アカウント名:
パスワード:
これってポカやった会社なら当たり前の対応じゃないの? 「脆弱性を見つけられたせいでこんなに手間暇金がかかった 賠償金を請求する!」って逆ギレに見えるんだけど
おっしゃる通りと思います。
これは、サイバーノーガード戦法 [netsecurity.ne.jp]モデルの一部なんでしょうね。損害賠償請求によって事後的に対策費用を調達できるのなら、予防的な対策コストを省ける、と。
私見では今回の件は、office氏の逮捕容疑が成立しているかどうかかなり疑わしいし、一方でoffice氏は損害行為に手を染めた、と推定せざるを得ない部分があるので、刑事でなく民事で決着するのがふさわしい問題のように思えます。部分的にはACCSの訴えは正当性があるでしょう。しかし、サーバ管理側の責任を棚上げするかのような訴訟提起は恥だ、というコモンセンスは維持されてほしいと思います。ノーガードモデルが成立したら、情報提供者のリスクだけが放置されることになりますから。
他のハッカーや信望者たちから 凄いと賞賛されることを期待したのであろう。
http://pc.2ch.net/test/read.cgi/sec/1076416467/402 >前夜祭でoffice氏が「みんながびっくりするようなことするから」と >おっしゃってたので期待していたんですが、ほんとにびっくりする内容 >でした。
こういうのは取り締まらないわけにはいかんだろう。 だが、不正アクセス禁止法はザル法なので、無罪になってしまうかもしれん。無罪になった場合は困ったことになるぞ。
office擁護者の主張は、「脆弱性の指摘をしたら逮捕された」と 事実を歪曲・矮小化して正当化しようとするものばかりだが、不正侵入して 脆弱性を指摘したから掲示告訴されたのではなく、情報を盗んで 不特定多数に公開されるに至ったために刑事告訴されたということを よく理解することが必要だろう。
おっしゃる通り、情報を盗んで公開したんですが、office氏はそのカドで逮捕されてないんですよ。不正アクセス容疑については、office氏はシステムを破壊したわけではなさそうだし、京都大学の調査委も疑問視していましたよね。威力業務妨害容疑に至っては、ACCSが(自主判断で)サービス停止したことによって結果的に成立した、ということらしいですが、これだと消費者が不良品返品しただけで罪に問われかねないことになりますね。
私は民事訴訟によってoffice氏の不法行為責任を問うことを否定しません。それにどうしても刑事事件にしたいなら、警察は脅迫容疑を適用すればよかったのではないでしょうか。すでに起訴も済んでしまいましたが、検察はどうやって公判を維持するのやら。
なお、office被告が個人情報を公開したのは、イベントに参加していた約200名に対してで、これは不特定多数とはいえないと思います。仮に個人情報保護法が本格実施されていたとしても、この場合には適用できないでしょう。その後、参加者の一部が名簿をWeb公開した行為はクロでしょうけど。
不正アクセスが成り立つのは議論を待たないところでしょうが、
私にはそうは思えないんですが…。
被告が無断で脆弱性を公開した事は、正当業務行為に当たりません。よって被告による営業の自由の侵害は威力業務妨害として 処罰される性質のものです。
では例えば、消費者団体がメーカーとの調整を経ないで製品の安全性に疑問を投げかけるデータを公表するような行為も違法なのでしょうか? また、それが緊急を要する場合は? 無断なのがいけないのだとすれば、世のたいていの脆弱性報告は違法になりますよね? 判例として確立しているなら、たとえIPAが脆弱性報告ガイドラインを公表しても覆りそうにないので、脆弱性に気づいても放っとけ、という風潮は変わらないような。
それに被告は、イベントでの発表という形ではあったけど、街宣車のような方法で不特定多数に触れ回ったわけじゃないですよね?
私が法に疎いからかもしれませんが、いささか企業側の視点に偏っているように見えます。
つまり、あのイベントに参加している人間は、良心に基づいた 善意でセキュリティを考えている人間だけではない、悪意の人間も 混ざっていることが証明されたわけです。
それは悪意の人間が罰せられるべきではないのですか? NDAを結んだ相手が常に誠実であるという保証はないのが普通だと思いますが、悪意の人間に裏切られた人も刑事的責任を負うのでしょうか? それとも、件のイベントでそのような約束ごとがなかったというのが確かなのでしょうか?
上のレスも含め、名簿の一部公開が不適切であったことには個人的には納得できるのですが、それが刑事的責任として認識できるという根拠が依然としてよくわかりません。私が挙げた例が不適切だったとして、両者がどう違うのかもはっきりしているように見えません。結果的に悪影響を及ぼしたから罪に問われる、というのは、自由主義と法治国家の原則としては(例外的にはともかくとして)認められてはならないのではないでしょうか。民事ならともかくとして。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
ビジネス特許申請中? (スコア:3, 参考になる)
脆弱性のあるサイトを運営しておいて、わざと不正アクセスを誘う。
そして実際にアクセスされたら、損害賠償請求。
うむ、完璧なビジネスモデルだ。
あれ? 不正アクセスの形跡はあるのに、誰も何も言ってこなかったら……
# 駄目駄目だけどIDで言ってみるテスト
*-----------------------*
-- ウソ八百検索エンジン --
Re:ビジネス特許申請中? (スコア:2, すばらしい洞察)
あたりやと呼んでいます
個人情報晒された人が訴えるのわ分からない訳では無いが
ACCSが訴えるのは納得いかないな
被害者への謝罪やサーバ管理会社への対応、事故調査委員会の設
置など業務に多大な影響を受けている
こっから引用 [itmedia.co.jp]
これってポカやった会社なら当たり前の対応じゃないの?
「脆弱性を見
____
#風邪をひきました、脳が故障しています
#残念ながら仕様です。
Re:ビジネス特許申請中? (スコア:3, 参考になる)
おっしゃる通りと思います。
これは、サイバーノーガード戦法 [netsecurity.ne.jp]モデルの一部なんでしょうね。損害賠償請求によって事後的に対策費用を調達できるのなら、予防的な対策コストを省ける、と。
私見では今回の件は、office氏の逮捕容疑が成立しているかどうかかなり疑わしいし、一方でoffice氏は損害行為に手を染めた、と推定せざるを得ない部分があるので、刑事でなく民事で決着するのがふさわしい問題のように思えます。部分的にはACCSの訴えは正当性があるでしょう。しかし、サーバ管理側の責任を棚上げするかのような訴訟提起は恥だ、というコモンセンスは維持されてほしいと思います。ノーガードモデルが成立したら、情報提供者のリスクだけが放置されることになりますから。
Re:ビジネス特許申請中? (スコア:1, 興味深い)
>かなり疑わしいし、一方でoffice氏は損害行為に手を染めた、
>と推定せざるを得ない部分があるので、
それは、officeがあのイベントに実は参加していなかったとか、
会場に置かれたサーバで公開されたデータはoffice以外の何者かが
勝手に置いたものだとか、そもそもofficeが逮捕された奴とは
全くの別人だったのではないか、という主張なのだろうか?
