- 1 名前:自作自演 [2001/08/07(火) 00:26]
- クボ○のファースト鯖を使ってるんだが、ヤバイね。
ここに乗り換えた時からウィルスメールが来るようになった。
変だから、いろんなメアド作ってみたら全部のアドレスにくる。
Webに表示しなくても来る。作ったその日から来る。
情報漏れてんじゃない?
ファースト鯖では、ウィルスメール駆除の有料サービスが開始された。
自作自演かよ!
- 464 名前:(゚∀゚) mailto: [04/01/28 15:06]
- では、わたくしはきっと
クリック禁止法違反
でタイ━━━━||Φ|(|゚|∀|゚|)|Φ||━━━━ホ!!
されます。
- 465 名前:名無しさん@お腹いっぱい。 [04/01/28 15:24]
- >>464
オマエがタイーホされるのは別にかまわないけどこれを発端に2ch潰しがはじまると
遊び場が無くなって困る
特に個人情報ネタは今はヤバイしな
- 466 名前:名無しさん@お腹いっぱい。 mailto: [04/01/28 16:13]
- >>462
調べられるのはうpしたヤシですよ。
- 467 名前:名無しさん@お腹いっぱい。 [04/01/28 16:19]
- >>466
型どおりであればそうだろうね
でも、今回は新聞にも取り上げられたりセンセーショナルに扱われているので
徹底した捜査がなされないとも限らない
そうなると流出範囲の特定という意味でダウンロードしたやつまで捜査が及ぶ
可能性も無いとは言えないかもね
特にダウンロードしましたとか書いたら普通にダウンロードした人間よりも
追跡はしやすいだろうしね
それにしてもファーストサーバーはこの期に及んでまだ何もしないつもりかね?
- 468 名前:名無しさん@お腹いっぱい。 mailto:sage [04/01/28 16:20]
- A.D.200Xでダウンロードした奴は調べられなかったのはどうしてだろう
流出がなかったとすればオフィス当人がうpしたとも考えられるが
- 469 名前:名無しさん@お腹いっぱい。 mailto: [04/01/28 16:30]
- ダウソしてもなんの罪にもならないからだよ。
法的に問題ない。
ダウソしたファイルそのものが違法なら話は別だけどね。
(例えば割れ、MP3)
- 470 名前:名無しさん@お腹いっぱい。 [04/01/28 17:09]
- ファイルはアップローダーから削除されたっぽいな
- 471 名前:名無しさん@お腹いっぱい。 [04/01/28 17:23]
- それにしても今回の件に関しては全てがファーストサーバーが提供しているCGIの脆弱性を把握していながら
それを利用者に告げずに新しいCGIを提供することで以前のCGIも継続利用することの問題の告知を
怠ったことが原因だと思われるのだが、それでもこのまま何も公表しないのだろうか?
俺の目から見ればデータを引き出したofficeやそれを公開する場を提供したADの問題は大きいと思うが
ACCSは完全にファーストサーバーに嵌められた被害者にしか見えない
以前、ここを利用していて今は違うサーバーに乗り換えているがもしかしたらデータを抜かれる被害に
合ったのが自分のところだったかもしれないと考えると(提供されていたCGIは利用してなかったけど)背筋が寒くなる
そもそも、ファーストサーバーがCGIの脆弱性を正しく利用者に伝えていたらこんな事件は起きなかっただろうしね
- 472 名前:名無しさん@お腹いっぱい。 [04/01/28 19:43]
- なんかこれで逆にファースト鯖は釈明のチャンスが完全に
なくなった気がするよ。今、事実関係を説明しても二次流出が
起きた後では何も意味がないし、批判を浴びるだけ。
このまませこく、黙り続けるに1カノッサ。
あとは真実が出てくるのはOfficeの裁判までないでしょう。
ACCSは今が踏ん張り時。がんばれ。こんなくそ鯖の尻拭いは
いやだと思うが、今回の件で唯一まともな対応をしている
ところなだけに、事件をうやむやにしないためにも応援してる。
- 473 名前:名無しさん@お腹いっぱい。 [04/01/28 22:09]
- ちなみにAD200Xのヘタレが監視していたスレ
pc.2ch.net/test/read.cgi/sec/1074115212/
- 474 名前:名無しさん@お腹いっぱい。 [04/01/28 22:28]
- www.ad200x.net/20040128.html
今回の件の二次流出のADの言い訳だけど、ここでも
ファーストサーバーとちゃんと名指しで書かれているね。
さて、これもファースト鯖は黙認かな。
- 475 名前:名無しさん@お腹いっぱい。 [04/01/29 10:33]
- >>471
>それにしても今回の件に関しては全てがファーストサーバーが提供しているCGIの脆弱性を把握していながら
>それを利用者に告げずに新しいCGIを提供することで以前のCGIも継続利用することの問題の告知を
>怠ったことが原因だと思われるのだが、
ちょっと違う。
古いCGIのバグは、「hiddenパラメータをいじられたら、変なファイルが変なとこに作成される」
「ファーストサーバのユーザだったら既存ファイルを改変される可能性があるけどそれはないだろ。」
と思っていた。
で、だれでもその気になったらhiddenパラメータに関係なくデータ漏洩がある可能性は、実際に指摘されるまでわからなかった。
これが現実だと思うぞ。
どっちにしろ
>それでもこのまま何も公表しないのだろうか?
これが問題だな。
- 476 名前:名無しさん@お腹いっぱい。 [04/01/29 10:44]
- > で、だれでもその気になったらhiddenパラメータに関係なくデータ漏洩がある可能性は、実際に指摘されるまでわからなかった。
> これが現実だと思うぞ。
でも森川はofficeに一昨年(2002年)の時点で脆弱性を把握していたと伝えてたわけでしょ?
officeが指摘したのが昨年(2003年)の11月なのだからそれは違うと思うぞ?
- 477 名前:名無しさん@お腹いっぱい。 [04/01/29 11:20]
- 「知らなかったといえないエンジニアの定め。」の可能性もあるが(W
hiddenパラメータの問題と、しゃれにならない脆弱性、この2つの問題を把握した次期は全く違うと思うんだが。
前者はインターネットから業界に入ったエンジニアが気がつきやすい問題、後者はUNIX出身プログラマなら簡単に気がつく問題。
- 478 名前:名無しさん@お腹いっぱい。 [04/01/29 11:22]
- わかりやすくかくと、2002年の時点では、hiddenの問題しか気がついてないだろ。
- 479 名前:名無しさん@お腹いっぱい。 mailto:sage [04/01/29 11:28]
- officeが使った穴も“hiddenの問題”なわけだが.
- 480 名前:名無しさん@お腹いっぱい。 [04/01/29 11:48]
- >前者はインターネットから業界に入ったエンジニアが気がつきやすい問題、
>後者はUNIX出身プログラマなら簡単に気がつく問題
出鱈目も甚だしいなあ。文系の生半可な知識での判断ですか? 法学部出身とかはこれだから困る。
後者はUNIXに関係がない。インターネットから業界に入ればすぐ気付く。
むしろ前者の方がUNIX知識に依存しているかもしれん。(前者の穴がどういうものだったか知らんのでわからんが。)
- 481 名前:名無しさん@お腹いっぱい。 mailto:sage [04/01/29 12:01]
- > 古いCGIのバグは、「hiddenパラメータをいじられたら、変なファイルが変なとこに作成される」
direct unix shell command injection vulnerability のこと?
- 482 名前:名無しさん@お腹いっぱい。 [04/01/29 12:07]
- もまえら、ほんまにシャレにならん方の脆弱性を知らんやろ。
それをわからせないように、うやむやにしようとファーストサーバが考えて、沈黙をしてんdろうが、
企業として、これ以上の沈黙がいいわるいか微妙なとこやぞ>しゃちょー
- 483 名前:名無しさん@お腹いっぱい。 [04/01/29 12:09]
- 別に、このスレで何か書けといってるんではないので、為念 > しゃちょー
- 484 名前:名無しさん@お腹いっぱい。 [04/01/29 12:18]
- >別に、このスレで何か書けといってるんではないので
社長はともかくとして社員はたくさん書いてるだろうな(w
- 485 名前:名無しさん@お腹いっぱい。 [04/01/29 12:57]
- 社員が必死なスレはここでつか?
- 486 名前:名無しさん@お腹いっぱい。 [04/01/29 13:13]
- ファーストサーバーの顧問弁護士がインターネット系では有名な弁護士だという噂を聞いたのですが本当なんでしょうか?
- 487 名前:名無しさん@お腹いっぱい。 [04/01/29 17:46]
- >>486
ファーストサーバーって大阪本社だよね?
そこの顧問弁護士でインターネット系というとすごく絞られるよ
その噂の真偽はわからないけどね
- 488 名前:名無しさん@お腹いっぱい。 [04/01/29 18:32]
- >>486
業界の実力者
- 489 名前:名無しさん@お腹いっぱい。 [04/01/29 19:24]
- www.askaccs.ne.jp/
ACCS、キターーーーーーーーー!
- 490 名前:名無しさん@お腹いっぱい。 mailto:sage [04/01/30 03:00]
- itpro.nikkeibp.co.jp/free/SI/NEWS/20031112/2/
サーバー業者によれば,今回問題となったCGIプログラムの問題は,最新版では修正されている。
また,問題がある古いバージョンのCGIプログラムは,ASK ACCS以外には稼働していないという。
ASK ACCSのCGIプログラムが最新版に更新されていなかった原因については調査中である。
- 491 名前:名無しさん@お腹いっぱい。 [04/01/30 04:11]
- 【補足】
本文中に「また,問題がある古いバージョンのCGIプログラムは,
ASK ACCS以外には稼働していないという。」とありますが,
これは,サーバー業者が,12日0時30分頃から未明にかけ,
ACCS以外のユーザーが使用している旧バージョンCGIのすべてを,
緊急暫定対策版のCGIに置き換えるという措置を行ったことによります。
ACCSだけ放置しやがったのか(笑
ひでえ会社だな。ここ使っててトラブルに巻き込まれると放置されるのか。
しかも事後になっても何ら釈明や説明も得られない。
ACCSはよくやったよ。著作権はウゼェがACCSの対応そのものはたいしたもんだ。
ファーストサーバはどうするんだろうね(・∀・)ニヤニヤ
- 492 名前:名無しさん@お腹いっぱい。 mailto:sage [04/01/31 07:22]
- 巛彡彡ミミミミミ彡彡
巛巛巛巛巛巛巛彡彡
r、r.r 、|::::: |
r |_,|_,|_,||:::::: ⌒ ⌒|
|_,|_,|_,|/⌒ -="- (-=" ぁぁそうでっかそうでっか
|_,|_,|_人そ(^i '"" ) ・ ・)""ヽ なるほどね・・・
| ) ヽノ |. ┃`ー-ニ-イ`┃
| `".`´ ノ ┃ ⌒ ┃|
人 入_ノ´ ┃ ┃ノ\
/ \_/\\ ┗━━┛/ \\
/ \ ト ───イ/ ヽヽ
巛彡彡ミミミミミ彡彡
巛巛巛巛巛巛巛彡彡
r、r.r 、|::::: |
r |_,|_,|_,||:::::: /' '\ |
|_,|_,|_,|/⌒ (・ ) (・ )|
|_,|_,|_人そ(^i ⌒ ) ・・)'⌒ヽ ・・・で?
| ) ヽノ |. ┏━━━┓|
| `".`´ ノ ┃ ノ ̄i ┃|
人 入_ノ´ ┃ヽニニノ┃ノ\
/ \_/\\ ┗━━┛/|\\
/ \ ト ───イ/ ヽヽ
- 493 名前:名無しさん@お腹いっぱい。 mailto:sage [04/01/31 15:55]
- ニュー速
ACCSから漏えいした個人情報が2ちゃんねる上に流出
news4.2ch.net/test/read.cgi/news/1075467010/l50
- 494 名前:名無しさん@お腹いっぱい。 [04/02/02 12:18]
- 公表まだ〜?
- 495 名前:名無しさん@お腹いっぱい。 [04/02/02 12:45]
- 嵐の前の静けさという感じですな。
- 496 名前:名無しさん@お腹いっぱい。 [04/02/04 12:11]
- 逮捕されちゃった・・・
ここだよね?
- 497 名前:名無しさん@お腹いっぱい。 [04/02/04 12:14]
- ああ、ここの件だよ
- 498 名前:名無しさん@お腹いっぱい。 [04/02/04 12:22]
- 逮捕されても
ファースト鯖はまだコメントなし。
うーん
- 499 名前:名無しさん@お腹いっぱい。 [04/02/04 13:24]
- とりあえず、事情聴衆を受けてあらいざらい喋るはずだから、
事実関係がこれで時系列にわかってくるだろう。
そのときにファースト鯖の悪行も芋ズル式に......。
- 500 名前:名無しさん@お腹いっぱい。 [04/02/04 15:20]
- ここだけ、蚊帳の外でつな。みんなACCSのほうに目が行っちゃっている。
本当の悪は、ここにいるのにな(´・ω・`)
- 501 名前:名無しさん@お腹いっぱい。 [04/02/05 10:23]
- >>500
>本当の悪は、ここにいるのにな(´・ω・`)
「本当の悪」って何ですか?
- 502 名前:名無しさん@お腹いっぱい。 [04/02/05 10:40]
- はっぴーはっきんぐで逮捕される時代なんでつね。。。
ォォコゎ
- 503 名前:名無しさん@お腹いっぱい。 [04/02/05 10:54]
- これはハックじゃなくてクラックですよね。
- 504 名前:名無しさん@お腹いっぱい。 [04/02/05 10:55]
- あのウルサイ香具師が急に居なくなったよな(w
逮捕もされたし何か指示あったか?
それとも・・・・・
- 505 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/05 11:04]
- コメントまだー?
- 506 名前:名無しさん@お腹いっぱい。 [04/02/05 11:09]
- 悪意を持たずにセキュリティホールを見つけて自慢しただけだから、はっくだろ。
システムを破壊したわけじゃないし。。。
って、逮捕されたやつは、ファイルを改ざんしたのか?
まあ、はっきんぐというレベルかどうかは、問題点の認識レベルにより意見が分かれるとこだとは思うが。
- 507 名前:名無しさん@お腹いっぱい。 [04/02/05 11:12]
- で、こうなる(ハッカーが逮捕された)と、コメントは出せないやろなぁ。。。
- 508 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/05 11:14]
- システムを破壊しなくても改竄しなくても罪
それが不正アクセス禁止法
- 509 名前:名無しさん@お腹いっぱい。 [04/02/05 11:18]
- ttp://www.asahi.com/national/update/0205/007.html
>さらに協会のサイトに相談を寄せた数人の氏名や住所、相談内容などの個人情報を会場のスクリーンに映し出した。
このことが逮捕理由かな?
