アカウント名:
パスワード:
刑法の規定で
第38条 罪を犯す意思がない行為は、罰しない。ただし、法律に特別の規定がある場合は、この限りでない。
ちなみに
第8条 この編の規定は、他の法令の罪についても、適用する。ただし、その法令に特別の規定があるときは、この限りでない。
セキュリティ上の指摘を行う為に「故意に」穴を突いた訳だから。
穴を見つけた事が偶然であっても、穴を探す為にそれを行っている(例えばパスワード総当り)のは「偶然」ではなく「故意」。 故意でないってのは、例えばURLを入れようとして手が滑ってとか、穴を探す意思が無い状況を挿す。
ってよりセキュリティチェックの為のアクセスならその時点で故意確定だと認識しないでどうするって気も。 バグ次第では相手のデータを壊す可能性すらあるってのに。
元々相手の全てのサービス破壊のリスクを背負う覚悟が必要な筈なんですが。
>そうなることが予測される以上、親切な通告者が期待できなくなる分、サイト管理者も大変になるよねと。
そういう事をするなって法ですから。
実際、興味本意のセキュリティチェックも犯罪目当てのアタックも、管理者から見れば一緒。 いや、前者が野放しにされているとその分、実際の攻撃が見分け辛い。 また、実際に犯罪目当てであっても「セキュリティチェックの為」と言い逃れが出来、実際攻撃し放題となる。 となれば、実際に無関係なものからのセキュリティチェックを目的としたアクセス自体も制限した方が安全という可能性は否定出来ない。
つまりは基本的には当事者以外触るなって事なんでしょうね。 まあ、妥当性のある考えだと思いますよ。 普通の第三者にはそういう事をする理由が無い筈だし、実際にきちんとした契約で使用しているものには契約に基づいた権利により合法的に監査を求める事が出来る。 勿論サービス提供側がサービス向上の為にやっても良い。 が、他人はやるなと。
サイト管理が苦労しようが、穴があるのが増えようが、別に他人が心配する必要もない。 酷いのは淘汰されるだろうし、それが致命的なら改善されるだろう。 どちらでも無いのに継続しているのは別段大した問題では無い奴だろう。
今回の件で解った事の一項に、 「自称セキュリティ専門家自体がセキュリティホールと成り得る」 と言う事(いや、解ってはいたけど証明されたって事ね)があります。
つまり個々人の良心に任せていては、基本中の基本である守秘義務ですら
大体において、「セキュリティ専門家」を「自称」すれば不正アクセス禁止法に抵触しえる行為を行うことも、他人の情報を漏らしまくる事も問題なしとされる状況の方が圧倒的に危ないと思いますが。
あ、そこが一番重要。 例えば医者なり弁護士なりの、他人のプライバシーに触れる事のある業種ってのは、契約としてではなく業としての守秘義務がある訳。病院では一々診察前に守秘義務契約なんかしないでしょ? でもって、卑しくも公共の利益の為のセキュリティの専門家を名乗る人間が、その程度の気を回す事も出来ないって事実が、「自称」は問題だなって思う大きな原因です。
まあ、それ以前として他人のプライバシーに掛かる情報を勝手に公開しちゃあいけないってのは、ネチケット云々を持ち出すまでもなく社会人としてのあまりに当たり前の判断だと思いますけどね。
この技術士でもそうですが、基本的にはそういう他社のプライバシーに触れる業務に付く資格には 法に明記された義務 [engineer.or.jp]があり、それにより顧客はある程度の安心を得る事が出来る訳で。
でもってやはり自社なり他者なりのプライバシーを含むサイトに触れるセキュリティ関係者がその手の縛りを受けないとされる理由も無い、と言うより、前者が法で明記されなければならない理由によりこちらも法で明記的に制限しなければならないと思います。
それが無い現状では個々の契約で保全をするって事になるのでしょうが、これがセキュリティの押し売り相手だと「元々契約が無い」という事により自己防衛が一層難儀になってしまいます。
例えば医者なり弁護士なりの、他人のプライバシーに触れる事のある業種ってのは、契約としてではなく業としての守秘義務がある訳。病院では一々診察前に守秘義務契約なんかしないでしょ?
直接案件とは関係無いと見なすべきでしょう。
少なくともoffice氏はそれにより被害を受けていないって事は、当然、被害者としての権利を得ていない訳ですから。
#ってか、被害者でも無い者が確か勝手に被害者面するのも法律的には不味かった筈。
誰もが他人の粗探しをする権利はある。 しかし、それらは全て合法的手段で行わなければ意味がない。 それは民主主義法治国家として最低限のモラルですよ。
ACCSの守秘義務違反なんて現状では、状況証拠を持って騒いでいるだけ。 一切法律的判断が成されていない状況なのですから。 その状況で何かして良いと考えるのは、私刑を禁止する法の精神に反します。 #国民はoffice氏に司法権を与えてはいません。
そしてACCSからすればoffice氏は明らかに一方的な加害者なんですが。 故に、ACCSが「office氏を相手に」被害者面をした所で別に何も問題は無い筈ですが。
それにACCSでも根本原因はCGIの不備にある事は認めてましたよね? では、問題は無いと思うのですが?
ACCSへの加害責任はoffice氏にある。 情報流出者への加害責任はACCS(と直接加害者のoffice氏)にある。 ただそれだけの事を無理に一緒にしようとしているだけでは? 流出被害者はACCSを訴えられるのと同様、直接加害者としてoffice氏も訴えられるんですよ。
そうですか? だってその判断って裁判所がするのだから未だに判断されていないんだと思うのですが? そういうのは法廷で弁明すれば良いんで、訴える方には関係ないんではないかと。 実際、被害届が受理されるか怪しい時には一通り出しておくってのも当然の方法だろうし。
>被害にあいました、不備を認めました、謝りました、 >問題ありません、悪いのはデータを盗んだ人です。 これでは安心して生活できないと思うんですよねえ。
そういうものの為に個人情報保護法があるんでしょこちらも賛否はあれど。
それに今回の件だって別に流失被害者が損害賠償請求を出来ない訳でもないでしょうし。 まあ、現実には裁判してプラスになるかどうか?ですが。
#いや、悪いのは盗んだ本人ってのもある意味真理だと思うけど。 #犯罪者だけ徹底排除して後は出来るだけオープンにってのも有効な一つの考えでしょう。
>しかし、被害者の面だけが強調されてる状況、被害者としてだけ法的判断がくだされようとしてる状況は納得できません。 そうですか? だってその判断って裁判所がするのだから未だに判断されていないんだと思うのですが? そういうのは法廷で弁明すれば良いんで、訴える方には関係ないんではないかと。 実際、被害届が受理されるか怪しい時には一通り出しておくってのも当然の方法だろうし。
結んでないでしょ。極論すれば「勝手に調べて、一方的に連絡してた」だけなんだから。
でも専門家であれば、NDAを結んでいないからといって、調べ上げた「穴」を一般に公開しちゃダメでしょ。その穴が何故危険で、どういう影響を与え
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
犯罪性 (スコア:2, 興味深い)
研究成果として不正アクセスの具体的方法を示すこともいいですし、脆弱性を持っていたサイトの例として ACCS を挙げることもいい
Re:犯罪性 (スコア:1, 興味深い)
外部からのペネトレーションテストを行う人員は
いっそのこと免許制にして資格のある人・団体しかできないとか。
IT関係の資格って危険物の取り扱いや医療行為の現場と違って
「それが無いと仕事ができない」というものが
皆無なので、こういうものこそ、って常々思うんですが。
Re:犯罪性 (スコア:2, すばらしい洞察)
> いっそのこと免許制にして資格のある人・団体しかできないとか。
あるいはそれこそが狙いなのかも、と一瞬妄想しました。
・どんな理由があろうと無免許のペネトレは罪として扱うよ
↓
・免許が欲しかったら○○省外郭団体管轄のこれこれこういう免許とってね
↓
・天下り先が一つできてウマー
いや、だって、今回の件で(個人情報を流出させたことではなく)不正アクセス扱いで
逮捕するっのて、不正アクセス禁止法の適用前例を作りたかっただけとしか思えない
し、じゃあこの件を前例にして何が嬉しいかっていうと上のような流れがどうしても
ちらついてしまう……。
Re:犯罪性 (スコア:2, おもしろおかしい)
> 流れがどうしてもちらついてしまう……。
あ、もう一つあった。
・これを前例として田中康夫をパクりたい/黙らせたい
Re:犯罪性 (スコア:1, すばらしい洞察)
Re:犯罪性 (スコア:0)
インターネットへの接続を免許制とし、自分のマシンが吐き出す全てのパケットに責任を持つことが必要ではないでしょうか?
Re:犯罪性 (スコア:1, 参考になる)
刑法の規定で
というのがあって、むしろ犯意が無いのに処罰される方が特例的な扱いなんだが。たとえば過失致死なんかは刑法210条で明記されているので罪に問われるけど、犯意がある場合(要するに殺人)は死刑又は無期若しくは3年以上の懲役であるのに対して、過失致死だと50万円以下の罰金と、格段に量刑も軽くなっている。
ちなみに
というのもあるので、刑法ではなく不正アクセス防止法であっても適用され、不正アクセス防止法に「過失の場合も罰する」という規定が無い以上、故意でなければ処罰されないと考えるのが適当。故意かどうかの判断 (スコア:0)
>故意でなければ処罰されないと考えるのが適当。
この判断には本人への確認が必要ですから、セキュリティーに関する指摘をするときには、告訴されて“参考人”として呼ばれる覚悟が必要ですね。(もちろん、アクセスログなどから
Re:故意かどうかの判断 (スコア:1)
セキュリティ上の指摘を行う為に「故意に」穴を突いた訳だから。
穴を見つけた事が偶然であっても、穴を探す為にそれを行っている(例えばパスワード総当り)のは「偶然」ではなく「故意」。 故意でないってのは、例えばURLを入れようとして手が滑ってとか、穴を探す意思が無い状況を挿す。
ってよりセキュリティチェックの為のアクセスならその時点で故意確定だと認識しないでどうするって気も。
バグ次第では相手のデータを壊す可能性すらあるってのに。
Re:故意かどうかの判断 (スコア:0)
話題的には、他の枝につける内容でしたね。
上の発言は、office氏の件限定でなく、不正アクセス防止法の適用方法そのものを問題にしています。
>セキュリティチェックの為のアクセスならその時点で故意確定だと認識しないでどうするって気も。
だから、これからは、(警察に呼ば
Re:故意かどうかの判断 (スコア:2, すばらしい洞察)
>という話です。
元々相手の全てのサービス破壊のリスクを背負う覚悟が必要な筈なんですが。
>そうなることが予測される以上、親切な通告者が期待できなくなる分、サイト管理者も大変になるよねと。
そういう事をするなって法ですから。
実際、興味本意のセキュリティチェックも犯罪目当てのアタックも、管理者から見れば一緒。
いや、前者が野放しにされているとその分、実際の攻撃が見分け辛い。
また、実際に犯罪目当てであっても「セキュリティチェックの為」と言い逃れが出来、実際攻撃し放題となる。
となれば、実際に無関係なものからのセキュリティチェックを目的としたアクセス自体も制限した方が安全という可能性は否定出来ない。
つまりは基本的には当事者以外触るなって事なんでしょうね。
まあ、妥当性のある考えだと思いますよ。
