パスワードを忘れた? アカウント作成
Close
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ACCS事件でoffice氏逮捕 More

ACCS事件でoffice氏逮捕」記事へのコメント

  • office氏の指摘って… (スコア:1, すばらしい洞察)

    by Anonymous Coward
    技術レベルはともかく,ちゃんとセキュリティーの認識が
    あるところならばむしろoffice氏の指摘は結構役に立つと
    思うのですけど…私の認識は甘いののですかね?
    # 近くに本当に役に立った人がいるのでAC
    • 確かに指摘もやってる事も正しいとは思います。
      ただその指摘の仕方や相手の都合を考えない要求とかが多くて、反感を買う事がおおいんですよ。
      それじゃなくてもナイーブな問題になりがちなのに、鬼の首を取ったような感じのメールが来ますからね。
      個人的にはガキが調子に乗りすぎてタイーホかーとw
      --
      May the 4th B w/z U

      • Re:office氏の指摘って… (スコア:4, 興味深い)

        by Anonymous Coward
        個人的な意見を書くと、漏れも「指摘する側が調子に乗りすぎた」に激しく同意。
        けど、ここで重要なのは不正アクセス禁止法に抵触するとして逮捕されたんだな。

        不正アクセス禁止法を簡単に説明すると、
        "鍵がないと通れない扉"を開く際に使った鍵が、
        不正な手段でもって手に入れたものであった場合に適用される法律
        なんだよね。
        氏が主張しているように、今回では鍵が無いところを通った形になる。けども、警察は「不正アクセス禁止法に抵触する」といっているんだ。

        その際に手に入れた情報を公開し

        • Re:office氏の指摘って… (スコア:2, 参考になる)

          by Anonymous Coward on 2004年02月04日 15時18分 (#488202)
          氏が主張しているように、今回では鍵が無いところを通った形になる。けども、警察は「不正アクセス禁止法に抵触する」といっているんだ。
          「鍵などまったくない、誰でも自由に行き来できる公道のような状況だった」という主張と「鍵は壊れてはいた(十分に機能していなかった)が、かかっていたことはかかっていた。その門を開けて入ったのだ」というような主張との対決になるのでは?
          シェア
          親コメント

          • Re:office氏の指摘って… (スコア:3, すばらしい洞察)

            by Anonymous Coward on 2004年02月04日 21時18分 (#488708)
            不正アクセスで訴えたのは穴を潜ったのは犯罪者でうちは可哀想な被害者だと言いたいんでしょう。
            要するに、うちは被害者で悪くは無い、責任は無い。理事会を始め誰も責任を取る必要が無い。減法も懲戒も無い。肩書きにも傷がつかない。そういうことです。
            情報漏洩でACCS訴える人が出るか、どっかのメディアが今回の個人情報漏洩の不祥事に関する責任を組織としてどう取るつもりか問い質せば明るみにでますが。

            気になるのは起訴の理屈が通ると元々公道であっても、都合が悪ければセキュリティホールを突いた不正アクセスに仕立て上げられるってことですね。
            極端な事を言うと日々利用してたanonftp鯖が「anonで入れたのうちの設定ミス。ホントはanonはダメなつもりだった。不正アクセスに該当するから警察に突き出すね」と言える訳で・・・・

            普通の人はそんなみっともない事は出来ませんが(笑
            シェア
            親コメント
            • >不正アクセスで訴えたのは穴を潜ったのは犯罪者でうちは可哀想な被害者だと言いたいんでしょう。
              >要するに、うちは被害者で悪くは無い、責任は無い。理事会を始め誰も責任を取る必要が無い。減法も懲戒も無い。肩書きにも傷がつかない。そういうことです。
              >情報漏洩でACCS訴える人が出るか、どっかのメディアが今回の個人情報漏洩の不祥事に関する責任を組織としてどう取るつもりか問い質せば明るみにでますが。

              俺はACCSは好きではないし、はっきり言えば嫌いです。中古ゲームと歩む会ユーザーの会の活動に参加していたことすらあるくらいですから。
              ただ、ACCSがそう言った考えに基づいてと言う考えは憶測でしかないと思いますね。

              >ACCSは研究員の逮捕について、「CGIの脆弱性を指摘することについては、セキュアなネットワーク社会を構築するために有用な側面もあると考えます。しかし、セキュリティとは本来、個人情報など重要な情報を保護するという目的のために存在する『手段』であり、今回のこの男性の行為は、手段のために目的を犠牲としたもので、本末転倒と言わざるをえません」とコメントしている。
              http://www.itmedia.co.jp/news/articles/0402/04/news020.html

              といった記事も出ていることから、ACCSはCGIの脆弱性を認めていますよね。
              その上で彼の晒し行為などを理由に訴えていると思われます。
              シェア
              親コメント
            • 公道と宣言されている場所は公道以外の何物でもありません。
              が、公道と宣言されていない(おそらく私道であろうと判断される)場所なら当然文句を言われます。

              ただそれだけのことかと。

              #ACCSは「ここ見ていいよ」と言ってない訳で。
          • 俺も不正アクセスに関しては適用出来るかかなり疑問だが、

            >研究員は同月に開かれたセキュリティ関連イベントで、使用されていたCGIの欠陥を指摘するとともに、4人分の個人情報を含んだプレゼンテーション資料を公開していた。ACCSは研究員の指摘で脆弱性に気付き、対策を施した。ACCSによると、研究員は「CGIの脆弱性を指摘するために行った」と説明していた。資料は当初ネット上で流通した形跡はないとされていたが、最近になって「2ちゃんねる」の掲示板に何者かがアップロードしていたことが分かっている。
            http://www.itmedia.co.jp/news/articles/0402/04/news020.html

            の「4人分の個人情報を含んだプレゼンテーション資料を公開」が目的や動機で、「それを公開し悦に入るためにアクセスし情報を取得した」みたいな展開ならば不正アクセスの適用も有りの気がする。

            というか、「脆弱性の指摘」と「4人分の個人情報を含んだプレゼン」は噛み合わない。
            「脆弱性の指摘」が目的ならば、個人情報をネットで流すことはしないだろう。

            俺は何度か脆弱性を指摘したことはあるが、「4人分の個人情報を含んだプレゼンテーション資料を公開」は理解出来ない。
            ACCSに向かって見せるために公開したのならば彼の行動はある程度理解出来るが、セキュリティ関連イベントでの公開って理解の範囲を超えている。
            そう考えるとやはりこちらが目的や動機と定義しなければつじつまが合わない気がする。
            シェア
            親コメント
            • >の「4人分の個人情報を含んだプレゼンテーション資料を公開」が目的や動機で、「それを公開し悦に入るためにアクセスし情報を取得した」みたいな展開ならば不正アクセスの適用も有りの気がする。

              全然わんかんない。
              目的や動機がなんだろうと不正アクセス禁止法が適用できるかどうかとは無関係なんじゃ?

              • Re:office氏の指摘って… (スコア:3, 参考になる)

                by chanbaba (13080) on 2004年02月04日 20時52分 (#488684) ホームページ
                犯行目的や犯行動機は重要なんじゃないの?

                例えば、傷害罪。AさんがBさんを殴った。

                >(傷害)第204条 人の身体を傷害した者は、10年以下の懲役又は30万円以下の罰金若しくは科料に処する。
                http://www.houko.com/00/01/M40/045.HTM#s2.27

                何故殴ったのか、どうして殴ったのかの目的や動機があるからこそ、故意性を立証出来て、傷害罪を適用出来るはず。

                Bさんが殴りかかってきたので、ガードしようとしたら肘がBさんの顔に当たった。
                この場合正当防衛に該当しそうだし、故意性は疑問。

                他人のパスワードを使ってアクセスする行為は駄目。しかし、一字違いだったので打ち間違った場合は、故意では無いので刑事罰を与えるのは無理だろう。

                と言うわけで、刑事事件なので目的や動機は重要だろう。
                シェア
                親コメント
              • >と言うわけで、刑事事件なので目的や動機は重要だろう。

