アカウント名:
パスワード:
犯人が見つかった場合には不正アクセス法違反に加えて、 (netlab.jpに被害を加えたことで)会社として損害賠償も請求することになると思います。
Office氏の事件の場合CGIにファイル名を引数として与えてやるだけで簡単にファイルを開くことができたと聞いています。
・HTMLの内容を書き換えて本来の仕様にはない引数(CGI自体のファイル名)をCGIに渡す
・再びHTMLの内容を書き換えて本来の仕様にはない引数(個人情報が保存されていたログファイル名)をCGIに渡す
これって違うんですか?
サーバ上のHTMLを書き換えるのと、ローカルに保存したHTMLを書き換えるのとは、まったく違うでしょう。
さらにいえば、別にローカルのHTMLを書き換えずとも、Telnetでつないで全部手で打つことや、wgetの引数で指定することでだって、実現可能ですね。
おれもいきなり「不正アクセス禁止法」が出てきて、びっくりした。
まさしく「不正アクセス」されたんだから、出てきても別に不思議じゃないと思いますが。管理がずさんだった(迂闊
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
もじら組 (スコア:0)
そうなると、やはり、同一犯?
まつもとさんの日記にあるように
となることを願います。
#でも、手口が単純な設定ミスで、「不正」とは呼べない仕組だったら、また例のごとく論争が。うむむむ~。
Re:もじら組 (スコア:1, すばらしい洞察)
なるとしたら、脆弱性を塞ぐ方法があったにも関わらず対処をしなかった、という管理責任を突っ込まれて、罪を軽くされちまう可能性がある、くらいかな。
無罪放免は無いだろうけど、いくら取れるかね。
Re:もじら組 (スコア:1)
#どちらかと言うと、不正アクセスを行う側が、「どれくらい執念をもってやっていたか」という判断材料に使われる感じでしょうか?
で、今回のCVS云々、という件について言えば、サーバの運用停止を余儀なくされているので、不正アクセス禁止法というよりは、電子計算機損壊等業務妨害(刑法第234条の2) [e-gov.go.jp]な気がします。
#これなら最長5年なので、余罪を絡めれば、7年半ぶち込むことが可能。
もちろん、民訴でせしめる損害賠償額については、どっちにしても行為責任のバランスと実損害額の掛け算で決まるので、「どれだけキチンと管理していた(ように裁判官に見える)か」がポイントになります。
Re:もじら組 (スコア:0)
Re:もじら組 (スコア:1, 興味深い)
Re:もじら組 (スコア:1)
対処が遅かったことに問題があるとはいえ、狙われたのはCVSの脆弱性であり、しかも何もせずにデフォルト公開されている場所に関するものでもなく、明確に改竄できない(させたくない)場所の情報を、脆弱性を利用して意図的に改竄しわわけですから。
taka4
Re:もじら組 (スコア:0)
少なくとも警察は違う見解のようですね。そうでなければそもそも逮捕などなかったでしょうから。
> 今回とはだいぶ状況が違いませんか?
と言う訳で、あなたの見解にしたがえばそうかも知れません。しかし違う見解の人も明らかにいますね。
Re:もじら組 (スコア:1)
一方、今回の件の場合はCVSに明らかな攻撃の意図を持ったコードを突っ込まないとクラック出来ません。
従いまして、Office氏の事件が不正アクセスであるか否か、逮捕に正当性があったかどうかにかかわらず、Office氏の事件と今回の事件はまったく状況が違うと思います。
#突っ込み、フォローがありましたらよろしくお願いします。
Re:もじら組 (スコア:0)
Re:もじら組 (スコア:1)
誤解を招くような書き方をしたことは反省しておりますが、URLの引数ではなくPOSTメソッドの引数をさしていることをお察しください。
Re:もじら組 (スコア:0)
Re:もじら組 (スコア:0)
グレイである以上は何を語っても説得力がないですし。
Re:もじら組 (スコア:1)
サーバ上のHTMLを書き換えるのと、ローカルに保存したHTMLを書き換えるのとは、まったく違うでしょう。
さらにいえば、別にローカルのHTMLを書き換えずとも、Telnetでつないで全部手で打つことや、wgetの引数で指定することでだって、実現可能ですね。
Re:もじら組 (スコア:1)
しかし、CVSの脆弱性をついて攻撃するのは少なくとも、HTMLの知識がある程度のレベルではできないでしょう。
この難易度の大きな差を根拠にOffice氏の事件と今回の事件が状況がぜんぜん違うといっているのです。
#もしかしてサーバー上に存在するHTMLファイルを書き換えているのだと勘違いしていませんか。
Re:もじら組 (スコア:0)
>二次公開したのであって、今回とはだいぶ状況が違いませんか?
このように書くと、まるでACCSが意図的に公開していたような
印象を受けるように見えますけど、両者とも期待しない不正侵入を
受け
Re:もじら組 (スコア:1)
taka4
Re:もじら組 (スコア:0)
Re:もじら組 (スコア:0)
まさしく「不正アクセス」されたんだから、出てきても別に不思議じゃないと思いますが。管理がずさんだった(迂闊
Re:もじら組 (スコア:3, 参考になる)
---
第三条 何人も、不正アクセス行為をしてはならない。
(略)
三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
---
つまり、パスワードによって制限されている機能があるときに、
なんらかの手段でパスワードを入れたのと同じ効果を得ることは不正アクセス行為になる、と。
(ちなみに、
三条の一は他人のパスワードを使うこと
三条の二はニセのパスワードを使うこと
です。)
今回の場合、
CVSのバグに乗じてコードを流し込むことによって、
通常はパスワードを入れてログインしないと出来ないことを
出来るようにしたので、まんま不正アクセス行為です。
Office 氏の場合、そもそもパスワードをかけていた
(アクセス制御機能によりその特定利用を制限されていた)
ことになるのかどうかが争点になっているので、ちょっと別問題ですね。
Re:もじら組 (スコア:0)
ただ感情的というか、センセーショナルに使われすぎだと思うんですよね。
ガードしてようがノーガードだろうが、
不正アクセスしていいわけではありませんから。
サーバ設置者は、サーバをできる限り安全にしておく責
Re:もじら組 (スコア:1)
Re:もじら組 (スコア:0)
明日は我が身だぜ?
Re:もじら組 (スコア:0)
が
もじら組 [mozilla.gr.jp]のCVSによる侵入だったようです。
に見えてしまい、「え?仲間割れ?」と思ったのは私だけですかそうですか