逮捕容疑が成立しているかについては、限りなくクロに近いと思う。
office擁護者の主張は、「脆弱性の指摘をしたら逮捕された」と
事実を歪曲・矮小化して正当化しようとするものばかりだが、不正侵入して
脆弱性を指摘したから掲示告訴されたのではなく、情報を盗んで
不特定多数に公開されるに至ったために刑事告訴されたということを
よく理解することが必要だろう。
よって善意による脆弱性のチェックを行い、紳士的にその指摘を
していたなら刑事告訴なんて心配することではないだろう。
善意による脆弱性の指摘は、損害を与えるためのものではなく、
損害が出るのを防ぐためであって、officeの行為は損害を与える
ようなものであったということは大きく道を外れた恥ずべき行為だろう。
個人情報を盗んで不特定多数に公開したことをどのように擁護するのか、
疑問である。
おそらく、officeの本心としては、このように盗んだ情報を公開することで、
ACCSの愚かさを訴えるのと同時に、他のハッカーや信望者たちから
凄いと賞賛されることを期待したのであろう。
公共の利益を優先して脆弱性の報告をするなら盗んだ情報を公開なんて
絶対にしないし、脆弱性を持ったまま放置されているサイトを名指しで
公開することなどしないだろう。
つまり、officeの行為はあくまで自らの勝手な欲望を満たすために
行ったものであるとしか考えられず、擁護の余地はないと思う。
Re:ビジネス特許申請中? (スコア:1, 興味深い)
http://pc.2ch.net/test/read.cgi/sec/1076416467/402
>前夜祭でoffice氏が「みんながびっくりするようなことするから」と
>おっしゃってたので期待していたんですが、ほんとにびっくりする内容
>でした。
こういうのは取り締まらないわけにはいかんだろう。
だが、不正アクセス禁止法はザル法なので、無罪になってしまうかもしれん。無罪になった場合は困ったことになるぞ。
Re:ビジネス特許申請中? (スコア:1)
おっしゃる通り、情報を盗んで公開したんですが、office氏はそのカドで逮捕されてないんですよ。不正アクセス容疑については、office氏はシステムを破壊したわけではなさそうだし、京都大学の調査委も疑問視していましたよね。威力業務妨害容疑に至っては、ACCSが(自主判断で)サービス停止したことによって結果的に成立した、ということらしいですが、これだと消費者が不良品返品しただけで罪に問われかねないことになりますね。
私は民事訴訟によってoffice氏の不法行為責任を問うことを否定しません。それにどうしても刑事事件にしたいなら、警察は脅迫容疑を適用すればよかったのではないでしょうか。すでに起訴も済んでしまいましたが、検察はどうやって公判を維持するのやら。
なお、office被告が個人情報を公開したのは、イベントに参加していた約200名に対してで、これは不特定多数とはいえないと思います。仮に個人情報保護法が本格実施されていたとしても、この場合には適用できないでしょう。その後、参加者の一部が名簿をWeb公開した行為はクロでしょうけど。
Re:ビジネス特許申請中? (スコア:1, 参考になる)
威力業務妨害について異論があるようですね。
憲法にある職業選択の自由からは、営業の自由という概念が
判例として定着しています。
http://www.kyoto-su.ac.jp/~suga/kenpo1/kenpo1-12.html
この営業の自由を保護するために威力業務妨害・偽計業務妨害・
電子計算機損壊等業務妨害などの法律があるわけですね。
営業の自由(職業選択の自由)とは以下の事を指します。
1.事業の内容や規模・性質について経営者が自己決定する権利
2.企業行動のスケジュールや質などを自由に決定できる裁量権
3.営業内容が社会的にどのような影響を与えるか、営業をいつやめたいかなどをも
自由に決められる権利。
今、消費者が不良品を突き返したとします。これによって
不良品返品の対策を練らなければなりません。予定外の人員や
予算が必要になりますので営業の自由を侵します。
ところが、消費者が不良品を付きかえすことは正当業務行為
といって違法性阻却事由になります。ゆえに刑法で処罰される事はありません。
http://www.stb.tsukuba.ac.jp/~paulawnia/1022.html
では河合一穂被告の場合はどうでしょうか。
被告が無断で脆弱性を公開した事は、正当業務行為に当たりません。よって被告による営業の自由の侵害は威力業務妨害として
処罰される性質のものです。
先ほどの不良品返品の例でも、街宣車で「この会社の製品は不良品だ」
などと宣伝して回ったような場合には正当業務行為ではありませんので
処罰の対象になります。
整理すると、被告は正当業務行為ではないやり方でACCSの
企業行動、たとえばサイト運営スケジュールなどをコントロールしようとした。
これは権限のない自由の侵害であるから威力業務緒妨害である。
本来はACCSには自由があったのです。たとえば、
1.脆弱性をいつ修正するかを決定する権利
2.自らの社会的信用がどうなるかを決定する権利(いい方にも悪い方にも自由がある)などです。これらの自由を奪った事が罪に問われた。
こういうことです。
Re:ビジネス特許申請中? (スコア:1)
私にはそうは思えないんですが…。
では例えば、消費者団体がメーカーとの調整を経ないで製品の安全性に疑問を投げかけるデータを公表するような行為も違法なのでしょうか? また、それが緊急を要する場合は? 無断なのがいけないのだとすれば、世のたいていの脆弱性報告は違法になりますよね? 判例として確立しているなら、たとえIPAが脆弱性報告ガイドラインを公表しても覆りそうにないので、脆弱性に気づいても放っとけ、という風潮は変わらないような。
それに被告は、イベントでの発表という形ではあったけど、街宣車のような方法で不特定多数に触れ回ったわけじゃないですよね?
私が法に疎いからかもしれませんが、いささか企業側の視点に偏っているように見えます。
Re:ビジネス特許申請中? (スコア:0)
これがダウト。
閉鎖環境で再現できないのは無能の証明ですね。
クローズドソースのサイトに対して
「脆弱性指摘が出来ないからペネトレーションテストさせろ」
なんてのはお節介ですね。違法性阻却事由には該当しませんので
ペネトレーションテストは一般的に検挙されますよ。
ペネトレーションテストで検挙されない唯一の方法は、
ペネトレーションテストを正当業務行為にする事です。
つまり、事前に同意を得てペ
Re:ビジネス特許申請中? (スコア:0)
そんなことはない。不正アクセス禁止法に抵触せず、可能性だけの段階で指摘すればいいじゃないか。なぜそうしないの?
> ペネトレーションテストは一般的に検挙されますよ。
「ペネトレーションテスト」の定義しだい。「不正アクセス禁止法違反行為は検挙される」
Re:ビジネス特許申請中? (スコア:1)
例になってませんよ。
「何を目的としてどういう手段で公表したか、その結果何が起こったか(起こりうるか)」は重要はファクターです。
Re:ビジネス特許申請中? (スコア:0)
>安全性に疑問を投げかけるデータを公表するような行為も違法
>なのでしょうか? また、それが緊急を要する場合は?
今回の事件を消費者団体とメーカーにたとえるのは不適切ですが、
無理に当てはめるなら、安全性に疑問を投げかけるデータを
公表する際、実際に意図的に被害を発生させることによって
明らかにしたということになるでしょう。
>それに被告は、イベントでの発表という形ではあったけど、街宣車
>のような方法で不特定多数に触れ回ったわけじゃないですよね?
会場にいる参加者の誰でも入手でき、
Re:ビジネス特許申請中? (スコア:1)
それは悪意の人間が罰せられるべきではないのですか? NDAを結んだ相手が常に誠実であるという保証はないのが普通だと思いますが、悪意の人間に裏切られた人も刑事的責任を負うのでしょうか? それとも、件のイベントでそのような約束ごとがなかったというのが確かなのでしょうか?
上のレスも含め、名簿の一部公開が不適切であったことには個人的には納得できるのですが、それが刑事的責任として認識できるという根拠が依然としてよくわかりません。私が挙げた例が不適切だったとして、両者がどう違うのかもはっきりしているように見えません。結果的に悪影響を及ぼしたから罪に問われる、というのは、自由主義と法治国家の原則としては(例外的にはともかくとして)認められてはならないのではないでしょうか。民事ならともかくとして。
Re:ビジネス特許申請中? (スコア:0)
実際に可能であることをやって見せたものでした。
つまり犯罪実行方法を不特定多数に公開したわけです。
そして主催者は講演内容を知った後でもサーバーから発表内容を
ダウンロードできる状態にし続けていたそうですね。
そして何ら公開停止措置を執らなかった。
問題は講演内容を知ってからイベン
Re:ビジネス特許申請中? (スコア:0)
不正アクセス禁止法の理解不足では?