ロイターがURL推測で不正アクセスとして告訴される 188
ストーリー by Oliver
秘匿はセキュリティでない 部門より
秘匿はセキュリティでない 部門より
本家より:ニュース通信社のロイターがスェーデンのIntentiaという小さな会社に不正アクセスで告訴された。ロイターが非公開の財務レポートが公開した、という訴えだ。ここまでだと普通の話だが、このレポート、実はIntentiaのウェブサイトにアクセス制限無しに置かれていたのだ。ただし、どこからもリンクされずに。ロイターは過去の財務レポートのURLから今期のレポートのURLを推測してアクセスしたとのことだが、それで不正アクセス(Intentia社の見解)と言われるとは....
参考まで (スコア:3, 参考になる)
以前にも同じようなことが (スコア:3, 参考になる)
これはWall Street Journalのようですが、重要文書を公開予定日前にWebに上がっているのを見つけた記者が、「これをもとに記事にして公開することは許されるか」と社内弁護士に尋ねたところ、「おれにコメントを求める暇があれば、さっさとWebに載せることだ」と即答した、とのこと。
自分の手持ち道具のことを知らなさすぎ (スコア:3, 参考になる)
でたらめなアクセスでもそこにファイルが有れば返すというのがWebデーモンのお仕事なわけだから、Webデーモンから見える範囲というのはまさに「ショーケース」でしょう。
勝手に写真に撮られても文句いう筋合いじゃないがね。
#ネタかぶりご容赦。
Re:自分の手持ち道具のことを知らなさすぎ (スコア:1)
なんでだかは知りませんが作成中のファイルを公開 Web サーバにおいて運用してる、というのは、昨今では非常に素朴 (ある意味世間知らず) な気が。
Only Jav^Hpanese available :-)
ネタちゃいますか? (スコア:2, 参考になる)
会社の広報代わりに訴えたのかいな、とも思ったけど業務内容見ると信用失墜以外ないんじゃないのか? それとも訴訟ビジネスも業務のうちなのでしょうか。
の
どうやらドジ隠しみたいですね (スコア:2, 興味深い)
ロイターは「訴訟には驚いた。我々は、財務レポートがアクセス制限も無しに Web で公開されてたから報道しただけだ」と述べているので、多分、Intentia は勝てないでしょう。
でも Intentia も、勝てなくてもロイターを訴える事で「我々は公開する気などなかったのだ」とPRし、株価に影響を与えうる財務レポートをドジってすっぱ抜かれちゃった責任を「ロイターだって悪い」となすりつけようという作戦じゃないかな。
ロイターも悪い (スコア:2, すばらしい洞察)
現実問題として、公開ページからリンク張る前に本番環境でページやアプリの最終テストをすることがあります。 公開スペースでテストをしているので、そこにアクセスされても文句は言えませんが。
でも個人では問題にならなくても、ビジネスとしてやっている場合には問題がある場合があります。
今回、ロイターは元情報が official なものか確認する義務があった気がします。 公開されているページからリンクされていない場合、それはテストページかもしれないし、正式発表前のものかもしれない。 まだ数字に誤りが含まれているかもしれない。ゴミ情報にアクセス制限がかけてなくたって、そのサーバの持ち主がそのゴミの中身にまで責任を持つ必要は無い(ちと極論ですが)。
それを怠った時点で、少なくともロイターは信用を失ったのかなと思います。 不正アクセスかどうか、とは少し違った話題かとは思いますが。
普通... (スコア:1)
Re:普通... (スコア:1)
ロイターの記者がどうやって、URL見っけたかとかはどうでも良くて、IntentiaのWebサーバに
「これこれのURLのファイルくださいな」
ってRequestを出したら、
「ほれほれ、これが今期の財務レポートじゃ」
ってResponseだしたんでしょ?
自分で教えたのに告訴はないよなぁ
明示的に公開していないものは非公開 (スコア:1)
多くの人が幸せになるかと思われます。
見えるんだから、見たんだよー!
が正論だ、という常識が出来上がるのは、
芳しくないなあと。
-- LightSpeed-J
そうは言うけど、 (スコア:3, すばらしい洞察)
公開の意思の無いものは、
Web上に上げない or パーミッションを施す、
と言うルールですから。
裸で往来を歩いて
「見せるつもりは無かった」
と言っても猥褻物陳列罪。
Re:そうは言うけど、 (スコア:2, 興味深い)
見せたくないものは大事に隠しておくものでしょ。
数字ふぉ含むファイル名を連番とみなして、インクリメントした名前を探そうとしたり、ありきたりなmeibo.txtみたいなキーワードを探しまくるアンダーグランドな検索ロボットが動いていても不思議ではない。
Re:そうは言うけど、 (スコア:1)
この場合、パーミッションを『与えない』が正しい言い方では。 『施す』を使うなら、『アクセスコントロールを施す』でしょう。
# パーミッションを上げる/落とすはUNIXでしか通用しないと思われ
Re:そうは言うけど、 (スコア:1)
Re:そうは言うけど、 (スコア:2, すばらしい洞察)
ファイルを置いた日
誰に:
全世界のインターネット利用者に
明示したことになります。Webで見られる領域に置くってことは。
あるいはインターネットというものを勘違いしているのか。
// Give me chocolates!
Re:そうは言うけど、 (スコア:1)
「示す」とは相手にわかるようにするということです。
見ることが可能かどうかと、その事実を明示したかどうかは 別の話です。
今回のケースではファイル名がわかるようにしたわけではないので
「明らかに」「示した」とは言えません。
Re:そうは言うけど、 (スコア:1)
もっとも、明示したと言うことができてもなんということはありませんが。
#きみおもしろいよ。
// Give me chocolates!
Re:そうは言うけど、 (スコア:1, すばらしい洞察)
細々とやってるようなWebサイトは明示されてないんだなぁ
Re:そうは言うけど、 (スコア:1)
無人島であったかどうかが問題なんじゃないでしょうか。
公けに晒している場所においたんだから、そのアナロジは通用しないと思います。
あえてその線でいうならば、"誰にも告知せずに"裸になった程度ですよね。
Re:そうは言うけど、 (スコア:1, 興味深い)
ええ。確かに。
ですから,インターネットに繋がってない,いわば無人島に秘密情報を
おいても問題ありません。
しかし,インターネット上にアクセスコントロールなしでファイルを
置くことは,誰でも見られるところにそれを置くことを意味し,
「無人島」などでは決してありません。
リンクを明示的に貼ってないということは,せいぜい「俺は裸だぜ!」
と叫んでないだけに過ぎないでしょう。
Re:そうは言うけど、 (スコア:1)
公開ですね。
Re:そうは言うけど、 (スコア:1)
それは多分「公然猥褻」の罪になります。
#「裸で往来を歩いている写真を公開した」なら猥褻物陳列罪になるのかな?
Re:明示的に公開していないものは非公開 (スコア:2, すばらしい洞察)
Re:明示的に公開していないものは非公開 (スコア:2, 興味深い)
一方で、物理的に見れてしまうもの、できてしまうこと、を 法的に禁止することで抑止しようとする姿勢が行き過ぎると、 実際にはいろんな「犯罪」の手口があるのに一般人はそれを知らない (物理的にもできないものと誤って思い込んだり、 そういう危険性に配慮することを忘れてしまったり) といった危険な状況に行き着く可能性があります。
で、どこかでバランスが必要だと思いますが、 今回の件について言えば、 ウェブ上の公開の場所に置いてリンクを張ってないものについては 見られて当然だと思います。 (リンクを張ろうと思って忘れてる、とか、 リンクを張ったつもりが URL が間違っていたために どこからもリンクが張られていない、とかの状況だって 考えられますから)。
Re:明示的に公開していないものは非公開 (スコア:2)
インターネットという技術、利便性、目的...を考えると、そもそも現実社会というものと矛盾する点が多くあるはず。
だから、インターネットはインターネットで常識があるという認識が大事。もちろん、常識とは強制されて作るものではなく、大衆が行う行動によって決まります。で、大衆はインターネットを現実社会とは違うものとして考えているだろうから新たにインターネットの常識と言うものが今作られようとしているのが今日この頃。
インターネットが人々に定着しはじめて、インターネットに関する問題に関して多くの人が考え始めると、新たなるインターネットに対する一般的な認識というものが形成されるでしょう。今回の裁判は、これらの問題を考える上で参考になり得るだろう判例になるのです。
ちなみに今は、インターネット上で見られるものはなんでも見ていい、わざわざWeb上に置いているようなものを秘密のものであるとするのは無理があるという認識が多数派であるようです。
// Give me chocolates!
Re:明示的に公開していないものは非公開 (スコア:1)
> 少なくともそのソースぐらいは明示してね。
多数派だと言う明確なソースが存在していると思っているの?
#きみもおもしろいよ、AC君だけど。
ちなみに、多数派だと言うのは/.のことね。いろんなコメントをみていればわかるけど。
// Give me chocolates!
Re:明示的に公開していないものは非公開 (スコア:2, すばらしい洞察)
ほとんどのHTTPサーバーはファイルを置くだけで閲覧できるように
なっています。
ちなみに、置くだけでは閲覧できないようにも設定できるに関わらず
大抵はパーミッションが読み取り可能となっています。
これは明らかにファイルを置くだけで、閲覧を許可しているものと
判断しても良いのではないでしょうか?
見れるように設定していながらも、もしくはそのように設定されている
サーバーを自発的に使用していながらも、閲覧される事に文句を言うのは
道理がかなわないと思いますが。
CGIなどは置くだけでは機能しないようになっている場合があります。
そういう時はパーミッションによって実行許可を与えなければなりません。
#間違いは指摘してもらえると嬉しいです。
#でも、余計なコメントを増やさないために返事はしませんのでご了承ください。
李 露星
Re:明示的に公開していないものは非公開 (スコア:2, すばらしい洞察)
容易かそうでないかはどうやって判断するんでしょう? そんなことする以前に見て欲しくないのなら見えない状態にしておくほうがいいんじゃないでしょうか。
明示的に公開していないものとはどう判別すればいいんでしょうか。URLをタイプして、タイプミスしてたまたま見えてしまったものと判別がつくのでしょうか。
Basic認証なりの手段をとらずに普通にhttpで見えてしまう状態で、その人が見せたくないと思っていることを判別するすることはできないんじゃないでしょうか。
総当たりでファイル名を推測することは、DoSと見做すことができる程度であれば不正アクセスでいいんじゃないでしょうかね。ただし、どの程度がそうだというのは私にはわかりませんが。サーバの性能にもよるでしょうし、線の太さにもよるでしょうし、他の要因も考えられますし。
webサーバに置いた瞬間にその文書は公開したものだと見做すことを啓蒙していくほうがみんなが幸せになれるんじゃないでしょうか。見られたくないものを見えちゃうところに置かないように気をつけるようになるでしょうから。いくら「見ちゃダメ」って思っていっても、見られてしまえばおしまいなわけで。
それが普遍的な考えになったときに困る人ってのは、ついうっかり秘密の文書を置いてしまった人か、「非公開のものを見られた、賠償しろ」などという訴訟ゴロかくらいなものでしょう。前者は「不注意だったね、次は気をつけようね」で済むし(場合によっては済まないかも)、後者については別に何もフォローする必要はないでしょう(そんなやついるのかな?)。
# ファイル名の暗号化は意味不明だけど、まあそれはほっとこう
Re:明示的に公開していないものは非公開 (スコア:1)
まず第一として実際に制限しているという現実があります。
リンクを張らないだけでファイルを置いておくことは、実際には何も制限していません。
意思の明示の話では有りませんので、ぜんぜんまずくないです。
>「この先は見ないで下さい」と書かれたリンクをたどったら違法になっちゃう
なりません。
リンクをたどるという行為は現行法では違法ではありません。
Re:明示的に公開していないものは非公開 (スコア:1)
> と、ルールを作る方が、
> 多くの人が幸せになるかと思われます。
えー!!!!
それって、今ある公開ページ全てに「公開してます」って
宣言して回らなきゃ・・・・。
受益者が働くという原則を適用すると
見て欲しくないページに「見ないで」と宣言していくべきじゃないですか?
(場合によってはアクセス制限をかけるべき)
日本国内では (スコア:1)
「自動公衆送信 公衆送信のうち、公衆からの求めに応じ
自動的に行うもの(放送又は有線放送に該当するものを除く。)をいう。」
とあり、Web にファイルを置くことはこの自動公衆送信にあたります。
なので日本国内で同等なことが起きた場合には不正アクセスには相当しません。
て言うか、某エステとかで既に起きてるけど逮捕起訴されたりしてないでしょ。
スウェーデンの法律はどうか判らないですが、
The Internet の「公開する」という基本理念から考えれば Intentia が間違っている。
Explicit Published Url Transfer Protocol(EPUTP) (スコア:1)
明示的に公開された URL のリストを転送するプロトコルが
必要になりそう。
でなければ、URL が公開されているかどうかを答えてくれる認証サーバーが。
コンタミは発見の母
Re:明示的に公開していないものは非公開 (スコア:1)
「見られたくない」
と思っているものを、敢えて見る/見たことに対して、
なぜそこまで擁護側に回るんだ?
それは、
俺には間違ってるような気がするんだよね。
見られたくないものを見せないようにする努力は必要だが、
悪意を持ってそれを見る行為を処罰しないのはどうかと思うぞ。
たとえばさあ、年寄りが強盗かなにかに逢って
何人も、
外では誰かに殴られないように気をつけて当然だから、
殴られた馬鹿が悪いんでしょ。
って常識がまかり通るようじゃあ、
一番強い奴だけが幸せになるってことじゃない?
-- LightSpeed-J
Re:明示的に公開していないものは非公開 (スコア:2, すばらしい洞察)
「見られたくない」のであれば、公開の場所にファイルを置かないことです。
公開の場所にファイルを置くということ自体が「見られたい」と主張することなのです。
(異論はあるのかもしれませんが、そうした方が格段にみんなが幸せになれます)
老人が外で殴られたうんぬんの比喩は正しくありません。
この場合は、公共の掲示板に秘密文書を張り出して、それを覗き込んだ人に「おうおうナに見てんだコラ」と脅すような下衆な行為であると私は考えます。
Re:公開しているソフト (スコア:1)
ライセンスで公開が禁止されているので問題になるのではないかと。
判例ができる (スコア:1)
こういうことはよくあるけど、法律判断が示されたことはなかったはずだし。
判例ができれば、今後どういう行動をすればよいかというのがわかるんでいいかも。
#ロイター無罪、という判決が出るような気がするけど。
#感覚としては、道路に面している窓があいてたから覗いた、というのに近い気がするな。
Re:判例ができる (スコア:1)
のぞきは軽犯罪法第1条23号により犯罪だそーです。たとえ外から見えるようになっていたとしても。ご参考 [tripod.co.jp]
# 参考文献さがしてたら田代まさしだらけだったのはしみつだ
Re:判例ができる (スコア:1)
直打ちはしょっちゅうやりますね。ひょっとするとリンクされて
いないかも知れない。一個上の階層に行こうとして、「Index Of」
が見れちゃうこともありますが、これも「不正アクセス」?
