パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ACCS事件でoffice氏逮捕」記事へのコメント

  • by none (16325) on 2004年02月04日 15時08分 (#488180) 日記
    XSSについて脆弱性を発見した場合

    ・メールで脆弱性について伝える。

    という方法がベター(電話ならベスト)である。
    しかしながら、企業の対応はまちまちである。

    1.無視をする
     まだ貴方しか知らないんだからほっとこう

    2.逆切れ
     金でもゆすろうって言うのか?
     不正アクセスで訴えるぞ!

    3.黙っててください
     状況把握しました、でも変え(られ)ないので黙っていれば誰にもばれません

    4.即座に修正する
     こりゃやばい、ありがとう直しておきます。

    おおよその対応は1,3である
    この場合このメールはほぼ意味を成さない。
    2の場合己の社会的立場を危うくする場合がある。

    4の場合はかなりまれなケースである
    だからまずありえない

    ここで問題になるのは
    ・企業が集めたデータを保全をする義務が無いということ
     →つまり外部からアクセスされた場合不正アクセス法で訴えればいい

    物騒な話である。
    セキュリティーが確保されているか安心できなければ迂闊にアンケートにも答えられない世の中です。
    しかも穴だらけのシステムを堂々と使っていても問題ないと来ている・・・ばかげていると思いませんか?
    --
    有無自在
    • by nekonyan (3158) on 2004年02月04日 17時12分 (#488418) 日記
      ACCSの一件はXSSではないのでオフトピック。

      しかもofficeこと河合容疑者は発見したセキュリティホールを
      ACCSやレンタルサーバ業者などに連絡するよりも前に
      A.D.200Xというイベントで不正アクセスによって得た個人情報を晒した上に
      個人情報を含む資料を無線LANで自由にダウンロードできる形で会場内で配布していました。
      個人情報漏洩でACCSが謝罪した昨年11月にはセキュリティイベントのことは知らされていませんでした。
      これが後になって判明し、そこでofficeに協力的だったACCSも態度を変えたし、
      改めて1月4日の朝日新聞の記事となったのです。
      従って彼のケースを以てして一般論に話を持っていくのは間違いです。

      なんでこう話を別に逸らそうとする人が多いのだろう。
      親コメント
      • 追補:

        >個人情報を含む資料を無線LANで自由にダウンロードできる形で会場内で配布していました。
        >個人情報漏洩でACCSが謝罪した昨年11月にはセキュリティイベントのことは知らされていませんでした。

        http://www.askaccs.ne.jp/h
      • >なんでこう話を別に逸らそうとする人が多いのだろう。

        それは知っているという前提条件で話してたんじゃないのカナ?
      • >しかもofficeこと河合容疑者は発見したセキュリティホールを
        >ACCSやレンタルサーバ業者などに連絡するよりも前に

        なんでこう嘘をつく、あるいはろくに調べもせずに断定した語調でコメントするのだろう。
    • > XSSについて脆弱性を発見した場合
      今回の件はXSSじゃありません。脆弱性はXSSだけじゃありません。
      親コメント
    • >物騒な話である。
      セキュリティーが確保されているか安心できなければ迂闊にアンケートにも答えられない世の中です。
      >しかも穴だらけのシステムを堂々と使っていても問題ないと来ている・・・ばかげていると思いませんか?

      実はあまり思わなかったり(笑)

      世の中、完璧を目指すのは余りにハイコスト過ぎるって場合がままあります。
      まあ、金に直結する場合はそうも言えないでしょうが、そこでコケても所詮はその企業なりの評判が落ちる程度の話であれば、それこそ担当者の裁量ってもんでしょう。

      実際、それ以上の問題になるものであれば、それこそ個別に裁判となり、それによる出費が嵩みセキュリティ対処費用の方が安いとなれば、その時点で状況は変わるでしょう。

      親コメント
    • 最初に断っておきます.比較的長いですが明確な結論は出せてません.ごめんなさい.

      脆弱性への対応ですけど,つまるところ,セキュリティは技術だけの話じゃない,ってことだと思うんですよ.
      今回の件にしても,office氏とACCSとASK ACCSのユーザとではそれぞれ立場や利害が違うわけで.それぞれにとって何が最優先であるか(アジェンダ)を勝手に想像すると,

      • office氏: セキュリティホールをタレこむこと.それ以上の目的があるかどうかは不明.publicity目的,てのは十分ありえると思うし,結果的にそれが今回の「やりすぎ」につながったとも言えるかも.
      • ACCS: 自分の立場・評判を守ること.個人情報を預けた人に対しては責任があるので「漏れてません」と言えなくてはならないが,世間的には「穴なんてありません」ということにして,自分の評判が下がらなければそれでOK.
      • ユーザ: ACCSのサービスを受けられることが最優先.個人情報が抜かれることをどの程度気にするかは,多分に人による.
      だから,office氏がACCSに対して穴の指摘をしても最初は取り合わなかったのは,ACCSの立場を考えればわかる.だって,office氏がASK ACCSのユーザでない限り,office氏はACCSにとっての利害関係者じゃないし,穴の存在が広く知られてアタックされて巷でのACCSの評判が落ちでもしない限り問題はないわけだから.

      で,一般論として,どこぞのシステムに脆弱性を発見した場合にどうすればいいか.発見者がそのシステムの利害関係者でなければ,直接言ったところで上と同様の理由により「無視をする」「逆切れ」「黙っててください」となる,と想像できる.穴を塞ぐのにかかるコストに見合うだけのメリットがないんだから.
      となると,可能性のある方法は,「利害関係者を巻き込む」「システムの評判を落とす」などの手で,動かざるをえないようにするか,あるいはもう「自分には関係ない」と思って諦めるか,のどっちか,でしょうね.「システムの評判を落とす」ってのは名誉毀損になるという危険が大なので注意.あとは自分のアジェンダに従ってお好きな方法をどうぞ.

      技術屋として,そこに穴があったら塞ぎたい,と思うのは人情だけど,相手が何を求めてるかよく考えて動かないとうまくいかないんじゃないかな,てのが私の結論にならない結論.

      親コメント
    • >物騒な話である。
      >セキュリティーが確保されているか安心できなければ迂闊にアンケートにも答えられない世の中です。
      >しかも穴だらけのシステムを堂々と使っていても問題ないと来ている・・・ばかげていると思いませんか?

      いや、べつに答えなきゃいいだけじゃないの...?

      街頭アンケートでも、街頭募金でも、街頭署名でも、セキュリティって面では、あなたが言ってい
      • by ngk (11643) on 2004年02月04日 15時49分 (#488267) 日記
        手書きのアンケート結果:複写するのにコスト(コピー紙代)がかかる。
        ネットアンケートの結果:簡単にほとんどコストがかからずに複写可能。管理も容易。
        親コメント
        • >手書きのアンケート結果:複写するのにコスト(コピー紙代)がかかる。

          コストがかかろうと、金儲けのネタならだれでもコピーしますが、なにか?
      • >逆に聞きたいけど、なんでネットだけ安全じゃないといけないの?

        多くの場合、アンケートの結果であるとか個人情報をなんらかのかたちで
        保護します、とかそういうことがサイトのプライバシーポリシーとかでしっかり
        うたわれているのじゃないかな?

        それは立派な契約であって、ア
    • > 物騒な話である。
      > しかも穴だらけのシステムを堂々と使っていても問題ないと
      > 来ている・・・ばかげていると思いませんか?

      まったくその通りだねぇ。。。

      コンビニに行って

      『コラァ!ここは警備員が常駐してないじゃないかー

    • 今回の問題がXSSでないことはさておいて、書き手が並べた可能性には、暗黙の前提があると思います。

      「通報者の態度が穏健かつ良識にのっとったものである」

      この前提のもとに、書き手は、対する企業の良識だけが不測要因と考えて、可能性を並べていると思います。

      しかし皆さんの議論を呼んでいると、実際の現場では、前提(office 氏の通報の仕
    • ポインタは指せないのですが、(2ch内でちらっと見ただけなので)
      以前の騒ぎの時に office氏はメールで連絡を試みたそうですが、
      ACCSからの連絡は帰ってこなくて ずーっとそのまま何ヶ月も
      放置をしていたそうです。
      • ちがいますよぉ。

        件のスクリプトを製作した会社とやり取りをしていたが(彼主観で)遅々として話が進まなかったために、
        グレて、今度集会があるから晒してやろうと同社のスクリプトを使ってるサイトを探したところ、
        ACCSのサイトを発見して「こりゃいいネタだ」とばかりに集会で公開したんです。
        ACCSに連絡したのは、集会のあとなんです。
        で、返事がこねぇってのは(#488660)の状況だったわけ。
        親コメント
      • Office氏のWebにご自分で書かれていましたが、ACCSからの返信メールを偽者が送ってきたと思って>/dev/null扱いだったため連絡が来ていないと思い込んでいたらしい。
        • > Office氏のWebにご自分で書かれていましたが、ACCSからの返信メールを偽者が送ってきたと思って>/dev/null扱いだったため連絡が来ていないと思い込んでいたらしい。

