パスワード盗み返し
2009年2月6日(金曜日)
パスワード盗み返し
更新: 2024年12月22日16時20分頃
「ハッカー」に逆襲、パスワード盗み返す 中3書類送検 (www.asahi.com)
インターネットのIDとパスワードを盗もうとした「ハッカー」から逆にパスワードなどを盗み返したとして、愛知県警は5日、兵庫県尼崎市の中学3年の少年(15)を不正アクセス禁止法違反の疑いで書類送検した。調べに対して、少年は「メールを盗み見たりして、困らせてやろうと思った」と話しているという。
パスワードを盗んだとしても、それだけでは不正アクセス禁止法の言う不正アクセス行為にはならないはずです。三条で定義されている不正アクセス行為は、以下の三つだけです。
2 前項に規定する不正アクセス行為とは、次の各号の一に該当する行為をいう。
一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
以上、不正アクセス行為の禁止等に関する法律 第三条 より
そんなわけで、検挙の理由は「パスワードを盗んだから」ではなくて、「盗んだパスワードを入力してアクセスしたから」でなければならないはずです。
ところで、技術的に興味深いのはこれですね。
操作の履歴の送付先になっていた男性のメールアドレスやID、パスワードを割り出したという。
キーロガーを分析して分かったというこれ、何のパスワードなんですかね。キーロガーのデータ送信用にパスワードが必要なのかという疑問が沸くわけですが。どこかのメールサーバを経由してメールを送るようになっていて、SMTP認証が必要だったとか? なんか、キーロガーが脆弱なのではないかという気がしてきますが。
- 「パスワード盗み返し」へのコメント (2件)
関連する話題: セキュリティ
- 前(古い): 理由あって冬に出る
- 次(新しい): 書籍の脆弱性: Ajaxセキュリティ