アカウント名:
パスワード:
相手からの「やって良いよ」という言質さえ手にすれば試験自体が問題ないだろう。 きちんと損害発生時の事まで含めた契約書を作成してか
そういうのは真面目に許可を取ってから言えば良いだけで、何もせずに言うのは単なる過剰反応でしょ? 全く根拠無い事言われてもねぇ・・・。
#まあ、この手のコメント自体が自分が気に食わないと過剰反応する事もあるって例かもしれないけど、 #裁判ってノリで騒ぐのに比べて手間隙も掛かればリスクもあるんですが。
ってか、許可を求められて訴えるのは相当なサイコな管理者だろうけど、世の中にそんなにいるとは思わない。 問い合わせに返答が無いからってアタックするサイコなセキュリティ専門家が多分そんなにいないであろうってのと同様なレベルで。
普通の管理であれば、「脆弱性がある疑いがあるのでテストする」って言われたら、
・断りのメールを書く。 ・内部で試験する。 ・問題対処後、必要ならコメントを出す。
ってのが普通ではないですか?
通常の企業なら、試験の為とはいえ知らない外部の人間に自由にアクセスさせるってオプションは無いでしょう。 面倒くさがりの管理者なら、返答は端折るかもしれません。
またメール自体の信憑性が無ければ「無視する」ってのも普通のパターンでしょう。 その手のSPAMやフィッシング詐欺メールもありますから。
でも、過剰反応ってのは、普通はまず無い。 しても通常は何も得をしないし、訴えるとなると管理者の権限だけでは出来ないですし。 普通は法務部なり中小ではそれこそ社長の裁可を仰がないと出来ないでしょうから、よっぽど嫌われないと訴えられる事自体が難しいのではないかと。 大体、実際に被害も発生していない状況で個人を訴えても、絶対に元なんか取れないですからね。
というか、それが「犯罪」ってのが司法の判断だと思って良いかと。
んでもって、私はそれはそれで良いと思いますよ。
明確な許諾も無く自分の思い込みだけで実害を発生しかねない行動を取る者なんかは、はっきり言って信用出来ませんから。 自称でセキュリティ研究家と言われても、その内容は一切わからないし、何よりも人間として信頼に値するかどうか?って業務上一番大切なところで既に信用を無くすような行動(許諾無しのアタック)を起こす位ですから。 どのみちその様な人間を信頼する事なんて無理。 特に責任の一端でも自分で担っているのであれば尚更でしょう。
ですから、一般論として 「外部の人間に試験を容認することは無い」 と考えて良いと思う。 そして無視された時は、それは容認ではなく拒絶と考えるべきでしょう。普通は。
で、拒絶されていたのに勝手にアタックして訴えられたってなれば、それはほとんど自業自得ってものではないかと。
挙句、内部のデータを持ち出して外部で公開したりなんかした日には・・・。 って考えるとACCSがOffice氏を訴えたって事に対しては特に疑問は沸かないですね。
#別にACCSはスバラシーとか言っている訳ではないんで。
「普通」は放置でしょう。
放置はヤバイ。 そういうメールを送って来るヤツにこそアレな奴が多い。 ただ今回の話は放置されたされたと騒ぐ割にはタイムテーブルで見ると下手すると1週間も
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
これって (スコア:4, すばらしい洞察)
司法から与えられたっ、て事なんでしょうかね。
Re:これって (スコア:2, 参考になる)
脆弱性の発表の仕方その他については、まあマズかったとは思うのですが、テストアタック方法としては普通の方法だと思いますし。
文面(タレこみの文がそのままだとして)からすると、お墨付にしか読めないですね。
M-FalconSky (暑いか寒い)
Re:これって (スコア:1, 興味深い)
無関係の第三者が予告もなしにハッキングして情報を盗んでいく事が「普通」ですか……
いい加減、こういう手合いは自浄作用として撲滅しないといけないでのはないだろうか。
Re:これって (スコア:3, すばらしい洞察)
私は今回の攻撃(?)方法は正常の範囲内だと思うのです。
なので、正常の範囲内の脆弱性確認は、なんとか許容されるところかなと
あと、予告できる仕組みってありましたっけ?
# 別ACさんの「お墨付じゃないだろ」も、そうかもと思います。
# 私が法律に無知なので、間違えているんですねきっと。
...一番不味いのは自分の無知と改めて認識。うぅ…
M-FalconSky (暑いか寒い)
Re:これって (スコア:2, すばらしい洞察)
「他人にサーバに脆弱な部分がありそうだ」「試してみたい」この段階で
「脆弱そうなんで確認のためにアタックするけどいい?」と確認を取っていれば問題はなかったはず。
予告できる仕組みというか普通に対象者に連絡を取ればいいのでは?
「セキュリティ技術者が脆弱性を探す行為」は行為だけ見ればアタックでしかなく
それが許されるのは被攻撃者がそれを認めている場合です。
無作為にあちこちのサーバをつついて脆弱性を探すという時代は
終わって対象者に試験の許可を取ってから脆弱性探査を行うという
流れになっただけでしょう。
#脆弱性を利用する人は黒い人
#脆弱性を悪用する人は悪い人
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
Re:これって (スコア:2, すばらしい洞察)
Re:これって (スコア:0)
許可をとろうとする行為は「これからアタックしてもいいですか?」じゃないの?
返事がなければ…やってもいいのかな(w
「異議なきときは沈黙を以って答えよ」
Re:これって (スコア:0, 余計なもの)
「許可を取る」ってのは相手の許諾を持って初めて実行する。
「予告」は実行する事は既に(自分で勝手に)決定済みで、それの通知を行う。
相手からの「やって良いよ」という言質さえ手にすれば試験自体が問題ないだろう。
きちんと損害発生時の事まで含めた契約書を作成してか
Re:これって (スコア:1)
こんな冗談みたいなことがホントに起こる世の中になりつつあることを危惧してるんじゃないかな。
Re:これって (スコア:1)
>しかも何故か裁判なんかもそのまま負かされてしまって、多大な損害を被りかねない。
そういうのは真面目に許可を取ってから言えば良いだけで、何もせずに言うのは単なる過剰反応でしょ?
全く根拠無い事言われてもねぇ・・・。
#まあ、この手のコメント自体が自分が気に食わないと過剰反応する事もあるって例かもしれないけど、
#裁判ってノリで騒ぐのに比べて手間隙も掛かればリスクもあるんですが。
ってか、許可を求められて訴えるのは相当なサイコな管理者だろうけど、世の中にそんなにいるとは思わない。
問い合わせに返答が無いからってアタックするサイコなセキュリティ専門家が多分そんなにいないであろうってのと同様なレベルで。
Re:これって (スコア:1)
が、アクセスの許可と言った/言わない・した/しないとか、アクセスの内容が申し合わせと違うとか、そういったレベルでの食い違いや揚げ足取りなら今後あるんじゃないですかね。
しかし、「高度情報通信社会の健全な発展を阻害することは明らかだ」とは随分大きく出ましたね。
事件はもちろん好ましくないとして、既にある欠陥を気付かれず・触られる事がなければ健全である、と?
裁判所の仕事ではないですが、予防措置の大切さも啓蒙して欲しかったです。
Re:これって (スコア:3, 参考になる)
「脆弱性がある疑いがあるのでテストする」
→「脆弱性のある物を使っているという風評被害を起こすのか、会社の名誉を傷つけるのか!」となる経営者や管理職は少なくないでしょうね。
# 特に経営陣がセキュリティに疎い会社ほどそういう過剰反応をすると思う
Re:これって (スコア:0)
Re:これって (スコア:0)
某住○ネットの管理者(組織)とか。
Re:これって (スコア:1)
普通の管理であれば、「脆弱性がある疑いがあるのでテストする」って言われたら、
・断りのメールを書く。
・内部で試験する。
・問題対処後、必要ならコメントを出す。
ってのが普通ではないですか?
通常の企業なら、試験の為とはいえ知らない外部の人間に自由にアクセスさせるってオプションは無いでしょう。
面倒くさがりの管理者なら、返答は端折るかもしれません。
またメール自体の信憑性が無ければ「無視する」ってのも普通のパターンでしょう。
その手のSPAMやフィッシング詐欺メールもありますから。
でも、過剰反応ってのは、普通はまず無い。
しても通常は何も得をしないし、訴えるとなると管理者の権限だけでは出来ないですし。
普通は法務部なり中小ではそれこそ社長の裁可を仰がないと出来ないでしょうから、よっぽど嫌われないと訴えられる事自体が難しいのではないかと。
大体、実際に被害も発生していない状況で個人を訴えても、絶対に元なんか取れないですからね。
Re:これって (スコア:0)
>・内部で試験する。
>・問題対処後、必要ならコメントを出す。
>
>ってのが普通ではないですか?
「普通」は放置でしょう。
例に挙がった対応は上等な方ですね。
劣悪な対応として逆ギレもありうると思いますよ。
Re:これって (スコア:0)
良くも悪くも世間のネタにされてしまいますから、丁寧なテンプレ返して検証開始。
並行的にサーバ閉める等の対外対応も検討開始+常時監視作業開始。
余計なコストかもしれないけど、外向けのものを持ってる以上必要なコストだと思う。
#アンチがうじゃうじゃいる会社なのでAC
Re:これって (スコア:1)
>「管理者の想定していない」アクセスで有罪。
>なんてことになりかねないわけですから
というか、それが「犯罪」ってのが司法の判断だと思って良いかと。
んでもって、私はそれはそれで良いと思いますよ。
明確な許諾も無く自分の思い込みだけで実害を発生しかねない行動を取る者なんかは、はっきり言って信用出来ませんから。
自称でセキュリティ研究家と言われても、その内容は一切わからないし、何よりも人間として信頼に値するかどうか?って業務上一番大切なところで既に信用を無くすような行動(許諾無しのアタック)を起こす位ですから。
どのみちその様な人間を信頼する事なんて無理。
特に責任の一端でも自分で担っているのであれば尚更でしょう。
ですから、一般論として
「外部の人間に試験を容認することは無い」
と考えて良いと思う。
そして無視された時は、それは容認ではなく拒絶と考えるべきでしょう。普通は。
で、拒絶されていたのに勝手にアタックして訴えられたってなれば、それはほとんど自業自得ってものではないかと。
挙句、内部のデータを持ち出して外部で公開したりなんかした日には・・・。
って考えるとACCSがOffice氏を訴えたって事に対しては特に疑問は沸かないですね。
#別にACCSはスバラシーとか言っている訳ではないんで。
Re:これって (スコア:0)
放置はヤバイ。
そういうメールを送って来るヤツにこそアレな奴が多い。
ただ今回の話は放置されたされたと騒ぐ割にはタイムテーブルで見ると下手すると1週間も
Re:これって (スコア:0)
>終わって対象者に試験の許可を取ってから脆弱性探査を行うという
>流れになっただけでしょう。
この流れは歓迎したいな。
xxサービス脆弱性検査官資格、なんて作ってみてそう言った資格を
持った人のみが予め管理者へ通知の上、あるいは法的機関からの
命令でのみ脆弱性探査ができる
Re:それって (スコア:0)
うそーん、それは確かに守られたほうが望ましい道徳観ではあるけど、
今回の争点としては弁護も検察も問題にしてないと思うけど?
>予告アタックできる仕組み
について話し合う場でも無かったはずだしね。
>>CGI本体のファイルと個人情報が含まれるログファイルを取得した(略)
>>公判ではこの行為が「不正アクセス行為」に当たるかということが争点
参考:ACCSの個人情報漏洩事件で、元京大研究員に有罪判決~東京地裁 [impress.co.jp]
>無作為にあちこちのサーバをつついて脆弱性を探すという
Re:それって (スコア:1)
あるか否かという裁判上での争点は、テストアタックを
不正アクセスと見なすかどうかという検察と被告の
見解がぶつかった結果ではないでしょうか。
裁判のミクロな点ではアクセス自体を争点にしていましたが、
大きく見るとテストアタックをどうみなすかが争点であったと思います。
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
Re:それって (スコア:0)
「アタック」と言ったら「攻撃」のことであり、イコール犯罪。
「侵入」と言ったら侵しているのだから、イコール犯罪。
言葉遣いに気をつけろよ。
Re:それって (スコア:0)
短絡的ですね。なぜ「攻撃」 [goo.ne.jp]することが「犯罪」なんですか?
まあ、人間を攻撃したら、傷害罪になるでしょうし、
何かの物も攻撃して、結果として壊してしまったら、
Re:それって (スコア:0)
お前みたいな言葉遣いの悪い奴がいるから、
正当な脆弱性確認行為までもが、
犯罪であるかのように思われるわけよ。
Re:それって (スコア:0)
> 人を傷つけるつもりも何かを壊すつもりもない「攻撃」は犯罪ではないですね。
これは違います。
まず第一に、犯罪は発生した結果によってのみ決定されるものではありません。結果が発生していない場合でも、犯罪を犯す意思があり、その意思に基づいて何らかの行動を起こした場合、それ自体が罪になる場合があります。たとえば「殺人未遂罪」などです。
第二に、たとえ「つもりがない」場合でも、結果として損害が発生してしまった場合に犯罪となる
Re:それって (スコア:0)
私が言いたかったのは、
ある攻撃が犯罪になるかどうかの判断としては「何を」「どう」攻撃するかということが重要であり、単に「攻撃」だけでは犯罪になるかどうかわからないよ、ということです。
「結果」ではなくて「内容」と書いたほうがよかったですかね。
たとえば、「叩く」という攻撃行為について、
「
Re:それって (スコア:0)
言葉遣いやめれ。
まだわかんねーのか?
Re:これって (スコア:0)
少なくとも私には、アタックに成功して情報だけ見ずに済ませるなんて器用な真似は出来そうにありません。
Re:これって (スコア:0)
Re:これって (スコア:0)
とりあえず、今回は何のことを言ってるのかよーく考えてみよう。
Re:これって (スコア:1)
Re:これって (スコア:0)