          つーか、連絡方法がメールしかないって思ってる時点で人として失格。

          そんなに大事なこと(だと思っているなら)他の連絡方法だ
          •  連絡方法がメールしかないって思ってるのは、office氏ではなくACCSでは……?
             彼からのメールは着いて(通じて)るわけで、こっち向きの連絡は成功してるんですよね。

             ACCSから見たら、重要なことだ(と思った)から返事したのに、それが届いたかどうか確認していない。
             そして、実際に届いて(読まれて)いなかった。

             どっちが「連絡方法がメールしかないって思ってる」んでしょ?
            親コメント
            • 連絡方法がメールしかないって思ってるのは、office氏ではなくACCSでは……?
               彼からのメールは着いて(通じて)るわけで、こっち向きの連絡は成功してるんですよね。

               ACCSから見たら、重要なことだ(と思った)から返事したのに、それが届いたかどうか確認していない。
               そして、実際に届いて(読まれて)いなかった。

               どっちが「連絡方法がメールしかないって思ってる」んでしょ?

              そりゃ無理だって。書いてないんだもん

              "office" としか名乗らなくて、連絡先もメールアドレスの office@office.ac なんて(一般人から

            • 連絡方法がメールしかないって思ってるのは、office氏ではなくACCSでは……?
              彼からのメールは着いて(通じて)るわけで、こっち向きの連絡は成功してるんですよね。

              つまり自分の不手際を他人の責任にして逆切れしてたって事?
              最悪だね。

              ACCSから見たら、重要なことだ(と思った)

              •  うん、だからそれが「メールしか連絡法がない」と思ってるってことですよね。>返答したのに音沙汰なし
                 重要だと思ってたら、メール以外の方法でも連絡を取ればいいわけでしょ。
                親コメント
              • ??話が混乱してる?

                ・office のメールにはメールアドレスしか書いてない(少なくとも私が過去にやり取りしたときにはそうでした。河合のかの字もなかった。)
                ⇒ACCS にはメール以外での連絡方法を知るよしもない
                ⇒ACCS は住所も電話番号も公開しているんだから office は知り得た

                それで ACCS がメール以外の方法で連絡しなかったことを責めるのは不合理です。
              • 重要だと思ってたら、メール以外の方法でも連絡を取ればいいわけでしょ。

                いや、普通はその後は放置でしょ?
                まさかいきなりテロに走るサイコ野郎だとでも思っていない限りは。
                返答が欲しければまた何か言ってくるでしょうし。

                別に連絡取れなかったら取れなかったでどうこうしなければいけない義務がある訳でも無いし。

                大体その理屈変だよ

          • じゃあ電話や手紙で出せばいいんですか?
            もっと届かないきがするんですが。
            • >じゃあ電話や手紙で出せばいいんですか?
              >もっと届かないきがするんですが。

              「きがする」というのが理由になると思っているのもかなりレベルが低いですよ。

              #はっきり言って言い訳を考えてるだけですね。相手が聞いてくれないを理由
        • by Anonymous Coward
          Web現代 [cplaza.ne.jp]に記事が出てますね。

          たぶん当事者への直接の取材によって書かれていると思われるので、参考になるかと。

          当初は「脆弱性を指摘してくれたことを感謝」(久保田氏)していたACCSだが、まもなく河合氏との関係はこじれ始める。ACCS側は河合氏による指摘ののち、ヨセフアンドレオン社という「ASKACCS」サイトの制作者から、詳細を確認すべくメールを河合氏あてに送信した。だが、河合氏は送信メールのドメインが「ASKACCS」でなかったことから、連絡を拒否。また、河合氏が前述の「A.D.2003」イベントにてCGI脆弱性の指

    • 不正アクセスとかとは、直接関係ないが、個人情報ってこの場合、だれのものになるんでしょう?
      1,2,3 の対応をする企業に対して、別に穴をふさぐふさがないはそっちの責任だが、自分自身の個人情報は消せとかっていうことはできないのでしょうか?
      掲示板とか、アマゾンとかのレビューとリストなんかもそうだけど、書き込みに対して大抵、内容についての責任は、企業側はとらないわけ
    • 脆弱性を発見したばあいは2chで
      お前ら、ここのサイトは以下の方法で個人情報が丸見えだ。
      と書き込むのが効果的でしょう。
      これだとIP通報されてしまうのか?

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...