アカウント名:
パスワード:
氏が主張しているように、今回では鍵が無いところを通った形になる。けども、警察は「不正アクセス禁止法に抵触する」といっているんだ。
逮捕は知りませんが、拳銃をやたらと発砲するほうがよっぽど悪質。
ただその指摘の仕方や相手の都合を考えない要求とかが多くて、反感を買う事がおおいんですよ。 それじゃなくてもナイーブな問題になりがちなのに、鬼の首を取ったような感じのメールが来ますからね。
同感。って私はその辺の担当ではないので、そういうメールをもらったことはありませんが。
ただ周囲の似たような事例では、
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
office氏の指摘って… (スコア:1, すばらしい洞察)
あるところならばむしろoffice氏の指摘は結構役に立つと
思うのですけど…私の認識は甘いののですかね?
# 近くに本当に役に立った人がいるのでAC
Re:office氏の指摘って… (スコア:1)
ただその指摘の仕方や相手の都合を考えない要求とかが多くて、反感を買う事がおおいんですよ。
それじゃなくてもナイーブな問題になりがちなのに、鬼の首を取ったような感じのメールが来ますからね。
個人的にはガキが調子に乗りすぎてタイーホかーとw
May the 4th B w/z U
Re:office氏の指摘って… (スコア:4, 興味深い)
けど、ここで重要なのは不正アクセス禁止法に抵触するとして逮捕されたんだな。
不正アクセス禁止法を簡単に説明すると、
"鍵がないと通れない扉"を開く際に使った鍵が、
不正な手段でもって手に入れたものであった場合に適用される法律
なんだよね。
氏が主張しているように、今回では鍵が無いところを通った形になる。けども、警察は「不正アクセス禁止法に抵触する」といっているんだ。
その際に手に入れた情報を公開したのがマズかったのなら、それを理由に他の刑法に抵触するとして逮捕するのが妥当。それができないからといって、不正アクセスにあたると無理を通すのは不当逮捕だと思うのよ。
彼が、個人情報を公共の場で全く漏らさなかったならば、
単に「○○ではXXに穴があって□□という方法で情報が抜ける」としか言わなかったとしたら、
しかし実際に彼が情報を入手していたとしたら、
その時には不正アクセスとして逮捕されていただろうか。
Re:office氏の指摘って… (スコア:2, 参考になる)
Re:office氏の指摘って… (スコア:3, すばらしい洞察)
要するに、うちは被害者で悪くは無い、責任は無い。理事会を始め誰も責任を取る必要が無い。減法も懲戒も無い。肩書きにも傷がつかない。そういうことです。
情報漏洩でACCS訴える人が出るか、どっかのメディアが今回の個人情報漏洩の不祥事に関する責任を組織としてどう取るつもりか問い質せば明るみにでますが。
気になるのは起訴の理屈が通ると元々公道であっても、都合が悪ければセキュリティホールを突いた不正アクセスに仕立て上げられるってことですね。
極端な事を言うと日々利用してたanonftp鯖が「anonで入れたのうちの設定ミス。ホントはanonはダメなつもりだった。不正アクセスに該当するから警察に突き出すね」と言える訳で・・・・
普通の人はそんなみっともない事は出来ませんが(笑
Re:office氏の指摘って… (スコア:2)
>要するに、うちは被害者で悪くは無い、責任は無い。理事会を始め誰も責任を取る必要が無い。減法も懲戒も無い。肩書きにも傷がつかない。そういうことです。
>情報漏洩でACCS訴える人が出るか、どっかのメディアが今回の個人情報漏洩の不祥事に関する責任を組織としてどう取るつもりか問い質せば明るみにでますが。
俺はACCSは好きではないし、はっきり言えば嫌いです。中古ゲームと歩む会ユーザーの会の活動に参加していたことすらあるくらいですから。
ただ、ACCSがそう言った考えに基づいてと言う考えは憶測でしかないと思いますね。
>ACCSは研究員の逮捕について、「CGIの脆弱性を指摘することについては、セキュアなネットワーク社会を構築するために有用な側面もあると考えます。しかし、セキュリティとは本来、個人情報など重要な情報を保護するという目的のために存在する『手段』であり、今回のこの男性の行為は、手段のために目的を犠牲としたもので、本末転倒と言わざるをえません」とコメントしている。
http://www.itmedia.co.jp/news/articles/0402/04/news020.html
といった記事も出ていることから、ACCSはCGIの脆弱性を認めていますよね。
その上で彼の晒し行為などを理由に訴えていると思われます。
Re:office氏の指摘って… (スコア:0)
が、公道と宣言されていない(おそらく私道であろうと判断される)場所なら当然文句を言われます。
ただそれだけのことかと。
#ACCSは「ここ見ていいよ」と言ってない訳で。
Re:office氏の指摘って… (スコア:1)
httpサーバたてるのは別にどこにも宣言しないけど、私道ですか?
referer手繰ってどっかにアクセスしたら文句いわれますか?
Re:office氏の指摘って… (スコア:1)
Re:office氏の指摘って… (スコア:2)
>研究員は同月に開かれたセキュリティ関連イベントで、使用されていたCGIの欠陥を指摘するとともに、4人分の個人情報を含んだプレゼンテーション資料を公開していた。ACCSは研究員の指摘で脆弱性に気付き、対策を施した。ACCSによると、研究員は「CGIの脆弱性を指摘するために行った」と説明していた。資料は当初ネット上で流通した形跡はないとされていたが、最近になって「2ちゃんねる」の掲示板に何者かがアップロードしていたことが分かっている。
http://www.itmedia.co.jp/news/articles/0402/04/news020.html
の「4人分の個人情報を含んだプレゼンテーション資料を公開」が目的や動機で、「それを公開し悦に入るためにアクセスし情報を取得した」みたいな展開ならば不正アクセスの適用も有りの気がする。
というか、「脆弱性の指摘」と「4人分の個人情報を含んだプレゼン」は噛み合わない。
「脆弱性の指摘」が目的ならば、個人情報をネットで流すことはしないだろう。
俺は何度か脆弱性を指摘したことはあるが、「4人分の個人情報を含んだプレゼンテーション資料を公開」は理解出来ない。
ACCSに向かって見せるために公開したのならば彼の行動はある程度理解出来るが、セキュリティ関連イベントでの公開って理解の範囲を超えている。
そう考えるとやはりこちらが目的や動機と定義しなければつじつまが合わない気がする。
Re:office氏の指摘って… (スコア:0)
全然わんかんない。
目的や動機がなんだろうと不正アクセス禁止法が適用できるかどうかとは無関係なんじゃ?
Re:office氏の指摘って… (スコア:3, 参考になる)
例えば、傷害罪。AさんがBさんを殴った。
>(傷害)第204条 人の身体を傷害した者は、10年以下の懲役又は30万円以下の罰金若しくは科料に処する。
http://www.houko.com/00/01/M40/045.HTM#s2.27
何故殴ったのか、どうして殴ったのかの目的や動機があるからこそ、故意性を立証出来て、傷害罪を適用出来るはず。
Bさんが殴りかかってきたので、ガードしようとしたら肘がBさんの顔に当たった。
この場合正当防衛に該当しそうだし、故意性は疑問。
他人のパスワードを使ってアクセスする行為は駄目。しかし、一字違いだったので打ち間違った場合は、故意では無いので刑事罰を与えるのは無理だろう。
と言うわけで、刑事事件なので目的や動機は重要だろう。
Re:office氏の指摘って… (スコア:0)
重要なのは同意。俺の「全然関係ない」という書き方が誤解を与えたかも。
俺が言いたいのは、あなたの例で言うと何故殴ったのか、どうして殴ったのかの目的や動機で故意性を立証できた上で、なぜか傷害罪ではなく窃盗罪を適用しようとしてたとして、殴ったことに窃盗
Re:office氏の指摘って… (スコア:2)
経緯は、
>ハイテク犯罪対策総合センターの調べでは、河合容疑者は昨年11月6~8日、社団法人コンピュータソフトウェア著作権協会(東京都文京区)のサイトのサーバーに不正に接続し、ネット上で同協会に相談を寄せた約1200人分の氏名や住所、相談内容などを引き出した疑い。
>
> さらに同月8日、都内で開かれたネットの安全対策担当者やハッカーの集会で、参加者約200人に接続方法を公開し、協会にも接続したことをメールで通知した。そのうえで、サイトの一部の閉鎖を余儀なくさせ、協会の業務を妨げたとされる。
http://www.asahi.com/national/update/0204/020.html
を鵜呑みにすると11/6~8に侵入。11/8に集会で公表。
>研究員は同月に開かれたセキュリティ関連イベントで、使用されていたCGIの欠陥を指摘するとともに、4人分の個人情報を含んだプレゼンテーション資料を公開していた。
http://www.itmedia.co.jp/news/articles/0402/04/news020.html
を鵜呑みにすると、「4人分の個人情報を含んだプレゼンテーション資料を公開」も行っている。
俺の勝手な推測に過ぎないが、「同月に開かれたセキュリティ関連イベント」が「11/8に行われた集会」と同一なんだと思っている。
プレゼン用の資料の作成時間なども考えると、集会で公表し悦に入るために侵入したとしか思えない。
経緯が、ACCSに再三連絡しているにも関わらず2ヶ月間放置される。公表をすることも連絡しその上で集会で公表した。と言う経緯ならば話は違ってくると思う。
貴方が疑問視しているのは、パスワードで守られた所にデータが置かれていない点と、刑事罰は広義で解釈するではなく狭義に該当するか辺りだと思うが、セキュリティーホールを突いてアクセスする行為も禁止されていますよね。
実際はどうだったのかは知らないけど、英数(36文字)8文字のディレクトリと英数8文字のファイル名が完全に一致する確立は、1/36乗16=1/7958661109946400884391936。
これを持って通常ではアクセス出来ないことは証明されるのではないか?
彼自身が、「同月に開かれたセキュリティ関連イベント」でプレゼンしているところをみると、やはりセキュリティーホールは存在するとしか判断出来ない気がする。
で、11/8に侵入したのは、資料作りの確認作業と判断出来るのではないだろうか?
仮にそう判断出来る物と定義すると、そもそも法に盛り込まれている「セキュリティーホールを突くアクセス禁止(3条2項2号)」って何を禁止しているの?
ここからデータファイルにリンクが貼られていたとしよう。何となくクリックしただけでは当然それだけでは禁止対象にはならないだろう。
POSTメゾットが使用してあったので(CGIでGETメゾットアクセスでは読めない)、fromとジャバスプリクトでクリックしただけでデータの取得が可能であっても、クリックしただけでは当然それだけでは禁止対象にはならないだろう。
問題は上のビビたる確立でしか通常分かりえない物に対しのアクセスで、それが通常隠すべきデータであることを知りっていて、それをセキュリティーホールだと認識していたわけだよね。
セキュリティーホールだと認識を持ったのならば、通常は連絡と秘密の厳守をするわけだよな。連絡しなくても秘密の厳守はする。
彼は資料作りのためにその後もアクセスしてデータを取得し、その一部である4人分の個人情報を集会で晒したわけだよな。
で、上のURLが2条2項1号の
>当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号
に該当するかどうかが裁判争点でしょうか(裁判になったらね)。
データファイルのURLはこれに該当するのではないか?
URLが符号であることは同意出来るよね。
条文では、「当該アクセス管理者によって」と書かれているから定義者は管理者側。少なくても彼ではない。客観的にみても晒して良い物とは判断されない。
彼自身も、集会でセキュリティーホールの指摘をしているので、管理者が第三者に見せるためにみれるようにしていると言う認識は無いはず。
管理者に連絡されると、管理者は第三者に知らせてはならないものだからこそ、見れない様にするのですよね。実際しているし。
「連絡しているにも関わらず見れるようにしているからこれには当たらない」と言う主張も彼は出来ない。
刑事罰は狭義に対してのみ科されるべきだが、彼の行動は狭義に該当するのではないか?
きわどいとは思うが、彼の行動を考えれば考えるほど狭義に該当する気がしてならない。
集会が迫っていたので彼は手順を踏まなかった
Re:office氏の指摘って… (スコア:0, 参考になる)
>これを持って通常ではアクセス出来ないことは証明されるのではないか?
csvmail.cgiのソースを見て、$home/
とりあえず指摘 (スコア:0)
Re:とりあえず指摘 (スコア:1)
過失ならば過失傷害罪なんじゃ?
