アカウント名:
パスワード:
今回の件は、それをどうやって作ってるんだって所がかなり重要なんですが、「Orarioについての雑感 [github.com]」は、現在既に動いている状態を解析して、その動作の話に終始してるんですよね。
Orario が専用ブラウザであり、その対象が、ある特定大学の在学生という極めて限られた範囲の人間しか閲覧出来ない事。それを、実現している手法がスクレイピングである事から、関係者以外には閲覧不能な情報を、何らかの方法で(開発者が)解析する必要がある事。Orario の従業員8名(バイ
やましいことなければ、堂々と名乗るだろうし。第三者がホワイトじゃね?とか言っても仕方ないんだよこの問題は。エビデンス示せないなら Orario が無能ってだけだ。新規ID取ってまで指摘することじゃない。
横から失礼します。証明されたのは、「Orarioが第三者の解析時にはホワイトであった」ことで、現時点の動作がホワイトであることは証明されていないと考えます。
また、不正があった証拠を示さないことを理由に「無いものをあるかのようにいう教授は嘘つきの誹りを免れない」等と発言するのは正に自分が批判している行為を自分で行われているようにも思えます。
とりあえず、もう少し落ち着いては如何かと思います。
そもそも、この問題に執拗に食いついてくるのって新規 ID ばかりでして、旧来の ID 持ちで嘘言うな!証拠を示せ!と騒いでる人って誰かいたっけ?って状態でした。また、新規 ID で、主張その他含めて、annonynrm、annoynrm2、annonynrm3 氏の可能性も排除出来ないだけでなく、むしろ濃厚と言っても良い状況でしたため、おそらくは氏の別垢であり、意図的に無視してるんだろうなと半ば確信を持っておりました。誠に本当に申し訳ありません。
pharmer 氏の指摘
証明されたのは、「Orarioが第三者の解析時にはホワイトであった」ことで、
の第三者とは mala 氏であり、その解析時とは、mala 氏の解析が行われた時点の事です。
また、pharmer 氏の指摘
現時点の動作がホワイトであることは証明されていないと
mala氏の解析時の事を現時点と呼ぶことには同意できません。
また、mala氏の解析時にホワイトであったことをもってそれ以降の動作もホワイトであろうとの推測には同意できますが、それ以前の動作もホワイトであったとの推測には同意できません。
Orarioが解析時に不正アクセスを行う実装から、不正アクセスを行わない実装へ修正されたと仮定した場合に、yasuoka先生の当初の発言とmala氏の解析結果に矛盾が無く、yasuoka先生にも、mala氏にも嘘をつく合理的理由は無いと考えているからです。
蛇足ですが、私は Orarioにより IDとパスワードを正規のログイン画面以外に入力することに抵抗のない学生が発生する事を憂慮しています。
>>Orarioが解析時に不正アクセスを行う実装から、不正アクセスを行わない実装へ修正されたと仮定した場合に>これがわからないですね。>Orarioが解析時に不正アクセスを行う実装をする必要がないことは説明しました。>スクレイピングをするにも必要ないのです。必要がなければ不正アクセスはしないと考えるのが自然でしょう?>不自然な仮定には意味がありません。
一般にソフトウェアの設計・実装は徐々に改善していくものです。そのため、過去の実装において実際には必要のない不正アクセスを行う実装が行われたとの仮定はそれほど不自然では無いと考えます。
また、私には
自分の不明を恥じるばかりです。
まず、謝罪するところから始めないと建設的な議論が出来ないと思いますので、「あなたの日本語能力および論理的思考能力は極めて不自由であると断じる他ない。」と断じた点について、まずお詫びを述べさせてください。
あなたのおっしゃっている事は、理路整然としていて、大変利にかなっています。法治国家たるやそうあるべきです。そう思います。
しかし、なぜか、 #3200523 [srad.jp]で指摘されている論理的な解釈においてのみその明晰な論理に重大な破綻をきたされる。一見、単純な時系列問題であるにも関わらずです。
また、自分の指摘に対しても process はどうでも良いような事をおっしゃいます。しかしバレなければ何をやっても問題ないという主張でもないようです。何か強い信念が邪魔をして
なる程、かみ合ってない理由がなんとなく分かった気がします。不正アクセスて言葉の定義が違うんですね。stkzk さんは法律上定義された犯罪である狭義の不正アクセスのみを言ってて、自分は、もっと緩く、不適切なデータの取得を意識してるので、そこが齟齬の原因ですかね?
かつ、自分の論点は、開発者が本来アクセスし得るはずのないデータが開発及び保守の際に絶対に必要であり、そこの部分の透明性がないことを問題視しているんだけど、stkzk さんはそれは狭義の不正アクセスの要件を満たすことなく取得可能でしょって言ってるのかな???
tは優秀なプログラマーがいれば問題はない気がします。
というのはどういう根拠でそうおっしゃられているんですか?Orario の説明では、「時間割アプリの「Orario」の特性と安全性について [orario.jp]」において、アプリや京大のサーバーからOrarioのサーバーに向かうデータはないことになっているんですが少なくとも、HTML の構造を何らかの方法でプログラマーが手元に持ってこないといけない。しかし、ここの部分の合理的な説明がない。片やプライバシーポシリー [orario.jp]では、ID、パスワード、その他諸々、「本アプリのエラー・バグ対応等、本サービスの保守および改善のため」収集しますよと言ってる。一貫性もないし、説明責任が果たせていない。
mala氏は、へー、有名な人なんですね。知らなかったです。てっきり Orario がリリースしてる18大学のうちのいずれかの学生さんだとばかり。まぁ、LINEの中の人だと、多分学生さんじゃないので、どうやって大学と通信した?IDとパスワードはどうした?って話なんですけどね。
自分は、あのレポートには読みはしましたが全く価値を見出してなかくて、あまり気に留めてなかったのですが、改めて読み直してみると妙に違和感しか残らないんですよね。まず、
通信をキャプチャして調べた。似たようなことをしている人が既にいて仕組みについてはサービス提供者側が説明されているとおりだった。
って書いてあって、これ mala 氏本人の解析じゃなくて、多分別の人の解析結果(と思われるツイート)に関する感想なんじゃないの?って。次に、
自分は「大差ない」とは思わない。アプリ内においても、サービスの説明においても、Appが大学サーバーと直接通信を行うことは説明されているので、この説明から外れる動作をすれば不正指令電磁的記録になるだけだ。ちゃんと法的な縛りがある。
とまで言っているのに、開発・保守の際に絶対に必要となる、Orario へのアップロードの事を全く考慮してないんですよね。え?それも不正指令電磁的記録扱いってことにして良いんですか?と。Orario は前述の通り ID、パスワード、その他諸々、収集しますって言ってますよと。
いろいろとありがとうございます。
安岡先生は「不正なアクセス」とでも書いてくれてれば良かったのかな?
自分も、不正アクセス禁止法で定義された不正アクセスとその成立要件は一通り存じておりました。
その上で、安岡先生のあの書き込みを見て、強い憤りまでは読み取れたんですが、明確に犯罪として告発する意志、言い換えれば裁判もいとわないという意志までは読み取る事が出来なかったんですね。
確かに字面だけ読めば犯罪の告発とも読めるんですけど、ここは所詮は場末の雑談サイトですから、逆に行間しか読んでなかったと言いますか。
ですので、自分が論点にしていたのも犯罪か否かではなくてOrario は出してる資料がいろいろとおかしいし、ちゃんと説明責任を果たすべきだろという点になっいたと思います。
疑わしきは罰せずと言いますが、それ以前に、疑わしいのは使っちゃ駄目だぞと。疑いが晴れるような説明をちゃんとしてよねと。
蓋を開けてみると、なる程なという感じですが、新聞報道 [srad.jp]を見ると、どうもアカウント貸しのような事が行われていたような事を伺わせる発言(在学生の協力)があって、そうすると、安岡先生の「少なくとも先月以前、OrarioからKULASISへのアクセスパターンを解析した限りでは、そんな風なアクセスパターンには見えなかった。嘘を書くのもいい加減にしろ。 [srad.jp]」という発言は、アプリではなく Orario 社内の PC から直接スクレイピングを行っていたという事実がログに残っていたと仮定すれば、大変納得が行きます。
アプリからしかアクセスしないと言っているのに、Orario からのアクセスがあったのは説明と異なるだろうと。これはつまり、Orario が説明責任を果たせてないんですね。しっかりと足跡まで残しているのに、それについて言及してなかった。
今回の報道で、納得だれたのかどうかは分かりませんが、Orario からのアクセスでログに残っているユーザーが1名なら、しぶしぶだとしても納得せざるを得ない内容にはなってると思います。しかしユーザー数が圧倒的に多数にのぼった場合、まだ納得は出来ないだろうなと。
>少なくとも、HTML の構造を何らかの方法でプログラマーが手元に持ってこないといけない。こちらも、誤解されているような気がします。スクレイピングするにはたしかにサーバの情報は必要なのですが、それが一部でもorarioに上げられることはありません。少し想像力を働かせて次のことをイメージしてもらえますか。ある地図があって、その上にアクリル板をのせ、道筋をペンで描いたとします。地図は大学の著作物(サーバからのデータ)、道筋はorarioの著作物(スクレイピングプログラム)です。スクレイピングで必要なのは道筋(ロジック)であり、アクリル板に書いた情報だけですので、もう地図は破棄して構いません。つまり、大学の情報はorarioには載っていないのです。また、どのような道筋でいこうとorarioの勝手なわけです。この手の話は、APIの著作権の議論にも通じるものがあるのですが、少なくともアメリカではフェアユースであれば許されています。
ここは、相変わらず話がかみ合っていませんが、それは、完成品の話です。開発時にプログラマーは、下の地図が黒塗りだと、アクリル板に道筋を描けません。下の地図が空けて見えている必要があります。つまり、地図を手元(つまり Orario 社内)に持ってくる必要があるんです。それはどうするんですかと。
それは完成品をいくら評価しても駄目で、ある日、サーバー側の変更で未完成品に成り下がってしまった場合に、再度必要なるんだけどどうするんですかと。そこの安心材料を示さないと駄目でしょと。
それは上の新聞報道において、「在学生の協力」という曖昧な表現で一応は示されたので、協力者のアカウントでやったんですねという理解は可能にはなったんだけど、その協力者が協力可能なのは在学中限定なので、卒業した後、後任が確保出来なかったらどうするんですかと。それはサービスの継続性という、ユーザーの利便性にも繋がるんですが、プライバシーポリシー [orario.jp]では
基本情報:所属大学、所属学部・学科、性別、卒業年度、登録時間割情報、ユーザー名、メールアドレス、パスワードその他登録情報: プロフィール写真、クレジットカード情報端末の個体識別ID、端末情報等のご利用環境(型式・OSバージョン・アプリバージョン)、アプリ内の操作ログ情報、利用履歴、起動日時、広告表示、閲覧した情報
を利用者情報として取得し「本アプリのエラー・バグ対応等、本サービスの保守および改善のため」に利用すると書いてあって、それは非常手段として Orario 社に送ると言う意味ですか?という点ではまだ疑問が残るわけです。上の新聞報道を見ると、
また学生がアプリを利用する場合は、大学名や卒業予定年度、時間割の内容などの「利用者情報」が同社に送られる。
と明記されていて、弁明には無かった Orario 社に向かう矢印もちゃんと明記されているので、この説明なら説明としての整合性は取れてて異論はないんですけどね。残念なのは、これをちゃんと Orario が自分自分で用意出来なかったこと。
「学生IDとパスワードは当社のサーバーを経由しておらず、当社が取得・保持することはない」と言っちゃった手前、流石にそこ破ったら不正指令電磁的記録って、mala 氏も指摘してますし、最低限そこだけは守られるんでしょう。でも、スクレイピング結果はアプリからまるごと送られちゃうんだろうなと。もっと言えば、ユーザーがアプリを立ち上げなくても、障害対応の名目ならバックグラウンドでスクレイピング結果だけ Orario 社に送りつけても多分問題の無いプライバシーポリシーですねと。
それはプライバシーポリシーには書いてあるんだから合意の上って意味では仕方ないんだけど、学生がそれをちゃんと認識しているかどうかという点ではまた別の問題が起こり得るかもしれません。まぁ、ここまで分かってて使うなら、その先はもう自己責任なので、それは仕方がないんですけど。
あと、mala 氏の資料 [github.com]で挙げられてる @mage_1868 氏(CTF1位 [twitter.com]凄!!!ってどう見てもスコアがおかしいんだけど流石に4月馬鹿ネタだよね?)の資料で一つ安心したんですが、orario の js 配信サーバーがちゃんと https になってますね。もっとガバガバかと思ったら意外とちゃんとしてた。
おかげで、mala 氏の言う js が検証可能は https を MITM でキャプチャして解析とかあまり万人向けだとは思えませんけど。でもまぁやる気があれば出来る。でもこれ、js も含めて Orario の著作物なんだから、これって禁止って言ってたリバースエンジニアリングでは?本来、アプリと orario のサーバー間で秘匿されてる情報だし、これが OK なら apk 解析も OK なんじゃ?という疑問。個人的には、自分の端末の安全を確認するのは当然認められるべき個人の権利だろと思うけど。
これ、通信先は Orario サーバーだけなので、やる気になれば、アプリ側で MITM 検出してエラーで弾けるはずだけどなー。
本来、大学関係者たりえない Orario が、社内からアクセスしてくるはずはないし、Orario は JavaScript を(積極的に)公開はしてない(むしろどちらかといえば秘匿している)わけで、そこの説明責任を果たす必要があるということを自分は言ってつもりなんだけどなぁ
通常、アカウントの貸し借りはするなと教えられてるはずだし、特に商業目的のそれについては、規約上制限があってもおかしくない。だからこそ、各大学から、警告文が出る事態になっている。
不正アクセスが法律用語としてセンシティブなのは理解出来るし、おっしゃることはごもっともとは思うのだが、ではあれを「先月までのアクセスについて納得の行く説明がない場合、不正アクセス禁止法で告訴する準備がある」とか「先月までのアクセスについて納得の行く説明がない場合、不正アクセスとみなさざるを得ない」とか書かれていたならどうなのか?「殺す」って書くのと「糞腹が立った」って書くのと、よほどのキチガイでもない限りは、前者を書いても意味合い的にはまず後者のはずなんだけど、まぁ、警察は動くよね。そこはコンセンサス取れてると思うけど、「不正アクセス」でそのコンセンサス取れてるかというと、多分自分が知ってる範囲だと、今回の件が始めて。「不正アクセスを繰り返していて」を「殺人を繰り返していて」にすんなりと読み替えて、同じ重みで評価している人がどのくらいの割合いるのかはよく分からないし、少なくとも、自分はそうじゃなかった。
この件に関しては、これ以上自分が何を言っても水掛け論なので、やるなら、「スラド国民投票」でhttps://srad.jp/~yasuoka/journal/611343/ [srad.jp]の「不正アクセスを繰り返していて」で言う「不正アクセス」は○不審なアクセス○不正アクセス禁止法の要件を満たす犯罪行為を疑っている○不正アクセス禁止法の要件を満たす犯罪行為と断定している○何それおいしいの?とか「不正アクセスを繰り返していて」と「殺人を繰り返していて」は○法律用語的な解釈では同義だが、日常感覚的な解釈では違う○法律用語的な解釈でも、日常感覚的な解釈でも同義○何それおいしいの?とか聞くくらいしか思いつかないが、聞き方を工夫しないと有意な回答が得られない気がする。
ただ、少なくとも Orario 関係者であれば、あれが何を指しているかは理解出来るだろうし、サービス性質及び長期的に安定供給を考えた場合開発用アカウントの調達問題はビジネスのコアロジックにおける最大のリスクとして認識してないといけないはず。
ネットに公開されてれば OK ってのは、その論法が通るなら、apk だって、ネットに公開されてるし解析して OK になる
https は暗号化されているんだから、これの解除は DVD 等で言うところの複製防止機能等の解除扱いと同等の行為という主張は十分に可能だしむしろ apk の方が暗号化とか何も施されてないんだから裸も同然
不正指令電磁的記録については、その説明が意図的に錯誤を狙っていてもそう言い切れるかは疑問実際、弁明の資料では、IDとパスワードと言っていて、報道にある Orario 向きのその他のデータの矢印は意図してかしなくてかは知らないが示されない状態であった。自分の指摘の出発点もそこにあったはず。
ワンクリック詐欺とかの案件では錯誤による契約は無効であると言われるが、現実問題としてソフトウェアの利用規約を読み正しく理解した後に同意をクリックしている利用者がどれほどいるか?あの図は、そういう意味ではかなり重要な役割を担った図のはずで、そこは、誤魔化す気はなかったとしても、省略するのも不誠実でしょって思う。安心させたいための資料なのに、本来あるべきはずのものがないと、不安を持っている人からすれば、えー?ってなる。無用な心配をさせないようにとか思って省略したのかもしれないけど、余計な配慮はしちゃ駄目。あるものは、あるがままに書かないと。
いろいろと示唆に富む話だな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
リテラシーって難しいな。 (スコア:3)
今回の件は、それをどうやって作ってるんだって所がかなり重要なんですが、
「Orarioについての雑感 [github.com]」は、現在既に動いている状態を解析して、その動作の話に終始してるんですよね。
Orario が専用ブラウザであり、その対象が、ある特定大学の在学生という極めて限られた範囲の人間しか閲覧出来ない事。
それを、実現している手法がスクレイピングである事から、関係者以外には閲覧不能な情報を、何らかの方法で(開発者が)解析する必要がある事。
Orario の従業員8名(バイ
uxi
Re: (スコア:1)
Re: (スコア:1)
IDとUA追跡すればまぁ大体分かるんじゃね? (スコア:2)
やましいことなければ、堂々と名乗るだろうし。
第三者がホワイトじゃね?とか言っても仕方ないんだよこの問題は。
エビデンス示せないなら Orario が無能ってだけだ。
新規ID取ってまで指摘することじゃない。
uxi
Re: (スコア:1)
いいえ。
少なくとも、Orarioの現在既に動いている状態については、解析してその動作についてホワイトであることは「第三者」によって証明されたのです。
しかし、無いものは第三者によっても証明できない。これは悪魔の証明ですからね。
教授は「少なくとも先月以前」に怪しい動きが「あった」と主張しているんだから、1つでいいからきちんと不正であることを示してもらえればいいだけの話しです。あるというのだからあるんでしょう。それを示して
Re: (スコア:2)
横から失礼します。
証明されたのは、「Orarioが第三者の解析時にはホワイトであった」ことで、
現時点の動作がホワイトであることは証明されていないと考えます。
また、不正があった証拠を示さないことを理由に
「無いものをあるかのようにいう教授は嘘つきの誹りを免れない」等と発言するのは
正に自分が批判している行為を自分で行われているようにも思えます。
とりあえず、もう少し落ち着いては如何かと思います。
Re: (スコア:1)
