ACCS不正アクセス事件、元国立大研究員が謝罪文を公開し和解 209
ストーリー by kazekiri
最終決着か 部門より
最終決着か 部門より
Anonymous Coward曰く、"ACCS不正アクセス事件については何度も話題になっているが、 コンピュータソフトウェア著作権協会(ACCS)と有罪が確定していた 国立大元研究員氏の間での 民事訴訟についても和解が成立した。 金額は分からないが賠償金を支払い、 元研究員の 謝罪文が一ヶ月間ACCSのサイトで公開されるとのことらしい。"
udon64bit 曰く、"賠償金額については 過去のタレこみ参照。 サイバーノーガード戦法の結末となるのだろうか。 諸兄はどうお考えか。"
今更繰り返しですけど (スコア:5, すばらしい洞察)
ACCS自身は、自分たちがお客様に対して十分謝罪したと考えているのでしょうかね? 被害者面を貫くことが、「デジタル時代の情報モラル」なのだろうが。
Re:今更繰り返しですけど (スコア:1)
彼らを誰だと思っているんですか?
Re:今更繰り返しですけど (スコア:1, 興味深い)
ACCSとしては謝れないではないですかね
ま、責任感じてるとも思えませんが・・・
Re:今更繰り返しですけど (スコア:1, 荒らし)
4人の被害者のうち、3人は謝罪に納得したのかまでは知りませんが、
その後ACCSと共にOfficeこと河合被告に対して損害賠償請求を
していますね。
残りの1人は連絡が取れないとかなんとか聞いた気がします。
形だけ謝罪の言葉を言って、自分たちは悪くないなどの
被害者の感情を逆なでするような会見をした某価格比較サイト
運営会社と混同してませんか?
そんなデタラメのコメントにプラスモデレートするって
噂に聞くスラドクオリティってやつですか。
Re:今更繰り返しですけど (スコア:1)
「デタラメ(?)にプラスモデ」より「ACで暴言」のほうが問題だと思いますよ。
Re:今更繰り返しですけど (スコア:1)
うまく被害者になりきれたACCSの両者を分けたものは
いったいなんだったのでしょうか。
加害者が日本人かどうかの違い?
それとも加害者の態度?
考えれば考えるほどなぞは深まります。
Re:今更繰り返しですけど (スコア:2, 興味深い)
ACCSの場合、問題となったソフトはホスティング会社から提供
されたものであり、ACCSはユーザに過ぎませんでした。
情報漏えいに繋がる重大な脆弱性の存在は、ホスティング会社は
知っていましたが、ACCSを含むユーザに対する警告は過小にされ、
ACCSが危機感を持つことはありませんでした。
ACCSの責任は、脆弱性を放置したことではなく、脆弱性のことを
隠すように過小報告するような業者のサービスを利用したこと。
カカクコムの場合、脆弱性はカカクコム自身に責任のある開発物
であり、その脆弱性によって受けた損害はカカクコムに責任が
あります。
以上が立場の違い。
次に、インシデント対応の違い。
ACCSは被害者の自宅にまで赴いて謝罪したうえで、もし被害者が
ACCSを訴えるようなことがあれば真摯に受け止めると表明しました。
これにより、表面的には問題に対して責任をとる覚悟があるように
見えました。
#本当はどうか知りません。
カカクコムはというと、一応は謝罪を発表しました。
しかし、同時に自己の責任はないと宣言し、被害者であると強調
することによって、逃げていると受け取られました。
さらに警察の捜査に支障がある、類似犯を防ぐというこじ付けで
その問題の詳細を隠しました。
それによって自己の瑕疵責任を隠し、責任を警察に転嫁している
と受け取られました。
またIPAにも詳細を報告してあり、IPAから説明があるだろうと
発表して自らの説明責任を放棄しましたが、実際にはIPAには
事件発生の報告のみで、詳細は一切伝えていなかったことが
発覚し、発表に嘘があることがばれました。
警察・検察の対応の違いは、ACCSの場合は犯人逮捕後に起訴し、
結果的に有罪にまでなりました。
しかし、カカクコムの場合、警察はカカクコムから個人情報を
盗んだ犯人を逮捕したにもかかわらず、カカクコムのシステムは
不正アクセスを防止するに値しないものであるとして起訴すら
しませんでした。
ACCSは加害者であり被害者でもあるのに対し、カカクコムは
「現状では」被害者になれず、加害者でしかありませんでした。
考えるまでもなく、謎もないのです。
カカクコムメソッドは、インシデント対応の悪い典型の塊です。
賠償責任はACCSにはないの? (スコア:5, 興味深い)
少なくとも、請求者がACCSと被害者の連名ってのはなんかおかしい。被害者がoffice氏本人に直接請求するならまだわかるが、管理責任不備も当然あるわけで、ACCS支払う側だろう……。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:賠償責任はACCSにはないの? (スコア:1)
他の人がACCS訴えれば別かと
Re:賠償責任はACCSにはないの? (スコア:1, 参考になる)
「ACCSは国立大元研究員にこんな事をされたんです」と漏洩被害者に説明し、
「そりゃ御気の毒に、大変だったね。国立大元研究員はけしからん」と理解を得られれば、
「国立大元研究員→ACCS→漏洩被害者」と言う損害の関係は、
「国立大元研究員←(ACCS+漏洩被害者)」の賠償請求で贖われます。
Re:賠償責任はACCSにはないの? (スコア:2, 参考になる)
そんなところみたいですね。取引というほど大げさ(何らかの免責を
伴ったり)ではないようですが。
さんざん既出ですがACCS久保田専務へのインタビュー [impress.co.jp]
Re:賠償責任はACCSにはないの? (スコア:1)
>勝つ見込みの大きい裁判だし、勝てれば弁護士費用は貰った
>損害賠償金から支払える。
そんなに大きな金額が貰えるとは思えないけど....
あと、ACCSが「個人3人に弁護士費用お前らも負担しろ」なんて言ったらそれこそ、火に油を注ぐ事になるのでは?
個人3人からみればACCSも加害者の1人であり、ACCSはそのことを認識しうまく立ち回ったって感じなんじゃ?
Re:賠償責任はACCSにはないの? (スコア:1)
そうとも言えるし、被害者に対してきちんと保障・サポートしているとも言える。
被害者にしてみれば、ACCSがサポートしてくれる事により、泣き寝入りせずに済む事の方が大きいと思いますし。
社会的信用を毀損? (スコア:4, すばらしい洞察)
うーん、少なくとも「社会的信用を毀損」した原因は、ACCSの側にあると思うなぁ.脆弱性をほったらかしにしてたのはACCSなのだし.少なくとも私がACCSを信用しないとしたら、理由はそっち.
Re:社会的信用を毀損? (スコア:1)
ダメなアプリを選択及び使用してしまっただけにしてはちょっときつすぎじゃないかなぁ、とも思います。
どうも、CGI提供もとのファーストサーバが脆弱性の指摘にまともに
対応しなかったのが、対応を待たずに公開した理由の一つみたいですし。
ACCSがファーストサーバを「こんな糞CGIスクリプトで商売するな」とか罵倒して
即利用を取りやめ、損害賠償の訴訟も辞さない構えだったとしたら
私もACCSを応援していたかもしれません。
単なる臆病者の Anonymous Cat です。略してACです。
Re:社会的信用を毀損? (スコア:2, すばらしい洞察)
>ダメなアプリを選択及び使用してしまっただけにしてはちょっときつすぎじゃないかなぁ、とも思います。
結局ACCSは委託先の選択が不味かったってだけって言えばそれだけなんですよねぇ。要は管理者責任って奴。
かといって、普通委託先の全容をチェック出来るかって言えば、出来ないから委託するんだという本末転倒してしまう問題に。
と考えたら、業務を委託するには自分でケツを拭ける処に出すしか無いという事に。
今回の件だったらCGIの修正をするのは当然として、加害者の告訴から被害者の保障まで全部面倒を見てくれる処か。
でも、現実にそういう処があるのかどうか・・・。
これはセキュリティでも同じですよね。
幾らセキュリティの専門家を雇っても自分でケツを拭けないのであれば余り意味は無い。
それが役に立たなかった場合、今回と同様に管理者責任を問われる可能性は大きい。
でも、委託するのはやっぱり自分で判断できないからなんで、それを問われてしまえば本末転倒するから。
って考えると、業務委託ってそのうちプロバイダ・セキュリティ管理・保険業務・訴訟代行なんかを全てこなせる処以外は使えないって事になったりしそうですね。
お詫びリンク集 (スコア:4, 興味深い)
見つからない…一番事件に言及してるのが
- officeこと、河合一穂の逮捕にあたって [josephandleon.co.jp]
これだろうか?この文章、微妙に意味が分からん…おまけ
「セキュリティ技術者がテロリストとなった顛末 [air-nifty.com]」
Re:お詫びリンク集 (スコア:2, すばらしい洞察)
技術者であろうが無かろうが、プロ根性に欠けたモラルの無い人間は
何しでかすか分からないという典型なので、教育にはモラル教育を
しっかり盛り込んでほしいところです。社員教育であれ、大学教育etcであれ。
#ネットワーク管理者とかセキュリティ管理者には鉄のモラルが必須ってのは
#最初に教えられるべき話だと思ったが、心抜きで知識だけ蓄えられても、
#それだと制御装置の無い原子炉みたいものなんだけどなぁ。
Re:お詫びリンク集 (スコア:1, おもしろおかしい)
Re:お詫びリンク集 (スコア:3, おもしろおかしい)
というのが、#772297で引用された部分の前半です。
つまり、セキュリティの専門家が、セキュリティ関係者のイベントで今回の事件を起こしたからセキュリティ専門家やセキュリティ技術は信用できない。これからはそんなものに依存しないでやっていくのだ、と読めます、、、、て、、、、、え゛?
それってこれからもサイバーノーガード戦法の道を邁進していきますってことですか?どうしてこういう論理展開になるんでしょうか、不思議ですね。一度藪医者に酷い目にあったからって金輪際医者の世話にならないって訳にはいかないでしょ?そんな世迷い言並べている間にやることはたくさんあると思いますけど。
Re:お詫びリンク集 (スコア:1)
腕の立つ弁護士を雇いますって事では?
Re:お詫びリンク集 (スコア:1)
どちらかというとフロイトやユングの系統に行ってしまうのではないか。
Re:お詫びリンク集 (スコア:1)
『悪いことするやつがいるからセキュリティが必要なので、悪いことするやつがいない情報社会になれば良い。』って事では?
警察いらないジャンとか?
#そう考えてるんだとしたら怖いなぁ。
Re:お詫びリンク集 (スコア:1)
つまり、ACCSは今後一切ネット経由で個人情報は収集/管理しませんって事かなぁ?
それなら、サーバーが踏み台にされる以外はセキュリティに依存しなくなるけど..
セキュリティ関連の保証を他社に発注しても、その発注先が正当かどうかを評価し続ける責任はあるわけで..
インターネットにつなげてる限りセキュリティに完全に依存しないと言うことはあり得ないでしょう
Re:お詫びリンク集 (スコア:1)
AD200X実行委員会
ACCS、ならびに被害者の方々への謝罪と今後の対応について [ad200x.com]
斜点是不是先進的先端的鉄道部長的…有信心
すっきりしないな (スコア:2, 興味深い)
個人情報を預かる側の責任がわりと御座なりな感が。
#厨房気質の方にはいい薬なったと思いますが
#1get避けですよ
____
#風邪をひきました、脳が故障しています
#残念ながら仕様です。
ACCSの信用 (スコア:2, すばらしい洞察)
そしてサイバーノーガード戦法の有用性をはっきりと示した悪の枢軸と言わざるを得ないでしょう。
穴の開いた金庫にお客様の財産を保管して、盗まれても盗んだ奴が悪い、鍵は掛かってたから問題無いなどと言い張るようなところを誰が信用します?
office氏の行為の是非はおいとくとしても、そんなことを言う組織を信用してもバカを見るだけでしょう。
個人情報保護法ができたことで、今後ACCSと同じことをやろうとしてもできない状況にはなってると信じたいところですが。
# 対カカクメソッドな法律もできあがらないとダメかなあ……
Re:ACCSの信用 (スコア:2, 参考になる)
>悪い、鍵は掛かってたから問題無いなどと言い張るようなところを
>誰が信用します?
ACCSはそんな事言ってないと思います。
事件が発覚した直後から、ACCSは自らの非を認め謝罪をし、対策も行なっていますよ。
元国立大研究員を訴えたのは、責任を転嫁する為ではありません。
ACCSは、自分達も悪かったが、元国立大研究員も悪いって言ってるだけです。
http://www.askaccs.ne.jp/security_2003.html
Re:ACCSの信用(主観的すぎ:-99) (スコア:1)
お客様の財産を保管している金庫に穴が開いているなんて知らなかったのでは?
サイバーノーガード戦法なんて言われて、まるでACCSが脆弱性の存在を承知していながら放置したと誤解させる批判が多いですが、実際にはACCSは脆弱性の存在を知らなかったわけです。
問題のテンプレ [geocities.jp]が詳しいので一読することをお勧めします。
その上で、ACCSの責任がどうなのか考えてみてください。
この話題は何度もトピックに取り上げられ、何度も説明するコメントが投降されているのにもかかわらず、いまだにACCSが放置したと批判する人が多くて不思議です。
何か見えないフィルタが働いているのでしょうか。
Re:ACCSの信用(主観的すぎ:-99) (スコア:1)
その点については、改善されているように見えないです。
Re:ACCSの信用(主観的すぎ:-99) (スコア:1)
>たしかメール以外に郵便物でも届いていたと思います。
「旧CGIにはセキュリティホールは未発見」という文面ではなかったんですか?となるとこれ [askaccs.ne.jp]が嘘だという事?
Re:ACCSの信用(主観的すぎ:-99) (スコア:1)
新標準CGIのリリースについては、脆弱性があるので、という記述は無かったとまとめられてるんだけど、そちらでは脆弱性云々って書いてあったですか?
だとすると話が変わるなあ。
# あと、この警告ってACCSにも行ってたのかしら
# 委託請負のヨセフアンドレオンにしか行ってなかったりして
Re:ACCSの信用 (スコア:1)
逮捕される理由は無いが逮捕されて欲しいというのは、単なるワガママですよ。
Re:ACCSの信用 (スコア:1)
かなり下がってしまってるわけですが、
ACCSの会員の方々 [accsjp.or.jp]はこれをどう考えてるのか聞いてみたいですね。
ていうか、ここにも「会員の方々の中の人」がたくさんいるんじゃないの?
そういう人にACCSから会員としても会社経由でのこの件の情報って
どんな内容だったのか聞いてみたい。
# 今さらって言えば今さらだけど。
元国立大学研究員って署名は何? (スコア:1, 参考になる)
Re: 元国立大学研究員って署名は何? (スコア:3, おもしろおかしい)
#私はやってしまいました。
Re: 元国立大学研究員って署名は何? (スコア:1)
国立大学の研究員と言う立場で、彼は晒し行為をしたのか?
個人の場合は、所属の会社とかには一切関係無いから出来るだけ出さないようにするべきだし。
まして、今は在籍していないのでしょ。
あれじゃー、某国立大学の研究員として、業務命令とかで晒し行為をしたように感じる。で、今は在籍していないので「元」付き。
Re: 経緯から考えると「何?」でしょ (スコア:1, 興味深い)
officeこと、河合一穂の逮捕にあたって [josephandleon.co.jp]
によれば、
当時から、こういう見方があったわけで最低とか言われる筋合いはないかな。
無職がフリーター・主婦と自称してみたり、容疑者がメンバーになったりと、
まあそういう事例は少なくない昨今だが、たまたま所属していた組織を隠れ蓑にして
問題の発端やイベントでの発表を放置した主体が摩り替えられてるようにも映る。
結論が出る前なら、行方によっては河合氏側がいちゃもんつけられたとなるから、
事件の顛末を扱うのにとりあえず肩書きで表すってのは解るのだが、
決着の最終公式文書までが元国立大研究員というのは、まるで彼がその肩書きを根拠に
今回の事件に関わったかのようにも読める。
実際はAD200XのOfficeであったわけで、所属はそっちを使ったほうが筋が通ってる。
officeと名乗る人物が11月8日20時過ぎに発信した [askaccs.ne.jp]のが発端で、
問題を大きくややこしくしたのもイベントAD2003なんだから、それに沿った謝罪の形が妥当だ。
和解条件 (スコア:1, 参考になる)
office氏には一切賛同しませんが (スコア:1)
と、謝罪文の中で「ほったらかし」の事実をさりげな~く混ぜこんでいるあたりはさすがだなと思いました。すでに衆知とはいえ、1か月晒されるのはACCS自身でもあるわけです。
それにしても「元国立大学研究員」って…ペンネームによる謝罪もアリなのかと思ってしまいました。原文には本名書かれてたのでしょうか。書かれてなかったとしたら謝罪する意志なんて無かったと思えますけど。
#もともと本意じゃなく和解の条件だから仕方なく書いたのだろうとも考えられますが、それはまた別として。
Re:office氏には一切賛同しませんが (スコア:1)
インターネットからのアクセスを許可してなかったり
一切インターネットにつなげなければ、まぁ考慮する必要もないでしょう
また今回の話も、個人情報を扱っているサーバーに対する物でなければ此処まで問題視されてないでしょうねぇ
個人情報を取り扱って無ければ対外的には、あそこの会社Webのトップページ書き換えられてるよはずかしーとか、踏み台にされて他社から調査依頼が来る可能性がある程度かと
これが個人情報を扱うと、セキュリティちゃんとしろとか言われるようになるわけです
つまり、個人情報を扱うと言うことはそこまでコストのかかる行為である、管理しなければならなくなると言う認識がACCS側に希薄だったのだと思います
個人情報保護法施行後少しはマシになったんですかねぇ~この辺
さて、この後は? (スコア:1)
「法律上行使できない確認方法に対して、委託を受けて確認・報告を受ける会社」
といった付近が儲かりそう。
#いや、穴を用意して、突撃してきた人を訴えて儲けr(略
Re:さて、この後は? (スコア:1)
今後の日本のセキュリティーに関連することに研究とする学生が減る可能性は高いのではない?
セキュリティー関連は確かに関心も高いので金銭的な見返りも大きい気はする。
けれども外科医、小児科医の著しい減少と同じような自体になるのではないかと。
ハイリスク、ハイリターンよりもローリスク、ミドルリターンぐらいを好む若人は多い一方
ネットで悪事を働く人はハイリスク、ノーリターンでも平気な人も多いので心配。
Re:さて、この後は? (スコア:1, すばらしい洞察)
「どういうチェック方法であれ、個人情報を流すな」ってだけの話ですよね。民事的には...
威力業務妨害で刑事事件として逮捕をした警察の件は直接的には今回の和解と関係ないですけど、こっちについては「逮捕されたい人以外は脆弱性見つけても放置プレイ」程度の事しか出来ないっすね。IPAあたりが警察に強く抗議して逮捕の件を警察に謝罪させるぐらいの事をすれば話は別ですけど...
# 逮捕される趣味はないのでAC
頼む予習して (スコア:1, 余計なもの)
コメントする人は必ずこれ読んで下さい。コメントしない人も先にこちらを読んだほうがストーリーを眺めやすくなるので、先読み推奨。
Office-ACCS系のトピック立つたびに、毎回毎回同じような勘違いと思い込みが乱舞してます。
Re:羞恥プレイ? (スコア:1)
というか現役の国立大学研究員にとってもまずいかも。
Re:羞恥プレイ? (スコア:1)
ファイルを入手する方法を公開したときの話でしょう
単なる臆病者の Anonymous Cat です。略してACです。
Re:次は (スコア:1)
「ACCSも」であればそうなるべきですが、この場合もACの言うとおり「ならね~よ」かな。 このタイミングで謝れないんじゃ、もう...。 謝ることすらできない人たちがモラルだ権利だと叫んだところで、誰が聴くというのだろう。
Re:次は (スコア:1)
心無い人が聴きます。
Re:次は (スコア:1, すばらしい洞察)
被害者対応も直接加害者への責任追求もやっているのだから一応必要な対応はしていると思うのだけど?
十分な謝罪をしているかどうから知らんが。
というより一体全体どっから「謝っていない」という意見がまるで事実の様に沸いてくるのかが不思議なのだが。
謝罪が足りないとか気に入らないってのであれば未だ判るが、自分の好みで事実を捻じ曲げるのは余り感心できないな。