パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ACCS事件でoffice氏に有罪判決」記事へのコメント

  • これって (スコア:4, すばらしい洞察)

    セキュリティ関係は、ノーガード戦法でもOKってお墨付きが
    司法から与えられたっ、て事なんでしょうかね。
    • ですねぇ。

      脆弱性の発表の仕方その他については、まあマズかったとは思うのですが、テストアタック方法としては普通の方法だと思いますし。

      文面(タレこみの文がそのままだとして)からすると、お墨付にしか読めないですね。
      --
      M-FalconSky (暑いか寒い)
      • Re:これって (スコア:1, 興味深い)

        by imo (5135) on 2005年03月25日 14時58分 (#713730)
        >テストアタック方法としては普通の方法だと思いますし

        無関係の第三者が予告もなしにハッキングして情報を盗んでいく事が「普通」ですか……
        いい加減、こういう手合いは自浄作用として撲滅しないといけないでのはないだろうか。
        親コメント
        • いえ、*アタックまで*で、その後の情報取得は×かなと思います。

          私は今回の攻撃(?)方法は正常の範囲内だと思うのです。
          なので、正常の範囲内の脆弱性確認は、なんとか許容されるところかなと

          あと、予告できる仕組みってありましたっけ?

          # 別ACさんの「お墨付じゃないだろ」も、そうかもと思います。
          # 私が法律に無知なので、間違えているんですねきっと。

          ...一番不味いのは自分の無知と改めて認識。うぅ…
          --
          M-FalconSky (暑いか寒い)
          親コメント
          • Re:これって (スコア:2, すばらしい洞察)

            by yanagi (6075) on 2005年03月25日 15時39分 (#713779) ホームページ 日記
            アタックしちゃいけない。そこが今回の争点だと思うんだけど。
            「他人にサーバに脆弱な部分がありそうだ」「試してみたい」この段階で
            「脆弱そうなんで確認のためにアタックするけどいい?」と確認を取っていれば問題はなかったはず。
            予告できる仕組みというか普通に対象者に連絡を取ればいいのでは?
            「セキュリティ技術者が脆弱性を探す行為」は行為だけ見ればアタックでしかなく
            それが許されるのは被攻撃者がそれを認めている場合です。

            無作為にあちこちのサーバをつついて脆弱性を探すという時代は
            終わって対象者に試験の許可を取ってから脆弱性探査を行うという
            流れになっただけでしょう。
            #脆弱性を利用する人は黒い人
            #脆弱性を悪用する人は悪い人
            --
            やなぎ
            字面じゃなく論旨を読もう。モデレートはそれからだ
            親コメント
            • Re:これって (スコア:2, すばらしい洞察)

              by nakaji (14764) on 2005年03月25日 15時52分 (#713794)
              対象者に試験の許可をとろうとする行為が「犯行の予告」となって、「未遂(?)」で逮捕される世の中にならないことを祈ります。
              親コメント
              • by Anonymous Coward
                予告は「これからアタックするぜ!」で、
                許可をとろうとする行為は「これからアタックしてもいいですか?」じゃないの?
                返事がなければ…やってもいいのかな(w
                「異議なきときは沈黙を以って答えよ」
              • 多分、「許可を取る」と「予告」の違いを理解して無い?
                「許可を取る」ってのは相手の許諾を持って初めて実行する。
                「予告」は実行する事は既に(自分で勝手に)決定済みで、それの通知を行う。

                相手からの「やって良いよ」という言質さえ手にすれば試験自体が問題ないだろう。
                きちんと損害発生時の事まで含めた契約書を作成してか

              • by kawaz (15398) on 2005年03月25日 16時56分 (#713861) ホームページ
                許可を求めただけでも、相手によってはその時点で敵とみなしていきなり訴訟等の過剰反応をとられた上、しかも何故か裁判なんかもそのまま負かされてしまって、多大な損害を被りかねない。

                こんな冗談みたいなことがホントに起こる世の中になりつつあることを危惧してるんじゃないかな。
                親コメント
              • by QwertyZZZ (8195) on 2005年03月25日 17時17分 (#713880) 日記
                >許可を求めただけでも、相手によってはその時点で敵とみなしていきなり訴訟等の過剰反応をとられた上、
                >しかも何故か裁判なんかもそのまま負かされてしまって、多大な損害を被りかねない。

                そういうのは真面目に許可を取ってから言えば良いだけで、何もせずに言うのは単なる過剰反応でしょ?
                全く根拠無い事言われてもねぇ・・・。

                #まあ、この手のコメント自体が自分が気に食わないと過剰反応する事もあるって例かもしれないけど、
                #裁判ってノリで騒ぐのに比べて手間隙も掛かればリスクもあるんですが。

                ってか、許可を求められて訴えるのは相当なサイコな管理者だろうけど、世の中にそんなにいるとは思わない。
                問い合わせに返答が無いからってアタックするサイコなセキュリティ専門家が多分そんなにいないであろうってのと同様なレベルで。

