パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

欠陥を指摘するはずが個人情報流出。セキュリティ専門家に捜査の手」記事へのコメント

  • 何だかなあ… (スコア:2, すばらしい洞察)

    「ほら、こうすれば自動販売機からお金が取れましたよ」と言って取ったお金を見せれば普通に捕まる気はしますけど。

    # まあ、私ならわざわざ違法な事はしません。
    • Re:何だかなあ… (スコア:5, すばらしい洞察)

      by Anonymous Coward on 2004年01月05日 0時02分 (#465412)

      現実の力業での話と、Webサイトのセキュリティホールのような誰しも簡単に実行することのできるものを一緒に扱うのはどうかと思います。

      自販機で「バールのようなもの」を使って無理矢理こじ開けたりすれば確かにすぐに犯罪に問われるでしょうが、本来は商品を購入するときに押すはずのボタンを3ついっぺんを押すと簡単に収納してあるコインがザラザラと出てくるとかいう問題であれば、自販機作成側の過失が問われて然るべきだと思います。

      accsの件で言えばまさに後者に等しいもので、コンピュータの世界では複製や自動化が簡易に実行可能なので顕著であるだけだろうと思います。

      さらに悪いことにコンピュータの世界ではハードウエアのベンダーとソフトウエアのメーカー、そしてそれを納入するシステムエンジニアリングの会社が手を組んでがっちりスクラムを組んでクローズドな(そしてできるだけ金を搾り取れる)システムを組むのが常識化してしまっていますので、たとえ外部からセキュリティホールや不具合の警告を受けても無視される(担当者が無視するか報告のルーティング中で消滅するか)のが通常の流れです。

      「なに?セキュリティホールがあるだって?言いがかりはよせよ。本当にあるって言うのなら身分を明かして証明して見せろよ」 と言われて証明して見せた結果、不正アクセス禁止法(通称)違反であると通報されかねないという危険をはらんでいるというわけです。でもソースコードもバイナリも参照/取得できないシステムにおいては、実際に稼働しているシステムに対してアクセスを行う以外に証明する術は無いというのが現状です。

      私自身、こういう第三者としてのセキュリティコンサルタントを本業としていますので、常に危険と隣り合わせだったりします。いくら契約などで予防線を張っても欠陥指摘=不正アクセスと見なす厄介なベンダーさんは後を絶ちません。。

      親コメント
      • by yosshy (3545) on 2004年01月05日 0時56分 (#465477) 日記
        本来は商品を購入するときに押すはずのボタンを3ついっぺんを押すと簡単に収納してあるコインがザラザラと出てくるとかいう問題であれば、自販機作成側の過失が問われて然るべきだと思います。
        損害を受けて初めて、被害者が製造者の過失を問えると思いますよ。
        損害をわざわざ作るのは通報者のやる事ではないです。
        損害を出す方法を知った時にどうするかは微妙ですが、法を侵してまで報告する事は私はしません。
        その道の専門家が売り込むなら、過去の事例を引き合いに出すのが良いと思います。
        親コメント
        • by Anonymous Coward
          > 損害を受けて初めて、被害者が製造者の過失を問えると思いますよ。

          ネットの場合は被害者は消費者だからね。しかも被害が出ても原因が全然不明だったりする。自販機と違って。

          自販機にたとえるのが悪いね。

          > 過去の事例を引き合いに出すのが良いと思います。

          過去の事例なんてあるの?
        • by Anonymous Coward
          欠陥のある自販機と違う点がある。
          欠陥のある自販機を放置しても損害を受けるのは設置者だけだが、(だから設置者に欠陥を教えてあげるのが親切というものだが)
          企業のサイトの欠陥だと被害を受けるのが自分を含めた多くの利用者だということ。

          利用者として修正を要求するのは?当然アリ。
          直してくれな
          • by Anonymous Coward
            >もしかして可能性だけでは要求する権利がないとお考えで?

            もしかしてもクソも、可能性だけで被害者面する権利は誰にも無いよ。

            可能性だけだったら大小を考えなければ常にある。
            なら、全ての攻撃は容認されるべき?アホくさ。

            • Re:何だかなあ… (スコア:2, すばらしい洞察)

              by uxi (5376) on 2004年01月05日 14時35分 (#465823)
              今の議論だと、単なる可能性ではなく
              確実に被害を被る手段が「欠陥」として存在しており
              その欠陥を利用される可能性があるって事じゃないの?

              潜在的なバグとはわけが違う。
              既にバックドアが存在しているって事。

              例えば今回の件のACCSであれば
              情報提供を求めるページ [accsjp.or.jp]に

              > 情報提供をいただいたご本人に関する情報について、
              > ACCSでは秘密を厳守することを原則とします。
              > ただし、調査活動のために他の著作権団体等と連携する必要がある場合には、
              > 取り扱いについての厳重な注意義務を
              > 課した上で、あなたの個人情報を含んだ情報の全てまたは一部を、
              > 連携先の団体等に対して提示することがあります。

              と明記しており、そういう約束で情報の提供を受けているわけだから、
              このような「既知」のバックドアを放置しておく事は容認されるべきではない。

              だからと言ってoffice氏のように個人情報を漏洩させても良いという道理はないが、
              提供者には、自分の情報が本当に漏れないかどうか確認するくらいの権利はあっても罰は当たらんだろう。
              --
              uxi
              親コメント
              • by Anonymous Coward
                >自分の情報が本当に漏れないかどうか確認するくらいの権利はあっても罰は当たらんだろう。
                そもそも根本的に何でそこで「権利」なんだ?
                他者のやっている事の問題と自分の心配の間には特に関係は無いよ。
                心情的に言いたいことは解るが、普通一般的にはそれらは「要望」に分類される事だろ?
                間違っても権利では無いし、そういう自らの「要望」を「権利」と勘違いするのは百害あ
              • by uxi (5376) on 2004年01月05日 17時01分 (#465910)
                心情的に解ってもらえてるなら大意は取って頂けてるんだと思いますが、、、

                一言付け加えておくと
                その「可能性」がない事を確認する「権利」をくれと「要望」したいと言う事で、、、
                # そんなんで犯罪者扱いされて検挙された日には泣くに泣けないと言うかですねぇ、、、
                --
                uxi
                親コメント
              • by Anonymous Coward
                ものの窃盗なら現物がなくなるからすぐ被害に気がつくけれど、情報漏洩はそういうわけにいかないっしょ?
                ものの窃盗は代替品の補填? で対応できるから保険という対応策もあるが、情報はそれも難しいっしょ?

                法律には明るくないのでよくわからんが、本当に物品の窃盗と同一視することが理念として正しいの?
                現在の法律で同一視するしかなく、権利の主張ができないってんなら、法整備するところから考えるべきだと思うんだが、違うのか……?

                それから、情報漏洩の可能性を
              • by Anonymous Coward
                >その「可能性」がない事を確認する「権利」をくれと「要望」したいと言う事で、、
                難しいと思うよ。
                ほとんど無条件の検閲権を寄越せってのと同等な要求だから。
                「無い」ってものを確認するって事はそう。
                それは不可能だから現実論として「有った」という事後の証拠が使われる訳で。
              • by Anonymous Coward
                どんな事で有れ可能性で処罰は不可能。
                それは解ると思うのですが。

                ですから今回の話も飽く迄不正アクセス禁止法に則って、ですよね。
                でもって、プライバシーの侵害という被害が現実にある。

                >>「自分の権利を通す≒他人の権利を侵害する」事は認められない って話だが、どんな「他人の権利」を侵害したことになるの?
                憲法13条ですね。
                公共の福祉に反していると判断されない限りは、他人にとやかく言われる筋合いは無いって事。

                >実際の被害が明らかになるまで法に頼れないと言うな

              • by Anonymous Coward
                なんか言いたいことが伝わっていない気がする。

                でもって、プライバシーの侵害という被害が現実にある。

                現実に被害が発覚するまでは法に頼ることはできない。処罰は不可能。
                それは理解している。でも漏洩してしまった情報は回収できないのだから、ある程度自己防衛するしかない。
                なので今は「自己防衛のためにサイトの安全性を確認する権利」の話をしている。

                >>「自分の権利を通す≒他人の権利を侵害する」事は認められないって話だが、どんな「他人の権利」を侵害したことになるの?
                憲法13条ですね。
                公共の福祉に反していると判断されない限りは、他人にとやかく言われる筋合いは無いって事。

              • by Anonymous Coward
                > 今回のOffice氏みたいに公開してしまうのは論外だが

                これがこのスレの主旨だろ。おまえ話題広げすぎ。

              • by Anonymous Coward
                > > 今回のOffice氏みたいに公開してしまうのは論外だが
                >
                > これがこのスレの主旨だろ。おまえ話題広げすぎ。

                お得意の俺様基準ですか。

                新聞記事に対する世間の認識に対する議論はそういう範囲でよいのですか?
              • by Anonymous Coward
                >利用者側が安全性確認をすることでサイト運営者の「生命、自由及び幸福追求に対する国民の権利」のどれかを侵害することになるのですか?

                方法によるでしょう。
                今回は違法行為の可能性が大きいと言うこと。

                >わからん、という話です。

                では勉強するか、その道のプロを雇えばよいのでは?

                >リアル世界と違って

                今回は全て現実の世界の話ですよ。

                >それでは動ける範囲が狭くなりすぎてしまう。それは仕方のないこと、と割り切るべきですか?

