理するレンタルサーバにおいて、アクセス制御を施さず公開している顧客のファイルにアク セスする行為が、非公開としている者のアクセス制御を理由に不正アクセス行為とされてしまうなどの不都合が生ずると主張する。また、被告人も、本件各アク セスはHTML、HTTPの規格に沿ったアクセス行為であるから、不正アクセス行為に当たらないなどと供述している。

(3)ア そこで、検討する と、不正アクセス行為の禁止等に関する法律二条三項は、「アクセス制御機能」が「特定電子計算機」に付加されている機能であり、識別符号が「特定電子計算 機に入力され」るものと規定している上、同法三条二項二号も、アクセス制御機能による特定利用の制限を免れることができる情報又は指令を入力する対象を 「アクセス制御機能を有する特定電子計算機」と規定しており、アクセス制御機能の有無を特定電子計算機ごとに判断することが前提となっている。そして、こ の特定電子計算機とは「電気通信回線に接続している電子計算機」をいい(同法二条一項)、さらに、「電子計算機」とは自動的に演算や情報処理を行う電子装 置である物理的な機器をいうのであって、本件では、ACCSが乙山株式会社からレンタルしていた物理的な機器である本件サーバが特定電子計算機であり、こ れを基準にアクセス御御機能の有無を判断すべきことは文理上当然である。他方、その有無をプロトコル単位で判断すべき文理上の根拠は何ら存在しない。ま た、アクセス制御機能の有無をプロトコルごとに判断するとすれば、例えば、第三者が特殊なプロトコルを介し識別符号を入力せずにホームページのファイルを 書き換える機能を有する不正なプログラム(いわゆるトロイの木馬型プログラム)を電子メールによって送信し、そのプログラムを無害なプログラムだと誤信さ せて実行させた上、その特殊なプロトコルを使用してFTPを介して書き込みを行うべきホームページのファイルを管理者の意図に反して書き換えてしまうよう な行為すら不可罰となってしまい、このような典型的ともいえる行為の処罰を法は当然に想定していたというべきである。そうすると、アクセス制御機能の有無 については、特定電子計算機ごとに判断するのが相当であり、特定電子計算機の特定利用のうち一部がアクセス制御機能によって制限されている場合であって も、その特定電子計算機にはアクセス制御機能があると解すべきである。そして、本件においては、本件CGI及び本件ログファイルを閲覧するにはFTPを介 して識別符号を入力するものとされていたのであるから、本件サーバはアクセス制御機能を有する特定電子計算機であるといえるのである。

 また、弁 護人の主張のうち、サーバがマルチプロセスで動作している点については、故意の有無において必要に応じて考慮すれば足りるし、レンタルサーバに関する指摘 についても、その設置者及びレンタルした顧客が重畳的にアクセス管理者となると解されるところ、当該顧客の公開領域へのアクセスは、当該顧客の承諾(同法 三条二項各号)があるか、後記のとおり当該特定利用を誰にでも認めていることによりアクセス制御機能による制限のない特定利用であるから、他にレンタルし ている顧客の利用状況のいかんにかかわらず、もとより不可罰であって、この点で不都合が生じることはない。

イ もっとも、本件サーバにアクセス制 御機能があるとしても、被告人の本件行為によってなし得る状態になった本件の各特定利用が、アクセス制御機能によって「制限」されていたかについては、更 に検討を要する。前記二で認定した事実によれば、本件CGI及び本件ログファイルを閲覧するには、FTPを介して識別符号を入力する必要があったが、被告 人の本件アクセス手法によれば、識別符号の入力を要さずして同様の閲覧が可能であったこと、すなわち、識別符号を入力する以外の方法によってもこれを入力 したときと同じ特定利用ができたことが認められる。このような場合にその特定利用にアクセス制御による制限があるといえるのかが問題となる。

 と ころで、アクセス制御機能は、アクセス管理者により特定電子計算機の特定利用が「制限」されていることを前提として、当該特定利用をしようとする者が当該 特定利用に係る識別符号等を入力した場合にこの「制限」の全部又は一部を解除する機能である。アクセス制御機能及びこの「制限」が完全無欠であれば、識別 符号等以外の情報又は指令が入力されてもおよそ特定利用はできず、「制限」された状態が維持され、同法三条二項二号に掲げる行為は不可能となるから、同号 に定めた行為を処罰する規定を置く意味はないことになる。また、制限がプログラムの瑕疵や設定上の不備によりアクセス管理者の意図に反して不十分な場合、 そのことをもって特定電子計算機の特定利用を制御するためにアクセス管理者が付加している機能をアクセス制御機能と認めないこととするのは、プログラムや コンピュータシステムが複雑化し、プログラムの瑕疵や設定の不備の有無を容易に判別、修正できない現状に照らして現実的ではないし、アクセス制御の強度な いし巧拙について客観的に判定する基準も存在しない。そうすると、識別符号を入力してもしなくても同じ特定利用ができ、アクセス管理者が当該特定利用を誰 にでも認めている場合には、アクセス制御機能による特定利用の制限はないと解すべきであるが、プログラムの瑕疵や設定上の不備があるため、識別符号を入力 する以外の方法によってもこれを入力したときと同じ特定利用ができることをもって、直ちに識別符号の入力により特定利用の制限を解除する機能がアクセス制 御機能に該当しなくなるわけではないと解すべきである。

 本件においては、前記のとおり、ブラウザで本件CGIファイル及び本件ログファイルの URLを入力する方法(GETメソッド)によっては、これらを閲覧することができないように設定されていた。他方、本件アクセスは、本件CGIと組になっ て使用されていたcsvmail.htmlを改変して、故意にエラーを発生させることで、可能になるものであって、本件CGIの脆弱性を利用したものであ り、あえてその方法を管理者が認める必要性はなく、想定もしていなかったものである(これに対して、弁護人は、証人Bの「CGIプログラムを触れないお客 様が多いので、フォーム等で渡される指示により動作を変えられるように設計していた。」との供述を理由に、フォームの内容の改変は、CGIが予定していた 動作であると主張するが、証人Bがここで述べるのは、顧客が動作を変更することであって、インターネット利用者がフォームの内容を変更することを予定して いたとは認められない。)。そうすると、本件の各特定利用ができたのは、プログラムないし設定上の瑕疵があったためにすぎないのであり、アクセス管理者が 本件アクセス行為のような形で特定利用をすることを誰にでも認めていたとはいえない。よって、本件においても、本件CGI及び本件ログファイルの各閲覧 は、アクセス制御機能による特定利用の制限にかかっていたものということができる。

(4)また、本件アクセス行為が、HTMLないしHTTPの規 格に沿ったものであるとしても、そもそもHTTP等の通信は規格に沿ってなされていることが前提のものであって、その規格に沿っているからといって、アク セス制御機能による制限を免れる指令を入力する行為が不正アクセス行為とならなくなるものではない。コンピュータのプログラムは、プログラミングや設定に 瑕疵があっても現実にプログラムされたとおりに動作するのであって、アクセス行為についてエラーが生じなかったことのみをもって、アクセス管理者が当該特 定利用を承諾していたと認められないことは当然である。

(5)以上のとおりであるから、被告人の本件各アクセス行為が不正アクセス行為の禁止等に関する法律三条二項二号所定の不正アクセス行為に該当することは明らかである。その余の所論にかんがみ検討しても、この点についての弁護人及び被告人の主張は採用できない。

四 行為の違法性について

(1) 前記二で認定した事実によれば、被告人は、平成一五年七月二五日ころ本件の手法によって、個人情報を含む本件ログファイル等を閲覧できることを発見しなが ら、その後三か月以上もの間、ACCS等に知らせることもなく放置したこと、同年一一月八日に開催された「A.D.2003」において、ACCS等には何 ら知らせないまま、不特定多数の面前で本件アクセスの手法を再現可能な形で具体的にプレゼンテーションしたこと、その資料としてプレゼンテーションの際に 映写され、会場ではダウンロード可能になっていたデータは個人情報を含んでいたこと、そのプレゼンテーション資料には、「JPCERT/CCどうする(激 ワラ」などとおよそ真摯な活動と思われない記載が見られたほか、被告人自身「(JPCERT/CCが)どうしてくれるんでしょうね、すごく楽しみなのです が。」と述べるなど、JPCERT/CCやACCSを揶揄する発言をしていたこと、前記プレゼンテーションにおいて同様のセキュリティホールを有するウェ ブサイトが多数ある可能性を指摘し、「これから攻撃してみたい」、「前触れなしの攻撃を見せたかった」などと発言していたことが認められる。これらの点、 特に、事前にACCS等に脆弱性の報告をせず、修正の機会を与えないまま、これを公表したことは、被告人の手法をまねて攻撃するという危険性を高めるもの であったというほかなく、被告人の本件各アクセス行為はそのような形で公表することを目的としてなされたものであって、正常な問題指摘活動の限界をはるか に超えるものであり、正常な活動の一環であったとは到底認められない。また、プレゼンテーションの仕方やその際の発言内容等にも照らすと、脆弱性を発見し た自己の能力、技能を誇示したいとの側面があったことも否定できないところである。被告人も、捜査段階において、「発表されたときにかなりやばい内容、大 きな問題になる」との認識があり(乙三)、正当な活動でないことを自覚していたと認められるのである。そうすると、被告人の行為は正常な問題指摘活動であ るから違法性がないとの弁護人の主張は、前提を欠くものであって、被告人の行為が違法であることは明らかである。

