パスワードを忘れた? アカウント作成
7178 story

欠陥を指摘するはずが個人情報流出。セキュリティ専門家に捜査の手 609

ストーリー by Oliver
やりかたが問題 部門より

parsley曰く、"今朝の朝日新聞一面に掲載の「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表という記事に対しての各方面の反応が興味深い状態になっている。/.J読者のみなさまとしては、ACCSの著作権・プライバシー相談室から個人情報流出として既報な事件でありますが、事件自体のその後の経緯が不明な状態で、このような情報が唐突に紙面を賑わすのは、今後の何かの動きへの予告でしょうか?それとも圧力の一種と受け止めるべき?"

個人情報が洩曳しかねない欠陥が放置されているので、その危険さを指摘する為に、発見者が実際の個人情報を公開してしまい、警視庁が不正アクセス禁止法違反の可能性があるとして捜査している、という話である。記事中で名指しされているofficeさんのウェブサイトでは当人が事態の経緯を説明すると同時に謝罪している。Slashdot Japanでも過去にofficeさんにXSS脆弱性を指摘してもらい、大事に到る前に修正している。

セキュリティに関する欠陥が放置された場合、直接不利益を被るのは放置している側ではなく消費者なため、欠陥の存在を広くしらしめて対策を促すFull-Disclosure精神は企業の重い腰を動かすためには必要不可欠だ。しかし、欠陥対策の手間も風評被害も嫌う企業にとっては迷惑以外のなにものでもない。本来ならば善意な発見者が勢いあまって個人情報を漏らしてしまったのは良くないが、これを機会に不正アクセス禁止法をちらつかせて欠陥を通報した人を黙らせる風潮になってしまわないか心配だ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2004年01月04日 23時14分 (#465357)
    朝日新聞を読めない哀れな人のために社会面の「研究員一問一答」を転載しとく(改行は適宜追加した)。紙面には他にも解説や木浩光のコメントが掲載されている。

    (記者、以下記)なぜ個人情報を持ち出し、公開したのか?

    (office、以下o)今回のCGIは広く使われている。個別に通告するよりも、騒ぎを起こして、全サイト運営者に手直しを迫る必要があった。
    それには「証拠」を見せることが必要だ。ネットのセキュリティー問題を扱う民間団体に、さまざまなサイトの欠陥を指摘しても、
    「証拠を出せ」と門前払いされるばかり。だから、だんだん指摘の仕方が過激になった。
    欠陥は7月に発見した。11月の集会で参加者と一緒に、インターネットで個人情報が見えることを実演したかった。

    (記)違法行為では?

    (o)このCGIには外部からの侵入を防ぐ工夫がなく、全ての情報が公道に放置されているような状態だった。弁護士にも
    相談したが、不正アクセスではないと思う。

    (記)ネットの安全性に関心を持ったきっかけは?

    (o)01年に官庁や大企業のサイトを調べたら欠陥だらけで、警鐘を鳴らす必要があると思った。

    (記)サイトを守る側から指摘を続けるべきでは?

    (o)一度バイトで引きうけたが楽しくなかった。脆弱さを指摘した相手の対応の仕方に興味がある。(サイトに入るための)
    攻撃コマンドが決まったときはすかっとする。

    (記)今の気持ちは?

    (o)今回は消費者の味方と言い切れない部分があり、コンピュータソフトウェア著作権協会にも出向いてわびた。
    利用者の個人情報は全て削除した。深く反省している。
    • by Anonymous Coward on 2004年01月04日 23時31分 (#465380)
      おや? 俺の家にある新聞とは文章が微妙に違うなあ。
      版によって違ってるのだろうか。
      親コメント
      • by Anonymous Coward on 2004年01月04日 23時43分 (#465391)
        #465357です。

        >おや? 俺の家にある新聞とは文章が微妙に違うなあ。

        どの辺でしょうか? 記者の最後の質問が紙面では「いまの気持ちは?」なのに「今の気持ちは?」と
        「いま」を漢字にしてしまったぐらいのはずです。
        なおこちらは12版です。
        親コメント
        • by Anonymous Coward on 2004年01月04日 23時49分 (#465398)
          こちらでは、

          「今の気持ちは?」のところは、
          「反省点はないのか?」

          「サイトを守る側から指摘を続けるべきでは?」のところは、
          「サイト運営者の依頼を受けて安全性を検証すればよかったのでは?」

          になってる。こちらは地方の13版。
          親コメント
    • by Anonymous Coward on 2004年01月05日 0時40分 (#465461)
      (o)一度バイトで引きうけたが楽しくなかった。脆弱さを指摘した相手の対応の仕方に興味がある。(サイトに入るための) 攻撃コマンドが決まったときはすかっとする
      いくら馬鹿でもこの期に及んで、こういう不用意な発言をするというのは、どうにも信じ難いのだけど、どうなってんの?
      親コメント
      • by Anonymous Coward on 2004年01月05日 0時46分 (#465470)
        >いくら馬鹿でもこの期に及んで、こういう不用意な発言を
        >するというのは、どうにも信じ難いのだけど、どうなってんの?

        言葉の選択に新聞のバイアスがかかってるのに決まっとろうが(;´Д`)
        いくらなんでも「すかっとする」なんて単語は会話中に出てこんだろ…。

        それに相当することを言ったのであればそれは不用意だとは思うが
        編集の段階で相当なバイアスがかかっているであろうことはそれはそれで
        容易に想像できるんだが。
        親コメント
  • by Futaro (2025) on 2004年01月05日 15時16分 (#465847) ホームページ 日記
    新聞記事も読んだけど、記事を書く記者、見出しを考える記者ともに、officeに対して多少の「三分の理(泥棒にも三分の理とも言うからね)」を認めているように読める。

    でも記事の書き方として、これはまずいのではないか?。罪刑法定主義でいけば、「行為」を罰するわけだから、それがどういうつもりで行われたか、という「意思」とは別に考えないといけない。

    officeのやっていることは「大義名分が通れば行為は非合法でもなんでもよい」という、自家撞着、自己合理化に満ちた、子供の理屈だ。そして最後には「じゃぁ、おまえの個人情報が流出したらどうするんだ?おれは正しいことをしている!」と脅して、「だから非合法でもいいのだ!」と開き直る。

    新聞記事にあるように、その行為は「大義名分」を纏いつつ、その実は「スカッとした(新聞記事において本人談)」とか言うような「自己満足」のためにやられている行為と見られても仕方がない。つまり本人の言う「理屈」「大義名分」に信用がない。

    1. CGI等に欠陥があり脆弱性を持つサイトが思いのほか多くあること
    2. 欠陥の証明のために不正アクセス禁止法に触れると思われる行為が行われたこと

    の2つは、まったく別の問題だ。犯罪者が指摘した事柄が、その人間が犯罪者であるか否かを問わず、正しいことはもちろんある。しかし、その指摘という「善行」は、犯罪を正当化する、あるいは、犯罪を軽減する要素にはならない。

    でも、裁判での情状酌量、というのはあるでしょう。殺人でも「情状酌量で減刑」はあるんだから。でも、それは裁判でやるべき話であって、新聞記事でごっちゃにすることではないし、検察もこの2つを分けて考えなければならない。

    「悪意のない愉快犯」であっても、その行為によって重大な結果が出るとなれば、その結果の責任を問われるべきであって、「行為に至る経緯」「行為に至った本人の事情」は、本来は相手にされなくても仕方が無い。

    だって、officeはもう40歳立派な社会人なんだから、自分のやったことの結果の責任を取って然るべき歳でしょう。自分のWeb上で名前も明かさず、自分から申し出て公的な職をやめもせず、では、社会人としての責任が全うされない。

    また、もしも反対にそういう社会に問題がある、という意識をofficeが持つのであれば、社会を相手にして、徹底的にたたかう、というのもまた結構。officeはどんどんやるべき。今回のことも徹底抗戦して、謝ることなんか一切すべきじゃないよ。自分が正しくて社会が間違っている、というのだから、納得がいくまで警察とでも当局とでもやりあえばいい。結果がどうなろうと、それはoffice本人の責任だしね。法律やその解釈が間違っていて、自分は犯罪者ではなく、正しいことをしている、というのであれば、これをきっかけにもっと徹底抗戦をすべきだろう。

    責任を負う覚悟のないただのセキュリティゴロは、「とりあえずあやまっちゃう」んだね。肝の据わっていないチンピラは結局こういうことになる、という良い見本ができましたね。
  • by Anonymous Coward on 2004年01月05日 15時40分 (#465862)
    自分のサイトで同じような仕組みのサイトを構築し、実際に自分で自分のサイトをクラックできるようなサンプルサイトを作ればいい。そして「あなたのサイトはこのようにクラックできるんじゃないですか?」とか、こっそりメールで送ってみれば不正アクセスにはならないのでは? 見せ方に工夫がいりそうだけど。つかね、人のサイトで実証すんなと言いたい。自分とこでやれ、と。
  • 何だかなあ… (スコア:2, すばらしい洞察)

    by yosshy (3545) on 2004年01月04日 23時14分 (#465356) 日記
    「ほら、こうすれば自動販売機からお金が取れましたよ」と言って取ったお金を見せれば普通に捕まる気はしますけど。

    # まあ、私ならわざわざ違法な事はしません。
    • Re:何だかなあ… (スコア:5, すばらしい洞察)

      by Anonymous Coward on 2004年01月05日 0時02分 (#465412)

      現実の力業での話と、Webサイトのセキュリティホールのような誰しも簡単に実行することのできるものを一緒に扱うのはどうかと思います。

      自販機で「バールのようなもの」を使って無理矢理こじ開けたりすれば確かにすぐに犯罪に問われるでしょうが、本来は商品を購入するときに押すはずのボタンを3ついっぺんを押すと簡単に収納してあるコインがザラザラと出てくるとかいう問題であれば、自販機作成側の過失が問われて然るべきだと思います。

      accsの件で言えばまさに後者に等しいもので、コンピュータの世界では複製や自動化が簡易に実行可能なので顕著であるだけだろうと思います。

      さらに悪いことにコンピュータの世界ではハードウエアのベンダーとソフトウエアのメーカー、そしてそれを納入するシステムエンジニアリングの会社が手を組んでがっちりスクラムを組んでクローズドな(そしてできるだけ金を搾り取れる)システムを組むのが常識化してしまっていますので、たとえ外部からセキュリティホールや不具合の警告を受けても無視される(担当者が無視するか報告のルーティング中で消滅するか)のが通常の流れです。

      「なに?セキュリティホールがあるだって?言いがかりはよせよ。本当にあるって言うのなら身分を明かして証明して見せろよ」 と言われて証明して見せた結果、不正アクセス禁止法(通称)違反であると通報されかねないという危険をはらんでいるというわけです。でもソースコードもバイナリも参照/取得できないシステムにおいては、実際に稼働しているシステムに対してアクセスを行う以外に証明する術は無いというのが現状です。

      私自身、こういう第三者としてのセキュリティコンサルタントを本業としていますので、常に危険と隣り合わせだったりします。いくら契約などで予防線を張っても欠陥指摘=不正アクセスと見なす厄介なベンダーさんは後を絶ちません。。

      親コメント
      • by yosshy (3545) on 2004年01月05日 0時56分 (#465477) 日記
        本来は商品を購入するときに押すはずのボタンを3ついっぺんを押すと簡単に収納してあるコインがザラザラと出てくるとかいう問題であれば、自販機作成側の過失が問われて然るべきだと思います。
        損害を受けて初めて、被害者が製造者の過失を問えると思いますよ。
        損害をわざわざ作るのは通報者のやる事ではないです。
        損害を出す方法を知った時にどうするかは微妙ですが、法を侵してまで報告する事は私はしません。
        その道の専門家が売り込むなら、過去の事例を引き合いに出すのが良いと思います。
        親コメント
    • by tanimachi (4564) on 2004年01月05日 0時04分 (#465415) 日記
      個人情報を漏らしたのは悪い。善意・無知・過失にかかわらず。そこまでは当然の前提として。
      セキュリティホールを見つけら、なにをすればいいんでしょうか。
      • サービス提供者に通知する。
        →無視されておしまい
      • 証拠を提示せず、セキュリティホールの存在のみを公開する。
        →風評被害にあったと訴えられる
      • 証拠 (方法または結果) を公開する。
        →それは非常識で違法で犯罪
      • 内容証明でサービス提供者に通知した上で、xx日間返事がなかったときに公開。
        →裁判で通知方法の妥当性を問われる。『指摘の方法がよほどおかしい』など。恐喝に問われる可能性もあり
      • 公平な第三者機関を仲介して……
        寡聞なので、適切な第三者機関を知りません。誰か教えて。
      • 自分だけ使うのをやめる、見なかったことにする、そもそも探さない、の3択。
        ちとナサケナイが、身をわきまえてこのあたりか……
      きっと自分が見つけることはないのでひとごと。でも、それでいいのだろうか?
      親コメント
  • 問題のポイントは (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2004年01月04日 23時59分 (#465409)
    office氏のやり口についてじゃないでしょ。
    office氏が情報を流出させたのは単なる判断ミスってか調子に乗りすぎただけだろうし。

    問題は「脆弱性指摘のために不正アクセス(に近いこと)を試みてよいか?」じゃないの?

    もしこれが駄目だったら民間の人がそれとなく脆弱性に気づいても、確認しようとすることすらあほらしくてできない。

    これがPCとかじゃなくて、販売機とかの機械だったら、利用者が変な点に気づいて触りまくって故障とか不具合に気づき、製造元に報告することは法的にまったく問題ない。
    なのにネットワークを介したらなんで駄目になるんだ?
    というのは私の疑問。

    そりゃ行為の結果損害を与えりゃ損害賠償の義務は生じるだろう。しかし損害を与える前に法的に禁止されるのは、善意の行動の結果としては納得いかないよね。
  • by Anonymous Coward on 2004年01月05日 1時53分 (#465515)
    まじめにセキュリティをしっかりしてシステムを構築すると、どうしても高くなる。だけど、お客さんはそれを評価してくれないのよ。

    わけのわからん趣味で Perl で CGI 書いてたあがりのような素人を孫請けにした糞業者が、低価格で案件とってっちゃってピンはねなわけ。ばからしくてやっとれん。

    どうなっていくんだよこの先。俺はもう知らん。
  • 「ヘンなことをするやつが悪い」と問題が個人の問題へと矮小化されることを危惧します.というより,この事件を「個人の問題にしたい」のではないか,というくらいの勘ぐりをしてしまいます.

    直接に犯罪になる行為ではなく道義上の問題であるにせよ「まさにそこに誰でも見られる状態」のものを公衆の前で「見れますよね」と言うのに何が問題であろうか.ましてや今回の事例は「セキュリティ対策の回避」などではなく,リクエストしたら出てきます,レベルの問題であるのだし.

    セキュリティの専門家=ハッカーの仕業なので,皆さんは真似しないでね,悪い人がいなくなれば安全ですから.と言っているだけのように聞こえてしまいます.「特定の目的にそぐわない情報にアクセスした者を処罰します」なんて立法がなされないように祈ります.

    電波法の「特定の相手方の通信の傍受」あたりと同じようなことになりそうな...

    住基ネットの運用なんかにも通じそうですよね...
    --
    みんつ
  • by Anonymous Coward on 2004年01月05日 13時44分 (#465798)
    この件での office氏の行為は問題があったと思いますが、
    ある程度身元を明かしての脆弱性の指摘を犯罪的に扱うと
    脆弱性を明かす方法が匿名掲示板でのいきなりの公開など
    過激な方法になりかねない恐れがあります。
    一番良い方法は、第三者機関で脆弱性の指摘を受け取って
    サービス提供側にコンタクトしてもらい問題解決を促すのが
    理想的だと思います。
    現在サイトのアタック等に関してアタック元への連絡仲介は
    JPCERT/CC が行っていますが、脆弱性の指摘にも連絡仲介
    の範囲を広げてもらえたら良いのではないでしょうか?
    要は報道機関が名誉毀損など考え方によっては犯罪になるような
    状況でリークされた情報でも情報提供者を明かさないのと同じ
    ように、情報提供者が守られる仕組みが必要だと思います。
  • 今回の新聞記事が世間でどういう風に捕えられるのかが非常に気になります。

    欠陥が指摘されても調査をせずに門前払いしてきたという事実が起こした事件であり、
    Officeさんはそれに疑問を投げかける必要悪となってしまったと思います。

    行為自体は犯罪であって逮捕という結果になったとしても、
    ネットワーク社会がこの事実を受け止め改善するきっかけになれば、
    少しは報われると思います。

    # ちょっと悲しいのでID
    --
    三日風呂に入らなかったら、あなたはすめるまんです。
  • 実際にデータを落とすところを見せたのが問題ならば...

    「こういうのをこのCGIに食わせると、ほら、指定したファイルを
    ゲットできますね」と、実際に自分ではゲットしないで、その
    ゲットの仕方を公開するというのが、よかったかもしれませんね。

    何人かの出所が知れている方に見せたにしても、実際に盗む所を
    見せたのが問題だったみたいなので、「データを盗める文字列」
    をちゃっちゃと公開しておくという方がよいのでしょう。

    exploitの公開は、結構センシティブなんですが、officeさんの
    間違いは、その手順を公開したことではなくて、自分の手を汚
    してしまったことにあるみたいですね。なので、今後は、「こ
    ういう風に入力すれば、ここからはデータを簡単に見ることが
    出来る仕様だね」と、実例を示す「のみ」でよいのではないか
    な?

    「このドア、鍵あけっぱなしだよ」と開示することは、なんら
    問題はなくて、そのドアに手をかけたのが彼の失敗かもしれな
    い。ならば、そのドアが開いていることを大きく示す程度で、
    終わりにしないとね。

    ドアのオーナーも、その内、気付くでしょうから...;-)
  • by yamashow (14193) on 2004年01月05日 1時50分 (#465513)
    このcgiを見ていないし法律の専門家でもないので、まったく的外れなことかもしれませんが・・・。

    今回のケースは不正アクセス禁止法に引っかかるのでしょうか?
    たしか鍵(パスワード等)を破らないと不正アクセスにはならないということだったと思うのですが。
  • 対策済み? (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2004年01月05日 2時56分 (#465559)
    これだけ時間差があり朝日の一面にでるくらいだから、
    国内のサイトは全部対応済みと考えていいのでしょうか?
  • by Anonymous Coward on 2004年01月05日 5時09分 (#465596)
    100以上コメントがあるがそのうち1以上が25コメント [srad.jp]
    プラスモデレートされたコメントは5つ

    では5つを見ていくとしよう。

    何だかなあ… (+1, すばらしい洞察) [srad.jp]
    Re:何だかなあ… (+3参考になる) [srad.jp]
    じゃぁ、どうしよう?(+1 , 興味深い) [srad.jp]

    朝日新聞社会面の一問一答 (+:5, 参考になる) [srad.jp]
    問題のポイントは (+1, すばらしい洞察) [srad.jp]

    #プラスモデレートされたものだけ抽出する機能の追加お願いします。
typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...