パスワードを忘れた? アカウント作成
7441 story

ACCS事件でoffice氏逮捕 668

ストーリー by yourCat
後味悪い 部門より

たくさんのタレコミの中から、Ryo.F曰く、"既に/.Jでも話題に上がっていた、社団法人コンピュータソフトウェア著作権協会 (ACCS) の個人情報流出事件 (ACCS事件) に関連し、不正アクセス防止法違反と威力業務妨害の容疑でoffice氏が逮捕された (毎日新聞の記事朝日新聞の記事)。
前者については、不正に個人情報を入手・公開したことがそれに当たる。入手した個人情報を公開してしまったのは行き過ぎだが、本当に「不正に入手」と言えるのか、という疑問がある。
後者については、後者は前者によりACCSがサイトの一部が閉鎖に追い込まれたことがこれに当たる。しかし、氏が公開しなければ閉鎖しなかったのか、という問題がある。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by none (16325) on 2004年02月04日 15時08分 (#488180) 日記
    XSSについて脆弱性を発見した場合

    ・メールで脆弱性について伝える。

    という方法がベター(電話ならベスト)である。
    しかしながら、企業の対応はまちまちである。

    1.無視をする
     まだ貴方しか知らないんだからほっとこう

    2.逆切れ
     金でもゆすろうって言うのか?
     不正アクセスで訴えるぞ!

    3.黙っててください
     状況把握しました、でも変え(られ)ないので黙っていれば誰にもばれません

    4.即座に修正する
     こりゃやばい、ありがとう直しておきます。

    おおよその対応は1,3である
    この場合このメールはほぼ意味を成さない。
    2の場合己の社会的立場を危うくする場合がある。

    4の場合はかなりまれなケースである
    だからまずありえない

    ここで問題になるのは
    ・企業が集めたデータを保全をする義務が無いということ
     →つまり外部からアクセスされた場合不正アクセス法で訴えればいい

    物騒な話である。
    セキュリティーが確保されているか安心できなければ迂闊にアンケートにも答えられない世の中です。
    しかも穴だらけのシステムを堂々と使っていても問題ないと来ている・・・ばかげていると思いませんか?
    --
    有無自在
    • by nekonyan (3158) on 2004年02月04日 17時12分 (#488418) 日記
      ACCSの一件はXSSではないのでオフトピック。

      しかもofficeこと河合容疑者は発見したセキュリティホールを
      ACCSやレンタルサーバ業者などに連絡するよりも前に
      A.D.200Xというイベントで不正アクセスによって得た個人情報を晒した上に
      個人情報を含む資料を無線LANで自由にダウンロードできる形で会場内で配布していました。
      個人情報漏洩でACCSが謝罪した昨年11月にはセキュリティイベントのことは知らされていませんでした。
      これが後になって判明し、そこでofficeに協力的だったACCSも態度を変えたし、
      改めて1月4日の朝日新聞の記事となったのです。
      従って彼のケースを以てして一般論に話を持っていくのは間違いです。

      なんでこう話を別に逸らそうとする人が多いのだろう。
      親コメント
  • by Anonymous Coward on 2004年02月04日 15時00分 (#488161)
    情報が漏れたことをメールで協会に知らせ、サイトの閉鎖に追い込んだ疑い。

    と毎日の記事(読売の記事 [yomiuri.co.jp]にも、類似に記述あり)とあるのですが、彼の目的はサイトの閉鎖にあったのでしょうか。サイトを長期にわたって閉鎖しているのはACCSの判断であって、この件を「威力業務妨害」としたり、まるでサイトの閉鎖を目的とした攻撃だったように報道するのは、問題ではないでしょうか。
    「不正アクセス禁止法違反」はともかく、「威力業務妨害」で逮捕されたのは、ちょっとびっくりしています。
    • by lunatic_sparc (15416) on 2004年02月04日 15時08分 (#488181)
      > 彼の目的はサイトの閉鎖にあったのでしょうか。

      この場合、問われるのは行為の結果であってその目的がどこにあったかではないのです。

      もともとが法的に合理性のある行為の場合は「威力業務妨害」での立件が望ましくない場合もありますが(こっそり教えてあげた結果自分の判断で閉鎖したとか)、余所で騒いだこととサイト閉鎖との因果関係が十分にあり、被害を受けた側が「業務を妨害された」と言えば、『威力業務妨害の疑い』は十分になります。