Re:とりあえず指摘 (スコア:1)
>(故意)第38条 罪を犯す意思がない行為は、罰しない。ただし、法律に特別の規定がある場合は、この限りでない。
なんで傷害罪に故意性が必要無いと思っているのか良く分からん。
Re:office氏の指摘って… (スコア:1, 参考になる)
「 >鍵は壊れてはいた(十分に機能していなかった)が、かかっていたことはかかっていた。
>その門を開けて入ったのだ」というような主張との対決になるのでは?
そうすると、例えばJAVA Scriptで組めるようなソースを見ればパスが解ってしまうような鍵の場合であっても、
「鍵はつけていたし、(いくらすぐ破れるものであっても)はたからみて鍵がかかっていると解る状態であった。 それを破って侵入したのだから不正アクセスだ!」
と、なってはしまいませんか?
……自分で書いておいて何なんですが、上の例だと、そんなアホな、と思いつつも不正アクセス禁止法に条文の上では触れてしまうような。。
JAVA Scriptでのパス方式が、不正アクセス禁止法にいう ”アクセス制御機能”にあたるのかどうかは微妙ですが。。
Re:office氏の指摘って… (スコア:1, 興味深い)
アクセスしてもらいたくないページをデッドリンク状態でサーバ上に置いてあったときに,
記憶や,ブックマーク,さらにはカンで適当にアドレスを打ち込んで表示させたらその段階で違法な不正アクセスということになるのでしょうか?
Re:office氏の指摘って… (スコア:2)
刑事罰は故意に行わなければ基本的には対象外。過失でも適用出来る奴はその旨が書かれている。
自ら預ける個人情報が漏れないか心配で確認する作業はきわどい。だが許容される場合も多いだろう。
しかし、不正アクセス禁止法では助長行為とかも禁止しているので、連絡し対処が終わった後にこう言った事例があったという報告ではなく、2ヶ月程度の猶予を与えたわけでもない。
11/6~11/8にアクセスし、11/8の集会で晒したのだから、晒す行為が目的で不正にアクセスしたととられても仕方がないと思う。
Re:office氏の指摘って… (スコア:0)
って喜んで見せびらかすとそうなるかもね。
よーるすに、調子ブッこいて見せびらかすから逮捕されるんでしょ。
早い話が, (スコア:0)
黙ってれば,何やってもOKって事かね.
それはそれでイヤでないかな?
愚かな霊長類には教えてあげないと.
Re:office氏の指摘って… (スコア:1, 参考になる)
無用心さをいくら訴えても効いてくれないので、公開実験でサンプル用に持ち帰った。
が正しい。
Re:office氏の指摘って… (スコア:2, おもしろおかしい)
「オレだよオレ、ちょっと住所録が必要になったんだけど玄関まで持ってきてくれない?」
と中の人を騙して持ってこさせ、まんまと盗み出したというオレオレ詐欺でしょう。
Re:office氏の指摘って… (スコア:2)
>が正しい。
11/6~8にアクセスし、11/8に集会で公表が経緯ではないのか?
「いくら訴えても効いてくれない」ってのは、他にそう言ったサイトがあったと言う話だった気がします。
彼は集会での公表を優先させ、手順を踏まなかった。
Re:office氏の指摘って… (スコア:1, 参考になる)
玄関を見るとドアは閉まっていた。
目視では鍵がかかっているかはわからなかった。
ドアを開けてみたら鍵がかかっていないことがわかった。
家人に「鍵がかかってないですよ」と忠告した。
家人は「そのうちかけますから」と言って鍵をかけなかった。
屋内には家人の物ではない預ったお金が置いてあった。
鍵をかける様子がなかったので、ドアを開けて侵入し、そのお金を
盗みだした。
盗み出したお金は、渋谷のハチ公の像の前に置いた。(当然ネコババされた)
が正しいでしょう。
法的には無用心だからといって、他人の敷地に不法侵入し、物を盗んだら
当然タイーホされます。
第三者が無用心な家人に対してできるのは、鍵をかけないと危ないですよ
と忠告するところまでです。
Re:office氏の指摘って… (スコア:0)
でしょう
Re:office氏の指摘って… (スコア:0)
そうなんですか?
今回の場合はいきなり公開だと思ってたんですが。。。
無用心さをいくら訴えても聞いてくれない過去の事例が多かったのでかと
公道ではなくて (スコア:1)
謝々々々 台湾宮廷料理海味館 名●屋市熊の前二丁目 ( MiniStop 対面 )
Re:office氏の指摘って… (スコア:0)
「逮捕」という出来事がここでのサブジェクトなんだから、
大事なのは感情論とか道義論じゃないはずですよね。
そこのところのわかってない議論がここでは百出しそうだから
ちゃんと押えておかなきゃと思います。法の適用として
やっぱ、ちょっと柔軟すぎるんじゃないか、というのは
Re:office氏の指摘って… (スコア:1)
>バカボンのおまわりさんと同じですわねぇ。
彼の名誉のために確認すべきことだと思うのですが
実際逮捕に至った事例は過去にありましたでしょうか?(笑)
Re:office氏の指摘って… (スコア:0)
そういう意見があったんでしょうね。
レレレの天才バカボンでは、
モデルガンってことになってましたな。
Re:office氏の指摘って… (スコア:1)
>モデルガンってことになってましたな。
おまわりさんがモデルガン振り回して、撃ちまくってるのも
それはそれで、コワイ…
----------------------------------------
You can't always get what you want...
Re:office氏の指摘って… (スコア:0)
同感。って私はその辺の担当ではないので、そういうメールをもらったことはありませんが。
ただ周囲の似たような事例では、
Re:office氏の指摘って… (スコア:1)
担当のアドレスがWebには記載されていなかったのではないでしょうか?
# だからといってアンケート宛等に送るのはあれですけど。
> ・同じく闇雲に電話
連絡先と書かれてあった。または、その他の連絡手段が分からないからそこに掛けたんだと思いますが。
# whoisで調べたのかな。
> ・話の中身は勿論鬼首
読む人の立場によって取り方が違いますから、なんとも。
> ・挙句のはてに、「返事がない」とか「いい加減」とか掲示板等に書き散らす(当たり前だろ!)
返事しないんですか。脆弱性を確認して、安全だとわかってるのでない限り返事するんじゃないですかね。普通は。
# 相手が言ってきた脆弱性がないのが分かってるなら一々相手しないかも
掲示板に書き散らすのはあれですが、他はそれほどでもないよーな。
Re:office氏の指摘って… (スコア:1)
># だからといってアンケート宛等に送るのはあれですけど。
適当なメーカーのサイトを見てみましたが、
連絡先として指定されてるアドレスは
お客様センターのアドレスが多いようです。
他に、人事とか営業とか。
#お客様センターにサイトのセキュリティを問い合わせて
#返事が返ってくるとは思えませんが。
>連絡先と書かれてあった。または、その他の連絡手段が分からないからそこに掛けたんだと思いますが。
># whoisで調べたのかな。
こちらもお客様センターの電話番号が多いです。
#電話帳調べて社長だの会長だのに電話してたりして。
サイトの管理者に文句を言うルートがない人間が
無関係なところに文句をつけても、
「ヘンな人からのメール(電話)」で終わるんじゃないかと。
#office氏はそういう、文句つけルートを持っていたんだろうか。
そういうときには security@... (スコア:1)
> 連絡先として指定されてるアドレスは
> お客様センターのアドレスが多いようです。
MAILBOX NAMES FOR COMMON SERVICES, ROLES AND FUNCTIONS (RFC2142) [ietf.org]とか。
まぁ、問題を抱えているサイトの管理者が、そうしたメールアドレスを有効にしているか、
また、ちゃんと目を通しているかわからないが、投げてみる価値はあるかと。
ただ、office氏が、そういう努力をしていたのかは、わかりません。
Re:office氏の指摘って… (スコア:0)
なんで鬼首 [naruko.gr.jp]やねん!
#と派手に誤読......地元なのでAC。
Re:office氏の指摘って… (スコア:0)
40歳にもなる大きなお子様がタイーホされたわけですね。
#M田S平さんも35歳にしてはなかなか大きなお子様だと思うんですがオフトピなのでやめときます。