パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

XSSを報告したためにインターネット接続を止められるという事案発生」記事へのコメント

  • by Anonymous Coward on 2013年09月12日 8時22分 (#2458695)

    改竄されたサイトが最近は非常に多いですよね。

    VPSやらホスティングやらで、Linuxサーバを使うところが増える一方、その運用の能力が無いんですね。

    愉快犯がメッセージを残していく改竄だけなら部外者は知らんふりもできるんですが、マルウェアダウンロード先への誘導が仕掛けられることがほとんどなので放置もできません。
    そのため、発見した被害サイトにはいちいち通報しているのですが、これからは要注意ですね。
    脆弱性スキャンをしてみつけるのと、実際に不正スクリプトを踏まされて見つけるのとでは別物ですけど、場合によっては善意の報告者への恩を仇で返すことをされるかもしれません。

    改竄サイトや脆弱性を抱えたサイトの情報を集約する機関を、警察庁か総務省あたりで整備する必要があるんじゃないでしょうか。
    通報しても全然直さないサイトも少なくなく、強制的にサイトを一時閉鎖させる権限もあればなお良いのですが。

    • by Anonymous Coward on 2013年09月12日 9時20分 (#2458734)

      ACCS事件から何も学んでいないんですね。
      あれは不正アクセス事件でしたので、不正アクセスにあたるかどうかという点ばかり議論されていました。
      しかし、検察が上げた動機が「技術的な顕示欲から犯行に及んだ」となっていることを見過ごしていませんか。

      犯罪の動機として自己顕示欲というのはよくあるものなので、一般的的な感覚からするとそのような行動は非常に怪しまれるわけです。
      自分のことを「善意の報告者」だと思っていても、報告された側から「自己顕示欲の塊」と見えていませんか。
      「~。ベネッセさん。」とブログに書く人物は、そのような人たちからどのように見えるでしょうか。

      悲しいですが、我々の間で共有している論理が誰にでも通用するわけではないのです。

      親コメント
      • by Anonymous Coward on 2013年09月12日 10時09分 (#2458755)

        GoogleやTwitterへの報告については自己顕示的な部分があるかとは思うけれど、それはさておき。

        問題を最初にセキュリティカンファレンスで公開したoffice氏の経緯 [geocities.jp]と、
        内密にサービス提供者へ情報を提供し、恐らくプロバイダの件がなければ特に表沙汰になることはなかっただろう今回の経緯は、
        「技術的な顕示欲」という点で同一視ができるとは到底思えないのだが。

        発見した問題を内密に報告するというのは単純に善行だと思うのだけれど、
        その行為に対して「インターネット接続環境の停止」という形で返事があったことに対して企業名を出すのは、
        懲罰的・報復的ではあるとは思うが、自己顕示的と言えるかどうか。

        > 悲しいですが、我々の間で共有している論理が誰にでも通用するわけではないのです。
        この一文だけはとても同意するけれど。

        親コメント
      • > ACCS事件から何も学んでいないんですね。
        > あれは不正アクセス事件でしたので、不正アクセスにあたるかどうかという点ばかり議論されていました。
        > しかし、検察が上げた動機が「技術的な顕示欲から犯行に及んだ」となっていることを見過ごしていませんか。

        その自己顕示欲とは、欠陥を突いて入手した情報を第三者に見せびらかした行為のこと。もちろん、感情だけで犯罪を構成することはない。
        実際に有罪とされた行為は、CGIの欠陥を突くことで、ftpサーバに対するログインを回避して情報を入手した行為。

        今回はログインを回避して情報を取得したわけではなく、当事者に報告しただけ。それなのに対応が酷いから「ベネッセさん」と書いて批判した。

        当事者(サービス提供者)に欠陥を報告する行為がすべて犯罪になるのでは、多くの善意が期待できなくなり、刑法を根本から変えてしまう。
        (お隣さんが玄関の鍵をかけ忘れて出かけようとするとき、指摘したら犯罪になるのだろうか?)

        親コメント
        • by Anonymous Coward

          (お隣さんが玄関の鍵をかけ忘れて出かけようとするとき、指摘したら犯罪になるのだろうか?)

          これ思い出した。

          http://matomade.2chblog.jp/archives/31385831.html [2chblog.jp]

          86: 以下、名無しにかわりましてVIPがお送りします 2013/08/08(木) 05:09:41.11 ID:i3JiNI900
          >>72
          警察官から「なにやってるんです?」と言われて「鍵の施錠確認を・・・」と答えたら
          「このマンションの住人から苦情があり巡回してまし

          • by Anonymous Coward

            マンションの各部屋の玄関のかぎが閉まっているか、全部回ってガチャガチャ開けてみた。
            すると開いている部屋を見つけた。
            ついでに中に侵入までしてみた。
            次に、仲間を集めてきて、その玄関が施錠されていないと説明し、皆の前で開けて侵入して見せた。
            その場で見ていた何人かが、実際に開けて中を覗き込んで侵入までした。

            これじゃ擁護出来んわ。

            • by Anonymous Coward

              なんで侵入したことにしたがるんだろ。

              セールスマンがマンションの各部屋を訪ねて回った。
              その際に呼び鈴を鳴らし、返事がないので聞こえてないのかと思いドアを開けて声をかけた。
              それでも返事がなく留守だと分かった。
              不用心だなと思い管理人(管理会社)に知らせておいた。
              すると出禁を喰らってしまった。
              その上なぜか勝手に部屋に入ったことにまでされてしまっている。

              • by Anonymous Coward

                XSSだと実際には「穴(扉・窓)」ですらないですからねえ
                玄関先に置かれていたバット持って「危ないなあ」って言ってたら鍵のかかったドアの中に居た
                その家の人を狙ったことにされてる。

        • by Anonymous Coward

          >お隣さんが玄関の鍵をかけ忘れて出かけようとするとき、指摘したら犯罪になるのだろうか?