                親コメント
              • by averi (22295) on 2005年03月25日 18時18分 (#713925)
                そこまで過剰な反応をするのが居たら異常だと思います。
                が、アクセスの許可と言った/言わない・した/しないとか、アクセスの内容が申し合わせと違うとか、そういったレベルでの食い違いや揚げ足取りなら今後あるんじゃないですかね。

                しかし、「高度情報通信社会の健全な発展を阻害することは明らかだ」とは随分大きく出ましたね。
                事件はもちろん好ましくないとして、既にある欠陥を気付かれず・触られる事がなければ健全である、と?
                裁判所の仕事ではないですが、予防措置の大切さも啓蒙して欲しかったです。
                親コメント
              • Re:これって (スコア:3, 参考になる)

                by Artane. (1042) on 2005年03月25日 19時23分 (#713959) ホームページ 日記
                いや、企業的にみれば、「過剰反応」する方が普通かもしれませんよ。
                「脆弱性がある疑いがあるのでテストする」
                →「脆弱性のある物を使っているという風評被害を起こすのか、会社の名誉を傷つけるのか!」となる経営者や管理職は少なくないでしょうね。
                # 特に経営陣がセキュリティに疎い会社ほどそういう過剰反応をすると思う

                親コメント
              • by Anonymous Coward
                >「脆弱性のある物を使っているという風評被害を起こすのか、 会社の名誉を傷つけるのか!」 内心で思ったとしても、それを公に発言する経営者はよほどの 馬鹿じゃない限りいないでしょう。それ自体が評判を落す発言 だからです。
              • by Anonymous Coward
                いますよ。

                某住○ネットの管理者(組織)とか。
              • by QwertyZZZ (8195) on 2005年03月28日 10時15分 (#714942) 日記
                思い込みで言われても。

                普通の管理であれば、「脆弱性がある疑いがあるのでテストする」って言われたら、

                ・断りのメールを書く。
                ・内部で試験する。
                ・問題対処後、必要ならコメントを出す。

                ってのが普通ではないですか?

                通常の企業なら、試験の為とはいえ知らない外部の人間に自由にアクセスさせるってオプションは無いでしょう。
                面倒くさがりの管理者なら、返答は端折るかもしれません。

                またメール自体の信憑性が無ければ「無視する」ってのも普通のパターンでしょう。
                その手のSPAMやフィッシング詐欺メールもありますから。

                でも、過剰反応ってのは、普通はまず無い。
                しても通常は何も得をしないし、訴えるとなると管理者の権限だけでは出来ないですし。
                普通は法務部なり中小ではそれこそ社長の裁可を仰がないと出来ないでしょうから、よっぽど嫌われないと訴えられる事自体が難しいのではないかと。
                大体、実際に被害も発生していない状況で個人を訴えても、絶対に元なんか取れないですからね。

                親コメント
              • by Anonymous Coward
                >・断りのメールを書く。
                >・内部で試験する。
                >・問題対処後、必要ならコメントを出す。
                >
                >ってのが普通ではないですか?
                「普通」は放置でしょう。
                例に挙がった対応は上等な方ですね。
                劣悪な対応として逆ギレもありうると思いますよ。
              • by Anonymous Coward
                放置はまずいっしょ。
                良くも悪くも世間のネタにされてしまいますから、丁寧なテンプレ返して検証開始。
                並行的にサーバ閉める等の対外対応も検討開始+常時監視作業開始。

                余計なコストかもしれないけど、外向けのものを持ってる以上必要なコストだと思う。

                #アンチがうじゃうじゃいる会社なのでAC
              • by QwertyZZZ (8195) on 2005年03月29日 13時44分 (#715671) 日記
                >放置されたとして、実データで脆弱性を検証すれば
                >「管理者の想定していない」アクセスで有罪。
                >なんてことになりかねないわけですから

                というか、それが「犯罪」ってのが司法の判断だと思って良いかと。

                んでもって、私はそれはそれで良いと思いますよ。

                明確な許諾も無く自分の思い込みだけで実害を発生しかねない行動を取る者なんかは、はっきり言って信用出来ませんから。
                自称でセキュリティ研究家と言われても、その内容は一切わからないし、何よりも人間として信頼に値するかどうか?って業務上一番大切なところで既に信用を無くすような行動(許諾無しのアタック)を起こす位ですから。
                どのみちその様な人間を信頼する事なんて無理。
                特に責任の一端でも自分で担っているのであれば尚更でしょう。

                ですから、一般論として
                「外部の人間に試験を容認することは無い」
                と考えて良いと思う。
                そして無視された時は、それは容認ではなく拒絶と考えるべきでしょう。普通は。

                で、拒絶されていたのに勝手にアタックして訴えられたってなれば、それはほとんど自業自得ってものではないかと。

                挙句、内部のデータを持ち出して外部で公開したりなんかした日には・・・。
                って考えるとACCSがOffice氏を訴えたって事に対しては特に疑問は沸かないですね。

