パスワードを忘れた? アカウント作成
Close
13840 story

航空チケットサイトにセキュリティーホールを見つけた人物がFBIから強制捜査 84

ストーリー by yoosee
この手の倫理問題は難しい… 部門より

Anonymous Coward 曰く、

このテクノバーンの記事を読んで驚いた。 セキュリティー技術の研究者である Christopher Soghoian氏が、航空会社のオンラインチケット発券サイトに あるセキュリティーホールを見つけ、偽名で航空券を購入する方法を 自身のホームページで公開したのだが、これが大きな反響を呼び、 民主党選出のエド・マーケイ下院議員の働きかけに応じたFBIにより 本人宅の強制捜査に至ったとのこと。この航空会社は Northwest航空のことで、 Soghoian氏自身が本家Slashdotにも投稿している。
Soghoian氏は、セキュリティーホールの存在を公にするためと主張している が、ブラックリストに載っているようなテロリストを助ける可能性やら、 中間選挙真っ只中ということで騒動が大きくなっているようだ。 本家には FBIの強制捜査に関するストーリーも出ているが、 彼のブログにはその 強制捜査の令状?もあったりする。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

航空チケットサイトにセキュリティーホールを見つけた人物がFBIから強制捜査 More

  • 何処かで・・・・ (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2006年11月06日 23時06分 (#1052576)
    何処かで聞いたような話だなー
    何で自分のサイトで公開する前に、発券サイトの管理人に連絡しなかったんだろ。
    • officeだっけ?

    • Re:何処かで・・・・ (スコア:0, 興味深い)

      by Anonymous Coward
      そもそも、どこまで通報義務があるのかっつーのも微妙だよな。
      そりゃ管理人に教えてやったほうが親切なんだろうけど、親切を強要されるのもねぇ。
      面倒だし。

      • Re:何処かで・・・・ (スコア:3, すばらしい洞察)

        by Anonymous Coward on 2006年11月07日 0時08分 (#1052617)
        通報する義務など無いと思うが、言い触らして回るのも良い趣味だとは思えない。

      • Re:何処かで・・・・ (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2006年11月07日 1時29分 (#1052652)
        それじゃあ、どうすれば管理人に教えてあげたくなるのか、真面目に考えてみよう(・ω・)

        ①管理人からの感謝の気持ち
        最低限、これは欲しいですよね。逆ギレされて通報されたら最悪。

        ②報酬
        ある程度以上の金額なら、管理人に教えてあげたくなるかもしれません。
        どうやって報酬を用意するかが課題でしょうか。
        # 構築したSI会社に請求したら、SI会社が潰れちゃう?w
    • そりゃぁ
      こうやって騒がれて(騒いで)ネタにするのが目的だからじゃね?

  • ん? (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2006年11月06日 23時07分 (#1052577)
    何を驚いたり、難しかったりする必要があるんだろうか。
    公表 したから強制捜査食らったんでしょ。
    穏やかに通報する手だってありますよ。

    そうしたけど、聞き入れて貰えなかったから公表したかもしれないって?
    じゃあ、そうであったというソースを探して来ないと話にならないよね。

    # 過去のコメントより予想されるレスに予め反応

    • Re:ん? (スコア:0, 荒らし)

      by Anonymous Coward
      > 何を驚いたり、難しかったりする必要があるんだろうか。

      「自由の国」に言論の自由がないことにでしょ。

      > 公表 したから強制捜査食らったんでしょ。

      公開されているウェブサイトに関する情報を、なぜ公表しちゃいけないの?

      > 穏やかに通報する手だってありますよ。

      あるから何?

      • Re:ん? (スコア:0)

        by Anonymous Coward
        >「自由の国」に言論の自由がないことにでしょ。
        >(以下略)

        自由というのは義務と責任の上に成り立っている、というのを感じさせない発言ですな。(w
        「自由≠無節操」だあね。

        • Re:ん? (スコア:1)

          by Anonymous Coward on 2006年11月07日 0時28分 (#1052623)
          そもそも節操という概念があるのかなぁ。
          ルールに則ってればなんでもありの国だとおもうけど。

      • Re:ん? (スコア:1, おもしろおかしい)

        by Anonymous Coward on 2006年11月07日 1時05分 (#1052646)
        >「自由の国」に言論の自由がないことにでしょ。
        「自由の国」ってのは連邦政府が市民を自由に逮捕拘束できる国って意味だから。
        2001年9月11日ごろに辞書が改訂されたらしいですよ。

    • Re:ん? (スコア:2, 興味深い)

      by kgw (29702) on 2006年11月07日 0時45分 (#1052632)
      > 公表 したから強制捜査食らったんでしょ。
      だから、公表しただけで何らかの犯罪を構成するとしたら、驚きに値するでしょ。

      この人のやったことは多くの人が「悪いこと」だと考えるかもしれないけど、「犯罪」に当たるかどうかは別問題。

      • Re:ん? (スコア:2, 参考になる)

        by Anonymous Coward on 2006年11月07日 1時15分 (#1052648)
        > だから、公表しただけで何らかの犯罪を構成するとしたら、驚きに値するでしょ。
        # 強調私

        前提を勝手に変えちゃいけません。
        別スレにも罪という言葉を使っている人が居ますが
        私は強制捜査を食らった事は驚きも難しくもないと書いただけです。
        犯罪や罪になるかどうか調べる為に強制捜査を受けているのでしょう?

        まさに貴方のおっしゃる通り
        > 「犯罪」に当たるかどうかは別問題。

        蛇足:
        公表者自身が偽名で航空券を入手していた場合や、偽名での入手を幇助するような形での公表の場合は罪に問われる可能性もあるかと思いますが、そういったケースは「公表しただけ」とは言えませんよね。
        公表しただけかどうかを調べる為に、捜査が必要であったという点には驚きません。

        • Re:ん? (スコア:1)

          by kgw (29702) on 2006年11月07日 22時27分 (#1053368)
          FBIがこの行為についてどう考えているのかどうかという視点で場合分けしてみました。

          ■犯罪を構成すると考えているなら→そのこと自体が驚き

          > 私は強制捜査を食らった事は驚きも難しくもないと書いただけです。

          強制捜査に踏み切ったということは、犯罪を構成する可能性が高いとFBIが考えたことを意味します。
          公表しただけで何らかの犯罪を構成する可能性が高いとFBIが考えているとしたら、驚きに値するでしょ。

          ■犯罪を構成すると考えていないのなら→国家権力の濫用

          > 犯罪や罪になるかどうか調べる為に強制捜査を受けているのでしょう?

          いやーその論法だと、たとえば逮捕されても驚くに値しないとか、何でもアリになっちゃいますよ。

          ■結論
          強制捜査と犯罪性は密接に結びついています。
          犯罪に当たりそうにないものを強制捜査してはいけないし、強制捜査に踏み切ったということは、それが犯罪であると国家機関が考えているのです。

          蛇足に関しては、まあ、蛇足だけあってそのままその通り。Office氏のACCS事件も、この蛇足に当てはまるケースですよね。

  • そりゃFBIもやってくるだろう (スコア:0, オフトピック)

    by ymitsu (31883) on 2006年11月06日 23時12分 (#1052579) 日記
    スラドにバグを見つけて、嬉しさのあまりバグ報告に行かずに
    「うはwwwwwこの方法でトピ立て砲台wwwww俺スゴスwwwww」
    とかいうトピを立ててすごいことになる自称スーパーハッカー(24歳)みたいなものか。

    #24歳のお子様なら仕方ない、って思った俺ずいぶん老けたなあ
    --
    \(^o^)/

  • 見つけた人物がFBIから強制捜査 (スコア:2, 興味深い)

    by Anonymous Coward on 2006年11月06日 23時12分 (#1052580)
    間違ってはないけど誘導っぽい表現

    見つけた人物がオンラインサイトに連絡もせずに
    抜け穴を公表したらFBIから強制捜査

    このぐらいのほうがよさげ







    はっ、スルー力が足りないだけか? orz

    • 抜け穴だったんだろうか (スコア:3, すばらしい洞察)

      by Livingdead (18685) on 2006年11月06日 23時17分 (#1052582) ホームページ 日記
      どこからが抜け穴で、どこからが抜け穴じゃないのか、それが気になる。
      --
      屍体メモ [windy.cx]

    • Re:見つけた人物がFBIから強制捜査 (スコア:3, 興味深い)

      by BonTf (8325) on 2006年11月07日 10時13分 (#1052750) 日記
      見つけた人じゃありません。 この穴自体は大分以前から良く知られていて、
      今回のChrisさんの貢献は、HTMLとかを知らない人でも
      その穴を突く事を可能にするためのツール(PHPスクリプト)を公開したことです。

      2005年2月に、Slate [slate.com]やニューヨーク州選出のSchumer上院議員(民主党)の サイト [senate.gov]に
      記述があります。 ちなみに、インディアナ大学の院生であるChrisさんは、大学からの法律関係のサポートが
      得られない状況なので、paypalで募金をしています。

      問題のツールを紹介しているblogの10月25日の記事で、彼は

      I realized today that editing HTML, while easy enough for a geek, is still far too difficult for population at large.
      と書いた後に、ツールへのリンクと使い方の説明をしています。
      そして最後には"Have fun!"でしめていて、私は愉快犯と捉えました。

      この事自体が強制捜査に値するとは思っていませんが、Cybersecurityを研究している
      人の行動としては軽率だと思います。

      参考:slashdot.orgのこの記事 [slashdot.org]とタレコミ中の記事、またはそれらからのリンク先

      • タレコミに依ると
        >> 航空会社のオンラインチケット発券サイトにあるセキュリティーホール
        とのことですが、「サイトの」セキュリティホールなんでしょうか?

        Fake Northwest Airlines Boarding Pass Generatorが最早404なんで、想像だけで書きますが、
        - NWAのオンライン・チェックインで印刷出来る搭乗券(PDF file)には、搭乗者名・便名・日付・座席番号など、搭乗券から容易に読み取れる情報だけで生成したチェックサム(のバーコード)が印刷されている
        - ゲートでは、バーコードの妥当性と座席のダブりだけがチェックされ、実際の予約システムへの照会は行っていない
        だったりして。

        だとすると、「サイトの」セキュリティホールじゃ無くて、「搭乗券の」セキュリティホールなのかな?

  • 何人釣れるかなー (スコア:1)

    by Elbereth (17793) on 2006年11月06日 23時28分 (#1052587)
    アメリカにもJPCERT/CCみたいな中間に入って
    コーディネイトする団体があれば……というか、JPCERT/CCの
    モデルになったCERT/CC [cert.org]がJVNをそのまんま
    やってそうな気もするけど、どうなんでしょう。

    本家のスレ見てもCERT/CCの字は無いしなぁ。
    穴を見つけた人が直接そのサイトの管理者に連絡する
    文化なんですかね。

  • 公表→即強制捜査ならやりすぎですが… (スコア:5, 参考になる)

    by Anonymous Coward on 2006年11月06日 23時38分 (#1052593)
    彼はなんと「偽造搭乗券ジェネレータ」なるプログラムを作って
    公開 (誰でも web 経由で使える状態に) してしまったので
    流石にまずかったかな、と思います。
  • あなたはテロリストの疑いがかけられています、いや私は国会議員です、嘘でしょう、いや本当です [technobahn.com]

    同姓同名の人物がブラックリストに登載されていたため、加州選出の米下院議員が航空機への搭乗を一時拒否されるという冗談みたいな話がニュースになっています。
    米国内ではこれほど過敏になっているわけで、今回の強制捜査はなるべくしてなったんじゃないかなーという気もします。
    --
    And now for something completely different...

  • ノースウエスト航空は、現在… (スコア:3, 興味深い)

    by SuperSouya (18827) on 2006年11月07日 0時40分 (#1052628) 日記
    連邦破産法第11条のもとで、再建中です。
    原油の高騰で倒産の上に、サイトの脆弱性を突かれた…これは泣き面に蜂ですよ。
    可愛そうに。
    --
    Super Souya

    • チャプターイレブン (スコア:1)

      by parsley (5772) on 2006年11月07日 0時56分 (#1052639) 日記
      連邦破産法の"Chapter 11"ってよく11条って訳出してあるけど、11章ですよね。

      # 関係ないけど参考 [glocom.ac.jp]
      --
      Copyright (c) 2001-2012 Parsley, All rights reserved.

  • そうか! (スコア:5, すばらしい洞察)

    by Anonymous Coward on 2006年11月07日 0時55分 (#1052637)
    今思いつきましたが、脆弱性を「ズボンのチャックが開いている」
    ことに例えれば、発見した人もこそっと教えてくれるんじゃ無いだろうか?

    • Re:そうか! (スコア:1)

      by Ambitious Coward (31380) on 2006年11月07日 8時22分 (#1052704)
      ちなみに、アメリカでは「ズボンのチャックが開いている」ことを
      他人に教えるときに「XYZ」という隠語を使うそうです。
      eXamine Your Zipperの略らしいです。

      ということを知って、実際にアメリカ人に対して使ってみたのですが、
      説明するまで分かってもらえなかったことがあるけどID。

  • 詳しい解説 (スコア:2, 参考になる)

    by Anonymous Coward on 2006年11月07日 8時29分 (#1052705)
    詳しい解説がここ [cybozu.co.jp]にありますね。
typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者