ACCS事件でoffice氏に有罪判決 395
ストーリー by Oliver
求む!判決文 部門より
求む!判決文 部門より
Ryo.F曰く、"/.Jでも注目されてきた(過去のストーリー:[1]、[2])ACCS事件の地裁判決が下った(河北、朝日)。
Office氏は、「アクセス制御がなされておらず、不正アクセスではない」と主張したが、「アクセスはプログラムの脆弱(ぜいじゃく)性を利用したもので、管理者は想定もしていなかった。アクセス制御機能による『特定利用の制限』がかかっていたといえ、被告の行為は不正アクセスに当たる」とした。裁判長は、青柳勤氏。
「イベントで被告が手口をプレゼンテーションした結果、模倣者まで出現した。高度情報通信社会の健全な発展を阻害することは明らかだ」とあるが、URLの書き換え程度が不正アクセスに当たるって事になるのも、「高度情報通信社会の健全な発展を阻害する」と思うのだが…"
報道は適当 (スコア:5, 興味深い)
http://www.nikkei.co.jp/news/shakai/20050325AT1G2500K25032005.html
「犯行は巧妙かつ悪質で」の部分の発言は無かったと思う。
新聞てずいぶんいい加減なんだね。
そもそも裁判長が8ヶ月執行猶予3年て言った直後に、たくさんいた記者席の人は全員外にどたばたと出て行って、帰ってきた人は2人くらいだけだったよ。その後の裁判長の説明を聞いてもいないのに、記事書いてんだね。
Re:報道は適当 (スコア:3, 参考になる)
不正アクセス行為の禁止等に関する法律違反の第七回公判を傍聴した記録 [homelinux.com]
たしかに「巧妙かつ悪質」という発言がでたとは思えませんね。
これって (スコア:4, すばらしい洞察)
司法から与えられたっ、て事なんでしょうかね。
Re:これって (スコア:2, 参考になる)
脆弱性の発表の仕方その他については、まあマズかったとは思うのですが、テストアタック方法としては普通の方法だと思いますし。
文面(タレこみの文がそのままだとして)からすると、お墨付にしか読めないですね。
# この裁判上ではしかたないでしょうが、
# ACCSが情報漏洩する状態だったことについても両成敗するならまだ理解できるのだが...
悲しくなったのでID(謎
M-FalconSky (暑いか寒い)
論理展開が分からないです (スコア:2, 興味深い)
今回の判決では、office氏の行為が犯罪と認定されただけの話で、
「今回の情報漏洩の賠償は、全額Office氏が払え」というようなもの
では無い以上、「ノーガードOK」にはならないでしょう。
というか、「ノーガード戦法」という言葉がここまで広がる理由がわからないです。
私の記憶の限り、Office氏の警告を無視しつづけたのは外注の業者ですし、
ACCSが態度を硬化させたのも、「ACCSへの通知前に、脆弱性及び情報をプレゼンで発表した」
からでしょう。
もちろんアホな外注を利用していたという責任はありますが、それだけにしては
過剰反応に思えます。
正直、単なる反ACCS厨にしか見えないです。
Re:これって (スコア:1, 興味深い)
無関係の第三者が予告もなしにハッキングして情報を盗んでいく事が「普通」ですか……
いい加減、こういう手合いは自浄作用として撲滅しないといけないでのはないだろうか。
Re:これって (スコア:3, すばらしい洞察)
私は今回の攻撃(?)方法は正常の範囲内だと思うのです。
なので、正常の範囲内の脆弱性確認は、なんとか許容されるところかなと
あと、予告できる仕組みってありましたっけ?
# 別ACさんの「お墨付じゃないだろ」も、そうかもと思います。
# 私が法律に無知なので、間違えているんですねきっと。
...一番不味いのは自分の無知と改めて認識。うぅ…
M-FalconSky (暑いか寒い)
Re:これって (スコア:2, すばらしい洞察)
「他人にサーバに脆弱な部分がありそうだ」「試してみたい」この段階で
「脆弱そうなんで確認のためにアタックするけどいい?」と確認を取っていれば問題はなかったはず。
予告できる仕組みというか普通に対象者に連絡を取ればいいのでは?
「セキュリティ技術者が脆弱性を探す行為」は行為だけ見ればアタックでしかなく
それが許されるのは被攻撃者がそれを認めている場合です。
無作為にあちこちのサーバをつついて脆弱性を探すという時代は
終わって対象者に試験の許可を取ってから脆弱性探査を行うという
流れになっただけでしょう。
#脆弱性を利用する人は黒い人
#脆弱性を悪用する人は悪い人
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
Re:これって (スコア:2, すばらしい洞察)
Re:これって (スコア:3, 参考になる)
「脆弱性がある疑いがあるのでテストする」
→「脆弱性のある物を使っているという風評被害を起こすのか、会社の名誉を傷つけるのか!」となる経営者や管理職は少なくないでしょうね。
# 特に経営陣がセキュリティに疎い会社ほどそういう過剰反応をすると思う
Re:これって (スコア:5, すばらしい洞察)
ACCSが「個人から収集していた情報」が公開されています。
被害を受けたのは「情報を漏洩された個人」です。
決して「ACCS」ではありません。
企業の製品情報等が盗まれた場合企業は「被害者」ですが、
企業が持っている個人情報の管理が悪くて情報が漏洩した場合、
企業は「加害者」です。
ACCSは、情報管理をきちんとしていなかった「加害者」ではありませんか?
「ACCSの法的過誤」という言い方を読んで、「法律に書いていないので法律に違反していない」という非常に危ない発言を思い出してしまいました。
当然「法律以前の常識の部分」で、責任を問われるべき立場だと思いますが?
Re:これって (スコア:1)
そう捉えるならば「ACCSは犯罪に荷担した」となるのでは?
漏洩の被害者からすれば、ACCSも加害者。
---- 何ぃ!ザシャー
Re:これって (スコア:2, 参考になる)
>司法から与えられたっ、て事なんでしょうかね。
司法が、所謂『ノーガード戦法』に『「お墨付」を与えた』というのは
論理が飛躍しすぎですよ。
office氏に対する有罪判決は、あくまでも累犯を「容易に喚起」しうる
点に関するる懲罰であって、けして『ノーガード戦法』を容認する内容ではないと思います。
そもそも、office氏程の「ハッカー」は「白ハッカー」として、
ACCSに対し、脆弱性を教授するべき立場であったにも関わらず、
いたずらに、ACCSに対する「攻撃方法」を公表してしまった
点が非難されていのだと思いますが?
Re:これって (スコア:1)
全て想定出来るなら、セキュリティホールなんて生まれない訳で(苦笑)
逆に言えば、まともに脆弱性検査&対応を実施していると宣言していない企業に対し個人情報は預けるなと言いたいのかもしれませんね
来月から個人情報保護法が完全施行されるわけですが、さてはてどうなる事やら
Re:これって (スコア:1, 興味深い)
確かに、ノーガード戦法を取るサイトにクラッカーが不正アクセスを
した場合、クラッカーは禁止法で処罰されますが、だからといって
発生した損害については誰も補償してくれませんよ?
例えば私が銀行などのサイトを攻撃して100億円の損害を与えたと
しても、私に弁済可能な金額なんてせいぜい1000万円くらいな わけで、
99億9千万円の損失を被ったこの銀行がノーガードを取っていた
メリットなんて何もないわけですが。
今回のACCSだって信用がた落ちなわけですし、Office氏が有罪に
なったところで、損害は回復されないんですけど。
#2年半ほど前に、ユーザがファーストサーバ社のサービスを利用
#したいというのを、押しとどめて良かったと思っているのでAC。
Re:これって (スコア:2, 興味深い)
そのために裁判所が適正な金額や支払方法を割り出すわけで。
Re:これって (スコア:1, 興味深い)
誰が情報を盗んだか分からなかった場合はACCSが謝罪する事態になってたんですかね、、、
これからはセキュリティ的にまずいつくりになっていた場合でも
誰も指摘してくれず、漏洩してからはじめて問題が発覚するようになるんでしょうね
#むしろ隠蔽されるかも?