一番最初にブラウザでYahooに行ったときもURL直打ちだった。
インターネット上の全てのサイトを回って、どこからもリンク
されていないことを確認しない限りURL直打ちは出来ませんな。
つまり「リンクがないのは見て欲しくない証」というルールは無理がある。
Re:判例ができる (スコア:1)
ですよね。どこかに(掲示板とかね)リンクはっちゃえば、その瞬間から見て欲しくないものでなくなっちゃうんでしょうか。すみません、屁理屈です :)
Re:判例ができる (スコア:1)
美術館で、鍵かけてなくて立入禁止とも書いてない部屋に名画が飾ってあった、みたいなもの。それを閲覧したからって訴えられるのは心外だとおもう。
Re:判例ができる (スコア:1)
う~ん 野ざらしになってるけど 目印になる物が無くて場所が分かりにくかっただけ が正しいかも
べつに部屋の中に隔離された物でも無いんだし
Re:判例ができる (スコア:1)
仮に正しかったとして、
ゴミ箱の中から機密情報を探し、それを「スクープ」として取り上げているような輩に対して、あまりにも無防備では無いかと。せめて機密情報位、シュレッダーに通してから廃棄するのは常識だよね、ってことで諦めるしかないような。
Mc.N
この場合大事なのは (スコア:1)
つまり、Web上にファイルを置くことで一体なにが起きてどんな利害関係が発生するのかを、Webに置く際に十分認識していたということになります。
当然、裁判でもこの点は考慮されることになると思います。
// Give me chocolates!
推測するのも一興 (スコア:1)
保身と責任のがれのため (スコア:1)
思い付くところでは…
技術的におかしな主張をしているのは重々承知のうえで、イイワケとして訴えておくとか。
外注先に無意味なメンテをさせたりして、機械の故障のせいにするとか。
そういう「CDが売れないのはマーケティング能力の低下だって分かっているけど、CD-Rとmp3ブームのせいにしておけば首が繋がる」みたいな現象があるのでは?
Masafumi Otsune [otsune.com]
明らかに推察できるURL (スコア:1)
ロ ~user/c/helloworld.html を発見して、 ~user/c/ (または ~user/c/index.html) を叩いた
ハ /200210/log.html を発見して、/200209/log.html を叩いた
これ、よくやりません?
これも不正アクセスって言われちゃなぁ
推察したURLを叩く前に、他からリンクされてる or されていないの確認しなくちゃダメですか?
# どうやって?
Re:明らかに推察できるURL (スコア:1)
つかまっちゃうかも。。(笑
Re:似たようなもの? (スコア:1)
というよりも真っ先に疑うべきは、その携帯電話の会社と、契約したときの店員さん。
// Give me chocolates!
そんな問題ではなくて。。。 (スコア:1)
間違っても自分が悪いとは言えないと思う。よって、不正に見られたと報告するだけで、法的手段には訴えないのではないかと。。。
憶測ですが。
Re:見られた側が悪いかどうか、見た側が悪いかどうか (スコア:1)
区別がつかないのに、プライベートなところに何かした者を断罪するのは、不当ではないでしょうか?
で、問題は「境界」とは何かということになりますね。
住宅なら、「扉」「窓」ということになりますね。
WEBなら、パスワード入力画面ということになるんではないでしょうか?
あと、厄介なのが、「社会的合意」によって、境界線を決め、「示すもの」自体は目に見えないというのもありますが。国境とか。
(「扉」「窓」が境界なのも「社会的合意」ではないかと言う循環論的主張もあるかもしれませんが、ここでは置いておきます。)
「境界」を示す責任は、プライベートなところの所有者にあることは言うまでもありませんね。
この訴えの手法は、目に見えるように境界を示さなかったので、「社会的合意」による「境界」を裁判によって作り出そうということかと。
でも、この手法は、「社会的合意」の「社会」に含まれない人にとっては迷惑なので、やめて欲しいですね。
ちゃんと、目に見えるものを示すようにして欲しい。