パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

欠陥を指摘するはずが個人情報流出。セキュリティ専門家に捜査の手」記事へのコメント

  • 何だかなあ… (スコア:2, すばらしい洞察)

    「ほら、こうすれば自動販売機からお金が取れましたよ」と言って取ったお金を見せれば普通に捕まる気はしますけど。

    # まあ、私ならわざわざ違法な事はしません。
    • by tanimachi (4564) on 2004年01月05日 0時04分 (#465415) 日記
      個人情報を漏らしたのは悪い。善意・無知・過失にかかわらず。そこまでは当然の前提として。
      セキュリティホールを見つけら、なにをすればいいんでしょうか。
      • サービス提供者に通知する。
        →無視されておしまい
      • 証拠を提示せず、セキュリティホールの存在のみを公開する。
        →風評被害にあったと訴えられる
      • 証拠 (方法または結果) を公開する。
        →それは非常識で違法で犯罪
      • 内容証明でサービス提供者に通知した上で、xx日間返事がなかったときに公開。
        →裁判で通知方法の妥当性を問われる。『指摘の方法がよほどおかしい』など。恐喝に問われる可能性もあり
      • 公平な第三者機関を仲介して……
        寡聞なので、適切な第三者機関を知りません。誰か教えて。
      • 自分だけ使うのをやめる、見なかったことにする、そもそも探さない、の3択。
        ちとナサケナイが、身をわきまえてこのあたりか……
      きっと自分が見つけることはないのでひとごと。でも、それでいいのだろうか?
      親コメント
      • もしも駆け込むなら,「公平な第三者機関」でなくて,味方になってくれるところを見つけないとね。 匿名を保証してくれる報道機関とか,立場を擁護してくれる業界団体とか。まあ,あまりいい気分ではないけれども。

        法的なのはさておき,倫理的にはどうなんだろう。

        送信可能状態にある個人情報の存在を周知することは,実際に新聞各社でも報道される社会性のある問題だから,私には間違った行動には思えないのだな。よく,テレビ局とかでも不正に入手した名簿を伏字にして使ったりしてるし。個人のサイトでも社会性のある事実を伝えることじたいは,報道といってさしつかえないように思う。ただ,朝日の記事の引用から受ける印象だと「言論・表現の自由」は,まるで新聞社の利権のようにも思えるけれども。

        で,どうなのよ。 と,聞かれても答えはないんだけれども・・・

        役に立たない参考資料:情報処理学会倫理綱領 [ipsj.or.jp],新聞倫理綱領 [pressnet.or.jp]
        --
        斜点是不是先進的先端的鉄道部長的…有信心
        親コメント
        • サービス提供者に通知する。

        • →無視されておしまい

        この無視には、二通りあると思う。
        • /dev/null 行き

        • 対応するけど、返事は出(さ|せ)ない
        親コメント
        • > 対応するけど、返事は出(さ|せ)ない

          これに関して問題となる対処のされ方がありましてですね。
          ・言われた所だけ問題が無いようにパッチする
          ....根本的に問題があるのに、示された例でだけ上手い事動くように細工されちゃう訳ですわ。これが一番やばい。

          # 多分officeがやさぐれたきっかけ
          • officeがやさぐれたきっかけは、「正しく対処したけど、報告者としてofficeを賞賛してくれなかった」だと思われ
            • 情シス部門で勤務している知り合いからOfficeのメール見せられたことがあります。
              何書いてるのか判らないから要約してくれと。

              250行ほどあり、何を言いたいのか判りづらい内容でした。
              斜め読みで箇条書きにしてあげました。3行でした。

              彼がWebに掲示してある謝罪文も、一般人
      • 放っておきな (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2004年01月06日 10時24分 (#466341)
        善意の忠告をしても駄目なのだったら放って置くしかない。

        別にそんなのネット上の話って訳でも無いと思うけど。

        実は相手にも誠意を持って応対する義務も修正をする義務も無いし。
        それに自分に相手に修正させる権利なんかまずどこからも出てこないし。

        人間関係でもそうだけど変に相手に義務があると思ったり、自分に権利があると思ったりする事からトラブるってのは良くある話やね。

        親コメント
      • >公平な第三者機関を仲介して……
        >寡聞なので、適切な第三者機関を知りません。誰か教えて。

        どなたか仰っていましたが。
        ->JPCERT/CC
      •     セキュリティホールを見つけら、なにをすればいいんでしょうか。

        アクセスの多そうな匿名掲示板でバラしましょう:-)
      • A.
        1)自分で適当な個人情報(公開しても構わないものやhogehoge)を登録。
        2)自分で実験。
        3)セキュリティホールをサービス提供者に通知。
        4)セキュリティホールの存在を公開。

        なんてのはどうでしょ?
      • >サービス提供者に通知する。

        だけでいいんでないの?
        無視するかしないかは提供者が決めることだし、後に悪意による攻撃を受けたことが発覚したのに、
        しょーもない言い逃れしてて、我慢がならないのであれば、
        事前に通知していることが証明で
        • >>サービス提供者に通知する。
          >だけでいいんでないの?

