アカウント名:
パスワード:
登録済みのWebサービスはパスワードリセットを使って乗っ取る
とあるが、日本の場合、不正アクセス禁止法に違反しないだろうか。
メールアドレスの利用権と、ウェブサイトの利用権は、それぞれ独立した無関係な権利だ。メールアドレスが誤入力だったとしても、当該サイトの管理者が利用権を与えたのは、「登録を申し込んだ人物」であって、「入力されたメールアドレスを所有する人物」ではないはず。
そうすると、メールアドレス所有者であったとしても、他人のIDを不正利用していることになり、不正アクセス禁止法に違反するように思える。
参考条文
第2条第2項この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(以下「利用権者」という。)及び当該アクセス管理者(以下この項において「利用権者等」という。)に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものをいう。(省略)第4項この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)(省略) 不正アクセス行為の禁止等に関する法律 [e-gov.go.jp]
第2条第2項この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(以下「利用権者」という。)及び当該アクセス管理者(以下この項において「利用権者等」という。)に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものをいう。(省略)
第4項この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)(省略) 不正アクセス行為の禁止等に関する法律 [e-gov.go.jp]
管理者が対処すれば、法的には問題は起きないわけで、管理者に連絡するしかないように思う。
パスワードリセットするってことは「他人の識別符号を入力」する機会はないと思うが。どっちかというと抵触しうるのは第二号じゃね?
二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
ちなみになぜか引用では省略されている部分を見ればわかるが、不正アクセス禁止法の定める「識別符号」はおおざっぱに言ってパスワードか生体認証情報か電子署名を含んでいるもので、公開ID単体(つまりパスワードリセットのとき入力するもの)では「識別符号」の要件を満たさない。まあどのみち二号に抵触しそうだけど。
パスワードのリセットが不正アクセスだとしているのではなく、「乗っ取る」=再発行したパスワードを使う、のが不正アクセスではないかとしているのです。
まず、パスワードリセットは大きく分けて二つあって、メールで直接仮パスワードが送られてくる場合と、メールで送られたURLでパスワードを自分で入力して再設定する場合とあります。で、一つ前のコメント(#2526713)もう一つ前のコメント (#2526606)は前者のことを言っているけれど、それは確かにアクセス管理者が発行した識別用符だけれども、間違って他人であるあなたに届いただけで、あなたのアカウントのパスワードではないのだから一号に抵触すると思います。後者の場合も、アクセス管理者は他人であるあなたに許可したものではないから、パスワードではないが制限を免れるアクセスなので二号に抵触するといえます。
後者が識別符号にならない、というのは初めて知りました。確かに、言われてみれば1クッションある分、前者とは完全に同一視はできないものの、管理者側の認識としては、前者と同じく利用権者に対してパスワードを設定したつもりではあるはずで。
生成の段階から他人が関与したことで、識別する機能が失われている、とかでしょうか。法制定時の警察の通達にある「第三者」の設定ではだめでしょうか。
ウ 識別符号を付す主体 識別符号を利用権者等に付す主体は、アクセス管理者には限定されていない。アクセス管理者が、利用権者や
ここでは、「ウェブサイトの利用権者」と「メールアドレス所有者」は別人であるということを論点にしています。利用権や識別符号を持つ主体は、「メールアドレス」ではなく、「人」であると。参考条文も、特に該当する箇所を強調していますし、論点とはしていない項目は省略しています。
「リセット後に再発行したパスワードはアクセス管理者が発行した識別用符号なのだから。」とのことで、再発行後のパスワードが識別符号である点については共通認識が得られたと思いますが、「メールアドレス所有者」がその識別符号を使っても不正アクセスにはならないというためには、
IDが他人のものなのだから、パスワードリセットで入手するパスワードは、他人のパスワードだと思うのです。管理者から、他人に宛てられたパスワードが、間違って自分の所に来てしまった形。
で、その他人のIDとパスワードを入力することになる。
本当にこの仕様 [srad.jp]ならば、個人に割り当てられた専用アドレスではなく、複数ユーザの共有アドレス(セット)だと認識すべき。利用権者の一人には違いないのだから、不正アクセス行為には当たらないと思われる。
ご提示のコメントは、「.」の違いによる複数のメールアドレスは、実際には単一のメールアドレスであり、単一の利用者であることを書いているのであって、単一のメールアドレスに複数の利用者がいるという話ではありませんよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
不正アクセス禁止法の適否 (スコア:0)
とあるが、日本の場合、不正アクセス禁止法に違反しないだろうか。
メールアドレスの利用権と、ウェブサイトの利用権は、それぞれ独立した無関係な権利だ。
メールアドレスが誤入力だったとしても、当該サイトの管理者が利用権を与えたのは、「登録を申し込んだ人物」であって、「入力されたメールアドレスを所有する人物」ではないはず。
そうすると、メールアドレス所有者であったとしても、他人のIDを不正利用していることになり、不正アクセス禁止法に違反するように思える。
参考条文
Re: (スコア:0)
管理者が対処すれば、法的には問題は起きないわけで、管理者に連絡するしかないように思う。
Re: (スコア:0)
パスワードリセットするってことは「他人の識別符号を入力」する機会はないと思うが。どっちかというと抵触しうるのは第二号じゃね?