          犯罪にはならないかも知れないが、なんでそんなとこまで見てんの?って疑心暗鬼になりそうだ

      • 技術的な顕示欲、いいことではありませんか。何が悪いんでしょうか?
        検察が動機の説明に「顕示欲から」と書くのには問題はないと思いますが、
        別にその「顕示欲」自体が罪になったわけではないでしょう。
        ACCSの裁判での用法は、行った内容(不正アクセス)に対する量刑を補強するファクターでしかありません。

        「独善性」(他人の不利益をかえりみず)という言葉を考えてみてください。
        例えば食物を摂取することには他人の介入する余地はありませんから、
        「独善」で普通に飯を食っても罪には問われません。
        一方「独善」で「強盗」を働くと、情状酌量の余地がある場合と比べて重い量刑になるでしょう。
        でも、それだけです。「独善」自体は罪じゃありません。同様に自己顕示欲も罪ではありません。
        あえて言うなら、自己顕示欲は、+-には関わらず、善悪の程度を増減するファクターになるという程度です。

        一方今回の内容は個人主義への無理解+主観と客観の混同にすぎません。
        人がどんな欲を持とうが、それこそ個人の自由です。
        今回の事件でもし「自己顕示欲」が今回の対応の原因になったのなら、
        「自己顕示欲は悪」という会社側の勝手な価値観が判断をバイアスさせたのでしょう。
        プロバイダが裁判官の真似事をしようとしても、法律を勉強していないのだから間違いを犯すのは当然です。

        だから、
        > 我々の間で共有している論理が誰にでも通用するわけではない
        というふうに控えめに対応する必要は全くない。
        その論理はスラドのようなコミュニティだけに通用するものではなく、きちんとした社会では通用して当然の論理です。
        なにせ、一般に存在している
        > 犯罪の動機として自己顕示欲というのはよくあるものなので、一般的な感覚からするとそのような行動は非常に怪しまれる
        という感覚は、「犯罪者の100%は水を飲んでいる。だから水を飲んでいると怪しまれる」ぐらいの誤謬なわけです。
        コストは掛かりますが、裁判すれば勝てます。(コストに見合うかという点はさておき)

        社会はより良い方向に向かっていますが、まだ野蛮人が残っていたというだけです。

        # 正義が勝つにはスゴイ時間がかかりますが、いつかは勝つはずという楽観的な思想。

        --
        新人。プログラマレベルをポケモンで言うと、コラッタぐらい
        親コメント
        • by Anonymous Coward

          顕示欲が悪いのではなく、顕示欲による身勝手な犯行ということで正当性が無いってことです。

          例えば被害者に良かれと思って善意からやったのであれば情状酌量できる余地があるんですが、顕示欲による身勝手な犯行なので悪質であるという主張です。

          • by Anonymous Coward

            ああ、脆弱性を報告した人に対して

            例えば被害者に良かれと思って善意からやったのであれば情状酌量できる余地があるんですが

            このような解釈を取ってるのか。
            (動機の善悪はともかくとして)行為自体が悪という前提なのなら、コラッタの人とは会話がかみ合わんだろう。

            #2458734と#2458940のACは同一人物なんだろうけれど、
            この件で「我々の間で共有している論理」なんて言わないで欲しいな。

      • by Anonymous Coward

        > ACCS事件から何も学んでいないんですね。
        > あれは不正アクセス事件でしたので、不正アクセスにあたるかどうかという点ばかり議論されていました。
        > しかし、検察が上げた動機が「技術的な顕示欲から犯行に及んだ」となっていることを見過ごしていませんか。

        ACCS事件は、技術的な顕示欲と言われてもしょうがないでしょう。
        そういう発表の場でやって見せたんですから。

        善意で、被害者や、問題を抱える人にアドバイスを贈ることが逆手に加害者であると判断されることは間違いであるというのとはだいぶ違います。

        >自分のことを「善意の報告者」だと思っていても、

        • by Anonymous Coward

          偶然見つけたのならともかく、勝手にスキャンして調べた場合には「自己顕示欲の塊」と取られてもしょうがないでしょう。
          せめて事前に「ボランティアで脆弱性検査をしています。貴社のサイトを調べてもよろしいか?」と一報入れておくべき。

          これ、どうなんだろう。

          もし、一報入れるなんて面倒なハードルができたら、無償での脆弱性検査はやり辛くなるだろうし、
          その一方で悪用目的の奴は無断で調べて黙って悪用するだろう。恐らく状況は悪くなる。

        • by Anonymous Coward

          >>せめて事前に「ボランティアで脆弱性検査をしています。貴社のサイトを調べてもよろしいか?」と一報入れておくべき。

          だったら、ユーザーがそのサイトを見る前にベネッセの許可を取るように書いておくべきだな。

        • by Anonymous Coward
          早稲田大学生はみんなそういう論理を共有しているんですか!スゲー
    • by Anonymous Coward

      えーっと...
      権限付きの天下り先?

    • 本人の意思もハッカーもクラッカーも関係ない。
      すぐサービスを止めて、即刻直せって話だよ。

      違う?違わないよね?

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...