パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

中学生に指摘される校内ネットのセキュリティ」記事へのコメント

  • >北海道新聞では、それに続けて『「不正アクセスが重大な違法行為という生徒の認識が欠けていたことは残念」と話している。』だそうで。

    本気か?と思わず聞きたくなる意見ですな、これ。外部からの部外者の侵入じゃあるまいし、内部の人間が管理者に意見することもやるなってか?
    • by Technobose (6861) on 2005年06月04日 18時20分 (#746071) 日記
      この生徒のやったことは不正アクセスですよ。
      正規の権限がなく、他人のIDを用いてアクセスしているわけですから。それに成績管理の資料は本来生徒が見ていいような書類ではないです。
      基本的に以前不正アクセスで捕まった大学の先生と同じような問題かと・・・。

      親コメント
      • by NAT33 (17123) on 2005年06月04日 18時33分 (#746082)
        不正ねぇ。たしかに取りだしたデータを校外に晒したうえで、教頭に提示したたら、そうかもしれないが。今回は内部の人間が実証したうえで、管理者に提示しただけと思うんですが。

        にしても、セキュリティの問題とはいえ、実証しないと受け入れてもらうのは難しいでしょうし(特に相手が非技術者だとね)、そこが難しいところでしょうね。ましてや、自分が生徒、相手が教師だと、まともに証拠もなしに話を聞く教師がいるのやら。

        実証すらやるなとなると、そりゃ洩れるまで判明しないのも無理ない罠と言いたくなるんだよね。侵入できるか?といった視点で動作テストをやってるシステムなんて、そんなに多くないですから。ましてや、セキュリティホールまで考慮するとなると。
        親コメント
        • 漏洩しなければ不正アクセスは成立しないの?

          それに考え方によっては不正なIDおよびパスワードでアクセスし、本来は知ってはいけない人が知った時点で漏洩していることになるかと。

          >実証しないと受け入れてもらうのは難しいでしょうし(特に相手が非技術者だとね)

          このあたりだけれど、学区単位でそういうことがわかる人を
          • by NAT33 (17123) on 2005年06月04日 23時59分 (#746307)
            試したら何が何でも不正だということだとすると、件の学生は何もできないというか、しない方が正解だったということになるんですが?

            実際にやらずとも、教師に伝達して、管理者が試したら、その通りだったとして、その時点で、パスがばれてる=漏曳だ!って思う可能性はゼロと言えないのではないかなぁ。技術職でもない連中にその辺りの理性があると思えんのよね。

            まぁ、その前に教師と生徒の関係で、明確な証拠も無しに、教師が生徒の言うことを信じるなんてことはありえないと思いますけどね。おそらくは教師立ち合いの実証試験なんて頼んでもやらせてくれないと思いますね。

            なんどか在学中に教師と議論したことがありますけど、明確な証拠(それも権威のある立場が証明したものでないと通用しなかった)が無い場合、何をしても無視か聞き流すかで、意見が通用したことはなかったですよ。手続をどうのこうのと書いてる人もいますが、その手続が通用しないのが教師という生物なんですよ(^^;
            親コメント
            • >しない方が正解だったということになるんですが?

              それはそうではないのかな。何も出来ないのが現状ではないかと。ほめられてもよいことかもしれないが、ほめてよいことではないのでは。感情論ではなく、制度の問題。現状
      • by Anonymous Coward on 2005年06月04日 18時45分 (#746094)
        試みるだけでも"不正アクセス"には成り得ますしね。
        しかし、どの報道を見ても「漏洩」「不正アクセス」ばかりなのが残念です。
        中学生が行った事は確かに法律上は"不正アクセス"と言えるのでしょうが
        それ以上に管理側の体制の甘さが批判されるべきです。
        (ただ、中学生を称賛すべきでは無いと思います。)
        興味本位でアクセスして下さいと言わんばかりの管理の方が悪いのではないかと。
        親コメント
        • by typer (9666) on 2005年06月04日 19時54分 (#746146) 日記
          全くその通りですね。
          ここでこの中学生を褒めちゃうと調子に乗って...となるわけで。
          できれば教育委員会などか校長を罰した後で、この中学生に直接「でも君のやったことは不正アクセスなんだよ」と注意するくらいはしてほしい所。そのへん教育者なんだからきちっと対処してほしい。

          まぁ、後になって関係ない者がいってもしかたない所だか、教頭を呼びつけて目の前で実演すればよかったと思う。それなら学校側の認めた実演といえる。
          セキュリティーホールの指摘のようなものは後ろ指さされないための熟考と理性が必要なんですよね。
          親コメント
          • だから、この中学生も、管理の甘さを正直に指摘したりすると「不正アクセスをしたな」と大変な目に遭うから、そんな事はしないで、いきなりどこかの掲示板にでもアップしてやれば良かったのに。

            それとも、IPA に届け出る程でも無く、指摘すれば済むと思ったのかな。

            親コメント
            • by NAT33 (17123) on 2005年06月04日 20時42分 (#746175)
              当事者に言わない時点で既にまずいかと?

              おそらく、外部のどこぞの掲示板に書いた時点で、漏曳とみなされるだけなんじゃないですかね。私が件の生徒を擁護してるのは当事者にしか伝えてなかったからと思われるからなんですが。

              内部のユーザーからの指摘すら受け入れる度量がないような環境じゃ、問題が判明する時はおそらく今回のレベルじゃ済まない被害が出ていたのではないかなぁ。内部告発で済んでむしろ良かったのではないかと。
              親コメント
              • 一時は Office 氏みたいな結果、すなわち「よくも学校に恥をかかせやがったな、このどうしようもない反抗生徒め!」と頭に血が上った学校側が、生徒を犯罪者呼ばわりしてマスコミに一方的な情報を流して退学とかあるかなと心配していたんだが (それなら、匿名でバラした方がまだマシだったという、不毛この上ない前例になってしまうので) 注意程度で済んだようだ。良かった。まあ、中学生だしね。それから、少し続報があります。 ところで生徒の成績とかの個人情報の事務処理をする場合は、ネットにつながない PC で、生徒が入れない部屋で行うとか、そんな程度で十分守れるのと違う?今回のは
                • 推測しやすい安直なパスワードを使ってはいけないという、ごく常識的な教訓が、事実である事が証された。
                • 果たして、実習用のネットワークから生徒の個人情報が、パスワードさえ入れればアクセスできる、という必要があるのか?
                というのが疑問に思ったが、まあ、きっと改善されるでしょうし、生徒も厳罰とかではなく、お灸を据えられた程度で済んだようだから、丸く収まって良かったかな。
                親コメント
              • 当事者に言って大変な目にあうくらいなら、
                いっそのこと匿名で外部に晒してしまえってことでしょ。
              • by NAT33 (17123) on 2005年06月04日 22時47分 (#746252)
                その時点で、ただの漏曳者ですがね。仮にばれたら言い訳のしようもないと思いますが?
                親コメント
              • で、どうやって不備を指摘したらいいの、良い子ちゃん。
              • 学校に限って言えば、教育委員会に匿名電話が一番無難だと思う。
                そうでなければ、フリーアカウントのメールを取ってメール。

                上位組織が無い所は困るけど、
                (出来れば弁護士と相談して)内容証明郵便で送るってのはどうだろう?
                作法があって面倒だけど、内容証明なら脅迫状とは思われないでしょ、流石に。
                --
                --
                「なんとかインチキできんのか?」
                親コメント
              • 中学生だって分かってる?

                弁護士がいつからタダになったんですか?
                (金さえあれば子供の依頼でも動くかもしれんが、その金を中学生が用意できるとでも?、民事の場合、それなりの金は必要ですよ?)
              • お灸を据えられた事自体、なんだかなぁと思いますけどね。

                これで何が残ったかといえば、「黙ってりゃよかった」という教訓だったというオチだけ。

                そもそもがマスコミに流れたということは、教師側の暴走。こうなると保護者の協力というのも怪しくて。何人かの教師が転校も含む罰則を携え
              • 今回の件に当てはめて言うんだったら、最初の2行で終わってください。

                ちなみに弁護士に相談ってのは、必ずしも裁判を起こすためのものじゃない。
                弁護士会が法律相談 [toben.or.jp]やってるようなのでそれの話。
                1時間で1万ってのは高いけど、あなたが思ってるよりは安いと思う。

                内容証明でって書いたのは、脅迫状にならないだろうくらいの私の浅知恵です。すみません。
                弁護士がどういう判断するかは知らないけど、そっちの方がよっぽどまともな方法でしょう。
                --
                --
                「なんとかインチキできんのか?」
                親コメント
              • 一時間で一万要求されるものが、そこらの中学生で払えますか?

                貴方がどれだけ小遣いをもらってたかは知りませんけど、常識的に考えて固定収入の無い中学生であることを考慮すると、払える額と思えませんね。
              • >それとも金が無いガキは黙ってろと?
                言い方は酷いですけど、そうした方が本人にとって安全なのであれば、その選択肢を選ぶことを非難出来ません。
                アングラに情報流すんだったら、その方がよっぽど良いでしょう。

                大体、カッコ書きで「出来れば」って入れたはずなんですが、何をどうしても「必ず相談」させたいんでしょうか?
                法律相談センターの話なのに「弁護士を立てて」って裁判沙汰にする気満々に見えるのですが、気のせいでしょうか?
                そもそも今回の件に関しては、
                「教育委員会に匿名電話が一番無難だと思う。そうでなければ、フリーアカウントのメールを取ってメール。 」
                と書いたのですが、意図的に無視なされているのでしょうか?

                「中学生が自分に関わりの無い大きな組織のセキュリティホールを見つけた。どうやって教えたら良いか」
                と、話を変えているように思えます。
                だとしたら「悪い事は言わない、黙っておけ」と助言した方が無難でしょう。
                それでもどうしても教えたいというのであれば、覚悟とお金は必要ですし、
                そうなった時に「金が足らない」と言われても「金策に走れ。でなきゃ諦めろ」としか言えません。
                --
                --
                「なんとかインチキできんのか?」
                親コメント
              • 多分、地域にもよるのだと思いますが、私の出身県の状況を考えると、教育委員会がアテになるとはとても考えられません。
                匿名だったら完全に無視するだけでしょうし、実名なら報告した方が処分されるのが当たり前です。
              • > 学校に限って言えば、教育委員会に匿名電話が一番無難だと思う。
                今回のような私立な学校は教育委員会の管轄ではありません。
                間違ってるテレビのドラマとかもよくありますけど。
                親コメント
              • 確かに教育委員会の管轄に私立はなかったですね。
                失礼いたしました。

                ただ、公的機関から指摘させる方が角が立たないとも思います。
                言った先の教育委員会がやってくれるかどうかがわかりませんが(あまり確率も高く無いとも思いますが)、
                指摘があった旨の連絡を学校にしてくれれば、動く可能性はあるんじゃないでしょうか。
                --
                --
                「なんとかインチキできんのか?」
                親コメント
              • 普通に「パスワードやばいよ」って学校側に報告するだけだろ。
                それで直らなければ放って置けばいいだけじゃん。
              • 普通に「担任に話す」から始めようよ。

                一応、全ての教師がダメな訳じゃなく、きちんと相談に応じてくれる教師もいますから。

                親コメント
              • それは実際に実行してから言うべきでしょう。
                --

                --- (´-`)。oO(平和な日常は私を鈍くする) ---
                親コメント
              • 普通に「うちの担任はダメだ」と判断した後だったのかもしれません
              • 行動なしの判断なんか全然意味無いですよ。
                先ずはきちんと筋を通して行動する。
                全ての判断はそれからで十分だし、行動する前にはダメだと決める理由には成らない。
                少なくとも、他人への説得力はさらさら無い=自分の無罪証明にも成り得ないって事。

                世の中単に拗ねて「相手がダメだから」と自分の行動に甘えている奴らも多いから、その当たりと一線を画す為にもきちんとやらないとね。
                筋を通さずにやったのであれば「ダメと判断した」と言っても単なる言い訳。

