欠陥を指摘するはずが個人情報流出。セキュリティ専門家に捜査の手 609
ストーリー by Oliver
やりかたが問題 部門より
やりかたが問題 部門より
parsley曰く、"今朝の朝日新聞一面に掲載の「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表という記事に対しての各方面の反応が興味深い状態になっている。/.J読者のみなさまとしては、ACCSの著作権・プライバシー相談室から個人情報流出として既報な事件でありますが、事件自体のその後の経緯が不明な状態で、このような情報が唐突に紙面を賑わすのは、今後の何かの動きへの予告でしょうか?それとも圧力の一種と受け止めるべき?"
個人情報が洩曳しかねない欠陥が放置されているので、その危険さを指摘する為に、発見者が実際の個人情報を公開してしまい、警視庁が不正アクセス禁止法違反の可能性があるとして捜査している、という話である。記事中で名指しされているofficeさんのウェブサイトでは当人が事態の経緯を説明すると同時に謝罪している。Slashdot Japanでも過去にofficeさんにXSS脆弱性を指摘してもらい、大事に到る前に修正している。
セキュリティに関する欠陥が放置された場合、直接不利益を被るのは放置している側ではなく消費者なため、欠陥の存在を広くしらしめて対策を促すFull-Disclosure精神は企業の重い腰を動かすためには必要不可欠だ。しかし、欠陥対策の手間も風評被害も嫌う企業にとっては迷惑以外のなにものでもない。本来ならば善意な発見者が勢いあまって個人情報を漏らしてしまったのは良くないが、これを機会に不正アクセス禁止法をちらつかせて欠陥を通報した人を黙らせる風潮になってしまわないか心配だ。
朝日新聞社会面の一問一答 (スコア:5, 参考になる)
(記者、以下記)なぜ個人情報を持ち出し、公開したのか?
(office、以下o)今回のCGIは広く使われている。個別に通告するよりも、騒ぎを起こして、全サイト運営者に手直しを迫る必要があった。
それには「証拠」を見せることが必要だ。ネットのセキュリティー問題を扱う民間団体に、さまざまなサイトの欠陥を指摘しても、
「証拠を出せ」と門前払いされるばかり。だから、だんだん指摘の仕方が過激になった。
欠陥は7月に発見した。11月の集会で参加者と一緒に、インターネットで個人情報が見えることを実演したかった。
(記)違法行為では?
(o)このCGIには外部からの侵入を防ぐ工夫がなく、全ての情報が公道に放置されているような状態だった。弁護士にも
相談したが、不正アクセスではないと思う。
(記)ネットの安全性に関心を持ったきっかけは?
(o)01年に官庁や大企業のサイトを調べたら欠陥だらけで、警鐘を鳴らす必要があると思った。
(記)サイトを守る側から指摘を続けるべきでは?
(o)一度バイトで引きうけたが楽しくなかった。脆弱さを指摘した相手の対応の仕方に興味がある。(サイトに入るための)
攻撃コマンドが決まったときはすかっとする。
(記)今の気持ちは?
(o)今回は消費者の味方と言い切れない部分があり、コンピュータソフトウェア著作権協会にも出向いてわびた。
利用者の個人情報は全て削除した。深く反省している。
Re:朝日新聞社会面の一問一答 (スコア:1, 興味深い)
版によって違ってるのだろうか。
Re:朝日新聞社会面の一問一答 (スコア:1, 興味深い)
>おや? 俺の家にある新聞とは文章が微妙に違うなあ。
どの辺でしょうか? 記者の最後の質問が紙面では「いまの気持ちは?」なのに「今の気持ちは?」と
「いま」を漢字にしてしまったぐらいのはずです。
なおこちらは12版です。
Re:朝日新聞社会面の一問一答 (スコア:2, 興味深い)
「今の気持ちは?」のところは、
「反省点はないのか?」
「サイトを守る側から指摘を続けるべきでは?」のところは、
「サイト運営者の依頼を受けて安全性を検証すればよかったのでは?」
になってる。こちらは地方の13版。
Re:朝日新聞社会面の一問一答 (スコア:1, おもしろおかしい)
Re:朝日新聞社会面の一問一答 (スコア:1, すばらしい洞察)
>するというのは、どうにも信じ難いのだけど、どうなってんの?
