パスワードを忘れた? アカウント作成
3760 story

自動作成後に存在確認した電話番号やアドレスのリストが流出 31

ストーリー by Oliver
いきなり晒しは無責任 部門より

dwife曰く、"Yahoo!ニュースによると、プログラムで自動生成された携帯電話の電話番号、メールアドレスなどがインターネット上で閲覧可能な状態になっているとのこと。2chニュース速報板に晒された。
既に大量にダウンロードされているとのことだが、同様のニュースを見るたびに考えるのが、2ch等に書き込む以前に、該当するサイトの管理人に警告はされているのだろうか?甘いセキュリティ管理はもちろんサイト管理人の責任だが、だからといって2ch等に書き込むことで更に被害が拡大しているのではないだろうか?"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by kamuy (1690) on 2002年08月29日 15時32分 (#155581) ホームページ 日記
    事前告知・連絡なんかしないのではないかと。

    サーバ管理者への連絡 → 小一時間待つ → 晒し上げ
    の場合、
    書き込みを(しようと)した時点で、既にサーバのファイルが移動・削除されているなり、穴を塞がれているなり、という対策がなされているかも知れない訳で、せっかく見つけて晒し上げようとしたのに「そんなもんねーぞ」という糾弾を浴びるようなことは避けたいのでしょう。

    想像の上ですが、そもそも晒し上げってのが鬱憤晴らしであるとか、ストレス発散であるとか、そういう動機に因るものならば、サーバ管理者への連絡なんて、「無駄なこと」はしないでしょう。

    ならば、
    晒し上げ → 祭 → サーバ管理者の目に届く → 対策までの時間を計時 → 対策所要時間さえも晒し上げ
    という感じで、
    二度おいしく頂こうとするのではないでしょうか?
    これならば、「『晒し上げ』を以て連絡にかえさせていただきます」という考えに至るのも理解は出来ます。

    #まあ、セキュリティ対策が目的なら、そもそもいきなり晒したりしないでしょう。
    #もちろん、せっかく通報したのに相手にされなかったから報復措置としての晒し上げ、ってのもあるんでしょうがね。
    #わたし的には晒し上げようと云う考えは好きではないのですが、
    #こうやって継続的に出てくると、怠惰な管理者に対する脅し文句には使えそうですなぁ。
    --
    -+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
    • おふとぴ(鯖→人) (スコア:2, すばらしい洞察)

      by wish (6421) on 2002年08月29日 16時57分 (#155636) 日記
      鯖を人に置き換えて考えて見ると

      事故に巻き込まれた人が血を流して倒れています。
      助けを呼んだところ、野次馬がぞろぞろと集まりました。
      皆 けが人を見てビックリ! これは大変だ!どうしよう!
      と、けが人を見る事のできた人間は思います。

      が、後ろにいて見れない人間は
      本当に人が倒れているのか?などと叫びます。
      中には医者の卵らしき人間もいて、そこの手当てはそうじゃないなどと
      言うばかりで手助けもしません…

      さて 貴方の良心回路はどう働く?:-p
      親コメント
    • by Anonymous Coward on 2002年08月30日 2時25分 (#156007)
      ニュース速報板の住民は連絡しているかどうかは知りませんが、
      セキュリティ板では連絡している人もいるようです。
      ただし連絡してもサーバの管理者が捕まらなかったり、何らか
      の理由で対策が遅れているうちに騒ぎになってしまっているのでは。
      もともとセキュリティ板から出てきた情報を見て、ニュース速報板
      の住民がわいわい騒いでいるような気がします。

      # 何となくAC
      親コメント
    • by Anonymous Coward on 2002年08月30日 10時00分 (#156148)
      どう解釈したって、セキュリティ対策が目的の「晒し上げ」など許容できないと思います。それをセキュリティに役立っていると言うのは、まるで、家のセキュリティ (たとえば、きちんと鍵をかける習慣) の向上のために、どろぼうの存在が役に立っていると主張するようなものだと思います。

      それはともかく、現実問題としてそういうことをするやつらがいるのは事実なんだから、セキュリティ関係者は、「晒し上げ」をするやからとも戦っていかなければなりません。

      親コメント
      • まるで、家のセキュリティ (たとえば、きちんと鍵をかける習慣) の向上のために、どろぼうの存在が役に立っていると主張するようなものだと
        そういうインチキなたとえ話はやめませんか。家のセキュリティが甘くても、それはその家の人の自業自得。だけど、他人の個人情報を預かる企業のセキュリティの話を今はしているのではありませんか?
        • 私も突拍子もないたとえ話はあまり好きではないけれど
          この場合にはあなたの方が良く見かける幼稚な話のすり替えになってないかな?
          私には、
           
          >どう解釈したって、セキュリティ対策が目的の「晒し上げ」など許容
          >できないと思います。それをセキュリティに役立っていると言うのは、
          >まるで、家のセキュリティ (たとえば、きちんと鍵をかける習慣) の
          >向上のために、どろぼうの存在が役に立っていると主張するようなもの
          >だと思います。
           
          と言った人の話の内容は
          「泥棒という犯罪があってその被害が存在する以上、
           それが社会のセキュリティ向
    • >> #まあ、セキュリティ対策が目的なら、そもそもいきなり晒したりしないでしょう。

      セキュリティ対策が目的なら、「いきなり」じゃなくても(連絡して相手にされなかったような場合でも)ネットに情報を流したりしないと思うけど?
    • 2chの有効的な利用方法として
      「2chに書き込まれたくなかったら金をよこせ」
      ・・・なんて脅迫に利用できそうと一瞬思いました。
      • 脅迫は出来るのでしょうが、あんまり有効ではないですね。
        脅迫が来た段階で「言い値で払う」などと言っておいて、現金の受け渡し手順を決めるとかなんとかで一日・二日時間を稼ぎ、その間に対策を完了したところで反故にする。或いは、脅迫の咎で逆に訴える。
        など、やりようはいくらでもありそうですから、企業を相手にするにはチョイと弱いと思います。

        もし取引を反故にされた脅迫側が手元に置いてあったファイル等を流したとしても、「ウチのモノではない」などと突っぱねられたり、「対策済であるのに罪もない多くの一市民の個人情報を危機に曝した」としてやり返されたり、そもそも脅迫も個人情報の漏洩も、どっちも犯罪な様な気がしますので、公の場で争うものならむしろ自分の首を絞めるようなものでしょう。

        なので、「サーバの対策を三日後までに完了させない場合、晒すぞゴルァ」という脅しくらいにしか使えないような気がします。

        だいたい、取引が成立したとしても、そのデータを取り出したのが一人であるとは限りませんからドコから流出するか知れたものではありませんし、取引に成功した脅迫側にしても、本当にデータを削除する保証なんてドコにもないですし。つか、普通にバックアップは残すでしょうし、企業との取引以前に名簿屋に売り払ってるモノと考えるべきでしょうし。
        --
        -+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
        親コメント
  • 自動で調べた携帯の電話番号リストとかって、ネットからみられるようにするのって違法なんですかね?
    2ch系にモラル期待しても仕方ないので、違法じゃなければ、「晒し」はとまらないですよね。
    違法でさえあれば、犯罪を幇助したことにして、糾弾できるでしょうが。
    また、違法であれば、TBCとかの情報流失についても企業の責任を明確に問える(経営者を書類送検とか)し、良いと思うのですが。
    モラルにたよっていると、今のあいまいな状況がずっと続いてしまい、よくないと思っております。
  • by densuke (113) on 2002年08月29日 15時59分 (#155598) 日記
    情報源として2ちゃんねるを名指しで入れているのはけっこう画期的に思ったのは私だけでしょうか。
    従来よく見たのが「漏れていことが判明した」というだけで、ネタ元がどこであるかを書いてるのを見た記憶がないような。

    PS.でも「2ch」はないだろう...トップページ [2ch.net]にも堂々と「2ちゃんねる」て書いてるし。
    --
    -- やさいはけんこうにいちば〜ん!
    • Re:なにげに (スコア:2, 興味深い)

      by araiguma_hataboh (7728) on 2002年08月29日 16時57分 (#155637) 日記
      Y!ニュースにこの記事を配信している元サイト [netsecurity.ne.jp]では、
      たいていの場合、ちゃんと2ちゃんねるを名指ししてますね。
      一般の新聞社サイトが配信するニュースなどで名指しされてるのは
      めったに見ませんが(スポーツ紙除く)。

      このサイトがネットでのセキュリティ問題に特化したサイトだからでしょうね。
      掲載する情報のネタ元として2ちゃんねるの情報を元にした場合などは、
      ちゃんとお礼のメッセージ [netsecurity.ne.jp]を書いてることもありますし。

      しかしまあ、ほんと「2ch」はないよな、とは思いますが…。
      上のサイトで「2ちゃんねる」「2ch」で検索かけるとどちらも
      引っかかるので、内部でもあまり統一されてないみたい。
      親コメント
    • まあ、
      「スラッシュドット・ジャパン」->「スラド」
            +---->「/.J」

      「2ちゃんねる」->「2ちゃん」
            +----->「2ch」

      なわけで・・・

      # 書いててむなしくなってしまった
      --
      M-FalconSky (暑いか寒い)
      親コメント
      • by tix (7637) on 2002年08月30日 4時14分 (#156031) ホームページ
        Yahoo! ニュースに「/.J の記事によると……」と書いてあったら気持ち悪いと思いますが。それと同じでしょう。
        --
        鵜呑みにしてみる?
        親コメント
        • by Nomad-AY (2520) on 2002年08月30日 10時19分 (#156158) ホームページ
          今回のニュース速報板というのが ニュース速報@2ch掲示板 [2ch.net]なのでしたら、「2chニュース速報板」と記事に書かれるのも仕方ないかと…。
          「2ちゃんねるのニュース速報板」もしくは「ニュース速報@2ch掲示板」と表記するのが良いとは思いますけど。

          #「/.J」の一般への認知度が高いと見なされれば(記者などが思いこめば)、そう記述される気もしますな…
          #「メルマガ」とか書かれた記事なども、よく見かけますし(;_;)
          #って、そういうのが気持ち悪いということですね
          --
          タブレット中毒者。
          親コメント
          • by tix (7637) on 2002年08月30日 13時15分 (#156274) ホームページ
            あ、そうか、「ニュース速報@2ch掲示板」が正式名称だとすると、「2ch」という表記がもともと使われているので、その意味では「2ch」と「/.J」は違うんですね。そこまで考えていませんでした。
            #「/.J」の …… #って、そういうのが気持ち悪いということですね
            はい。一般向けの報道記事では多少冗長でも正式な名前を使うほうがいいと思っています。

            // と言いながら、「アメリカ合衆国」のことを「アメリカ」とか「米」と略して表記してあっても気持ち悪いとは思わないので、一貫性がありませんが。
            --
            鵜呑みにしてみる?
            親コメント
    • by Anonymous Coward
      2chニュース速報
      ニュース速報@2ch掲示板だよ!
      • by Anonymous Coward
        さすがにここ(/.-j)のタレコミ記事は「板」になってましたね。よかった。
  • by Anonymous Coward on 2002年08月29日 19時20分 (#155712)
    例えばURLに
    http://yuumeikigyou.co.jp/kyaku.cgi?Uid=hogehoge&page=addres
    なんて頁を見つけちゃった場合に
    hogehoge を honyarara に変えて
    試してみたくなるのまぁありがちですが…

    この hogehoge をスクリプトで自動生成するなどして
    データを連続して取り出す行為を不正アクセス禁止法を
    改正して違法とするってのは, 非合理でしょうか?

    私には十分合理性があるように思えます.

    #脊髄反射なスーパーハカーM1がいるといやなのでAC
    • by Anonymous Coward
      問題なのは、webが全世界に公開されているということ。
      そこへ日本だけ勝手に無理矢理なルールを後付けしたところで非常にザルっぽいことになりそな悪寒。

      そんな他力本願なことより、サーバ側で防禦処理を強化すべきといいたい。
      てゆか、見せたくない情報がhtt
      • 見せたくないデータがHTTPで吸い出せる時点で
        駄目駄目なのは同意するけど
        善用の障害にならない範囲で悪意の利用を規制する
        法律をもうけることが出来るなら有益でしょ?

        すくなくともへの抑止力になる
        • by Anonymous Coward on 2002年08月30日 8時32分 (#156091)
          善悪の線引きは微妙だろうし、
          そもそも、技術的に抑止できるはずのことを、
          法律で済ませようてのが、なんか違っているような。
          #だからDCMAみたいな極悪法が作られるわけで。
          親コメント
          • そもそも、技術的に抑止できるはずのことを、
            法律で済ませようてのが、なんか違っているような。

            鍵をかけなかったり、欠陥品の錠を使ってたりした方が管理責任を問われるのは当然。管理責任の方も法制化必要だと

  • Re (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2002年08月30日 8時32分 (#156090)
    今回のは当てはまらないけれど、一般的にいって報告したら したらで、不正アクセスなんとかで、逆に訴えられたりして (脅されたり)損するだけじゃないでしょうか。
  • by Anonymous Coward on 2002年08月29日 17時25分 (#155655)
    この件については知らんが、以前顧客データがもれた事例だと連絡はしてましたね、一応。
    ただ、上のとこでも指摘されているように、連絡してからそれほど間をおかずに書き込んでいるようでした。

    ただし、スレッドがたった時点では直リンされてるわけではなく、よく分かってないであろうDQNが途中で直リンしている場合が多いように思う。

    もっとも、パスさえかけてなかった場合にアクセスされても、不正アクセスには問えないので。
    どうしたもんだか。
  • by Anonymous Coward on 2002年08月29日 23時14分 (#155876)
    >なお、緊急連絡用に一部の公的機関も導入を検討しているといわれており、当該機関の見識が疑われる。

    こっちの方が微妙に気になる。
    • Re:しかし (スコア:1, 興味深い)

      by Anonymous Coward on 2002年08月30日 1時52分 (#155992)
      編集部およびスタッフは調査権限をもたないため、これ以上は事態を明らかにできないが、このような時のために調査機能を認められている官公庁および外郭機関により状況が解明され、事態が改善されることを期待する。

      っていうのも気になる。
      報道機関って調査権限が与えられているわけじゃなくて、報道することを使命として仕事をしているんだと思う。なのに「調査権限がないからなにもできないよぉ」って。おいおい、そんなことでいいのか?
      いや、ニュースサイトを装っているだけで、報道機関じゃないっていってくれればこっちも気が楽なんだけど。

      ま、自分たちで調査できないと判断したなら、調査を実施できる組織に対して何らかのアプローチをとって、それを記事にすればよかろーに。
      親コメント
typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...