アカウント名:
パスワード:
現実の力業での話と、Webサイトのセキュリティホールのような誰しも簡単に実行することのできるものを一緒に扱うのはどうかと思います。
自販機で「バールのようなもの」を使って無理矢理こじ開けたりすれば確かにすぐに犯罪に問われるでしょうが、本来は商品を購入するときに押すはずのボタンを3ついっぺんを押すと簡単に収納してあるコインがザラザラと出てくるとかいう問題であれば、自販機作成側の過失が問われて然るべきだと思います。
accsの件で言えばまさに後者に等しいもので、コンピュータの世界では複製や自動化が簡易に実行可能なので顕著であるだけだろうと思います。
さらに悪いことにコンピュータの世界ではハードウエアのベンダーとソフトウエアのメーカー、そしてそれを納入するシステムエンジニアリングの会社が手を組んでがっちりスクラムを組んでクローズドな(そしてできるだけ金を搾り取れる)システムを組むのが常識化してしまっていますので、たとえ外部からセキュリティホールや不具合の警告を受けても無視される(担当者が無視するか報告のルーティング中で消滅するか)のが通常の流れです。
「なに?セキュリティホールがあるだって?言いがかりはよせよ。本当にあるって言うのなら身分を明かして証明して見せろよ」 と言われて証明して見せた結果、不正アクセス禁止法(通称)違反であると通報されかねないという危険をはらんでいるというわけです。でもソースコードもバイナリも参照/取得できないシステムにおいては、実際に稼働しているシステムに対してアクセスを行う以外に証明する術は無いというのが現状です。
私自身、こういう第三者としてのセキュリティコンサルタントを本業としていますので、常に危険と隣り合わせだったりします。いくら契約などで予防線を張っても欠陥指摘=不正アクセスと見なす厄介なベンダーさんは後を絶ちません。。
本来は商品を購入するときに押すはずのボタンを3ついっぺんを押すと簡単に収納してあるコインがザラザラと出てくるとかいう問題であれば、自販機作成側の過失が問われて然るべきだと思います。
もしかしてもクソも、可能性だけで被害者面する権利は誰にも無いよ。
可能性だけだったら大小を考えなければ常にある。 なら、全ての攻撃は容認されるべき?アホくさ。
> 情報提供をいただいたご本人に関する情報について、 > ACCSでは秘密を厳守することを原則とします。 > ただし、調査活動のために他の著作権団体等と連携する必要がある場合には、 > 取り扱いについての厳重な注意義務を > 課した上で、あなたの個人情報を含んだ情報の全てまたは一部を、 > 連携先の団体等に対して提示することがあります。
ですから今回の話も飽く迄不正アクセス禁止法に則って、ですよね。 でもって、プライバシーの侵害という被害が現実にある。
>>「自分の権利を通す≒他人の権利を侵害する」事は認められない って話だが、どんな「他人の権利」を侵害したことになるの? 憲法13条ですね。 公共の福祉に反していると判断されない限りは、他人にとやかく言われる筋合いは無いって事。
>実際の被害が明らかになるまで法に頼れないと言うな
関係無いって。 駄菓子屋の婆さんが店先の煎餅缶にお金を入れていたからって、盗めば窃盗。 難易度の問題ではない。
只、ネットワーク上ではその辺りの判断がまともに出来る人が一般社会よりも少ないってだけ。 でもって、セキュ
法的には後者のほうも違法行為ですよね。 意図せず投入金額以上の物品を得てしまったら返還する必要があるはずです。さもなくば横領罪でしょう。 さらに、意図していたなら立派な窃盗罪です。 バールのようなものでこじ開けて盗んだ場合は、窃盗罪に器物破損罪が加わ
別にそんなのネット上の話って訳でも無いと思うけど。
実は相手にも誠意を持って応対する義務も修正をする義務も無いし。 それに自分に相手に修正させる権利なんかまずどこからも出てこないし。
人間関係でもそうだけど変に相手に義務があると思ったり、自分に権利があると思ったりする事からトラブるってのは良くある話やね。
>でも、もし、漏洩情報に、自分のデータが含まれてたら、どうする? 正式に被害届を出す権利ゲットです。 お好みに応じて損害賠償請求をするのも良いでしょう。
>或いは、そのサイトを利用したいと思った場合には... 諦めてそのまま使うか、使うのを辞め
例えば、世の中にいる全ての人は私に危害を加える可能性があります。 でも、それを名目として殺して回るってのはマズイだろって事。
>自分のID等が不正に使用される(使った覚えのない請求が来た等)とか、もっと分かりやすい被害発生
正月ぼけが過ぎるよ。
それってスピード違反で「なんで俺だけ」ってのと何ら替わらん。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
何だかなあ… (スコア:2, すばらしい洞察)
# まあ、私ならわざわざ違法な事はしません。
Re:何だかなあ… (スコア:5, すばらしい洞察)
現実の力業での話と、Webサイトのセキュリティホールのような誰しも簡単に実行することのできるものを一緒に扱うのはどうかと思います。
自販機で「バールのようなもの」を使って無理矢理こじ開けたりすれば確かにすぐに犯罪に問われるでしょうが、本来は商品を購入するときに押すはずのボタンを3ついっぺんを押すと簡単に収納してあるコインがザラザラと出てくるとかいう問題であれば、自販機作成側の過失が問われて然るべきだと思います。
accsの件で言えばまさに後者に等しいもので、コンピュータの世界では複製や自動化が簡易に実行可能なので顕著であるだけだろうと思います。
さらに悪いことにコンピュータの世界ではハードウエアのベンダーとソフトウエアのメーカー、そしてそれを納入するシステムエンジニアリングの会社が手を組んでがっちりスクラムを組んでクローズドな(そしてできるだけ金を搾り取れる)システムを組むのが常識化してしまっていますので、たとえ外部からセキュリティホールや不具合の警告を受けても無視される(担当者が無視するか報告のルーティング中で消滅するか)のが通常の流れです。
「なに?セキュリティホールがあるだって?言いがかりはよせよ。本当にあるって言うのなら身分を明かして証明して見せろよ」 と言われて証明して見せた結果、不正アクセス禁止法(通称)違反であると通報されかねないという危険をはらんでいるというわけです。でもソースコードもバイナリも参照/取得できないシステムにおいては、実際に稼働しているシステムに対してアクセスを行う以外に証明する術は無いというのが現状です。
私自身、こういう第三者としてのセキュリティコンサルタントを本業としていますので、常に危険と隣り合わせだったりします。いくら契約などで予防線を張っても欠陥指摘=不正アクセスと見なす厄介なベンダーさんは後を絶ちません。。
Re:何だかなあ… (スコア:1)
損害をわざわざ作るのは通報者のやる事ではないです。
損害を出す方法を知った時にどうするかは微妙ですが、法を侵してまで報告する事は私はしません。
その道の専門家が売り込むなら、過去の事例を引き合いに出すのが良いと思います。
Re:何だかなあ… (スコア:0)
ネットの場合は被害者は消費者だからね。しかも被害が出ても原因が全然不明だったりする。自販機と違って。
自販機にたとえるのが悪いね。
> 過去の事例を引き合いに出すのが良いと思います。
過去の事例なんてあるの?
Re:何だかなあ… (スコア:0)
欠陥のある自販機を放置しても損害を受けるのは設置者だけだが、(だから設置者に欠陥を教えてあげるのが親切というものだが)
企業のサイトの欠陥だと被害を受けるのが自分を含めた多くの利用者だということ。
利用者として修正を要求するのは?当然アリ。
直してくれな
Re:何だかなあ… (スコア:0)
もしかしてもクソも、可能性だけで被害者面する権利は誰にも無いよ。
可能性だけだったら大小を考えなければ常にある。
なら、全ての攻撃は容認されるべき?アホくさ。
Re:何だかなあ… (スコア:2, すばらしい洞察)
確実に被害を被る手段が「欠陥」として存在しており
その欠陥を利用される可能性があるって事じゃないの?
潜在的なバグとはわけが違う。
既にバックドアが存在しているって事。
例えば今回の件のACCSであれば
情報提供を求めるページ [accsjp.or.jp]に
と明記しており、そういう約束で情報の提供を受けているわけだから、
このような「既知」のバックドアを放置しておく事は容認されるべきではない。
だからと言ってoffice氏のように個人情報を漏洩させても良いという道理はないが、
提供者には、自分の情報が本当に漏れないかどうか確認するくらいの権利はあっても罰は当たらんだろう。
uxi
Re:何だかなあ… (スコア:0)
そもそも根本的に何でそこで「権利」なんだ?