Re: (スコア:0)
ちなみになぜか引用では省略されている部分を見ればわかるが、不正アクセス禁止法の定める「識別符号」はおおざっぱに言ってパスワードか生体認証情報か電子署名を含んでいるもので、公開ID単体(つまりパスワードリセットのとき入力するもの)では「識別符号」の要件を満たさない。
まあどのみち二号に抵触しそうだけど。
Re: (スコア:0)
パスワードのリセットが不正アクセスだとしているのではなく、「乗っ取る」=再発行したパスワードを使う、のが不正アクセスではないかとしているのです。
Re: (スコア:0)
二号に抵触するかどうかも疑問がある。リセット後に再発行したパスワードはアクセス管理者が発行した識別用符号なのだから。不正アクセス防止法で攻めるよりは、アクセス管理者に誤った人物にパスワードを発行させた電子計算機損壊等業務妨害罪の方がまだ筋がいいかもしれない。
Re: (スコア:0)
まず、パスワードリセットは大きく分けて二つあって、メールで直接仮パスワードが送られてくる場合と、メールで送られたURLでパスワードを自分で入力して再設定する場合とあります。
で、一つ前のコメント(#2526713)もう一つ前のコメント (#2526606)は前者のことを言っているけれど、それは確かにアクセス管理者が発行した識別用符だけれども、間違って他人であるあなたに届いただけで、あなたのアカウントのパスワードではないのだから一号に抵触すると思います。
後者の場合も、アクセス管理者は他人であるあなたに許可したものではないから、パスワードではないが制限を免れるアクセスなので二号に抵触するといえます。
Re: (スコア:0)
後者が識別符号にならない、というのは初めて知りました。
確かに、言われてみれば1クッションある分、前者とは完全に同一視はできないものの、管理者側の認識としては、前者と同じく利用権者に対してパスワードを設定したつもりではあるはずで。
生成の段階から他人が関与したことで、識別する機能が失われている、とかでしょうか。
法制定時の警察の通達にある「第三者」の設定ではだめでしょうか。
Re: (スコア:0)
ここでは、「ウェブサイトの利用権者」と「メールアドレス所有者」は別人であるということを論点にしています。
利用権や識別符号を持つ主体は、「メールアドレス」ではなく、「人」であると。
参考条文も、特に該当する箇所を強調していますし、論点とはしていない項目は省略しています。
「リセット後に再発行したパスワードはアクセス管理者が発行した識別用符号なのだから。」
とのことで、再発行後のパスワードが識別符号である点については共通認識が得られたと思いますが、「メールアドレス所有者」がその識別符号を使っても不正アクセスにはならないというためには、
Re: (スコア:0)
IDが他人のものなのだから、パスワードリセットで入手するパスワードは、他人のパスワードだと思うのです。
管理者から、他人に宛てられたパスワードが、間違って自分の所に来てしまった形。
で、その他人のIDとパスワードを入力することになる。
Re: (スコア:0)
本当にこの仕様 [srad.jp]ならば、個人に割り当てられた専用アドレスではなく、複数ユーザの共有アドレス(セット)だと認識すべき。
利用権者の一人には違いないのだから、不正アクセス行為には当たらないと思われる。
Re: (スコア:0)
ご提示のコメントは、「.」の違いによる複数のメールアドレスは、実際には単一のメールアドレスであり、単一の利用者であることを書いているのであって、単一のメールアドレスに複数の利用者がいるという話ではありませんよ。