(2)被告人は、本件動機につい て、「ACCSと同様の脆弱性を有するサイトは千以上あった上、このような問題を調整する組織としてJPCERT/CCがあるが、同組織は確たる証拠がな いと動いてくれない。『A.D.2003』のイベントで、不特定多数の前で実際に脆弱性を公表すれば、多数の証人がいるのでJPCERT/CCも動いてく れるだろうし、隠ぺいもされないだろうと思った。」などと供述する(乙四、一〇)が、そのような動機を有していたとしても,サーバへの攻撃の危険性を高め るような公表行為が許されるはずはなく、そのような公表のためになされた本件各アクセス行為が正当化されることもないと解すべきである。

五 被告人の認識について

(1) 前記二で認定した事実によれば、ASKACCSのページでは、氏名等を偽りなく記入することが求められていた上、本件ログファイルはその入力された個人情 報を多数含んでいたこと、ASKACCSのページには入力された個人情報が厳重に管理されるとの記載があり、被告人もこれを認識していたことが認められ る。また、一般的にCGIのソースを読めば、サーバのディレクトリ構造の一部が明らかになり、セキュリティの観点から問題がある上、本件CGIには前記の とおり個人情報の多数含まれた本件ログファイルの所在位置が記載されていた。

 これらの事実に加え、本件CGI及び本件ログファイルは直接その URLを入力しても(GETメソッド)取得できないファイルであったこと、HTMLファイルのタグを書換えた上、故意にエラーを発生させるという本件の手 法は、およそアクセス管理者が採る方法とは考えられないこと、被告人が本件手法についてプレゼンテーションをし、その際「攻撃したい」などと述べていたこ と、被告人自身、上記の各ファイルを管理者が公開を意図していないと認識していたこと(乙一一)、本件CGIに脆弱性があり、本件CGIのソースや本件ロ グファイルを閲覧できることはイレギュラーであると認識していたこと(被告人の公判供述)に照らしても、本件CGI及び本件ログファイルの各閲覧について アクセス制御機能があり,これを免れる指令を入力する旨認識、認容して本件各アクセスに及んだものであって、本件アクセス行為が許されないものであると認 識していたと推認できる。

(2)これに対して、被告人は、本件CGIや本件ログファイルにアクセス制御がされていたかは分からなかったなどと供述 するが、そもそもアクセス制御がなく、自由にアクセス可能であれば、被告人がプレゼンテーションをする意味は何らないのであって、この供述は、信用できな い。被告人は、公判廷において、さらに、ACCSが意図的にそのようなアクセスを可能にしている可能性もあり、それも問題であると思ったとの趣旨の供述を しているが、被告人がプレゼンテーションにおいて「脆弱性のあるCGI」などと述べ、ACCSが意図的にかかるアクセスを可能としていることについて何ら 非難していないことに照らすと信用できない。 

六 以上によれば、弁護人の主張にはいずれも理由がなく、判示のとおり罪となるべき事実を認定できる。なお、弁護人は、起訴状記載の公訴事実が特定されていない旨も主張するが、同公訴事実は他の事実と区別できる程度に特定されているのであって、理由がない。

(法令の適用)

罰条 包括して不正アクセス行為の禁止等に関する法律八条一号、三条一項、二項二号

刑種の選択 懲役刑を選択

刑の執行猶予 刑法二五条一項

訴訟費用の負担 刑事訴訟法一八一条一項本文

(量刑の理由)

