パスワードを忘れた? アカウント作成
10553 story

ACCS不正アクセス事件、元国立大研究員が謝罪文を公開し和解 209

ストーリー by kazekiri
最終決着か 部門より

Anonymous Coward曰く、"ACCS不正アクセス事件については何度も話題になっているが、 コンピュータソフトウェア著作権協会(ACCS)と有罪が確定していた 国立大元研究員氏の間での 民事訴訟についても和解が成立した。 金額は分からないが賠償金を支払い、 元研究員の 謝罪文が一ヶ月間ACCSのサイトで公開されるとのことらしい。"

udon64bit 曰く、"賠償金額については 過去のタレこみ参照。 サイバーノーガード戦法の結末となるのだろうか。 諸兄はどうお考えか。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 今更繰り返しですけど (スコア:5, すばらしい洞察)

    by Anonymous Coward on 2005年07月26日 16時20分 (#772248)

     ACCS自身は、自分たちがお客様に対して十分謝罪したと考えているのでしょうかね? 被害者面を貫くことが、「デジタル時代の情報モラル」なのだろうが。

    • by Anonymous Coward on 2005年07月26日 17時47分 (#772294)
      自分たちは一切の否はないと思っているのであやまるわけがありません。
      彼らを誰だと思っているんですか?
      親コメント
      • by Anonymous Coward on 2005年07月26日 18時57分 (#772323)
        心情や云々以前に下手に謝ると裁判に影響が出るでしょうから、
        ACCSとしては謝れないではないですかね

        ま、責任感じてるとも思えませんが・・・
        親コメント
      • by Anonymous Coward on 2005年07月26日 20時40分 (#772385)
        事件発覚後、ACCSは被害者のもとに直接赴いて謝罪してますよ?
        4人の被害者のうち、3人は謝罪に納得したのかまでは知りませんが、
        その後ACCSと共にOfficeこと河合被告に対して損害賠償請求を
        していますね。

        残りの1人は連絡が取れないとかなんとか聞いた気がします。

        形だけ謝罪の言葉を言って、自分たちは悪くないなどの
        被害者の感情を逆なでするような会見をした某価格比較サイト
        運営会社と混同してませんか?

        そんなデタラメのコメントにプラスモデレートするって
        噂に聞くスラドクオリティってやつですか。
        親コメント
    • by barrel (25979) on 2005年07月26日 22時08分 (#772429)
      若干オフトビですが、被害者になろうとして批判を浴びたカカクコムと、
      うまく被害者になりきれたACCSの両者を分けたものは
      いったいなんだったのでしょうか。

      加害者が日本人かどうかの違い?
      それとも加害者の態度?

      考えれば考えるほどなぞは深まります。
      親コメント
      • by Anonymous Coward on 2005年07月26日 23時05分 (#772467)
        その立場の違い、インシデント対応、警察・検察の動きの違いでしょう。

        ACCSの場合、問題となったソフトはホスティング会社から提供
        されたものであり、ACCSはユーザに過ぎませんでした。
        情報漏えいに繋がる重大な脆弱性の存在は、ホスティング会社は
        知っていましたが、ACCSを含むユーザに対する警告は過小にされ、
        ACCSが危機感を持つことはありませんでした。
        ACCSの責任は、脆弱性を放置したことではなく、脆弱性のことを
        隠すように過小報告するような業者のサービスを利用したこと。

        カカクコムの場合、脆弱性はカカクコム自身に責任のある開発物
        であり、その脆弱性によって受けた損害はカカクコムに責任が
        あります。

        以上が立場の違い。
        次に、インシデント対応の違い。

        ACCSは被害者の自宅にまで赴いて謝罪したうえで、もし被害者が
        ACCSを訴えるようなことがあれば真摯に受け止めると表明しました。
        これにより、表面的には問題に対して責任をとる覚悟があるように
        見えました。
        #本当はどうか知りません。

        カカクコムはというと、一応は謝罪を発表しました。
        しかし、同時に自己の責任はないと宣言し、被害者であると強調
        することによって、逃げていると受け取られました。
        さらに警察の捜査に支障がある、類似犯を防ぐというこじ付けで
        その問題の詳細を隠しました。
        それによって自己の瑕疵責任を隠し、責任を警察に転嫁している
        と受け取られました。
        またIPAにも詳細を報告してあり、IPAから説明があるだろうと
        発表して自らの説明責任を放棄しましたが、実際にはIPAには
        事件発生の報告のみで、詳細は一切伝えていなかったことが
        発覚し、発表に嘘があることがばれました。

