スラッシュドット・ジャパン

XSSについて脆弱性を発見した場合

・メールで脆弱性について伝える。

という方法がベター(電話ならベスト)である。
しかしながら、企業の対応はまちまちである。

1.無視をする
　まだ貴方しか知らないんだからほっとこう

2.逆切れ
　金でもゆすろうって言うのか？
　不正アクセスで訴えるぞ！

3.黙っててください
　状況把握しました、でも変え(られ)ないので黙っていれば誰にもばれません

4.即座に修正する
　こりゃやばい、ありがとう直しておきます。

おおよその対応は1,3である
この場合このメールはほぼ意味を成さない。
2の場合己の社会的立場を危うくする場合がある。

4の場合はかなりまれなケースである
だからまずありえない

ここで問題になるのは
・企業が集めたデータを保全をする義務が無いということ
　→つまり外部からアクセスされた場合不正アクセス法で訴えればいい

物騒な話である。
セキュリティーが確保されているか安心できなければ迂闊にアンケートにも答えられない世の中です。
しかも穴だらけのシステムを堂々と使っていても問題ないと来ている・・・ばかげていると思いませんか？

ACCSの一件はXSSではないのでオフトピック。

しかもofficeこと河合容疑者は発見したセキュリティホールを
ACCSやレンタルサーバ業者などに連絡するよりも前に
A.D.200Xというイベントで不正アクセスによって得た個人情報を晒した上に
個人情報を含む資料を無線LANで自由にダウンロードできる形で会場内で配布していました。
個人情報漏洩でACCSが謝罪した昨年11月にはセキュリティイベントのことは知らされていませんでした。
これが後になって判明し、そこでofficeに協力的だったACCSも態度を変えたし、
改めて1月4日の朝日新聞の記事となったのです。
従って彼のケースを以てして一般論に話を持っていくのは間違いです。

なんでこう話を別に逸らそうとする人が多いのだろう。

> XSSについて脆弱性を発見した場合
今回の件はXSSじゃありません。脆弱性はXSSだけじゃありません。

>今回の件はXSSじゃありません。
む、そうだったか、んじゃオフトピですな。

>脆弱性はXSSだけじゃありません。
当然です。

>物騒な話である。
セキュリティーが確保されているか安心できなければ迂闊にアンケートにも答えられない世の中です。
>しかも穴だらけのシステムを堂々と使っていても問題ないと来ている・・・ばかげていると思いませんか？

実はあまり思わなかったり（笑）

世の中、完璧を目指すのは余りにハイコスト過ぎるって場合がままあります。
まあ、金に直結する場合はそうも言えないでしょうが、そこでコケても所詮はその企業なりの評判が落ちる程度の話であれば、それこそ担当者の裁量ってもんでしょう。

実際、それ以上の問題になるものであれば、それこそ個別に裁判となり、それによる出費が嵩みセキュリティ対処費用の方が安いとなれば、その時点で状況は変わるでしょう。

最初に断っておきます．比較的長いですが明確な結論は出せてません．ごめんなさい．

脆弱性への対応ですけど，つまるところ，セキュリティは技術だけの話じゃない，ってことだと思うんですよ．
今回の件にしても，office氏とACCSとASK ACCSのユーザとではそれぞれ立場や利害が違うわけで．それぞれにとって何が最優先であるか(アジェンダ)を勝手に想像すると，

• office氏: セキュリティホールをタレこむこと．それ以上の目的があるかどうかは不明．publicity目的，てのは十分ありえると思うし，結果的にそれが今回の「やりすぎ」につながったとも言えるかも．
• ACCS: 自分の立場・評判を守ること．個人情報を預けた人に対しては責任があるので「漏れてません」と言えなくてはならないが，世間的には「穴なんてありません」ということにして，自分の評判が下がらなければそれでOK．
• ユーザ: ACCSのサービスを受けられることが最優先．個人情報が抜かれることをどの程度気にするかは，多分に人による．

だから，office氏がACCSに対して穴の指摘をしても最初は取り合わなかったのは，ACCSの立場を考えればわかる．だって，office氏がASK ACCSのユーザでない限り，office氏はACCSにとっての利害関係者じゃないし，穴の存在が広く知られてアタックされて巷でのACCSの評判が落ちでもしない限り問題はないわけだから．

で，一般論として，どこぞのシステムに脆弱性を発見した場合にどうすればいいか．発見者がそのシステムの利害関係者でなければ，直接言ったところで上と同様の理由により「無視をする」「逆切れ」「黙っててください」となる，と想像できる．穴を塞ぐのにかかるコストに見合うだけのメリットがないんだから．
となると，可能性のある方法は，「利害関係者を巻き込む」「システムの評判を落とす」などの手で，動かざるをえないようにするか，あるいはもう「自分には関係ない」と思って諦めるか，のどっちか，でしょうね．「システムの評判を落とす」ってのは名誉毀損になるという危険が大なので注意．あとは自分のアジェンダに従ってお好きな方法をどうぞ．

