パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

宇宙開発事業団への不正アクセスで有罪判決」記事へのコメント

  • by messo (7339) on 2002年09月07日 0時05分 (#161564) ホームページ 日記
    余計な事は言わないのが教訓ですね。
    当初は何もなしとの身内の判断が下されたのに、以後世論に押された形。
    日本って全体的に外圧に弱い気がします。海外に言われると結構すんなり…

    しっかりしよう日本!
    やはり自分で考えるように教えてこなかった弊害かと。
    • by Anonymous Coward on 2002年09月07日 0時22分 (#161574)
      こういう事があるから企業のセキュリティホールを黙って匿名掲示板に晒す奴が続出するんだな。
      報告して捕まったり賠償モノになってしまったらやってられないしな。
      親コメント
      • by Anonymous Coward on 2002年09月07日 2時42分 (#161621)
        匿名セキュリティホールチクリ相談所とかどうだー、と思ったんだけどそれっぽいことをしている組織ってあったりしますか。
        それ以前にこのテのケースで有罪になってしまうのをなんとかするべき、というのはさておき。

        # 内部告発相談所、みたいなノリで。
        # でもビジネスにはならないか...
        親コメント
        • >匿名セキュリティホールチクリ相談所とかどうだー、と思ったんだけどそれっぽいことをしている組織ってあったりしますか。

          JPCERT/CC では?
          匿名だと受け付けてくれないのかな?
      • >報告して捕まったり賠償モノになってしまったらやってられないしな。

        それだけ、ユーザにばれなければ面目が保てると思いこんでるアホな管理者や経営者が多いって事。

        さすがIT国家。
        • 食肉のラベル張替えも、情報提供した倉庫の社長は
          行政処分になりましたね。

          不正に加担してしまった人は、より大きな不正を防ぐ為に報告…
          なんてことを考えないほうがいいという教訓ですね。
      • >こういう事があるから企業のセキュリティホールを黙って匿名掲示板に晒す奴が続出するんだな。

        関連なら自分の所も影響がでる罠、流す奴は厨房や...以下略
      • 宇宙開発事業団のセキュリティホール暴いて、通報せずに晒したら彼らには理解してもらえるのでしょうか。

        >報告して捕まったり賠償モノになってしまったら

        全くその通りですな。
        たとえ自分が同じ事を発見したとしても、絶対に報告しませんよ。
    • by az77 (11230) on 2002年09月07日 3時06分 (#161629)
      >余計な事は言わないのが教訓ですね。


      別に普通にしかるべき筋に報告してれば大丈夫だと思うけど。
      この場合は、NASDAになるのかな?

      実際のデータを上司送リつけて、パスワードの類推方法を上司ら86人にメール [srad.jp]したら、
      さすがに「対策を取ってもらうための行為」 [mainichi.co.jp]と言うにはやりすぎでしょ。

      でも、報告しても改善されない可能性高そうだしなぁ・・・。
      親コメント
      • 実際のデータを上司送リつけて、パスワードの類推方法を上司ら86人にメール [slashdot.jp]したら、 さすがに「対策を取ってもらうための行為」 [mainichi.co.jp]と言うにはやりすぎでしょ。

        上司何人までならokなんですか?:P

        いずれにせよ、こんなつまらないことでリスクを冒そうとする
        • そもそも、この裁判の争点がどこにあるのかっていうことを理解してない人が多すぎるような。

          > 上司何人までならokなんですか?:P

          上司じゃなくて、然るべき筋(この場合、NASDAのシステム管理者かな)に報告すればって話でしょ。
          #意図的な誤読?

          > 人知れずデータを回収して黙ってる方が「利口」であるという、
          > 司
          • >上司じゃなくて、然るべき筋(この場合、NASDAのシステム管理者かな)に報告すればって話でしょ。

            気がついた奴は、一生懸命しかるべき筋を探せということですね。そして、そのしかるべき筋を誤った場合には、手が後ろに回るということですね。

            まぁ、まともに報告は決してされなくなることだけは確実でしょう。

            親コメント
            • by az77 (11230) on 2002年09月07日 17時16分 (#161805)
              今回の場合は、別にパスワードの規則性を報告した事が不味いのではなく、単に報告の仕方
              がこれ以上なく最悪だったて事だと思います。

              >気がついた奴は、一生懸命しかるべき筋を探せということですね。

              しかるべき筋の中の一つに間違いなく、自分の直系の上司も含みますよ。
              さすがに自分の上司はわかるでしょう。他の筋が解らなければ聞いてれば良いし。

              メールを86通も投げる前に、直系の上司に一言相談すれば普通そんな事にはならないでしょう。
              当然、顧客のシステム管理者も対象ですが、最終的には「会社の名前で正式に」調査・対策の
              依頼を出すべきでしょう。そうしとけば、少なくとも会社の指示で行ったと言えたのに。
              顧客・他社が深く関係しているのだから、形式は整えるのが普通です。

              >そして、そのしかるべき筋を誤った場合には、手が後ろに回るということですね。

              今回の場合、しかるべき筋を誤ったんじゃなく「顧客・他社のデータを無許可で持ち出した」
              のが決定的だと思われます。

              大体、顧客や他社の資料・データを無断で持ち出したら問題になるに決まってます。
              それは電子データだろうが紙だろうが一緒です。 産業スパイってやつですかね。
              挙句の果てに他人(上司)にまで送ってますから。

              データの中身は知りませんけど、「三菱電機の情報を入手するためだったと認定される」くらい
              だから、相応の重要度か量のデータだったんじゃないかな?

              いずれにせよ、元社員の対応は視野が狭く、周囲がしっかり見えていなかったように感じます。
              特に顧客と他社に対する配慮の欠落は批判の余地は十分ありますね。

              # 判決文を読んでないので殆ど推測です。早くアップされないのか・・・。
              親コメント
              • >メールを86通も投げる前に、直系の上司に一言相談すれば普通そんな事にはならないでしょう。

                上記のようなことを口にする以上、もし問題の社員が直属の上司に話をもちこんでいたら、訴追を受けなかったであろう確かな理由がいうまでもなくあるものとお見受けしますので、お聞かせいただきたいものです。正直分からないので。

                #何をやったかの正確なところは判決文の公開を待つしかないが。

                親コメント
              • 直属の上司に話しても握りつぶされるのがオチだとわかっていたし、放置していては保安上非常に危険な状態を維持する事になっていたからこそ、「86通もの」メ ールをばらまくと言う「暴挙」に出たのでは?

                それを重大な悪事であるが如く言うのは無神経にも程があるのではないでしょうか?

                親コメント
              • >>メールを86通も投げる前に、直系の上司に一言相談すれば普通そんな事にはならないでしょう。

                「そんな事」とは「メールを86通投げる」に係っています。

                >#何をやったかの正確なところは判決文の公開を待つしかないが。

                これは同感です。
              • 相談する相手は、なにも直属の上司だけじゃないでしょう?
                それを重大な悪事であるが如く言うのは無神経にも程があるのではないでしょうか?
                ご自分でおっしゃる通り「暴挙」であることに違いはないのです。無神経かどうかにはまったく関係がありません。
              • by az77 (11230) on 2002年09月08日 19時30分 (#162340)
                「暴挙」であると認識があるのであれば、まずは他の手を考える必要があります。
                また、最悪の事態として「暴挙」を行うにしても結果に対する想像も必要でしょう。

                私が言っているの「暴挙」に出る前に、やれる事があるだろうということです。

                この主張を無神経と言うのであればその通りなのかもしれません。
                ただ、私自身は全くそうは思いません。
                親コメント
              • 「86通ものメールをばらまく」というとアレゲですが、 単にメーリングリストに1通投げただけではないでしょうか。
              • >「86通ものメールをばらまく」というとアレゲですが、単にメーリングリストに1通投げただけではないでしょうか。

                実質的に何が違うのさ。
              • その人がどのくらい正気沙汰でなかったかが違うのでは。
            • #お。前スレの粘着くんだ。

              > 気がついた奴は、一生懸命しかるべき筋を探せということですね。

              一生懸命探さないと、自分の使っているシステムの管理者も探せないのですか。

              > まぁ、まともに報告は決してされなくなることだけは確実でしょう。

              まぁ、あなたにまともな報告ができないことだけは確実でしょう。

              ところで。
              マンションなどで隣の部屋の鍵が開いているとします。
            • 気がついた奴は、一生懸命しかるべき筋を探せということですね

              日常生活だってそうでしょう?税金の問題を警察に持ち込んでも相手にされないし、泥棒にお金を取られたと救急車を呼んでもしかたないわけで。通常

          • ちょっと勘違いしていませんか?

            このWhite Hackerたちのやった事は、
            ・システム運営上深刻なセキュリティホールがある事を偶然発見。
            ・それを実証するためのデータを採取して、管理者に送付し、穴を塞ぐように要求した
            と言う二点であり、金品を要求する、いわゆる「ゆすりたかり」とは全く違う、善 意からの行為だったのではないですか?
            そう考えると、企業の取った告訴と言う処置も、今回の判決も極めて不当な物であると見える のですが。

            この判決の問題点は、相手のセキュリティホールを確認して改善を促すWhite Hacking を、相手のセキュリティホールを突いて相手に分からないように相手に損害を与える Crackingと同等かそれ以上に悪い事だと判断した事にあるのではないでしょうか?

            このような勘違いした判決が出てしまい、それを「まともな判決」と捉える人が続出す ると、今回彼らがやったように、内々で改善を要求すると言う事が全く出来なくなってしまうのですよ。

            そうなると、White hackerに残された道は一つだけ、セキュリティホールを匿名で 公衆にばらして「祭」を誘発して相手の恥を晒す形で改善を要求するしかなくなる 訳ですよ。

            こうなると、「セキュリティホール=恥だから公開をやめる」企業が続出して、公開さ れていた資料を非公開にする流れが出来かねない。

            今回の判決は何の本質的な解決にもなっていないと思います。

            「Cracking=悪い事」と単純に捉えてしまう事が、それだけの悪弊をもたらす事を、是 非とも考えて欲しいと思うのですが。

            親コメント
            • by az77 (11230) on 2002年09月08日 19時35分 (#162342)
              他の人の真似して、物質的な事に置き換えてみます。

              *~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~*

              1.あるビルに会社が何社か入っていましていました。
                そのビルはビルの管理者側で入室用のセキュリティを管理しています。
                そのビルの部屋に入るには、各部屋毎のパスワードを入力する必要があります。

              2.ある日、そのビルに入っているA社の社員であるBさんが偶然パスワードの規則性を発見しました。

              3.ある日の深夜誰もいない時間に、Bさんは自分の推論を確かめる事にしました。
                A社とは全く関係ないZ社の部屋の扉をパスワードを入力して開くことを、実際に自分で確認しました。

              4.それだけでは、証拠にならないのでZ社の部屋の中にあった適当な書類をコピー機でコピーして持ち出しました。

              5.次の日、各部屋のパスワードの具体的な推測の方法を書いた紙を作成し、A社の社員に配って歩きました。

              6.また、証拠となるZ社の書類のコピーは上司に提出しました。

              <問>
              Bさんの行動にはすべからく落ち度がなく、社会人としての常識・モラルに則った行動だと思われますか?

              *~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~*

              私は行き過ぎだと思います。また、それが普通の見解だと思います。

              善意であれば何をしても許されるわけではありません。
              善意で合っても、法や社会の常識と照らし合わせて著しく逸脱していれば犯罪となります。

              今回の件の本質的な問題は、脆弱性を指摘した事ではありません。
              少なくとも、私はそう思います。
              親コメント
              • そのたとえ話の今回の事件への適用の不味い点:

                4.それだけでは、証拠にならないのでZ社の部屋の中にあった適当な書類をコピー機でコピーして持ち出しました。

                部屋への侵入の場合は、部屋に侵入できた時点で書類も持ち出せることが明白であるのに対して、電磁的記録の場合は、読み

            • >金品を要求する、いわゆる「ゆすりたかり」とは全く違う、善意からの行為だったのではないですか?

              善意ならば、なにやっても許されるわけじゃないだろ。
              ようするに今回の判決は、元社員のやったことは善意の範疇を超えてるってを言ってる事だろ。

              そこを理解出来ないと、
                >このような勘違いした判決が出てしまい、それを「まともな判決」と捉える人が続出すると、今回
                >彼らがやったように、内々で改善を要求すると言う事が全く出来なくなってしまうのですよ。
              という歪んだ結論に達するんだろうなぁ。

              他で出てた家の例で言えば
              1.どっかの家の鍵を
              • 全く不適当なたとえ話ですね。悪質なたとえと言わざるを得ない。

                他人の家の鍵云々は自分の脅威と無関係だけれど、
                今回の事件では自社のパスワードも同様に脅威にさらされている
                ということを訴えた点が異なる。
              • > 全く不適当なたとえ話ですね。悪質なたとえと言わざるを得ない。

                うちのアパートの鍵って、暗証番号なんです。
                で、たまたまかどうかは知りませんがその暗証番号が部屋番号と同じなんです。
                これがたまたまかどうかを調べるために、隣の部屋の鍵を開けてみたら開いちゃうんです。
                でも、これだけだと誰も信じてくれないかも知れないので、証拠品として隣の部屋からアレゲな本を持ってきました。
                さらに、大家さんに報告しても握りつぶされるかもしれない
            • それを実証するためのデータを採取して

              どうして実証するためのデータを自分たちで採取する必要があるのでしょう?セキュリティ上の潜在的な問題点に気づいた段階で、管理者たちにその知見を知らせるだけで十分だと思いますが。「ゆすりたかり」じゃないから善意からの行為だ、というのはあまりに単純すぎます。

              このような勘違いした判決が出てしまい

              勘違いはあなたの方ですね。

              そうなると、White hackerに残された道は一つだけ、セキュリティホー

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...