普通の第三者にはそういう事をする理由が無い筈だし、実際にきちんとした契約で使用しているものには契約に基づいた権利により合法的に監査を求める事が出来る。
勿論サービス提供側がサービス向上の為にやっても良い。
が、他人はやるなと。
サイト管理が苦労しようが、穴があるのが増えようが、別に他人が心配する必要もない。
酷いのは淘汰されるだろうし、それが致命的なら改善されるだろう。
どちらでも無いのに継続しているのは別段大した問題では無い奴だろう。
Re:犯罪性 (スコア:1)
いっそのこと免許制にして資格のある人・団体しかできないとか。
それ以前に、セキュリティを保証する第三者機関が必要だと思ったら、既に、プライバシーマーク [privacymark.jp]なんてのがあった。
しかし、登録企業はごく僅か(勿論ACCSも登録されていない)だし、間接的に認定を与える団体に至っては、僅か4機関。それに、認定費用も結構する。これじゃ、普及しないなと。
本来なら、この手の機関(それも一般企業が望ましい)が一杯あって、各個で顧問サイトの安全性を保証する仕組みになってしかるべきだと思う。その上で、第三者の安全性保証の無いサイトへは、個人情報入力なんて論外とする風潮が出来れば、大穴の空いたサイトを撲滅出来るのでは無いかと。
で、その保証/監査機関が多数あって、競争しつつビジネスを行うなら、必然的に何らかの資格とかも出来て、それなりの権威を持つ様になるのでは無いかな。
-- Buy It When You Found It --
免許制は是非に欲しい (スコア:0, 余計なもの)
今回の件で解った事の一項に、
「自称セキュリティ専門家自体がセキュリティホールと成り得る」
と言う事(いや、解ってはいたけど証明されたって事ね)があります。
つまり個々人の良心に任せていては、基本中の基本である守秘義務ですら
Re:免許制は是非に欲しい (スコア:2, おもしろおかしい)
# もちろん罪状は不正アクセス。
Re:免許制は是非に欲しい (スコア:1)
つまりは、往々にしてそれ以上の利益があるって事。
大体において、「セキュリティ専門家」を「自称」すれば不正アクセス禁止法に抵触しえる行為を行うことも、他人の情報を漏らしまくる事も問題なしとされる状況の方が圧倒的に危ないと思いますが。
Re:免許制は是非に欲しい (スコア:0)
この箇所だけに引っかかったんだけど、守秘義務って結んでたの?
今までの報道/情報からはそんな感じはしなかったけど。
Re:免許制は是非に欲しい (スコア:2, 興味深い)
あ、そこが一番重要。
例えば医者なり弁護士なりの、他人のプライバシーに触れる事のある業種ってのは、契約としてではなく業としての守秘義務がある訳。病院では一々診察前に守秘義務契約なんかしないでしょ?
でもって、卑しくも公共の利益の為のセキュリティの専門家を名乗る人間が、その程度の気を回す事も出来ないって事実が、「自称」は問題だなって思う大きな原因です。
まあ、それ以前として他人のプライバシーに掛かる情報を勝手に公開しちゃあいけないってのは、ネチケット云々を持ち出すまでもなく社会人としてのあまりに当たり前の判断だと思いますけどね。
Re:免許制は是非に欲しい (スコア:1)
> でもって、卑しくも公共の利益の為のセキュリティの専門家を名乗る人間が、その程度の気を回す事も出来ないって事実が、「自称」は問題だなって思う大きな原因です。
この分野で「士」って付くのだとやっぱり技術士 [engineer.or.jp]かなぁ。
情報部門って現行のくくりだとおおざっぱすぎるからセキュリティ部門とか作るべきってことなのかなぁ。
なんか「技術士(セキュリティ部門)」ってのがあったほうがいいような気がしてきた。
Re:免許制は是非に欲しい (スコア:1)
>情報部門って現行のくくりだとおおざっぱすぎるからセキュリティ部門とか作るべきってことなのかなぁ。
この技術士でもそうですが、基本的にはそういう他社のプライバシーに触れる業務に付く資格には 法に明記された義務 [engineer.or.jp]があり、それにより顧客はある程度の安心を得る事が出来る訳で。
でもってやはり自社なり他者なりのプライバシーを含むサイトに触れるセキュリティ関係者がその手の縛りを受けないとされる理由も無い、と言うより、前者が法で明記されなければならない理由によりこちらも法で明記的に制限しなければならないと思います。
それが無い現状では個々の契約で保全をするって事になるのでしょうが、これがセキュリティの押し売り相手だと「元々契約が無い」という事により自己防衛が一層難儀になってしまいます。
Re:免許制は是非に欲しい (スコア:1)
Re:免許制は是非に欲しい (スコア:1)
> それが無い現状では個々の契約で保全をするって事になるのでしょうが、これがセキュリティの押し売り相手だと「元々契約が無い」という事により自己防衛が一層難儀になってしまいます。
そうですねぇ。
指摘を受けた側でも指摘してきた相手がどんな人物だかわからないと疑心暗鬼になってしまったり本来建設的な方向で収まるはずの話も収まらなくなったりしますしねぇ。
その意味ではある程度法的に責任がはっきりしているような制度が必要ですよね。
まぁ、だからといってその指摘が善意という保証はないですが、少なくとも指摘を受けた側で社内的にどうにかしやすかったりはしますよね。
もっとも今回のケースは一般的倫理や(世間一般のレベルで)ちゃんと相手と意思の疎通ができるとかって、人として最低限の部分に問題があったんじゃないかと思わなくもないですが。
でも、これを契機として法に裏打ちされた「士」制度なんかができるとセキュリティ関連技術者一般の社会的地位の向上にも役に立つんでそっちの方面に話が展開してくれるといいですね。
Re:免許制は是非に欲しい (スコア:1)
医者が患者のカルテを自分のウェブサイトにアップロードしていた、それを閲覧可能だよと実際にアクセスできるところを公の場で見せて証明した。そして一方的に罰せられるのは守秘義務違反を訴えた側。訴える事ができるのも免許を持ってる人間だけ。免許が無ければ泣き寝入りしなくてはならない? どう考えてもおかしい話だと思います。
# 別にoffice氏の行為に全面賛成するわけじゃないですけども
Re:免許制は是非に欲しい (スコア:1)
>守秘義務違反をしている事を公の場で証明された、というのはどうなんですかね。
直接案件とは関係無いと見なすべきでしょう。
少なくともoffice氏はそれにより被害を受けていないって事は、当然、被害者としての権利を得ていない訳ですから。
#ってか、被害者でも無い者が確か勝手に被害者面するのも法律的には不味かった筈。
Re:免許制は是非に欲しい (スコア:1)
守秘義務の話が出てたので、今回のACCS側の方の守秘義務はどうなんだと思ったんですが、結局親告罪なんですよね? かといって被害にあってる事に気付いてない人を見過ごすわけにもいかないでしょう。お節介を焼く必要は無いと言われればそれまでですが……
office氏の行動を全面的に支持するとは言いません。でも、office氏がいなければACCSから今も個人情報を盗める状況にあったんじゃないんですか? そのことを鑑みずにはこの問題は考えられない、考えてはいけないと思います。
加害者が被害者面して許される状況だけは打破する必要があると考えます。
逮捕する相手も、免許制を議論すべき相手も、本当にoffice氏側なのかと。
Re:免許制は是非に欲しい (スコア:1)
誰もが他人の粗探しをする権利はある。
しかし、それらは全て合法的手段で行わなければ意味がない。
それは民主主義法治国家として最低限のモラルですよ。
ACCSの守秘義務違反なんて現状では、状況証拠を持って騒いでいるだけ。
一切法律的判断が成されていない状況なのですから。
その状況で何かして良いと考えるのは、私刑を禁止する法の精神に反します。
#国民はoffice氏に司法権を与えてはいません。
そしてACCSからすればoffice氏は明らかに一方的な加害者なんですが。
故に、ACCSが「office氏を相手に」被害者面をした所で別に何も問題は無い筈ですが。
それにACCSでも根本原因はCGIの不備にある事は認めてましたよね?
では、問題は無いと思うのですが?
ACCSへの加害責任はoffice氏にある。
情報流出者への加害責任はACCS(と直接加害者のoffice氏)にある。
ただそれだけの事を無理に一緒にしようとしているだけでは?
流出被害者はACCSを訴えられるのと同様、直接加害者としてoffice氏も訴えられるんですよ。
Re:免許制は是非に欲しい (スコア:1)
ACCSは加害者であると同時に被害者でもあるということですね。
それは納得します。
しかし、被害者の面だけが強調されてる状況、被害者としてだけ法的判断がくだされようとしてる状況は納得できません。
このままでは同じような事があった場合、誰かが実際にデータを盗み出すまで放置して、自分が被害者になるのを待った方が得になってしまいませんか?
被害にあいました、不備を認めました、謝りました、問題ありません、悪いのはデータを盗んだ人です。
これでは安心して生活できないと思うんですよねえ。
Re:免許制は是非に欲しい (スコア:1)
加害責任があるということと加害者ってのはちょっと違うような気がする。
> しかし、被害者の面だけが強調されてる状況、被害者としてだけ法的判断がくだされようとしてる状況は納得できません。
> このままでは同じような事があった場合、誰かが実際にデータを盗み出すまで放置して、自分が被害者になるのを待った方が得になってしまいませんか?
ちゃいます。たぶん、この場合(問われるとしても)ACCS が問われるのは善管注意義務ぐらいのものです。
それがどの程度問われるのかは時代や背景によって異なるので一概には言えませんが、世間一般の感覚からいえば今回のケースでは明確に善管注意義務違反を追求するのは難しそうな気がします。
もちろん民事は別で「公開されて被害を受けた人」が ACCS に損倍を求めることは可能でしょう。でも、その分は ACCS が河合容疑者に損倍を求めることになるから ACCS の持ち出しにはならなないんじゃないかな。
Re:免許制は是非に欲しい (スコア:1)
そうですか?
だってその判断って裁判所がするのだから未だに判断されていないんだと思うのですが?
そういうのは法廷で弁明すれば良いんで、訴える方には関係ないんではないかと。
実際、被害届が受理されるか怪しい時には一通り出しておくってのも当然の方法だろうし。
>被害にあいました、不備を認めました、謝りました、
>問題ありません、悪いのはデータを盗んだ人です。
これでは安心して生活できないと思うんですよねえ。
そういうものの為に個人情報保護法があるんでしょこちらも賛否はあれど。
それに今回の件だって別に流失被害者が損害賠償請求を出来ない訳でもないでしょうし。
まあ、現実には裁判してプラスになるかどうか?ですが。
#いや、悪いのは盗んだ本人ってのもある意味真理だと思うけど。
#犯罪者だけ徹底排除して後は出来るだけオープンにってのも有効な一つの考えでしょう。
Re:免許制は是非に欲しい (スコア:1)
なるほど、結局は裁判になるまでわからないということですか。
それならじっくりと行方を見守る事にします。
裁判でうまいこと両方の責任がバランス良く判断されるといいのですが。
Re:免許制は是非に欲しい (スコア:1)
電気通信に携わる資格はない、という話かと。
-- Tig3r on the hedge
Re:免許制は是非に欲しい (スコア:0)
結んでないでしょ。極論すれば「勝手に調べて、一方的に連絡してた」だけなんだから。
でも専門家であれば、NDAを結んでいないからといって、調べ上げた「穴」を一般に公開しちゃダメでしょ。その穴が何故危険で、どういう影響を与え