パスワードを忘れた? アカウント作成
9800 story

フランスで、リバースエンジニアリング&内容公開禁止の判決 70

ストーリー by yoosee
ちょっとどうかしてる 部門より

Anonymous Coward 曰く "ZDNet の記事によると、 フランスの裁判所は、Guillermito こと Guillaume Tena 氏が Tegram 社のアンチウィルス製品 Viguard の脆弱性を公開したことを違法とする判決を下した。 CNetの記事によれば「公開されたエクスプロイトコードに、改造されたViguardのソースコードが含まれていたこと」から、著作権法違反の判決となった模様。
判決で Tena 氏は懲役には処されなかったものの、5000 ユーロの罰金 (執行猶予付き) を課されることになった。Tegam 社は約120万ドルの損害賠償金を求める民事訴訟も準備中だと言う。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by akudaikan (26016) on 2005年03月11日 1時35分 (#707314)
    この会社はフランスの会社で、発見者もフランス人。
    もしかして、発見者が外国人なら訴えられなかったのかな。
    自国の製品に対する脆弱性指摘は危険だぞということか。

    それと、肝心なことが書かれていないんだけど、2001年に脆弱性を発見して2003年に公表ってことは、
    報告したけど放置プレイだったのでやむを得ず公表ってことか?
    対応のスピードが求められるウイルス対策ソフトのベンダーとしては、お粗末な対応だよなぁ。

    あと、フランスの知的財産法って、模造品を個人が所有しているだけで処罰することで有名な法律だけど、
    もしかして今回の事件は「公表」ではなくて「改造」したことが問題になっているのかな?
    俺はフランス語は読めないのでArt. L. 335-2. [celog.fr]を神が降臨して翻訳して欲しい。
    • by akudaikan (26016) on 2005年03月11日 1時39分 (#707316)
      ごめん。公表は2002年3月だった。
      どちらにしろ、放置プレイだったんじゃないのかな。
      親コメント
    • フランス語 英語の機械翻訳はかなりの精度でいけますよ。
      • by akudaikan (26016) on 2005年03月11日 2時54分 (#707340)
        ありがと。
        じゃあWorldLingoで
        原文
        Toute édition d'écrits, de composition musicale, de dessin, de peinture ou de toute autre production imprimée ou gravée en entier ou en partie, au mépris des lois et règlements relatifs à la propriété des auteurs, est une contrefaçon ; et toute contrefaçon est un délit.
        La contrefaçon en France d'ouvrages publiés en France ou à l'étranger est punie de trois ans d'emprisonnement et de 300 000 € d'amende (*).
        Seront punis des mêmes peines le débit, l'exportation et l'importation des ouvrages contrefaits.
        Lorsque les délits prévus par le présent article ont été commis en bande organisée, les peines sont portées à cinq ans d'emprisonnement et à 500 000 euros d'amende.
        (*) L'aggravation des peines a été introduite par la loi n° 2004-204 du 9 mars 2004, JO 10 mars 2004.
        仏→英
        Any edition of writings, of musical composition, of drawing, of painting or any other production printed or engraved in entirety or
        partly, with the contempt of the laws and regulations on the property of the
        authors, is a counterfeit; and any counterfeit is an offence.
        Is the counterfeit in France of works published in France or abroad
        punished three years of imprisonment and 300 000? of fine (*).
        Will be punished same sorrows the flow, the export and the importation of the counterfeited works.
        When the offences envisaged by this article were made in organized
        band, the sorrows are increased at five years of imprisonment and 500 000
        euros of fine.
        (*) The aggravation of the sorrows was introduced by the law n��
        2004-204 of March 9, 2004, OJ March 10, 2004.
        他人の財産をどんな形で複製しても偽造となり、偽造は罪ってことか?
        判例とかが分からないので間違えてるかもしれないが、この法律だけを読むと、ソースコードを完全に復元する必要はなさそうだ。
        リバースエンジニアリングしてなにかを作ればもちろん偽造になって、罪に問われるな。
        日本とは状況がかなり違うと思う。
        親コメント
        • by quobobo (23737) on 2005年03月11日 11時09分 (#707450)
          >>>他人の財産をどんな形で複製しても偽造となり、偽造は罪ってことか?

          うん、そんな感じ。翻訳したけど日本語はあまり得意じゃないから、翻訳はたぶん間違いだらけだし、法律っぽい言葉に訳せなかった。でも内容は何とか分かると思う。

          「原作者の許可を得ず、他人の財産を複製するのは違反です。フランスでこういう違反をしたら(原作はフランス製か外国製かは関係ない)30万ユーロの罰金を支払わなければいけないし、3年間刑務所に行かされる。

          この偽造物を売ったり輸出入したりするも同じ刑罰。もし集団で違反をしたら、刑罰は50万ユーロ罰金と刑務所5年間。」

          長い間にフランス語を使っていないからなつかしいな。。
          親コメント
          • > 原作者の許可を得ず、他人の財産を複製するのは違反です。

            Hello Worldプログラムの原作者は複製を許可しているんでしょうか?
            原作者が誰なのかご存知の方いますか?
            すでにHello Worldプログラムを改変したプログラムを
            たくさん作ってしまったのですがフランスでは違法になりますか?
        • 偽造は罪?
          じゃ、子供を作ると神から訴えられるんかねー?

          #これが原罪ってやつ?(違
          • だから処女と童貞は天国に逝けます。

            逝けそうなのでAC.
            • >だから処女と童貞は天国に逝けます。

              >逝けそうなのでAC.

              毎週、教会に行かないとダメだし、オナニーしてもダメだし、ポルノ見てもダメなんだよ。それでもあなたは罪を犯していないと言えますか?

              カトリックでは。他のキリスト教は知らんが。
  • by Anonymous Coward on 2005年03月10日 23時49分 (#707248)
    タレコミ文だと「脆弱性を公開したことを違法」と書いてあるけど、元記事 [cnet.com]を読むと著作権法違反だとありますね。
    裁判官は、公開されたエクスプロイトコードに、改造されたViguardのソースコードが含まれていたことから、Tenaがフランスの著作権法に違反したと結論付けたという。

    フランスのセキュリティサイトK-OTikは、Tenaのエクスプロイトコードが「私的利用を目的としたものではなく、第三者に公開された」ことから、Tenaは著作権法に違反したことになる、と説明している。

    • 脆弱性情報公開の封殺を狙ったことは明らかでしょう。 Office氏の逮捕とかと根は同じ。
    • リバースエンジニアリングしたものに、ソースコードが含まれていたの?
      • by Eyu (13282) on 2005年03月11日 0時40分 (#707289)
        日本の判例で、機械語のコードはソースコードを機械的に翻訳したものであれば複製とみなせるという話があったような覚えがある。

        そこから言えば「元ソース→機械語→逆アセンブリソース→改変ソース」という過程を経たものは元のソースコードを改変したものに等しい、つまり元のソースコードが含まれている、と表現されるんじゃないかな。
        親コメント
        • by h-harry (24932) on 2005年03月11日 10時43分 (#707431) 日記
          近い例としてはNEC対EPSONの互換機BIOS訴訟かな?
          うろ覚えだけどEPSONは著作権侵害を回避するのに
          [バイナリー → 逆アセンブル → フローチャート] → [ソースコード → アセンブル → バイナリー]
          ってな感じで解析と開発を完全隔離してやっていたはず。
          それでもNECに「ここのmov命令がそっくりだ!」って言われていた。
          結局、EPSONが和解金払ったので日本ではリバースエンジニアリングは著作権侵害ってことになるのかな。
          親コメント
      • リバースエンジニアリングは、ライセンス違反じゃなかったのかな?
        このソフトのライセンスには書かれてないのかなぁ。
        親コメント
        • ライセンス条項に書いてあれば何でも有効というわけではないです。
          リバースエンジニアリングは、ソフトウェアを実行しているわけでは
          ないのでグレーゾーンと認識しています。
          • >> グレーゾーンと認識しています。

            グレーゾーンと認識しているのは,あなた個人が,ということでしょうか?
            それとも裁判官や弁護士,検察官,あるいは法律学者といった専門家の中で,
            ある人は黒,別の人は白,また別の人はケースバイケースetcといったように
            意見がいろいろ分かれている(判例が色々ある)ということなのでしょうか?
            親コメント
            • 例えば、グレーゾーンとして明確な議論になっているのがパッケージソフトの「シュリンクパック」ライセンスでして、
              箱に「開けたら中にはいっているライセンスが無条件で有効になる」などと簡単な事だけ書いておいて中に明らかに商取引上の慣習や民法に反する条項を入れるというライセンシングなのですが、
              これと同じでリバースエンジニアリングの禁止やその根拠となっている「使用権のみの購入」も法律的な…と言うよりももっと広範な消費者問題を絡めた法的な問題として議論になっています。
              まぁ、わかりやすくいえば、CDを買って耳コピーするのが違法かどうか。と言う議論と乱暴にいえば同じな訳で…
              (公衆の場で演奏する場合には著作権保有者と演奏者の問題になるので、CD所有者とコンテンツホルダーの関係とは法的にも異なります)。

              親コメント
          • 時計買ったら説明書に
            「この時計を分解して中を調べるのは契約違反です」
            て書いてあるようなもんですからね。

            #同じだと思うけど、たとえ話なんでややこしいかな?
            • # たとえ話をすると,『たとえ話なんかするな!』と起こられそうですが・・・

              ロケットなんか,アメリカから技術を導入して作っていたときなんかは
              その部分に関しては『分解して中を調べるのは契約違反』だったと思います.
              製品の種類や売り手と買い手の力関etcで決まってくるようなので,
              一概に白黒つけることは難しそうに見えます.
              親コメント
      • ある程度までは出来るという話を聞いたことがあります。
        Cとかだと構造体が一番難しい部分だとか。

        また、言語によってはほぼ完全に戻せるツールもあるとか・・・
  • タイトルの「リバースエンジニアリング&内容公開禁止」は誤解を招く表現かも。
    正確には、「リバースエンジニアリングして得られた脆弱性の公開が禁止」であって、リバースエンジニアリング行為そのものは禁止されていません。
    • by Anonymous Coward on 2005年03月11日 10時32分 (#707423)
      「脆弱性の公開が禁止」でもない。
      「リバースエンジニアリングして得られたコードの公開は、たとえそれが脆弱性の実証のためだとしても、私的利用目的以外で第三者に公開すると著作権法違反」
      親コメント
      • >「リバースエンジニアリングして得られたコードの公開は、たとえそれが脆弱性の実証のためだとしても、私的利用目的以外で第三者に公開すると著作権法違反」

        俺はフランスの著作権法は知らんし某揉め事の経緯も知らんが、日本の著作権法で解釈すると著作権法の「引用」の範囲に入っているか否かって争いの様な気がする。

        >(引用)第32条 公表された著作物は、引用して利用することができる。この場合において、その引用は、公正な慣行に合致するものであり、かつ、報道、批評、研究その他の引用の目的上正当な範囲内で行なわれるものでなければならない。
        http://www.houko.com/00/01/S45/048.HTM

        悪意の持つ者に対して攻撃可能な状況を作れる様な情報提供の手順の正当性の是非で、利用者が多くいる状況でのその様な情報提供を目的とした「リバースエンジニアリングして得られたコードの」引用は、「公正な慣行に合致するものであり、かつ、報道、批評、研究その他の引用の目的上正当な範囲内で行なわれるもの」とは言えない、とかそう言う話なんでは?
        目的が違うところにあるという感じで(テロリスト呼ばわりしていたようだし)。

        CNETの記事では、
        >しかし、定期的にエクスプロイトコードを公開しているK-OTikは、今回の判例が前例となり、今後ソフトウェアの脆弱性について、たとえそれがどんなに重要なものであっても、ソフト開発会社の事前の許可なく公開できなくなる可能性がある、と主張する。
        http://japan.cnet.com/news/sec/story/0,2000050480,20080026,00.htm
        と書かれていたが、彼の主張は極論過ぎる気がする。
        メーカーの情報を提供しても対応してくれなければ、2ヶ月程度置いてからならば違った判決になったのでは?
        提供してくれたら、その後2ヶ月程度置いてからレポートを出したのならばまた違った形になっていたのでは?
        彼の主張はそれを棚上げにしている。
        親コメント
    • タイトルがこっそり書き変わってませんか?
      「内容公開」は昨日は「ディスクロージャ」だったような
  • by yasudas (5610) on 2005年03月10日 23時37分 (#707237) 日記
    脆弱なものを売ったのは合法なわけですかね?
    • 逆切れして自社の脆弱性をごまかしにかかっているのでは

      著作権とセキュリティ…
      壊れた天秤にかけて決めたんだろうな…
      これで自社の利益を守っていると思っていたら( ゚Д゚)ポカーン
      って感じですわ。
      親コメント
    • by QwertyZZZ (8195) on 2005年03月11日 18時10分 (#707632) 日記
      裁判自体は逆切れっぽいけど、脆弱なものを売るってのは合法だよね。

      勿論、「購入者に対する契約を満たしていない。」とされる可能性もあるが、それはそれ。
      基本的に「弱い」ってだけでは非合法とは言えないでしょう。
      #運用、組み合わせで問題はクリア出来るのですから。

      非合法というと、先ずそれ自体が害を及ぼすものでないと。
      それ自体が害意を持っているか、もっていなくても問題発生する可能性が十分に高く、管理や運用でカバー出来ない、って位でないと。

      それでも実用性では?なナイフなんかはでも合法的に売っているし、至上最高の殺人機械たる自動車だって合法だし。
      って事で、一部の人間が脆弱で気に入らないって程度では非合法にはならんでしょう。

      親コメント
    • CENTの記事によれば
      (Tegamの)宣伝文句とは異なり、同ソフトのウイルスの検知/侵入阻止の精度は100%ではなかった」
      というので、それが事実とするならば、誇大広告で不法行為ですかね。??
      • >(Tegamの)宣伝文句とは異なり、同ソフトのウイルスの検知/侵入阻止の精度は100%ではなかった」

        ウィルス招致罪ってな罪名を作ると面白いかもしれない。

        >というので、それが事実とするならば、誇大広告で不法行為ですかね。??

        どちらにしても顧客には損害賠償請求権が発生するのかな?
        ただ、「同ソフトのウイルスの検知/侵入阻止の精度は100%ではなかった」
        とか、なにかしらに100%とかを求めるのも、なんだかなぁ..とは思いますね。
        親コメント
    • 法的に問題があると思われる理由は?
      • >法的に問題があると思われる理由は?

        危険物を合法的に売りつけることが出来る..普通、制限するんですけどね。
        親コメント
        • >危険物を合法的に売りつけることが出来る..普通、制限するんですけどね。
          どちらかと言えば、普通は制限しないで特別な場合に制限している、のではないですかね。
          銃刀法とか危険物取り扱い関係とか薬剤関係とか核とか。

          完全に防げないからってマスク売っちゃダメってのも聞かないし
          (「完全に防げる」って言っちゃダメ、くらいは言われてるかもしれないけど)
          うまく使ったら人を傷つけられるからってあまり工具とかバットとか制限されてないと思うし
          (俺が知らないだけかもしれないけど)

          ……まぁ「普通」と「危険」をどこからどこまでって考えるかの差なんでしょうけどね、とお茶を濁してみる。

          #ところで「危険物」って言葉をこの流れで書くと
          #「法律では危険物とは……」とか突っ込まれるのでご注意
          親コメント
          • >銃刀法とか危険物取り扱い関係とか薬剤関係とか核とか。

            それに類するとも、思いますが...
            ガードするといってガードできずに、むしろ情報流出や改竄などの危険の
            拡大に加担するわけですからね。

