yourCatによる
2004年02月04日 14時30分の掲載
後味悪い部門より。
後味悪い部門より。
たくさんのタレコミの中から、Ryo.F曰く、"既に/.Jでも話題に上がっていた、社団法人コンピュータソフトウェア著作権協会 (ACCS) の個人情報流出事件 (ACCS事件) に関連し、不正アクセス防止法違反と威力業務妨害の容疑でoffice氏が逮捕された (毎日新聞の記事、朝日新聞の記事)。
前者については、不正に個人情報を入手・公開したことがそれに当たる。入手した個人情報を公開してしまったのは行き過ぎだが、本当に「不正に入手」と言えるのか、という疑問がある。
後者については、後者は前者によりACCSがサイトの一部が閉鎖に追い込まれたことがこれに当たる。しかし、氏が公開しなければ閉鎖しなかったのか、という問題がある。"
|
|
関連ストーリー
この議論は賞味期限が過ぎたので、保存されている。
新たにコメントを書くことはできない。
|
|
XSS脆弱性を発見したばあい (スコア:5, 興味深い)
・メールで脆弱性について伝える。
という方法がベター(電話ならベスト)である。
しかしながら、企業の対応はまちまちである。
1.無視をする
まだ貴方しか知らないんだからほっとこう
2.逆切れ
金でもゆすろうって言うのか?
不正アクセスで訴えるぞ!
3.黙っててください
状況把握しました、でも変え(られ)ないので黙っていれば誰にもばれません
4.即座に修正する
こりゃやばい、ありがとう直しておきます。
おおよその対応は1,3である
この場合このメールはほぼ意味を成さない。
2の場合己の社会的立場を危うくする場合がある。
4の場合はかなりまれなケースである
だからまずありえない
ここで問題になるのは
・企業が集めたデータを保全をする義務が無いということ
→つまり外部からアクセスされた場合不正アクセス法で訴えればいい
物騒な話である。
セキュリティーが確保されているか安心できなければ迂闊にアンケートにも答えられない世の中です。
しかも穴だらけのシステムを堂々と使っていても問題ないと来ている・・・ばかげていると思いませんか?
有無自在
Re:XSS脆弱性を発見したばあい (スコア:3, 興味深い)
しかもofficeこと河合容疑者は発見したセキュリティホールを
ACCSやレンタルサーバ業者などに連絡するよりも前に
A.D.200Xというイベントで不正アクセスによって得た個人情報を晒した上に
個人情報を含む資料を無線LANで自由にダウンロードできる形で会場内で配布していました。
個人情報漏洩でACCSが謝罪した昨年11月にはセキュリティイベントのことは知らされていませんでした。
これが後になって判明し、そこでofficeに協力的だったACCSも態度を変えたし、
改めて1月4日の朝日新聞の記事となったのです。
従って彼のケースを以てして一般論に話を持っていくのは間違いです。
なんでこう話を別に逸らそうとする人が多いのだろう。
親コメント
Re:XSS脆弱性を発見したばあい (スコア:1)
今回の件はXSSじゃありません。脆弱性はXSSだけじゃありません。
親コメント
Re:XSS脆弱性を発見したばあい (スコア:1)
む、そうだったか、んじゃオフトピですな。
>脆弱性はXSSだけじゃありません。
当然です。
有無自在
親コメント
Re:XSS脆弱性を発見したばあい (スコア:1)
セキュリティーが確保されているか安心できなければ迂闊にアンケートにも答えられない世の中です。
>しかも穴だらけのシステムを堂々と使っていても問題ないと来ている・・・ばかげていると思いませんか?
実はあまり思わなかったり(笑)
世の中、完璧を目指すのは余りにハイコスト過ぎるって場合がままあります。
まあ、金に直結する場合はそうも言えないでしょうが、そこでコケても所詮はその企業なりの評判が落ちる程度の話であれば、それこそ担当者の裁量ってもんでしょう。
実際、それ以上の問題になるものであれば、それこそ個別に裁判となり、それによる出費が嵩みセキュリティ対処費用の方が安いとなれば、その時点で状況は変わるでしょう。
親コメント
Re:XSS脆弱性を発見したばあい (スコア:1)
脆弱性への対応ですけど,つまるところ,セキュリティは技術だけの話じゃない,ってことだと思うんですよ.
今回の件にしても,office氏とACCSとASK ACCSのユーザとではそれぞれ立場や利害が違うわけで.それぞれにとって何が最優先であるか(アジェンダ)を勝手に想像すると,
- office氏: セキュリティホールをタレこむこと.それ以上の目的があるかどうかは不明.publicity目的,てのは十分ありえると思うし,結果的にそれが今回の「やりすぎ」につながったとも言えるかも.
- ACCS: 自分の立場・評判を守ること.個人情報を預けた人に対しては責任があるので「漏れてません」と言えなくてはならないが,世間的には「穴なんてありません」ということにして,自分の評判が下がらなければそれでOK.
- ユーザ: ACCSのサービスを受けられることが最優先.個人情報が抜かれることをどの程度気にするかは,多分に人による.
だから,office氏がACCSに対して穴の指摘をしても最初は取り合わなかったのは,ACCSの立場を考えればわかる.だって,office氏がASK ACCSのユーザでない限り,office氏はACCSにとっての利害関係者じゃないし,穴の存在が広く知られてアタックされて巷でのACCSの評判が落ちでもしない限り問題はないわけだから.で,一般論として,どこぞのシステムに脆弱性を発見した場合にどうすればいいか.発見者がそのシステムの利害関係者でなければ,直接言ったところで上と同様の理由により「無視をする」「逆切れ」「黙っててください」となる,と想像できる.穴を塞ぐのにかかるコストに見合うだけのメリットがないんだから.
となると,可能性のある方法は,「利害関係者を巻き込む」「システムの評判を落とす」などの手で,動かざるをえないようにするか,あるいはもう「自分には関係ない」と思って諦めるか,のどっちか,でしょうね.「システムの評判を落とす」ってのは名誉毀損になるという危険が大なので注意.あとは自分のアジェンダに従ってお好きな方法をどうぞ.
技術屋として,そこに穴があったら塞ぎたい,と思うのは人情だけど,相手が何を求めてるかよく考えて動かないとうまくいかないんじゃないかな,てのが私の結論にならない結論.
親コメント
Re:XSS脆弱性を発見したばあい (スコア:1)
> 『買物客の安全をなんだと思っとるんじゃーっ!』
> 『コンビニ強盗が多発してるのは知ってんだろーっ!』
>
>って吠えてきてくれる?
いつぞや刃物持って飛行機乗っ取って機長刺しちゃったキチ○イな人もそんなこと言っててやっちゃったんですよねぇ。
親コメント
ネットとリアルの違い (スコア:1)
ネットアンケートの結果:簡単にほとんどコストがかからずに複写可能。管理も容易。
親コメント
Re:XSS脆弱性を発見したばあい (スコア:1)
彼からのメールは着いて(通じて)るわけで、こっち向きの連絡は成功してるんですよね。
ACCSから見たら、重要なことだ(と思った)から返事したのに、それが届いたかどうか確認していない。
そして、実際に届いて(読まれて)いなかった。
どっちが「連絡方法がメールしかないって思ってる」んでしょ?
親コメント
Re:いやそれはちょっと (スコア:1)
重要だと思ってたら、メール以外の方法でも連絡を取ればいいわけでしょ。
親コメント
Re:XSS脆弱性を発見したばあい (スコア:1)
件のスクリプトを製作した会社とやり取りをしていたが(彼主観で)遅々として話が進まなかったために、
グレて、今度集会があるから晒してやろうと同社のスクリプトを使ってるサイトを探したところ、
ACCSのサイトを発見して「こりゃいいネタだ」とばかりに集会で公開したんです。
ACCSに連絡したのは、集会のあとなんです。
で、返事がこねぇってのは(#488660)の状況だったわけ。
親コメント
サイトを閉鎖に追い込んだ? (スコア:3, 興味深い)
と毎日の記事(読売の記事 [yomiuri.co.jp]にも、類似に記述あり)とあるのですが、彼の目的はサイトの閉鎖にあったのでしょうか。サイトを長期にわたって閉鎖しているのはACCSの判断であって、この件を「威力業務妨害」としたり、まるでサイトの閉鎖を目的とした攻撃だったように報道するのは、問題ではないでしょうか。
「不正アクセス禁止法違反」はともかく、「威力業務妨害」で逮捕されたのは、ちょっとびっくりしています。
Re:サイトを閉鎖に追い込んだ? (スコア:2, 参考になる)
この場合、問われるのは行為の結果であってその目的がどこにあったかではないのです。
もともとが法的に合理性のある行為の場合は「威力業務妨害」での立件が望ましくない場合もありますが(こっそり教えてあげた結果自分の判断で閉鎖したとか)、余所で騒いだこととサイト閉鎖との因果関係が十分にあり、被害を受けた側が「業務を妨害された」と言えば、『威力業務妨害の疑い』は十分になります。
そういえば、この件では『逮捕』となってるってことは警察の逮捕請求に対して東京地裁は「逃亡」や「証拠隠滅の恐れがある」って判断したんでしょうね。
まぁ、逃亡はなさげですから「証拠隠滅の恐れ」があったってことなのかなぁ。
親コメント
Re:サイトを閉鎖に追い込んだ? (スコア:1)
確かにその因果関係はあります。
しかし、余所で騒がずに、サイト管理者にだけ通知していたとしたら、サイト閉鎖は避けられたんでしょうか?それはないと思います。
直接の原因は、セキュリティホールがあったことで、きっかけとなったのがoffice氏による指摘、というのが正しい表現だと思います。
親コメント
Re:サイトを閉鎖に追い込んだ? (スコア:1)
ずいぶん甘いなぁ。普通は個人情報流出のリスクを最小に押さえるために、サイトを一時閉鎖して、CGIなり認証設定なりの修正した後、サイト再開、というのが普通でしょう。
ま、1200人なら個人情報が流出しても、賠償額は多寡が知れてるからサイトを閉鎖しない、という判断もあるかもしれませんけどね。
親コメント
Re:サイトを閉鎖に追い込んだ? (スコア:1)
この流れで技術的に云々するのはあまり意味があることではないような気がします。
「閉鎖」の直接の要因は「修正のため」ではなくて「信用が棄損された」ためでしょう。特に ACCS の相談サイトということを考えれば「そこだけ工事中にすればOK、見に来る人はそのぐらいわかるよね」は通じないでしょう。
ちょっと前の個人認証のストーリーの時にも思ったんですが、社会的な枠組みで捉えなければならないことは「技術的にはこうだ」ってことと「法的に戦って勝てる強さが必要」ってことは明確に区別されなければならないと思います。
技術って利用者あっての技術なんですからテクニカルな部分だけに視点を向けるとズレちゃいますよ。
親コメント
Re:サイトを閉鎖に追い込んだ? (スコア:3, おもしろおかしい)
変な牛作るなよぅ…
親コメント
Re:サイトを閉鎖に追い込んだ? (スコア:1)
>>性なのよ。
>変な牛作るなよぅ…
勤務時間中に読んで、爆笑しそうになった。
牛柄のマシンでBSDが動いているのを想像したり、デーモン君の
フォークで飼葉をかき集めて荷車に載せてる姿が思い浮かんだり…
まぁ、どっちも角と尻尾がありますから…
----------------------------------------
You can't always get what you want...
親コメント
Re:サイトを閉鎖に追い込んだ? (スコア:1)
そいつはどっちかと言うと偽計業務妨害(233条) [annie.ne.jp]に当たるような気がしますが……
-- Written by D.Matsuzaka
親コメント
Re:サイトを閉鎖に追い込んだ? (スコア:1)
>そいつはどっちかと言うと偽計業務妨害(233条) [annie.ne.jp]に当たるような気がしますが……
偽計じゃなかった場合(誰がどう食べてもまずい場合)(^^;にはどっちかっつーと名誉棄損かな。
名誉棄損であれば事実の指摘であっても大丈夫(だったはず)。
親コメント
Re:サイトを閉鎖に追い込んだ? (スコア:1)
親コメント
まとめ (スコア:3, 参考になる)
対応が終わった段階で公表するのが暗黙のルール
・今回のoffice氏の場合、ACCSに通知する前にAD200Xという
ハッカーグループの会合でこのセキュリティホールを公表
して、かつ実際の個人情報が載った資料も公開した
・その後office氏からセキュリティホールを通知されたACCSは
当初はoffce氏を協力者として友好的に扱っていた
・ところがoffice氏が事前にセキュリティホールと個人情報を
公開していたことが分かったため怒りまくってoffice氏を告訴
・さらに公開された個人情報は全て破棄されたとAD200X関係者
が説明したにもかかわらず、2ちゃんねるのアップローダで
アップロードされてACCS再激怒
・ついにoffice氏が逮捕
officeがやった実際の手法
・ACCSの投稿フォームで投稿内容の最終確認のため投稿内容を表示するCGIを利用
・投稿内容を表示するCGIの引数にそのCGI自体を入れると、CGIのバグで
CGIのソースが表示される
・そのソースを見て投稿内容が格納されるファイル名を確認する
・今度は投稿内容を表示するCGIの引数に投稿内容が格納されるファイル名を入れると、
CGIのバグですべての投稿内容が表示される
社会的制裁による見せしめとメディアの機能不全 (スコア:3, 興味深い)
実態と報道から受ける事件の印象に大きな差違があると思うのですが、脆弱性のあるプログラムを制作、管理、運営して個人情報を危険にさらした側の責任はほとんど表に出ること無く office 氏がスケープゴートに上がって社会的制裁まで加えられた感じです。
ざくっと見て明らかにおかしいのは
報道内容が一方的な情報に基づく物である事は毎日や NHK を見れば分かる通り。毎日の記事に至っては歪曲と言える可能性もあるのでは。
その上で本人の氏名、容姿が晒され大学側のコメントまで引っ張り出し親類筋も調べ上げる。
また逮捕前の全国紙一面に逮捕後の NHK とここまで扱いが大きいと反論の場が無くなる上に社会的制裁に繋がっている訳で。
恣意的な力が働いたのか何なのかは知りませんが、ここまで見事に一方的な情報を検証能力を働かせずに受け入れ全国規模で報道し、結果として社会的制裁を加え見せしめとしている辺り、かなり危機的な機能不全の一端を見たような気がするのですが。。
と /. 的重大ニュースだと思うのですが、なんつーか、、コメント見てると、、
# 誰か経緯を英訳して本家に投稿希望。
Re:社会的制裁による見せしめとメディアの機能不全 (スコア:1, 興味深い)
ACCSのやった事(やらなかった事):倫理的、社会的に褒められる事ではないが、犯罪ではない
のですから、当然の対応だと思いますが。
これを「報道内容が公正を欠く」と考えているのであれば、あなたの公正が社会的な公正と同一かどうか、どの程度違いがあるのかを再考してみるのが良いと思います。
親コメント
Re:社会的制裁による見せしめとメディアの機能不全 (スコア:1)
何の罪に問われるの?
という疑問がこのストーリーのそこかしこにあると思いますが。
私は、現行法上は犯罪ではないと思います。
法律が現実に追いついていないのです。
親コメント
Re:社会的制裁による見せしめとメディアの機能不全 (スコア:1)
法律の不備によりグレーゾーンになっているだけで、本来はもう少し明確に禁止しても良いと思う。
普通、他人のセキュリティホールを「突く」理由は無い筈なんですから。
親コメント
今回の件に関する高木氏のコメント (スコア:3, 参考になる)
オペレータが知っておくべき,インシデントハンドリングとは
第4回 復:~インシデントから復旧する~
2004.02.04 13:30-17:00 大手町サンケイプラザ
でのパネルディスカッション「xSPのセキュリティの未来」にて。
参加者
モデレータ:佐野晋(JPRS, JPNIC, JPCERT/CC)
パネリスト:
伊貝耕(警察庁情報通信局技術対策課サイバーテロ対策技術室)
高木浩光(産総研)
西尾秀一(NTTデータ)
三膳孝通(IIJ)
山口英(JPCERT,JPNIC, 奈良先端大)
会場からの質問:
Q.京大の研究者が逮捕されたが,同様のことをしている他の人とどこが違うのか
A.伊貝:NHKで見ただけなのでわからない。威力業務妨害については,被害者の意識が無ければならないから, ACCSが「被害者意識」があったのかも知れないが
A.高木:一般的には,バッファオーバーフローさせて指摘するのはどうか。犯罪にならない,HTMLソースを見て理論的に指摘できる場合もある。その中間で,URLを手で入れることで名簿が手に入る,という場合もある。放っておくと,事業者は不正アクセスされたと言い訳して逃げるし,見つけた人は見てみない振りをするようになる。そうならないようにするには(交番に届け出るような)公的機関の介入が必要なのではないかと思っている。
#入手経路の都合で絶対AC。
Re:要は、河合一穂起訴に賛同の意見 (スコア:1)
よくわかんないけど、質問に対しての回答だから口が滑ったって気もする。
言いたかったのは後半部分でしょ。
と、思いたいなぁ。
親コメント
逆に (スコア:2, すばらしい洞察)
京都府警ハイテクなんちゃらに相談すればよかったのに。
犯罪性 (スコア:2, 興味深い)
研究成果として不正アクセスの具体的方法を示すこともいいですし、脆弱性を持っていたサイトの例として ACCS を挙げることもいいでしょう。しかしその双方を結びつけて発表することは犯罪の助長にほかならないでしょう。今回の犯罪性はここにあるのだと思います。
さらに得られた本物のデータを公表したことについては言うまでもありません。
Re:犯罪性 (スコア:5, 興味深い)
>こともいいですし、脆弱性を持っていたサイトの
>例として ACCS を挙げることもいいでしょう。
>しかしその双方を結びつけて発表することは犯罪の
>助長にほかならないでしょう。今回の犯罪性はここに
>あるのだと思います。
いいたいことはわかるんだけど、今回の逮捕劇で問題だと
感じるのが、「不正アクセス禁止法」違反容疑ならびに
「ACCSサイトを閉鎖させた威力業務妨害」となっていること…。
つまり、その「犯罪性があるかないか」には関係無く、
同様の指摘は全て逮捕される可能性があるぞとされたこと。
これが、個人情報を流出させたこと(と、それにACCSが対応する
はめになった損害)一点のみについて罪を問われているのであれば、
違和感というか恐怖感は無かった。
親コメント
Re:犯罪性 (スコア:1)
今回の逮捕はみせしめという感じはしています。しかし適切な法律があれば逮捕されてしかるべき行為をしているとも思っています。
親コメント
Re:犯罪性 (スコア:1)
親コメント
Re:犯罪性 (スコア:1)
停止しただけで今回と同様に逮捕される可能性があるわけで,
心当たりのある人は結構いるのでは?仮に起訴されなくても
これだけ個人情報をマスコミにばらまかれる可能性があるわけですよ.
これからはセキュリティホールの指摘には逮捕されて個人情報が
公開されてしまう覚悟がいるということですよね.今回の逮捕要件を
上手くかわす方法があればあれば良いんでしょうが,無いでしょうねえ.
親コメント
無い (スコア:1)
それは無いでしょう。
まともな方法で連絡・実証をしていれば。
少なくとも直接相手側にアクセスしないで実証サーバでも作れば不正サクセス禁止法には抵触しないし、他所で騒がず相手側担当者に通達し、相手側担当者がサービスを停止するなら威力業務妨害にはならない。
単にそれだけの事でしょ?
>これからはセキュリティホールの指摘には逮捕されて個人情報が 公開されてしまう覚悟がいるということですよね.
違う違う。
暴走して犯罪に走れば、そりゃ捕まるし個人情報が公開されるってだけの話。
強いて短く纏めれば、
「法律は守りましょう」
だけだと思うんですが。
親コメント
Re:無い (スコア:1)
> 他所で騒がず相手側担当者に通達し、相手側担当者がサービスを
> 停止するなら威力業務妨害にはならない。
今回のケースで、他所で騒いで、相手側担当者がサービスを停止したら、威力業務妨害にあたるの?
親コメント
Re:無い (スコア:1)
「名誉毀損」による圧力行為はそれだけで軽く問題行為(ってか自分達の公共の利益性を法的に認定されない限りは有罪)なんで、当然、それにより業務に支障が発生し、損害が出たとなれば「威力業務妨害」そのものとなりますが。
なんたって単純な犯罪被害になってしまうわけで。
親コメント
Re:犯罪性 (スコア:2, 興味深い)
> 列を与える」事で動くので、この文字列を一種の「アクセス制御
> 機構」とみなす事も出来るじゃないかなぁ。
それはCGIに限った話じゃなくて、WWWのURL全般に言えてしまう話ですよね。
特定のファイルを閲覧するために特定の文字列(URL)が必要なんですから。
で、その文字列をアドレスバーに入れてファイルを見たら不正アクセス? そんなバカな。
親コメント
Re:犯罪性 (スコア:1, 興味深い)
恐ろしいことに、どこにも公開されていない秘密のURL=パスワードという考え方があるんですよ。信じがたい。
親コメント
Re:犯罪性 (スコア:1)
親コメント
Re:犯罪性 (スコア:1, 興味深い)
外部からのペネトレーションテストを行う人員は
いっそのこと免許制にして資格のある人・団体しかできないとか。
IT関係の資格って危険物の取り扱いや医療行為の現場と違って
「それが無いと仕事ができない」というものが
皆無なので、こういうものこそ、って常々思うんですが。
親コメント
Re:犯罪性 (スコア:2, すばらしい洞察)
> いっそのこと免許制にして資格のある人・団体しかできないとか。
あるいはそれこそが狙いなのかも、と一瞬妄想しました。
・どんな理由があろうと無免許のペネトレは罪として扱うよ
↓
・免許が欲しかったら○○省外郭団体管轄のこれこれこういう免許とってね
↓
・天下り先が一つできてウマー
いや、だって、今回の件で(個人情報を流出させたことではなく)不正アクセス扱いで
逮捕するっのて、不正アクセス禁止法の適用前例を作りたかっただけとしか思えない
し、じゃあこの件を前例にして何が嬉しいかっていうと上のような流れがどうしても
ちらついてしまう……。
親コメント
Re:犯罪性 (スコア:2, おもしろおかしい)
> 流れがどうしてもちらついてしまう……。
あ、もう一つあった。
・これを前例として田中康夫をパクりたい/黙らせたい
親コメント
Re:犯罪性 (スコア:1, すばらしい洞察)
親コメント
Re:犯罪性 (スコア:1, 参考になる)
刑法の規定で
というのがあって、むしろ犯意が無いのに処罰される方が特例的な扱いなんだが。たとえば過失致死なんかは刑法210条で明記されているので罪に問われるけど、犯意がある場合(要するに殺人)は死刑又は無期若しくは3年以上の懲役であるのに対して、過失致死だと50万円以下の罰金と、格段に量刑も軽くなっている。
ちなみに
というのもあるので、刑法ではなく不正アクセス防止法であっても適用され、不正アクセス防止法に「過失の場合も罰する」という規定が無い以上、故意でなければ処罰されないと考えるのが適当。親コメント
Re:故意かどうかの判断 (スコア:1)
セキュリティ上の指摘を行う為に「故意に」穴を突いた訳だから。
穴を見つけた事が偶然であっても、穴を探す為にそれを行っている(例えばパスワード総当り)のは「偶然」ではなく「故意」。 故意でないってのは、例えばURLを入れようとして手が滑ってとか、穴を探す意思が無い状況を挿す。
ってよりセキュリティチェックの為のアクセスならその時点で故意確定だと認識しないでどうするって気も。
バグ次第では相手のデータを壊す可能性すらあるってのに。
親コメント
Re:故意かどうかの判断 (スコア:2, すばらしい洞察)
>という話です。
元々相手の全てのサービス破壊のリスクを背負う覚悟が必要な筈なんですが。
>そうなることが予測される以上、親切な通告者が期待できなくなる分、サイト管理者も大変になるよねと。
そういう事をするなって法ですから。
実際、興味本意のセキュリティチェックも犯罪目当てのアタックも、管理者から見れば一緒。
いや、前者が野放しにされているとその分、実際の攻撃が見分け辛い。
また、実際に犯罪目当てであっても「セキュリティチェックの為」と言い逃れが出来、実際攻撃し放題となる。
となれば、実際に無関係なものからのセキュリティチェックを目的としたアクセス自体も制限した方が安全という可能性は否定出来ない。
つまりは基本的には当事者以外触るなって事なんでしょうね。
まあ、妥当性のある考えだと思いますよ。
普通の第三者にはそういう事をする理由が無い筈だし、実際にきちんとした契約で使用しているものには契約に基づいた権利により合法的に監査を求める事が出来る。
勿論サービス提供側がサービス向上の為にやっても良い。
が、他人はやるなと。
サイト管理が苦労しようが、穴があるのが増えようが、別に他人が心配する必要もない。
酷いのは淘汰されるだろうし、それが致命的なら改善されるだろう。
どちらでも無いのに継続しているのは別段大した問題では無い奴だろう。
親コメント
Re:犯罪性 (スコア:1)
いっそのこと免許制にして資格のある人・団体しかできないとか。
それ以前に、セキュリティを保証する第三者機関が必要だと思ったら、既に、プライバシーマーク [privacymark.jp]なんてのがあった。
しかし、登録企業はごく僅か(勿論ACCSも登録されていない)だし、間接的に認定を与える団体に至っては、僅か4機関。それに、認定費用も結構する。これじゃ、普及しないなと。
本来なら、この手の機関(それも一般企業が望ましい)が一杯あって、各個で顧問サイトの安全性を保証する仕組みになってしかるべきだと思う。その上で、第三者の安全性保証の無いサイトへは、個人情報入力なんて論外とする風潮が出来れば、大穴の空いたサイトを撲滅出来るのでは無いかと。
で、その保証/監査機関が多数あって、競争しつつビジネスを行うなら、必然的に何らかの資格とかも出来て、それなりの権威を持つ様になるのでは無いかな。
-- Buy It When You Found It --
親コメント
Re:免許制は是非に欲しい (スコア:1)
電気通信に携わる資格はない、という話かと。
-- Tig3r on the hedge
親コメント
Re:免許制は是非に欲しい (スコア:2, 興味深い)
あ、そこが一番重要。
例えば医者なり弁護士なりの、他人のプライバシーに触れる事のある業種ってのは、契約としてではなく業としての守秘義務がある訳。病院では一々診察前に守秘義務契約なんかしないでしょ?
でもって、卑しくも公共の利益の為のセキュリティの専門家を名乗る人間が、その程度の気を回す事も出来ないって事実が、「自称」は問題だなって思う大きな原因です。
まあ、それ以前として他人のプライバシーに掛かる情報を勝手に公開しちゃあいけないってのは、ネチケット云々を持ち出すまでもなく社会人としてのあまりに当たり前の判断だと思いますけどね。
親コメント
Re:免許制は是非に欲しい (スコア:1)
> でもって、卑しくも公共の利益の為のセキュリティの専門家を名乗る人間が、その程度の気を回す事も出来ないって事実が、「自称」は問題だなって思う大きな原因です。
この分野で「士」って付くのだとやっぱり技術士 [engineer.or.jp]かなぁ。
情報部門って現行のくくりだとおおざっぱすぎるからセキュリティ部門とか作るべきってことなのかなぁ。
なんか「技術士(セキュリティ部門)」ってのがあったほうがいいような気がしてきた。
親コメント
Re:免許制は是非に欲しい (スコア:1)
>情報部門って現行のくくりだとおおざっぱすぎるからセキュリティ部門とか作るべきってことなのかなぁ。
この技術士でもそうですが、基本的にはそういう他社のプライバシーに触れる業務に付く資格には 法に明記された義務 [engineer.or.jp]があり、それにより顧客はある程度の安心を得る事が出来る訳で。
でもってやはり自社なり他者なりのプライバシーを含むサイトに触れるセキュリティ関係者がその手の縛りを受けないとされる理由も無い、と言うより、前者が法で明記されなければならない理由によりこちらも法で明記的に制限しなければならないと思います。
それが無い現状では個々の契約で保全をするって事になるのでしょうが、これがセキュリティの押し売り相手だと「元々契約が無い」という事により自己防衛が一層難儀になってしまいます。
親コメント
Re:免許制は是非に欲しい (スコア:1)
> それが無い現状では個々の契約で保全をするって事になるのでしょうが、これがセキュリティの押し売り相手だと「元々契約が無い」という事により自己防衛が一層難儀になってしまいます。
そうですねぇ。
指摘を受けた側でも指摘してきた相手がどんな人物だかわからないと疑心暗鬼になってしまったり本来建設的な方向で収まるはずの話も収まらなくなったりしますしねぇ。
その意味ではある程度法的に責任がはっきりしているような制度が必要ですよね。
まぁ、だからといってその指摘が善意という保証はないですが、少なくとも指摘を受けた側で社内的にどうにかしやすかったりはしますよね。
もっとも今回のケースは一般的倫理や(世間一般のレベルで)ちゃんと相手と意思の疎通ができるとかって、人として最低限の部分に問題があったんじゃないかと思わなくもないですが。
でも、これを契機として法に裏打ちされた「士」制度なんかができるとセキュリティ関連技術者一般の社会的地位の向上にも役に立つんでそっちの方面に話が展開してくれるといいですね。
親コメント
Re:免許制は是非に欲しい (スコア:1)
親コメント
Re:免許制は是非に欲しい (スコア:1)
医者が患者のカルテを自分のウェブサイトにアップロードしていた、それを閲覧可能だよと実際にアクセスできるところを公の場で見せて証明した。そして一方的に罰せられるのは守秘義務違反を訴えた側。訴える事ができるのも免許を持ってる人間だけ。免許が無ければ泣き寝入りしなくてはならない? どう考えてもおかしい話だと思います。
# 別にoffice氏の行為に全面賛成するわけじゃないですけども
親コメント
Re:免許制は是非に欲しい (スコア:1)
>守秘義務違反をしている事を公の場で証明された、というのはどうなんですかね。
直接案件とは関係無いと見なすべきでしょう。
少なくともoffice氏はそれにより被害を受けていないって事は、当然、被害者としての権利を得ていない訳ですから。
#ってか、被害者でも無い者が確か勝手に被害者面するのも法律的には不味かった筈。
親コメント
Re:免許制は是非に欲しい (スコア:1)
守秘義務の話が出てたので、今回のACCS側の方の守秘義務はどうなんだと思ったんですが、結局親告罪なんですよね? かといって被害にあってる事に気付いてない人を見過ごすわけにもいかないでしょう。お節介を焼く必要は無いと言われればそれまでですが……
office氏の行動を全面的に支持するとは言いません。でも、office氏がいなければACCSから今も個人情報を盗める状況にあったんじゃないんですか? そのことを鑑みずにはこの問題は考えられない、考えてはいけないと思います。
加害者が被害者面して許される状況だけは打破する必要があると考えます。
逮捕する相手も、免許制を議論すべき相手も、本当にoffice氏側なのかと。
親コメント
Re:免許制は是非に欲しい (スコア:1)
誰もが他人の粗探しをする権利はある。
しかし、それらは全て合法的手段で行わなければ意味がない。
それは民主主義法治国家として最低限のモラルですよ。
ACCSの守秘義務違反なんて現状では、状況証拠を持って騒いでいるだけ。
一切法律的判断が成されていない状況なのですから。
その状況で何かして良いと考えるのは、私刑を禁止する法の精神に反します。
#国民はoffice氏に司法権を与えてはいません。
そしてACCSからすればoffice氏は明らかに一方的な加害者なんですが。
故に、ACCSが「office氏を相手に」被害者面をした所で別に何も問題は無い筈ですが。
それにACCSでも根本原因はCGIの不備にある事は認めてましたよね?
では、問題は無いと思うのですが?
ACCSへの加害責任はoffice氏にある。
情報流出者への加害責任はACCS(と直接加害者のoffice氏)にある。
ただそれだけの事を無理に一緒にしようとしているだけでは?
流出被害者はACCSを訴えられるのと同様、直接加害者としてoffice氏も訴えられるんですよ。
親コメント
Re:免許制は是非に欲しい (スコア:1)
ACCSは加害者であると同時に被害者でもあるということですね。
それは納得します。
しかし、被害者の面だけが強調されてる状況、被害者としてだけ法的判断がくだされようとしてる状況は納得できません。
このままでは同じような事があった場合、誰かが実際にデータを盗み出すまで放置して、自分が被害者になるのを待った方が得になってしまいませんか?
被害にあいました、不備を認めました、謝りました、問題ありません、悪いのはデータを盗んだ人です。
これでは安心して生活できないと思うんですよねえ。
親コメント
Re:免許制は是非に欲しい (スコア:1)
加害責任があるということと加害者ってのはちょっと違うような気がする。
> しかし、被害者の面だけが強調されてる状況、被害者としてだけ法的判断がくだされようとしてる状況は納得できません。
> このままでは同じような事があった場合、誰かが実際にデータを盗み出すまで放置して、自分が被害者になるのを待った方が得になってしまいませんか?
ちゃいます。たぶん、この場合(問われるとしても)ACCS が問われるのは善管注意義務ぐらいのものです。
それがどの程度問われるのかは時代や背景によって異なるので一概には言えませんが、世間一般の感覚からいえば今回のケースでは明確に善管注意義務違反を追求するのは難しそうな気がします。
もちろん民事は別で「公開されて被害を受けた人」が ACCS に損倍を求めることは可能でしょう。でも、その分は ACCS が河合容疑者に損倍を求めることになるから ACCS の持ち出しにはならなないんじゃないかな。
親コメント
Re:免許制は是非に欲しい (スコア:1)
そうですか?
だってその判断って裁判所がするのだから未だに判断されていないんだと思うのですが?
そういうのは法廷で弁明すれば良いんで、訴える方には関係ないんではないかと。
実際、被害届が受理されるか怪しい時には一通り出しておくってのも当然の方法だろうし。
>被害にあいました、不備を認めました、謝りました、
>問題ありません、悪いのはデータを盗んだ人です。
これでは安心して生活できないと思うんですよねえ。
そういうものの為に個人情報保護法があるんでしょこちらも賛否はあれど。
それに今回の件だって別に流失被害者が損害賠償請求を出来ない訳でもないでしょうし。
まあ、現実には裁判してプラスになるかどうか?ですが。
#いや、悪いのは盗んだ本人ってのもある意味真理だと思うけど。
#犯罪者だけ徹底排除して後は出来るだけオープンにってのも有効な一つの考えでしょう。
親コメント
Re:免許制は是非に欲しい (スコア:1)
なるほど、結局は裁判になるまでわからないということですか。
それならじっくりと行方を見守る事にします。
裁判でうまいこと両方の責任がバランス良く判断されるといいのですが。
親コメント
Re:免許制は是非に欲しい (スコア:2, おもしろおかしい)
# もちろん罪状は不正アクセス。
親コメント
Re:免許制は是非に欲しい (スコア:1)
つまりは、往々にしてそれ以上の利益があるって事。
大体において、「セキュリティ専門家」を「自称」すれば不正アクセス禁止法に抵触しえる行為を行うことも、他人の情報を漏らしまくる事も問題なしとされる状況の方が圧倒的に危ないと思いますが。
親コメント