アカウント名:
パスワード:
それは無いでしょう。 まともな方法で連絡・実証をしていれば。
少なくとも直接相手側にアクセスしないで実証サーバでも作れば不正サクセス禁止法には抵触しないし、他所で騒がず相手側担当者に通達し、相手側担当者がサービスを停止するなら威力業務妨害にはならない。
単にそれだけの事でしょ? >これからはセキュリティホールの指摘には逮捕されて個人情報が 公開されてしまう覚悟がいるということですよね.
違う違う。 暴走して犯罪に走れば、そりゃ捕まるし個人情報が公開されるってだけの話。
強いて短く纏めれば、
「法律は守りましょう」
だけだと思うんですが。
「名誉毀損」による圧力行為はそれだけで軽く問題行為(ってか自分達の公共の利益性を法的に認定されない限りは有罪)なんで、当然、それにより業務に支障が発生し、損害が出たとなれば「威力業務妨害」そのものとなりますが。
なんたって単純な犯罪被害になってしまうわけで。
で、もしそれが通ったとしても自由に攻撃出来るかって言うとペケ。 有効なのは裁判所命令のみ。
何物もそれ以外に従う必要は無い。
これも簡単に言えば、
>「1200人もの人達の個人情報を守る」ということに「公益性を認める」
ってのが >「ACCSが公益を損ねている」
に直結しないだけ。
現実に被害を出していた訳では無いからね。ACCSは。 だから、「運用上では問題なかった」って判断も有り得るし、「問題はあるが公共の福利に反するという理由で権利剥奪される程でもない」という判断も有り得る訳で。
まあ、それ以前に、office氏が「1200人もの人達の個人情報を守る」為に行動したって前提の証明が抜けているようですが。 状況証拠(イベントで発表)や物的証拠(実際に漏れた個人情報)はその反対の事(情報漏洩の実行犯という現実)を示しているみたいなのですが。
>で、裁判所はどういう判断を下すだろうか、という話をしているつもりですが、QwertyZZZさんは違うのですか?
なんか希望的感想というか都合の良い妄想夢想が多いなって思ってますが。
ま、裁判判定で言えば、金ありそうなんだから民事で賠償を丸ごと飲むと和解して、その条件として告訴を取り下げてもらうとか、自分の過失責任である事を認めて、犯意は無い、不注意による未必の故意によって起きた事だとして落としてしまう、って 辺りが現実的な所ではないかなっと。
完全無罪を狙っても、その時は民事で叩かれそう(ACCSも全部自分の責任とする訳にはいかない訳だから)ですからねぇ。
被害が出ていればそりゃ立派な物証になるでしょう。 でも、それもない状況での証拠なんて全部状況証拠、と言えばちょっとカッコイイが、現実には単なる本人の思い込みに過ぎないんですよ。
大体「何をしてもいけない」なんて書いた覚えは一切無いんですが。 分を超えなければ良いだけですよ。 自分の偏った正義感で暴走なんかせずに、普通に大人の判断をすれば良いだけでしょ? 難しくも何とも無い事ですが。
「何も」が不正アクセスを含めた攻撃をする事であれば、それはどんな名目があろうが「やってはいけない」と言いますが。
#あと、「被害が出るまで何もしてはいけない」はある意味正しい。 #いや、「被害が出ても本人(もしくは法的な代理人)以外は何もしてはいけない」の方が良いか。 #そこは現状では民事の話になるだろうから。
放って置けばよろしい。 実際にアクセスしていなければ、相手はその犯罪の証明を出来ませんから。
実際にアクセスしたのであれば、それって犯罪ですので捕まって下さい。
>そして今回の件、結末次第では脆弱性情報が地下に潜って個人情報流出事件が増加する可能性があると思います。
無意味な指摘ですね。 そんなもの無くたって潜るものは潜っているでしょ? と言うより、もしかしたら自称セキュリティ専門家ってのは犯罪者予備軍だって事の指摘ですか? ならば尚のこと、きちんとした契約も無しに、分を超えた自称セキュリティ確認行為ってのは規制されて然るべきでは?
故意か故意でないかで判定は異なります。 同じ車で人を引く行為でも事故と殺人は異なるように。
自分の意思を持ってのセキュリティホールを突く行為を事故と同一視するのははっきり言って有害極まりない。
後、下の項に付いてはもっと単純に、
貴方やoffice氏がそのレベルでどうこうするような物ではない。 というか、テロや私刑ってそのレベルで許される物なの?
>脆弱性を発見するには、多くのテストが必要です。それなりのコストがかかる作業ですが、 >office氏の報告の文面などは別として、それを無償でやっていた点で評価できると思います。
全然評価できません。 手間隙掛けたのは単なる趣味だし、相手の了解も無しにセキュリティホールを突いての確認は、下手すると相手に致命的な損害を与える可能性もあります。 セキュリティ云々以前のモラルが一切抜け落ちている訳です。 そんな連中が自称試験をしたらどうなるか? 勝手に抜き出した情報をクラッカーの発表会で公表しちゃうんですよ~。 って無茶苦茶な悪前例を作ってしまっただけ。
少なくとも、 ・不正アクセス禁止法への配慮不足 ・相手からの許可の未受託での勝手な試験 ・私刑に等しい発表 ・個人情報遵守精神の欠如 など主な問題だけでもこれだけ。 何も難しい問題では無く、セキュリティのプロなら当然守って然るべき基本中の基本。それが守れていない。
これを評価するって事は真面目にセキュリティ業務を行っている人達を冒涜する事に等しいと思いますよ。
当事者の許可無いセキュリティホールを突く行為=「攻撃」なんですから。
特定のファイルを閲覧するために特定の文字列(URL)が必要なんですから。 で、その文字列をアドレスバーに入れてファイルを見たら不正アクセス? そんなバカな。
刑法の規定で
第38条 罪を犯す意思がない行為は、罰しない。ただし、法律に特別の規定がある場合は、この限りでない。
ちなみに
第8条 この編の規定は、他の法令の罪についても、適用する。ただし、その法令に特別の規定があるときは、この限りでない。
セキュリティ上の指摘を行う為に「故意に」穴を突いた訳だから。
穴を見つけた事が偶然であっても、穴を探す為にそれを行っている(例えばパスワード総当り)のは「偶然」ではなく「故意」。 故意でないってのは、例えばURLを入れようとして手が滑ってとか、穴を探す意思が無い状況を挿す。
ってよりセキュリティチェックの為のアクセスならその時点で故意確定だと認識しないでどうするって気も。 バグ次第では相手のデータを壊す可能性すらあるってのに。
元々相手の全てのサービス破壊のリスクを背負う覚悟が必要な筈なんですが。
>そうなることが予測される以上、親切な通告者が期待できなくなる分、サイト管理者も大変になるよねと。
そういう事をするなって法ですから。
実際、興味本意のセキュリティチェックも犯罪目当てのアタックも、管理者から見れば一緒。 いや、前者が野放しにされているとその分、実際の攻撃が見分け辛い。 また、実際に犯罪目当てであっても「セキュリティチェックの為」と言い逃れが出来、実際攻撃し放題となる。 となれば、実際に無関係なものからのセキュリティチェックを目的としたアクセス自体も制限した方が安全という可能性は否定出来ない。
つまりは基本的には当事者以外触るなって事なんでしょうね。 まあ、妥当性のある考えだと思いますよ。 普通の第三者にはそういう事をする理由が無い筈だし、実際にきちんとした契約で使用しているものには契約に基づいた権利により合法的に監査を求める事が出来る。 勿論サービス提供側がサービス向上の為にやっても良い。 が、他人はやるなと。
サイト管理が苦労しようが、穴があるのが増えようが、別に他人が心配する必要もない。 酷いのは淘汰されるだろうし、それが致命的なら改善されるだろう。 どちらでも無いのに継続しているのは別段大した問題では無い奴だろう。
大体において、「セキュリティ専門家」を「自称」すれば不正アクセス禁止法に抵触しえる行為を行うことも、他人の情報を漏らしまくる事も問題なしとされる状況の方が圧倒的に危ないと思いますが。
あ、そこが一番重要。 例えば医者なり弁護士なりの、他人のプライバシーに触れる事のある業種ってのは、契約としてではなく業としての守秘義務がある訳。病院では一々診察前に守秘義務契約なんかしないでしょ? でもって、卑しくも公共の利益の為のセキュリティの専門家を名乗る人間が、その程度の気を回す事も出来ないって事実が、「自称」は問題だなって思う大きな原因です。
まあ、それ以前として他人のプライバシーに掛かる情報を勝手に公開しちゃあいけないってのは、ネチケット云々を持ち出すまでもなく社会人としてのあまりに当たり前の判断だと思いますけどね。
この技術士でもそうですが、基本的にはそういう他社のプライバシーに触れる業務に付く資格には 法に明記された義務 [engineer.or.jp]があり、それにより顧客はある程度の安心を得る事が出来る訳で。
でもってやはり自社なり他者なりのプライバシーを含むサイトに触れるセキュリティ関係者がその手の縛りを受けないとされる理由も無い、と言うより、前者が法で明記されなければならない理由によりこちらも法で明記的に制限しなければならないと思います。
それが無い現状では個々の契約で保全をするって事になるのでしょうが、これがセキュリティの押し売り相手だと「元々契約が無い」という事により自己防衛が一層難儀になってしまいます。
例えば医者なり弁護士なりの、他人のプライバシーに触れる事のある業種ってのは、契約としてではなく業としての守秘義務がある訳。病院では一々診察前に守秘義務契約なんかしないでしょ?
直接案件とは関係無いと見なすべきでしょう。
少なくともoffice氏はそれにより被害を受けていないって事は、当然、被害者としての権利を得ていない訳ですから。
#ってか、被害者でも無い者が確か勝手に被害者面するのも法律的には不味かった筈。
誰もが他人の粗探しをする権利はある。 しかし、それらは全て合法的手段で行わなければ意味がない。 それは民主主義法治国家として最低限のモラルですよ。
ACCSの守秘義務違反なんて現状では、状況証拠を持って騒いでいるだけ。 一切法律的判断が成されていない状況なのですから。 その状況で何かして良いと考えるのは、私刑を禁止する法の精神に反します。 #国民はoffice氏に司法権を与えてはいません。
そしてACCSからすればoffice氏は明らかに一方的な加害者なんですが。 故に、ACCSが「office氏を相手に」被害者面をした所で別に何も問題は無い筈ですが。
それにACCSでも根本原因はCGIの不備にある事は認めてましたよね? では、問題は無いと思うのですが?
ACCSへの加害責任はoffice氏にある。 情報流出者への加害責任はACCS(と直接加害者のoffice氏)にある。 ただそれだけの事を無理に一緒にしようとしているだけでは? 流出被害者はACCSを訴えられるのと同様、直接加害者としてoffice氏も訴えられるんですよ。
そうですか? だってその判断って裁判所がするのだから未だに判断されていないんだと思うのですが? そういうのは法廷で弁明すれば良いんで、訴える方には関係ないんではないかと。 実際、被害届が受理されるか怪しい時には一通り出しておくってのも当然の方法だろうし。
>被害にあいました、不備を認めました、謝りました、 >問題ありません、悪いのはデータを盗んだ人です。 これでは安心して生活できないと思うんですよねえ。
そういうものの為に個人情報保護法があるんでしょこちらも賛否はあれど。
それに今回の件だって別に流失被害者が損害賠償請求を出来ない訳でもないでしょうし。 まあ、現実には裁判してプラスになるかどうか?ですが。
#いや、悪いのは盗んだ本人ってのもある意味真理だと思うけど。 #犯罪者だけ徹底排除して後は出来るだけオープンにってのも有効な一つの考えでしょう。
>しかし、被害者の面だけが強調されてる状況、被害者としてだけ法的判断がくだされようとしてる状況は納得できません。 そうですか? だってその判断って裁判所がするのだから未だに判断されていないんだと思うのですが? そういうのは法廷で弁明すれば良いんで、訴える方には関係ないんではないかと。 実際、被害届が受理されるか怪しい時には一通り出しておくってのも当然の方法だろうし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
犯罪性 (スコア:2, 興味深い)
研究成果として不正アクセスの具体的方法を示すこともいいですし、脆弱性を持っていたサイトの例として ACCS を挙げることもいいでしょう。しかしその双方を結びつけて発表することは犯罪の助長にほかならないでしょう。今回の犯罪性はここにあるのだと思います。
さらに得られた本物のデータを公表したことについては言うまでもありません。
Re:犯罪性 (スコア:5, 興味深い)
>こともいいですし、脆弱性を持っていたサイトの
>例として ACCS を挙げることもいいでしょう。
>しかしその双方を結びつけて発表することは犯罪の
>助長にほかならないでしょう。今回の犯罪性はここに
>あるのだと思います。
いいたいことはわかるんだけど、今回の逮捕劇で問題だと
感じるのが、「不正アクセス禁止法」違反容疑ならびに
「ACCSサイトを閉鎖させた威力業務妨害」となっていること…。
つまり、その「犯罪性があるかないか」には関係無く、
同様の指摘は全て逮捕される可能性があるぞとされたこと。
これが、個人情報を流出させたこと(と、それにACCSが対応する
はめになった損害)一点のみについて罪を問われているのであれば、
違和感というか恐怖感は無かった。
Re:犯罪性 (スコア:1)
今回の逮捕はみせしめという感じはしています。しかし適切な法律があれば逮捕されてしかるべき行為をしているとも思っています。
Re:犯罪性 (スコア:1)
Re:犯罪性 (スコア:1)
停止しただけで今回と同様に逮捕される可能性があるわけで,
心当たりのある人は結構いるのでは?仮に起訴されなくても
これだけ個人情報をマスコミにばらまかれる可能性があるわけですよ.
これからはセキュリティホールの指摘には逮捕されて個人情報が
公開されてしまう覚悟がいるということですよね.今回の逮捕要件を
上手くかわす方法があればあれば良いんでしょうが,無いでしょうねえ.
無い (スコア:1)
それは無いでしょう。
まともな方法で連絡・実証をしていれば。
少なくとも直接相手側にアクセスしないで実証サーバでも作れば不正サクセス禁止法には抵触しないし、他所で騒がず相手側担当者に通達し、相手側担当者がサービスを停止するなら威力業務妨害にはならない。
単にそれだけの事でしょ?
>これからはセキュリティホールの指摘には逮捕されて個人情報が 公開されてしまう覚悟がいるということですよね.
違う違う。
暴走して犯罪に走れば、そりゃ捕まるし個人情報が公開されるってだけの話。
強いて短く纏めれば、
「法律は守りましょう」
だけだと思うんですが。
Re:無い (スコア:1)
> 他所で騒がず相手側担当者に通達し、相手側担当者がサービスを
> 停止するなら威力業務妨害にはならない。
今回のケースで、他所で騒いで、相手側担当者がサービスを停止したら、威力業務妨害にあたるの?