        警察・検察の対応の違いは、ACCSの場合は犯人逮捕後に起訴し、
        結果的に有罪にまでなりました。
        しかし、カカクコムの場合、警察はカカクコムから個人情報を
        盗んだ犯人を逮捕したにもかかわらず、カカクコムのシステムは
        不正アクセスを防止するに値しないものであるとして起訴すら
        しませんでした。

        ACCSは加害者であり被害者でもあるのに対し、カカクコムは
        「現状では」被害者になれず、加害者でしかありませんでした。

        考えるまでもなく、謎もないのです。

        カカクコムメソッドは、インシデント対応の悪い典型の塊です。
        親コメント
  • by akiraani (24305) on 2005年07月26日 16時44分 (#772261) 日記
    >個人情報を公開された個人3人とACCSが損害賠償を求めていた(ITmediaの記事より引用)
     少なくとも、請求者がACCSと被害者の連名ってのはなんかおかしい。被害者がoffice氏本人に直接請求するならまだわかるが、管理責任不備も当然あるわけで、ACCS支払う側だろう……。
    --
    しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
    • ACCSにも実際管理責任は問えると思いますが、訴るのは被害者ですしねぇ~
      他の人がACCS訴えれば別かと
      親コメント
    • by Anonymous Coward on 2005年07月26日 18時58分 (#772324)
      被害を受けた事と、被害を与えた事を混同するメソッドです。
      「ACCSは国立大元研究員にこんな事をされたんです」と漏洩被害者に説明し、
      「そりゃ御気の毒に、大変だったね。国立大元研究員はけしからん」と理解を得られれば、
      「国立大元研究員→ACCS→漏洩被害者」と言う損害の関係は、
      「国立大元研究員←(ACCS+漏洩被害者)」の賠償請求で贖われます。
      親コメント
  • 社会的信用を毀損? (スコア:4, すばらしい洞察)

    by Anonymous Coward on 2005年07月26日 16時47分 (#772264)

    さらには、これらの公表によって、協会に無用の混乱を与え、その社会的信用を毀損したことについて、深くお詫びいたします。
    うーん、少なくとも「社会的信用を毀損」した原因は、ACCSの側にあると思うなぁ.脆弱性をほったらかしにしてたのはACCSなのだし.
    少なくとも私がACCSを信用しないとしたら、理由はそっち.

    • まぁACCSもダメダメなCGIを掴まされて、それを利用していたという責任はあると思いますけどね。
      ダメなアプリを選択及び使用してしまっただけにしてはちょっときつすぎじゃないかなぁ、とも思います。

      どうも、CGI提供もとのファーストサーバが脆弱性の指摘にまともに
      対応しなかったのが、対応を待たずに公開した理由の一つみたいですし。

      ACCSがファーストサーバを「こんな糞CGIスクリプトで商売するな」とか罵倒して
      即利用を取りやめ、損害賠償の訴訟も辞さない構えだったとしたら
      私もACCSを応援していたかもしれません。
      --
      単なる臆病者の Anonymous Cat です。略してACです。
      親コメント
      • Re:社会的信用を毀損? (スコア:2, すばらしい洞察)

        by QwertyZZZ (8195) on 2005年07月27日 11時08分 (#772659) 日記
        >まぁACCSもダメダメなCGIを掴まされて、それを利用していたという責任はあると思いますけどね。
        >ダメなアプリを選択及び使用してしまっただけにしてはちょっときつすぎじゃないかなぁ、とも思います。

        結局ACCSは委託先の選択が不味かったってだけって言えばそれだけなんですよねぇ。要は管理者責任って奴。
        かといって、普通委託先の全容をチェック出来るかって言えば、出来ないから委託するんだという本末転倒してしまう問題に。
        と考えたら、業務を委託するには自分でケツを拭ける処に出すしか無いという事に。
        今回の件だったらCGIの修正をするのは当然として、加害者の告訴から被害者の保障まで全部面倒を見てくれる処か。
        でも、現実にそういう処があるのかどうか・・・。

        これはセキュリティでも同じですよね。
        幾らセキュリティの専門家を雇っても自分でケツを拭けないのであれば余り意味は無い。
        それが役に立たなかった場合、今回と同様に管理者責任を問われる可能性は大きい。
        でも、委託するのはやっぱり自分で判断できないからなんで、それを問われてしまえば本末転倒するから。

        って考えると、業務委託ってそのうちプロバイダ・セキュリティ管理・保険業務・訴訟代行なんかを全てこなせる処以外は使えないって事になったりしそうですね。

        親コメント
  • by seoth (17664) on 2005年07月26日 17時33分 (#772286)
    それぞれの当事者(個人情報を流出された被害者を除く)の事件に対する姿勢を探ってみる。
    1. 河合(不正アクセスの犯人)
      1. ACCSの謝罪文掲載ページ [askaccs.ne.jp]

    2. ACCS(情報流出元)
      1. 一番"お詫び"してるのが「ASKACCS個人情報流出事件についてのお詫びとご説明(2004年3月18日) [askaccs.ne.jp]」かな?
      2. ファーストサーバとのやり取り [askaccs.ne.jp]。ファーストサーバを叩く叩く。まあ気持ちは分かるが。

    3. ファーストサーバ株式会社(穴空きCGIの提供元)
      1. [PDF!]「不正アクセス事件に関する当社の対応について [firstserver.co.jp]」

    4. ヨセフアンドレオン(ACCSのコンテンツ管理会社)
      見つからない…一番事件に言及してるのが
      1. officeこと、河合一穂の逮捕にあたって [josephandleon.co.jp]
      これだろうか?この文章、微妙に意味が分からん…


    おまけ

    セキュリティ技術者がテロリストとなった顛末 [air-nifty.com]」
    中川氏が「脆弱性の指摘なら、ほかにも方法はあったんじゃないですか?」と聞くと、office氏は「事件を起こさないといけないと思ったんです」と答えた。
     「私は『犠牲になる人のことを考えたんですか? それじゃあテロリストの考え方じゃないですか』と反論した。それに対して、office氏はこう言ったんです。『前から私はテロリストでした。これまでもそういうやり方をしてきたんです』と。私には開き直りに思えた」
    • Re:お詫びリンク集 (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2005年07月26日 17時57分 (#772300)
      >セキュリティ技術者がテロリストとなった顛末

      技術者であろうが無かろうが、プロ根性に欠けたモラルの無い人間は
      何しでかすか分からないという典型なので、教育にはモラル教育を
      しっかり盛り込んでほしいところです。社員教育であれ、大学教育etcであれ。

      #ネットワーク管理者とかセキュリティ管理者には鉄のモラルが必須ってのは
      #最初に教えられるべき話だと思ったが、心抜きで知識だけ蓄えられても、
      #それだと制御装置の無い原子炉みたいものなんだけどなぁ。
      親コメント
    • Re:お詫びリンク集 (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2005年07月26日 17時53分 (#772297)
      そこ [josephandleon.co.jp] の何回読んでもわからないのがこのくだり。
      現在、ASKACCSの再開に向けた作業を進めていますが、 セキュリティの専門家やセキュリティ技術に依存しないセキュリティのあり方、セキュリティに依存しない情報社会のあり方を模索していかなければならないと考えております。
      だれか解読できた人いる?
      親コメント
      • Re:お詫びリンク集 (スコア:3, おもしろおかしい)

        by tetsuya (11853) on 2005年07月26日 18時19分 (#772313) 日記
        前段から続けて読まないと分かりません。
        ●また、当社といたしましては、今回の事件の犯人がセキュリティの専門家を自任する人物で、その犯行の現場がセキュリティ関係者によるイベントだったという事実を重く受け止めています。
        というのが、#772297で引用された部分の前半です。
        つまり、セキュリティの専門家が、セキュリティ関係者のイベントで今回の事件を起こしたからセキュリティ専門家やセキュリティ技術は信用できない。これからはそんなものに依存しないでやっていくのだ、と読めます、、、、て、、、、、え゛?

        それってこれからもサイバーノーガード戦法の道を邁進していきますってことですか?どうしてこういう論理展開になるんでしょうか、不思議ですね。一度藪医者に酷い目にあったからって金輪際医者の世話にならないって訳にはいかないでしょ?そんな世迷い言並べている間にやることはたくさんあると思いますけど。
        親コメント
      • by katu256 (7538) on 2005年07月26日 22時08分 (#772428)
        セキュリティの専門家を雇うより
        腕の立つ弁護士を雇いますって事では?
        親コメント
      • by vn (10720) on 2005年07月26日 22時41分 (#772453) 日記
        だれか解読できた人いる?
        こんなものを解読できたら、情報系の技術者ではなくなる。
        どちらかというとフロイトやユングの系統に行ってしまうのではないか。
        親コメント
      • by pz00 (10663) on 2005年07月27日 0時35分 (#772521)

        『悪いことするやつがいるからセキュリティが必要なので、悪いことするやつがいない情報社会になれば良い。』って事では?

        警察いらないジャンとか?

        #そう考えてるんだとしたら怖いなぁ。

        親コメント
      • by mocchino (13752) on 2005年07月27日 10時44分 (#772646)
        >セキュリティに依存しない情報社会のあり方

        つまり、ACCSは今後一切ネット経由で個人情報は収集/管理しませんって事かなぁ?
        それなら、サーバーが踏み台にされる以外はセキュリティに依存しなくなるけど..
        セキュリティ関連の保証を他社に発注しても、その発注先が正当かどうかを評価し続ける責任はあるわけで..
        インターネットにつなげてる限りセキュリティに完全に依存しないと言うことはあり得ないでしょう
        親コメント
    • --
      斜点是不是先進的先端的鉄道部長的…有信心
      親コメント
  • 通報する側の作法ばかりに目が行って
    個人情報を預かる側の責任がわりと御座なりな感が。

    #厨房気質の方にはいい薬なったと思いますが
    #1get避けですよ
    --
    ____
    #風邪をひきました、脳が故障しています
    #残念ながら仕様です。
  • ACCSの信用 (スコア:2, すばらしい洞察)

    by koshian (6999) on 2005年07月26日 17時11分 (#772281) ホームページ 日記
    少なくとも私は、こういう結末になったことでACCSという組織はまったく信用ならない組織だと判断せざるを得ないと感じています。
    そしてサイバーノーガード戦法の有用性をはっきりと示した悪の枢軸と言わざるを得ないでしょう。

    穴の開いた金庫にお客様の財産を保管して、盗まれても盗んだ奴が悪い、鍵は掛かってたから問題無いなどと言い張るようなところを誰が信用します?

    office氏の行為の是非はおいとくとしても、そんなことを言う組織を信用してもバカを見るだけでしょう。

    個人情報保護法ができたことで、今後ACCSと同じことをやろうとしてもできない状況にはなってると信じたいところですが。

    # 対カカクメソッドな法律もできあがらないとダメかなあ……
    • Re:ACCSの信用 (スコア:2, 参考になる)

      by tiatia (22244) on 2005年07月26日 18時14分 (#772309) 日記
      >穴の開いた金庫にお客様の財産を保管して、盗まれても盗んだ奴が
      >悪い、鍵は掛かってたから問題無いなどと言い張るようなところを
      >誰が信用します?

      ACCSはそんな事言ってないと思います。
      事件が発覚した直後から、ACCSは自らの非を認め謝罪をし、対策も行なっていますよ。
      元国立大研究員を訴えたのは、責任を転嫁する為ではありません。
      ACCSは、自分達も悪かったが、元国立大研究員も悪いって言ってるだけです。

      http://www.askaccs.ne.jp/security_2003.html
      親コメント
    • by syun1rou (9886) on 2005年07月26日 17時20分 (#772282) 日記
      ...とまあこんな感じである領域の人々にとってACCSの信用ってのは
      かなり下がってしまってるわけですが、
      ACCSの会員の方々 [accsjp.or.jp]はこれをどう考えてるのか聞いてみたいですね。

      ていうか、ここにも「会員の方々の中の人」がたくさんいるんじゃないの?
      そういう人にACCSから会員としても会社経由でのこの件の情報って
      どんな内容だったのか聞いてみたい。
      # 今さらって言えば今さらだけど。
      親コメント
  • by Anonymous Coward on 2005年07月26日 16時25分 (#772254)
    なんか理解を超える署名だな。そこは名前を書いておくところだぞ。誰かがたとえば元世田谷小学校児童、元世田谷第三中学校生徒、元麻布高校生徒、元東京大学学生とか書いたらヘンだろ?ACCSも文化庁長官と同じ苗字が並ぶのにビビッていたのか?なんかどいつもこいつもだ。
    • by lunatic_sparc (15416) on 2005年07月26日 16時31分 (#772259)
      肩書きの下に背景と同じ色で名前が書いてあるんじゃないかと思ってマウスをドラッグしてしまった人、手を上げなさい!。

      #私はやってしまいました。
      親コメント
    • 変だよな。
      国立大学の研究員と言う立場で、彼は晒し行為をしたのか?
      個人の場合は、所属の会社とかには一切関係無いから出来るだけ出さないようにするべきだし。
      まして、今は在籍していないのでしょ。

      あれじゃー、某国立大学の研究員として、業務命令とかで晒し行為をしたように感じる。で、今は在籍していないので「元」付き。
      親コメント
  • 和解条件 (スコア:1, 参考になる)

    by Anonymous Coward on 2005年07月26日 16時31分 (#772258)
    憶測だけど、刑事の控訴の取り下げと関係があったりしないのかなあ。
  • >本件プログラムの脆弱性が改善されていないにもかかわらず

    と、謝罪文の中で「ほったらかし」の事実をさりげな~く混ぜこんでいるあたりはさすがだなと思いました。すでに衆知とはいえ、1か月晒されるのはACCS自身でもあるわけです。
    それにしても「元国立大学研究員」って…ペンネームによる謝罪もアリなのかと思ってしまいました。原文には本名書かれてたのでしょうか。書かれてなかったとしたら謝罪する意志なんて無かったと思えますけど。

    #もともと本意じゃなく和解の条件だから仕方なく書いたのだろうとも考えられますが、それはまた別として。
  • by onnoji (27294) on 2005年07月27日 2時45分 (#772561)
    セキュリティーへの確認として
    「法律上行使できない確認方法に対して、委託を受けて確認・報告を受ける会社」
    といった付近が儲かりそう。

    #いや、穴を用意して、突撃してきた人を訴えて儲けr(略
    • by iso999 (21485) on 2005年07月27日 4時26分 (#772577)
      どっちがいい悪いはともかくとして
      今後の日本のセキュリティーに関連することに研究とする学生が減る可能性は高いのではない?
      セキュリティー関連は確かに関心も高いので金銭的な見返りも大きい気はする。
      けれども外科医、小児科医の著しい減少と同じような自体になるのではないかと。

      ハイリスク、ハイリターンよりもローリスク、ミドルリターンぐらいを好む若人は多い一方
      ネットで悪事を働く人はハイリスク、ノーリターンでも平気な人も多いので心配。
      親コメント
    • Re:さて、この後は? (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2005年07月27日 9時57分 (#772625)

      「どういうチェック方法であれ、個人情報を流すな」ってだけの話ですよね。民事的には...

      威力業務妨害で刑事事件として逮捕をした警察の件は直接的には今回の和解と関係ないですけど、こっちについては「逮捕されたい人以外は脆弱性見つけても放置プレイ」程度の事しか出来ないっすね。IPAあたりが警察に強く抗議して逮捕の件を警察に謝罪させるぐらいの事をすれば話は別ですけど...

      # 逮捕される趣味はないのでAC

      親コメント
  • 頼む予習して (スコア:1, 余計なもの)

    by ryouki7000 (10944) <{ryouki7000} {at} {gmail.com}> on 2005年07月27日 13時24分 (#772736) 日記
    ACCS不正アクセス 京大研究員逮捕事件のテンプレ [geocities.jp]

    コメントする人は必ずこれ読んで下さい。コメントしない人も先にこちらを読んだほうがストーリーを眺めやすくなるので、先読み推奨。
    Office-ACCS系のトピック立つたびに、毎回毎回同じような勘違いと思い込みが乱舞してます。
typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...