一 被告人は、プライバシー関係の情報を検索していた際に、ACCSのASKACCSのページを閲覧するなどして本件アクセスが可能となるセキュリティホー ルを発見し、これをACCS等に知らせないまま、前記のとおり自己の能力、技能を誇示したいとの動機もあって、セキュリティに関するイベントで発表するた めに、本件各不正アクセス行為に及んだのであって、このような犯行の経緯や動機に酌量の余地はない。被告人は、関係機関にセキュリティ対策を広く取らせる ために本件各アクセス行為をし、その手法を発表したなどと供述するが、ACCS等に事前に報告せずに修正の機会を与えないまま公表し、攻撃の危険性を高め ているのであって、供述するとおりの動機があったとしても、到底正当視できるものではない。

二 本件犯行の手口は、本件CGIがHTMLファイル が改変されないことを前提としてプログラムされていたことに乗じ、HTMLファイルを巧みに改変し、本件CGIを本来とは異なる動作をさせて、本件CGI のソースコード及び一一八〇名以上もの大量の個人情報を含む本件ログファイルを閲覧したというものであって、巧妙かつ悪質な犯行である。

 本件犯 行により、アクセス制御機能に対する社会的信用は、大きく傷付けられた上、ACCSはASKACCSのページの閉鎖を余儀なくされ、ACCS及び乙山株式 会社が社会的信用を失うなど、被害者らの被ったダメージは著しい。また、被告人がコンピュータネットワークに関するイベントにおいて、本件の手口について プレゼンテーションしたため、被告人の手口を模倣した者まで出現したばかりか、本件ログファイルに含まれていた個人情報の一部がプレゼンテーション資料と してダウンロード可能となっていたことから、個人情報が不特定の人間に漏洩しているのである。このような結果が高度情報通信社会の健全な発展を阻害するこ とは明らかであるし、被害者らが被告人の厳重処罰を求めることも当然といわなければならない。

 被告人は、当公判廷において、行為の外形部分につ いては概ね認めるものの、故意の存否等については不合理な弁解を繰り返す上、本件については、むしろ不正アクセスを受けた被害者にこそ責任があると主張し てはばからず、自らの責任に思いを致し、真摯に内省する態度を看取することができない。そうすると、被告人の刑事責任を軽視することはできない。

三 他方、被告人は、本件後、当該個人情報を含んだファイルの削除を依頼するなど、被害の拡大を防止する一定の努力をしたこと、従前も同様のセキュリティ ホールが存在することは報道されていたのであって、乙山株式会社やACCSにおいても、個人情報を保持する以上それなりの対策がされていてしかるべきで あったこと、被害者側が、正当な問題指摘行動はインターネット上の文化であり、被告人の指摘内容自体についてはありがたいとも述べていること、本件の報道 によって社会的制裁を受けていること、被告人には前科のないことなど、被告人に有利に斟酌できる事実も存在する。

四 そこで、以上の被告人に有利不利な事情の一切を考慮して、主文の刑を定めた上、今回はその刑の執行を猶予することとした。

(求刑 懲役八月)

(裁判長裁判官 青柳勤 裁判官 野原俊郎 梶川匡志)

別紙 一覧表《略》

この著作物は、日本国著作権法10条2項又は13条により著作権の目的とならないため、パブリックドメインの状態にあります。同法10条2項及び13条は、次のいずれかに該当する著作物は著作権の目的とならない旨定めています。

  1. 憲法その他の法令
  2. 国若しくは地方公共団体の機関、独立行政法人又は地方独立行政法人が発する告示、訓令、通達その他これらに類するもの
  3. 裁判所の判決、決定、命令及び審判並びに行政庁の裁決及び決定で裁判に準ずる手続により行われるもの
  4. 上記いずれかのものの翻訳物及び編集物で、国若しくは地方公共団体の機関、独立行政法人又は地方独立行政法人が作成するもの
  5. 事実の伝達にすぎない雑報及び時事の報道

この著作物は、米国政府、又は他国の法律、命令、布告、又は勅令等(Edict of governmentも参照)であるため、ウィキメディアサーバの所在地である米国においてパブリックドメインの状態にあります。“Compendium of U.S. Copyright Office Practices”、第3版、2014年の第313.6(C)(2)条をご覧ください。このような文書には、“制定法、裁判の判決、行政の決定、国家の命令、又は類似する形式の政府の法令資料”が含まれます。