- 510 名前:名無しさん@お腹いっぱい。 [04/02/05 11:22]
- >>508
法律がどうとかいっていうるのではなく、ハッカーかクラッカーの定義についてです。
で、ハッカーが逮捕されるってこわい世の中だなと思っただけ。
- 511 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/05 11:24]
- 今時ハッカーとクラッカーの定義ってあんたw
- 512 名前:名無しさん@お腹いっぱい。 [04/02/05 11:32]
- >>511
ぶひっ
そりゃそうや。
で、ハッカーの集会で「こんな穴みつけたよ」と言ったら逮捕されたわけだ。
怖くない?
個人情報を会場のスクリーンに映し出したのが逮捕理由だとしたら、別の法律のような気がするし。
- 513 名前:名無しさん@お腹いっぱい。 [04/02/05 15:04]
- >>509
それじゃ直接の逮捕理由じゃないだろう。
ファースト鯖が管理しているASKACCSのページから個人データを
抜いたのが不正アクセス法にひっかかるということだろう。
>>510
なんで怖い世の中なの?窃盗と同じ事をしたんだから逮捕されて当たり前
じゃないの?
- 514 名前:名無しさん@お腹いっぱい。 [04/02/05 17:58]
- 朝日新聞社会面の記事(ネット上には出てないようなので)
プログラム開発会社欠陥の詳細、未公表
欠陥を突かれたプログラムを開発したサーバー提供会社は、02年末にこの欠陥を見つけ、修正プログラムも開発したという。
しかし、顧客に対し、詳しい欠陥情報を提供しなかった。
情報が不正アクセスなどに悪用される恐れがあると判断した、と説明している。
同社は約2万の顧客を抱え、昨年3月から、欠陥を解消した新しいプログラムへの移行を顧客に促してきた。
しかし、欠陥自体の存在が明らかにされなかったこともあり、事件のあった11月時点では、コンピュータソフトウェア著作権協会など相当数が未対応だった。
事件から約3ヶ月がたった今も移行していない顧客がいる。
- 515 名前:名無しさん@お腹いっぱい。 [04/02/05 18:11]
- >>514
続きがあるぞ。
事件から約3ヶ月がたった今も移行していない顧客がいる。
プログラムの欠陥については、経済産業省情報セキュリティ政策室も調査を進めている。
「サイトの安全管理について、プログラムの利用者を含めて指導や注意喚起も検討する」という。
- 516 名前:名無しさん@お腹いっぱい。 [04/02/05 20:23]
- >>513
>窃盗と同じ事をしたんだから逮捕されて当たり前じゃないの?
くどいようだが、ハッカーとクラッカーの定義を考えてみると背筋が凍る。(W
>>513
>情報が不正アクセスなどに悪用される恐れがあると判断した
そーかなぁ…
XXXXを知らない○○○○からの△△△△は大丈夫だと思ってたんじゃないかなぁ…
なんんことやら(W
ところで本当に移行していない(ファーストサーバの追求を逃れている)ユーザっているのかな?
- 517 名前:名無しさん@お腹いっぱい。 [04/02/05 22:23]
- >>516
>くどいようだが、ハッカーとクラッカーの定義を考えてみると背筋が凍る。(W
そんな言葉遊びをして何が楽しい?ハッカーだのクラッカーだのコンピュータ
業界の狭義の定義で、今回の事件には何にも関係ない。
もまえ、もしや190か?
- 518 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/05 22:54]
- はい。
- 519 名前:名無しさん@お腹いっぱい。 [04/02/05 23:32]
- 事件ねぇ。。。
ハッカーが、個人情報を得ようとしたのではなくでCGIの脆弱性を指摘するためにデータを抜いただけなのに何をムキになっとんだぁ?
まあ、今回の事件の裁判で、不正アクセス禁止法が悪意のある行為を罰するための法律か、悪意・善意の区別とかの目的に関係なく適用されるものなのかの判例になるだろ。
で、ファーストサーバは、だんまりしかできんやろな。
- 520 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/06 01:52]
- ACCSにも警察にも、10行のPerlスクリプトも書ける人間なんていないんだよ。
だからこんなあほらしいことで大騒ぎしてるんだよ。
- 521 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/06 02:03]
- (アクセス制御機構なんて無かったというでたらめに対するテンプレ)
URIの一部をファイル名に変えるだけで侵入できた、
だからアクセス制御機構など無いと言い張る輩がいますが、
それは偽情報に騙されていますね。
件のアクセス制御機構回避事件に関しては、
(1)CGIの引数に対する適切な処理が行われていないケースがあるかどうかをかなり執拗に
探索する。
(2)不適切な処理の内容からCGIの引数をどのように与えればCGIのソースを見る事が出来るか
を試行錯誤して導き出す。
(3)得られたCGIのソースに書いてあるファイルオープンの箇所等を見て、
通常は絶対に知られる事のないサーバーに置いてあるファイル名が何であるかに関する
情報を得る。
(4)(1)と同じ手法に、(3)で得られた情報を組み合わせてCGIの引数を考え出し、それを
GETパラメーターとして与えて情報を盗み出す。
このようなプロセスが必要になります。
「誰にでもみれる状態だったし、違法などではない」という主張が明らかに嘘、だましである事が
わかるでしょう。
もし、「誰にでもみれる状態だったし、違法などではない」というのなら、
今でも同じバグが改善されていないスクリプトを使っているサイトがある事は周知の事実ですので、
あなたがそこのサイトからファイルを取ってきて下さい。
あなたの説によればそれは誰にでも出来て、違法ではないのですからすぐに出来ますよね?
その主張の正しさを証明するため是非ともお願いします。
- 522 名前:sage mailto:冗談だよ [04/02/06 04:24]
- (よくわかんないけどとりあえずテンプレ)
(1)CGIの引数に対する適切な処理が行われていないケースがあるかどうかをかなり執拗に
探索する。
(2)CGIの引数をどのように与えればオフィスの謝罪文を見る事が出来るか
を試行錯誤して導き出す。
(3)得られたCGIの変数名に書いてある max の箇所等を見て、通常は絶対に知られる事のない
数字が何であるかに関する情報を得る。
(4)(1)と同じ手法に、(3)で得られた情報を組み合わせてCGIの引数を考え出し、それを
GETパラメーターとして max=1000 を与えて謝罪文を盗み出す。
- 523 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/06 08:00]
- 当のCGIに自身のCGIパスを渡したらソースを表示したってどこかに書いてあったぞ。
その程度のこと小学生にでも思いつきそうなもんだよな。
- 524 名前:519とか(同一文体多数) mailto:sage [04/02/06 09:00]
- >>521
>「誰にでもみれる状態だったし、違法などではない」というのなら、
ワシに言ってんだかどうかわからんのだが、、
ワシが言ってるのは、「ハッキング(悪意なし)が刑事罰の対象だってことになったら怖いな」ということだけ。
- 525 名前:519とか(同一文体多数) mailto:sage [04/02/06 09:03]
- 補足
上で書いた「悪意」とは「法律用語の悪意(事情を知っている)」ではなく、「一般的な悪意(自分の利益だけを追求)」です。
- 526 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/06 09:08]
- >>524
不正アクセス禁止法が出来た段階で結論は出てるだろ
なにをいまさらハッカーだのクラッカーだのw
- 527 名前:519とか(同一文体多数) mailto:sage [04/02/06 09:10]
- >>523
>その程度のこと小学生にでも思いつきそうなもんだよな。
そうそう、そういう気がつけばだれにでもできる脆弱性が堂々とセキュリティーホールとしてまかりとおってきたのがインターネットの世界です。
例
smtp鯖には誰でもアクセスできる。 → spam中継不正利用
/etc/passwdはだれでも読むことができる → 力技でパスワード解析
- 528 名前:519とか(同一文体多数) mailto:sage [04/02/06 09:13]
- >>526
だから、怖いなーといってるだけだろが。。。
- 529 名前:519とか(同一文体多数) mailto:sage [04/02/06 09:16]
- ともかく、今回の*事件*の裁判結果により、ハッカー(くどい…)が刑事罰の対象になるか否かの判例になるでしょ。
- 530 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/06 09:19]
- だから結論は出てるって
ハッカーだろうがクラッカーだろうが
不正アクセスは罪
今回の論点はそんなことじゃなく
あれが実際不正アクセスだったかどうか
- 531 名前:名無しさん@お腹いっぱい。 [04/02/06 10:04]
- >>523
なんか違うらしいぞそれ。
■ACCS不正アクセス 京大研究員逮捕事件に関するテンプレ
www.geocities.jp/officeandaccs/index.html#2-1
- 532 名前:名無しさん@お腹いっぱい。 [04/02/06 10:17]
- >>531
違わない。CGIにパスを渡すメソッドがPOSTだというだけ
- 533 名前:名無しさん@お腹いっぱい。 [04/02/06 10:35]
- まあ少なくともPOSTの改竄は小学生はやらんだろうけども。
このへんはどうなのかね、裁判ではリクエスト改変の
容易さてのは裁判官の心証の違いにつながってくるのかな。
- 534 名前:523 mailto:sage [04/02/06 11:04]
- GETじゃなくてPOSTなら一般的には不正と受け取られても仕方ないかな。
いまどきの小学生なら書き換えたファイルをローカルに作るくらいは出来ると思うけど。
でも不正アクセスの一言で片付けられてサーバ管理側の責任が問われないのでは、
一般利用者としては困るよね。個人情報が流出した原因の過失の割合としては、
サーバ管理側の責任は決して軽くはないと思う。
- 535 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/06 11:08]
- 刑事では個人情報流出の責任を問う法律がないからね
民事ならやりようはあるだろうが...
