アカウント名:
パスワード:
http://www.ipa.go.jp/security/todoke/index.html [ipa.go.jp]下手に直接連絡すると不正アクセスしたと訴えられかねん
個人がやったら不正アクセスになることでもIPAがやったらならないなんてことは一切ないのに不思議な話だ。大事なことだからもう一度言うがIPAには不正アクセスの調査に関して別に警察のような特別な権限は一切与えられていない。
IPAは、届出を受けた脆弱性情報について、必ずしも実際に当該脆弱性にアクセスして確認しているわけではないと思いますが、仮に当該脆弱性にアクセスする行為があったとしても、一般人よりは違法性が阻却されるとの評価を受けやすいように思いますよ。IPAの脆弱性情報受付業務は、法令に基づいて行っているわけですから。
(業務の範囲)第二十条 機構は、第十条の目的を達成するため、次の業務を行う。五 情報処理に関する安全性及び信頼性の確保を図るため、情報処理システム(電子計算機及びプログラムの集合体であつて、情報処理の業務を一体的に行うよう構成されたものをいう。)に関する技術上の評価を行うこと。 情報処理の促進に関する法律 [e-gov.go.jp]第20条第5号
(高度情報通信ネットワークの安全性の確保等)第二十二条 高度情報通信ネットワーク社会の形成に関する施策の策定に当たっては、高度情報通信ネットワークの安全性及び信頼性の確保、個人情報の保護その他国民が高度情報通信ネットワークを安心して利用することができるようにするために必要な措置が講じられなければならない。 高度情報通信ネットワーク社会形成基本法 [e-gov.go.jp]第22条
I.主旨 本基準は、ソフトウエア等に係る脆弱性関連情報等の取扱いにおいて関係者に推奨する行為を定めることにより、脆弱性関連情報の適切な流通及び対策の促進を図り、コンピュータウイルス、コンピュータ不正アクセス等によって不特定多数の者に対して引き起こされる被害を予防し、もって高度情報通信ネットワークの安全性の確保に資することを目的とする。 ソフトウエア等脆弱性関連情報取扱基準 [meti.go.jp](平成26年経済産業省告示第110号)I
一、経済産業大臣が別に指定する受付機関について1.名称 独立行政法人情報処理推進機構 ソフトウェア等脆弱性関連情報取扱基準に基づき経済産業大臣が別に指定する受付機関及び経済産業大臣が別に指定する調整機関を定める件 [meti.go.jp](平成21年経済産業省告示第223号)一の項
(正当行為)第三十五条 法令又は正当な業務による行為は、罰しない。 刑法 [e-gov.go.jp]第35条
法に定められた正当業務行為だから問題ないね。
このツリーにもいっぱいコメントが付いているような知ったかぶりから身を守るのに極めて有用。
権限の問題じゃなくて、身分の問題です。セキュリティ問題に無知な民間企業の担当者が
1.どこの馬の骨とも知れない個人に脆弱性を指摘された2.公的機関に脆弱性を指摘された
指摘した相手が個人の場合、聞く耳持たずに犯罪者扱いする危険性が高いってこと。逆に、役人の言うことなら聞き入れるって人はそれなりにいますからね。
身分の問題ですよ。法律に基づいた業務行為による指摘と、単なる一市民では法的身分が異なります。
言い換えると、無視すると行政処分が飛んでくる相手と、無力な一市民の差ですね。一市民が暴れても、名誉毀損扱いされたり犯人扱いされるだけですからねぇ…。公務員は、そこらへん法律で守られますので。正当教務行為ですから。
管理者への許可も、IPAが確認するためなら不要だったりしないのかな?
(「不正アクセスせずに脆弱性を見つけた」というケースは置いといて)”本人”が直接通報したら「不正アクセスしたことを自ら暴露した」となって”本人”が疑われるけど、”本人”がIPAに匿名通報し、IPAからご連絡が入るなら、IPAは当然不正アクセスしていないのだから摘発対象にはならない、という話をすべきだったんじゃないかなぁ。
話の流れ的には「通報しただけなのに一般人は摘発されてIPAなら摘発されない、なぜならIPAは偉いからだ」みたいな話になっちゃってるけど。
おっと、IPAへの通報は匿名ではありませんでしたね、そこは誤りです。
本当にたまたま通常の操作をしていて脆弱性を発見してしまったのなら、堂々と企業とIPAに通報すれば良い。不正アクセスの故意が無いから問題にならない。管理者の欠陥を暴いてやろうという意図で故意に嗅ぎ回って発見した場合は不正アクセスの故意があるから犯罪になる。つまり、普通に過ごしていてたまたま欠陥を見つけた無実の人が罪に問われる可能性はないから安心。こっそり鼻を明かしてやろうという犯罪性向の持ち主だけが処罰されるから何の問題もないのさ。
そううまく行きませんよ。故意のない操作で脆弱性に気がつく場合は結構ありますが、それが脆弱性として通報すべきかどうかまでその時点で判明することは稀です。
この記事の場合で考えてみましょう。「URLのみで文書にアクセスできて、文章IDらしきものを変えればだれでも読めるようにみえた」「URLの文章IDらしきものを変更したら実際に閲覧可能なことが判明した」これら2ステップで脆弱性だと確認していますが、あなたの理論では2ステップ目は不正アクセスになる可能性が高いので行うことが出来ません。しかし1ステップ目の段階ではIPAなどの組織に報告するには
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
IPAに連絡 (スコア:5, 参考になる)
http://www.ipa.go.jp/security/todoke/index.html [ipa.go.jp]
下手に直接連絡すると不正アクセスしたと訴えられかねん
Re:IPAに連絡 (スコア:0)
個人がやったら不正アクセスになることでもIPAがやったらならないなんてことは一切ないのに不思議な話だ。
大事なことだからもう一度言うがIPAには不正アクセスの調査に関して別に警察のような特別な権限は一切与えられていない。
Re:IPAに連絡 (スコア:2)
IPAは、届出を受けた脆弱性情報について、必ずしも実際に当該脆弱性にアクセスして確認しているわけではないと思いますが、仮に当該脆弱性にアクセスする行為があったとしても、一般人よりは違法性が阻却されるとの評価を受けやすいように思いますよ。
IPAの脆弱性情報受付業務は、法令に基づいて行っているわけですから。
Re: (スコア:0)
法に定められた正当業務行為だから問題ないね。
Re: (スコア:0)
このツリーにもいっぱいコメントが付いているような知ったかぶりから身を守るのに極めて有用。
Re: (スコア:0)
権限の問題じゃなくて、身分の問題です。
セキュリティ問題に無知な民間企業の担当者が
1.どこの馬の骨とも知れない個人に脆弱性を指摘された
2.公的機関に脆弱性を指摘された
指摘した相手が個人の場合、聞く耳持たずに犯罪者扱いする危険性が高いってこと。
逆に、役人の言うことなら聞き入れるって人はそれなりにいますからね。
Re: (スコア:0)
身分の問題ですよ。
法律に基づいた業務行為による指摘と、単なる一市民では法的身分が異なります。
言い換えると、無視すると行政処分が飛んでくる相手と、無力な一市民の差ですね。
一市民が暴れても、名誉毀損扱いされたり犯人扱いされるだけですからねぇ…。
公務員は、そこらへん法律で守られますので。正当教務行為ですから。
管理者への許可も、IPAが確認するためなら不要だったりしないのかな?
Re: (スコア:0)
(「不正アクセスせずに脆弱性を見つけた」というケースは置いといて)
”本人”が直接通報したら「不正アクセスしたことを自ら暴露した」となって”本人”が疑われるけど、
”本人”がIPAに匿名通報し、IPAからご連絡が入るなら、IPAは当然不正アクセスしていないのだから摘発対象にはならない、
という話をすべきだったんじゃないかなぁ。
話の流れ的には「通報しただけなのに一般人は摘発されてIPAなら摘発されない、なぜならIPAは偉いからだ」みたいな話になっちゃってるけど。
Re: (スコア:0)
おっと、IPAへの通報は匿名ではありませんでしたね、そこは誤りです。
Re: (スコア:0)
本当にたまたま通常の操作をしていて脆弱性を発見してしまったのなら、堂々と企業とIPAに通報すれば良い。
不正アクセスの故意が無いから問題にならない。
管理者の欠陥を暴いてやろうという意図で故意に嗅ぎ回って発見した場合は不正アクセスの故意があるから犯罪になる。
つまり、普通に過ごしていてたまたま欠陥を見つけた無実の人が罪に問われる可能性はないから安心。
こっそり鼻を明かしてやろうという犯罪性向の持ち主だけが処罰されるから何の問題もないのさ。
Re: (スコア:0)
そううまく行きませんよ。
故意のない操作で脆弱性に気がつく場合は結構ありますが、
それが脆弱性として通報すべきかどうかまでその時点で判明することは稀です。
この記事の場合で考えてみましょう。
「URLのみで文書にアクセスできて、文章IDらしきものを変えればだれでも読めるようにみえた」
「URLの文章IDらしきものを変更したら実際に閲覧可能なことが判明した」
これら2ステップで脆弱性だと確認していますが、
あなたの理論では2ステップ目は不正アクセスになる可能性が高いので行うことが出来ません。
しかし1ステップ目の段階ではIPAなどの組織に報告するには