証明されたのは、「現時点の動作がホワイトであること」が証明された(https://gist.github.com/mala/f2b7659f78bb396bf1eb6788be38a72d)のであって、「Orarioが第三者の解析時にはホワイトであった」ことは証明されていません。
教授は解析時に不正があったと主張されているのですが、その証拠はいまだに示されていないので、私は嘘だと思っています。
もう可哀想で見てなれない (スコア:3)
そもそも、この問題に執拗に食いついてくるのって新規 ID ばかりでして、
旧来の ID 持ちで嘘言うな!証拠を示せ!と騒いでる人って誰かいたっけ?って状態でした。
また、新規 ID で、主張その他含めて、annonynrm、annoynrm2、annonynrm3 氏の可能性も排除出来ないだけでなく、むしろ濃厚と言っても良い状況でしたため、おそらくは氏の別垢であり、意図的に無視してるんだろうなと半ば確信を持っておりました。
誠に本当に申し訳ありません。
pharmer 氏の指摘
証明されたのは、「Orarioが第三者の解析時にはホワイトであった」ことで、
の第三者とは mala 氏であり、その解析時とは、mala 氏の解析が行われた時点の事です。
また、pharmer 氏の指摘
現時点の動作がホワイトであることは証明されていないと
uxi
Re: (スコア:1)
mala氏解析により現時点の動作がホワイトであることが証明されたと同時に、それ以前(またはそれ以後も)においても、Orarioが解析時に不正アクセスをする合理的な理由がないので、なかったのではないかと申し上げているのです。
スクレイピングが目的であったとしても不正アクセスする必要がないのですから、敢えてリスクを犯さなくてもいいでしょう?犯さないでいいリスクは犯さない。そう考えるのが自然なのです。じゃあ逆に質問ですが、敢えてリスクを犯す理由は何でしょうか?不正アクセスをする理由とか動機を説
Re: (スコア:1)
mala氏の解析時の事を現時点と呼ぶことには同意できません。
また、mala氏の解析時にホワイトであったことをもって
それ以降の動作もホワイトであろうとの推測には同意できますが、
それ以前の動作もホワイトであったとの推測には同意できません。
Orarioが解析時に不正アクセスを行う実装から、
不正アクセスを行わない実装へ修正されたと仮定した場合に、
yasuoka先生の当初の発言とmala氏の解析結果に矛盾が無く、
yasuoka先生にも、mala氏にも嘘をつく合理的理由は無いと考えているからです。
蛇足ですが、
私は Orarioにより IDとパスワードを正規のログイン画面以外に
入力することに抵抗のない学生が発生する事を憂慮しています。
Re: (スコア:1)
これがわからないですね。
Orarioが解析時に不正アクセスを行う実装をする必要がないことは説明しました。
スクレイピングをするにも必要ないのです。必要がなければ不正アクセスはしないと考えるのが自然でしょう?
不自然な仮定には意味がありません。
そんなこといいだしたら、あなただって不正アクセスしたといわれたら反論できなくなりますよ。言っている意味わかります?
yasuoka氏が突然、あなたから不正アクセスされたといったと仮定します。不
Re: (スコア:1)
>>Orarioが解析時に不正アクセスを行う実装から、不正アクセスを行わない実装へ修正されたと仮定した場合に
>これがわからないですね。
>Orarioが解析時に不正アクセスを行う実装をする必要がないことは説明しました。
>スクレイピングをするにも必要ないのです。必要がなければ不正アクセスはしないと考えるのが自然でしょう?
>不自然な仮定には意味がありません。
一般にソフトウェアの設計・実装は徐々に改善していくものです。
そのため、過去の実装において実際には必要のない不正アクセスを行う実装が
行われたとの仮定はそれほど不自然では無いと考えます。
また、私には
Re: (スコア:1)
犯罪を犯す必要のない人を犯罪者というのはあまりに無理すぎる。不自然です。魔女狩りです。あなたが不正アクセスをしていないように、orarioもしていないのです。
繰り返しですが、犯罪が行われたとする仮定は、証拠がないとやってはいけないのです。ましてや、orarioには理由も動機もない。
疑うのは勝手ですよ。しかし、yasuoka氏がやっているように仮定をもとに犯罪者ときめつけ、単位を取り消すとする行為はやりすぎです。また、その行為が正しいとするなら、それを学んだ学生もまたその行動が正しいのだと考えるでしょう。
おっしゃる事はごもっともです (スコア:2)
自分の不明を恥じるばかりです。
まず、謝罪するところから始めないと建設的な議論が出来ないと思いますので、
「あなたの日本語能力および論理的思考能力は極めて不自由であると断じる他ない。」
と断じた点について、まずお詫びを述べさせてください。
あなたのおっしゃっている事は、理路整然としていて、大変利にかなっています。
法治国家たるやそうあるべきです。そう思います。
しかし、なぜか、
#3200523 [srad.jp]で指摘されている
論理的な解釈においてのみ
その明晰な論理に重大な破綻をきたされる。
一見、単純な時系列問題であるにも関わらずです。
また、自分の指摘に対しても process はどうでも良いような事をおっしゃいます。
しかしバレなければ何をやっても問題ないという主張でもないようです。
何か強い信念が邪魔をして
uxi
Re: (スコア:1)
>1つ目
同意します。 >2つ目
A〜Cは同意します。
Dは同意しますが、証明されていないだけで合理的に考えると現時点もおそらく白です。
Eはmala氏はセキュリティの日本における第一人者です。所属はLINEだったと思います。
彼が白といえば間違いなく白です。orarioは無料でセキュリティ監査を受けることができて、しかも、malaさんのお墨付きがもらえてきっと喜んでいると思います。
付け加えて言うなら、私はこれまでも述べているように、過去を含めて白であることを証明できるとはいっておりません。
orarioが不正アクセスする合理的な理由がないので、
Re:おっしゃる事はごもっともです (スコア:2)
なる程、かみ合ってない理由がなんとなく分かった気がします。
不正アクセスて言葉の定義が違うんですね。
stkzk さんは法律上定義された犯罪である狭義の不正アクセスのみを言ってて、
自分は、もっと緩く、不適切なデータの取得を意識してるので、
そこが齟齬の原因ですかね?
かつ、自分の論点は、
開発者が本来アクセスし得るはずのないデータが
開発及び保守の際に絶対に必要であり、
そこの部分の透明性がないことを問題視しているんだけど、
stkzk さんはそれは狭義の不正アクセスの要件を満たすことなく取得可能でしょって言ってるのかな???
tは優秀なプログラマーがいれば問題はない気がします。
というのはどういう根拠でそうおっしゃられているんですか?
Orario の説明では、
「時間割アプリの「Orario」の特性と安全性について [orario.jp]」
において、アプリや京大のサーバーから
Orarioのサーバーに向かうデータはないことになっているんですが
少なくとも、HTML の構造を何らかの方法でプログラマーが手元に持ってこないといけない。
しかし、ここの部分の合理的な説明がない。
片やプライバシーポシリー [orario.jp]では、ID、パスワード、その他諸々、「本アプリのエラー・バグ対応等、本サービスの保守および改善のため」収集しますよと言ってる。
一貫性もないし、説明責任が果たせていない。
mala氏は、へー、有名な人なんですね。知らなかったです。
てっきり Orario がリリースしてる18大学のうちのいずれかの学生さんだとばかり。
まぁ、LINEの中の人だと、多分学生さんじゃないので、どうやって大学と通信した?IDとパスワードはどうした?って話なんですけどね。
自分は、あのレポートには読みはしましたが全く価値を見出してなかくて、あまり気に留めてなかったのですが、改めて読み直してみると妙に違和感しか残らないんですよね。
まず、
通信をキャプチャして調べた。似たようなことをしている人が既にいて仕組みについてはサービス提供者側が説明されているとおりだった。
って書いてあって、これ mala 氏本人の解析じゃなくて、多分別の人の解析結果(と思われるツイート)に関する感想なんじゃないの?って。
次に、
自分は「大差ない」とは思わない。アプリ内においても、サービスの説明においても、Appが大学サーバーと直接通信を行うことは説明されているので、この説明から外れる動作をすれば不正指令電磁的記録になるだけだ。ちゃんと法的な縛りがある。
とまで言っているのに、開発・保守の際に絶対に必要となる、Orario へのアップロードの事を全く考慮してないんですよね。え?それも不正指令電磁的記録扱いってことにして良いんですか?と。
Orario は前述の通り ID、パスワード、その他諸々、収集しますって言ってますよと。
uxi
Re:おっしゃる事はごもっともです (スコア:1)
法律以外に定義があるんですか?知らなかったです。また、それに該当したらどういう罪になるのですか?そもそも、法律にないものをどうやって裁くのですか?もしかして、yasuoka氏も同じ考えなのですか?よくわかりません。
すみませんが、議論を噛み合わせるためにも、今後は不正アクセスといったら法律のことを指していると思ってください。
で、不正アクセスというのは、正確には法文を読んでもらいたいのですが、簡単にいうと、「許可されていないサーバに入って何か実行した。ただし、利用権者の承諾を得て行うのはOK」というものです。(細かいところでいろいろ突っ込みがあるかと思いますがわかりやすく書くとこんな感じです)
yasuoka氏は不正アクセスの証拠をどう示すかわかりませんが、実はサーバのアクセスログからわかるものは大してなく、通常のアクセスパターンでないものを見つけたところで、一般の利用者が単にイタズラしたのか、それとも不正をしている者なのか区別がしにくいのです。
ログからアクセスした時間を調べて、そのアカウントの本人に確認してはじめて不正かどうかがわかります。いわゆる、成りすましがあったかどうかですね。
ところが、「利用権者の承諾を得て行うのはOK」なので、「ああ、その時間帯ならorarioさんに貸してましたよ」といえば不正アクセスにはならないのです。ここは重要なポイントなので理解してください。もちろん、不正アクセス以外の何か別の法に触れる可能性はあるかもしれませんが、少なくとも不正アクセス禁止法は無罪です。
なので、不正アクセスしないでトレース情報などの取得は可能です。
>tは優秀なプログラマーがいれば問題はない気がします。
これは意味がよくわかってなく、とりあえず忘れてください。
>少なくとも、HTML の構造を何らかの方法でプログラマーが手元に持ってこないといけない。
こちらも、誤解されているような気がします。
スクレイピングするにはたしかにサーバの情報は必要なのですが、それが一部でもorarioに上げられることはありません。少し想像力を働かせて次のことをイメージしてもらえますか。
ある地図があって、その上にアクリル板をのせ、道筋をペンで描いたとします。地図は大学の著作物(サーバからのデータ)、道筋はorarioの著作物(スクレイピングプログラム)です。
スクレイピングで必要なのは道筋(ロジック)であり、アクリル板に書いた情報だけですので、もう地図は破棄して構いません。つまり、大学の情報はorarioには載っていないのです。また、どのような道筋でいこうとorarioの勝手なわけです。
この手の話は、APIの著作権の議論にも通じるものがあるのですが、少なくともアメリカではフェアユースであれば許されています。
>プライバシーポリシーとの一貫性もないし、説明責任が果たせていない
こちらも何か混同されているかなと思います。もう一度、orarioの説明を見てみましょう。
「弊社が取得する情報は利用者様がアプリ登録時に任意で入力いただいた情報のみであり、弊社が利用者様の学生アカウントを取得・保持することはございません(学生アカウントは、利用者様のスマートフォンのみに保存されるため、弊社がこれを取得することはできません)。」
orarioが取得する情報は「利用者様がアプリ登録時に任意で入力いただいた情報」だといっています。
これは、orarioをインストールするときに聞かれる、学部学科、性別、卒業年度、(orario)ユーザ名、メールアドレスのことをいっていると思います。
これらは、orarioが独自に取得する情報ですからプライバシーポリシーに則って扱われますが、大学からとやかくいわれる部分ではないことに注意してください。
一方で、学生アカウントというのは、KULASISのアカウントのことです。これはそもそも取得しないのでプライバシーポリシーの適用にはなりません。
malaさんのレポートのポイントは、1) KULASISのアカウントがサーバに送信されていないことの確認をしたこと、2) 他に同様の確認をした方がおられること、3) orarioがクライアント側で動くJavaScriptコードを検証できる形にしているので安全性を高めるうえで意味があること、4) 後天的にマルウェア化可能だという批判に対してCSPの制限などを利用することで技術的に解決できる可能性があること、5) アプリ内やサービス内の説明から外れる動作をすれば不正指令電磁的記録になること、6) 利用権者の承諾を得て行うのは不正アクセスではないこと、の6点が示されています。
私はmala氏をかれこれ10年くらいウォッチしていますが、彼が間違っているのを見たことは一度もありません。
言葉は難しいですね (スコア:2)
いろいろとありがとうございます。
安岡先生は「不正なアクセス」とでも書いてくれてれば良かったのかな?
自分も、
不正アクセス禁止法で定義された不正アクセスと
その成立要件は一通り存じておりました。
その上で、
安岡先生のあの書き込みを見て、
強い憤りまでは読み取れたんですが、
明確に犯罪として告発する意志、
言い換えれば裁判もいとわないという意志までは
読み取る事が出来なかったんですね。
確かに字面だけ読めば犯罪の告発とも読めるんですけど、
ここは所詮は場末の雑談サイトですから、
逆に行間しか読んでなかったと言いますか。
ですので、自分が論点にしていたのも犯罪か否かではなくて
Orario は出してる資料がいろいろとおかしいし、
ちゃんと説明責任を果たすべきだろという点になっいたと思います。
疑わしきは罰せずと言いますが、
それ以前に、疑わしいのは使っちゃ駄目だぞと。
疑いが晴れるような説明をちゃんとしてよねと。
蓋を開けてみると、なる程なという感じですが、
新聞報道 [srad.jp]を見ると、
どうもアカウント貸しのような事が行われていたような事を伺わせる発言(在学生の協力)があって、
そうすると、安岡先生の「少なくとも先月以前、OrarioからKULASISへのアクセスパターンを解析した限りでは、そんな風なアクセスパターンには見えなかった。嘘を書くのもいい加減にしろ。 [srad.jp]」という発言は、
アプリではなく Orario 社内の PC から直接スクレイピングを行っていたという事実が
ログに残っていたと仮定すれば、大変納得が行きます。
アプリからしかアクセスしないと言っているのに、
Orario からのアクセスがあったのは説明と異なるだろうと。
これはつまり、Orario が説明責任を果たせてないんですね。
しっかりと足跡まで残しているのに、それについて言及してなかった。
今回の報道で、納得だれたのかどうかは分かりませんが、
Orario からのアクセスでログに残っているユーザーが1名なら、
しぶしぶだとしても納得せざるを得ない内容にはなってると思います。
しかしユーザー数が圧倒的に多数にのぼった場合、まだ納得は出来ないだろうなと。
>少なくとも、HTML の構造を何らかの方法でプログラマーが手元に持ってこないといけない。
こちらも、誤解されているような気がします。
スクレイピングするにはたしかにサーバの情報は必要なのですが、それが一部でもorarioに上げられることはありません。少し想像力を働かせて次のことをイメージしてもらえますか。
ある地図があって、その上にアクリル板をのせ、道筋をペンで描いたとします。地図は大学の著作物(サーバからのデータ)、道筋はorarioの著作物(スクレイピングプログラム)です。
スクレイピングで必要なのは道筋(ロジック)であり、アクリル板に書いた情報だけですので、もう地図は破棄して構いません。つまり、大学の情報はorarioには載っていないのです。また、どのような道筋でいこうとorarioの勝手なわけです。
この手の話は、APIの著作権の議論にも通じるものがあるのですが、少なくともアメリカではフェアユースであれば許されています。
ここは、相変わらず話がかみ合っていませんが、
それは、完成品の話です。
開発時にプログラマーは、下の地図が黒塗りだと、アクリル板に道筋を描けません。
下の地図が空けて見えている必要があります。
つまり、地図を手元(つまり Orario 社内)に持ってくる必要があるんです。
それはどうするんですかと。
それは完成品をいくら評価しても駄目で、
ある日、サーバー側の変更で未完成品に成り下がってしまった場合に、
再度必要なるんだけどどうするんですかと。
そこの安心材料を示さないと駄目でしょと。
それは上の新聞報道において、「在学生の協力」という曖昧な表現で一応は示されたので、
協力者のアカウントでやったんですねという理解は可能にはなったんだけど、
その協力者が協力可能なのは在学中限定なので、卒業した後、後任が確保出来なかったらどうするんですかと。
それはサービスの継続性という、ユーザーの利便性にも繋がるんですが、
プライバシーポリシー [orario.jp]では
基本情報:所属大学、所属学部・学科、性別、卒業年度、登録時間割情報、ユーザー名、メールアドレス、パスワード
その他登録情報: プロフィール写真、クレジットカード情報
端末の個体識別ID、端末情報等のご利用環境(型式・OSバージョン・アプリバージョン)、アプリ内の操作ログ情報、利用履歴、起動日時、広告表示、閲覧した情報
を利用者情報として取得し「本アプリのエラー・バグ対応等、本サービスの保守および改善のため」に利用すると書いてあって、それは非常手段として Orario 社に送ると言う意味ですか?という点ではまだ疑問が残るわけです。
上の新聞報道を見ると、
また学生がアプリを利用する場合は、大学名や卒業予定年度、時間割の内容などの「利用者情報」が同社に送られる。
と明記されていて、弁明には無かった Orario 社に向かう矢印もちゃんと明記されているので、
この説明なら説明としての整合性は取れてて異論はないんですけどね。
残念なのは、これをちゃんと Orario が自分自分で用意出来なかったこと。
「学生IDとパスワードは当社のサーバーを経由しておらず、当社が取得・保持することはない」と言っちゃった手前、
流石にそこ破ったら不正指令電磁的記録って、mala 氏も指摘してますし、最低限そこだけは守られるんでしょう。
でも、スクレイピング結果はアプリからまるごと送られちゃうんだろうなと。
もっと言えば、ユーザーがアプリを立ち上げなくても、
障害対応の名目ならバックグラウンドでスクレイピング結果だけ Orario 社に送りつけても多分問題の無いプライバシーポリシーですねと。
それはプライバシーポリシーには書いてあるんだから合意の上って意味では仕方ないんだけど、
学生がそれをちゃんと認識しているかどうかという点ではまた別の問題が起こり得るかもしれません。
まぁ、ここまで分かってて使うなら、その先はもう自己責任なので、それは仕方がないんですけど。
あと、mala 氏の資料 [github.com]で挙げられてる @mage_1868 氏(CTF1位 [twitter.com]凄!!!ってどう見てもスコアがおかしいんだけど流石に4月馬鹿ネタだよね?)の資料で一つ安心したんですが、
orario の js 配信サーバーがちゃんと https になってますね。
もっとガバガバかと思ったら意外とちゃんとしてた。
おかげで、mala 氏の言う js が検証可能は https を MITM でキャプチャして解析とかあまり万人向けだとは思えませんけど。でもまぁやる気があれば出来る。
でもこれ、js も含めて Orario の著作物なんだから、これって禁止って言ってたリバースエンジニアリングでは?
本来、アプリと orario のサーバー間で秘匿されてる情報だし、
これが OK なら apk 解析も OK なんじゃ?
という疑問。
個人的には、自分の端末の安全を確認するのは当然認められるべき個人の権利だろと思うけど。
これ、通信先は Orario サーバーだけなので、
やる気になれば、アプリ側で MITM 検出してエラーで弾けるはずだけどなー。
uxi
Re:言葉は難しいですね (スコア:1)
ただ、これは、インターネットに公開したら普通に起こることで、DDosやアカウントリスト攻撃など、ありとあらゆるものが日常的に起きていることがわかるでしょう。
サーバ側としては、不正なアクセスけしからん!と怒ったところでどうしようもない現実があります。
もちろん、攻撃側が悪いのはあたりまえの話です。しかし、攻撃者を特定するのは難しく、普通のユーザが通常と異なる使い方をしたのと区別することも難しいです。逆に、脆弱性を突かれて個人情報が漏洩するようなことがあれば、それはむしろサーバ側の責任になるのです。
それで、あらためてお聞きしたいのですが、不正なアクセスをされてサーバとして困るのは具体的に何でしたっけ?そしてそれは本当にorarioが行ったものですか?
Orario が不正なアクセスをしたということが明らかになっていない現状では、説明責任もへったくれもないです。
たとえ明らかになったとしても、所詮、orarioが嘘をついたから頭にきたという程度の感情論にすぎません。不正アクセス禁止法は無罪だという点は忘れないでくださいね。
それから、所詮は場末の雑談サイトとおっしゃいますが、何でも書いていいわけではなく、例えば殺人予告などすれば逮捕されると思いますよ。
yasuoka氏は不正アクセスをしたと犯罪者よばわりしたのですからもう遅いです。それなりの覚悟をしてください。
>開発時にプログラマーは、下の地図が黒塗りだと、アクリル板に道筋を描けません。
>下の地図が空けて見えている必要があります。
>つまり、地図を手元(つまり Orario 社内)に持ってくる必要があるんです。
>それはどうするんですかと。
もちろん、地図を手元(つまり Orario 社内)に持ってくる必要はありますよ。
しかし、それは罪に問えないのです。何を根拠にダメだとおっしゃっているのですか?
完成品に地図の情報をコピーした痕跡がないと著作権に違反しているとはいえないのです。
アクセスするURLとかリクエストパラメータの名前などはAPIのフェアユースと同じで著作物にはあたりません。
>もっと言えば、ユーザーがアプリを立ち上げなくても、
>障害対応の名目ならバックグラウンドでスクレイピング結果だけ Orario 社に送りつけても多分問題の無いプライバシーポリシーですねと。
orarioのプライバシーポリシーはorarioが収集した利用者情報だけに適用されます。スクレイピング結果などを含めその他情報などはorarioから収集しないので適用外です。
想像ですが、orarioを使わないで別の方法、例えば、学生に協力してもらって大学サーバにアクセスするなどして入手したのではないでしょうか?
開発時に入手する情報とプライバシーポリシーは別物とご理解ください。
>学生がそれをちゃんと認識しているかどうかという点ではまた別の問題が起こり得るかもしれません。
おっしゃることはよくわかりますが、じゃあ起こりうる危険性って具体的に何でしょうかね?
新聞の記事は読みましたよ。
>学生らが起業した会社が大学に無断で開発したため、「個人情報が漏れる恐れがある」などと大学側が反発している。
>上智大は先月末、大学のホームページで「本学とは一切関わりない。個人情報の流出に直結し、非常に危険」などと警告。青山学院大も今月、アプリの使用停止と削除、パスワード変更を求めた。
個人情報が漏れるって、まるで大学から個人情報が漏れるかのような書き方をされていますが、それは本当でしょうか?
学生IDとパスワードはorarioのサーバーを経由しておらず、orarioが取得・保持することはないことは第三者によって事実であることが確認されています。
大学名や卒業予定年度、時間割の内容などの「利用者情報」は、orarioが独自に、それも任意に収集したものであり、大学のシステムから取得したものではありません。それに、これは個人を特定する情報ではないので個人情報とはいえないと思いますが、どうなんでしょうかね。
いずれにしても、個人の責任においてorarioに登録するものであって大学とは関係ないものです。
万一、orarioから利用者情報が漏れたとしても、個人を特定する情報ではないので、それほど心配する必要はないように思います。それでも心配な方は、ユーザ名に特定できない文字列を入れ、メールアドレスも個人を特定できないフリーのものを使うといいと思います。
それから、以下についても誤解していると思います。
>同大の上原哲太郎教授(情報セキュリティー)も、「学内システムは成績なども記録しており大学が管理するもの。たとえ在学生が承諾しても部外者が利用してよいものではない」
部外者が利用するのではなく、あくまでorarioを利用するのは学生自身です。
orarioは大学のシステムにアクセスしますが、あくまで利便性向上のために使われるのであって、履修情報を提供するという大学のシステムの目的から外れた使われ方をするものではありません。
>でもこれ、js も含めて Orario の著作物なんだから、これって禁止って言ってたリバースエンジニアリングでは?
>本来、アプリと orario のサーバー間で秘匿されてる情報だし、
>これが OK なら apk 解析も OK なんじゃ?
ネット上で見れるということは、秘匿されているわけではないので、解析してOKです。
Orarioは、javascriptを公開していることになりますが、それは自社サーバに情報を送信していないことを公にする目的もあると思います。
アプリ内やサービス内の説明から外れる動作をすれば不正指令電磁的記録になります。
なので、yasuoka氏の「画像取得のurlにアカウント情報を入れたらサーバに送信できる」可能性についてはありえないのです。
そんなことやったら、マルウエア認定されて即アウトです。
OrarioはJavaScriptを公開することで潔白を常に示そうとしているのです。
Re:言葉は難しいですね (スコア:2)
本来、大学関係者たりえない Orario が、社内からアクセスしてくるはずはないし、
Orario は JavaScript を(積極的に)公開はしてない(むしろどちらかといえば秘匿している)わけで、
そこの説明責任を果たす必要があるということを自分は言ってつもりなんだけどなぁ
通常、アカウントの貸し借りはするなと教えられてるはずだし、
特に商業目的のそれについては、規約上制限があってもおかしくない。
だからこそ、各大学から、警告文が出る事態になっている。
不正アクセスが法律用語としてセンシティブなのは理解出来るし、
おっしゃることはごもっともとは思うのだが、
ではあれを
「先月までのアクセスについて納得の行く説明がない場合、不正アクセス禁止法で告訴する準備がある」とか
「先月までのアクセスについて納得の行く説明がない場合、不正アクセスとみなさざるを得ない」とか書かれていたならどうなのか?
「殺す」って書くのと「糞腹が立った」って書くのと、
よほどのキチガイでもない限りは、
前者を書いても意味合い的にはまず後者のはずなんだけど、
まぁ、警察は動くよね。
そこはコンセンサス取れてると思うけど、
「不正アクセス」でそのコンセンサス取れてるかというと、
多分自分が知ってる範囲だと、今回の件が始めて。
「不正アクセスを繰り返していて」を
「殺人を繰り返していて」に
すんなりと読み替えて、
同じ重みで評価している人がどのくらいの割合いるのかはよく分からないし、
少なくとも、自分はそうじゃなかった。
この件に関しては、これ以上自分が何を言っても水掛け論なので、
やるなら、「スラド国民投票」で
https://srad.jp/~yasuoka/journal/611343/ [srad.jp]
の「不正アクセスを繰り返していて」で言う「不正アクセス」は
○不審なアクセス
○不正アクセス禁止法の要件を満たす犯罪行為を疑っている
○不正アクセス禁止法の要件を満たす犯罪行為と断定している
○何それおいしいの?
とか
「不正アクセスを繰り返していて」と「殺人を繰り返していて」は
○法律用語的な解釈では同義だが、日常感覚的な解釈では違う
○法律用語的な解釈でも、日常感覚的な解釈でも同義
○何それおいしいの?
とか聞くくらいしか思いつかないが、
聞き方を工夫しないと有意な回答が得られない気がする。
ただ、少なくとも Orario 関係者であれば、
あれが何を指しているかは理解出来るだろうし、
サービス性質及び長期的に安定供給を考えた場合
開発用アカウントの調達問題は
ビジネスのコアロジックにおける最大のリスクとして認識してないといけないはず。
ネットに公開されてれば OK ってのは、
その論法が通るなら、
apk だって、ネットに公開されてるし解析して OK になる
https は暗号化されているんだから、
これの解除は DVD 等で言うところの複製防止機能等の解除扱いと同等の行為という主張は十分に可能だし
むしろ apk の方が暗号化とか何も施されてないんだから裸も同然
不正指令電磁的記録については、
その説明が意図的に錯誤を狙っていてもそう言い切れるかは疑問
実際、弁明の資料では、IDとパスワードと言っていて、
報道にある Orario 向きのその他のデータの矢印は
意図してかしなくてかは知らないが示されない状態であった。
自分の指摘の出発点もそこにあったはず。
ワンクリック詐欺とかの案件では
錯誤による契約は無効であると言われるが、
現実問題としてソフトウェアの利用規約を読み正しく理解した後に
同意をクリックしている利用者がどれほどいるか?
あの図は、そういう意味ではかなり重要な役割を担った図のはずで、
そこは、誤魔化す気はなかったとしても、省略するのも不誠実でしょって思う。
安心させたいための資料なのに、本来あるべきはずのものがないと、
不安を持っている人からすれば、えー?ってなる。
無用な心配をさせないようにとか思って省略したのかもしれないけど、
余計な配慮はしちゃ駄目。
あるものは、あるがままに書かないと。
いろいろと示唆に富む話だな。
uxi