技術屋として，そこに穴があったら塞ぎたい，と思うのは人情だけど，相手が何を求めてるかよく考えて動かないとうまくいかないんじゃないかな，てのが私の結論にならない結論．

> 『コラァ！ここは警備員が常駐してないじゃないかーっ！』
> 『買物客の安全をなんだと思っとるんじゃーっ！』
> 『コンビニ強盗が多発してるのは知ってんだろーっ！』
>
>って吠えてきてくれる？

いつぞや刃物持って飛行機乗っ取って機長刺しちゃったキチ○イな人もそんなこと言っててやっちゃったんですよねぇ。

手書きのアンケート結果：複写するのにコスト（コピー紙代）がかかる。
ネットアンケートの結果：簡単にほとんどコストがかからずに複写可能。管理も容易。

　連絡方法がメールしかないって思ってるのは、office氏ではなくACCSでは……？
　彼からのメールは着いて（通じて）るわけで、こっち向きの連絡は成功してるんですよね。

　ACCSから見たら、重要なことだ（と思った）から返事したのに、それが届いたかどうか確認していない。
　そして、実際に届いて（読まれて）いなかった。

　どっちが「連絡方法がメールしかないって思ってる」んでしょ？

　うん、だからそれが「メールしか連絡法がない」と思ってるってことですよね。＞返答したのに音沙汰なし
　重要だと思ってたら、メール以外の方法でも連絡を取ればいいわけでしょ。

ちがいますよぉ。

件のスクリプトを製作した会社とやり取りをしていたが(彼主観で)遅々として話が進まなかったために、
グレて、今度集会があるから晒してやろうと同社のスクリプトを使ってるサイトを探したところ、
ACCSのサイトを発見して「こりゃいいネタだ」とばかりに集会で公開したんです。
ACCSに連絡したのは、集会のあとなんです。
で、返事がこねぇってのは(#488660)の状況だったわけ。

情報が漏れたことをメールで協会に知らせ、サイトの閉鎖に追い込んだ疑い。

と毎日の記事(読売の記事 [yomiuri.co.jp]にも、類似に記述あり)とあるのですが、彼の目的はサイトの閉鎖にあったのでしょうか。サイトを長期にわたって閉鎖しているのはACCSの判断であって、この件を「威力業務妨害」としたり、まるでサイトの閉鎖を目的とした攻撃だったように報道するのは、問題ではないでしょうか。
「不正アクセス禁止法違反」はともかく、「威力業務妨害」で逮捕されたのは、ちょっとびっくりしています。

> 彼の目的はサイトの閉鎖にあったのでしょうか。

この場合、問われるのは行為の結果であってその目的がどこにあったかではないのです。

もともとが法的に合理性のある行為の場合は「威力業務妨害」での立件が望ましくない場合もありますが（こっそり教えてあげた結果自分の判断で閉鎖したとか）、余所で騒いだこととサイト閉鎖との因果関係が十分にあり、被害を受けた側が「業務を妨害された」と言えば、『威力業務妨害の疑い』は十分になります。

そういえば、この件では『逮捕』となってるってことは警察の逮捕請求に対して東京地裁は「逃亡」や「証拠隠滅の恐れがある」って判断したんでしょうね。

まぁ、逃亡はなさげですから「証拠隠滅の恐れ」があったってことなのかなぁ。

> 余所で騒いだこととサイト閉鎖との因果関係が十分にあり、

確かにその因果関係はあります。
しかし、余所で騒がずに、サイト管理者にだけ通知していたとしたら、サイト閉鎖は避けられたんでしょうか？それはないと思います。
直接の原因は、セキュリティホールがあったことで、きっかけとなったのがoffice氏による指摘、というのが正しい表現だと思います。

> サイト公開したまま並行してCGIの修正、および、過去のデータをバックアップ／削除ぐらいの対応と思われ。

ずいぶん甘いなぁ。普通は個人情報流出のリスクを最小に押さえるために、サイトを一時閉鎖して、CGIなり認証設定なりの修正した後、サイト再開、というのが普通でしょう。
ま、1200人なら個人情報が流出しても、賠償額は多寡が知れてるからサイトを閉鎖しない、という判断もあるかもしれませんけどね。

> ええ、ですが、サイトの閉鎖は誰の判断で、何を原因にしたか、ってことです。仮に、Office氏の指摘した脆弱性がサイト全体を閉鎖しなければ修正不可能なものであり、かつ、Office氏が事前にそれを把握していたなら、この問題はぎりぎりで止むを得ない気もします。

