2004年8月22日(日曜日)
他人に見られても OK なパスワード
ともちゃ日記 (tomocha.net)の 個人情報の取扱 (tomocha.net)という話、送られてきたハガキの表にくっきりと ID、パスワードが印字してあってずっこけたという話なのですが、先方の見解 (tomocha.net)が載せられていますね。
確かにID・パスワードという表現をしておりますので、これを知り得た第三者が○○○様のさまざまな情報に接触できるとお感じになられたかと存じますが、このID・パスワードを使用しての操作においてそのような個人情報を閲覧したり引き出すなどの行為は一切できない状態で運用しております。ID・パスワードで閲覧できるのは○○○○様のセミナーの案内であり、そのエントリー画面です。弊社が管理する、個人情報とは切り離した状態での運用ですので是非ともご安心いただきますようお願い申し上げます。
これ、この ID とパスワードは第三者に見られても OK なものという見解のように読めます。ところで、「不正アクセス行為の禁止等に関する法律」二条二項では、識別符号というものを以下のように定義しているわけです。
一 当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号
二 当該利用権者等の身体の全部若しくは一部の影像又は音声を用いて当該アクセス管理者が定める方法により作成される符号
三 当該利用権者等の署名を用いて当該アクセス管理者が定める方法により作成される符号
管理者側から「第三者に見られても問題ない」という見解が表明された場合、それは明らかにこの二条二項一号の要件を満たさなくなりますし、他の要件も満たしませんので、識別符号に当たらないと言えそうです。
……他人様の識別符号を使って特定利用の制限を解除することは禁じられているのですが、そもそもそれが「識別符号」であるかどうかを見分けるのは存外難しいのかも知れないと思いました。
- 「他人に見られても OK なパスワード」にコメントを書く
SQLインジェクションねた
少し前に「やじうま Watch」でも紹介されていましたが、「某ネットバンクでのお話 (d.hatena.ne.jp)」。私も銀行系のセキュリティホールを見つけた経験は一応ありますが、こいつぁ乙女のあこがれ「ダイレクトSQLコマンドインジェクション」ですよ。
しかし、これが現実に起きているという確証はない。
君のような事をする者が他に居るとでも言うのか?
そして「実害なし」きたー。
しかし、こんな無茶苦茶な話に全く驚きを感じない自分が悲しいですね。
関連する話題: セキュリティ / SQLインジェクション
- 前(古い): 2004年8月21日(Saturday)のえび日記
- 次(新しい): 2004年8月27日(Friday)のえび日記