                はい、そうです。
                いやなら、勉強するか、その道のプロを
              • by Anonymous Coward
                > お得意の俺様基準ですか。

                そーゆーのは俺様基準とは呼ばん。批評だ。おまえ馬鹿すぎ。

              • by Anonymous Coward
                > > > > 今回のOffice氏みたいに公開してしまうのは論外だが
                > > > これがこのスレの主旨だろ。おまえ話題広げすぎ。
                > > お得意の俺様基準ですか。
                > そーゆーのは俺様基準とは呼ばん。批評だ。おまえ馬鹿すぎ。

                スレの趣旨を俺様ルールで狭めるなんて、俺様基準以外の何物でもないよね。誰が見ても。そんな発言してるとあなた自身の他の発言の信頼性も落ちるよ。

                ちなみに、
              • by Anonymous Coward
                #465823のuxiさんのコメント以降、「公開することの是非」ではなく「確認することの是非」の話をしようとしているのだがどうも伝わりきらないようだ。
                さらに、利用者の自己防衛、という話のはずがどうもサイト運営管理者の話になっている気がしてならん。利用者がプロを雇う、って話をしているのではないよな?
                どっかよそのプロに頼むにしても自分自身が何かするにしても、サイト管理者とセキュリティ監査に関する契約を結んで、契約で守ればよいなんてのは当たり前だが利用者としては現実的でないだろ。
                ま、契約で守るっつー前提がなけ
              • by Anonymous Coward
                >契約で守ればよいなんてのは当たり前だが利用者としては現実的でないだろ。

                は? 当たり前のことは普通の人にとって現実的なことですよ。

                >前提がなければ何もかもグレーゾーンというあなたの主張はわかった。

                前提もなく答えが出ると思うのは馬鹿ですからね。

                >URL1文字の打ち間違いで他人の情報が引き出せてしまうようなしょぼいサイトにぶち当たってしまったらせいぜい天に祈ることにしよう。
              • by Anonymous Coward
                1.穴を突いた時点で法的にクロ。情報得た時点で少なくとも道義的にクロ。
                2.攻撃方法を確認した時点で攻撃しているからクロ。
                3.情報を得ている時点で攻撃しているからクロ。
                4.精々が自分のサイトで話題にする程度。
                5.相手と相手の弁護士次第では?
                6.情報を得た時点でクロ。更に漏らしたらもう口出しする権利なし。
                7.それは過失。んでその情報の使い方次第に依ってはク
              • by Anonymous Coward
                > > 1. 確認した結果、穴があれば何らかの情報が得られてしまう
                > > 可能性があるわけだが、それを公開or自身で悪用しなければ確
                > > 認作業自体は白?(プライバシーの侵害による実被害は発生し
                > > ていないと考えられる?)
                >
                > 1.穴を突いた時点で法的にクロ。情報得た時点で少なくとも道義的にクロ。
                >
                > > 2. 修正要望を出すときに自分が確認した攻撃方法を管理者に
                > > 知らせるのは白?
                >
                > 2.攻撃方法を確
              • by Anonymous Coward
                >欠陥の種類によっては、情報を得ず、相手方に影響を残さずに、穴があることだけを確認できる場合がありますが、
                そもそも相手に影響を残す残さないは関係ない。
                相手にアクセスしたのかしていないのかが問題。
                影響を与える与えないってのは幾つもの偶然による結果論に過ぎない。
                #無用なトラフィックが増えたと言われる可能性もあるぞ。
                >それはどれのことでしょうか?
                知らないな
      • by Anonymous Coward
        「あなたを」無視するのは相手の勝手でしょ? 心配しなくっても相手の前にある他の重要案件が済み次第警告は受け入れられますって。 ああそうか、あなたはチップを要求するんですね。
      • by Anonymous Coward
        あなたの職業が良く分からん…。

        >いくら契約などで予防線を張っても欠陥指摘=不正アクセスと見なす厄介なベンダーさんは後を絶ちません。。

        素直に「欠陥を指摘する業務です」と契約に謳えばよいだけでは?
        契約外のことすれば当然訴えられると思うけど。
      • by Anonymous Coward
        >現実の力業での話と、Webサイトのセキュリティホールのような誰しも簡単に実行することのできるものを一緒に扱うのはどうかと思います。

        関係無いって。
        駄菓子屋の婆さんが店先の煎餅缶にお金を入れていたからって、盗めば窃盗。
        難易度の問題ではない。

        只、ネットワーク上ではその辺りの判断がまともに出来る人が一般社会よりも少ないってだけ。
        でもって、セキュ

      • by Anonymous Coward

        自販機で「バールのようなもの」を使って無理矢理こじ開けたりすれば確かにすぐに犯罪に問われるでしょうが、本来は商品を購入するときに押すはずのボタンを3ついっぺんを押すと簡単に収納してあるコインがザラザラと出てくるとかいう問題であれば、自販機作成側の過失が問われて然るべきだと思います。

        法的には後者のほうも違法行為ですよね。
        意図せず投入金額以上の物品を得てしまったら返還する必要があるはずです。さもなくば横領罪でしょう。
        さらに、意図していたなら立派な窃盗罪です。
        バールのようなものでこじ開けて盗んだ場合は、窃盗罪に器物破損罪が加わ

      • by Anonymous Coward
        officeのやったことは、通告もせずに抜き取った個人情報を公開していい気になっていたことで、あなたの言われているようなこととは全然性質が違うものですよ。公開した後に通告したのは、あとからの理由づけでしょうし。味噌も糞も一緒にしなさんなって。

にわかな奴ほど語りたがる -- あるハッカー

処理中...