Re:無い (スコア:1)
「名誉毀損」による圧力行為はそれだけで軽く問題行為(ってか自分達の公共の利益性を法的に認定されない限りは有罪)なんで、当然、それにより業務に支障が発生し、損害が出たとなれば「威力業務妨害」そのものとなりますが。
なんたって単純な犯罪被害になってしまうわけで。
Re:無い (スコア:1)
名誉毀損?セキュリティホールのあるサイトに対して、セキュリティホールがある、と指摘するのが名誉毀損に当たるのですか?だとすると、誰もセキュリティホールの指摘なんかできなくなります。
> 自分達の公共の利益性を法的に認定されない限りは有罪
1200人もの人達の個人情報を守る、という公益性は見とめられると思います。
Re:無い (スコア:1)
それはあなたの個人的な価値観に過ぎませんよね。
あなたが直接の被害者(例えば、その個人情報の一人だとか)なら別ですが、
基本的に自己の利益の発生しない所に法律の手助けは発生しません。
#個人情報の受け渡しはあくまでもACCSと利用者間との契約によって成り立っています。
#訴えることができるのは利用者であって、第三者は手出しすら出来ません。
セキュリティホールを指摘するのはあくまで「善意」であって「正しい行為」ではないのです。
「善意」には常に「エゴ」がつきまといますからね。
もしあなたが「俺が守るんだ!俺は正義なんだ!」と思っているのであれば、
それは某宗教団体の長となんら変わらない思考であるということをお忘れなく。
Re:無い (スコア:1)
> それはあなたの個人的な価値観に過ぎませんよね。
もちろんそうです。だから「思います」と書いていますね。
TameShiniTottaさんはこれに公益性を認められないという主張をされているのでしょうか?だとしたら、それはどのくらい客観的だといえますか?不勉強なので教えてください。
> あなたが直接の被害者(例えば、その個人情報の一人だとか)なら別ですが、
> 基本的に自己の利益の発生しない所に法律の手助けは発生しません。
はい。「基本的に」はそうですね。その例外が、公益性が認められる場合なのではないですか?
> セキュリティホールを指摘するのはあくまで「善意」であって「正しい行為」ではないのです。
> 「善意」には常に「エゴ」がつきまといますからね。
突然関係ない話をされても困ります。
例えば、次のようなことを突然書かれたらどう思いますか?:TameShiniTottaの一連のコメントは「善意」に基づくものであって、「正しい行為」ではないのです。「善意」には常に「エゴ」がつきまといます。
簡単に (スコア:1)
勿論、それは裁判所で無いと無理。
#個人の「思う」は持っての他。
で、もしそれが通ったとしても自由に攻撃出来るかって言うとペケ。
有効なのは裁判所命令のみ。
何物もそれ以外に従う必要は無い。
Re:簡単に (スコア:1)
意味不明。「1200人もの人達の個人情報を守る」ということに「公益性を認める」のなら、ACCSは「1200人もの人達の個人情報を守る」ということができていないのだから、「ACCSが公益を損ねている」と認定したことになるでしょう。
> 勿論、それは裁判所で無いと無理。
> #個人の「思う」は持っての他。
それは解ります。で、裁判所はどういう判断を下すだろうか、という話をしているつもりですが、QwertyZZZさんは違うのですか?
おちつけ。 (スコア:1)
QwertyZZZな人のコメントは「私的な攻撃による勝手な検査」について述べてるんだから話がずれてます。
>ここで言う「攻撃」が、「相手の名誉を毀損する行為」だった場合、これは明らかに間違い。
> 裁判所の命令が無ければだめなのなら、世の報道機関は他人に不利益をもたらす情報は何も書けなくなる。
こっちはもっとずれてます。
当該コメントだけ読んで脊髄反射しないで流れを読もうよ。
Re:簡単に (スコア:1)
これも簡単に言えば、
>「1200人もの人達の個人情報を守る」ということに「公益性を認める」
ってのが
>「ACCSが公益を損ねている」
に直結しないだけ。
現実に被害を出していた訳では無いからね。ACCSは。
だから、「運用上では問題なかった」って判断も有り得るし、「問題はあるが公共の福利に反するという理由で権利剥奪される程でもない」という判断も有り得る訳で。
まあ、それ以前に、office氏が「1200人もの人達の個人情報を守る」為に行動したって前提の証明が抜けているようですが。
状況証拠(イベントで発表)や物的証拠(実際に漏れた個人情報)はその反対の事(情報漏洩の実行犯という現実)を示しているみたいなのですが。
>で、裁判所はどういう判断を下すだろうか、という話をしているつもりですが、QwertyZZZさんは違うのですか?
なんか希望的感想というか都合の良い妄想夢想が多いなって思ってますが。
ま、裁判判定で言えば、金ありそうなんだから民事で賠償を丸ごと飲むと和解して、その条件として告訴を取り下げてもらうとか、自分の過失責任である事を認めて、犯意は無い、不注意による未必の故意によって起きた事だとして落としてしまう、って 辺りが現実的な所ではないかなっと。
完全無罪を狙っても、その時は民事で叩かれそう(ACCSも全部自分の責任とする訳にはいかない訳だから)ですからねぇ。
Re:簡単に (スコア:1)
> ってのが
> >「ACCSが公益を損ねている」
> に直結しないだけ。
> 現実に被害を出していた訳では無いからね。ACCSは。
被害が出るまで何もしてはいけない、というのがQwertyZZZさんの意見?あるいは、被害が出てる(つまり、現実に被害を出している)けど、それが露見していないだけかもしれない場合にも、何もしてはいけない、というのがQwertyZZZさんの主張なんでしょうか?
Re:簡単に (スコア:1)
って事ですよ。
被害が出ていればそりゃ立派な物証になるでしょう。
でも、それもない状況での証拠なんて全部状況証拠、と言えばちょっとカッコイイが、現実には単なる本人の思い込みに過ぎないんですよ。
大体「何をしてもいけない」なんて書いた覚えは一切無いんですが。
分を超えなければ良いだけですよ。
自分の偏った正義感で暴走なんかせずに、普通に大人の判断をすれば良いだけでしょ?
難しくも何とも無い事ですが。
「何も」が不正アクセスを含めた攻撃をする事であれば、それはどんな名目があろうが「やってはいけない」と言いますが。
#あと、「被害が出るまで何もしてはいけない」はある意味正しい。
#いや、「被害が出ても本人(もしくは法的な代理人)以外は何もしてはいけない」の方が良いか。
#そこは現状では民事の話になるだろうから。
Re:簡単に (スコア:1)
> って事ですよ。
今回のケースでは、発覚していない被害も十分予想されますし、実際、(数人ですが)個人情報を公開されちゃった人もいたわけですよね。それでも、公共の福祉に一切反しない、と言いきりますか?
Re:無い (スコア:1)
>>サービス 停止しただけで今回と同様に逮捕される可能性があるわけで,
>
>それは無いでしょう。
>まともな方法で連絡・実証をしていれば。
ちょっと楽観的すぎませんか?
まともな方法(って何?て問題もあるが)で連絡しても、連絡を入れた先が「不正アクセスで訴える」と言う可能性があるのですから。
自分が犯罪者になっても構わないから脆弱性情報を連絡する、くらいの覚悟がないと脆弱性情報の連絡ができなくなったと思います。
そして今回の件、結末次第では脆弱性情報が地下に潜って個人情報流出事件が増加する可能性があると思います。
Re:無い (スコア:1)
>まともな方法(って何?て問題もあるが)で連絡しても、連絡を入れた先が「不正アクセスで訴える」と言う可能性があるのですから。
放って置けばよろしい。
実際にアクセスしていなければ、相手はその犯罪の証明を出来ませんから。
実際にアクセスしたのであれば、それって犯罪ですので捕まって下さい。
>そして今回の件、結末次第では脆弱性情報が地下に潜って個人情報流出事件が増加する可能性があると思います。
無意味な指摘ですね。
そんなもの無くたって潜るものは潜っているでしょ?
と言うより、もしかしたら自称セキュリティ専門家ってのは犯罪者予備軍だって事の指摘ですか?
ならば尚のこと、きちんとした契約も無しに、分を超えた自称セキュリティ確認行為ってのは規制されて然るべきでは?
Re:無い (スコア:1)
脆弱性を見つけるケースとして、タイプミスや URI の中途半端な入力で見つかる可能性がありますが、それも実際アクセスした事になるので犯罪で捕まるべきなのですね。
> >そして今回の件、結末次第では脆弱性情報が地下に潜って個人情報流出事件が増加する可能性があると思います。
> 無意味な指摘ですね。
> そんなもの無くたって潜るものは潜っているでしょ?
そりゃ潜るものは潜りますよ。犯罪者はアングラに集うものですから。
問題なのは、見つかった脆弱性がアングラでのみ流通して表にでないケースです。実際に発見したりあるいはアングラの情報を察知したりしても、逮捕される危険性があるのなら、それこそ「放って置けばよろしい。」となります。もちろん、脆弱性が修正されないまま密かに脆弱性情報が流通するので被害は拡大する一方です。
今回の office氏の件は、氏が ACCS に脆弱性の報告をしたからこそ、4名分の流出で済んでいます。
#もちろん、氏がミスを犯さなければ流出はなかったと思われるのでその責任はとった方がよいと思います。
しかし、氏が脆弱性を見なかった事にすればどうでしょうか。問題のサイトの脆弱性はまだ残っていて、個人情報を売るような輩に脆弱性を発見されて 1200名分の個人情報流出事件に発展した可能性もあります。
もちろん可能性の話であって、問題が発生する前に ACCS が脆弱性に気がついたかも知れませんし、気付く前に業務見直しなどでサービスが終了したり変更になったかもしれません。
しかし、どっちにもなり得た事です。
脆弱性を発見するには、多くのテストが必要です。それなりのコストがかかる作業ですが、office氏の報告の文面などは別として、それを無償でやっていた点で評価できると思います。
Re:無い (スコア:1)
>それも実際アクセスした事になるので犯罪で捕まるべきなのですね。
故意か故意でないかで判定は異なります。
同じ車で人を引く行為でも事故と殺人は異なるように。
自分の意思を持ってのセキュリティホールを突く行為を事故と同一視するのははっきり言って有害極まりない。
後、下の項に付いてはもっと単純に、
貴方やoffice氏がそのレベルでどうこうするような物ではない。
というか、テロや私刑ってそのレベルで許される物なの?
>脆弱性を発見するには、多くのテストが必要です。それなりのコストがかかる作業ですが、
>office氏の報告の文面などは別として、それを無償でやっていた点で評価できると思います。
全然評価できません。
手間隙掛けたのは単なる趣味だし、相手の了解も無しにセキュリティホールを突いての確認は、下手すると相手に致命的な損害を与える可能性もあります。
セキュリティ云々以前のモラルが一切抜け落ちている訳です。
そんな連中が自称試験をしたらどうなるか?
勝手に抜き出した情報をクラッカーの発表会で公表しちゃうんですよ~。
って無茶苦茶な悪前例を作ってしまっただけ。
少なくとも、
・不正アクセス禁止法への配慮不足
・相手からの許可の未受託での勝手な試験
・私刑に等しい発表
・個人情報遵守精神の欠如
など主な問題だけでもこれだけ。
何も難しい問題では無く、セキュリティのプロなら当然守って然るべき基本中の基本。それが守れていない。
これを評価するって事は真面目にセキュリティ業務を行っている人達を冒涜する事に等しいと思いますよ。
当事者の許可無いセキュリティホールを突く行為=「攻撃」なんですから。
Re:犯罪性 (スコア:2, 興味深い)
> 列を与える」事で動くので、この文字列を一種の「アクセス制御
> 機構」とみなす事も出来るじゃないかなぁ。
それはCGIに限った話じゃなくて、WWWのURL全般に言えてしまう話ですよね。
特定のファイルを閲覧するために特定の文字列(URL)が必要なんですから。
で、その文字列をアドレスバーに入れてファイルを見たら不正アクセス? そんなバカな。
Re:犯罪性 (スコア:1, 興味深い)
恐ろしいことに、どこにも公開されていない秘密のURL=パスワードという考え方があるんですよ。信じがたい。
Re:犯罪性 (スコア:1)
Re:犯罪性 (スコア:1, 興味深い)
外部からのペネトレーションテストを行う人員は
いっそのこと免許制にして資格のある人・団体しかできないとか。
IT関係の資格って危険物の取り扱いや医療行為の現場と違って
「それが無いと仕事ができない」というものが
皆無なので、こういうものこそ、って常々思うんですが。
Re:犯罪性 (スコア:2, すばらしい洞察)
> いっそのこと免許制にして資格のある人・団体しかできないとか。
あるいはそれこそが狙いなのかも、と一瞬妄想しました。
・どんな理由があろうと無免許のペネトレは罪として扱うよ
↓
・免許が欲しかったら○○省外郭団体管轄のこれこれこういう免許とってね
↓
・天下り先が一つできてウマー
いや、だって、今回の件で(個人情報を流出させたことではなく)不正アクセス扱いで
逮捕するっのて、不正アクセス禁止法の適用前例を作りたかっただけとしか思えない
し、じゃあこの件を前例にして何が嬉しいかっていうと上のような流れがどうしても
ちらついてしまう……。
Re:犯罪性 (スコア:2, おもしろおかしい)
> 流れがどうしてもちらついてしまう……。
あ、もう一つあった。
・これを前例として田中康夫をパクりたい/黙らせたい
Re:犯罪性 (スコア:1, すばらしい洞察)
Re:犯罪性 (スコア:1, 参考になる)
刑法の規定で
というのがあって、むしろ犯意が無いのに処罰される方が特例的な扱いなんだが。たとえば過失致死なんかは刑法210条で明記されているので罪に問われるけど、犯意がある場合(要するに殺人)は死刑又は無期若しくは3年以上の懲役であるのに対して、過失致死だと50万円以下の罰金と、格段に量刑も軽くなっている。
ちなみに
というのもあるので、刑法ではなく不正アクセス防止法であっても適用され、不正アクセス防止法に「過失の場合も罰する」という規定が無い以上、故意でなければ処罰されないと考えるのが適当。Re:故意かどうかの判断 (スコア:1)
セキュリティ上の指摘を行う為に「故意に」穴を突いた訳だから。
穴を見つけた事が偶然であっても、穴を探す為にそれを行っている(例えばパスワード総当り)のは「偶然」ではなく「故意」。 故意でないってのは、例えばURLを入れようとして手が滑ってとか、穴を探す意思が無い状況を挿す。
ってよりセキュリティチェックの為のアクセスならその時点で故意確定だと認識しないでどうするって気も。
バグ次第では相手のデータを壊す可能性すらあるってのに。
Re:故意かどうかの判断 (スコア:2, すばらしい洞察)
>という話です。
元々相手の全てのサービス破壊のリスクを背負う覚悟が必要な筈なんですが。
>そうなることが予測される以上、親切な通告者が期待できなくなる分、サイト管理者も大変になるよねと。
そういう事をするなって法ですから。
実際、興味本意のセキュリティチェックも犯罪目当てのアタックも、管理者から見れば一緒。
いや、前者が野放しにされているとその分、実際の攻撃が見分け辛い。
また、実際に犯罪目当てであっても「セキュリティチェックの為」と言い逃れが出来、実際攻撃し放題となる。
となれば、実際に無関係なものからのセキュリティチェックを目的としたアクセス自体も制限した方が安全という可能性は否定出来ない。
つまりは基本的には当事者以外触るなって事なんでしょうね。
まあ、妥当性のある考えだと思いますよ。
普通の第三者にはそういう事をする理由が無い筈だし、実際にきちんとした契約で使用しているものには契約に基づいた権利により合法的に監査を求める事が出来る。
勿論サービス提供側がサービス向上の為にやっても良い。
が、他人はやるなと。
サイト管理が苦労しようが、穴があるのが増えようが、別に他人が心配する必要もない。
酷いのは淘汰されるだろうし、それが致命的なら改善されるだろう。
どちらでも無いのに継続しているのは別段大した問題では無い奴だろう。
Re:犯罪性 (スコア:1)
いっそのこと免許制にして資格のある人・団体しかできないとか。
それ以前に、セキュリティを保証する第三者機関が必要だと思ったら、既に、プライバシーマーク [privacymark.jp]なんてのがあった。
しかし、登録企業はごく僅か(勿論ACCSも登録されていない)だし、間接的に認定を与える団体に至っては、僅か4機関。それに、認定費用も結構する。これじゃ、普及しないなと。
本来なら、この手の機関(それも一般企業が望ましい)が一杯あって、各個で顧問サイトの安全性を保証する仕組みになってしかるべきだと思う。その上で、第三者の安全性保証の無いサイトへは、個人情報入力なんて論外とする風潮が出来れば、大穴の空いたサイトを撲滅出来るのでは無いかと。
で、その保証/監査機関が多数あって、競争しつつビジネスを行うなら、必然的に何らかの資格とかも出来て、それなりの権威を持つ様になるのでは無いかな。
-- Buy It When You Found It --
Re:免許制は是非に欲しい (スコア:2, おもしろおかしい)
# もちろん罪状は不正アクセス。
Re:免許制は是非に欲しい (スコア:1)
つまりは、往々にしてそれ以上の利益があるって事。
大体において、「セキュリティ専門家」を「自称」すれば不正アクセス禁止法に抵触しえる行為を行うことも、他人の情報を漏らしまくる事も問題なしとされる状況の方が圧倒的に危ないと思いますが。
Re:免許制は是非に欲しい (スコア:2, 興味深い)
あ、そこが一番重要。
例えば医者なり弁護士なりの、他人のプライバシーに触れる事のある業種ってのは、契約としてではなく業としての守秘義務がある訳。病院では一々診察前に守秘義務契約なんかしないでしょ?
でもって、卑しくも公共の利益の為のセキュリティの専門家を名乗る人間が、その程度の気を回す事も出来ないって事実が、「自称」は問題だなって思う大きな原因です。
まあ、それ以前として他人のプライバシーに掛かる情報を勝手に公開しちゃあいけないってのは、ネチケット云々を持ち出すまでもなく社会人としてのあまりに当たり前の判断だと思いますけどね。
Re:免許制は是非に欲しい (スコア:1)
> でもって、卑しくも公共の利益の為のセキュリティの専門家を名乗る人間が、その程度の気を回す事も出来ないって事実が、「自称」は問題だなって思う大きな原因です。
この分野で「士」って付くのだとやっぱり技術士 [engineer.or.jp]かなぁ。
情報部門って現行のくくりだとおおざっぱすぎるからセキュリティ部門とか作るべきってことなのかなぁ。
なんか「技術士(セキュリティ部門)」ってのがあったほうがいいような気がしてきた。
Re:免許制は是非に欲しい (スコア:1)
>情報部門って現行のくくりだとおおざっぱすぎるからセキュリティ部門とか作るべきってことなのかなぁ。
この技術士でもそうですが、基本的にはそういう他社のプライバシーに触れる業務に付く資格には 法に明記された義務 [engineer.or.jp]があり、それにより顧客はある程度の安心を得る事が出来る訳で。
でもってやはり自社なり他者なりのプライバシーを含むサイトに触れるセキュリティ関係者がその手の縛りを受けないとされる理由も無い、と言うより、前者が法で明記されなければならない理由によりこちらも法で明記的に制限しなければならないと思います。
それが無い現状では個々の契約で保全をするって事になるのでしょうが、これがセキュリティの押し売り相手だと「元々契約が無い」という事により自己防衛が一層難儀になってしまいます。
Re:免許制は是非に欲しい (スコア:1)
Re:免許制は是非に欲しい (スコア:1)
> それが無い現状では個々の契約で保全をするって事になるのでしょうが、これがセキュリティの押し売り相手だと「元々契約が無い」という事により自己防衛が一層難儀になってしまいます。
そうですねぇ。
指摘を受けた側でも指摘してきた相手がどんな人物だかわからないと疑心暗鬼になってしまったり本来建設的な方向で収まるはずの話も収まらなくなったりしますしねぇ。
その意味ではある程度法的に責任がはっきりしているような制度が必要ですよね。
まぁ、だからといってその指摘が善意という保証はないですが、少なくとも指摘を受けた側で社内的にどうにかしやすかったりはしますよね。
もっとも今回のケースは一般的倫理や(世間一般のレベルで)ちゃんと相手と意思の疎通ができるとかって、人として最低限の部分に問題があったんじゃないかと思わなくもないですが。
でも、これを契機として法に裏打ちされた「士」制度なんかができるとセキュリティ関連技術者一般の社会的地位の向上にも役に立つんでそっちの方面に話が展開してくれるといいですね。
Re:免許制は是非に欲しい (スコア:1)
医者が患者のカルテを自分のウェブサイトにアップロードしていた、それを閲覧可能だよと実際にアクセスできるところを公の場で見せて証明した。そして一方的に罰せられるのは守秘義務違反を訴えた側。訴える事ができるのも免許を持ってる人間だけ。免許が無ければ泣き寝入りしなくてはならない? どう考えてもおかしい話だと思います。
# 別にoffice氏の行為に全面賛成するわけじゃないですけども
Re:免許制は是非に欲しい (スコア:1)
>守秘義務違反をしている事を公の場で証明された、というのはどうなんですかね。
直接案件とは関係無いと見なすべきでしょう。
少なくともoffice氏はそれにより被害を受けていないって事は、当然、被害者としての権利を得ていない訳ですから。
#ってか、被害者でも無い者が確か勝手に被害者面するのも法律的には不味かった筈。
Re:免許制は是非に欲しい (スコア:1)
守秘義務の話が出てたので、今回のACCS側の方の守秘義務はどうなんだと思ったんですが、結局親告罪なんですよね? かといって被害にあってる事に気付いてない人を見過ごすわけにもいかないでしょう。お節介を焼く必要は無いと言われればそれまでですが……
office氏の行動を全面的に支持するとは言いません。でも、office氏がいなければACCSから今も個人情報を盗める状況にあったんじゃないんですか? そのことを鑑みずにはこの問題は考えられない、考えてはいけないと思います。
加害者が被害者面して許される状況だけは打破する必要があると考えます。
逮捕する相手も、免許制を議論すべき相手も、本当にoffice氏側なのかと。
Re:免許制は是非に欲しい (スコア:1)
誰もが他人の粗探しをする権利はある。
しかし、それらは全て合法的手段で行わなければ意味がない。
それは民主主義法治国家として最低限のモラルですよ。
ACCSの守秘義務違反なんて現状では、状況証拠を持って騒いでいるだけ。
一切法律的判断が成されていない状況なのですから。
その状況で何かして良いと考えるのは、私刑を禁止する法の精神に反します。
#国民はoffice氏に司法権を与えてはいません。
そしてACCSからすればoffice氏は明らかに一方的な加害者なんですが。
故に、ACCSが「office氏を相手に」被害者面をした所で別に何も問題は無い筈ですが。
それにACCSでも根本原因はCGIの不備にある事は認めてましたよね?
では、問題は無いと思うのですが?
ACCSへの加害責任はoffice氏にある。
情報流出者への加害責任はACCS(と直接加害者のoffice氏)にある。
ただそれだけの事を無理に一緒にしようとしているだけでは?
流出被害者はACCSを訴えられるのと同様、直接加害者としてoffice氏も訴えられるんですよ。
Re:免許制は是非に欲しい (スコア:1)
ACCSは加害者であると同時に被害者でもあるということですね。
それは納得します。
しかし、被害者の面だけが強調されてる状況、被害者としてだけ法的判断がくだされようとしてる状況は納得できません。
このままでは同じような事があった場合、誰かが実際にデータを盗み出すまで放置して、自分が被害者になるのを待った方が得になってしまいませんか?
被害にあいました、不備を認めました、謝りました、問題ありません、悪いのはデータを盗んだ人です。
これでは安心して生活できないと思うんですよねえ。
Re:免許制は是非に欲しい (スコア:1)
加害責任があるということと加害者ってのはちょっと違うような気がする。
> しかし、被害者の面だけが強調されてる状況、被害者としてだけ法的判断がくだされようとしてる状況は納得できません。
> このままでは同じような事があった場合、誰かが実際にデータを盗み出すまで放置して、自分が被害者になるのを待った方が得になってしまいませんか?
ちゃいます。たぶん、この場合(問われるとしても)ACCS が問われるのは善管注意義務ぐらいのものです。
それがどの程度問われるのかは時代や背景によって異なるので一概には言えませんが、世間一般の感覚からいえば今回のケースでは明確に善管注意義務違反を追求するのは難しそうな気がします。
もちろん民事は別で「公開されて被害を受けた人」が ACCS に損倍を求めることは可能でしょう。でも、その分は ACCS が河合容疑者に損倍を求めることになるから ACCS の持ち出しにはならなないんじゃないかな。
Re:免許制は是非に欲しい (スコア:1)
そうですか?
だってその判断って裁判所がするのだから未だに判断されていないんだと思うのですが?
そういうのは法廷で弁明すれば良いんで、訴える方には関係ないんではないかと。
実際、被害届が受理されるか怪しい時には一通り出しておくってのも当然の方法だろうし。
>被害にあいました、不備を認めました、謝りました、
>問題ありません、悪いのはデータを盗んだ人です。
これでは安心して生活できないと思うんですよねえ。
そういうものの為に個人情報保護法があるんでしょこちらも賛否はあれど。
それに今回の件だって別に流失被害者が損害賠償請求を出来ない訳でもないでしょうし。
まあ、現実には裁判してプラスになるかどうか?ですが。
#いや、悪いのは盗んだ本人ってのもある意味真理だと思うけど。
#犯罪者だけ徹底排除して後は出来るだけオープンにってのも有効な一つの考えでしょう。
Re:免許制は是非に欲しい (スコア:1)
なるほど、結局は裁判になるまでわからないということですか。
それならじっくりと行方を見守る事にします。
裁判でうまいこと両方の責任がバランス良く判断されるといいのですが。
Re:免許制は是非に欲しい (スコア:1)
電気通信に携わる資格はない、という話かと。
-- Tig3r on the hedge
Re:犯罪性 (スコア:1)
言ってしまえば、模倣犯の見せしめかもしれない。
個人の思いとしては、office氏を逮捕するなら、個人情報を
適切に管理していなかった(=アクセス制御機構を有効に
運用していなかった)ACCSも刑事上の責任に問われて
しかるべきだと思います。
たとえ話をするならば、銀行の金庫の前に暗証番号を貼ってあって、
泥棒に金庫を開けられてしまったのに、開けられた側(銀行)には
一切責任がないのかということです。