                親コメント
          • なるほどね、そいつは便利だ。
            教え子に手出した教師がいたら、教師を処分した後で生徒の方を呼びつけて
            君が思わせぶりな態度をするからいけないんだとか、
            色っぽい体つきをしている君が悪いとか、君も感じたんだろ?とか
            つるし上げなきゃいけない、つるし上げれば良い訳ですね。

            >教頭を呼びつけて目の前で実演
            でも、それだと何度かログインしてんだろ?と既に他の誰かがやっていて
            書き換えなどの悪戯があった場合疑われるかもね、実際nisiwakiかosamuか
            あまりに類推容易なパスワードだからその可能性も多分にある。
            という事は中学生も出てきた情報のクリティカル度で理解でき
            • まぁ、うだうだいってもしょうがない議論ではありますが。

              >教え子に手出した教師がいたら、教師を処分した後で生徒の方を呼びつけて
              これくらいのことで呼びつけるのはいかんね。出向いてください。
              #そうやって相手を油断させて...ぉぃ

              >自分自身怖くなって、証拠を印刷だけしてログオフして駆け込んだ、そんなところだと思う。
              恐くなって理性をなくし、証拠を手にしたいからと熟考せず機密情報を手にし、事後報告したわけだ。

              >もとより冗談で入れて見つけられる論外レベルの指摘に必要なのは、
              >熟考とか理性よりも、責任者に「速やかに報告」しかないと思う。
              そう、速やかな報告。ログインしてしまった上にファイルを開いたり印刷したという事後の報告ではなく、第1報は(形の上だけでも)立ち会いの元、つまりログインと同時に報告し、それ以上のことは行なわないほうがまだ良いと思う。その後、それ以前に1度、何時何分何秒に出来心からログインしてるが見逃してくれとお願いするくらいのことは必要だと思うのだが。
              たしかにログインできたら何かをしたくなるかも知れないが、そんなことをする前に、誰に何時どのような形で報告すべきかを考える理性が必要だといいたいわけです。というか、ログインする前に考えておくことだし、そもそもログインできるか試す前にそれが意味することを考えて、安易にしない理性が必要ですけどね。
              #その後の報道とか見ると印刷のためかも知れんがデータを校外に持ち出したりと思慮が足りなかったようだが、それはここではおいとこう。

              >セキュリティーホールの指摘をされた側は、逆ギレと後ろ指さされないために
              >事後策に熟考と理性が必要で、教師と言う立場を利用して頭ごなしに叱るべきじゃない。
              勘違いされたようだが、「セキュリティーホールの指摘をされた側=より落度のある校長/学校側」ではない教育委員会が直接この中学生にいうべきということです。
              #教育委員会も同罪というなら話は別ですが。
              さらに、先により落度のある校長/学校側をより罰した後で注意するということです。
              親コメント
        • やり方が良かったとはいえないが、中学生だからこのくらいしないと話も聞いてもらえないことは容易に想像できるから、褒められないけどグッジョブってとこか。こういった人物にはぜひセキュリティキャンプ [jipdec.jp]に参加してほしいなぁとか思ったり。
      • by parsley (5772) on 2005年06月04日 19時36分 (#746131) 日記
        単純に法律に照らしてみれば不正アクセスになるでしょう。
        しかし、杜撰な管理に対する「内部告発者保護」という視点も必要なのではないでしょうか?保護者やマスコミに流したわけでもなく、学校管理の要となる教頭に事態を正しく伝達している、問題の中学生のセンスはGoodだと思ってしまう。

        # マスコミに流れたのはなぜだろう?
        --
        Copyright (c) 2001-2014 Parsley, All rights reserved.
        親コメント
        • 善意にしても機密情報を勝手に入手することはしてはいけない。
          脆弱性を示すのであれば、実際にアクセスする前にしかるべき責任者に連絡して、責任者の前で実演してみせるべきです。管理者が機密漏洩は無い/管理者が責任をとれるという状況にしないと、勝手にアクセスした人もグレーです。
          正しいことなら何でも許されるというのは危ない考え方です。きちんと手続きをとるべきです。今回は生徒の情報ということで「中の人」と考えている人もいるようですが、生徒は中の人ではないですね。生徒には個人情報の管理責任はないので「適正な管理を要求できる」人でしかありません。それに自分の情報のみを取り出したのではなく、ほかの生徒の情報も取り出しているというなら、ほかの生徒の個人情報に不正にアクセスしているわけです。

          もし、正しい手続きを踏んでももみ消されるなら、きちんと指摘したことを記録に残して(証人を立てて)、外部のしかるべきところに連絡するとか、何か終きたときに追いつめるべきですね。
          親コメント
          • by techstrom (23460) on 2005年06月04日 22時57分 (#746256)
            この場合、正しい手続きなど存在しないのでは?

            合法な正しい手続きでの指摘はほぼ不可能でしょう。何もわかっていない状態で、「とりあえず、試してみますね」と管理者を呼びつけて、延々とハッキングにつき合わせるなんてことは現実的じゃないし、事前に試してあったらその時点で不正アクセスになっちゃうし。

            この生徒が、最初の不正アクセスをする前に遡ったとして、この生徒はどうするべきだったと思いますか?合法で可能なのは「なにもしない」ということだけでしょう。パスワードが簡単すぎたという結果を除けば、それが最善だったのでしょうが、それでは、他の悪意をもった生徒が気づいたらもっとひどいことになっていましたよね。

            「正しいことなら何でも許されるというのは危ない考え方です。」には同意しますが、法律を守ってさえいればよいというのはあまりに性善説にたよりすぎな気がします。

            今回のことからわかることは、不正アクセス防止法はうまく機能しないということではないでしょうか。
            親コメント
            • 今回のことからわかることは、不正アクセス防止法はうまく機能しないということではないでしょうか。
              違法でも罰する意味のないものは罰しない、っていうような裁判の原則がありませんでしたっけ。

              最初にタレこみを読んだときにはOffice事件と同一視してましたが、(これよりも冴えたやり方が他にあるにしても)学生の行動はこれでよかったと思います。現実的にも。
              親コメント
            • この生徒がやって妥当なのは飽くまで「連絡する」だけでは?

              勝手試験を容認する人も多いみたいですが、これは試験を行うためには「業として守秘契約の上で許可された者が行わなければ問題が起こる」例でもあると思う。

              今回の件でもし当人から「試験をしたい」との申し出があったとしても、それは拒絶するのが学校としては正しい対応でしょう。
              (当人に許可しない=試験をしない、と決め付けないで頂きたい)。

              入っている内容が他の生徒の個人情報である以上、他の生徒に見せる訳にはいかないし、それを見ようとする事を許し

          • >実際にアクセスする前にしかるべき責任者に連絡して

            連絡すると管理者はテストアクセスの許可するの?
            例えば、/.に「俺の個人情報の管理がどの様に守られているのか心配ですので、サーバーに穴があるかチェックしたいのですがよろしいですか?」と言えば許可をくれるのかな?

            俺の曖昧な記憶だと、某法成立時の議論では某中学生の様な行為を罰する方向では無かった様な気がしています。
            もし、管理が不十分だったとしても、データを預けている者が手出し不能と某法を解釈すると、データ漏れの時の管理責任はかなり大きなものとなるのでは?
            個人情報保護法の閲覧や削除権を合わせて考えると、成績データの削除権は学生にあるのかな?
            削除権があると考えると、学校としては電算化した意味がなくなるような気がするし、削除権も無く穴チェックも出来ないと考えると、個人情報の保護責任はサーバー管理者にゆだねられるだけって事になりそうな気が。

