パスワードを忘れた? アカウント作成
4214 story

ロイターがURL推測で不正アクセスとして告訴される 188

ストーリー by Oliver
秘匿はセキュリティでない 部門より

本家より:ニュース通信社のロイターがスェーデンのIntentiaという小さな会社に不正アクセスで告訴された。ロイターが非公開の財務レポートが公開した、という訴えだ。ここまでだと普通の話だが、このレポート、実はIntentiaのウェブサイトにアクセス制限無しに置かれていたのだ。ただし、どこからもリンクされずに。ロイターは過去の財務レポートのURLから今期のレポートのURLを推測してアクセスしたとのことだが、それで不正アクセス(Intentia社の見解)と言われるとは....

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 参考まで (スコア:3, 参考になる)

    by yh (6046) on 2002年10月29日 20時17分 (#191508) ホームページ 日記
  • by Anonymous Coward on 2002年10月29日 21時27分 (#191590)
    あったようです。東北大の後藤教授のサイト [tohoku.ac.jp]の参考文献の項。

    これはWall Street Journalのようですが、重要文書を公開予定日前にWebに上がっているのを見つけた記者が、「これをもとに記事にして公開することは許されるか」と社内弁護士に尋ねたところ、「おれにコメントを求める暇があれば、さっさとWebに載せることだ」と即答した、とのこと。

  • by naka64 (4590) on 2002年10月29日 21時50分 (#191603) 日記
    こんなの [kyoto-np.co.jp]も含めて、ちとしょうもない気がするな。
    でたらめなアクセスでもそこにファイルが有れば返すというのがWebデーモンのお仕事なわけだから、Webデーモンから見える範囲というのはまさに「ショーケース」でしょう。
    勝手に写真に撮られても文句いう筋合いじゃないがね。

    #ネタかぶりご容赦。
    • ある程度以上の規模の Web site の場合、コンテンツ作成途中のテストや社内のオーソライズを得る、などの目的で、「全体にアクセス制限のかかった」サーバを別に用意し (ステージングサーバ、などと呼ばれます)、本番サーバへはタイミングを見てコンテンツを sync する、という運用が、普通はなされているのではないかと思います (というか僕がかかわってきたある程度以上のサイトはみなそうでした)。

      なんでだかは知りませんが作成中のファイルを公開 Web サーバにおいて運用してる、というのは、昨今では非常に素朴 (ある意味世間知らず) な気が。
      --
      Only Jav^Hpanese available :-)
      親コメント
  • by nobuhiro (5244) on 2002年10月29日 20時22分 (#191511) ホームページ
    訴えた会社のページを見ると、セキュリティの提供なんかも業務にしてるようですけど、その割に御粗末な。

    会社の広報代わりに訴えたのかいな、とも思ったけど業務内容見ると信用失墜以外ないんじゃないのか? それとも訴訟ビジネスも業務のうちなのでしょうか。

    --
  • by Technical Type (3408) on 2002年10月30日 10時50分 (#192014)
    株価に影響を与えうる財務レポートをマスコミに一斉公開 (上場企業は2つのニュース配信会社と3つの新聞に公開する事がスェーデンの法的要求) しようとしていたが、大ドジやって Web に置いたのでロイターにすっぱ抜かれちゃった、と。それで下手をすると Intentia が株主から「損害を被ったじゃないか!」と訴えられかねないので、ドジ隠しに「ロイターが悪い!」と訴えたわけか。

    ロイターは「訴訟には驚いた。我々は、財務レポートがアクセス制限も無しに Web で公開されてたから報道しただけだ」と述べているので、多分、Intentia は勝てないでしょう。

    でも Intentia も、勝てなくてもロイターを訴える事で「我々は公開する気などなかったのだ」とPRし、株価に影響を与えうる財務レポートをドジってすっぱ抜かれちゃった責任を「ロイターだって悪い」となすりつけようという作戦じゃないかな。