      そういえば、この件では『逮捕』となってるってことは警察の逮捕請求に対して東京地裁は「逃亡」や「証拠隠滅の恐れがある」って判断したんでしょうね。

      まぁ、逃亡はなさげですから「証拠隠滅の恐れ」があったってことなのかなぁ。
      親コメント
  • まとめ (スコア:3, 参考になる)

    by Anonymous Coward on 2004年02月04日 19時37分 (#488611)
    ・通常セキュリティホールに関しては、相手に直接通知して
     対応が終わった段階で公表するのが暗黙のルール
    ・今回のoffice氏の場合、ACCSに通知する前にAD200Xという
     ハッカーグループの会合でこのセキュリティホールを公表
     して、かつ実際の個人情報が載った資料も公開した
    ・その後office氏からセキュリティホールを通知されたACCSは
     当初はoffce氏を協力者として友好的に扱っていた
    ・ところがoffice氏が事前にセキュリティホールと個人情報を
     公開していたことが分かったため怒りまくってoffice氏を告訴
    ・さらに公開された個人情報は全て破棄されたとAD200X関係者
     が説明したにもかかわらず、2ちゃんねるのアップローダで
     アップロードされてACCS再激怒
    ・ついにoffice氏が逮捕

    officeがやった実際の手法
    ・ACCSの投稿フォームで投稿内容の最終確認のため投稿内容を表示するCGIを利用
    ・投稿内容を表示するCGIの引数にそのCGI自体を入れると、CGIのバグで
     CGIのソースが表示される
    ・そのソースを見て投稿内容が格納されるファイル名を確認する
    ・今度は投稿内容を表示するCGIの引数に投稿内容が格納されるファイル名を入れると、
     CGIのバグですべての投稿内容が表示される
  • office 氏の落ち度については色々と他に指摘がある通りですが、その上で。
    実態と報道から受ける事件の印象に大きな差違があると思うのですが、脆弱性のあるプログラムを制作、管理、運営して個人情報を危険にさらした側の責任はほとんど表に出ること無く office 氏がスケープゴートに上がって社会的制裁まで加えられた感じです。
    ざくっと見て明らかにおかしいのは
    • 報道内容が公正を欠く
    • 扱いが大仰過ぎる
    • 事実上の社会的制裁になっている

    報道内容が一方的な情報に基づく物である事は毎日や NHK を見れば分かる通り。毎日の記事に至っては歪曲と言える可能性もあるのでは。
    その上で本人の氏名、容姿が晒され大学側のコメントまで引っ張り出し親類筋も調べ上げる。
    また逮捕前の全国紙一面に逮捕後の NHK とここまで扱いが大きいと反論の場が無くなる上に社会的制裁に繋がっている訳で。

    恣意的な力が働いたのか何なのかは知りませんが、ここまで見事に一方的な情報を検証能力を働かせずに受け入れ全国規模で報道し、結果として社会的制裁を加え見せしめとしている辺り、かなり危機的な機能不全の一端を見たような気がするのですが。。

    と /. 的重大ニュースだと思うのですが、なんつーか、、コメント見てると、、

    # 誰か経緯を英訳して本家に投稿希望。
  • by Anonymous Coward on 2004年02月05日 10時16分 (#489191)
    JPNIC, JPCERT/CC Security Seminar 2003
    オペレータが知っておくべき,インシデントハンドリングとは
    第4回 復:~インシデントから復旧する~
    2004.02.04 13:30-17:00 大手町サンケイプラザ
    でのパネルディスカッション「xSPのセキュリティの未来」にて。
    参加者
    モデレータ:佐野晋(JPRS, JPNIC, JPCERT/CC)
    パネリスト:
     伊貝耕(警察庁情報通信局技術対策課サイバーテロ対策技術室)
     高木浩光(産総研)
     西尾秀一(NTTデータ)
     三膳孝通(IIJ)
     山口英(JPCERT,JPNIC, 奈良先端大)

    会場からの質問:
    Q.京大の研究者が逮捕されたが,同様のことをしている他の人とどこが違うのか
    A.伊貝:NHKで見ただけなのでわからない。威力業務妨害については,被害者の意識が無ければならないから, ACCSが「被害者意識」があったのかも知れないが
    A.高木:一般的には,バッファオーバーフローさせて指摘するのはどうか。犯罪にならない,HTMLソースを見て理論的に指摘できる場合もある。その中間で,URLを手で入れることで名簿が手に入る,という場合もある。放っておくと,事業者は不正アクセスされたと言い訳して逃げるし,見つけた人は見てみない振りをするようになる。そうならないようにするには(交番に届け出るような)公的機関の介入が必要なのではないかと思っている。

    #入手経路の都合で絶対AC。
  • 逆に (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2004年02月04日 14時41分 (#488129)
    不正アクセス禁止法で起訴できると思っている警視庁もアレですな。

    京都府警ハイテクなんちゃらに相談すればよかったのに。
  • 犯罪性 (スコア:2, 興味深い)

    by norimaki (8719) on 2004年02月04日 14時47分 (#488137)
    脆弱性の調査研究そのものについては違法性はないと思いますし、奨励されてもいいぐらいだと思っています。

    研究成果として不正アクセスの具体的方法を示すこともいいですし、脆弱性を持っていたサイトの例として ACCS を挙げることもいいでしょう。しかしその双方を結びつけて発表することは犯罪の助長にほかならないでしょう。今回の犯罪性はここにあるのだと思います。

    さらに得られた本物のデータを公表したことについては言うまでもありません。
    • Re:犯罪性 (スコア:5, 興味深い)

      by Anonymous Coward on 2004年02月04日 14時53分 (#488149)
      >研究成果として不正アクセスの具体的方法を示す
      >こともいいですし、脆弱性を持っていたサイトの
      >例として ACCS を挙げることもいいでしょう。
      >しかしその双方を結びつけて発表することは犯罪の
      >助長にほかならないでしょう。今回の犯罪性はここに
      >あるのだと思います。

      いいたいことはわかるんだけど、今回の逮捕劇で問題だと
      感じるのが、「不正アクセス禁止法」違反容疑ならびに
      「ACCSサイトを閉鎖させた威力業務妨害」となっていること…。

      つまり、その「犯罪性があるかないか」には関係無く
      同様の指摘は全て逮捕される可能性があるぞとされたこと。

      これが、個人情報を流出させたこと(と、それにACCSが対応する
      はめになった損害)一点のみについて罪を問われているのであれば、
      違和感というか恐怖感は無かった。
      親コメント
  • by Technical Type (3408) on 2004年02月04日 15時22分 (#488215)
    ・何も対策などしない。漏れてても指摘されても気にしない。
    ・Office氏逮捕の記事をトップに掲載し、「脆弱性を調査したら逮捕だぞ」と脅す。
  • by chumi (4231) on 2004年02月04日 15時31分 (#488231)
    フジの昼前のニュース。
    「官公庁サイトに侵入して個人情報1200人分~」とか言われてもピンと来ず別件だと思っていたら「イベントで公開し~」と言われて、あぁ…と。

    建物から出てくるところとか新幹線に乗り込むところとか映像が流れてました。
    普通に犯罪者だなぁ、という感じの内容でした。
    そりゃ逮捕されたんだから、そうなんでしょうけど、なにか違う報道のされ方であって欲しかったみたいです私は。

    悪い人がいるのね、で終わらないようにならないと、ネット上が安全側に傾いていかないですよね。
    • by zekky (17068) on 2004年02月04日 17時44分 (#488468)
      Asahi.comのトップに出たときは「欠陥突きサーバーに侵入」って見出しでしたけど、これが「欠陥付きサーバーに侵入」って変換ミスってたらうける印象はだいぶ異なってたのではと妄想。

      で、欠陥は突いちゃいけないんでしょうかね、一般の人の常識として。
      「欠陥突き住宅に侵入」・・・いけませんねえ。
      「欠陥付き住宅に侵入」・・・どこの住宅会社だっ。
      親コメント
  • by Anonymous Coward on 2004年02月04日 15時48分 (#488263)
    「やっちゃイカンもんはイカンのです。防御が甘かろうが抜け道があろうが何だろうが、ダメなんです。管理者にどれだけ手抜きがあっても、それでも侵入する奴が全面的に悪いんデスっ!」

    という前例を作っておけば、セキュリティ対策が楽になりますもんね。

    みんな最初からグルなのさ。
  • by Anonymous Coward on 2004年02月04日 16時44分 (#488370)
    Office
    「ねえねえ、君、社会の窓あいてるよ?」

    ACCS
    「……」

    Office(集会にて)
    「ねえ、みんな!! ACCS って社会の窓あきっぱなしだよー!! ほら、こうやると中のモノまで出せちゃう」

    みんな
    「ほほう……」(真似した奴、数名)

    ACCS
    「恥ずかしくって、もう外を歩けないよう!! ウワァーン!!」

    警察
    「強制猥褻で逮捕するーっ!!」

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...