- ベストアンサー
セキュリティ確認は罪になる?
あるショッピングカートスクリプトに重大なセキュリティホールがあり 簡単に顧客の個人情報を閲覧できることに気付きました。 開発元の作者に報告したのですが、既に運用されている多くのショッピングサイトについて 対策や報告をする気がないようです。 そこでIPAにセキュリティ上問題があるサイトを報告しようと思っているのですが、 サイトによっては独自の対策を施している可能性もあり、実際にテスト的に 個人情報を覗いてみないと、問題があるサイトかどうかわかりません。 このような場合にテスト的に個人情報を閲覧するだけでも罪になるのでしょうか? 法的な根拠を示しながら回答できるかた限定でお待ちしております。
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
単刀直入に言うと、不正アクセス禁止法に引っかかります。 実際に「CGIの脆弱性を指摘するために行った」と説明している某大学研究員が不正アクセス禁止法違反で逮捕された事件もあります。(まぁ、この事件は自分でアクセスしたことをおおっぴらにしたこととかもあっての逮捕かもしれませんが) あなたがやろうとしていることも同様のこと(脆弱性のテスト)ではありませんか?一応、判例を知っておいた方がいいと思うので参考URLを載せておきます。
その他の回答 (2)
- OsieteG00
- ベストアンサー率35% (777/2173)
いわゆる不正アクセス禁止法においてはアクセスの目的による区別をしていません。よって、悪意があろうとなかろうと管理者の許可なしに行うことは違法となります。 基本的にはサイト管理者の自己責任かと。
- PrintScree
- ベストアンサー率25% (538/2091)
許可を得て行うのなら何ら問題はありませんが、許可を得ずにやると不正アクセス防止法違反になります。 該当サイトに対応を促したいのなら、IPAに報告してください。或いはマスコミを使って外部から圧力をかけるというのも有効かも知れません。
お礼
しかし、そのスクリプトを使っていても、独自に対策済みのところもあるはずです。 もちろん疑わしいところを全て報告する手もあるでしょうが、できれば実際に 問題のあるサイトだけを報告したいと考えているのです。
お礼
回答ありがとうございます。判例もあり大変分かりやすい回答でした。 IPAには「可能性のあるサイト」と「情報漏洩を起こす方法」を報告して 実際の調査・警告はIPAに任せることにしたいと思います。