ASKACCS不正アクセスの私的な見解

さて、ちょこちょこと意味不明な意見を挙げていたASKACCSに関する見解ですが、よしつねの私的な意見をまとめてみたいと思います。
ここより遥かにマシ…というより比較にならない程、的確なコメント、情報収集手段は他にごまんとあります。特に下記のリンクはお勧めしておきます。

尚、以下に書かれているものに関しては、法的な論拠は何処にも存在せず、加えて調査、知識不足も当然の如くであり、更には思い込み、偏見など当然の如しです。

  • 君は何者なんですか?
    • よしつねは某社に派遣として就業しており、更にセキュリティ関連の業務で某所にて、セキュリティの新しい仕組みを考えています。
    • 今回の件との関連は全くといって良いほどありません。
    • しかし、職業柄、それからペネトレーションテストを実際に行なう身として、無視できないと思いました。
    • 理由は他にも。報道の変更っぷり、逮捕の正当性etcetc...
  • office氏XSS調査についてどう思うか?
    • 方法そのものには全く問題が無いものとよしつねは捉えている。
    • URLの一部を変更することなど、想定の範疇であってしかるべきだと思う。
    • 加えて、Webアプリケーションの脆弱点なぞ「あって当然」であり、相応のリスクを想定するものだと思う。
    • よって「わざわざ確認してくれている」と僕は考えている。
    • まぁ、モノには言い様というものがあるとは思うが…。
    • 正直、この事件の前までoffice氏は「歳食ってても30前」と思っていた。
  • office氏ASKACCS脆弱点公開および個人情報漏洩に関してどう思うか?
    • 公開そのものに関しては、十分な周知期間があったと思う。
    • ACCSに対してはZero-Day Exploit的になったが、これはファーストサーバの対応が全ての元凶であると思う。
    • 個人情報の流出は社会的制裁が必要と思われる。幾ら何でもマスキングもしないで個人情報を晒すのは問題があると思う。
  • ACCSの対応に関してどう思うか?
    • ハッキリ言って逆ギレもいいところ。個人情報の扱いというものを再度勉強して貰いたいと思う。こんなところが著作権管理なぞ著作権ゴ口(以下略
    • 管理責任に関しては微妙なところだが、最終的に責任を取るのはACCSであると思う。
    • ASKACCS著作権違反内部告発用のサイト、リーク用のサイトと認識している。そこで過大な個人情報要求は無かったのか?
    • メール、匿名電話、その他の情報収集手段だってあるし、サイトを立ち上げて個人情報を収集するという事は「積極的に個人情報も収集する」という事と同義であると考える。
    • 個人情報の漏洩に対して、言及するのは当然だが、きっかけを作ったのはACCS以外、何者でもない。
  • office氏の処遇についてどう思うか?
    • 不正アクセス防止法違反、威力業務妨害というのは適切では無いと思う。
    • 威力業務妨害に関しては、office氏と関係各所のやり取りをリアルで見ていないので不明であるが、事実ならばACCSoffice氏と接見した時に対応するべき。
    • 不正アクセス防止法違反に関しては、法的解釈が明確化されていないが、焦点は個人情報の入手に関して裁判所がどう捉えるかによると思う。
    • TBCの個人情報流出やらその他諸々を考えると、作為的なものを感じるのは自然だと思うのだが…。
    • 個人的には「CGIの欠陥による情報漏洩」は「サーバ管理/サイト管理/サイト所有者の責任」となるべき。「サイトを挙げなければいけない」という法は無い。
  • 本件の報道に関してどう思うか?
    • 「ネット上での現実」というのを意識していないと思う。
    • 程度の差はあるが、押しなべて「不正アクセスを行なった犯罪者」という扱いは非常に問題があると思う。
    • 特にひどいのがNHK、TBS、読売。ワンサイドな見解、調査不足…何らかのバイアスを掛けている/掛けられていると思わざるを得ない。
    • この件と文化庁長官の関連は「肉親」という事以外、何も無いしそれが問題となるのだろうか?
    • こうした面は「真のディジタルディバイド」と考えるべきだと思う。使える/使えないなぞ、それに比べたら大した問題ではないように思える。
  • ファーストサーバの対応についてはどう思うか?
    • 最悪。
    • 長期的に考えると、脆弱点を修正の後公開、謝罪というプロセスが何故取れなかったのか?短期的には得をする可能性を否定しないが、長期的には自滅以外の何者でもない対応。
    • アップデート推奨などと言えば、動作に問題が無い限り、運用中のサーバであればまず、アップデートは後回しにされる。
  • ヨセフアンドレオンの対応についてはどう思うか?
    • 関連三社の中で最も稚拙で論ずるに足らない対応である。
    • ACCSに対して、相応の対応、脆弱点の申告、アップデートの提言などヨ社の担う役割は大きいと思われる。
    • そしてあの声明文だ。あんな戯言をネットで平気で挙げて、そして臆面も無く速攻ページを消すという醜態。
  • まとめ?
    • どうも意図的というか作為的な展開が腑に落ちない。ネタのリークされたタイミングが良すぎる。それから報道各社の反応が良すぎる。
    • サイバー犯罪条約批准との関連を取り沙汰されているが、そこまではどうなのか…?
    • いずれにせよ、逮捕の名目は的外れであると思う。
    • ACCSの対応は最悪である。脆弱点の存在するサイトを平気な顔で運営している組織に対し、情報をリークするなど到底出来ない。
    • ファーストサーバも同様だが、公表の仕方さえ変えていれば、ここまでの問題にはならないと思われる分、罪は重いと思う。
    • ヨセフアンドレオン…この程度の現実認識能力しかない会社にサーバ運用を任せるなど自殺行為。だって問題あったら「奴は犯罪者だしうち被害者」と言い逃れると予測。

…とまぁ、長文をこさえてみたものの、事態はまだ流動的であり、事の推移を見守り続ける所存であります。