言葉の選択に新聞のバイアスがかかってるのに決まっとろうが(;´Д`)
いくらなんでも「すかっとする」なんて単語は会話中に出てこんだろ…。
それに相当することを言ったのであればそれは不用意だとは思うが
編集の段階で相当なバイアスがかかっているであろうことはそれはそれで
容易に想像できるんだが。
新聞記事もひどいなぁ (スコア:3, 参考になる)
でも記事の書き方として、これはまずいのではないか?。罪刑法定主義でいけば、「行為」を罰するわけだから、それがどういうつもりで行われたか、という「意思」とは別に考えないといけない。
officeのやっていることは「大義名分が通れば行為は非合法でもなんでもよい」という、自家撞着、自己合理化に満ちた、子供の理屈だ。そして最後には「じゃぁ、おまえの個人情報が流出したらどうするんだ?おれは正しいことをしている!」と脅して、「だから非合法でもいいのだ!」と開き直る。
新聞記事にあるように、その行為は「大義名分」を纏いつつ、その実は「スカッとした(新聞記事において本人談)」とか言うような「自己満足」のためにやられている行為と見られても仕方がない。つまり本人の言う「理屈」「大義名分」に信用がない。
1. CGI等に欠陥があり脆弱性を持つサイトが思いのほか多くあること
2. 欠陥の証明のために不正アクセス禁止法に触れると思われる行為が行われたこと
の2つは、まったく別の問題だ。犯罪者が指摘した事柄が、その人間が犯罪者であるか否かを問わず、正しいことはもちろんある。しかし、その指摘という「善行」は、犯罪を正当化する、あるいは、犯罪を軽減する要素にはならない。
でも、裁判での情状酌量、というのはあるでしょう。殺人でも「情状酌量で減刑」はあるんだから。でも、それは裁判でやるべき話であって、新聞記事でごっちゃにすることではないし、検察もこの2つを分けて考えなければならない。
「悪意のない愉快犯」であっても、その行為によって重大な結果が出るとなれば、その結果の責任を問われるべきであって、「行為に至る経緯」「行為に至った本人の事情」は、本来は相手にされなくても仕方が無い。
だって、officeはもう40歳の立派な社会人なんだから、自分のやったことの結果の責任を取って然るべき歳でしょう。自分のWeb上で名前も明かさず、自分から申し出て公的な職をやめもせず、では、社会人としての責任が全うされない。
また、もしも反対にそういう社会に問題がある、という意識をofficeが持つのであれば、社会を相手にして、徹底的にたたかう、というのもまた結構。officeはどんどんやるべき。今回のことも徹底抗戦して、謝ることなんか一切すべきじゃないよ。自分が正しくて社会が間違っている、というのだから、納得がいくまで警察とでも当局とでもやりあえばいい。結果がどうなろうと、それはoffice本人の責任だしね。法律やその解釈が間違っていて、自分は犯罪者ではなく、正しいことをしている、というのであれば、これをきっかけにもっと徹底抗戦をすべきだろう。
責任を負う覚悟のないただのセキュリティゴロは、「とりあえずあやまっちゃう」んだね。肝の据わっていないチンピラは結局こういうことになる、という良い見本ができましたね。
他人のサイトで証明しないで (スコア:3, おもしろおかしい)
何だかなあ… (スコア:2, すばらしい洞察)
# まあ、私ならわざわざ違法な事はしません。
Re:何だかなあ… (スコア:5, すばらしい洞察)
現実の力業での話と、Webサイトのセキュリティホールのような誰しも簡単に実行することのできるものを一緒に扱うのはどうかと思います。
自販機で「バールのようなもの」を使って無理矢理こじ開けたりすれば確かにすぐに犯罪に問われるでしょうが、本来は商品を購入するときに押すはずのボタンを3ついっぺんを押すと簡単に収納してあるコインがザラザラと出てくるとかいう問題であれば、自販機作成側の過失が問われて然るべきだと思います。
accsの件で言えばまさに後者に等しいもので、コンピュータの世界では複製や自動化が簡易に実行可能なので顕著であるだけだろうと思います。
さらに悪いことにコンピュータの世界ではハードウエアのベンダーとソフトウエアのメーカー、そしてそれを納入するシステムエンジニアリングの会社が手を組んでがっちりスクラムを組んでクローズドな(そしてできるだけ金を搾り取れる)システムを組むのが常識化してしまっていますので、たとえ外部からセキュリティホールや不具合の警告を受けても無視される(担当者が無視するか報告のルーティング中で消滅するか)のが通常の流れです。
「なに?セキュリティホールがあるだって?言いがかりはよせよ。本当にあるって言うのなら身分を明かして証明して見せろよ」 と言われて証明して見せた結果、不正アクセス禁止法(通称)違反であると通報されかねないという危険をはらんでいるというわけです。でもソースコードもバイナリも参照/取得できないシステムにおいては、実際に稼働しているシステムに対してアクセスを行う以外に証明する術は無いというのが現状です。
私自身、こういう第三者としてのセキュリティコンサルタントを本業としていますので、常に危険と隣り合わせだったりします。いくら契約などで予防線を張っても欠陥指摘=不正アクセスと見なす厄介なベンダーさんは後を絶ちません。。
Re:何だかなあ… (スコア:1)
損害をわざわざ作るのは通報者のやる事ではないです。
損害を出す方法を知った時にどうするかは微妙ですが、法を侵してまで報告する事は私はしません。
その道の専門家が売り込むなら、過去の事例を引き合いに出すのが良いと思います。
Re:何だかなあ… (スコア:2, すばらしい洞察)
確実に被害を被る手段が「欠陥」として存在しており
その欠陥を利用される可能性があるって事じゃないの?
潜在的なバグとはわけが違う。
既にバックドアが存在しているって事。
例えば今回の件のACCSであれば
情報提供を求めるページ [accsjp.or.jp]に
と明記しており、そういう約束で情報の提供を受けているわけだから、
このような「既知」のバックドアを放置しておく事は容認されるべきではない。
だからと言ってoffice氏のように個人情報を漏洩させても良いという道理はないが、
提供者には、自分の情報が本当に漏れないかどうか確認するくらいの権利はあっても罰は当たらんだろう。
uxi
じゃぁ、どうしよう? (スコア:2, 興味深い)
セキュリティホールを見つけら、なにをすればいいんでしょうか。
→無視されておしまい
→風評被害にあったと訴えられる
→それは非常識で違法で犯罪
→裁判で通知方法の妥当性を問われる。『指摘の方法がよほどおかしい』など。恐喝に問われる可能性もあり
寡聞なので、適切な第三者機関を知りません。誰か教えて。
ちとナサケナイが、身をわきまえてこのあたりか……
Re:じゃぁ、どうしよう? (スコア:2, すばらしい洞察)
> 正式に被害届を出す権利ゲットです。
どうやって自分が被害にあったことを証明するんでしょうか?
Re:何だかなあ… (スコア:1)
抜き出した輩は office氏以外にはいない事を証明する
なり、他の輩もしょっ引いて、そいつらも office氏も、同様
に処罰するべきだな。
なんだか、一人釣るし挙げておいて良しとする風潮が
癪に障る。
結局バレなきゃいいのよ、誰かバカ一人が捕まってくれ
ればいいのよ、という雰囲気を加速させているだけのような。
問題のポイントは (スコア:2, すばらしい洞察)
office氏が情報を流出させたのは単なる判断ミスってか調子に乗りすぎただけだろうし。
問題は「脆弱性指摘のために不正アクセス(に近いこと)を試みてよいか?」じゃないの?
もしこれが駄目だったら民間の人がそれとなく脆弱性に気づいても、確認しようとすることすらあほらしくてできない。
これがPCとかじゃなくて、販売機とかの機械だったら、利用者が変な点に気づいて触りまくって故障とか不具合に気づき、製造元に報告することは法的にまったく問題ない。
なのにネットワークを介したらなんで駄目になるんだ?
というのは私の疑問。
そりゃ行為の結果損害を与えりゃ損害賠償の義務は生じるだろう。しかし損害を与える前に法的に禁止されるのは、善意の行動の結果としては納得いかないよね。
Re:問題のポイントは (スコア:1, 興味深い)
だけどネットの場合はどうだ。許可をとる先はメーカーだよ。許可を得るのは事実上不可能だろうね。
難しいね。
浅はかな例え話は有罪にしてほしい。
Re:問題のポイントは (スコア:1)
[udon]
事業者側も正直者が馬鹿を見る (スコア:2, 興味深い)
わけのわからん趣味で Perl で CGI 書いてたあがりのような素人を孫請けにした糞業者が、低価格で案件とってっちゃってピンはねなわけ。ばからしくてやっとれん。
どうなっていくんだよこの先。俺はもう知らん。
行為者責任ってのは歴然と存在するのは確かなのだが (スコア:2, 興味深い)
直接に犯罪になる行為ではなく道義上の問題であるにせよ「まさにそこに誰でも見られる状態」のものを公衆の前で「見れますよね」と言うのに何が問題であろうか.ましてや今回の事例は「セキュリティ対策の回避」などではなく,リクエストしたら出てきます,レベルの問題であるのだし.
セキュリティの専門家=ハッカーの仕業なので,皆さんは真似しないでね,悪い人がいなくなれば安全ですから.と言っているだけのように聞こえてしまいます.「特定の目的にそぐわない情報にアクセスした者を処罰します」なんて立法がなされないように祈ります.
電波法の「特定の相手方の通信の傍受」あたりと同じようなことになりそうな...
住基ネットの運用なんかにも通じそうですよね...
みんつ
Re:本当に誰でも出来るの? (スコア:2, 参考になる)
ACCS に限らず,山ほどあるっすよね,そういうサイト.私程度の技術者でも大小問わず「個人情報を流出させることのできそうなサイト」なんてごろごろあります.
不正アクセス法に触れますが,スロースキャンやれば残高照会くらいはできそうな金融系サイトとか,あいかわらず多そうですしね.現実に盗んだキャッシュカードの暗証番号を確認するためにそういったサイトで残高照会をしてみる,なんていう事件にもなっていますし.
あなたのおっしゃる「Script Kiddy」だの「セキュリティ技術に長けた」だのと区分する必要がありますかね?「知っていれば誰でもできる」ことです.もちろん「誰でもやるべき」とは思っていませんし「道義上の問題はあるかもしれない」と申しております.
逆に言えば「知らない人が知らなければ安全」である,と結論づけて欲しくないだけです.
で,
それらのセキュリティレベルを向上させる(=開発に多大な費用を使わせる,に等しいことですが)にはどうしたら良いとお考えですか?「彼のような倫理観のない技術者 (^^;」を非難し取り締まる事が,それらを向上できるとお考えになりますか?いい加減なサイト構築が溢れている状況が,どうしたら改善する方向に持っていくことができるでしょうか?
みんつ
Re:本当に誰でも出来るの? (スコア:2, 参考になる)
ええ,そう思います.
で,繰り返しになりますが,今回の件ってのが「結果には行為者責任が道義上あるが」
しかしながら「手段は正当」ではないのかという意見を私は持っています.
あのデモ(というより,PHSがつながらなくて保存した画面でしたが ^^;)
「入れた証拠として個人情報を提示した」というよりは,解析手順(具体
的なセキュリティホールの提示)に主眼があるプレゼンであって,解説も
それに費やされており,件の最終画面は「ほら」で終わっておりましたか
らねぇ.
もちろん最終画面については適当なマスクを施すとかが推奨されるべき所
ではありましょうが,
おっしゃるような「倫理観もないゴロの暴走」とは思えないのですよ.
みんつ
どうすれば良いだろう? (スコア:2, 興味深い)
ある程度身元を明かしての脆弱性の指摘を犯罪的に扱うと
脆弱性を明かす方法が匿名掲示板でのいきなりの公開など
過激な方法になりかねない恐れがあります。
一番良い方法は、第三者機関で脆弱性の指摘を受け取って
サービス提供側にコンタクトしてもらい問題解決を促すのが
理想的だと思います。
現在サイトのアタック等に関してアタック元への連絡仲介は
JPCERT/CC が行っていますが、脆弱性の指摘にも連絡仲介
の範囲を広げてもらえたら良いのではないでしょうか?
要は報道機関が名誉毀損など考え方によっては犯罪になるような
状況でリークされた情報でも情報提供者を明かさないのと同じ
ように、情報提供者が守られる仕組みが必要だと思います。
今後どうなる? (スコア:1)
欠陥が指摘されても調査をせずに門前払いしてきたという事実が起こした事件であり、
Officeさんはそれに疑問を投げかける必要悪となってしまったと思います。
行為自体は犯罪であって逮捕という結果になったとしても、
ネットワーク社会がこの事実を受け止め改善するきっかけになれば、
少しは報われると思います。
# ちょっと悲しいのでID
三日風呂に入らなかったら、あなたはすめるまんです。
公開した事柄の問題ならば... (スコア:1)
「こういうのをこのCGIに食わせると、ほら、指定したファイルを
ゲットできますね」と、実際に自分ではゲットしないで、その
ゲットの仕方を公開するというのが、よかったかもしれませんね。
何人かの出所が知れている方に見せたにしても、実際に盗む所を
見せたのが問題だったみたいなので、「データを盗める文字列」
をちゃっちゃと公開しておくという方がよいのでしょう。
exploitの公開は、結構センシティブなんですが、officeさんの
間違いは、その手順を公開したことではなくて、自分の手を汚
してしまったことにあるみたいですね。なので、今後は、「こ
ういう風に入力すれば、ここからはデータを簡単に見ることが
出来る仕様だね」と、実例を示す「のみ」でよいのではないか
な?
「このドア、鍵あけっぱなしだよ」と開示することは、なんら
問題はなくて、そのドアに手をかけたのが彼の失敗かもしれな
い。ならば、そのドアが開いていることを大きく示す程度で、
終わりにしないとね。
ドアのオーナーも、その内、気付くでしょうから...;-)
Re:公開した事柄の問題ならば... (スコア:1)
そうですか、それはよかった。この顧客の問い合わせリストが
肝心のファイルではなかったわけですね...と、そのファイルを
開示しちゃうと、面白いかもね。
Re:公開した事柄の問題ならば... (スコア:1)
ということは、修正せざるを得ないシステムであったという
ことですね?なら、投獄される理由もないでしょう。
どっちかというと、信用毀損罪って、どこに書いてあるですか?
名誉毀損ならありますが..「それだとボロボロですね」と指摘さ
れて、居住まいを正した後に、「ボロボロであったが、居住まい
は正した」と?
Re:公開した事柄の問題ならば... (スコア:1)
そうですか、では、判別できないということで、抜いたファイルは
自由ってことですね?
不正アクセスか否か (スコア:1)
今回のケースは不正アクセス禁止法に引っかかるのでしょうか?
たしか鍵(パスワード等)を破らないと不正アクセスにはならないということだったと思うのですが。
Re:不正アクセスか否か (スコア:2, 興味深い)
今回の話はどうやらhttpdの、ではなくOSレベルで管理者のみが読み出せるように管理されたはずのファイルがCGIの考慮不足でhttpdから読めちゃった、というものらしい。
となると、この場合の「その制限されている特定利用」というのは「『電気通信回線を通じて』件のファイルを読み出す」ことだ、ということになる。それはアクセス制御機能で有効・無効が選択できなければならない…え?それって、運用上不要な機能ではないのか?
#誤解があればお教えください。
対策済み? (スコア:1, おもしろおかしい)
国内のサイトは全部対応済みと考えていいのでしょうか?
長いので要約してみる。 (スコア:1, すばらしい洞察)
プラスモデレートされたコメントは5つ
では5つを見ていくとしよう。
何だかなあ… (+1, すばらしい洞察) [srad.jp]
┣Re:何だかなあ… (+3参考になる) [srad.jp]
┣じゃぁ、どうしよう?(+1 , 興味深い) [srad.jp]
朝日新聞社会面の一問一答 (+:5, 参考になる) [srad.jp]
問題のポイントは (+1, すばらしい洞察) [srad.jp]
#プラスモデレートされたものだけ抽出する機能の追加お願いします。
Re:長いので要約してみる。 (スコア:1)
タレコミ記事直下のメニューにある「しきい値」を「2」あたりにして、隣のボックスを「ネストする」にするとご要望の結果が得られませんか?
違いますか?
Re:長いので要約してみる。 (スコア:1)
なるほど、初期値を無視して「プラスモデレートされた」コメントを抽出するのが肝なわけですね。 それは非常に有用な機能だと思います。
Re:officeが「善意な発見者」とどうやって判断したの? (スコア:2, 興味深い)
それは、個人情報の漏洩を防止させるための行動であれば、
自ら情報を漏洩させるとは考えられないからです
情報漏洩を自ら引き起こしてしまった彼に、善意の発見者たる資格はあるのでしょうか?
警察には不正アクセス禁止法違反の容疑でoffice氏を調べられることを期待します
Re:officeが「善意な発見者」とどうやって判断したの? (スコア:2, 興味深い)
メールないし電話で伝えればすべて済みます。
個人情報を公開する必要などは全くありません。
彼が管理者に相手にされないのは、
匿名でセキュリティーホールなりを連絡することが多いことや
管理者の反応を楽しんでいるような稚拙な行動や発言が
多数見受けられたことも関連がないとは思えません。
今回の事件は明らかに行き過ぎた行為であって
彼自身が情報モラルに欠けている証拠です。
Re:officeが「善意な発見者」とどうやって判断したの? (スコア:1)
Re:officeが「善意な発見者」とどうやって判断したの? (スコア:2, おもしろおかしい)
そうですね、ACCSも謝罪して済ませているわけですね。
ふーん、ってなもんですねぇ。
Re:officeが「善意な発見者」とどうやって判断したの? (スコア:2, 参考になる)
いえいえ、誰もそんなことは言っていませんな。
>個人情報を過失(or 重過失)で漏らしたか、意図して漏らしたか、っていう違いもあるし
そもそも、漏れるサービスを立ち上げたか、漏れるのを指摘したか、という
違いもありますね。
>なにより「自称セキュリティの専門家はやっぱり手を汚しているんだ」という印象を世間に焼き付けた分、業界への謝罪もほしいもんだ。
自称でしょ?...;-)
実際にサービスを提供している人の中で、しかも、ACCSの
著作権&プライバシーなんていう専門家程度でも、そんなもん
かね?という印象を焼き付けたACCSですからね。あれも、
自称なんでしょうかね?
わたしは、officeという方についてはどうあれ、そういったサー
ビスを能天気に展開している「自称専門家」さんたちがこの程
度であるという印象を世間に植え付けた事の方が重大だと思い
ますよ。
まず、提供するサービスがあり、そのサービスに仕えるモノと
して、セキュリティなり、なんなりがあるわけでしょ?サービ
スの提供者の安易さやチェックの甘さこそ問題として、そして
それを世間に認識させてしまったことの方が業界の一端にいる
者として、被害が大きく、またそれによるサービスの遅滞や導
入への消極化を危惧するわけなんですよ。
Re:officeが「善意な発見者」とどうやって判断したの? (スコア:1, 興味深い)
今朝の朝日新聞にもっと詳しい経緯(office氏の言い分?)
が書いてあった。
それによるとoffice氏は、穴のあったサイトの管理者に対して
何度か警告をしたとのこと。
しかし、そのたびに管理者側に「証拠出せ」(?)とか言われて
門前払いを喰らったらしい。
何度注意しても穴がふさがれないことに業を煮やしたoffice氏は
穴の一般公開に踏み切ったそうだ。
office氏のインタビューも載ってたよ。
まぁ確かにかなり突込みどころの多い内容では有るね。
穴を指摘されて無視する管理者なんて、普通いるだろうか?
office氏の指摘の仕方が余程おかしかったんじゃないの?
例えば「穴があるよ」と言うだけで、
具体的な内容は言わなかったりしたんじゃないの?
そういう通告の仕方をしていたのだとするならば
「セキュリティホールの指摘」というのは「祭り」のための
方便だといわれても仕方が無い。
Re:officeが「善意な発見者」とどうやって判断したの? (スコア:2, 参考になる)
いくらでもいるみたいです。 [zdnet.co.jp]
こんなサポートの人間もいるみたいです。 [hatena.ne.jp]
最近、自分の無学を痛烈に感じていますが、それでも食っていける理由がわかったような気分。
#上を向いて歩こう
Re:officeが「善意な発見者」とどうやって判断したの? (スコア:1, 興味深い)
「証拠を出せ」と言われて「一般公開」に飛躍するのが理解できない
「得たデータを管理人に送りつける」で十分だと思うけど
と、すると
私たち(部外者)に公開されている事件の経緯がどこかおかしい
or/and Office氏が私には理解出来ない思考回路をしている
もしくは、公開したかったから公開した
いずれにせよ、やり方がまずいとしか言いようが無い
# 臆病者なのでAC
Re:officeが「善意な発見者」とどうやって判断したの? (スコア:3, 興味深い)
管理人に送りつけるだけだと、「この人に不正アクセスされました」と警察に突き出されるのがオチ。たとえ丸見えだったとしてもね。
ただ、今回のが不正アクセス禁止法に抵触しないのかは知らないし、漏洩までさせてみるのには同意できない。
だからといって、善意で管理人だけに送りつけるのはとてもリスキー。俺にはできない。どうしたらいいんだろうね。見て見ぬふりするしかないよなあ。
Re:今ごろ何で? (スコア:3, すばらしい洞察)
gy0
Re:今ごろ何で? (スコア:1, 興味深い)
/.jpとかと違って、憶測や決め付けで動く訳にはいかんからね。
# まあ、いまごろ[一面]はどうかと思うけどさ
Re:今ごろ何で? (スコア:1, 興味深い)
何か嗅ぎつけて、というよりは近いうちに実際に警察が捕まえに行く前兆なのかなーとか思ったり。
もしかして、警察にとっては
在野のセキュリティ屋って、銃器類を持ってる人と同じぐらい
面倒な種類の人間なのかもしれないし。
本気で"自衛"されたりしちゃ警察が存在理由を削られるんだし。
#ところで、ハッカー云々に関しては"クラッカー"の間違いだって事で勘弁しといたれよ、とか。
#個人的には"hacker≠Cracker"っていうのがは必ずしも正しいとは思わないのだけど
gy0
Re:今ごろ何で? (スコア:3, 参考になる)
そんな難しい話ではなく HTML 一枚書いて POST メソッドから適当な値を放り込んだら個人情報の閲覧画面が利用できたという御粗末な状態。それも厳重に保護されるべきソフトウェア不正使用の密告者情報という。
同様に脆弱性を抱える。。というかザルなサイトが多すぎで、今までセキュアだった所もリニューアルや機能追加があると脆弱性を抱えたり悪化に向かってるっぽいので寧ろどんどん問題化すべき。勿論方法は選んで。
だからこそマネジメント層に情報の重要性に対して必要な信頼性が得れるよう投資する必要がある事を認識させないといけないワケで。 またそれをやっている企業も社会的に評価されなければならないワケで。
Re:今ごろ何で? (スコア:1, 参考になる)
国外からの不正アクセスは国内法では取り締まれないんだけど
どう考える?
国際法ができるまで待つの?
加盟しない国があったらしょーがないなの?
俺は早期発見で、指摘をどんどんしたほうが社会的なダメージは少なくてよいと思う。
Re:今ごろ何で? (スコア:1, おもしろおかしい)
ソフトウェア業界だけを保護することになってしまいます。
どうせならすべての製品・サービスの欠陥を探したり公表することを
取り締まるべきです。
営利企業ではありますが (スコア:1)
サイト
https://www.netsecurity.ne.jp/
最近の事例
https://www.netsecurity.ne.jp/article/1/11913.html