2005年3月28日(月曜日)

オレオレ証明書を信頼する

PKIよくある勘違い(8)「自分専用なのに第三者から証明書を買えというのはおかしい」 (takagi-hiromitsu.jp)。オレオレ証明書を使わざるを得ない場合、Firefox だと個々にオレオレ証明書をインポートできるというお話。IE の場合は……。

ちなみに、ここまでの話はブラウザが Firefoxの場合であるが、Internet Explorerの場合はどうかというと、なんと、この機能が存在しないのだ。

以上、PKIよくある勘違い(8)「自分専用なのに第三者から証明書を買えというのはおかしい」より

そうなのですよね。私も、あるに違いないと思っていたのに見つからず、残念な思いをしたことがあります。結局、腹をくくってルート証明書を入れて現在に至っていますけれど。

ちなみにこのとき、「一部の環境では何故かオレオレ警告が出ない」という話が出たので調べたところ、ドメインに参加しているマシンには勝手にルート証明書がインストールされているということが判明しました。アンインストールしても、ドメインに参加するたびに不死鳥のように復活します。:-)

そもそもドメインコントローラがやられちゃったりする事態は洒落にならないわけですが、万一の時は、クライアントマシンにルート証明書が入っているということを忘れないでいた方が良いかもしれません。

「オレオレ証明書を信頼する」へのコメント (2件)

関連する話題: セキュリティ / UA / SSL/TLS / PKI

苺ましまろ4

苺ましまろ4巻 (www.amazon.co.jp)、3月26日発売のはずがどこにもなくて残念な思いをしましたが、5月に発売延期でしたか。

買っているマンガの新刊発売日をうまいこと通知してくれるサービスがあると良いのに。

「苺ましまろ4」へのコメント (2件)

関連する話題: マンガ / 苺ましまろ

控訴

IT Media からは続報が出ていますね。「「不正アクセス」の司法判断とは――ACCS裁判 (www.itmedia.co.jp)」。

これに対する奥村弁護士のコメントが秀逸でした。

地裁が初めての判断を求められて、
有罪
理由不親切
という場合は、
わからないけど、一応法律があるし、
本件行為を野放しにするわけにもいかないから有罪にしておく
たぶん有罪だと思うよ。
文句があるなら高裁で聞いてくれ
という印象しか受けません。

以上、奥村弁護士の見解 - 「不正アクセス」の司法判断とは――ACCS裁判より

ああ、なんだかものすごく納得できたような気がします。

その控訴ですが、既になされていたようですね。

ACCSの個人情報漏洩事件、有罪判決を受けた元京大研究員が控訴 (internet.watch.impress.co.jp)
元研究員が控訴　ACCS不正アクセス事件 (www.itmedia.co.jp)

コンピュータソフトウェア著作権協会（ACCS）の個人情報流出事件で、不正アクセス禁止法違反で東京地裁から3月25日に有罪判決を受けた元京都大学研究員が、判決を不服として東京高裁に即日控訴していたことが分かった。

以上、元研究員が控訴　ACCS不正アクセス事件より

即日控訴というのは「控訴するかは分からない」としていた北岡弁護士の談話に反するように思えますが、office さんが弁護団との相談なしに控訴していたということなのでしょうか。よく分からないですが。

「控訴」にコメントを書く

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件

キレる発見者

ACCS がコメントを出していますね。「元国立大学研究員に対する有罪判決によせて (www.askaccs.ne.jp)」。

当協会では、脆弱性指摘活動が正当な方法によってなされることは、ネットワーク社会の安全のために必要であると考えています。今回の被告の行為はそれを大きく逸脱するものでした。
当協会でも裁判所の判決の主旨を受けて、今後のネットワーク社会が安全・快適な社会になるよう貢献をしていく所存です。関係皆様のご協力をお願い致します。

office さんが「逸脱」していたという評価はある意味仕方ないと思いますが、その逸脱に至るまでの経緯を、少しで良いから理解して欲しいと思いました。

脆弱性を指摘しても、とぼけられたり、こっそり修正して隠し通そうとしたり……などという行為がなされると、指摘した側は当然不愉快に思います。そういったことが繰り返されれば「正当な脆弱性指摘活動では駄目だ」と考えざるを得なくなりますし、指摘の方法についても、「隠し通されないように」というところに主眼が置かれるようになるのは当然です。

もし、もしもですが、ACCS が正当な脆弱性指摘活動によって脆弱性を指摘されるようなことがあったら、そのときは誠意をもって対応して欲しいのです。脆弱性があったということを、きちんと公表して欲しいのです。そうしないと……たぶん、発見者がキレて自分で公表してしまいます。

また、被告が不正に入手した個人情報を、当方に事前に知らせることなく修正の機会を与えず、約250名のイベント参加者の前で手法を公表し、さらに個人情報の一部をパワーポイント資料に貼り付けて上映し、模倣犯を出す事態を引き起こし（すでに書類送検済み）、また個人情報の一部が掲載されたパワーポイント資料が会場内で流出し被害が拡大するなどの一連の行為について裁判所が重く見たことは、ネットワーク社会の安全確保の観点から重要な意味を持つと考えます。

「模倣犯を出す事態を引き起こし（すでに書類送検済み）」などと言われていますが、昨年の 3月に送致されたのですから、とっくの昔に起訴・不起訴は確定しているはずです。おそらく 2人は不起訴になったか、略式命令で終わったかのいずれかでしょうが、そう書くと都合が悪いので、犯人扱いのイメージのある「送検済み」という表現になったのでしょう。非常に強い悪意の込められた書き方だと思います。

※ちなみに当時の TBS の報道によれば、office さんのプレゼン後、csvmail.cgi にアクセスした人は 7人いたようです。そのうち 2人が proxy を通さない国内からのアクセスということであっさり補足され、さらに 1人が自ら警察に出頭し、結局 3人が補足されました。3人のうち 1人は未成年でしたから家裁に送致、残り 2人は検察に送致。つまり、「送検」されたのは 7人のうち 2人だけということになります。

「キレる発見者」にコメントを書く

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件

前(古い): 2005年3月27日(Sunday)のえび日記
次(新しい): 2005年3月29日(Tuesday)のえび日記