  • ロイターも悪い (スコア:2, すばらしい洞察)

    by happy (8310) on 2002年10月30日 14時52分 (#192179)
    あまり出てない意見っぽいので。

    現実問題として、公開ページからリンク張る前に本番環境でページやアプリの最終テストをすることがあります。 公開スペースでテストをしているので、そこにアクセスされても文句は言えませんが。

    でも個人では問題にならなくても、ビジネスとしてやっている場合には問題がある場合があります。

    今回、ロイターは元情報が official なものか確認する義務があった気がします。 公開されているページからリンクされていない場合、それはテストページかもしれないし、正式発表前のものかもしれない。 まだ数字に誤りが含まれているかもしれない。ゴミ情報にアクセス制限がかけてなくたって、そのサーバの持ち主がそのゴミの中身にまで責任を持つ必要は無い(ちと極論ですが)。

    それを怠った時点で、少なくともロイターは信用を失ったのかなと思います。 不正アクセスかどうか、とは少し違った話題かとは思いますが。
  • by Futaro (2025) on 2002年10月29日 20時16分 (#191504) ホームページ 日記
    アクセス制限なしで置かれているもの、って、不正アクセスの対象にならないと思うのですが。。。Googleじゃよくこの類のものがひっかかってましたけど。
    • by shn (7678) on 2002年10月30日 0時33分 (#191780) ホームページ
      なんかややこしく考えている人が多いけど、

      ロイターの記者がどうやって、URL見っけたかとかはどうでも良くて、IntentiaのWebサーバに
      「これこれのURLのファイルくださいな」
      ってRequestを出したら、
      「ほれほれ、これが今期の財務レポートじゃ」
      ってResponseだしたんでしょ?

      自分で教えたのに告訴はないよなぁ
      親コメント
  • と、ルールを作る方が、
    多くの人が幸せになるかと思われます。

     見えるんだから、見たんだよー!

    が正論だ、という常識が出来上がるのは、
    芳しくないなあと。
    --
    -- LightSpeed-J
    • そうは言うけど、 (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2002年10月29日 20時30分 (#191524)
      Web上にあるものは、明示的に公開しているものなのですよ。

      公開の意思の無いものは、
      Web上に上げない or パーミッションを施す、
      と言うルールですから。

      裸で往来を歩いて
      「見せるつもりは無かった」
      と言っても猥褻物陳列罪。
      親コメント
      • by gtir (6513) on 2002年10月29日 21時14分 (#191573) ホームページ
        明示的かどうか疑問ですが、
        見せたくないものは大事に隠しておくものでしょ。

        数字ふぉ含むファイル名を連番とみなして、インクリメントした名前を探そうとしたり、ありきたりなmeibo.txtみたいなキーワードを探しまくるアンダーグランドな検索ロボットが動いていても不思議ではない。

        親コメント
      • by nekopon (1483) on 2002年10月29日 20時35分 (#191529) 日記
        パーミッションを施す

        この場合、パーミッションを『与えない』が正しい言い方では。 『施す』を使うなら、『アクセスコントロールを施す』でしょう。

        # パーミッションを上げる/落とすはUNIXでしか通用しないと思われ

        親コメント
      • by arrabbiata (4524) on 2002年10月29日 20時59分 (#191557)
        リンクを張らないでこっそり置いたファイルのどこが「明示的」 なんでしょう? いつ誰に明示したというのですか。 無人島で1人で裸になっても猥褻物陳列罪にはなりません。
        親コメント
        • いつ:
            ファイルを置いた日
          誰に:
            全世界のインターネット利用者に

          明示したことになります。Webで見られる領域に置くってことは。
          あるいはインターネットというものを勘違いしているのか。
          --
          // Give me chocolates!
          親コメント
          • by arrabbiata (4524) on 2002年10月29日 21時39分 (#191597)
            「明示」とは「明らかに」「示す」ということです。
            「示す」とは相手にわかるようにするということです。

