水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2005年のえび日記 > 2005年3月 > 2005年3月25日(金曜日)

2005年3月25日(金曜日)

判決

ちせさんの傍聴記録が出ていますが、非常に興味深い内容です。

・ウェブサーバの設定ではCGIは処理を実行するようになっており、FTP以外で読み込みが可能なものではなかった。つまりプログラムの瑕疵や設定の不備がなければFTPでしか見られないものであった。

このあたりを見ただけでも他の報道と全く精度が違います。これは csvmail.log の閲覧ではなく csvmail.cgi の閲覧が問題にされているのだと分かります。

以下はちせさんの主観的な感想なのですが、興味深いので引用しておきます。

おそらく、これは判決を聞いていての私の主観に過ぎないけれど、「仮に脆弱性を利用した不正アクセスを行ったとしても、誰にも公開せず管理者にすみやかに伝えて脆弱性の修正を促し、それによって問題が解決したならば罪には問われない」ということのように聞こえました。公判後にお話させていただいた方も「正当な問題指摘の範囲内であったなら、緊急避難の場合と同じで、違法性は阻却されるのではないか」とおっしゃっていましたが、それと同じような感じです。もっともこう書いたところで単なる印象に過ぎませんので、罪にはならないと信じて試していただいたりしたら困るのですが、そういう印象は強かったです。

※はっきり言ってしまいますが、「ソフトウエア等脆弱性関連情報取扱基準」(平成16年経済産業省告示第235号) の届出制度を利用した脆弱性の届出を行うということが、まさにこの「罪にはならないと信じて」試すこと、そのものです。「信じた」人は日本にすくなくとも 30人います。しかし 30人しかいません (30人というのは 2004年12月現在の数字なので、今ではもう少し多くなっているでしょう)。

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件

最近の日記

関わった本など