この流れで技術的に云々するのはあまり意味があることではないような気がします。
「閉鎖」の直接の要因は「修正のため」ではなくて「信用が棄損された」ためでしょう。特に ACCS の相談サイトということを考えれば「そこだけ工事中にすればOK、見に来る人はそのぐらいわかるよね」は通じないでしょう。

ちょっと前の個人認証のストーリーの時にも思ったんですが、社会的な枠組みで捉えなければならないことは「技術的にはこうだ」ってことと「法的に戦って勝てる強さが必要」ってことは明確に区別されなければならないと思います。

技術って利用者あっての技術なんですからテクニカルな部分だけに視点を向けるとズレちゃいますよ。

>BSD牛が一頭見つかっただけで米国産牛肉を輸入禁止する国民性なのよ。

変な牛作るなよぅ…

>>BSD牛が一頭見つかっただけで米国産牛肉を輸入禁止する国民
>>性なのよ。
>変な牛作るなよぅ…

勤務時間中に読んで、爆笑しそうになった。
牛柄のマシンでBSDが動いているのを想像したり、デーモン君の
フォークで飼葉をかき集めて荷車に載せてる姿が思い浮かんだり…

まぁ、どっちも角と尻尾がありますから…

> 「あそこのラーメン屋まずかったよ」っていっただけで威力業務妨害

そいつはどっちかと言うと偽計業務妨害（233条） [annie.ne.jp]に当たるような気がしますが……

>> 「あそこのラーメン屋まずかったよ」っていっただけで威力業務妨害

>そいつはどっちかと言うと偽計業務妨害（233条） [annie.ne.jp]に当たるような気がしますが……

偽計じゃなかった場合（誰がどう食べてもまずい場合）(^^;にはどっちかっつーと名誉棄損かな。

名誉棄損であれば事実の指摘であっても大丈夫（だったはず）。

そんなことをいったら、MSの悪口言っただけで片っ端から逮捕ですよ。

・通常セキュリティホールに関しては、相手に直接通知して
　対応が終わった段階で公表するのが暗黙のルール
・今回のoffice氏の場合、ACCSに通知する前にAD200Xという
　ハッカーグループの会合でこのセキュリティホールを公表
　して、かつ実際の個人情報が載った資料も公開した
・その後office氏からセキュリティホールを通知されたACCSは
　当初はoffce氏を協力者として友好的に扱っていた
・ところがoffice氏が事前にセキュリティホールと個人情報を
　公開していたことが分かったため怒りまくってoffice氏を告訴
・さらに公開された個人情報は全て破棄されたとAD200X関係者
　が説明したにもかかわらず、２ちゃんねるのアップローダで
　アップロードされてACCS再激怒
・ついにoffice氏が逮捕

officeがやった実際の手法
・ACCSの投稿フォームで投稿内容の最終確認のため投稿内容を表示するCGIを利用
・投稿内容を表示するCGIの引数にそのCGI自体を入れると、CGIのバグで
　CGIのソースが表示される
・そのソースを見て投稿内容が格納されるファイル名を確認する
・今度は投稿内容を表示するCGIの引数に投稿内容が格納されるファイル名を入れると、
　CGIのバグですべての投稿内容が表示される

office 氏の落ち度については色々と他に指摘がある通りですが、その上で。
実態と報道から受ける事件の印象に大きな差違があると思うのですが、脆弱性のあるプログラムを制作、管理、運営して個人情報を危険にさらした側の責任はほとんど表に出ること無く office 氏がスケープゴートに上がって社会的制裁まで加えられた感じです。
ざくっと見て明らかにおかしいのは

• 報道内容が公正を欠く
• 扱いが大仰過ぎる
• 事実上の社会的制裁になっている

報道内容が一方的な情報に基づく物である事は毎日や NHK を見れば分かる通り。毎日の記事に至っては歪曲と言える可能性もあるのでは。
その上で本人の氏名、容姿が晒され大学側のコメントまで引っ張り出し親類筋も調べ上げる。
また逮捕前の全国紙一面に逮捕後の NHK とここまで扱いが大きいと反論の場が無くなる上に社会的制裁に繋がっている訳で。

恣意的な力が働いたのか何なのかは知りませんが、ここまで見事に一方的な情報を検証能力を働かせずに受け入れ全国規模で報道し、結果として社会的制裁を加え見せしめとしている辺り、かなり危機的な機能不全の一端を見たような気がするのですが。。