           自分に関係なければ、それで良いと思う。
           でも、もし、漏洩情報に、自分のデータが含まれてたら、どうする?
           或いは、そのサイトを利用したいと思った場合には...
          --
          -- Buy It When You Found It --
          親コメント
          • >自分に関係なければ、それで良いと思う。
            現状ではコレしか無いでしょ?

            >でも、もし、漏洩情報に、自分のデータが含まれてたら、どうする?
            正式に被害届を出す権利ゲットです。
            お好みに応じて損害賠償請求をするのも良いでしょう。

            >或いは、そのサイトを利用したいと思った場合には...
            諦めてそのまま使うか、使うのを辞め

            • Re:じゃぁ、どうしよう? (スコア:2, すばらしい洞察)

              by megalith (4791) on 2004年01月05日 14時43分 (#465827)
              > >でも、もし、漏洩情報に、自分のデータが含まれてたら、どうする?
              > 正式に被害届を出す権利ゲットです。

              どうやって自分が被害にあったことを証明するんでしょうか?
              親コメント
              • 相手の責任を問いたきゃ自分で証拠を詰めるしか無いだろ?
                まあ、間違い無く自分のデータが関連する、のであれば可能性をちらつかせ情報開示を求める。
                なんなら、裁判でも起こすってのも一案。
                まあ、その前に弁護氏名できちんと状況説明を求めるのを忘れずに。
                他にも考えられる手は何でもかんでも使って証拠を掴む必要がある。
                「どうや
              • 証明の必要なんているの?

                今の世の中、あなたの情報が全く漏洩していないなんてことはありません。
                漏洩した事実がなんらかの手段により公表されたり、どこかで悪用されて実害を蒙れば、わかりますよね。
                わからなければ、それは実害がないのですよ。

                  #法人としては問題あろうが、個人的にはその程度で問題無し
              • by megalith (4791) on 2004年01月05日 15時55分 (#465869)
                つまり、未然に防ぐのは現実的でないってことでしょうか?

                自分のID等が不正に使用される(使った覚えのない請求が来た等)とか、もっと分かりやすい被害発生後なら、まだ方法はあるんでしょうけど。
                # 単に誤請求とかで終わりそうな気がしますが。
                親コメント
              • by megalith (4791) on 2004年01月05日 16時25分 (#465890)
                んー。

                > >もし、漏洩情報に、自分のデータが含まれてたら、どうする?
                > 正式に被害届を出す権利ゲットです

                なので、漏洩した(する)ことが被害だと読みましたが。
                他の実害があるなら、あなたのおっしゃる通りです。
                親コメント
              • >つまり、未然に防ぐのは現実的でないってことでしょうか?
                未然に防ぐのが現実的で無いんではなく、その為に取れる手段は限られているって事。

                例えば、世の中にいる全ての人は私に危害を加える可能性があります。
                でも、それを名目として殺して回るってのはマズイだろって事。

                >自分のID等が不正に使用される(使った覚えのない請求が来た等)とか、もっと分かりやすい被害発生

              • 返答遅れてゴメン(なんかもう終っているようだが)
                > >もし、漏洩情報に、自分のデータが含まれてたら、どうする?
                > 正式に被害届を出す権利ゲットです
                「自分のデータが含まれてたら」ってので確認済みを想定してました。
              • by megalith (4791) on 2004年01月09日 15時59分 (#468926)
                > 「自分のデータが含まれてたら」ってので確認済みを想定してました。

                「どうやって証明するか?」って部分に対して書かれていると読みました。違ったら流してください。

                私が書きたかったのは、セキュリティホールを見つけたときに自分のデータが漏洩することが分かっていても、それは漏洩を証明するデータとしては使えないってことです。それを使って証明したら、今回と同じ轍を踏むことになります。

                # 分かりづらかったかも新米(死語
                親コメント
              • >私が書きたかったのは、セキュリティホールを見つけたときに自分のデータが漏洩することが分かっていても、
                >それは漏洩を証明するデータとしては使えないってことです。それを使って証明したら、今回と同じ轍を踏むことになります。

                身内に警察官がいるので良く愚痴るんですが、被害届なんかを出しに行く時に「危ない」では受け取る事は出来ないんです。 そこには明確な被害が必要って事でして。

                でもって、こういう場合、「漏れる事が解る」というのは仮定のお話ですよね? それであれば出来る事はその危険性(発生していない以上問題ではなく問題

      • セキュリティ関係の雑誌にでも投稿するのはどうよ?
        雑誌側としても飯の種になるしうまくいけば編集部から
        脆弱なサイトに連絡を入れてもらえるかもしれない。

        # もっともそんな対応に時間を取られてたら雑誌の編集が
        # 進まなくて廃刊まっしぐらになりそうなのでAC
        • >セキュリティ関係の雑誌にでも投稿するのはどうよ?
          >雑誌側としても飯の種になるしうまくいけば編集部から
          >脆弱なサイトに連絡を入れてもらえるかもしれない。

          現状ではベストな選択かも。
          雑誌も自分たちの売りだしネタになるからある程度動いてくれると思われるし、何

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

処理中...