パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

みずほ証券で個人情報流出の危機」記事へのコメント

  • by Anonymous Coward
    これ [office.ac]の#766あたり。
    • 私がいま一番心配なのは、office氏が(たとえば)交通事故をよそおって、闇に葬られないかということ。
       一般の新聞社は、こういうことは取り上げないから、普通の国民は、企業のセキュリティ
      • by Anonymous Coward
        今のような活動をするよりも不正アクセスで見せしめ逮捕になった方が世間に広く関心を持って貰えることでしょうが、残念ながらそこまで身を挺して訴えるつもりではないようですな。
        • by Anonymous Coward on 2002年04月19日 18時05分 (#84235)
          むりやり/etc/passwdを見ちゃったのだから、法的には不正アクセス行為の禁止等に関する法律に引っかかってるでしょ。/etc/passwdを探し当てるまでに、あちこちのファイルを見ているだろから犯意がなく偶然であるとも言い逃れできないだろうし。どう考えてもWebサーバが本来提供している情報から大きく逸脱してWeb利用者が本来アクセスを許されていない情報を見ているので、この条文にひっかかります。
          不正アクセス行為の禁止等に関する法律
          ...
           (不正アクセス行為の禁止)
          第三条 何人も、不正アクセス行為をしてはならない。
          ...
          2 前項に規定する不正アクセス行為とは、次の各号の一に該当する行為をいう。
          ....
           二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
          ...
           (罰則)
          第八条 次の各号の一に該当する者は、一年以下の懲役又は五十万円以下の罰金に処する。
          親コメント
          • 「Web利用者が本来アクセスを許されていな」くても、 みずほ証券は、何故か誰でも見れるようにしていたのだから、 問題ないに決まってるでしょ。

            今までこういう事例(通常見れない領域を解放していることに気づいて、その危険性を調査報告した例)は山とあるのだから、そういった行為がどういう風に評価されてきたかもふまえずに、 公開の場で特定個人を罪人扱いしないように。

            # ここで薄弱な根拠で私を罪人扱いを公言することは、公益にもなってないよ。
            ## 何が言いたいかわかるね?

            --
            office
            親コメント
            • by Anonymous Coward
              掲示板をタグで荒らすのと変わりないことしかしていないから?
            • by Anonymous Coward

              今までこういう事例

              ご参考までに紹介しますが、システムに瑕疵があったからといっても、その瑕疵を故意に利用しアクセス制限を回避している時は同じであるというのがこの法律を作った時の国会の答弁に出ています。当然といえば、当然ですけど。 たとえば/etc/passwdにたどりつくまでベタベタと他のファイルにもアクセスした場合「/etc/passwdだけ偶然みつけた」というわけではないので、常識的には瑕疵を故意に利用する行為に当たるという判断になるでしょう。 その次に許可を与

              • by Anonymous Coward
                1. 法律には「第三条:何人も、不正アクセス行為をしてはならない。」とあります。

                それは正論でしょうが、この場合、私の見る限りでは、不正行為目的ではないように思いますので、顧客情報の流出の防ぐという意味での、公益にはかなっているはず。つまりは、指摘することで、公益にかなっているという意味で。

                でも、今の法律で問題にならないかというと、そうは言い切れないので、よりよい法

              • by jbeef (1278) on 2002年04月24日 10時13分 (#85721) 日記
                それは正論でしょうが、この場合、私の見る限りでは、不正行為目的ではないように思いますので、
                ../../../../etc/passwd を実証デモに選んだのは、それが直感的なインパクトのある象徴的ファイルのひとつだからだろうけど、../../../../usr/lib/stdio.h あたりにしておけば、問題点の実証を達成しつつ、より無難にはなったかも。
                親コメント
          • by hatoku (1188) on 2002年04月19日 18時58分 (#84261) 日記
            >当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為

            「制限されている特定利用をし得る状態」には、もともとなっていたわけです。
            (むろん、そうしたのは管理者または承諾を得た人だから罪にゃならん)

            それを教えてあげただけですな。
            親コメント
          • HTTPに従ってGETコマンドを入力しただけでどんなファイルでも読めるような計算機を「アクセス制御機能を有する特定電子計算機」と言うのは無理があるのではないか。パスワードも何にもなしでしょ?

            親コメント
          • by Anonymous Coward
            実害は無いので問題ありません。 ・ただでセキュリティ監査をしてもらったほう ・パスワードファイルがだだ漏れなほう さてどっちがだ。

最初のバージョンは常に打ち捨てられる。

処理中...