水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > ACCS 事件の新解釈?

ACCS 事件の新解釈?

2005年8月12日(金曜日)

ACCS 事件の新解釈?

更新: 2005年8月14日

ネットワーク運用におけるセキュリティ:まずはセキュリティの基本的な考え方から理解する (www.itmedia.co.jp)」という記事が出ていますが……。

●コンピュータソフトウェア著作権協会(ACCS)

ACCSからの情報漏えいは、一般にはあまり知られていないかもしれないが、いくつかの点で非常に興味深い事件といえる。

この事件は、大学の研究者がACCSのWebサイトに存在するセキュリティホールを発見したことが発端だった。この研究者は、ACCSに対してセキュリティホールの存在を連絡したが、ACCSのWebサイト運用の委託者との行き違いもあり、対策は行われなかった。このため、彼はあるセミナーで、脆弱なWebサイトの事例としてACCSを紹介したのだが、この際に具体的なアクセス方法まで公開してしまった。こうして攻撃方法が第三者に公開されたことにより、ACCSのWebから個人情報が引き出され、公開されたことで事件となった。

これってそんな事件でしたっけ? 私の認識とはだいぶ食い違っていますけれど……。

私の認識ではこんな感じ。

個人的には、ACCS が脆弱性に気づかなかったことにはやむを得ない面があると思いますが、別の意味で教訓にすべき点があると思います。ほとんど誰も指摘していませんが、ASK ACCS ではあれだけの個人情報を必須項目にしていたにもかかわらず、SSL を使用していませんでした。これについては弁解の余地がないと思います。

結果的にパケット盗聴による漏洩は起きなかったのですが、「情報モラル」を提唱する組織としては個人情報に対する姿勢が甘すぎたと思いますし、この点はもっと厳しく問われても良かったのではないかと思います。

※いや、実は漏洩していて発覚していないだけという可能性も否定できませんが。

※2005-08-14 追記: 該当記事から、引用部分が丸ごと削除されているようです (こじまさん情報ありがとうございます)。「事実と違うだろ」ということで削除したのでしょうか。

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件 / SSL/TLS / ファーストサーバ

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト