水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 判決

判決

2005年3月25日(金曜日)

判決

ちせさんの傍聴記録が出ていますが、非常に興味深い内容です。

・ウェブサーバの設定ではCGIは処理を実行するようになっており、FTP以外で読み込みが可能なものではなかった。つまりプログラムの瑕疵や設定の不備がなければFTPでしか見られないものであった。

このあたりを見ただけでも他の報道と全く精度が違います。これは csvmail.log の閲覧ではなく csvmail.cgi の閲覧が問題にされているのだと分かります。

以下はちせさんの主観的な感想なのですが、興味深いので引用しておきます。

おそらく、これは判決を聞いていての私の主観に過ぎないけれど、「仮に脆弱性を利用した不正アクセスを行ったとしても、誰にも公開せず管理者にすみやかに伝えて脆弱性の修正を促し、それによって問題が解決したならば罪には問われない」ということのように聞こえました。公判後にお話させていただいた方も「正当な問題指摘の範囲内であったなら、緊急避難の場合と同じで、違法性は阻却されるのではないか」とおっしゃっていましたが、それと同じような感じです。もっともこう書いたところで単なる印象に過ぎませんので、罪にはならないと信じて試していただいたりしたら困るのですが、そういう印象は強かったです。

※はっきり言ってしまいますが、「ソフトウエア等脆弱性関連情報取扱基準」(平成16年経済産業省告示第235号) の届出制度を利用した脆弱性の届出を行うということが、まさにこの「罪にはならないと信じて」試すこと、そのものです。「信じた」人は日本にすくなくとも 30人います。しかし 30人しかいません (30人というのは 2004年12月現在の数字なので、今ではもう少し多くなっているでしょう)。

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト