アカウント名:
パスワード:
登録済みのWebサービスはパスワードリセットを使って乗っ取る
とあるが、日本の場合、不正アクセス禁止法に違反しないだろうか。
メールアドレスの利用権と、ウェブサイトの利用権は、それぞれ独立した無関係な権利だ。メールアドレスが誤入力だったとしても、当該サイトの管理者が利用権を与えたのは、「登録を申し込んだ人物」であって、「入力されたメールアドレスを所有する人物」ではないはず。
そうすると、メールアドレス所有者であったとしても、他人のIDを不正利用していることになり、不正アクセス禁止法に違反するように思える。
参考条文
第2条第2項この法律において「識別符号」とは、特
パスワードリセットするってことは「他人の識別符号を入力」する機会はないと思うが。どっちかというと抵触しうるのは第二号じゃね?
二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
ちなみになぜか引用では省略されている部分を見ればわかるが、不正アクセス禁止法の定める「識別符号」はおおざっぱに言ってパスワードか生体認証情報か電子署名を含んでいるもので、公開ID単体(つまりパスワードリセットのとき入力するもの)では「識別符号」の要件を満たさない。まあどのみち二号に抵触しそうだけど。
パスワードのリセットが不正アクセスだとしているのではなく、「乗っ取る」=再発行したパスワードを使う、のが不正アクセスではないかとしているのです。
ここでは、「ウェブサイトの利用権者」と「メールアドレス所有者」は別人であるということを論点にしています。利用権や識別符号を持つ主体は、「メールアドレス」ではなく、「人」であると。参考条文も、特に該当する箇所を強調していますし、論点とはしていない項目は省略しています。
「リセット後に再発行したパスワードはアクセス管理者が発行した識別用符号なのだから。」とのことで、再発行後のパスワードが識別符号である点については共通認識が得られたと思いますが、「メールアドレス所有者」がその識別符号を使っても不正アクセスにはならないというためには、「ウェブサイトの利用権者」が、元々の登録者から、「メールアドレス所有者」に変わっている必要があるはずです。「識別符号」とは、利用権者に付される符号ですから。
しかし管理者には、利用権を別人に移すという認識も、認識する機会もないでしょう。パスワードリセット機能は、利用権を別人に移すために予め用意した機能というわけでもないでしょう。なので、「ウェブサイトの利用権者」は、依然として元々の登録者であって、「ウェブサイトの利用権者」に発行された識別符号は、「メールアドレス所有者」から見て「他人の識別符号」になると思うのです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
不正アクセス禁止法の適否 (スコア:0)
とあるが、日本の場合、不正アクセス禁止法に違反しないだろうか。
メールアドレスの利用権と、ウェブサイトの利用権は、それぞれ独立した無関係な権利だ。
メールアドレスが誤入力だったとしても、当該サイトの管理者が利用権を与えたのは、「登録を申し込んだ人物」であって、「入力されたメールアドレスを所有する人物」ではないはず。
そうすると、メールアドレス所有者であったとしても、他人のIDを不正利用していることになり、不正アクセス禁止法に違反するように思える。
参考条文
Re: (スコア:0)
パスワードリセットするってことは「他人の識別符号を入力」する機会はないと思うが。どっちかというと抵触しうるのは第二号じゃね?
Re: (スコア:0)
ちなみになぜか引用では省略されている部分を見ればわかるが、不正アクセス禁止法の定める「識別符号」はおおざっぱに言ってパスワードか生体認証情報か電子署名を含んでいるもので、公開ID単体(つまりパスワードリセットのとき入力するもの)では「識別符号」の要件を満たさない。
まあどのみち二号に抵触しそうだけど。
Re: (スコア:0)
パスワードのリセットが不正アクセスだとしているのではなく、「乗っ取る」=再発行したパスワードを使う、のが不正アクセスではないかとしているのです。
Re: (スコア:0)
二号に抵触するかどうかも疑問がある。リセット後に再発行したパスワードはアクセス管理者が発行した識別用符号なのだから。不正アクセス防止法で攻めるよりは、アクセス管理者に誤った人物にパスワードを発行させた電子計算機損壊等業務妨害罪の方がまだ筋がいいかもしれない。
Re:不正アクセス禁止法の適否 (スコア:0)
ここでは、「ウェブサイトの利用権者」と「メールアドレス所有者」は別人であるということを論点にしています。
利用権や識別符号を持つ主体は、「メールアドレス」ではなく、「人」であると。
参考条文も、特に該当する箇所を強調していますし、論点とはしていない項目は省略しています。
「リセット後に再発行したパスワードはアクセス管理者が発行した識別用符号なのだから。」
とのことで、再発行後のパスワードが識別符号である点については共通認識が得られたと思いますが、「メールアドレス所有者」がその識別符号を使っても不正アクセスにはならないというためには、「ウェブサイトの利用権者」が、元々の登録者から、「メールアドレス所有者」に変わっている必要があるはずです。
「識別符号」とは、利用権者に付される符号ですから。
しかし管理者には、利用権を別人に移すという認識も、認識する機会もないでしょう。
パスワードリセット機能は、利用権を別人に移すために予め用意した機能というわけでもないでしょう。
なので、「ウェブサイトの利用権者」は、依然として元々の登録者であって、「ウェブサイトの利用権者」に発行された識別符号は、「メールアドレス所有者」から見て「他人の識別符号」になると思うのです。