パスワードを忘れた? アカウント作成
9797 story

合否確認のためのシステム侵入で不合格に 141

ストーリー by Acanthopanax
侵入は侵入 部門より

Anonymous Component曰く、"CNNの報道によると、インターネット上に流れた「オンライン出願システムApplyYourself」に侵入するための情報を使って、正式な合格者発表の約1週間前にApplyYourselfに侵入したハーバード大ビジネススクールの119名の受験生達が不合格にされるそうです。
このサイトの役割は情報伝達なので、受験生達は受験結果を操作しようとしたわけではなく、早く合否結果が知りたかったという事なのですが、ビジネススクールの学長は「非道徳的で信用を裏切る行為」を行ったとして、「そのような行動を取った受験生達を受け入れる事は無い」と明言しているそうです。当然だろうと思う反面、受験生達は自分の行動の意味をはっきり認識していたのだろうか、と思うと切なくなるような話です。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2005年03月10日 21時32分 (#707164)
    詳しい情報を探してきた。
    Ed-Tech Insider: Defining "Hacking" [eschoolnews.com]
    O'Reilly Developer Weblogs: Not linking is not security [oreillynet.com]
    これらのページによると「不正侵入」の手順は以下の通りだ。

    1. 自身のID及びPASSWORDを用いてApplyYourself.comに正規の手段でログインする。
    2. ログイン後のページのソースを見て特定の文字列を探す。
    3. ブラウザのアドレスバーに表示されているアドレスの一部を
    "ApplicantDecision.asp"と書き換え、手順2で取得した文字列を追加する。
    4. ブラウザの移動ボタンやエンターキー等を押しページを移動する。
    5. 完了。

    以上の情報とHarvardの主張を総合するとURLの推測は非道徳的で
    人道に悖る非常に悪質かつ許容し難い不正な裏切り行為であるようだ。
    俺も俺の隠しページを勝手に見た奴に賠償金を請求したり出来るだろうか。
    • ぐは、実は自分が日常やっていることはクラッキングだったんだ...
      ところで、URL推測アクセスって本当に完璧アウトなんでしょうか?
      アウトなら以後謹しまねば...
      そうなると、会社名とかから推測できるURLも公開されているか否か(どこかからリンクが貼ってあるか否か等々)をチェックしてからでないと、アクセスできなくなるのか...
      親コメント
      • by z_cubic (20952) on 2005年03月11日 0時34分 (#707282)
        私のブラウザは、いろいろなサイトのアクセスする毎に、
        勝手に/favicon.icoを読みに行くようなのですが、これも不正アクセスですかね。
        また、ブラウザの開発者は幇助犯になってしまうのでしょうか。
        親コメント
      • >ところで、URL推測アクセスって本当に完璧アウトなんでしょうか?

        何的にアウトか否かという話なのでしょうか?
        法的にアウトという話はアメリカでもしてないようです。
        ハーバード大ビジネススクール的にアウトかどうかという話であれば、どうやらアウトのようです。
        やっぱりTPOが大事なんじゃないでしょうかねぇ。
        親コメント
    • by nofuture (17983) on 2005年03月10日 22時56分 (#707211)
      見てはいけないとわかっているものを探して、見たわけです。うまく隠してなかったにせよ。そういうやつを合格させないのは裁量権の範囲でしょう。
      親コメント
    • …システム管理義務違反といってもいいような話ですね。
      認証かけて権限で制約つけるなり、flashやjavascriptで隠匿するなり、APサーバで特定ルートからしか行けないようにするなり、ナンボでも方法があるだろうに(苦笑
      # 管理者IDが漏れたらおじゃんですがねw

      システム構築運営するだけのポリシーがないんじゃないかと小一時間:-P
      --
      ---- 何ぃ!ザシャー
      親コメント
  • 研究熱心な学生はいらない。モラルこそ全てだ。

    --
    むらちより/あい/をこめて。
  • 素朴な疑問 (スコア:2, 参考になる)

    by tukuyomi (23535) on 2005年03月10日 20時15分 (#707106)
    >ビジネススクールの広報担当ジム・アイズナー氏は、
    >「システムに侵入した119名の受験生について、
    >氏名を把握した」と述べている。

    どうやって?
    #まさか,その受験番号を確認してたからじゃないよね
    • Re:素朴な疑問 (スコア:2, 参考になる)

      by saitoh (10803) on 2005年03月10日 20時29分 (#707115)
      リンク先(CNN)によると合否一覧をハッキングして取得したのではなく、個人に合否を通知するページを見たとのことなので、WWWサーバのログから受験番号が特定できたのでしょうね。
      親コメント
      • by Anonymous Coward on 2005年03月10日 20時36分 (#707123)
        侵入した奴が自分の情報だけを見たとは限らない気がするがその辺は大丈夫なんだろうか。
        親コメント
      • by tukuyomi (23535) on 2005年03月10日 20時56分 (#707141)
        受験者に受験番号は秘匿する義務は無いと思うのですが
        他人と言うか、ネットジャンキーな兄弟や友人の所業かも知れません

        少なくとも秘匿義務のあるデータによる個人認証が必要だと思うのですが

        #疑わしきは黒ですか,そうですか
        親コメント
        • 受験票に(当然、受験番号と)確認用のパスワードとURLが記載されてます。

          今回の場合、
          そこに記載されているのではないどこかに、受験番号とパスワードが入れられたのだとしたら、受験者の不正行為と認定しても良いと思うんですけど?
          親や兄弟がそれを知って行ったとしたら……やっぱりそういう遺伝子が混じってそうだから排除で良いんじゃない?
          親コメント
    • by Pegana (22190) on 2005年03月10日 23時35分 (#707235) 日記
      今春、情報処理技術者試験を受けた時は、合格者の受験番号一覧は認証なしで見られましたが、自分の得点が記載された
      ページは受験番号とパスワードによる認証が掛かっていました。
      パスワードは受験票の封筒を開封しないと見えないようになっていて、他人に教えないようにとの注意書きがありました。

      ここからは推測ですが、本人しか知らないはずのパスワードが入力された=本人がアクセスしたと判断したのではないで
      しょうか。それなら、例えパスワードを知っている他人がアクセスしたとしても、パスワードを教えた本人の責任でしょう。
      親コメント
      • by gunner (8999) on 2005年03月13日 17時36分 (#708377) ホームページ
        それだと本人がパスワードを教えたか、本人がアクセスした事の証明にはなりませんよ。
        誰かがパスワードの規則性を予測してアクセスしたかもしれないし、
        パスワードや受験番号一覧が流出していた可能性もあります。
        クラッキングや情報流出が無かったかの確認と、
        今回不合格になっていない受験生や関係者の関与も疑うべきですね。

        というか、怪しい連中全員を落としたからには本人がアクセスしたか、
        本人の過失でパスワードが流出した以外考えられないと言う証明をするのが筋だと思いますがねぇ
        …あちらでは無かった事を証明するという不可能事が
        あった事の証明より重視されているのかな?

        #
        #落とす事を考える前にセキュリティが必要だった事を反省しなさい
        #
        --
        #状況はいつも最悪、でもそれが当たり前
        親コメント
  • これは (スコア:2, 興味深い)

    by Anonymous Coward on 2005年03月10日 20時40分 (#707128)
    新手のサイバーノーガードですか?
  • 私の職場(学校)の入試合格発表CGIのアクセスをグラフ [meigaku.ac.jp]にしてみました。15:30発表だと入試要項に明記してあるというのにそれ以前に数百件のアクセスがあり,加えて回線が細いもんだから「つながらねーぞ,ゴルァ」という苦情電話までいただいております。
    • ところでこういった情報を自分の裁量でサラッと公開してしまえる立場の人なのか心配。

      本人は大したことでは無いと思っていても、それが原因で手痛い仕打ちを食らってしまう bloger とか最近増えてますしね…。
      親コメント
    • 今回の件とどう関係があるのでしょうか?「時間よりも早く発表があるかもしれない」と思ってアクセスしていることは共通かもしれませんが、今回の件とは違い、正当なアクセスであるということに議論の余地は無いと思います。

      合否確認のための出入りが許可されている時間内でも、発表時間前に、掲示板の前にいるのがダメですか?

      回線が細くてつながらない場合に、苦情の電話をかけたらダメなんですか?
      知りたい方にしてみれば、つながらない理由を確認する方法が他にないわけですから、運営側の都合を一方的に言われても、同意のしようがありません。
      親コメント
      • >「時間よりも早く発表があるかもしれない」と思ってアクセスしていることは共通
        いや,単にそれだけの意味のサンプルということで,非合法でも何でもないです。それでもわざわざ苦情電話かけてくるというほどに「見たい」んだなぁと。
        実は「発表のメインは校内に掲示してあるやつで,WEBのやつはサブ。回線細いから混んでたらしばらく待ってね」ということは入試のときに説明してるんですよ。実際,数分待てばそこそこ沈静化してるわけですし。それでもそういう状況であると。
        親コメント
  • お門違い (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2005年03月11日 9時32分 (#707396)
    > 受験生達は自分の行動の意味をはっきり認識していたのだろうか、と思うと切なくなるような話

    ビジネススクールですよ。
    大学卒業後数年間の実務経験がないと受けることすら出来ないんですよ。
    「自分の行動の意味をはっきり認識」出来ないような人間を受入れる余地はないかと。
  • by u1p (2709) on 2005年03月10日 20時27分 (#707110) 日記
    提携工科大学が皆様をお待ちしております。

    # なんて技術があるわけでもなく、単なる「その通りやっただけ」なんだろうな。

    これ良いですね。
    先輩から聞いた、うまいカンニングの方法を実践しちゃう学生を予め排除した、ってとこですかね。
    • by z_cubic (20952) on 2005年03月10日 20時36分 (#707122)
      > また、AP通信によると、システム侵入を確認したマサチューセッツ工科大学(MIT)や
      > カーネギーメロン大学も、ハッキングした受験生を不合格にする方針。
      だそうです。
      親コメント
  • by kiyotan (3912) on 2005年03月10日 20時48分 (#707137) 日記
    1週間前に情報が入ってるって情報はどっから入手したんだろう?
    単なる動作確認のための疑似データかもしれないじゃない。
    結局非公開の情報じゃ信用できなくて、公式発表も確認してそう...
    --
    Kiyotan
    • by barrel (25979) on 2005年03月10日 21時08分 (#707148)
      リンク先を読むと、実際にはデータがなかったため
      空白ページが表示されたのではないかとかかれています。

      情報が入っているファイルが発見されたのではなく、おそらく
      合否確認フォームのURLとかが発見されて公になったのではないでしょうか。
      で、そのフォームに自分の受験番号(と氏名も必要かな)を入れて
      試しちゃった人がアウトと。
      親コメント
  • by Anonymous Coward on 2005年03月10日 23時22分 (#707225)
    CNN日本語版だと「同システムへ侵入する方法」という表現になっているけど、原文らしき英文記事を読んでみると、それに該当する表現が見当たらないんですけど。hacking = 侵入 と訳されてしまってはいませんか?「盗み見た」という表現も対応する英文が見あたらないんですが。
typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...