他者のやっている事の問題と自分の心配の間には特に関係は無いよ。
心情的に言いたいことは解るが、普通一般的にはそれらは「要望」に分類される事だろ?
間違っても権利では無いし、そういう自らの「要望」を「権利」と勘違いするのは百害あ
Re:何だかなあ… (スコア:1)
一言付け加えておくと
その「可能性」がない事を確認する「権利」をくれと「要望」したいと言う事で、、、
# そんなんで犯罪者扱いされて検挙された日には泣くに泣けないと言うかですねぇ、、、
uxi
Re:何だかなあ… (スコア:0)
ものの窃盗は代替品の補填? で対応できるから保険という対応策もあるが、情報はそれも難しいっしょ?
法律には明るくないのでよくわからんが、本当に物品の窃盗と同一視することが理念として正しいの?
現在の法律で同一視するしかなく、権利の主張ができないってんなら、法整備するところから考えるべきだと思うんだが、違うのか……?
それから、情報漏洩の可能性を
Re:何だかなあ… (スコア:0)
難しいと思うよ。
ほとんど無条件の検閲権を寄越せってのと同等な要求だから。
「無い」ってものを確認するって事はそう。
それは不可能だから現実論として「有った」という事後の証拠が使われる訳で。
Re:何だかなあ… (スコア:0)
それは解ると思うのですが。
ですから今回の話も飽く迄不正アクセス禁止法に則って、ですよね。
でもって、プライバシーの侵害という被害が現実にある。
>>「自分の権利を通す≒他人の権利を侵害する」事は認められない って話だが、どんな「他人の権利」を侵害したことになるの?
憲法13条ですね。
公共の福祉に反していると判断されない限りは、他人にとやかく言われる筋合いは無いって事。
>実際の被害が明らかになるまで法に頼れないと言うな
Re:何だかなあ… (スコア:0)
Re:何だかなあ… (スコア:0)
>いくら契約などで予防線を張っても欠陥指摘=不正アクセスと見なす厄介なベンダーさんは後を絶ちません。。
素直に「欠陥を指摘する業務です」と契約に謳えばよいだけでは?
契約外のことすれば当然訴えられると思うけど。
Re:何だかなあ… (スコア:0)
Re:何だかなあ… (スコア:0)
関係無いって。
駄菓子屋の婆さんが店先の煎餅缶にお金を入れていたからって、盗めば窃盗。
難易度の問題ではない。
只、ネットワーク上ではその辺りの判断がまともに出来る人が一般社会よりも少ないってだけ。
でもって、セキュ
Re:何だかなあ… (スコア:0)
法的には後者のほうも違法行為ですよね。
意図せず投入金額以上の物品を得てしまったら返還する必要があるはずです。さもなくば横領罪でしょう。
さらに、意図していたなら立派な窃盗罪です。
バールのようなものでこじ開けて盗んだ場合は、窃盗罪に器物破損罪が加わ
じゃぁ、どうしよう? (スコア:2, 興味深い)
セキュリティホールを見つけら、なにをすればいいんでしょうか。
- サービス提供者に通知する。
- 証拠を提示せず、セキュリティホールの存在のみを公開する。
- 証拠 (方法または結果) を公開する。
- 内容証明でサービス提供者に通知した上で、xx日間返事がなかったときに公開。
- 公平な第三者機関を仲介して……
- 自分だけ使うのをやめる、見なかったことにする、そもそも探さない、の3択。
きっと自分が見つけることはないのでひとごと。でも、それでいいのだろうか?→無視されておしまい
→風評被害にあったと訴えられる
→それは非常識で違法で犯罪
→裁判で通知方法の妥当性を問われる。『指摘の方法がよほどおかしい』など。恐喝に問われる可能性もあり
寡聞なので、適切な第三者機関を知りません。誰か教えて。
ちとナサケナイが、身をわきまえてこのあたりか……
Re:じゃぁ、どうしよう? (スコア:1)
法的なのはさておき,倫理的にはどうなんだろう。
送信可能状態にある個人情報の存在を周知することは,実際に新聞各社でも報道される社会性のある問題だから,私には間違った行動には思えないのだな。よく,テレビ局とかでも不正に入手した名簿を伏字にして使ったりしてるし。個人のサイトでも社会性のある事実を伝えることじたいは,報道といってさしつかえないように思う。ただ,朝日の記事の引用から受ける印象だと「言論・表現の自由」は,まるで新聞社の利権のようにも思えるけれども。
で,どうなのよ。 と,聞かれても答えはないんだけれども・・・
役に立たない参考資料:情報処理学会倫理綱領 [ipsj.or.jp],新聞倫理綱領 [pressnet.or.jp]
斜点是不是先進的先端的鉄道部長的…有信心
Re:じゃぁ、どうしよう? (スコア:1)
→無視されておしまい
この無視には、二通りあると思う。
Re:じゃぁ、どうしよう? (スコア:0)
これに関して問題となる対処のされ方がありましてですね。
・言われた所だけ問題が無いようにパッチする
....根本的に問題があるのに、示された例でだけ上手い事動くように細工されちゃう訳ですわ。これが一番やばい。
# 多分officeがやさぐれたきっかけ
Re:じゃぁ、どうしよう? (スコア:0)
放っておきな (スコア:1, すばらしい洞察)
別にそんなのネット上の話って訳でも無いと思うけど。
実は相手にも誠意を持って応対する義務も修正をする義務も無いし。
それに自分に相手に修正させる権利なんかまずどこからも出てこないし。
人間関係でもそうだけど変に相手に義務があると思ったり、自分に権利があると思ったりする事からトラブるってのは良くある話やね。
Re:じゃぁ、どうしよう? (スコア:0)
>寡聞なので、適切な第三者機関を知りません。誰か教えて。
どなたか仰っていましたが。
->JPCERT/CC
Re:じゃぁ、どうしよう? (スコア:0)
アクセスの多そうな匿名掲示板でバラしましょう:-)
Re:じゃぁ、どうしよう? (スコア:0)
Re:じゃぁ、どうしよう? (スコア:0)
1)自分で適当な個人情報(公開しても構わないものやhogehoge)を登録。
2)自分で実験。
3)セキュリティホールをサービス提供者に通知。
4)セキュリティホールの存在を公開。
なんてのはどうでしょ?
Re:じゃぁ、どうしよう? (スコア:0)
だけでいいんでないの?
無視するかしないかは提供者が決めることだし、後に悪意による攻撃を受けたことが発覚したのに、
しょーもない言い逃れしてて、我慢がならないのであれば、
事前に通知していることが証明で
Re:じゃぁ、どうしよう? (スコア:1)
>だけでいいんでないの?
自分に関係なければ、それで良いと思う。
でも、もし、漏洩情報に、自分のデータが含まれてたら、どうする?
或いは、そのサイトを利用したいと思った場合には...
-- Buy It When You Found It --
Re:じゃぁ、どうしよう? (スコア:0)
現状ではコレしか無いでしょ?
>でも、もし、漏洩情報に、自分のデータが含まれてたら、どうする?
正式に被害届を出す権利ゲットです。
お好みに応じて損害賠償請求をするのも良いでしょう。
>或いは、そのサイトを利用したいと思った場合には...
諦めてそのまま使うか、使うのを辞め
Re:じゃぁ、どうしよう? (スコア:2, すばらしい洞察)
> 正式に被害届を出す権利ゲットです。
どうやって自分が被害にあったことを証明するんでしょうか?
Re:じゃぁ、どうしよう? (スコア:0)
まあ、間違い無く自分のデータが関連する、のであれば可能性をちらつかせ情報開示を求める。
なんなら、裁判でも起こすってのも一案。
まあ、その前に弁護氏名できちんと状況説明を求めるのを忘れずに。
他にも考えられる手は何でもかんでも使って証拠を掴む必要がある。
「どうや
Re:じゃぁ、どうしよう? (スコア:0)
今の世の中、あなたの情報が全く漏洩していないなんてことはありません。
漏洩した事実がなんらかの手段により公表されたり、どこかで悪用されて実害を蒙れば、わかりますよね。
わからなければ、それは実害がないのですよ。
#法人としては問題あろうが、個人的にはその程度で問題無し
Re:じゃぁ、どうしよう? (スコア:1)
自分のID等が不正に使用される(使った覚えのない請求が来た等)とか、もっと分かりやすい被害発生後なら、まだ方法はあるんでしょうけど。
# 単に誤請求とかで終わりそうな気がしますが。
Re:じゃぁ、どうしよう? (スコア:1)
> >もし、漏洩情報に、自分のデータが含まれてたら、どうする?
> 正式に被害届を出す権利ゲットです
なので、漏洩した(する)ことが被害だと読みましたが。
他の実害があるなら、あなたのおっしゃる通りです。
Re:じゃぁ、どうしよう? (スコア:0)
未然に防ぐのが現実的で無いんではなく、その為に取れる手段は限られているって事。
例えば、世の中にいる全ての人は私に危害を加える可能性があります。
でも、それを名目として殺して回るってのはマズイだろって事。
>自分のID等が不正に使用される(使った覚えのない請求が来た等)とか、もっと分かりやすい被害発生
Re:じゃぁ、どうしよう? (スコア:1)
「どうやって証明するか?」って部分に対して書かれていると読みました。違ったら流してください。
私が書きたかったのは、セキュリティホールを見つけたときに自分のデータが漏洩することが分かっていても、それは漏洩を証明するデータとしては使えないってことです。それを使って証明したら、今回と同じ轍を踏むことになります。
# 分かりづらかったかも新米(死語
Re:何だかなあ… (スコア:0)
今回の件ではoffice氏の主張は、誰でも簡単にお金を拾うことができるという状態だと。
放置しておけばいずれ誰かが置き引きしちゃうから、
返すことを前提に確保するのは善意の行動としてはありでしょ。
#今回の件が本当に誰でも見れる状態だったかは知らん。
Re:何だかなあ… (スコア:0)
残念だがそうじゃなくてだね。
なんとかっつーイベントで[こんなことができちゃうところがあるんですよばかですねーゲゲゲ]とか言いながら実際に情報を抜き出して見せちゃったんですよ。
Re:何だかなあ… (スコア:0)
彼のおかげで他の人達までが同じような目で見られてしまうことが問題なのよ。
Re:何だかなあ… (スコア:0)
だけどね、このスレッド主の yosshy みたいな、低レベルなすり替え例え話が後を絶たないわけよ。お前もなんとかしろ。
でも (スコア:0)
Re:でも (スコア:1, 参考になる)
それも含めて、問題なのでは? :-P
#一連のコメント見て思ったけど、結局、この記事の一連のコメントは、なにを言いたいのかがはっきりしない。
#単にやり方がおかしいという話から、こういう、告発めいたことをすること自体が間違っている話まで出てて...
#前者ならわかるが、後者だとしたら、「日本での告発に関する意識って、滅茶苦茶、幼稚だな」としか言いようがない。
Re:何だかなあ… (スコア:0)
その行動はまずいよね。それは責めを負うべきだ。
(企業のディレクトリパーミッション設定ミスのように損害賠償の対象となるとかね)
しかしその行動が不正アクセス禁止法に抵触というのはおかしい気がする。見せた件と実際に試す件は切り離して考えるべきだ。
Re:何だかなあ… (スコア:1)
抜き出した輩は office氏以外にはいない事を証明する
なり、他の輩もしょっ引いて、そいつらも office氏も、同様
に処罰するべきだな。
なんだか、一人釣るし挙げておいて良しとする風潮が
癪に障る。
結局バレなきゃいいのよ、誰かバカ一人が捕まってくれ
ればいいのよ、という雰囲気を加速させているだけのような。
Re:何だかなあ… (スコア:0)
それなら今回の件はつるし上げられても問題ないよな?
だれでもできる状態だから悪くないのではなく、実行してしまった悪いの。
そんなこともわからないのか?
Re:何だかなあ… (スコア:0)
正月ぼけが過ぎるよ。
それってスピード違反で「なんで俺だけ」ってのと何ら替わらん。
Re:何だかなあ… (スコア:0)
いけないという主張なら、犯人を全員どこかにおびき寄せて一斉検挙
でもしない限りは、永久に犯罪者は逮捕できないな。
ある違法行為を抑制しようとする場合、一人でも逮捕されるのと、
一人も逮捕されないのとでは全く違うぞ。
Re:何だかなあ… (スコア:0)
万引きは誰でも簡単にできるけど、できるからって実践して、さらに
やり方を第三者に教えたりするのって窃盗教唆・示唆になるよね。
現状でセキュリティ関係者が合法的にできることは、管理者への警告と
問題の改善されないサイトを公表するこ
確かになあ (スコア:0)