                重要なのは同意。俺の「全然関係ない」という書き方が誤解を与えたかも。
                俺が言いたいのは、あなたの例で言うと何故殴ったのか、どうして殴ったのかの目的や動機で故意性を立証できた上で、なぜか傷害罪ではなく窃盗罪を適用しようとしてたとして、殴ったことに窃盗
              • >これをやったんなら不正アクセス禁止法の適用になるだろうけど、そうじゃないって話だから不正アクセス禁止法の適用はどうなんだろう?って話。

                経緯は、

                >ハイテク犯罪対策総合センターの調べでは、河合容疑者は昨年11月6~8日、社団法人コンピュータソフトウェア著作権協会(東京都文京区)のサイトのサーバーに不正に接続し、ネット上で同協会に相談を寄せた約1200人分の氏名や住所、相談内容などを引き出した疑い。
                >
                > さらに同月8日、都内で開かれたネットの安全対策担当者やハッカーの集会で、参加者約200人に接続方法を公開し、協会にも接続したことをメールで通知した。そのうえで、サイトの一部の閉鎖を余儀なくさせ、協会の業務を妨げたとされる。
                http://www.asahi.com/national/update/0204/020.html

                を鵜呑みにすると11/6~8に侵入。11/8に集会で公表。

                >研究員は同月に開かれたセキュリティ関連イベントで、使用されていたCGIの欠陥を指摘するとともに、4人分の個人情報を含んだプレゼンテーション資料を公開していた。
                http://www.itmedia.co.jp/news/articles/0402/04/news020.html

                を鵜呑みにすると、「4人分の個人情報を含んだプレゼンテーション資料を公開」も行っている。

                俺の勝手な推測に過ぎないが、「同月に開かれたセキュリティ関連イベント」が「11/8に行われた集会」と同一なんだと思っている。
                プレゼン用の資料の作成時間なども考えると、集会で公表し悦に入るために侵入したとしか思えない。
                経緯が、ACCSに再三連絡しているにも関わらず2ヶ月間放置される。公表をすることも連絡しその上で集会で公表した。と言う経緯ならば話は違ってくると思う。

                貴方が疑問視しているのは、パスワードで守られた所にデータが置かれていない点と、刑事罰は広義で解釈するではなく狭義に該当するか辺りだと思うが、セキュリティーホールを突いてアクセスする行為も禁止されていますよね。
                実際はどうだったのかは知らないけど、英数(36文字)8文字のディレクトリと英数8文字のファイル名が完全に一致する確立は、1/36乗16=1/7958661109946400884391936。
                これを持って通常ではアクセス出来ないことは証明されるのではないか?
                彼自身が、「同月に開かれたセキュリティ関連イベント」でプレゼンしているところをみると、やはりセキュリティーホールは存在するとしか判断出来ない気がする。

                で、11/8に侵入したのは、資料作りの確認作業と判断出来るのではないだろうか?

                仮にそう判断出来る物と定義すると、そもそも法に盛り込まれている「セキュリティーホールを突くアクセス禁止(3条2項2号)」って何を禁止しているの?

                ここからデータファイルにリンクが貼られていたとしよう。何となくクリックしただけでは当然それだけでは禁止対象にはならないだろう。
                POSTメゾットが使用してあったので(CGIでGETメゾットアクセスでは読めない)、fromとジャバスプリクトでクリックしただけでデータの取得が可能であっても、クリックしただけでは当然それだけでは禁止対象にはならないだろう。
                問題は上のビビたる確立でしか通常分かりえない物に対しのアクセスで、それが通常隠すべきデータであることを知りっていて、それをセキュリティーホールだと認識していたわけだよね。
                セキュリティーホールだと認識を持ったのならば、通常は連絡と秘密の厳守をするわけだよな。連絡しなくても秘密の厳守はする。
                彼は資料作りのためにその後もアクセスしてデータを取得し、その一部である4人分の個人情報を集会で晒したわけだよな。

                で、上のURLが2条2項1号の
                >当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号
                に該当するかどうかが裁判争点でしょうか(裁判になったらね)。
                データファイルのURLはこれに該当するのではないか?
                URLが符号であることは同意出来るよね。
                条文では、「当該アクセス管理者によって」と書かれているから定義者は管理者側。少なくても彼ではない。客観的にみても晒して良い物とは判断されない。
                彼自身も、集会でセキュリティーホールの指摘をしているので、管理者が第三者に見せるためにみれるようにしていると言う認識は無いはず。

                管理者に連絡されると、管理者は第三者に知らせてはならないものだからこそ、見れない様にするのですよね。実際しているし。
                「連絡しているにも関わらず見れるようにしているからこれには当たらない」と言う主張も彼は出来ない。

                刑事罰は狭義に対してのみ科されるべきだが、彼の行動は狭義に該当するのではないか?
                きわどいとは思うが、彼の行動を考えれば考えるほど狭義に該当する気がしてならない。
                集会が迫っていたので彼は手順を踏まなかった
                シェア
                親コメント

              • Re:office氏の指摘って… (スコア:0, 参考になる)

                by Anonymous Coward
                >実際はどうだったのかは知らないけど、英数(36文字)8文字のディレクトリと英数8文字のファイル名が完全に一致する確立は、1/36乗16=1/7958661109946400884391936。
                >これを持って通常ではアクセス出来ないことは証明されるのではないか?

                csvmail.cgiのソースを見て、$home/

              • とりあえず指摘 (スコア:0)

                by Anonymous Coward
                傷害罪の適用には故意性なんて要りませんが。
              • そうだっけ?
                過失ならば過失傷害罪なんじゃ?
                シェア
                親コメント
              • ついでに、

                >(故意)第38条 罪を犯す意思がない行為は、罰しない。ただし、法律に特別の規定がある場合は、この限りでない。

                なんで傷害罪に故意性が必要無いと思っているのか良く分からん。
                シェア
                親コメント

          • Re:office氏の指摘って… (スコア:1, 参考になる)

            by Anonymous Coward on 2004年02月04日 15時28分 (#488225)
            >「鍵などまったくない、誰でも自由に行き来できる公道のような状況だった」という主張と
            「 >鍵は壊れてはいた(十分に機能していなかった)が、かかっていたことはかかっていた。
            >その門を開けて入ったのだ」というような主張との対決になるのでは?

            そうすると、例えばJAVA Scriptで組めるようなソースを見ればパスが解ってしまうような鍵の場合であっても、
            「鍵はつけていたし、(いくらすぐ破れるものであっても)はたからみて鍵がかかっていると解る状態であった。 それを破って侵入したのだから不正アクセスだ!」
            と、なってはしまいませんか?

            ……自分で書いておいて何なんですが、上の例だと、そんなアホな、と思いつつも不正アクセス禁止法に条文の上では触れてしまうような。。
            JAVA Scriptでのパス方式が、不正アクセス禁止法にいう ”アクセス制御機能”にあたるのかどうかは微妙ですが。。
            シェア
            親コメント

            • Re:office氏の指摘って… (スコア:1, 興味深い)

              by Anonymous Coward on 2004年02月04日 19時55分 (#488629)
              これをさらに推し進めて考えていくと,
              アクセスしてもらいたくないページをデッドリンク状態でサーバ上に置いてあったときに,
              記憶や,ブックマーク,さらにはカンで適当にアドレスを打ち込んで表示させたらその段階で違法な不正アクセスということになるのでしょうか?
              シェア
              親コメント
              • >記憶や,ブックマーク,さらにはカンで適当にアドレスを打ち込んで表示させたらその段階で違法な不正アクセスということになるのでしょうか?