罪名が違うのでは? (スコア:3, 参考になる)
どうせなら業務妨害で罪に問われた方が世のため人のためだったようにも思います。こんなあいまいな定義の不正アクセスを判例にしないためにも,控訴して戦い続けるのがoffice氏の社会的責任でしょう。
Re:罪名が違うのでは? (スコア:1, 参考になる)
主文でなく情状の方にセミナー云々は書かれているのでは?
情状に構成要件以外のことが書かれているのは変じゃないと思いますが。
Re:罪名が違うのでは? (スコア:1, 参考になる)
不正アクセスの動機付けとして言及されているのであって、構成要件は
あくまで不正アクセスに関することだと思います。
Re:罪名が違うのでは? (スコア:2)
>「窃盗幇助」に問えるね。
詭弁ですね。
最終的に「犯罪か否か」を認定するのは裁判官ですが、
その裁判官が「犯罪か否か」を判断する基準は
「一般国民が認識しえた『事実か否か』」によります。
AC氏が主張する「家主も幇助犯」という論理は、裁判官は元より
一般国民に対しても主張しえない「詭弁」ですよ。
不正アクセス行為の禁止等に関する法律 (スコア:3, 参考になる)
不正アクセス行為の禁止等に関する法律 [e-gov.go.jp]
不正アクセス行為の禁止等に関する法律骨子 [soumu.go.jp]
不適当と思われる管理者に罰則 (スコア:3, すばらしい洞察)
以下を守るべし、という法律がないので。
たとえ出来たとしても、Windowsのパッチを当てていないエンドユーザを刑事罰の対象にするのは無理があると思います。
インターネットは電気、ガス、水道と同じく、社会のインフラとなっていますので、
その仕組みを知らない一般の人でも安全に使用できる仕組みを、行政から提供すべきだと思います。
極論ですが、グローバルアドレスが割り振られた機器の管理には免許が必要・・・とか。
技術者以外に分かりやすく問題点を伝えないといけない (スコア:3, 参考になる)
・被告人が取得した情報、侵入手段を公開した点は問題
・サーバのセキュリティが最低水準だったのは大問題
という2つの問題をはらんでいるわけですが、技術者以外には後者の問題の深刻さが伝わっておらず、今回の判決でも後者の問題は全く考慮されず、多くの技術者がサーバのセキュリティやサーバの動作の仕方についてさかんに発言する事態になっているのだと思っています。
ただ、技術者の発言が http と ftp が違うなどの技術的な発言が先行してしまい、畑違いの人間には分かりにくく、結果として今に至るまで技術者以外には問題の深刻さが理解されていないという悲劇的状況になっているのではないでしょうか?
という反省をしたので技術者以外に向かって説明する努力をしてみようと思います。
最大の問題は今回の事件においてサーバ(CGI)は本来持っているべきセキュリティに関する機能を全く持っていなかった事です。「こんな状態なのに今回の事件を不正アクセスと認定するのは止めてくれ」というのが主張の主旨になります。
サーバ(CGI)のセキュリティが何故重要なのか?というと、それは HTML ページがホームページ訪問者が見ているものとして動作するのに対して、サーバ(CGI)は「通常は」ホームページ訪問者ではなく、ホームページ制作者が操作しているものとして動作するからです。
「通常は」と言ったのは、セキュリティを高めるためにホームページ訪問者が操作しているものとして動作させる事ができるにも関わらず、それだとホームページ制作者やプログラム作成者にとって不便だから「通常はそうしない」という事情があるからです。 当然自分たちの都合でセキュリティを下げているわけですから、その代わりにプログラム作成者が CGI の中でセキュリティがきちんとしているようにプログラムを作るわけです。いや、作らなければならないのです。
ここまででだいぶ見えてきたのではないかと思いますが、上記プログラムによる処理がされていない=全くセキュリティに関する処置が施されていない状態は、プログラム作成者こそが大問題であり、そのプログラム作成者を結果として擁護してしまう「今回の事件も不正アクセスね」という判決は大変困った判決になるわけです。
#少しは技術者以外にも伝わるとといいなぁと思いつつ噛み砕いて説明してみました
#./ で発言する意味は全くないかもしれませんが、活発なのがここくらいなので(苦笑
別のデーモンで認証していればいいらしい (スコア:2, おもしろおかしい)
すごいな~,remote exploitをつついてサーバ乗っ取るのはsshdかtelnetdの認証回避だから不正アクセス禁止法違反ともいえるわけだ.
