パスワードを忘れた? アカウント作成
Close
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ACCS事件でoffice氏逮捕 More

ACCS事件でoffice氏逮捕」記事へのコメント

  • これって不正アクセス禁止法 [npa.go.jp]にはどう考えても該当しないと思うんですが、どうなんでしょうね。
    法文って難しくてよく読みこなせないんですが、パスワードなどのアクセス制御機構が存在してない場合、適用は無理としか思えません。

    • Re:不正アクセス禁止法? (スコア:2, 興味深い)

      by znc (2768) on 2004年02月04日 14時49分 (#488142)
      一応のアクセス制御機構はあったはずです.
      今回はそのアクセス制御機構に大穴があり,そこをついたのが
      問題にされた様です.

      ていうか,記事によっては余罪追及のあるらしい書き方を
      しているのですが,出来れば今回はお灸を据えるぐらいに
      とどめてほしいですね.
      --
      『今日の屈辱に耐え明日の為に生きるのが男だ』
      宇宙戦艦 ヤマト 艦長 沖田十三氏談
      2006/06/23 JPN 1 - 4 BRA
      シェア
      親コメント
      • どのようなアクセス制御機構が存在していたのですか?
        通常アクセス可能なCGIが計算機内のどんなファイルも読み取って表示できるオプションを持っていた、という話しか聞いてないのですが。
        シェア
        親コメント

        • Re:不正アクセス禁止法? (スコア:1)

          by znc (2768) on 2004年02月04日 15時24分 (#488219)
          おそらく,通常のWebセキュリティーレベルのアクセス制御は
          やっていたのではないかと…

          今回の穴は表の入り口は鍵がちゃんとかかっていたが
          裏口もしくは勝手口が開けっ放しだったという感じでしょうか…

          この状態で泥棒が入ったら,泥棒はやっぱり不法侵入だし
          開けっ放しにしていた人はその認識の甘さで
          批判されまくる…と.

          #このたとえ余りよくないがID
          --
          『今日の屈辱に耐え明日の為に生きるのが男だ』
          宇宙戦艦 ヤマト 艦長 沖田十三氏談
          2006/06/23 JPN 1 - 4 BRA
          シェア
          親コメント
          • 通常のwebセキュリティというのがどういう物か想像付かないのですが……。
            例えばapacheでアクセス制御を行うとしたら、BASIC認証などのパスワード認証をかけるか、.htaccessなどでsource addressをDeny/Allowするかくらいですよね。
            こうした処置が取られていたページだったようには思えないんです。
            シェア
            親コメント

            • Re:不正アクセス禁止法? (スコア:1)

              by znc (2768) on 2004年02月04日 16時25分 (#488339)
              すぐに思いつくレベルだと
              - 個人情報や認証に使うパースワードなどのデータは
              htdocsツリー内に置かない.
              - 無用のindexes設定はやめる
              ぐらいでしょうか…

              少なくても今回は、大穴とは言えURLを書き換えれば済む様な
              レベルではなかったと思いますが…
              --
              『今日の屈辱に耐え明日の為に生きるのが男だ』
              宇宙戦艦 ヤマト 艦長 沖田十三氏談
              2006/06/23 JPN 1 - 4 BRA
              シェア
              親コメント

              • Re:不正アクセス禁止法? (スコア:2, 参考になる)

                by koshian (6999) on 2004年02月04日 16時56分 (#488390) ホームページ 日記
                URLを書き換えれば済むようなレベルだったようですよ。
                日経BPの記事 [nikkeibp.co.jp]を読む限りはそう見えます。URLじゃなくてPATHかな。
                直接読まれては困るものはDccumentRoot下におかないというのは常識レベルであって、「アクセス制御機構」ではないですよね。少なくとも機構と言えるものではないと思います。
                せいぜい手法? そもそも「アクセス制御」と言えるのか……。
                シェア
                親コメント
              • ふと思ったのですが、
                office氏がくだんのファイルを抜き取るためにどうしたのかが気になります。

                仮に、すぐに類推できるものであれば、あれまあ見えちゃった、で済むのでしょうが、
                穴の性質を良く知っていて、「ファイル名さえヒットすれば!」と何度も何度も攻撃を仕掛けたなら、
                明らかに「悪意」と言われても仕方ないですよね。
                (結果も重要ですが、動機が最も大事ですから)

                窓にペタっと貼り付けておいて「見るな!」はおかしいですけど、
                扉入ってすぐのところに置いてあるのを扉を開けて見ちゃうのは問題かと。
                シェア
                親コメント
              • 確かまずCGI自身のソースを読み出させて、データファイルらしきファイル名を見付けて読んだんじゃなかったでしたっけ?
                噂かもしれませんが、妥当で確実なやり方でしょうね。
                シェア
                親コメント

              • Re:不正アクセス禁止法? (スコア:1)

                by znc (2768) on 2004年02月05日 10時32分 (#489206)
                : URLを書き換えれば済むようなレベルだったようですよ。
                _/[]O

                あと,DocumentRoot配下に重要情報を置かないなどの
                Webコンテンツセキュリティの基本はちょっと勉強すれば
                『常識中の常識』して覚えてくれる(と思う)けど,
                いきなり押しつけられた様なWebコンテンツ管理者レベルだと
                正直微妙なところは出てきますね…

                まぁ,今回の穴に関してはACCSのセキュリティ担当者が
                以下略だったいうことで…
                --
                『今日の屈辱に耐え明日の為に生きるのが男だ』
                宇宙戦艦 ヤマト 艦長 沖田十三氏談
                2006/06/23 JPN 1 - 4 BRA
                シェア
                親コメント
          • | おそらく,通常のWebセキュリティーレベルのアクセス制御は
            | やっていたのではないかと…

            通常のWebセキュリティーレベル(?)なら、そもそも個人情報をWebから見える領域に置いたりしないのではないでしょうか。

            | #このた

            • Re:不正アクセス禁止法? (スコア:1)

              by miri (12057) on 2004年02月05日 10時00分 (#489176) 日記
              > 今回の件(というかセキュリティ方面全般?)ではたとえ話はほとんどが有効ではありませんね。

              今回の話題の中心はセキュリティなんでしょうか?
              どちらかというと(このスレッドでは)逮捕の根拠のようにも読めるのですが、法律の解釈の問題ってたとえ話に似ていると思いませんか?もしそうだとしたら、技術に詳しい者がどこまで拡大解釈を許せるかを議論することはある面で有益かとも思います。
              その場合でも議論の方向の修正は随時必要だと思いますが。

              根拠なく「たとえ話は有害」とするのはどうかと思うのでID。

              ただ、/.のユーザーインターフェース的な観点から、このような議論を見たくない人のためにDHTML的にスレッドを「閉じ」られるような機能があればいいとも思いました。
              シェア
              親コメント
            • > 通常のWebセキュリティーレベル(?)なら、そもそも個人情報をWebから見える領域に置いたりしないのではないでしょうか

              GET /filename
              で取れたわけじゃない(?)から
              単純に 「見える領域」 とは言えないでしょう。
      • >ていうか,記事によっては余罪追及のあるらしい書き方を

        見せしめ的にタイーホしたのであれば、ここらへんまできっちり罰せられる可能性もありますよね。
        ただ、これを世間がどう見るか、メディアがどのように伝えるか、皆さんがどのように考えているのかは非常に興味があります。
        もしかすると法改正も近いかもしれませんね。
        シェア
        親コメント

吾輩はリファレンスである。名前はまだ無い -- perlの中の人