- 536 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/06 11:22]
- >535
そこだよね。
個人情報が流出した被害者が気づかなければ、管理側にはお咎めなし。
住民基本台帳なんかでコレやられたら、「なんか勝手に借金されてるぞ」と
気づいたときにはもう個人情報ダダ漏れ。
紙ベースの業務のつもりで運用されちゃ怖いよなあ、任せらんないよ。
- 537 名前:519とか(同一文体多数) mailto:sage [04/02/06 12:03]
- >>530
設置者の意図しないアクセス方法だったら不正だろう。
「説明書を読んで正しくお使いください。」ってのが日本の常識やし。
しつこいようだが、裁判の結果待ちですな。
- 538 名前:名無しさん@お腹いっぱい。 [04/02/06 12:15]
- perlやCGIの説明書も読んで欲しいんだが
- 539 名前:名無しさん@お腹いっぱい。 [04/02/06 13:06]
- 俺の人生の説明書も読んで (・∀・)v
- 540 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/06 16:51]
- >>537
不正アクセス禁止法のどこに「設置者の意図」なんて書いてあるんだw
議論したいなら不正アクセス禁止法を読んでから出直すことをお勧めする
- 541 名前:名無しさん@お腹いっぱい。 [04/02/06 17:21]
- 別スレでも出てたけど法廷では「プログラムの
設計意匠の解釈」が絶対に入ってくるでしょう。
- 542 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/06 17:26]
- つまり"svcmail.cgi"が任意のファイルにアクセスできるってのが
「仕様」だったか「脆弱性」だったかってことだな
それは論点になると思うよ
- 543 名前:名無しさん@お腹いっぱい。 [04/02/06 19:28]
- >設置者の意図しないアクセス方法だったら不正だろう。
違うよ。
>「説明書を読んで正しくお使いください。」ってのが日本の常識やし。
つまり、設置者が説明書を正しく読まなかった責任をアクセス側に押し付けるなってことだ。
例えば、UNIXでパス名中の".."が親ディレクトリなんてのは常識で、UNIX鯖の設置者や管理者は「知らなかった」とは言えない。
- 544 名前:名無しさん@お腹いっぱい。 [04/02/07 00:55]
- >537
裁判の結果待ちではあるが、その前に「意図」って何だよ?
意図してなければ…、想定漏れであれば…、穴が開いていても、
散々指摘されても、3年以上放置していても、許されるのか?
今回のように「ハッキリ」分かるように指摘されるまで、指摘に
気付いていなかった、指摘を理解出来なかった、なら構わないのか?
「サイバーノーガード戦法」でググれ。
今回の個人情報流出事件で、『真』犯人ACCSとファースト鯆に
お咎め無しだと、ノーガード戦法がまかり通ってしまうわけだが、
これを銀行や住基ネットでやられたら>536さんの言う通り、
ガクガクブルブルものだ。それでなくとも社内の違法コピーを
ACCSに内部告発した香具師は、既にガクガクブルブルなのだが。
>536に付け足すと、被害者が気付いても、管理側が気付かなかったり、
気付かなかったことにすれば平気なのか?五月蝿く文句を言う被害者
が居たら、ロビィ活動してoffice氏のように口封じすれば良いのか?
『真』犯人=ACCSとファースト鯆は逝ってヨシ!
- 545 名前:名無しさん@お腹いっぱい。 [04/02/07 01:19]
- >『真』犯人=ACCSとファースト鯆は逝ってヨシ!
ヨセフアンドレオンの中川文人です
声明文は恥ずかしくて削除しましたが私をお忘れなく
www.josephandleon.co.jp/
- 546 名前:名無しさん@お腹いっぱい。 [04/02/07 01:26]
- >>544
ファースト鯖に関しては同意だが、ACCSについてはどうだろう?
ファースト鯖からまともな情報を貰っていなかったわけだから
同列に扱うのはどうかと。もちろん、CGIの確認が甘かったという
事実は変わらないわけだから、無罪というわけではないのだが。
- 547 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/07 06:31]
- >>544
今回の件で、気づかなかった(不正アクセスされた)ことにすれば、情報の管理者は
責任を問われないという前例が作られると、一般利用者が泣きを見る世の中になって
しまいそうですね。何とかならないのかなあ。
>>546
被害者の立場に立って考えれば、
office氏、ACCS、ファースト鯖、ヨセフアンドレオン
それぞれの過失割合に応じて賠償請求可能かどうかが重要だと思います。
犯罪者には賠償能力が無い場合のほうが多いから、情報管理者の賠償責任を
問える法制度が無いと困りますよね。
別のスレでは個人情報保護法で守ればいいみたいな意見があったが、情報だけ
守れば安心ってものでは無いだろうし、ちょっと違う気がするんですよ。
サイバーノーガード戦法の記事は、今回のように世間の関心が「不正アクセス」
にだけ向けられた状態だと限りなくこれが現実になりそうで怖いな。
- 548 名前:名無しさん@お腹いっぱい。 [04/02/07 10:34]
- >>514
>プログラムを開発したサーバー提供会社は、02年末にこの欠陥を見つけ、修正プログラムも開発したという。
>しかし、顧客に対し、詳しい欠陥情報を提供しなかった。
詳しいもなにも、欠陥があるから修正したという事実すら伝えてないのでは?
そこんとこどうなの?
>02年末にこの欠陥を見つけ、修正プログラムも開発したという。
危険性を予見していたということで FA ?
>情報が不正アクセスなどに悪用される恐れがあると判断した、と説明している。
危険性を予見していたということで FA ?
- 549 名前:名無しさん@お腹いっぱい。 [04/02/07 14:46]
- 全部officeのせい全部officeのせい全部officeのせい全部officeのせい
全部officeのせい全部officeのせい全部officeのせい全部officeのせい
全部officeのせい全部officeのせい全部officeのせい全部officeのせい
全部officeのせい全部officeのせい全部officeのせい全部officeのせい
全部officeのせい全部officeのせい全部officeのせい全部officeのせい
全部officeのせい全部officeのせい全部officeのせい全部officeのせい
全部officeのせい全部officeのせい全部officeのせい全部officeのせい
- 550 名前:名無しさん@お腹いっぱい。 [04/02/07 15:51]
- >>549
土曜日の出勤ご苦労様
でも頑張ってもファーストサーバーは今年はボーナス無いと思うよ
- 551 名前:519とか(同一文体多数) mailto:sage [04/02/07 20:58]
- ホントに、土曜日出勤ご苦労さんでした。
修正しましたというFAXが入っていて、そんなわけねーだろがーと思って念のため確認したのですが、そんなわけありまへんでした。(謎
そのパラメータどこで使ってるねん。。。(さらに謎
客先から問い合わせが来たら、心配性のファーストサーバが無駄なことをしたみたいですと報告します。
どうせ商品の発売記録しかとってないし。。。
しかし、ファーストサーバの追求から逃げ切れた香具師っているんかな。。。
>>544
この場合、設置者は、ユーザに入力された情報を記録する意図があります。
決して、記録した情報を一般公開しようという意図はありません。
ある方法で、記録されている情報を得たとしたらソレは不正アクセスなわけです。
で、その不正アクセスの動機が不正アクセス可能であることを指摘する目的でも処罰されるんだったら怖いなぁと。。。(クドイ
>>547
一般利用者の情報を保護する目的で作られた法律が不正アクセス禁止法ですよね。
システムの作成者や管理者を処罰するようにしようとした場合、業務上過失ほげほげみたいな法律が必要でしょうな。。。
そんなものができたら、システム価格が高騰するでしょうね。
- 552 名前:名無しさん@お腹いっぱい。 [04/02/08 05:06]
- news5.2ch.net/test/read.cgi/newsplus/1076162520/l50
どぞ
- 553 名前:名無しさん@お腹いっぱい。 [04/02/09 00:15]
- www.firstserver.ne.jp/es/about/sec.htmlで万全のセキュリティを謳っていながら、
実際には何もしていなかったのではないだろうか?
していないなら誇大広告だし。
> 新規導入ソフトのセキュリティ監査(独自CGIは除く)
を行っていたなら、何故こんな単純な穴が見過ごされたのか? 今後見過ごさないようにする対策に関して説明する義務があると思う。
- 554 名前:名無しさん@お腹いっぱい。 [04/02/09 07:53]
- >>544
>『真』犯人=ACCSとファースト鯆は逝ってヨシ!
何という罪を犯したんですか?
私の知っている限り、ACCSとファーストサーバは被害者か関係者というだけで、
罪を犯したという記憶は有りませんが・・・。
- 555 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/09 08:07]
- >>554
ACCS
セキュリティを専門にしている集団のくせに
・不必要な個人情報を収集した
・個人情報を扱うのにセキュリティチェックもせずに業者まる投げ
ファースト鯖
・基本的なサニタリングもしていないCGIを提供した
・早くからセキュリティーホールに気付きながら、ユーザに周知すらしなかった
・事件後も正式なコメントすら出さずとぼけつづけている
そりゃ高度なスキルを持ったクラッカーが誰も気付いていない穴をついたなら
同情の余地もあるだろうが、今回のようなまぬけなしかも既知の穴をほっといて
被害者づらもないだろう
- 556 名前:名無しさん@お腹いっぱい。 [04/02/09 09:08]
- >>547
「サイバーノーガード戦法」の記事を読んでみたのですが、どうも一時的な義憤で書かれた、稚拙な記事という印象を受けました。
仮に、不正アクセスをされたサイトの管理者は不正アクセスを行った者と同じく加害者であるから、同様の罪と考えるべきであるという事を言っている
のなら、私はそちらの方が怖いですね。
それこそ専門の情報機関に掛かれば、一般のWebサイトに不正アクセスを行う事は容易にできるでしょうし、不正アクセスを行う事で相手を犯罪者にできるのなら、
国家権力に掛かれば幾らでもそういう*犯罪者*を仕立て上げる事ができる事になりかねません。
いささか想像力が大きすぎるのかも知れませんが、世界中と繋がっているネットワークに接続している訳ですので、そういう事も考慮しないのは問題が大きすぎると思いますねぇ。
第一、不正アクセス禁止法が禁止しているのは、別にインターネットに接続されたコンピュータに限らなかったと思うのですが、それが正しいとすると、非常に広範囲に犯罪者として逮捕される恐れが広がるのではないでしょうか。
そちらの方が個人情報の漏洩より遥かに怖いと思います。
- 557 名前:名無しさん@お腹いっぱい。 [04/02/09 09:09]
- (続き)
>>547
やはり不正アクセスなどにより個人情報が漏洩されてしまった場合、その管理が不適切だったという事による民事上の責任に問われる形であるべきでしょう。
>犯罪者には賠償能力が無い場合のほうが多いから、情報管理者の賠償責任を
>問える法制度が無いと困りますよね。
賠償能力は関係が無いと思いますよ。
不正アクセスをするのが貧乏な個人であり、不正アクセスされるのが裕福な法人とは限りませんし、第一賠償能力が無いからと言って賠償責任が軽減されるというのも、賠償能力が有るからと言って賠償責任以上の負担を命令されるというのもおかしな話です。
>情報だけ
>守れば安心ってものでは無いだろうし、ちょっと違う気がするんですよ。
いや、逆でしょう。
守らないといけないのは情報であって、Webサイトのセキュリティでは無いと思いますよ。
- 558 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/09 09:15]
- まぁあれが稚拙な記事というのには同意するが
別に専門の情報機関とかいうような話ではなく、
今回のようなろくなセキュリティもない糞なサバ管
でもお咎めなしってのはどうなのよ
ってことであってさ
まぁそういうサバ管は自然淘汰されていくのが
資本主義って奴だとは思うが、不正アクセスの
おかげで糞サバ管が被害者面してるのもなんだかなぁ
- 559 名前:名無しさん@お腹いっぱい。 [04/02/09 09:16]
- >>555
それは犯罪なんですか?
- 560 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/09 09:20]
- 現行法では犯罪じゃないよ
だからこそ>>544は
『真』犯人
と書いてあるんだと思うよ
- 561 名前:ムウ・ラ・フラガ mailto:sage [04/02/09 18:21]
- 国内高速回線
格安
電話サポートも、あり
www.risedotpro.com
- 562 名前:名無しさん@お腹いっぱい。 [04/02/09 21:20]
- >558
残念ながらIIJは事実上、九州合併された。
ACCA^hSが良貨を駆逐している現状。
>560
現行法でも有罪だよ。文章を正しく読む限りでは。管理者には情報を
正しく保護することを求めている。にも係わらず、その保護を破って
侵入するのが「不正侵入」。ノーガード戦法なのに不正侵入の容疑で
タイーホとは、これ如何に?
まあ法律は、文章よりも判例だけど、この法律はまだこれから判例を
積み重ねていかねばならん段階たからね。
とにかく、大本営発表は、もう秋田。お腹いっぱい。
その受け売りのマスゴミ記事を鵜呑みにするなよ。
情報操作には、眉に唾付けるのを忘れるな。
- 563 名前:名無しさん@お腹いっぱい。 [04/02/09 21:26]
- >545
サンクツ。「ヨセフ アンド レオン」ってユダヤ系かな。覚え難い
名前だ。
確かに「40過ぎのオサーンがおじさん(ここ平仮名)の権力を…」
のくだりが削除されてるね。恥ずかしいヤシ。全然、釈明に
なってない釈明。ITバブルで色んなDQN野郎が参入して来たが、
ここまで最低なDQN野郎は初めて見た。
- 564 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/09 21:59]
- >>551
「不正アクセス禁止法」は、(設立の趣旨は別かもしれませんが)個人情報を管理
している管理者を不正アクセスから守るような内容になってると思うんですよ。
「個人情報保護法」が個人情報の漏洩から個人を守るために、管理者に管理義務を
課してはいますが、罰則がそれほど厳しくはないんですよね。
ご指摘のようにあまり厳しいと業界にも悪影響が出るのでしょうが…
個人情報の漏洩を防止するには業界の自主的なモラル向上に期待するしかないという、
個人にとっては非常に厳しい状況ですね。
(罰則が緩いので変化のスピードはかなりゆっくりなんだろうな)
>>557
国家権力による「不正アクセス禁止法」の乱用により、サイトの管理者が犯罪者に
仕立て上げられてしまうことも確かに心配です。
でも私は、犯罪者によって持ち出された個人情報が悪用されて更なる被害が起きた
場合の被害者の損害が深刻なことのほうが、もっと心配です。
情報が漏洩した場合に、「個人の更なる損害」について負担する責任は情報を管理する
企業の規模によって決まるのでは無いのは、もちろん同意です。
「簡単に個人情報を盗まれないように管理義務を誠実に履行していたかどうか?」や、
「不正に個人情報を入手した犯人の悪質性」等で決まるべきと思います。
>いや、逆でしょう。
>守らないといけないのは情報であって、Webサイトのセキュリティでは無いと思いますよ。
私の文章が読む人に誤解を与えてしまうような、とりとめの無い形になってました。
申し訳ないです。
「情報だけ守れば安心ってものでは無いだろうし」というのは「個人情報が漏洩した
被害者を更なる損害から守って欲しい」というような気持ちで書きました。
「不正アクセス」の解釈が、情報を管理する管理者の「管理義務」を緩くしてしまう事
(いわゆる個人情報だだ漏れ)が起こらないように願うばかりです。
|
 |