            見ることが可能かどうかと、その事実を明示したかどうかは 別の話です。
            今回のケースではファイル名がわかるようにしたわけではないので
            「明らかに」「示した」とは言えません。
            親コメント
        • > 無人島で1人で裸になっても猥褻物陳列罪にはなりません。

          無人島であったかどうかが問題なんじゃないでしょうか。
          公けに晒している場所においたんだから、そのアナロジは通用しないと思います。
          あえてその線でいうならば、"誰にも告知せずに"裸になった程度ですよね。
          親コメント
        • by Anonymous Coward on 2002年10月29日 21時51分 (#191606)
          >無人島で1人で裸になっても猥褻物陳列罪にはなりません。

          ええ。確かに。
          ですから,インターネットに繋がってない,いわば無人島に秘密情報を
          おいても問題ありません。

          しかし,インターネット上にアクセスコントロールなしでファイルを
          置くことは,誰でも見られるところにそれを置くことを意味し,
          「無人島」などでは決してありません。

          リンクを明示的に貼ってないということは,せいぜい「俺は裸だぜ!」
          と叫んでないだけに過ぎないでしょう。
          親コメント
      • by ftw (7254) on 2002年10月29日 21時14分 (#191574)
        public_htmlとかに置いてればまさに
        公開ですね。
        親コメント
      • 裸で往来を歩いて
        「見せるつもりは無かった」
        と言っても猥褻物陳列罪。


        それは多分「公然猥褻」の罪になります。
        #「裸で往来を歩いている写真を公開した」なら猥褻物陳列罪になるのかな?
        親コメント
    • by Quo Vadis (10810) on 2002年10月29日 20時24分 (#191513)
      明示的に非公開としていないものは公開、というルールの方が、多くの人が幸せになると思うんですけど。
      親コメント
    • 現実社会でも、 「できることはすべてやっていい」 「見れるものはすべて見ていい」 なんてことはありません。 鍵が掛かっていないドアを見つけても勝手に侵入してはいけません。 ですので、ネット上でも、 「できることはすべて、なんでもやっていい」 「見れるものはすべて、なんでも見ていい」 というわけにはいかないと思います。 (たとえば、ポートスキャンなんてのは、できるけど、 やってはならないことのひとつだと思います)。

      一方で、物理的に見れてしまうもの、できてしまうこと、を 法的に禁止することで抑止しようとする姿勢が行き過ぎると、 実際にはいろんな「犯罪」の手口があるのに一般人はそれを知らない (物理的にもできないものと誤って思い込んだり、 そういう危険性に配慮することを忘れてしまったり) といった危険な状況に行き着く可能性があります。

      で、どこかでバランスが必要だと思いますが、 今回の件について言えば、 ウェブ上の公開の場所に置いてリンクを張ってないものについては 見られて当然だと思います。 (リンクを張ろうと思って忘れてる、とか、 リンクを張ったつもりが URL が間違っていたために どこからもリンクが張られていない、とかの状況だって 考えられますから)。

      親コメント
      • インターネットを現実社会と比べること自体間違っている。
        インターネットという技術、利便性、目的...を考えると、そもそも現実社会というものと矛盾する点が多くあるはず。
        だから、インターネットはインターネットで常識があるという認識が大事。もちろん、常識とは強制されて作るものではなく、大衆が行う行動によって決まります。で、大衆はインターネットを現実社会とは違うものとして考えているだろうから新たにインターネットの常識と言うものが今作られようとしているのが今日この頃。
        インターネットが人々に定着しはじめて、インターネットに関する問題に関して多くの人が考え始めると、新たなるインターネットに対する一般的な認識というものが形成されるでしょう。今回の裁判は、これらの問題を考える上で参考になり得るだろう判例になるのです。

        ちなみに今は、インターネット上で見られるものはなんでも見ていい、わざわざWeb上に置いているようなものを秘密のものであるとするのは無理があるという認識が多数派であるようです。
        --
        // Give me chocolates!
        親コメント
    • > 明示的に公開していないものは非公開

      > と、ルールを作る方が、
      > 多くの人が幸せになるかと思われます。

      えー!!!!
      それって、今ある公開ページ全てに「公開してます」って
      宣言して回らなきゃ・・・・。

      受益者が働くという原則を適用すると
      見て欲しくないページに「見ないで」と宣言していくべきじゃないですか?
      (場合によってはアクセス制限をかけるべき)
      親コメント
    • 著作権法第二条 [ron.gr.jp]九の四の「定義」で、
      「自動公衆送信 公衆送信のうち、公衆からの求めに応じ
      自動的に行うもの(放送又は有線放送に該当するものを除く。)をいう。」
      とあり、Web にファイルを置くことはこの自動公衆送信にあたります。
      なので日本国内で同等なことが起きた場合には不正アクセスには相当しません。
      て言うか、某エステとかで既に起きてるけど逮捕起訴されたりしてないでしょ。

      スウェーデンの法律はどうか判らないですが、
      The Internet の「公開する」という基本理念から考えれば Intentia が間違っている。
      親コメント
    • 「明示的に公開した」とはどういう状態を指すのか突き詰めて行くと、
      明示的に公開された URL のリストを転送するプロトコルが
      必要になりそう。
      でなければ、URL が公開されているかどうかを答えてくれる認証サーバーが。
      --
      コンタミは発見の母
      親コメント
    • いまいち理解できないところなんだけど、

       「見られたくない」

      と思っているものを、敢えて見る/見たことに対して、
      なぜそこまで擁護側に回るんだ?

      それは、
      俺には間違ってるような気がするんだよね。

      見られたくないものを見せないようにする努力は必要だが、
      悪意を持ってそれを見る行為を処罰しないのはどうかと思うぞ。

      たとえばさあ、年寄りが強盗かなにかに逢って

       何人も、
       外では誰かに殴られないように気をつけて当然だから、
       殴られた馬鹿が悪いんでしょ。

      って常識がまかり通るようじゃあ、
      一番強い奴だけが幸せになるってことじゃない?
      --
      -- LightSpeed-J
      親コメント
      • by Blackdog-Bowwow (5644) on 2002年10月30日 1時44分 (#191836)
        貴方の比喩は間違っています。

        「見られたくない」のであれば、公開の場所にファイルを置かないことです。
        公開の場所にファイルを置くということ自体が「見られたい」と主張することなのです。
        (異論はあるのかもしれませんが、そうした方が格段にみんなが幸せになれます)

        老人が外で殴られたうんぬんの比喩は正しくありません。
        この場合は、公共の掲示板に秘密文書を張り出して、それを覗き込んだ人に「おうおうナに見てんだコラ」と脅すような下衆な行為であると私は考えます。
        親コメント
  • by Joga (8113) on 2002年10月29日 20時30分 (#191525)
    これで裁判所がどういう判断を示すか、見物ですな。
    こういうことはよくあるけど、法律判断が示されたことはなかったはずだし。
    判例ができれば、今後どういう行動をすればよいかというのがわかるんでいいかも。

    #ロイター無罪、という判決が出るような気がするけど。
    #感覚としては、道路に面している窓があいてたから覗いた、というのに近い気がするな。
    • by nekopon (1483) on 2002年10月29日 20時42分 (#191539) 日記
      道路に面している窓があいてたから覗いた

      のぞきは軽犯罪法第1条23号により犯罪だそーです。たとえ外から見えるようになっていたとしても。ご参考 [tripod.co.jp]

      # 参考文献さがしてたら田代まさしだらけだったのはしみつだ

      親コメント
    • by cobe (3247) on 2002年10月29日 20時56分 (#191553)
      窓があいていても覗き見は恥ずかしいので出来ませんが、URLの
      直打ちはしょっちゅうやりますね。ひょっとするとリンクされて
      いないかも知れない。一個上の階層に行こうとして、「Index Of」
      が見れちゃうこともありますが、これも「不正アクセス」?

      一番最初にブラウザでYahooに行ったときもURL直打ちだった。
      インターネット上の全てのサイトを回って、どこからもリンク
      されていないことを確認しない限りURL直打ちは出来ませんな。

      つまり「リンクがないのは見て欲しくない証」というルールは無理がある。
      親コメント
      • by __hage (7886) on 2002年10月30日 0時36分 (#191784)
        つまり「リンクがないのは見て欲しくない証」というルールは無理がある。

        ですよね。どこかに(掲示板とかね)リンクはっちゃえば、その瞬間から見て欲しくないものでなくなっちゃうんでしょうか。すみません、屁理屈です :)

        親コメント
    • by baby may cry (11960) on 2002年10月29日 21時50分 (#191604)
      なんで道路とか住居とかの例えが出てくるのか不思議なんですが・・・ ドメインを取得して、サーバーを立ち上げて、んで(ここが重要)URLを一般に報知すれば、そこは「公開された場所」でしょ。

      美術館で、鍵かけてなくて立入禁止とも書いてない部屋に名画が飾ってあった、みたいなもの。それを閲覧したからって訴えられるのは心外だとおもう。
      親コメント
    • by Y.. (7829) on 2002年10月29日 22時16分 (#191643) 日記
      >#感覚としては、道路に面している窓があいてたから覗いた、というのに近い気がするな。
      う~ん 野ざらしになってるけど 目印になる物が無くて場所が分かりにくかっただけ が正しいかも
      べつに部屋の中に隔離された物でも無いんだし
      親コメント
    • by Mc.N (3705) on 2002年10月29日 22時56分 (#191690) 日記
      まず本当に彼らの示したアクセスログが正しいのかを証明するのが難しいような気がします。不正にアクセスする位なら不正にアクセスログを書き換えてもおかしくは無いし。この程度のセキュリティレベルでログが本当に信頼出来るのか、そこからかな。

      仮に正しかったとして、

      ゴミ箱の中から機密情報を探し、それを「スクープ」として取り上げているような輩に対して、あまりにも無防備では無いかと。せめて機密情報位、シュレッダーに通してから廃棄するのは常識だよね、ってことで諦めるしかないような。
      --
      Mc.N
      親コメント
  • わざわざWeb上にファイルを置いたということ。

    つまり、Web上にファイルを置くことで一体なにが起きてどんな利害関係が発生するのかを、Webに置く際に十分認識していたということになります。
    当然、裁判でもこの点は考慮されることになると思います。
    --
    // Give me chocolates!
  • by goubu (3245) on 2002年10月29日 23時25分 (#191718)
    前のURLから推測して、 見た人は偉いとして、 ガードしてません。 パーミッション落とせば読めなくできるけれどね。
  • この手の妙な主張って、どういう原理で出てくるのかというと。
    思い付くところでは…
    技術的におかしな主張をしているのは重々承知のうえで、イイワケとして訴えておくとか。
    外注先に無意味なメンテをさせたりして、機械の故障のせいにするとか。
    そういう「CDが売れないのはマーケティング能力の低下だって分かっているけど、CD-Rとmp3ブームのせいにしておけば首が繋がる」みたいな現象があるのでは?
    --
    Masafumi Otsune [otsune.com]
  • by L.Nizah (7804) on 2002年10月30日 0時32分 (#191779)
    イ /test06.htmlを発見して、/test05.html を叩いた
    ロ ~user/c/helloworld.html を発見して、 ~user/c/ (または ~user/c/index.html) を叩いた
    ハ /200210/log.html を発見して、/200209/log.html を叩いた

    これ、よくやりません?
    これも不正アクセスって言われちゃなぁ
    推察したURLを叩く前に、他からリンクされてる or されていないの確認しなくちゃダメですか?
    # どうやって?
typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...