                刑事罰は故意に行わなければ基本的には対象外。過失でも適用出来る奴はその旨が書かれている。

                自ら預ける個人情報が漏れないか心配で確認する作業はきわどい。だが許容される場合も多いだろう。
                しかし、不正アクセス禁止法では助長行為とかも禁止しているので、連絡し対処が終わった後にこう言った事例があったという報告ではなく、2ヶ月程度の猶予を与えたわけでもない。
                11/6~11/8にアクセスし、11/8の集会で晒したのだから、晒す行為が目的で不正にアクセスしたととられても仕方がないと思う。
                シェア
                親コメント
              • 引き出したデータの重要度と、そいつを「ほれ!こんなのあるぜ!」
                って喜んで見せびらかすとそうなるかもね。

                よーるすに、調子ブッこいて見せびらかすから逮捕されるんでしょ。

              • 早い話が, (スコア:0)

                by Anonymous Coward
                >よーるすに、調子ブッこいて見せびらかすから逮捕されるんでしょ。

                黙ってれば,何やってもOKって事かね.
                それはそれでイヤでないかな?
                愚かな霊長類には教えてあげないと.

          • Re:office氏の指摘って… (スコア:1, 参考になる)

            by Anonymous Coward on 2004年02月04日 15時50分 (#488270)
            正面玄関には鍵が掛かっていてうまく機能していたが、それ以外の扉から入ったら実名入りの書状がたくさん置いてあった。
            無用心さをいくら訴えても効いてくれないので、公開実験でサンプル用に持ち帰った。
            が正しい。
            シェア
            親コメント

            • Re:office氏の指摘って… (スコア:2, おもしろおかしい)

              by nekonyan (3158) on 2004年02月04日 18時11分 (#488509) 日記
              そのような例で言えば、鍵のかかっている室内には直接入らずに
              「オレだよオレ、ちょっと住所録が必要になったんだけど玄関まで持ってきてくれない?」
              と中の人を騙して持ってこさせ、まんまと盗み出したというオレオレ詐欺でしょう。
              シェア
              親コメント
            • >無用心さをいくら訴えても効いてくれないので、公開実験でサンプル用に持ち帰った。
              >が正しい。

              11/6~8にアクセスし、11/8に集会で公表が経緯ではないのか?
              「いくら訴えても効いてくれない」ってのは、他にそう言ったサイトがあったと言う話だった気がします。
              彼は集会での公表を優先させ、手順を踏まなかった。
              シェア
              親コメント

            • Re:office氏の指摘って… (スコア:1, 参考になる)

              by Anonymous Coward on 2004年02月05日 0時22分 (#488887)
              違うでしょう。

              玄関を見るとドアは閉まっていた。
              目視では鍵がかかっているかはわからなかった。
              ドアを開けてみたら鍵がかかっていないことがわかった。
              家人に「鍵がかかってないですよ」と忠告した。
              家人は「そのうちかけますから」と言って鍵をかけなかった。
              屋内には家人の物ではない預ったお金が置いてあった。
              鍵をかける様子がなかったので、ドアを開けて侵入し、そのお金を
              盗みだした。
              盗み出したお金は、渋谷のハチ公の像の前に置いた。(当然ネコババされた)

              が正しいでしょう。

              法的には無用心だからといって、他人の敷地に不法侵入し、物を盗んだら
              当然タイーホされます。

              第三者が無用心な家人に対してできるのは、鍵をかけないと危ないですよ
              と忠告するところまでです。
              シェア
              親コメント
            • 書状の写真を撮った

              でしょう
            • >無用心さをいくら訴えても効いてくれないので
              そうなんですか?
              今回の場合はいきなり公開だと思ってたんですが。。。

              無用心さをいくら訴えても聞いてくれない過去の事例が多かったのでかと
          • 鍵なし開けっ放しの , 門なり扉なりがついた通路 , って所か ? .
            シェア
            親コメント

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人