サイバーノーガード強し…
Re:別のデーモンで認証していればいいらしい (スコア:5, すばらしい洞察)
件のデータは、「通常のアクセス方法は、FTPを使用するものとする」とどこかに明示されていたんでしょうか?
もし明示の必要なく「通常のアクセス手段」を後出しできるなら、適当なデータをHTTPサーバで公開しておいて、閲覧に来た人を片っ端から「キミキミ、このファイルはFTPでアクセスしないと不正アクセスだよ」と脅す事も可能?
# 誰か完膚なきまでに否定してくれませんか…
Re:別のデーモンで認証していればいいらしい (スコア:1)
最近のサーバーは未知のプロトコルと話できるのか
Re:別のデーモンで認証していればいいらしい (スコア:2, すばらしい洞察)
ただ、あの文面だと確かに、管理者の想定外アクセスは不正アクセスだとか、FTPで認証しとけばHTTPで認証しなくてもOK、ノーガードにお墨付き、という意味に見えるので、裁判所ももう少し判決文の文面を練りこむべきではなかったかと。
そうしないと、日本のIT系技術はどんどん萎縮するばかりではないかと。
Re:別のデーモンで認証していればいいらしい (スコア:1, すばらしい洞察)
茶番 (スコア:2, 興味深い)
Re:裁判官は事実関係を無視している (スコア:2, 興味深い)
であって、ヨセフが対処を中途半端にしていたために、ACCSまでは
脆弱性が伝わっていなかったという話たったと思いますが。
情報の価値 (スコア:2, 興味深い)
事前調査はどこまで許されるのか? (スコア:2, 興味深い)
だれだって空騒ぎは起こしたくない。管理者に連絡するなどの行動に
移る前に、ある程度、本当にまずい設定になっているという確証を得たい、
と考えるのは自然なことだ。
その事前調査の過程で、たとえば意図した通りの POST リクエストを発行
するために HTML フォームを独自作成したり、その結果取得した CGI スクリプト
を読む、というのは、科学者として当然やるべきことをやる、という範疇から
逸脱しているようには思えない。
もし仮に、調査の過程で /etc/shadow みたいな情報を取得して、
暗号化されたパスワードを総当たりで解読したなら、既存の法律に
触れることを予想すべきだ。だがこの裁判で問題となっている調査
行為には、そのようなあからさまな不法行為が見当たらない。
「FTP ではパスワードで保護されていた」というのは筋の通らない主張だ。
じゃあ FTP がパスワードなしで読み出し放題になっているマシンでも、
AppleTalk や DECNET かなんかでパスワードがかかっているという理由だけで
FTP 経由のあらゆる事前調査が不正アクセスになってしまうと言えるのか?
