ACCS 事件の新解釈?
2005年8月12日(金曜日)
ACCS 事件の新解釈?
更新: 2005年8月14日
「ネットワーク運用におけるセキュリティ:まずはセキュリティの基本的な考え方から理解する (www.itmedia.co.jp)」という記事が出ていますが……。
●コンピュータソフトウェア著作権協会(ACCS)
ACCSからの情報漏えいは、一般にはあまり知られていないかもしれないが、いくつかの点で非常に興味深い事件といえる。
この事件は、大学の研究者がACCSのWebサイトに存在するセキュリティホールを発見したことが発端だった。この研究者は、ACCSに対してセキュリティホールの存在を連絡したが、ACCSのWebサイト運用の委託者との行き違いもあり、対策は行われなかった。このため、彼はあるセミナーで、脆弱なWebサイトの事例としてACCSを紹介したのだが、この際に具体的なアクセス方法まで公開してしまった。こうして攻撃方法が第三者に公開されたことにより、ACCSのWebから個人情報が引き出され、公開されたことで事件となった。
これってそんな事件でしたっけ? 私の認識とはだいぶ食い違っていますけれど……。
私の認識ではこんな感じ。
- office さんが ACCS に脆弱性を通知したのは、プレゼンの後。ACCS はプレゼンの時点では脆弱性の存在を認識していなかった (ただし、ファーストサーバは以前から脆弱性の存在を認識していた)。
- セミナーで公開された攻撃方法を第三者が実践して個人情報が引き出された、という事実は確認されていない。アクセス記録が残っていた者のうち、少なくとも警察が捕捉した 3名に関しては csvmail.cgi のソースを表示しただけで、個人情報は引き出していないということになっている (他の4名については、どうであったか不明。また、OSコマンドインジェクションによってアクセス形跡ごと消されたものがあった可能性も否定できない)。
- その後「公開された」のは個人情報のファイルそのものではなく、セミナー当日に使用されたプレゼン資料 (exploit 結果を解説する部分のキャプチャから個人情報が読み取れた)。
個人的には、ACCS が脆弱性に気づかなかったことにはやむを得ない面があると思いますが、別の意味で教訓にすべき点があると思います。ほとんど誰も指摘していませんが、ASK ACCS ではあれだけの個人情報を必須項目にしていたにもかかわらず、SSL を使用していませんでした。これについては弁解の余地がないと思います。
結果的にパケット盗聴による漏洩は起きなかったのですが、「情報モラル」を提唱する組織としては個人情報に対する姿勢が甘すぎたと思いますし、この点はもっと厳しく問われても良かったのではないかと思います。
※いや、実は漏洩していて発覚していないだけという可能性も否定できませんが。
※2005-08-14 追記: 該当記事から、引用部分が丸ごと削除されているようです (こじまさん情報ありがとうございます)。「事実と違うだろ」ということで削除したのでしょうか。
- 「ACCS 事件の新解釈?」へのコメント (4件)
関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件 / SSL/TLS / ファーストサーバ
