航空チケットサイトにセキュリティーホールを見つけた人物がFBIから強制捜査 84
ストーリー by yoosee
この手の倫理問題は難しい… 部門より
この手の倫理問題は難しい… 部門より
Anonymous Coward 曰く、
このテクノバーンの記事を読んで驚いた。 セキュリティー技術の研究者である Christopher Soghoian氏が、航空会社のオンラインチケット発券サイトに あるセキュリティーホールを見つけ、偽名で航空券を購入する方法を 自身のホームページで公開したのだが、これが大きな反響を呼び、 民主党選出のエド・マーケイ下院議員の働きかけに応じたFBIにより 本人宅の強制捜査に至ったとのこと。この航空会社は Northwest航空のことで、 Soghoian氏自身が本家Slashdotにも投稿している。
Soghoian氏は、セキュリティーホールの存在を公にするためと主張している が、ブラックリストに載っているようなテロリストを助ける可能性やら、 中間選挙真っ只中ということで騒動が大きくなっているようだ。 本家には FBIの強制捜査に関するストーリーも出ているが、 彼のブログにはその 強制捜査の令状?もあったりする。
公表→即強制捜査ならやりすぎですが… (スコア:5, 参考になる)
公開 (誰でも web 経由で使える状態に) してしまったので
流石にまずかったかな、と思います。
過敏になっているようです (スコア:5, 興味深い)
同姓同名の人物がブラックリストに登載されていたため、加州選出の米下院議員が航空機への搭乗を一時拒否されるという冗談みたいな話がニュースになっています。
米国内ではこれほど過敏になっているわけで、今回の強制捜査はなるべくしてなったんじゃないかなーという気もします。
And now for something completely different...
Re:過敏になっているようです (スコア:1)
白川勝彦Web 政治理念 忍び寄る警察国家の影 [liberal-shirakawa.net]
そうか! (スコア:5, すばらしい洞察)
ことに例えれば、発見した人もこそっと教えてくれるんじゃ無いだろうか?
Re:そうか! (スコア:1)
他人に教えるときに「XYZ」という隠語を使うそうです。
eXamine Your Zipperの略らしいです。
ということを知って、実際にアメリカ人に対して使ってみたのですが、
説明するまで分かってもらえなかったことがあるけどID。
何処かで・・・・ (スコア:3, すばらしい洞察)
何で自分のサイトで公開する前に、発券サイトの管理人に連絡しなかったんだろ。
Re:何処かで・・・・ (スコア:1)
こうやって騒がれて(騒いで)ネタにするのが目的だからじゃね?
Re:何処かで・・・・ (スコア:0)
Re:何処かで・・・・ (スコア:0, 興味深い)
そりゃ管理人に教えてやったほうが親切なんだろうけど、親切を強要されるのもねぇ。
面倒だし。
Re:何処かで・・・・ (スコア:3, すばらしい洞察)
Re:何処かで・・・・ (スコア:1, すばらしい洞察)
なんて張り紙したら、空き巣に狙われる可能性はとても高いですよね。
それって、犯罪になる気がするんだけど、どう思う?
Re:何処かで・・・・ (スコア:1, 興味深い)
「YOU、盗っちゃいなよ!」と直接的な事を言えば教唆って事になるのでしょうが。
「完全自殺マニュアル」やパソコン雑誌のwinny解説の類は全く合法なのに
同じような事をネットでやると犯罪扱いされるのは全く理解できません。
Re:何処かで・・・・ (スコア:2, 参考になる)
同じように考えると、幇助になる可能性もあるんじゃないかな?
空き巣の場合、住居侵入と窃盗かな?
Re:何処かで・・・・ (スコア:1, すばらしい洞察)
①管理人からの感謝の気持ち
最低限、これは欲しいですよね。逆ギレされて通報されたら最悪。
②報酬
ある程度以上の金額なら、管理人に教えてあげたくなるかもしれません。
どうやって報酬を用意するかが課題でしょうか。
# 構築したSI会社に請求したら、SI会社が潰れちゃう?w
Re:何処かで・・・・ (スコア:2)
「xx円入れたから今日はいくら失敗しても良いんだ」と
開き直ったという話なら聞いたことがあります
さらに、金持って逃げた人間がいたというオチが付いていたような
Re:何処かで・・・・ (スコア:3, すばらしい洞察)
公開しなければ、いつか誰かが気づいて悪用するかもしれないが、されないかもしれない。
それなのに、わざわざ公開して悪用を確実にしてしまうくらいなら、未公開のほうがまだマシ。
公開した人は、何のために脆弱性を探しているのでしょうか?
既に手段が目的になってる事は無いのだろうか?
その点を見失わなければ、ACCSへの不正アクセスの時だって、あんな騒ぎにはならずに済んだ気がします。
Re:何処かで・・・・ (スコア:1)
米国ならFBIに通報しておいて、
「速やかに脆弱性を修整することに期待します。
なお、本件は9/11のようなテロに悪用される恐れも
あるので、FBIには既に報告済みです。」
と書いておけば、速やかに修整される確率も高まるのでは。
Re:何処かで・・・・ (スコア:1)
「絶対に修正する」という保証はありませんね.当たり前ですけど・・・.
脆弱性を見つけた人は誰かに「功績!を認めてもらいたい」という功名心でてきて,
それに相手が応じる(修正する)ことで自己の存在確認を行いたいと期待する傾向がある気がします.
逆に応じない場合は,その期待が裏切られるわけで,
結局,公開パフォーマンスをする方向にその人を動かしてしまうのでしょうね.
企業や国家のセキュリティマネージメントからみると,犯罪を予防する意味でも
この手の脆弱性報告は埋もれてしまわないような工夫をする必要がありそうです.
実際に改善が行われなかったことが原因の一つとなって凶行に及んだ例 [wikipedia.org]が身近にあることですし.
# 誰にだって人に聞いてもらいことはあります.わたしにも.
ノースウエスト航空は、現在… (スコア:3, 興味深い)
原油の高騰で倒産の上に、サイトの脆弱性を突かれた…これは泣き面に蜂ですよ。
可愛そうに。
Super Souya
チャプターイレブン (スコア:1)
# 関係ないけど参考 [glocom.ac.jp]
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:小説じゃないし (スコア:2, 参考になる)
でも「条」はArticleで別ですよね?
日本の憲法だって各章の中に条文があるわけで,日本国憲法第二章のことを
第二条と言ったりはしない(というか第二条はまったく別)と思うのですが.
#最初第一章で書いたら一条が中に含まれててややこしいんで二章に.
ん? (スコア:2, すばらしい洞察)
公表 したから強制捜査食らったんでしょ。
穏やかに通報する手だってありますよ。
そうしたけど、聞き入れて貰えなかったから公表したかもしれないって?
じゃあ、そうであったというソースを探して来ないと話にならないよね。
# 過去のコメントより予想されるレスに予め反応
Re:ん? (スコア:2, 興味深い)
だから、公表しただけで何らかの犯罪を構成するとしたら、驚きに値するでしょ。
この人のやったことは多くの人が「悪いこと」だと考えるかもしれないけど、「犯罪」に当たるかどうかは別問題。
Re:ん? (スコア:2, 参考になる)
# 強調私
前提を勝手に変えちゃいけません。
別スレにも罪という言葉を使っている人が居ますが
私は強制捜査を食らった事は驚きも難しくもないと書いただけです。
犯罪や罪になるかどうか調べる為に強制捜査を受けているのでしょう?
まさに貴方のおっしゃる通り
> 「犯罪」に当たるかどうかは別問題。
蛇足:
公表者自身が偽名で航空券を入手していた場合や、偽名での入手を幇助するような形での公表の場合は罪に問われる可能性もあるかと思いますが、そういったケースは「公表しただけ」とは言えませんよね。
公表しただけかどうかを調べる為に、捜査が必要であったという点には驚きません。
Re:ん? (スコア:1)
■犯罪を構成すると考えているなら→そのこと自体が驚き
> 私は強制捜査を食らった事は驚きも難しくもないと書いただけです。
強制捜査に踏み切ったということは、犯罪を構成する可能性が高いとFBIが考えたことを意味します。
公表しただけで何らかの犯罪を構成する可能性が高いとFBIが考えているとしたら、驚きに値するでしょ。
■犯罪を構成すると考えていないのなら→国家権力の濫用
> 犯罪や罪になるかどうか調べる為に強制捜査を受けているのでしょう?
いやーその論法だと、たとえば逮捕されても驚くに値しないとか、何でもアリになっちゃいますよ。
■結論
強制捜査と犯罪性は密接に結びついています。
犯罪に当たりそうにないものを強制捜査してはいけないし、強制捜査に踏み切ったということは、それが犯罪であると国家機関が考えているのです。
蛇足に関しては、まあ、蛇足だけあってそのままその通り。Office氏のACCS事件も、この蛇足に当てはまるケースですよね。
Re:ん? (スコア:0, 荒らし)
「自由の国」に言論の自由がないことにでしょ。
> 公表 したから強制捜査食らったんでしょ。
公開されているウェブサイトに関する情報を、なぜ公表しちゃいけないの?
> 穏やかに通報する手だってありますよ。
あるから何?
Re:ん? (スコア:1, おもしろおかしい)
「自由の国」ってのは連邦政府が市民を自由に逮捕拘束できる国って意味だから。
2001年9月11日ごろに辞書が改訂されたらしいですよ。
Re:ん? (スコア:0)
>(以下略)
自由というのは義務と責任の上に成り立っている、というのを感じさせない発言ですな。(w
「自由≠無節操」だあね。
Re:ん? (スコア:1)
ルールに則ってればなんでもありの国だとおもうけど。
法的義務と道徳的義務 (スコア:1, 興味深い)
自分の意思に関係なく課される。
道徳的義務は宗教規範や風俗伝統的規範にもとずくもの。
自分で内心に課すべきもの。
義務といってもいろいろあります。
米国社会は建国の経緯をみてもわかるとうり、プロテスタントの思想が随所にみられます。
法的な責任が問えないとしても宗教規範に則り社会的な責任を問われることもあります。
日頃、宗教的規範を感じることの少ない日本では考えられないぐらいに。
Re:ん? (スコア:1)
モデレータがすーぱーはかーなのですよ。
見つけた人物がFBIから強制捜査 (スコア:2, 興味深い)
見つけた人物がオンラインサイトに連絡もせずに
抜け穴を公表したらFBIから強制捜査
このぐらいのほうがよさげ
はっ、スルー力が足りないだけか? orz
抜け穴だったんだろうか (スコア:3, すばらしい洞察)
屍体メモ [windy.cx]
Re:見つけた人物がFBIから強制捜査 (スコア:3, 興味深い)
今回のChrisさんの貢献は、HTMLとかを知らない人でも
その穴を突く事を可能にするためのツール(PHPスクリプト)を公開したことです。
2005年2月に、Slate [slate.com]やニューヨーク州選出のSchumer上院議員(民主党)の サイト [senate.gov]に
記述があります。 ちなみに、インディアナ大学の院生であるChrisさんは、大学からの法律関係のサポートが
得られない状況なので、paypalで募金をしています。
問題のツールを紹介しているblogの10月25日の記事で、彼は
と書いた後に、ツールへのリンクと使い方の説明をしています。そして最後には"Have fun!"でしめていて、私は愉快犯と捉えました。
この事自体が強制捜査に値するとは思っていませんが、Cybersecurityを研究している
人の行動としては軽率だと思います。
参考:slashdot.orgのこの記事 [slashdot.org]とタレコミ中の記事、またはそれらからのリンク先
Re:見つけた人物がFBIから強制捜査 (スコア:1)
>> 航空会社のオンラインチケット発券サイトにあるセキュリティーホール
とのことですが、「サイトの」セキュリティホールなんでしょうか?
Fake Northwest Airlines Boarding Pass Generatorが最早404なんで、想像だけで書きますが、
- NWAのオンライン・チェックインで印刷出来る搭乗券(PDF file)には、搭乗者名・便名・日付・座席番号など、搭乗券から容易に読み取れる情報だけで生成したチェックサム(のバーコード)が印刷されている
- ゲートでは、バーコードの妥当性と座席のダブりだけがチェックされ、実際の予約システムへの照会は行っていない
だったりして。
だとすると、「サイトの」セキュリティホールじゃ無くて、「搭乗券の」セキュリティホールなのかな?
詳しい解説 (スコア:2, 参考になる)
何人釣れるかなー (スコア:1)
コーディネイトする団体があれば……というか、JPCERT/CCの
モデルになったCERT/CC [cert.org]がJVNをそのまんま
やってそうな気もするけど、どうなんでしょう。
本家のスレ見てもCERT/CCの字は無いしなぁ。
穴を見つけた人が直接そのサイトの管理者に連絡する
文化なんですかね。
釣られてみるか…… (スコア:1)
Re:何人釣れるかなー (スコア:0, オフトピック)
本音が!! いやそうじゃなくて! 内容は真面目だよ!!!
自分を釣ったぜ!!orz
そりゃFBIもやってくるだろう (スコア:0, オフトピック)
「うはwwwwwこの方法でトピ立て砲台wwwww俺スゴスwwwww」
とかいうトピを立ててすごいことになる自称スーパーハッカー(24歳)みたいなものか。
#24歳のお子様なら仕方ない、って思った俺ずいぶん老けたなあ
Re:NorthWorstかあ・・・ (スコア:1, 参考になる)
そもそもCAに対する「若いねーちゃん」というイメージは日本だけが異様に強い気がしますが.海外の航空会社だと普通に男性もいますし.しかも,日本の航空会社もバブル崩壊後に採用を抑え続けた影響で,実は最近は平均年齢が右肩上がりですよ.
それと,一般論としては年齢が高い方が経験値も高いわけで,そちらの方がグレードも上ということになります.ファーストクラス担当のCAを見れば明らかですね.「ババアばかり」とかトンチンカンなことを言っている時点でマトモに航空会社の評価をする知識を持っていない人物だということが読み取れます.
ちなみに,過去10年くらいの事故率で言うとNWの事故率はけっこう低い方です.(「NWが他社より安全だ」とか「設備に金をかけている」とかいう主張ではないですよ.「印象と実データは意外と違う」ってことです.)NWに限らず,米国の航空会社は(赤字削減のために)どこも必死にコストをカットしています.世間には,何の緊張感も無く赤字垂れ流しで人件費も設備費も無駄にかけまくってる会社もありますが,それだけコストかけても事故起こしまくったりしますしね.ま,あれも元を正せば大半が合併吸収した会社側での問題だから,ちょっと不運な話ではありますが.
とりあえず貴方はHooters Air [hootersair.com]にでも乗るのが良いでしょう.ただし日本からは飛んでいませんが.
Re:NorthWorstかあ・・・ (スコア:1, 参考になる)
自虐ネタだったのか?w
#ちなみに16人で320年位だったかな?確かに結構頑張ってますな
Re:NorthWorstかあ・・・ (スコア:1, おもしろおかしい)
320/16=20
20才なら若いんじゃ?と空目。
勤続年数かYo!
Re:NorthWorstかあ・・・ (スコア:1)
でも若い方が良いですよ?
例えむふふな事が何も無いとしても。
Re:NorthWorstかあ・・・ (スコア:1)
渋いお姐さんもいいものですよ?
例えむふふな事が何も無いとしても ・・・(げふんげふん
もとい、上の方でも、ファーストクラス担当のアテンダントは、
長期勤続の人が多いといった投稿がありますが、
肝の据わった経験者の安心感のようなものも、
あるのではないでしょうか。
Re:NorthWorstかあ・・・ (スコア:1)
最後は各自のストライクゾーンを主張するだけになりそうですが(汗
Re:NorthWorstかあ・・・ (スコア:1)
関係ないと思うのだが。
20そこそこだが凄いマニュアル的な対応しか出来ないよりは、30前後だが気配り
出来る人の方が評価高いなー、俺なら。
ま、若くても気配りもバッチリな人が居たら敵わない訳ですが、一応生きてきた
時間を経験として生かせているなら年齢が上の人の方が評価高いかと。
#無駄に年輪だけ増してる可能性もあるので・・・って俺の事かッ!・・・orz
#あー、CAは別だがファミレスとかで年齢制限掛けたい制服とか困るね(謎
Re:NorthWorstかあ・・・ (スコア:1, 興味深い)
飛ぶことすらできないような故障だったり整備不良が…
機材変更なんて日常茶飯事、定刻に出発できたら驚く、
そのぐらいのレベルにまで落ち込んでいます。
まぁまだ飛ぶ前に不具合を発見できているので暗黒大陸系よりはましかなぁ
Re:NorthWorstかあ・・・ (スコア:2, 参考になる)
単純な話で,実際に設備投資などあらゆるコストをケチっているからでしょう.だから「NWは設備投資もケチってる→危なくてしょうがない」みたいなことを言う人がいるわけです.特に客の目に付くところ(全シートに液晶モニタを付けたり,って感じのね)に,明らかに金をかけてない感が漂ってますしね.でも,前に書いたように,実際は世間で言われてる印象ほど事故率が高いわけじゃないし,むしろ設備に金かけてても事故が多い航空会社もある,っていうのが現実です.
不謹慎な話かもしれませんが,飛行機の事故ってのは運だって関係しますし,設備投資の金額と事故率の関係が線形にならないのは当然です.もちろん,だからといってメンテナンス予算をゼロにしたら確実に事故はおきるわけで,「どのラインより下は危険度が急激に増すか」っていう判断は,人や航空会社(+その懐具合)によって異なるわけです.
例えば,もしも「機体整備不良でキャンセル」が頻発してる航空会社があったとして,それは「危険な会社だ」と思うのが普通かもしれませんが,実際は「離陸前のチェックが万全で安全な会社だ」という解釈も可能です.古い機体はガタがきて危険に思えるかもしれませんが,ソフトウェア業界と同様,枯れたものと極端に最新のものの安全性の比較は難しいです.…というように,本当は,航空会社の安全性ってのも判断は難しいわけですよ.
さらに言えば,「事故を起こしていない」と「トラブルが全く無い」は根本的に別の話ですね.NWも事故になっていないトラブルはそれなりにあるはずです.世間で「NW=危ない」みたいなことを言う人も,別に無根拠に貶しているわけでもないですし,かといって厳密な話をしてるわけでもないので,結局,単に印象を語っているに過ぎないと言えるでしょう.(世間の風評を鵜呑みにしてるだけの人も多いとは思いますが)
ただ,着陸の順番待ちで「燃料切れるから着陸させてくれ」ってケースはNWが極端に多いらしく,他社パイロットからは顰蹙買いまくりのようですが.
#別次元の話として,NWのメシがマズいってのは否めないものがありますが,ありゃコストの問題じゃなくて,センスの問題だと思う.
Re:NorthWorstかあ・・・ (スコア:1)
これって予備燃料が少ないって事ですよね..私はそれだけで選定外かなぁ~