水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > キレる発見者

キレる発見者

2005年3月28日(月曜日)

キレる発見者

ACCS がコメントを出していますね。「元国立大学研究員に対する有罪判決によせて (www.askaccs.ne.jp)」。

当協会では、脆弱性指摘活動が正当な方法によってなされることは、ネットワーク社会の安全のために必要であると考えています。今回の被告の行為はそれを大きく逸脱するものでした。

当協会でも裁判所の判決の主旨を受けて、今後のネットワーク社会が安全・快適な社会になるよう貢献をしていく所存です。関係皆様のご協力をお願い致します。

office さんが「逸脱」していたという評価はある意味仕方ないと思いますが、その逸脱に至るまでの経緯を、少しで良いから理解して欲しいと思いました。

脆弱性を指摘しても、とぼけられたり、こっそり修正して隠し通そうとしたり……などという行為がなされると、指摘した側は当然不愉快に思います。そういったことが繰り返されれば「正当な脆弱性指摘活動では駄目だ」と考えざるを得なくなりますし、指摘の方法についても、「隠し通されないように」というところに主眼が置かれるようになるのは当然です。

もし、もしもですが、ACCS が正当な脆弱性指摘活動によって脆弱性を指摘されるようなことがあったら、そのときは誠意をもって対応して欲しいのです。脆弱性があったということを、きちんと公表して欲しいのです。そうしないと……たぶん、発見者がキレて自分で公表してしまいます。

また、被告が不正に入手した個人情報を、当方に事前に知らせることなく修正の機会を与えず、約250名のイベント参加者の前で手法を公表し、さらに個人情報の一部をパワーポイント資料に貼り付けて上映し、模倣犯を出す事態を引き起こし(すでに書類送検済み)、また個人情報の一部が掲載されたパワーポイント資料が会場内で流出し被害が拡大するなどの一連の行為について裁判所が重く見たことは、ネットワーク社会の安全確保の観点から重要な意味を持つと考えます。

「模倣犯を出す事態を引き起こし(すでに書類送検済み)」などと言われていますが、昨年の 3月に送致されたのですから、とっくの昔に起訴・不起訴は確定しているはずです。おそらく 2人は不起訴になったか、略式命令で終わったかのいずれかでしょうが、そう書くと都合が悪いので、犯人扱いのイメージのある「送検済み」という表現になったのでしょう。非常に強い悪意の込められた書き方だと思います。

※ちなみに当時の TBS の報道によれば、office さんのプレゼン後、csvmail.cgi にアクセスした人は 7人いたようです。そのうち 2人が proxy を通さない国内からのアクセスということであっさり補足され、さらに 1人が自ら警察に出頭し、結局 3人が補足されました。3人のうち 1人は未成年でしたから家裁に送致、残り 2人は検察に送致。つまり、「送検」されたのは 7人のうち 2人だけということになります。

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト