パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

パソコンスクール「アビバ」から個人情報流出」記事へのコメント

  • by Anonymous Coward on 2002年07月04日 1時07分 (#118520)
    流出という言葉が無責任な言い逃れを助長している ように感じる。(流出っていうと、不心得な社員が持ち出して某所に横流し…… みたいなイメージ持つよね?)

    このような不特定多数に対して閲覧を許可し、 不正アクセス禁止法の保護も受けられないような場合は 陳列と呼ぶのがいいと思うが如何だろうか。 (もしかすると陳列の原因となったのはクラッキングかも知れないが、 それはまた別の話だ)

    • by ktoshiharu (8209) on 2002年07月04日 10時01分 (#118654) 日記
      不特定多数より閲覧可能な状態だった」でいいんじゃないですか。
      親コメント
    • 流出という言葉が無責任な言い逃れを助長している ように感じる。(流出っていうと、不心得な社員が持ち出して某所に横流し…… みたいなイメージ持つよね?)

      御意。

      この手の情報って、普通インターネットに曝されたホスト上には置かないもの...と私は信じてきたんですが (普通、防火壁の内側の DB サーバとかに保存するよね?よね?) そうでないサイト構築をする業者もいるって事ですか? > 識者

      親コメント
      • by krackmania (7864) on 2002年07月04日 1時53分 (#118543) 日記
        >そうでないサイト構築をする業者もいるって事ですか? > 識者
        業者で無くても学校関係なら腐る頃あったり。
        個人情報保護法案とか問題になってるが、
        あんな中身でなく
        こんな事になったら処罰する法律にして欲しいなあと思う。
        個人情報が百万一千万で取引されてる時代に、
        はっきりいって謝罪だけじゃ済まない気がするしな。
        親コメント
      • 実は、サーバー管理の教科担当の講師が作ったものだったりして。
        #それが一番くさいんですが…

        まぁ、そうだとしたら、卒業生はそれに殉ずと?
        --

        /* Kachou Utumi
        I'm Not Rich... */
        親コメント
      • えーっと、真面目に設備してれば、WEBサーバーも直接はインターネットに繋がないかと(防火壁越し)でも、空いてるポートがクラックされるようだと、防火壁あってもいくらでも乗り越えられますけどね(^^;;
        まぁ~ルーターすらまともに設定出来ない業者って結構いますので(笑)
         >ポートが全部空いてるのとか
        そういう業者に当たってしまった?のなら「ご愁傷様」としか言いようが無いですね。
        親コメント
    • 置きっ放し
      親コメント
    • 珍列かな。

      アビバのリストは欲しくない人材として
      ブラックリスト化するんだろうか?
    • 「公衆送信可能な状態を続けていた」に一票。
    • 設定ミスにより個人情報を晒していた
      に一票。
    • クライアントによってはその人のレベルでしか物事を考えられないので、
      こちらがいくら言っても聞く耳持たない人が多数です。
      「 httpd のルート以外にはアクセス権あげない」って、
      データファイルや .htpasswd までそこに入
      • 「httpd のルート」というのは、 htdocs ディレクトリのことですか?

        // httpd を chroot して動かしている、という話だったらいいなあ。
        // でも違うでしょうね。

        Web サーバが Apache httpd だと仮定して……。違ったら以下の話は全然関係ないかもしれません。

        Apache のデフォルトの設定だと、 .ht で始まる名前のファイルは外部からアクセスできないようになっていると思います。

        それと、一つのディレクトリの中の一部のファイルだけ外部からのアクセスを許可するという設定も、 httpd.conf や .htaccess を適切に記述すれば可能です。

        そういう設定をして一つのディレクトリに放り込むのが素晴らしいとは思いませんが、管理者が Web 担当者に htdocs のアクセス許可しか与えなかったからといって、管理者が何もわかっていないように判断するのは少し短絡的ではないかと懸念します。

        詳しい状況がわからないので、「短絡的だ」と言い切るつもりもありませんが。
        --
        鵜呑みにしてみる?
        親コメント
        • いろいろ文章をいじっていたら、変なことになっていました。

          修正前:
          それと、一つのディレクトリの中の一部のファイルだけ外部からのアクセスを許可するという設定も、 httpd.conf や .htaccess を適切に記述すれば可能です。
          Web 担当者が htdocs の下にしかアクセスできないなら、 httpd.conf を設定することはできませんでした。

          // いくらなんでも httpd.conf は htdocs の下にはありませんよね。

          修正後:
          それと、一つのディレクトリの中の一部のファイルだけ外部からのアクセスを許可するという設定も、 .htaccess を適切に記述すれば可能です。ただし、そのためには httpd.conf がデフォルトのままではいけないかもしれません。
          で、もし管理者が Web 担当者に対して httpd.conf の書き換えを許可してくれないという話なら、それは問題かも、と思えてきました。 httpd.conf の適切な場所を1行
          AllowOverride All
          に変えるだけのことなんですけどね。
          --
          鵜呑みにしてみる?
          親コメント
    • 「関係者に無断で公開していた」
      という表現が最も適切ではないでしょうか。

      奇しくも
      「エコノミークラス症候群(俗称)」の呼びかたを変えようという提言が医学方面の学会から出ましたね。
      コンピュータ界にも「権威ある(・・らしい)」学会や団体はあるのでしょうから、そういうトコのオッサン方もそれくらいはもっと発言してほしーなぁ。
    • > 流出という言葉が無責任な言い逃れを助長しているように感じ
      > る。(流出っていうと、不心得な社員が持ち出して某所に横流
      > し…… みたいなイメージ持つよね?)

      これはちょっと認識が変じゃないですかね?
      アビバ側のミスは置いといて

      第一発見者「すげえ!丸見えだよ!誰かに教えてやろう!!
      • by Anonymous Coward on 2002年07月05日 0時37分 (#119064)
        > この第一発見者が「流出させた」って事じゃないんですか?

        以前クレジットカード番号と有効期限も書いてあったりした
        会員リストをレンタルサーバに660だったかで置いていた会社
        がありました。そのリストの中には私の名前もあり、あるISP
        の会員なら誰でもmountできるサーバからgetできる状況に
        ありました。

        FAXとメールで最低でもパーミッション変更してくれと数回
        頼んだのですけどすべて無視されました。次にその会社の
        掲示板に「リストが見えるのでなんとかしてくれ」という
        ようなことを具体的なことには触れず書いたのですが、
        デマ扱いされました。

        IPAに頼んでも被害がなければとか言って動いてくれないので
        マスコミさんに取材攻撃して貰おうと思ったら証拠が必要だと
        言われたので公開されていたリストの一部を送りました。
        私の情報まで公開されていたのですから当然どこかの掲示板
        とかで騒いだりもせず、さっさと公開を停止してくれるのを
        望んでいました。

        マスコミさんが取材に行ってもそんな事実はないと否定して
        ましたが、カード会社に取材に行って貰ったらすぐにその会社
        が関係するカードをすべて停止にし、カード会社から抗議が
        行ったそうです。

        そこまで話が大きくなってから「ハッカーによって流出した
        ものであって公開していた事実はない」とか開き直りました。
        FAXとメールで報告を受けた事実もないとされました。

        最終的にはサーバを管理していた会社に頼んでパーミッション
        を変更してもらったんですが、それまでしっかり公開されて
        ました。後から考えれば無視された時点でそうすればよかった
        のですが、慌てていると簡単な解決策も見えないんですね。

        そういう事例もあるのだから、多くの人の目に触れようが
        触れまいが関係ないように感じます。

        ということで私には「ハッキングにより=自分のミス」
        としか読めません。

        # 恨まれているといけないので匿名で失礼。
        親コメント
      • 誰でも見える状態のものを誰も見なかったら
        誰も見てなかったとどうして言える?とか考えてみよう。
        本気で盗み見たい奴は盗み見たことを公表しない。
      • こういのを発見した悪い人は、決してそれが公にならないように、
        誰にも気づかれないように、データを持ち去って、どこぞに売っ
        たり脅迫のタネにしたりしつづけているでしょう。

        騒ぎにならないと、流出を止められない悲しい現状。
        • そうですよ、むしろ流出"してくれた"といってあげてください。
          • by happy (8310) on 2002年07月04日 21時28分 (#118960)
            アビバにまったく同情するつもりは無いけど、発見したらあの手の掲示板に書き込まず、当事者に連絡してあげるのが普通の反応。せめてセキュリティ系に概要だけ投げるとかね。

            相手が低レベルだからって、同レベルorもっと低レベルの反応をしていいってわけじゃない。低レベルのトコに実名で警告して、変なとばっちり受けたくない気持ちもわからないでもないけどね。。でも反応ない時は、過激な行動に出ないで放っておきゃいいだけなんだ。
            親コメント
            • 発見したらあの手の掲示板に書き込まず、当事者に連絡してあげるのが普通の反応。

              実際やったのかも知れませんよ? 今回の事件でのコメントを見る限り、相手に危険性が理解できなくても不思議はない(笑

              このような事例を匿名で報告できる機関が
            • 発覚後の対応を見ながら、まともに通報したら通報者がアビバのいう「不正アクセス」の犯人に仕立て上げられたんじゃないか。なんて思いました。まぁ、そこまで行かなくてもまず間違いなく完全無視でしょう。
    • 秘孔晒し #アジャパでアベシ

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

処理中...