アカウント名:
パスワード:
ASKACCSのサーバーに記録が残っていた平成15年10月6日以降のアクセスログを解析した結果、合計4回、外部から相談者の個人情報にアクセスされた形跡が認められた。情報提供者に確認したところ、これら4回のアクセスは、いずれも情報提供者自身によるものとの回答がなされた。なお、アクセスログの情報によれば、これらのアクセスは、いずれも同一の種類の回線、OS、ブラウザを利用したものであるため、同一人物によるアクセスの可能性が高く、情報提供者の回答に合致している。
公開した手法をまねてASKACCSの利用していたサーバーに不正アクセスした成人二名が、本日不正アクセス禁止法違反の容疑で書類送検されたことがわかりました。(略) 今回書類送検された二名は、イベント終了後の9日(日)早朝5時以降から、ASKACCSのすべてのCGIプログラムを閉鎖した同日昼までの間に、同様の手法でのアクセスを試みていました。
ACCSでは保存されていた10月6日以降のログについて調査したところ、事故調査委員会の報告にもあるように合計4回、外部から個人情報にアクセスした形跡を認めました。これらのアクセスについては、いずれもoffice本人であると確認しています。 その後警察が捜査を行い、3月11日、「A.D.2003」でのプレゼンテーションで公開されたものと同様の手口でCGIに不正アクセスした3名の内、2名が書類送検されました。
今後のホームページの運営に際しては、情報の取り扱いに関する啓発活動を行ってきたACCSの社会的責任を再度自覚し、セキュリティ対策に十分に配慮した対策を実施すべきである。 具体的には、ACCS内部におけるセキュリティ体制の強化、外部の第三者によるホームページのセキュリティチェック等の実施、ホームページの製作・運営等を外部に委託する際の基準の策定、委託先の再検討、取得すべき個人情報の再検討などを行うべきである。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
別の目から (スコア:1)
ACCS裁判を追う [itmedia.co.jp]という特集に経過がまとまっています。
Re:別の目から (スコア:2, 興味深い)
1/22に終結宣言ASKACCSユーザーの皆様へ(2004.1.22) [askaccs.ne.jp] (報道) [itmedia.co.jp]しているんですね(会場で漏れた4名以外)
にもかかわらず
ASKACCS個人情報流出事件問題に関して(2004.3.11) [itmedia.co.jp] (報道:ACCSの不正アクセス事件で新たに2人を書類送検) [askaccs.ne.jp]
てのはどういうことだ?
1.実はロクに確認してなかったので事実は確認されなかった(あたりまえ)
2.実は確認していたが隠蔽した
3.実は確認していたが警察が捜査中だったので表向き伏せた
のどれかと思ったら
ASKACCS個人情報流出事件についてのお詫びとご説明(2004年3月18日) [askaccs.ne.jp]
内部調査では発見されず、警察の捜査で発見されたと。
要するにACCSおよび運営・管理会社は脆弱性に数年も気づかなかったのみならず、
指摘されてなおログの調査もできず、
警察から指摘されるまで漏れたことに気づかず「漏れてない」といってたわけですか。
3/11の「~ことがわかりました。」というヒトゴトのような記述からすると、逮捕されたときに初めて漏れていたことに気づいたのでしょうか?
とかいった端からソレかと思うと、office氏そのものより警察による2名の逮捕のほうが信用なくしたんじゃなかろうか。
Re:別の目から (スコア:0)
USER_AGENTもHostも全く同じで、
と考えれば矛盾しません。