            >うまく使ったら人を傷つけられるからってあまり工具とかバットとか制限されてないと思うし

            危険性があるなら、その危険性を書く方向になっていますよね。

            「脆弱性があるので、それに注意して使ってください」とか、
            「脆弱性がありますが、それによる損害賠償はうけません」とかね。

            >#「法律では危険物とは……」とか突っ込まれるのでご注意

            法律の話なんですかね?危険なものは危険でそれを危険物と呼ぶだけのこと。
            法律屋が現状を理解できない捻じ曲げた意味で意味を捏造した頓珍漢を言う
            のは、馬鹿が馬鹿を言うのと同じ程度のことですので、嘲笑って楽しむのが
            よろしいかと...;-)
            親コメント
        • 危険物を合法的に取扱いを行うには危険物取扱者 [wikipedia.org]という免許が必要です。取得してから随分経つのですが一向に役に立ちません ;-(。

          って話じゃなく。

          生命に係わる用途で用いられる機器に搭載されているソフトウェアには脆弱性を保障する特約は存在すると思います(病院とか船舶とか人工衛星とか)。もちろんそれなりのお値段はするとは思うのですが。
          販売されている多くのソフトウェアでは EULA(End User License Agreement)で「無保証」が記載されており、それに対して使用者が「Agree」を押して使用している現状では脆弱性の存在する製品に対して一概に違法とは言い難いのではないでしょうか。

          故意に脆弱性を仕込んだのが証明できない限り、現状では違法扱いとは言えないのではないかというのが私の考えです。「私法の濫用じゃないか」という切り返しもあるでしょうが、この「無保証」という契約が保障されないとなると多くのソフトウェアは販売が出来なくなる気がするのですが如何でしょうか。
          「脆弱性がないことを証明することが不可能であるならば、ソフトウェアを販売するな」と言うのであれば、私から言うことは何もありません。

          仏研究機関がフランス版GPL"CeCILL"を発表 [srad.jp]を読む限り、フランスの著作権の考え方は他の国とビミョーに違う事も考慮しておく必要があるかもしれません。

          #なんか纏まりがないね。すまぬ。
          --
          Mc.N
          親コメント
        • 少しくらいは記事くらい読んだらどうでしょうか?

          >脆弱性を公開したことを違法とする

          自体が全然事実に基づいていないのですが。
          #凄まじく恣意的つーか単なる煽りつーか。

          • > 少しくらいは記事くらい読んだらどうでしょうか?

            「Viguard の脆弱性を公開したことを違法とする判決を下した」
            という記事は読みましたよ。

            この「Viguard の脆弱性を公開したことを違法とする判決を下した」
            という文字列の意味は御理解できますでしょうか?

            # で、この文字列が誤っているわけで、議論は不定でお遊びにしかならんわけですな。
            # そういうことですよ。ACちゃんらしく、理屈を理解できていませんね。
            親コメント
    • >>脆弱なものを売ったのは合法なわけですかね?
      前後の言葉がだいぶ抜けて落ちている状態で書かれたら
      解釈に幅を持たせる事になるので無意味な議論になってしまいます。

      ##By
  • by Anonymous Coward on 2005年03月10日 23時53分 (#707253)
    著作権法違反なんだ…

    後悔するコードがパクられたものでなければ、
    合法だったって理解でいいのかな?
  • by Anonymous Coward on 2005年03月11日 3時00分 (#707341)
    フランスの裁判官は、ちょっと
    英米の裁判官とは違う判決をすることに意義を見出した
    かのようにも思います。
  • by Anonymous Coward on 2005年03月11日 11時41分 (#707460)
    >Tegam 社は約120万ドルの損害賠償金を求める民事訴訟も準備中だと言う。

    この請求額の膨大さの根拠が知りたい。
    どう計算したら約1億2500万円なんて額になるんだ。
    • by Anonymous Coward
      そもそも120万ドルの損害賠償金を求めるほうが間違ってる。

      120万ドルのオファーで雇えばよし。
typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...