ACCS騒動の続き

Winny事件とも似たような話ですが、面白いネタがあったのでご紹介。

検察官を翻弄しまくったoffice氏の奮闘

うーん、くだんのoffice氏は相当頭が切れるなぁと思いました。物事の是非や賛否両論はともかくとして、ここに記載されているだけの情報でもキレモノの匂いがプンプンしてますね。

ホントに大雑把な話をすれば、元の事件ってCGIの引数変えたら個人情報にアクセスできたってだけ。これが不正アクセスになるかならないかの問題。だからやったという行為に関してはoffice氏も認めているわけで。

おそらく検察側もこれが不正アクセスにならないんじゃないかと思っている節がありますね。それに検察側もかなり勉強してきていると思います。「サーバログに残ってるんですよ?」という辺りと「ログが真正だと認められれば」という所。アクセスするとログが残る事、そしてログはいくらでも改竄ができる事がわかっている。そして、ログが改竄されていないという証拠は出せないことも。(タイムスタンプですら改竄できるからね)

さて。

この裁判、個人情報を公開してしまったという点については罰せられるけど、行為については不問になりそうな気がします。そもそもCGIを改竄とか言ってるけど、やった事って引数を変えただけでしょ?と。それで見えたんなら、CGI自体の制作者の責任だと思う。まず個人情報を取り扱っているんだという意識が無いよね。汚染チェックくらいしろよって思う。ファミリー企業にでも作らせたんか?と思うくらい。

自分も、かなり昔にとある企業のCGIを作ったけど個人情報の取り扱いには凄く気を使って作った。汚染チェックからパスワード認証方法を途中で別のパターンに切り替えたり。個人情報はサーバー上に溜まるけど、http経由ではこれない位置に保存できるようになっている。IDとパスワードで認証されるけど、認証用のファイルの中身には暗号化されたパスワードしか書いてないので万一漏れてもおそらく平気。そこから先は何もできないし、そもそも有効期限付き。

もっとも自分の場合、元がハッカーの真似事みたいなスクリプトキッズ上がりなので、どーやったら攻撃されるのかとかここが空いてないと辛いってのがわかるからこそなんだけど。にしても、ユーザーの動きを想定してモノを作るって当たり前の事だと思うんだけど違うのかな?

自分としては、office氏にも47氏(winny事件)にもがんばって欲しいと思う。office氏の場合は公開した行為は誉められたものじゃないけど、本来処罰の対象となるべきものが違う。本来は、CGIの制作者とその会社を選んだACCSの担当、そしてそれを他人の責任としてなすりつけたACCSという会社が糾弾されるべきだと思う。

知識が無いから知らなかった?無知は罪ですよっと。そもそもあの個人情報自体、集める必要性が?なものでしたしね。なんでただのACCSへの報告に個人情報、しかもかなり細かいのが必要なのさと。

「ACCS騒動の続き」への5件のフィードバック

  1. 相手が無知だからといって、犯罪を行えば裁かれるわけで。
    今回はそれが犯罪といえるかわからないから争っているわけですが。

    余談ですが、この手の仕事してる人の95%(控えめに言って)は無知ですからねー。
    だってセキュリティーに関して「無知でない」状態って
    言い換えれば「ほとんど完璧」な状態のことであるからして、
    特別手当でももらわない限りそこまでやろうと思えないわけで。

    実際あなたが自分がハッカー上がりだからセキュリティ意識が強いと自覚しているように、
    最初から知識欲旺盛な人じゃないと勤まらないです。

  2. なるほど。。確かに仕事としてやると、より深く掘り下げようと思わない限り無理ですね。\

    ただ、製作側に個人情報を扱っているんだという意識の低さは否めないと思います。やりようはプログラムだけじゃなくてサーバー側の対策方法だってあるわけですし。\

    なので、「犯罪といえるかわからない」という部分に関して言うならば、office氏の行動の通り個人情報を公開してしまった事は犯罪に当たり、サーバーへのアクションは犯罪では無いと私は思います。

  3. 実際の所、本当に難しいですよセキュリティーに関して無知でない状態ってのは。
    ハードウェア、ソフトウェア、プロトコル、プログラミングといろいろな分野があって、
    さらにその中で細分化されている分野があって(たとえば言語ならPerl,PHPなど)、
    そのすべてにおいて知っていなければならないんですから。
    一つでも不得意分野があれば、その分野のコミュニティにおいては常識であるセキュリティ対策
    に対してすら知識が欠如してしまい、結果的にセキュリティに対して無知な状態になってしまう。

    今のところ技術者同士が無知を補い合って会社単位として無知でない状態を作るのが精一杯ですが、
    これもプロジェクト単位で考えるとよほどの予算がない限りかなり難しい状態です。
    特に中小企業では絶望的といえるかと。
    ことさらにセキュリティ無知を責めるのも勘弁してやって欲しいです。お願い。

  4. 確かにその通りですね。立場が変わると色々な見方があるという事を忘れていました。自分もCGIとPHP、後はネットワーク知識なのでSQLやらはわかりません。\

    後は株式会社ラックのような、セキュリティ会社に依頼するのもひとつの手でしょうかね・・・。自分の取引先も頼んでセキュリティ調査してもらいましたが、思ってもみなかった所にセキュリティホールが発見されました。\

    技術的にも予算的にも厳しいのは重々承知なのですが、これからはもっともっとセキュリティに対する認識を強化していかなくてはいけませんね。自分も然りですが・・・

  5. そうですね、サーバ屋さんやネットワークの会社というレベルではダメで
    セキュリティの専門会社というレベルまで行かないと満足できないのが現状でしょうね。

    ぶっちゃけ世間がもっとセキュリティはコストがかかるということを
    理解してくれないといつまでも責任のなすりつけあいになりそうです。
    どう意識の差を埋めていくかが今後の課題の一つです。

    今回はつたない意見にお付き合いいただいてありがとうございました。

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください