水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 求刑

求刑

2005年1月24日(月曜日)

求刑

論告。求刑は 8か月のようで。

まあそれはそれとして、

検察側は論告で、被告の行為は通常であればFTPサーバーによってIDとパスワードが必要とされるファイルに対してこれを回避する方法でアクセスしたものであり、不正アクセス行為に相当すると主張。

以上、ACCS不正アクセス裁判、検察側は元研究者に懲役8カ月を求刑 より

やはりどうしても気になるのは、検察側の主張が ACCS の主張と矛盾するということです。検察は、問題のファイルが「通常であればFTPサーバーによって」アクセスされているという主張をしているわけですが、ACCS は「セキュリティ問題について(12) (www.askaccs.ne.jp)」で、このファイルの存在を知らされていなかったと主張しています。

(2)「旧標準CGI」は、顧客が書き込んだ内容(個人情報など)をCSVファイルとして保存する機能を持っており、ACCSは個人情報保護のためこのCSVファイルを定期的に削除していました。ところが、設定マニュアルに記載されていない自動生成ファイルがあり、そこに顧客が書き込んだ内容すべてが記録され、これを元国立大学研究員が不正に入手しています。CGI提供者であるファーストサーバ(株)は、なぜこのファイルの存在を顧客に知らせていなかったのか。

以上、セキュリティ問題について(12) より

これが正しいなら、ACCS が FTP でそのファイルをダウンロードしたこともないはずです。

また、もしファーストサーバがこのファイルを FTP でダウンロードしていたのなら、ASK ACCS に寄せられた個人情報がファーストサーバに漏れていたことになります。そんなことが起きていたとすると大きな問題ですが、少なくとも今のところ、当該ファイルがファーストサーバに閲覧されていたというような話は出ていません。そしてこのファイルが他の誰かによって FTP 経由でアクセスされていた、という話も出ていません。出ていたらこれまた大変ですが……。

個人的には、単に検察の主張が事実に反しているのだろうと思います。しかし、何故事実に反する主張をしてまで「FTP」を持ち出したのかが謎です。「デバッグする人が telnet や SSH 経由で見ることを想定していたはずだ」という主張ならまだ事実に沿っているでしょうし、検察の主張としても問題ないと思うのですが……。

※実際には問題のファイルが telnet や SSH 経由でアクセスされたことも無かったでしょう (そういったアクセスがあったなら、やはりここでも情報漏洩の問題が発生します)。このファイルにアクセスしたのは唯一、問題の CGI のプロセスだけだっただろうと思います。

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件 / ファーストサーバ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト