ASKACCS不正アクセスの私的な見解
さて、ちょこちょこと意味不明な意見を挙げていたASKACCSに関する見解ですが、よしつねの私的な意見をまとめてみたいと思います。
ここより遥かにマシ…というより比較にならない程、的確なコメント、情報収集手段は他にごまんとあります。特に下記のリンクはお勧めしておきます。
- ACCS不正アクセス 京大研究員逮捕事件のテンプレ
- http://www.geocities.jp/officeandaccs/index.html
- 2chのテンプレページ。非常に良くまとまっている。
- 「ACCS個人情報漏洩者 逮捕事件を私的に考える」
- http://stakasaki.net/accs_sec/accs_sec.html
- リンク集が秀逸。このページにリンクされたので、これを書いています。
尚、以下に書かれているものに関しては、法的な論拠は何処にも存在せず、加えて調査、知識不足も当然の如くであり、更には思い込み、偏見など当然の如しです。
- 君は何者なんですか?
- よしつねは某社に派遣として就業しており、更にセキュリティ関連の業務で某所にて、セキュリティの新しい仕組みを考えています。
- 今回の件との関連は全くといって良いほどありません。
- しかし、職業柄、それからペネトレーションテストを実際に行なう身として、無視できないと思いました。
- 理由は他にも。報道の変更っぷり、逮捕の正当性etcetc...
- office氏のXSS調査についてどう思うか?
- 方法そのものには全く問題が無いものとよしつねは捉えている。
- URLの一部を変更することなど、想定の範疇であってしかるべきだと思う。
- 加えて、Webアプリケーションの脆弱点なぞ「あって当然」であり、相応のリスクを想定するものだと思う。
- よって「わざわざ確認してくれている」と僕は考えている。
- まぁ、モノには言い様というものがあるとは思うが…。
- 正直、この事件の前までoffice氏は「歳食ってても30前」と思っていた。
- office氏のASKACCS脆弱点公開および個人情報漏洩に関してどう思うか?
- 公開そのものに関しては、十分な周知期間があったと思う。
- ACCSに対してはZero-Day Exploit的になったが、これはファーストサーバの対応が全ての元凶であると思う。
- 個人情報の流出は社会的制裁が必要と思われる。幾ら何でもマスキングもしないで個人情報を晒すのは問題があると思う。
- ACCSの対応に関してどう思うか?
- office氏の処遇についてどう思うか?
- 不正アクセス防止法違反、威力業務妨害というのは適切では無いと思う。
- 威力業務妨害に関しては、office氏と関係各所のやり取りをリアルで見ていないので不明であるが、事実ならばACCSはoffice氏と接見した時に対応するべき。
- 不正アクセス防止法違反に関しては、法的解釈が明確化されていないが、焦点は個人情報の入手に関して裁判所がどう捉えるかによると思う。
- TBCの個人情報流出やらその他諸々を考えると、作為的なものを感じるのは自然だと思うのだが…。
- 個人的には「CGIの欠陥による情報漏洩」は「サーバ管理/サイト管理/サイト所有者の責任」となるべき。「サイトを挙げなければいけない」という法は無い。
- 本件の報道に関してどう思うか?
- ファーストサーバの対応についてはどう思うか?
- 最悪。
- 長期的に考えると、脆弱点を修正の後公開、謝罪というプロセスが何故取れなかったのか?短期的には得をする可能性を否定しないが、長期的には自滅以外の何者でもない対応。
- アップデート推奨などと言えば、動作に問題が無い限り、運用中のサーバであればまず、アップデートは後回しにされる。
- ヨセフアンドレオンの対応についてはどう思うか?
- 関連三社の中で最も稚拙で論ずるに足らない対応である。
- ACCSに対して、相応の対応、脆弱点の申告、アップデートの提言などヨ社の担う役割は大きいと思われる。
- そしてあの声明文だ。あんな戯言をネットで平気で挙げて、そして臆面も無く速攻ページを消すという醜態。
- まとめ?
- どうも意図的というか作為的な展開が腑に落ちない。ネタのリークされたタイミングが良すぎる。それから報道各社の反応が良すぎる。
- サイバー犯罪条約批准との関連を取り沙汰されているが、そこまではどうなのか…?
- いずれにせよ、逮捕の名目は的外れであると思う。
- ACCSの対応は最悪である。脆弱点の存在するサイトを平気な顔で運営している組織に対し、情報をリークするなど到底出来ない。
- ファーストサーバも同様だが、公表の仕方さえ変えていれば、ここまでの問題にはならないと思われる分、罪は重いと思う。
- ヨセフアンドレオン…この程度の現実認識能力しかない会社にサーバ運用を任せるなど自殺行為。だって問題あったら「奴は犯罪者だしうち被害者」と言い逃れると予測。
…とまぁ、長文をこさえてみたものの、事態はまだ流動的であり、事の推移を見守り続ける所存であります。
食い物の恨みは恐ろしいといったけれど…
ここまで来ると、キレる/自壊する動機を探しているようにも思える。
- 「豚めし」売り切れに激高、店員に暴行した疑いで男逮捕
先々週の金曜のこと
現在鋭意執筆中です。