そんな考え方は、社会のセキュリティ向上にとって害でしかない。
それを踏まえ、今回の判決の少なくとも一部は間違っていると認めた上で、
セキュリティホールに関する科学的な事前調査はどこまで許されるのか、
その通知方法や、(通知が効果を上げなかった時の)公共への問題提起の
方法はいかにあるべきか、という問題が未解決であると認めざるを得ない。
Re:事前調査はどこまで許されるのか? (スコア:3, 参考になる)
ソフトウェア作成者(特にフリーやシェア)、サーバー管理者などでバグやセキュリティホールが甘いところを指摘しあうのは自分が鯖管してた10年以上前からありました。ソフトに関してはもっと前からで気づいたころには草の根でも存在してました。
#今でもバグ報告掲示板などがたくさん機能してますよね
そしてそれが今まで非常に有益なものでした。
まともに外部に公表している鯖やシェアやフリーでソフトを出している人ならそれは当たり前の世界でした。
今回の判決はその方法のひとつを有罪の理由に挙げている、それがこんな200レス超える状態になる原因だとおもいます。
公表の仕方は十分問題になっってしかるべきでしょう(公表前に手順踏んで報告していないなら)でも技術的方法を区別してもらわないと困るんです。
技術者の皆さんが問題視してて騒いでるのは自分たちも「セキュリティホール発見」や「バグ発見」のメールを出したりもらったり、「対処完了ありがとう」ってのを出したりもらったりしてきた経験があるからです。
ガーディアンエンジェルなんて新しいもの出してこなくてもいい話です。技術者気取りかこのやろぉ!?が正解でしょ。そっちのほうが歴史も長いし・・・・
これから方向性としてソフトやバグ報告掲示板や添付書類に「バグやセキュリティホールがあって指摘しても違法行為ではありません起訴もしませんどんな操作や入力もがんがんやってください」とでもかかんといけないのか?
個人的にですが今回の件は
技術的アプローチ、セキュリティホールを探ったりする行為を司法判断する必要なし。
公表の仕方、それによってACCSに対して必要以上の損害を与えた?これは司法判断すべき。
損害を与える意思などだけを判断すればいいのに、技術的手法を挙げたんでいい迷惑だってかんじです
Re:事前調査はどこまで許されるのか? (スコア:2)
こういう声を/.Jでは何度か目にしましたが、自分に管理者としての経験が無い為か、今一つピンときません。
もし「お宅の会社に爆弾が仕掛けられてるかもしれないよ」と警告されたら、即座に対応しますよね。警告されて放置して、爆破されたら目も当てられないですし。で、その結果警告が外れだと判明したら、次に警告者が悪意を持って嘘を伝えた可能性を有る限りの情報で判断し、その可能性を認めれば制裁(まあ警察に通報でしょうね)を検討、と。
セキュリティについての重要な指摘も同じ要領で対応(まず即調査)するもんなんじゃないの?というのが私の考えです。
何故セキュリティに関して「疑いレベルなら優先順位は最低」とまで楽観的なのでしょうか?
> セキュリティーホールやバグでチェックもせずにメール出す
私なら自分の安全を考えてそうしますね。
迂闊に企業の機密(かもしれない)情報にアクセスして、もしあらぬ疑いをかけられたらどんな被害を受けるか分からないので。
また報告先が自分の利害が絡む相手である場合、上述したような「悪意の可能性」が高まりそうなので、報告自体しません。
以上は報告するかどうかの話、以下は「実験してから報告する」かどうかの話になります。
>疑いで報告されても困ります。
そうなんですか?企業側としても、大事な情報にはアクセスされない(つまり「疑いだけ」の段階で報告される)にこしたことは無いのでは?「やってみたら出来た」という報告が来て、実際そのアクセスの形跡がある場合、報告者がその行為の結果を悪用しないか(または既に悪用していないか)を調査する必要がでてきますよね。
# アクセス記録が取れていない or 当てにならない or 報告者以外にアクセスされた形跡がある(!)、という状況だと、報告者のアクセスの形跡はそれに紛れますが。
# ちなみにこのストーリの先の方で「実験しても良いかどうか、企業側にお伺いを立てる」なんて話もありました。が、それはまた別の話。
Re:事前調査はどこまで許されるのか? (スコア:2, 参考になる)
>者がらみのトラブル対処、そんな地雷たくさんの中仕事してると
>かも知れないレベルの指摘は後回しです
なるほど…セキュリティの欠陥を抱えるリスクと、管理体制を充実させるコストとを天秤にかけて、「余力がない状態が常、という程度に管理者を置こう」と判断をする会社も有るのですね。
他所に「片っ端から対応できるだけの充分な管理体制を布くようにしている」と匂わせるコメントも有るので、それぞれ一例として参考にさせて頂きます。
>>>私なら自分の安全を考えてそうしますね。
>自分も今回の判決の内容読んだらそう思えました
ちなみに私は不正アクセス禁止法施行前からそういう考えです。
・法律の知識には自信が無いので、他のどんな法に触れてるかも判断できないし
・「こいつは変な事をする奴」と相手にマークされても嫌だし
・「実はもうウチに不利益な事をやらかしてるんじゃないか?」と身辺を探られるのも嫌だし
・他いろいろ
・そもそも上記のような心配を抱えてまで他人に親切する事も無いや。
というわけです。 # ヘタレ?ええ、そうです :-)
ところで
>>>実際そのアクセスの形跡がある場合、報告者がその行為の結果を悪用しないか(または既に悪用していないか)を調査する必要がでてきますよね。
これの実体験をされた方(企業側でも報告者側でも)はみえませんかね?
誰かが実験済みの状態で報告してきた場合、企業側がどう対応するのか、興味があります。
# 確か昔の office-ACCS 関連のストーリで、”実際にofficeから指摘を受けた事がある”と言ってたACさんが居たような…
URL? (スコア:1)
URLじゃなくてHTMLじゃない? URL書き換えがダメなら、連番エロ画像やエロストリーミングファイルのぶっこぬきが出来なくなるじゃあないか!
# 自分はやったことありませんよ
どっちにせよM-FalconSkyさん [srad.jp]がコメントしてるように試験方法としては妥当なやり方だと思うな
Re:URL? (スコア:1, 興味深い)
穴があるかも、と気づいて 試しに実際に穴の向こうを覗く ってのはやっぱり悪い事なんじゃないの、と。
かと言って「試してないから推測だけど、穴あるんじゃないの?」と尋ねた所で相手にしないとこの方が多いだろうし、
相手にしてもらうために「穴がある可能性を当人に伝えました」とWebで宣伝したりしたらそれこそ訴えられそう。
Re:URL? (スコア:2, 参考になる)
第一通報者 (スコア:2, 参考になる)
実際犯人であることが多いらしい。
犯罪を見つけても、脆弱性見つけても、放置プレイが一番の正解かな。
自分を守るために。
不正アクセスだろうが何だろうが (スコア:1, 興味深い)
外部に公開すべきでない情報を保護するための技術的に妥当な
対策を引き続き怠らぬようお願いしたい。
不正アクセスであろうが何だろうが、漏洩した情報をすべて
回収できるようになった訳ではありませんので。
Re:不正アクセスだろうが何だろうが (スコア:3, おもしろおかしい)
Re:不正アクセスだろうが何だろうが (スコア:3, 興味深い)
今回、ここがもっとも判らない所
httpでのアクセス経路にてデーターが取り出されて居るのだから、httpでのアクセスに対して、アクセス制限がかけられて居たかどうかを証明し、判断するのが普通だと思うのに
なんか肩すかし食らってるようにしか思えないですよね
裁判官に知識が無いのがいけないのか、弁護人が説明できなかったのか、それとも検事がうまかったのか..
いったい何が起こったのだろう(苦笑)
Re:不正アクセスだろうが何だろうが (スコア:5, 参考になる)
|
|番台で女性かどうかチェック
|
女風呂+女体(個人情報)
| ↑
塀 |風呂桶(cgi)を積み重ね(パラメータ改変)て塀の上から覗いた
| |
男風呂+何かの花園(httpで閲覧可能なもの)
↑
|番台で男性かどうかチェック
|
男風呂の入り口(http)
「風呂桶が積み重ねられるのが問題」とか「塀の上に何も無いんだから覗かれて当然」とか言われても・・・ねぇ?
Re:不正アクセスだろうが何だろうが (スコア:3, 興味深い)
「不正アクセス禁止法」(これは通称ですが)という名前にも引きずられたのかもしれませんが、「識別符号」なる概念が基本に置かれる規定振りを見るかぎりでは、この法律の保護する利益範囲はもっと狭く、要するに認証機構が正常に動作することでしょう。とくに3条2項の構成では、1号で他人の識別符号の使用を禁止した後に、問題となった2号が来ているので、他人の識別符号の使用に準じるような形態での「情報(中略)又は指令を入力」することが想定されていると考えるべきです。したがって、ここでいう情報または指令の入力は、なんらかの識別符号を入力した場合と大体において同一の結果をもたらすものであることが必要であると解すべきです。
# この解釈は要するに、おそらく高木説 [takagi-hiromitsu.jp]と結論において同旨となります。
この解釈では、例えばnamedの脆弱性を突いてシェルを実行し、リモートからログインした場合には、不正アクセス禁止法違反の罪に当たる可能性があります。つまり、一般に、ネットワークから認証を受けてアクセスできる誰かの権限でリモートから実行可能なシェルの類を実行できる状態とすれば、同法違反の罪に当たる可能性はあります。
一方、Windows NT 4.0上において、システムアカウントで動作するSQL Serverの脆弱性を突いて同アカウントで動作するシェルにリモートでアクセスできる状態にしたときは、ネットワークからシステムアカウントでログオンすることができず、またAdministratorsグループのアカウントも含めどのアカウントとも権限の内容が異なることから、同法違反の罪には当たらない可能性があるということになります。
この解釈によると、本件では、被告人のした行為による結果として獲得した権限ないし能力は、ftpdでいずれのユーザとしてログインした場合に獲得できるサービスの内容よりもはるかに狭く、任意のユーザとしてログインした場合と結果がほぼ同一とはいえないので、不正アクセス禁止法違反の罪にあたらず、無罪とすべきものと考えられます。
Re:不正アクセスだろうが何だろうが (スコア:2, 興味深い)
また、上記規制が有ると判断された上で、httpのルールに反してアクセスされたと言う事が判断され有罪となったのなら問題無いでしょう。
今回、httpとは別にftp用で公開しているアクセスポートに対してアクセス規制していれば、http用に公開しているポートにアクセス規制して無くても、それはアクセス規制していることとなると判断されてしまっていると
で本当にそれがhttpに対するアクセス規制と判断されて良いのでしょうか?って事です。
Re:不正アクセスだろうが何だろうが (スコア:2, 興味深い)
というわけで最近話題の 受け入れテストセキュリティチェックリスト for WEBアプリケーション [geocities.jp]というのはいかがでしょう。
このくらいは当たり前で最低線?それともいい線いってるのでしょうか? 技術者向けじゃなくて、発注企業側向けのこの手の参考書籍ってあっても良いように思います。
といいつつ自分自身はこの辺はさっぱりなんで、エロい方の突っ込み、参考図書紹介などお願いします。
Re:不正アクセスだろうが何だろうが (スコア:2, 参考になる)
内容としては最低限この程度はクリアしないと守ってるとは言えませんよというほど、基本的なものです。今回の事件も最低限すら守っていなかったために発生したものですから技術屋さんとしては恥ずかしいと思わないといけない程度のレベルのものです。
確かにどの程度のチェックをやってれば安全だよと言う指針がないので受け入れテストをやる側も知らないといけないよねっていうことで皆さんの協力を得て最低限のレベルのものを作ったものです。
発注側企業向けの資料は今のところないですが、AppScan、WebInspect、ScanDoといったツールを使えばこの程度のチェックはやってくれます。もっともこれらツールのチェックを通ったから安心だと言えないんですけど…抜け道はいくつかありますから。
URL推測が犯罪なら (スコア:1, おもしろおかしい)
ftpでファイルの管理していた場合、これも犯罪ということになるのか知らん。ログから追跡されて不合格にとか。
新手のワンクリック詐欺として (スコア:3, おもしろおかしい)
あなたのIPアドレス ほにゃらら
あなたのリモートホスト ほにゃらら
あなたのプロバイダ ほにゃらら
今回のあなたのアクセスは当サーバーで想定していないアクセスです。
これは不正アクセス禁止法で規定されている特定利用の制限に該当する行為であり、同様の行為を行った者が有罪判決を受けています。
1週間以内に下記口座に2万円を振り込めば今回のアクセスによって刑事告訴を行うことはありません。
っていうのが流行りませんかね。流行りませんか、そうですか。