                #別にACCSはスバラシーとか言っている訳ではないんで。

                親コメント
              • by Anonymous Coward

                「普通」は放置でしょう。

                放置はヤバイ。
                そういうメールを送って来るヤツにこそアレな奴が多い。
                ただ今回の話は放置されたされたと騒ぐ割にはタイムテーブルで見ると下手すると1週間も

            • by Anonymous Coward
              >無作為にあちこちのサーバをつついて脆弱性を探すという時代は
              >終わって対象者に試験の許可を取ってから脆弱性探査を行うという
              >流れになっただけでしょう。

              この流れは歓迎したいな。
              xxサービス脆弱性検査官資格、なんて作ってみてそう言った資格を
              持った人のみが予め管理者へ通知の上、あるいは法的機関からの
              命令でのみ脆弱性探査ができる
            • by Anonymous Coward
              >アタックしちゃいけない。そこが今回の争点
              うそーん、それは確かに守られたほうが望ましい道徳観ではあるけど、
              今回の争点としては弁護も検察も問題にしてないと思うけど?

              >予告アタックできる仕組み
              について話し合う場でも無かったはずだしね。

              >>CGI本体のファイルと個人情報が含まれるログファイルを取得した(略)
              >>公判ではこの行為が「不正アクセス行為」に当たるかということが争点
              参考:ACCSの個人情報漏洩事件で、元京大研究員に有罪判決~東京地裁 [impress.co.jp]

              >無作為にあちこちのサーバをつついて脆弱性を探すという
              • cgiの脆弱性を悪用してできるアクセスが不正アクセスで
                あるか否かという裁判上での争点は、テストアタックを
                不正アクセスと見なすかどうかという検察と被告の
                見解がぶつかった結果ではないでしょうか。
                裁判のミクロな点ではアクセス自体を争点にしていましたが、
                大きく見るとテストアタックをどうみなすかが争点であったと思います。
                --
                やなぎ
                字面じゃなく論旨を読もう。モデレートはそれからだ
                親コメント
              • by Anonymous Coward
                > 大きく見るとテストアタックをどうみなすかが争点であったと思います。

                「アタック」と言ったら「攻撃」のことであり、イコール犯罪。
                「侵入」と言ったら侵しているのだから、イコール犯罪。

                言葉遣いに気をつけろよ。
              • by Anonymous Coward
                > 「アタック」と言ったら「攻撃」のことであり、イコール犯罪。

                短絡的ですね。なぜ「攻撃」 [goo.ne.jp]することが「犯罪」なんですか?

                まあ、人間を攻撃したら、傷害罪になるでしょうし、
                何かの物も攻撃して、結果として壊してしまったら、
              • by Anonymous Coward
                > 短絡的ですね。なぜ「攻撃」 [goo.ne.jp]することが「犯罪」なんですか?

                お前みたいな言葉遣いの悪い奴がいるから、
                正当な脆弱性確認行為までもが、
                犯罪であるかのように思われるわけよ。
              • by Anonymous Coward
                > でも、それは「攻撃」という行為ではなく、その結果によって犯罪になっているのであって、
                > 人を傷つけるつもりも何かを壊すつもりもない「攻撃」は犯罪ではないですね。

                これは違います。
                まず第一に、犯罪は発生した結果によってのみ決定されるものではありません。結果が発生していない場合でも、犯罪を犯す意思があり、その意思に基づいて何らかの行動を起こした場合、それ自体が罪になる場合があります。たとえば「殺人未遂罪」などです。

                第二に、たとえ「つもりがない」場合でも、結果として損害が発生してしまった場合に犯罪となる
              • by Anonymous Coward
                #714595のACですが、ちょっと言葉足らずでした。
                私が言いたかったのは、
                ある攻撃が犯罪になるかどうかの判断としては「何を」「どう」攻撃するかということが重要であり、単に「攻撃」だけでは犯罪になるかどうかわからないよ、ということです。
                「結果」ではなくて「内容」と書いたほうがよかったですかね。

                たとえば、「叩く」という攻撃行為について、
              • by Anonymous Coward
                ごちゃごちゃ言い訳する前に、アタックとか攻撃とかいう
                言葉遣いやめれ。
                まだわかんねーのか?
          • by Anonymous Coward
            アタックに成功したら情報が見えてしまうと思うんだが・・・
            少なくとも私には、アタックに成功して情報だけ見ずに済ませるなんて器用な真似は出来そうにありません。
        • by Anonymous Coward
          そもそも全世界に公開しているWWWサイトで「無関係の第三者」って、なんですか?
          • by Anonymous Coward
            # おいさん、今日は釣れないねー。

            とりあえず、今回は何のことを言ってるのかよーく考えてみよう。

最初のバージョンは常に打ち捨てられる。

処理中...