            学生は処罰され、校長とサーバー管理者は何も無しって裁きならば、片手落ちの様な気がするな。処罰とかは今後の話になるんだろうけど。
            親コメント
          • by nim (10479) on 2005年06月06日 10時00分 (#746842)
            うーん、その「正しい手続き」を、きちんと機能するものとして定義するという作業がまず必要でしょう。
            他にも出ているように、教育委員会と学校というのは一体となって組織防衛に走ることが珍しくありません。
            「責任者」と仰いますが、その「責任者」がきちんとその指摘に対応し、指摘した側に不利益がないことが保証される仕組みがないと結局「正しい手続き」は機能しません。あなたが「もし、正しい手続きを踏んでももみ消されるなら~」と指摘されている通りになり、かつ「外部のしかるべきところ」が実質的に存在しないという状況になるでしょう(中学生に議会とかは荷が重いでしょうし)
            親コメント
            • かと言って「正しい手続き」が機能しないと勝手に決め付けての行動の容認は、単なる無法の氾濫に過ぎませんから、最低限の筋は通さなければ。
              別に難しいもんではなく、責任者に連絡するとか、学校なら担任に話をする。そんな程度でも良いんですよ。

              きちんとした証拠を残さずに勝手にやるから、「悪意ある」と誤解される事が増えるわけで。

              #自分から筋を通さない理由を、勝手な予測&決め付けだけってのでは普通肯定出来ないでしょ?

              親コメント
              • by nim (10479) on 2005年06月06日 16時04分 (#747006)
                そうですね。
                今回に関していえば、この少年の行為は非難されるべきではありますが、(私もそうであるように)学校側の言い方に引っかかった人も多いのではないでしょうか。
                「少年の行為は違法の可能性があるが、まずは学校側が真摯に反省し、勉強をしたうえで少年を適切に指導する」とでも言っておけば、丸くおさまるのではないかと。

                まあ、今後の課題として、改めて善意のハッカーが保護されるようなルールと環境作りが必要であることが浮き彫りになったのではないでしょうか。
                親コメント
              • >まあ、今後の課題として、改めて善意のハッカーが保護されるような
                >ルールと環境作りが必要であることが浮き彫りになったのではないでしょうか。
                実はこの例では全然そう思いません。というか一見逆の結論になりましたが。

                この例では当事者は学生で、閲覧可能となりうるデータってのは、学生への閲覧不可なデータですよね?
                となれば彼には試験させる事自体が問題です。
                彼が目にする事が即ち情報漏えいですから。

                そういう事から、これは残念ながら「善意のハッカー」である故に保護されたり行動を容認されたりして良いとは限らないって事例の一つではないかと。

                となれば、やはり善意とはいえ許可を与えられていない処に浸入する事自体をマズイとしなければ色々問題があるって事では?

                例えば、自分のプロバイダを「善意で試験」するのが2ch当たりで喧嘩した相手だったりすると、一ユーザーであっても拒否したく無いですか?
                試験の結果として彼が貴方の個人情報にアクセス出来る可能性があるのですから。
                その場合、彼が他でそれを使用しなくとも、彼に情報が知られた時点で自分に採っては既に「被害」なんですよ。
                いや、今ならストーカーなんかが同様の手口で犠牲者を漁るって可能性も否定できないですし。
                「セキュリティチェックさえしてやれば他人の情報に触り放題」ってのは、それなりに喜ぶ人間も多そうで怖いですよ。

                親コメント
              • by nim (10479) on 2005年06月06日 23時47分 (#747287)
                おっしゃることの意図はわかりますが、一方でテスト先と何らかの利害関係がないとそもそもこういうことをしてみようという気にはならないと思います。
                おそらく、セキュリティの向上に重きを置くか、社会秩序に重きを置くかのバランスなのでしょう。技術志向の強い人間は、どうしてもこのようなケースで惨憺たる技術レベルの学校側に批判的になってしまいますが、社会秩序の観点では生徒の行為は容認されるべきではないという視点を忘れずにいなくてはならないと改めて感じました。
                一方で、「ホンモノの」犯罪者もいるわけですから、「サイバーノーガード戦法」や「カカクメソッド」が通用しないような意識の改革といったモノも必要だと思います。これらがまかり通り、管理者の責任が問われないような社会では、様々なものが無防備に犯罪にさらされてしまいます。意識を向上させるためにも、やはりある程度「善意の通報者」を利用する仕組みは有効だと思います。
                親コメント
              • by QwertyZZZ (8195) on 2005年06月07日 13時47分 (#747729) 日記
                >一方で、「ホンモノの」犯罪者もいるわけですから、「サイバーノーガード戦法」や「カカクメソッド」が通用しないような意識の改革といったモノも必要だと思います。
                これの対策として直接「勝手試験容認」になる理由が判らないんですが。
                個人情報の漏洩被害は漏洩先が唯一一人であったとしても漏洩であり被害です。
                であるのであれば、試験する者自体を管理者が管理出来なければ、それ自体が大きなセキュリティホールであるという事に成ります。
                その点に置いて不正アクセスを浸入を持って規定するってのは間違っては居いないかと思います。

                で、別にこれは「通報するな」って意味でもなければ「試験はしない」って意味でも無い筈。
                そう見える例が幾らか存在する事を拡大解釈して、大抵は自分都合で一般化しているだけです。

                そう、通報するのもアリだし、通常は試験がされても何ら問題はありません。
                只、「試験者として不適当な人間」と言うのは必ず存在するってだけです。
                これは、自称セキュリティ専門家が情報を漏洩したり、善意の通報者が他人の成績ファイルをプリントしたりしている実情からも明らか。 必ず考える必要が有ることだし、それなしでの試験はそれ自体が情報を預けてくれているユーザーに対する加害に他なりません。
                #誰だって正体不明の人間に自分の情報にアクセス出来るかもしれない事は、試させたくも無いはず。
                勝手試験を行う人間には安全性の裏付けも、被害発生時に損害賠償を行う担保能力も不明な存在なのですから。

                となれば、その問題点を取り払った選択肢が必要な訳で。
                ま、取り敢えずは試験者の免許制度と保険加入。
                後はユーザーに依る監査制度辺りを真面目にやらない限りは、まともな対処は出来ないでは無いかと思われます。

                で、上に書いてある理由で判る様に、
                「善意の通報者」は容認出来るとしても「善意の試験者」は容認自体が害だと思われます。
                故に「通報する為には試験が必要」という、通報の義務も無ければそれを委託されたわけでも無いのに、勝手な理屈で浸入を試みる輩は、素直に不正アクセスで処理して構わない。いや、処理しなくては成らないと思います。

                どんな改善の為の行動であっても、それを顧客やユーザーの危険を担保に行う事、それ自体が許されない。
                故に個人情報保護法等が存在する訳なのですから。

                親コメント
      • >正規の権限がなく、他人のIDを用いてアクセスしているわけですから。

        ここを利用してる人たちにも関係ありそうなことで質問なのですが、
        たとえばネットワーク管理者が、ある人にIDを発行するときに、
        「初期パスワードはこれです。すぐに変えてくださいね。」
        とお願いしました。
        後日調べると初期パスワードから変更されてなかったので、
        「まだ初期パスワードから変更してませんね?今すぐお願いします」
        と注意したとします。
        このとき、調べ方で
        初期パスワードと現在のパスワードのMD5を比較するのは問題ないけど、
        実際に初期パスワードでログインしてみて確認したら違法、ってことですか?
        親コメント
        • 管理者が管理対象のものを取り扱うのが違法行為とは思えませんが。
          某所では、最初のログイン時に初期パスワードからの変更を
          行わないと先へ進めないようになっています。
          長期間ログインされなかったり
      • 今回の件では,流出の可能性があった情報の中には,
        その生徒自身の情報も含まれる可能性があると言うのが重要な点ではないでしょうか

        これらの情報が流出して,誘拐や殺人等に利用される可能性も有る訳だから,
        生徒自身にも,安全性をチェックする権利が与えられても良い気もします.

        実際,実力行使をする前に

        生徒:先生,オレ パソコンに詳しいから,学校のシステムの安全性をチェックしてあげるよ.
        先生:余計な心配しなくていい. 学校のは安全だから.
        • >その生徒自身の情報も含まれる可能性がある
          >生徒自身にも,安全性をチェックする権利が与えられても良い

          それだと住基ネットにオレ自信の情報も含まれる可能性もあるから、
          オレ自信にも安全性をチェックする権利が与えられそうです!!

          #そうか、国外の業者がチェックしたからいけなかったのか

犯人はmoriwaka -- Anonymous Coward

処理中...