と /. 的重大ニュースだと思うのですが、なんつーか、、コメント見てると、、

# 誰か経緯を英訳して本家に投稿希望。

Office氏のやった事：犯罪
ACCSのやった事（やらなかった事）：倫理的、社会的に褒められる事ではないが、犯罪ではない

のですから、当然の対応だと思いますが。

これを「報道内容が公正を欠く」と考えているのであれば、あなたの公正が社会的な公正と同一かどうか、どの程度違いがあるのかを再考してみるのが良いと思います。

犯罪なの？

何の罪に問われるの？

という疑問がこのストーリーのそこかしこにあると思いますが。
私は、現行法上は犯罪ではないと思います。
法律が現実に追いついていないのです。

私は逆ですね。

法律の不備によりグレーゾーンになっているだけで、本来はもう少し明確に禁止しても良いと思う。

普通、他人のセキュリティホールを「突く」理由は無い筈なんですから。

JPNIC, JPCERT/CC Security Seminar 2003
オペレータが知っておくべき，インシデントハンドリングとは
第４回　復：～インシデントから復旧する～
2004.02.04 13:30-17:00 大手町サンケイプラザ
でのパネルディスカッション「xSPのセキュリティの未来」にて。
参加者
モデレータ：佐野晋(JPRS, JPNIC, JPCERT/CC)
パネリスト：
　伊貝耕（警察庁情報通信局技術対策課サイバーテロ対策技術室）
　高木浩光（産総研）
　西尾秀一（NTTデータ）
　三膳孝通（IIJ）
　山口英（JPCERT,JPNIC, 奈良先端大）

会場からの質問:
Q.京大の研究者が逮捕されたが，同様のことをしている他の人とどこが違うのか
A.伊貝：NHKで見ただけなのでわからない。威力業務妨害については，被害者の意識が無ければならないから， ACCSが「被害者意識」があったのかも知れないが
A.高木：一般的には，バッファオーバーフローさせて指摘するのはどうか。犯罪にならない，HTMLソースを見て理論的に指摘できる場合もある。その中間で，URLを手で入れることで名簿が手に入る，という場合もある。放っておくと，事業者は不正アクセスされたと言い訳して逃げるし，見つけた人は見てみない振りをするようになる。そうならないようにするには（交番に届け出るような）公的機関の介入が必要なのではないかと思っている。

＃入手経路の都合で絶対AC。

ほんとにこの字面通りの発言だったのかなぁ。

よくわかんないけど、質問に対しての回答だから口が滑ったって気もする。

言いたかったのは後半部分でしょ。

と、思いたいなぁ。

不正アクセス禁止法で起訴できると思っている警視庁もアレですな。

京都府警ハイテクなんちゃらに相談すればよかったのに。

脆弱性の調査研究そのものについては違法性はないと思いますし、奨励されてもいいぐらいだと思っています。

研究成果として不正アクセスの具体的方法を示すこともいいですし、脆弱性を持っていたサイトの例として ACCS を挙げることもいいでしょう。しかしその双方を結びつけて発表することは犯罪の助長にほかならないでしょう。今回の犯罪性はここにあるのだと思います。

さらに得られた本物のデータを公表したことについては言うまでもありません。

>研究成果として不正アクセスの具体的方法を示す
>こともいいですし、脆弱性を持っていたサイトの
>例として ACCS を挙げることもいいでしょう。
>しかしその双方を結びつけて発表することは犯罪の
>助長にほかならないでしょう。今回の犯罪性はここに
>あるのだと思います。

いいたいことはわかるんだけど、今回の逮捕劇で問題だと
感じるのが、「不正アクセス禁止法」違反容疑ならびに
「ACCSサイトを閉鎖させた威力業務妨害」となっていること…。

つまり、その「犯罪性があるかないか」には関係無く、
同様の指摘は全て逮捕される可能性があるぞとされたこと。

これが、個人情報を流出させたこと（と、それにACCSが対応する
はめになった損害）一点のみについて罪を問われているのであれば、
違和感というか恐怖感は無かった。

警察や報道に対する違和感は私にもあります。しかしあちこちのサイトに見られる今回の逮捕に対する反対意見が違法性の否定にまで及ぶような勢いがあり、やはり違法性はあるはずで、セキュリティ関係者は真摯に受け止めるべきだと言いたかったのです。

今回の逮捕はみせしめという感じはしています。しかし適切な法律があれば逮捕されてしかるべき行為をしているとも思っています。

上記「違法性」は「犯罪性」の間違いでした。

そうですね．セキュリティホールを実証し，その結果相手サイトがサービス
停止しただけで今回と同様に逮捕される可能性があるわけで，
心当たりのある人は結構いるのでは？仮に起訴されなくても
これだけ個人情報をマスコミにばらまかれる可能性があるわけですよ．

これからはセキュリティホールの指摘には逮捕されて個人情報が
公開されてしまう覚悟がいるということですよね．今回の逮捕要件を
上手くかわす方法があればあれば良いんでしょうが，無いでしょうねえ．

>そうですね．セキュリティホールを実証し，その結果相手サイトがサービス 停止しただけで今回と同様に逮捕される可能性があるわけで，

それは無いでしょう。
まともな方法で連絡・実証をしていれば。

少なくとも直接相手側にアクセスしないで実証サーバでも作れば不正サクセス禁止法には抵触しないし、他所で騒がず相手側担当者に通達し、相手側担当者がサービスを停止するなら威力業務妨害にはならない。

単にそれだけの事でしょ？
>これからはセキュリティホールの指摘には逮捕されて個人情報が 公開されてしまう覚悟がいるということですよね．

違う違う。
暴走して犯罪に走れば、そりゃ捕まるし個人情報が公開されるってだけの話。

強いて短く纏めれば、

「法律は守りましょう」

だけだと思うんですが。

確かに、指摘の方法が適切でなかったとは思います。

> 他所で騒がず相手側担当者に通達し、相手側担当者がサービスを
> 停止するなら威力業務妨害にはならない。

今回のケースで、他所で騒いで、相手側担当者がサービスを停止したら、威力業務妨害にあたるの？

>今回のケースで、他所で騒いで、相手側担当者がサービスを停止したら、威力業務妨害にあたるの？

「名誉毀損」による圧力行為はそれだけで軽く問題行為（ってか自分達の公共の利益性を法的に認定されない限りは有罪）なんで、当然、それにより業務に支障が発生し、損害が出たとなれば「威力業務妨害」そのものとなりますが。

なんたって単純な犯罪被害になってしまうわけで。

> で、不正アクセス禁止法に抵触するかですが、「cgiは特定の文字
> 列を与える」事で動くので、この文字列を一種の「アクセス制御
> 機構」とみなす事も出来るじゃないかなぁ。

それはCGIに限った話じゃなくて、WWWのURL全般に言えてしまう話ですよね。
特定のファイルを閲覧するために特定の文字列(URL)が必要なんですから。
で、その文字列をアドレスバーに入れてファイルを見たら不正アクセス? そんなバカな。

＞で、その文字列をアドレスバーに入れてファイルを見たら不正アクセス? そんなバカな。

恐ろしいことに、どこにも公開されていない秘密のURL＝パスワードという考え方があるんですよ。信じがたい。

特定のファイルを閲覧するために特定の文字列(URL)が必要なんですから。
で、その文字列をアドレスバーに入れてファイルを見たら不正アクセス? そんなバカな。

同意だが、IISのUnicodeバグみたいなのも「不正アクセス」になる 危険性をはらんでいるということだな。

どこにぶら下げていいのか迷ったけど、とりあえずここで。
外部からのペネトレーションテストを行う人員は
いっそのこと免許制にして資格のある人・団体しかできないとか。

IT関係の資格って危険物の取り扱いや医療行為の現場と違って
「それが無いと仕事ができない」というものが
皆無なので、こういうものこそ、って常々思うんですが。

> 外部からのペネトレーションテストを行う人員は
> いっそのこと免許制にして資格のある人・団体しかできないとか。

あるいはそれこそが狙いなのかも、と一瞬妄想しました。

・どんな理由があろうと無免許のペネトレは罪として扱うよ
　　↓
・免許が欲しかったら○○省外郭団体管轄のこれこれこういう免許とってね
　　↓
・天下り先が一つできてウマー

いや、だって、今回の件で(個人情報を流出させたことではなく)不正アクセス扱いで
逮捕するっのて、不正アクセス禁止法の適用前例を作りたかっただけとしか思えない
し、じゃあこの件を前例にして何が嬉しいかっていうと上のような流れがどうしても
ちらついてしまう……。

> じゃあこの件を前例にして何が嬉しいかっていうと上のような
> 流れがどうしてもちらついてしまう……。

あ、もう一つあった。

・これを前例として田中康夫をパクりたい/黙らせたい

それだったら、IIS と Sendmail の運用には 免許制にして資格のある人・団体しか出来ないことにしてほしい。あ、あと BIND も。

＞故意であれば処罰され、そうでなければ処罰しないというのは不透明・不公平であるように感じます。

刑法の規定で

第38条　罪を犯す意思がない行為は、罰しない。ただし、法律に特別の規定がある場合は、この限りでない。

というのがあって、むしろ犯意が無いのに処罰される方が特例的な扱いなんだが。
たとえば過失致死なんかは刑法210条で明記されているので罪に問われるけど、犯意がある場合（要するに殺人）は死刑又は無期若しくは３年以上の懲役であるのに対して、過失致死だと50万円以下の罰金と、格段に量刑も軽くなっている。

ちなみに

第８条　この編の規定は、他の法令の罪についても、適用する。ただし、その法令に特別の規定があるときは、この限りでない。

というのもあるので、刑法ではなく不正アクセス防止法であっても適用され、不正アクセス防止法に「過失の場合も罰する」という規定が無い以上、故意でなければ処罰されないと考えるのが適当。

どうしてこうも曲解したがるのが多いのか解らないが、 今回の件では故意であるとはっきりしていると思うが？

セキュリティ上の指摘を行う為に「故意に」穴を突いた訳だから。

穴を見つけた事が偶然であっても、穴を探す為にそれを行っている（例えばパスワード総当り）のは「偶然」ではなく「故意」。 故意でないってのは、例えばURLを入れようとして手が滑ってとか、穴を探す意思が無い状況を挿す。

ってよりセキュリティチェックの為のアクセスならその時点で故意確定だと認識しないでどうするって気も。
バグ次第では相手のデータを壊す可能性すらあるってのに。

>だから、これからは、(警察に呼ばれる覚悟がなければ)セキュリティチェックも、その結果の通知も、安易にできなくなりますね?、
>という話です。

元々相手の全てのサービス破壊のリスクを背負う覚悟が必要な筈なんですが。

>そうなることが予測される以上、親切な通告者が期待できなくなる分、サイト管理者も大変になるよねと。

そういう事をするなって法ですから。

実際、興味本意のセキュリティチェックも犯罪目当てのアタックも、管理者から見れば一緒。
いや、前者が野放しにされているとその分、実際の攻撃が見分け辛い。
また、実際に犯罪目当てであっても「セキュリティチェックの為」と言い逃れが出来、実際攻撃し放題となる。
となれば、実際に無関係なものからのセキュリティチェックを目的としたアクセス自体も制限した方が安全という可能性は否定出来ない。

つまりは基本的には当事者以外触るなって事なんでしょうね。
まあ、妥当性のある考えだと思いますよ。
普通の第三者にはそういう事をする理由が無い筈だし、実際にきちんとした契約で使用しているものには契約に基づいた権利により合法的に監査を求める事が出来る。
勿論サービス提供側がサービス向上の為にやっても良い。
が、他人はやるなと。

サイト管理が苦労しようが、穴があるのが増えようが、別に他人が心配する必要もない。
酷いのは淘汰されるだろうし、それが致命的なら改善されるだろう。
どちらでも無いのに継続しているのは別段大した問題では無い奴だろう。

＞外部からのペネトレーションテストを行う人員は
いっそのこと免許制にして資格のある人・団体しかできないとか。

　それ以前に、セキュリティを保証する第三者機関が必要だと思ったら、既に、プライバシーマーク [privacymark.jp]なんてのがあった。
　しかし、登録企業はごく僅か（勿論ACCSも登録されていない）だし、間接的に認定を与える団体に至っては、僅か４機関。それに、認定費用も結構する。これじゃ、普及しないなと。

　本来なら、この手の機関（それも一般企業が望ましい）が一杯あって、各個で顧問サイトの安全性を保証する仕組みになってしかるべきだと思う。その上で、第三者の安全性保証の無いサイトへは、個人情報入力なんて論外とする風潮が出来れば、大穴の空いたサイトを撲滅出来るのでは無いかと。
　で、その保証／監査機関が多数あって、競争しつつビジネスを行うなら、必然的に何らかの資格とかも出来て、それなりの権威を持つ様になるのでは無いかな。
　

有線電気通信法第９条に言うところの条文の「精神」を汲み取れない奴に
電気通信に携わる資格はない、という話かと。

>この箇所だけに引っかかったんだけど、守秘義務って結んでたの？

あ、そこが一番重要。
例えば医者なり弁護士なりの、他人のプライバシーに触れる事のある業種ってのは、契約としてではなく業としての守秘義務がある訳。病院では一々診察前に守秘義務契約なんかしないでしょ？
でもって、卑しくも公共の利益の為のセキュリティの専門家を名乗る人間が、その程度の気を回す事も出来ないって事実が、「自称」は問題だなって思う大きな原因です。

まあ、それ以前として他人のプライバシーに掛かる情報を勝手に公開しちゃあいけないってのは、ネチケット云々を持ち出すまでもなく社会人としてのあまりに当たり前の判断だと思いますけどね。

> 例えば医者なり弁護士なりの、他人のプライバシーに触れる事のある業種ってのは、契約としてではなく業としての守秘義務がある訳。病院では一々診察前に守秘義務契約なんかしないでしょ？
> でもって、卑しくも公共の利益の為のセキュリティの専門家を名乗る人間が、その程度の気を回す事も出来ないって事実が、「自称」は問題だなって思う大きな原因です。

この分野で「士」って付くのだとやっぱり技術士 [engineer.or.jp]かなぁ。

情報部門って現行のくくりだとおおざっぱすぎるからセキュリティ部門とか作るべきってことなのかなぁ。

なんか「技術士（セキュリティ部門）」ってのがあったほうがいいような気がしてきた。

>この分野で「士」って付くのだとやっぱり技術士 [engineer.or.jp]かなぁ。
>情報部門って現行のくくりだとおおざっぱすぎるからセキュリティ部門とか作るべきってことなのかなぁ。

この技術士でもそうですが、基本的にはそういう他社のプライバシーに触れる業務に付く資格には 法に明記された義務 [engineer.or.jp]があり、それにより顧客はある程度の安心を得る事が出来る訳で。

でもってやはり自社なり他者なりのプライバシーを含むサイトに触れるセキュリティ関係者がその手の縛りを受けないとされる理由も無い、と言うより、前者が法で明記されなければならない理由によりこちらも法で明記的に制限しなければならないと思います。

それが無い現状では個々の契約で保全をするって事になるのでしょうが、これがセキュリティの押し売り相手だと「元々契約が無い」という事により自己防衛が一層難儀になってしまいます。

> でもってやはり自社なり他者なりのプライバシーを含むサイトに触れるセキュリティ関係者がその手の縛りを受けないとされる理由も無い、と言うより、前者が法で明記されなければならない理由によりこちらも法で明記的に制限しなければならないと思います。

> それが無い現状では個々の契約で保全をするって事になるのでしょうが、これがセキュリティの押し売り相手だと「元々契約が無い」という事により自己防衛が一層難儀になってしまいます。

そうですねぇ。
指摘を受けた側でも指摘してきた相手がどんな人物だかわからないと疑心暗鬼になってしまったり本来建設的な方向で収まるはずの話も収まらなくなったりしますしねぇ。

その意味ではある程度法的に責任がはっきりしているような制度が必要ですよね。
まぁ、だからといってその指摘が善意という保証はないですが、少なくとも指摘を受けた側で社内的にどうにかしやすかったりはしますよね。

もっとも今回のケースは一般的倫理や（世間一般のレベルで）ちゃんと相手と意思の疎通ができるとかって、人として最低限の部分に問題があったんじゃないかと思わなくもないですが。

でも、これを契機として法に裏打ちされた「士」制度なんかができるとセキュリティ関連技術者一般の社会的地位の向上にも役に立つんでそっちの方面に話が展開してくれるといいですね。

セキュリティ関係の資格だと「ISMS」とか「NISM」なんてのが既にありますが……。この手の資格じゃダメなんですかね？

例えば医者なり弁護士なりの、他人のプライバシーに触れる事のある業種ってのは、契約としてではなく業としての守秘義務がある訳。病院では一々診察前に守秘義務契約なんかしないでしょ？

ということは、プライバシーに触れる内容の相談窓口として機能していたはずのACCSと件のCGIも同様、守秘義務があったと解釈可能ではないですかね。守秘義務違反をしている事を公の場で証明された、というのはどうなんですかね。
医者が患者のカルテを自分のウェブサイトにアップロードしていた、それを閲覧可能だよと実際にアクセスできるところを公の場で見せて証明した。そして一方的に罰せられるのは守秘義務違反を訴えた側。訴える事ができるのも免許を持ってる人間だけ。免許が無ければ泣き寝入りしなくてはならない? どう考えてもおかしい話だと思います。

# 別にoffice氏の行為に全面賛成するわけじゃないですけども

>ということは、プライバシーに触れる内容の相談窓口として機能していたはずのACCSと件のCGIも同様、守秘義務があったと解釈可能ではないですかね。
>守秘義務違反をしている事を公の場で証明された、というのはどうなんですかね。

直接案件とは関係無いと見なすべきでしょう。

少なくともoffice氏はそれにより被害を受けていないって事は、当然、被害者としての権利を得ていない訳ですから。

＃ってか、被害者でも無い者が確か勝手に被害者面するのも法律的には不味かった筈。

少なくともoffice氏はそれにより被害を受けていないって事は、当然、被害者としての権利を得ていない訳ですから。

私はそこが問題だと思うんですよね。
守秘義務の話が出てたので、今回のACCS側の方の守秘義務はどうなんだと思ったんですが、結局親告罪なんですよね? かといって被害にあってる事に気付いてない人を見過ごすわけにもいかないでしょう。お節介を焼く必要は無いと言われればそれまでですが……
office氏の行動を全面的に支持するとは言いません。でも、office氏がいなければACCSから今も個人情報を盗める状況にあったんじゃないんですか? そのことを鑑みずにはこの問題は考えられない、考えてはいけないと思います。
加害者が被害者面して許される状況だけは打破する必要があると考えます。
逮捕する相手も、免許制を議論すべき相手も、本当にoffice氏側なのかと。

全くの別項目でしょう。

誰もが他人の粗探しをする権利はある。
しかし、それらは全て合法的手段で行わなければ意味がない。
それは民主主義法治国家として最低限のモラルですよ。

ACCSの守秘義務違反なんて現状では、状況証拠を持って騒いでいるだけ。
一切法律的判断が成されていない状況なのですから。
その状況で何かして良いと考えるのは、私刑を禁止する法の精神に反します。
＃国民はoffice氏に司法権を与えてはいません。

そしてACCSからすればoffice氏は明らかに一方的な加害者なんですが。
故に、ACCSが「office氏を相手に」被害者面をした所で別に何も問題は無い筈ですが。

それにACCSでも根本原因はCGIの不備にある事は認めてましたよね？
では、問題は無いと思うのですが？

ACCSへの加害責任はoffice氏にある。
情報流出者への加害責任はACCS（と直接加害者のoffice氏）にある。
ただそれだけの事を無理に一緒にしようとしているだけでは？
流出被害者はACCSを訴えられるのと同様、直接加害者としてoffice氏も訴えられるんですよ。

再三お付き合いいただきありがとうございます。

ACCSは加害者であると同時に被害者でもあるということですね。
それは納得します。

しかし、被害者の面だけが強調されてる状況、被害者としてだけ法的判断がくだされようとしてる状況は納得できません。
このままでは同じような事があった場合、誰かが実際にデータを盗み出すまで放置して、自分が被害者になるのを待った方が得になってしまいませんか?
被害にあいました、不備を認めました、謝りました、問題ありません、悪いのはデータを盗んだ人です。
これでは安心して生活できないと思うんですよねえ。

> ACCSは加害者であると同時に被害者でもあるということですね。

加害責任があるということと加害者ってのはちょっと違うような気がする。

> しかし、被害者の面だけが強調されてる状況、被害者としてだけ法的判断がくだされようとしてる状況は納得できません。
> このままでは同じような事があった場合、誰かが実際にデータを盗み出すまで放置して、自分が被害者になるのを待った方が得になってしまいませんか?

ちゃいます。たぶん、この場合（問われるとしても）ACCS が問われるのは善管注意義務ぐらいのものです。

それがどの程度問われるのかは時代や背景によって異なるので一概には言えませんが、世間一般の感覚からいえば今回のケースでは明確に善管注意義務違反を追求するのは難しそうな気がします。

もちろん民事は別で「公開されて被害を受けた人」が ACCS に損倍を求めることは可能でしょう。でも、その分は ACCS が河合容疑者に損倍を求めることになるから ACCS の持ち出しにはならなないんじゃないかな。

>しかし、被害者の面だけが強調されてる状況、被害者としてだけ法的判断がくだされようとしてる状況は納得できません。

そうですか？
だってその判断って裁判所がするのだから未だに判断されていないんだと思うのですが？
そういうのは法廷で弁明すれば良いんで、訴える方には関係ないんではないかと。
実際、被害届が受理されるか怪しい時には一通り出しておくってのも当然の方法だろうし。

>被害にあいました、不備を認めました、謝りました、
>問題ありません、悪いのはデータを盗んだ人です。
これでは安心して生活できないと思うんですよねえ。

そういうものの為に個人情報保護法があるんでしょこちらも賛否はあれど。

それに今回の件だって別に流失被害者が損害賠償請求を出来ない訳でもないでしょうし。
まあ、現実には裁判してプラスになるかどうか？ですが。

＃いや、悪いのは盗んだ本人ってのもある意味真理だと思うけど。
＃犯罪者だけ徹底排除して後は出来るだけオープンにってのも有効な一つの考えでしょう。

>しかし、被害者の面だけが強調されてる状況、被害者としてだけ法的判断がくだされようとしてる状況は納得できません。

そうですか？
だってその判断って裁判所がするのだから未だに判断されていないんだと思うのですが？
そういうのは法廷で弁明すれば良いんで、訴える方には関係ないんではないかと。
実際、被害届が受理されるか怪しい時には一通り出しておくってのも当然の方法だろうし。

なるほど、結局は裁判になるまでわからないということですか。
それならじっくりと行方を見守る事にします。

裁判でうまいこと両方の責任がバランス良く判断されるといいのですが。

仮に免許があっても、えらいひとの都合が悪くなると免許剥奪するんじゃないですか。
# もちろん罪状は不正アクセス。

全ての免許制にはその懸念が付き纏いますが、それをもって免許自体が無意味とは普通は判断しないかと。
つまりは、往々にしてそれ以上の利益があるって事。

大体において、「セキュリティ専門家」を「自称」すれば不正アクセス禁止法に抵触しえる行為を行うことも、他人の情報を漏らしまくる事も問題なしとされる状況の方が圧倒的に危ないと思いますが。