ファースト鯖
..
291:190
03/12/28 03:09
>>289
>>「利用することは可能」≠「利用しても安全である。」
>
>の部分。これをいっちゃえば、世の中のシステムに対してすべて当てはまり、
>何も出来なくなってしまう。
繰り返し書かせてもらう。
現にどこのホスティングサービスも、ましてや市販のソフトウェアも、
それを使用することで起きた損害を保障してはくれまい。
少なくとも私は保障してくれるシステムをしらない。
使用許諾等の内容にに同意して使っている以上、残念ながら責任は追及できまい。
しかし、予めセキュリティーホールがあることに気付いていながら、
今回の事件を起こしてしまったのなら、企業側にも責任があるというのは
皆さんの言うとおり。それが事実なら私も大きな問題だと思う。が、
それを裏付けるものとして、森川・office 両氏の書簡しかないのであれば、
その信憑性も含め、証拠としては弱いと思う、というのが私の見解。
(つづく)
292:190
03/12/28 03:10
(つづき)
>それにファーストサーバーを悪者にしたいのではなくて、すでにこれだけ放置していると
>いうことだけで、十分悪者だと思うが。
前述の理由で、「すでにこれだけ放置」していたと、断定することは
私には出来ない。
office 氏が、11/8 夜に脆弱性の公表を行ってから、ファーストサーバ(以下 FS)の
公式な対処として最初に行われたしたのが 11/12 の【緊急告知】のメールであり、
旧 CGI の強制的な切り替えは、11/11、11/14 に行われた模様。これらの情報は
office 氏のサイトや、このスレから得た情報であるが、ある程度周知の出来事で
あるため、office 氏以外にもこれらが実際に行われたことを証明できると考える。
現時点でこの部分のみ、私は十分信頼に値する情報と捕らえており、FS の
レスポンスは適切なものだと評価する。
今回に限らず、問題が発覚した時点で迅速かつ適切な対処をしてくれれば、
個人的には文句はない。また、大抵のユーザも納得できると思う。
ところが、少なくとも私個人には一連のメールは一切届かなかった。
(該当する旧標準 CGI 利用者のみに送信された模様。)
これでは隠蔽体質といわれても仕方が無いともいえる。むろん、黙って
おきたい気持ちは分かるが、個人的にはこのスレッドで始めて知ったことの方が
衝撃的であった。
293:190
03/12/28 03:14
>>290
>しかもスレッドを全部読むとサービスを手ばなしに良いと言っているのは190だけなんだよなあ
あなたの言う「サービス」が何処までを範囲とするのか不明だが、
確かに概ね不満は無い(料金がもう少し下がると良い。)。
しかし、ユーザーとして、今回の事件の説明責任は果たして欲しかった。
それは過去に何度か書いたとおり。私はそういうこともサービスの一環だと
思っているので、決して「手ばなしに良い」とは言ったことも言うつもりも
今のところ無い。
>もし本当は違うとしてもファーストサーバー側の人間の自作自演と思われてもやむを得ないと思うよ。うん。
こればかりはどうしようもないですね。
294:名無しさん@お腹いっぱい。
03/12/28 08:56
>それを裏付けるものとして、森川・office 両氏の書簡しかないのであれば、
>その信憑性も含め、証拠としては弱いと思う、というのが私の見解。
この件に対してファーストサーバーが「事実無根」と表明しない限りは事実であると認めているのと同様
別にこのスレッドで裁くわけではないのだから証拠として弱い云々の話は全く関係なく
ユーザーとしては出てきている事象で判断するわけでこの件に対してきちんとした表明が出ない限りは
これが真実と判断するでしょう
>現時点でこの部分のみ、私は十分信頼に値する情報と捕らえており、FS の
>レスポンスは適切なものだと評価する。
サーバーを利用しているユーザーにとってはそうかもしれないが、そのサーバーに訪れて
実際に個人情報を入力してしまった二次利用者に対する責任は一切考えられていないし
その二次利用者に対してどのようにすべきか?という方策に関しても提示するような動きは無かった
こういうことを書くと契約の約款がどうとか言い出すのだろうが社会的道義的な責任は一切果たされていない
サイトではその事実を一般には全く告知せずに運営しているのも信用に値しない
>こればかりはどうしようもないですね。
結局、先に書かれていた「またfusianaやればいーだろ」という部分に全く反応せずに
わかりきったような長文を書いてればますますそう思われるだろうと思うよ
295:名無しさん@お腹いっぱい。
03/12/28 11:06
>それを裏付けるものとして、森川・office 両氏の書簡しかないのであれば、
>その信憑性も含め、証拠としては弱いと思う、というのが私の見解。
俺の場合は別に証拠集めしてるわけでもないしなあ
ファーストサーバーを今後利用するのが良いか悪いかの判断材料として
このスレを見ていただけだし他の人もそうなんじゃない?
材料としては利用をやめるには充分な判断材料だし、こんなヤバイところを
他の人が利用していてそのサービスを俺が利用してしまって自分の個人情報が
流れてしまう可能性もあるので全ての利用者にやめて欲しいくらいに思ってるけど
俺の考え方はおかしい?
296:190
03/12/28 13:25
>>294
>ユーザーとしては出てきている事象で判断するわけでこの件に対してきちんとした表明が出ない限りは
>これが真実と判断するでしょう
真実と判断するのは早計だと考えます。あなたが“個人的”に「真実」と
思うことにとやかく言うつもりはありませんし、書簡の内容は、そう思われても
仕方が無い内容です。しかし「ユーザーとしては出てきている事象で判断する」
と、あなた自身の発言にあるとおり、私がユーザーとして、知りえた事象からは
「真実であると」断定できません。書簡を証拠とするならば、少なくとも
office 氏が公表という形を取り、それがいつ交わされたものなのか、
森川氏のメールアドレスはファーストサーバ(以下 FS)管轄のものであったか
(つまり、森川氏は業務として office 氏と対峙していたか。)、
メールヘッダの情報など、明らかにさせる必要があるでしょう。
(つづく)
297:190
03/12/28 13:26
(つづき)
また、書簡が公表され、事実だと断定できたとします。office 氏のサイトに
その抜粋と思われる部分があり、そこから引用しますが、森川氏の発言として
「該当のCGIにつきましては、弊社でも脆弱性(洗浄不足)を認識しており、
昨年末にお客樣へ通知の上、対応版をリリースし、また、今年には
構造をまったくかえたCGIを新規にリリースして、該当のCGIの使用を
やめるように指導しておりました。〜(後略)」と、あります。
ところがその一方で、office 氏は「というファーストサーバ側の主張については、
この表現通りであるとの裏が全くとれませんでした。むしろ、CGIのセキュリティ問題を
認知しながら、それを顧客に知らせず、なんとなくバージョンアップしたというような
表現しかしていなかったということのようです。」と、発言しています。
“裏が全くとれませんでした”とあるとおり、森川氏の発言を裏付ける情報は
全く出てきていません。ここにいくつかの解釈が生まれると思います。
ひとつは、大半の皆さんがおっしゃるように、FS が“穴”を知りつつ、
長期間に渡り有効な対策を講じてこなかった。もうひとつは、森川氏が
口から出任せの発言でその場を凌いだ。等が考えられます。
どの道、この書簡を証拠とするならば、FS が昨年末から対策を講じていた
という裏が取れない以上、森川氏は嘘をついていたことになります。
黒に近いグレーですが、疑問の余地がある以上、私には FS にミスがあったと
断定できません。(つづく)
298:190
03/12/28 13:26
(つづき)
>サーバーを利用しているユーザーにとってはそうかもしれないが、そのサーバーに訪れて
>実際に個人情報を入力してしまった二次利用者に対する責任は一切考えられていないし
>その二次利用者に対してどのようにすべきか?という方策に関しても提示するような動きは無かった
「予めセキュリティーホールに気が付いていながら、長期に渡り対処を怠っていた。」
というのが事実であるなら、その意見には納得できるが、そうでないのであれば、
ユーザーの自己責任の範囲としかいえないでしょう。標準 CGI の安全保障など
何処にも明記していませんし、標準 CGI の使用を強制していたわけでもありません。
>結局、先に書かれていた「またfusianaやればいーだろ」という部分に全く反応せずに
>わかりきったような長文を書いてればますますそう思われるだろうと思うよ
IP が変わってしまったのに、再度「またfusianaやればいーだろ」という意見の
意味が分かりません。第一、前回 IP を公表したにもかかわらず、>>285 のような
レスもあります。残念ながら、同一性を証明することも難しそうです。
fusianasan の効果と、私が負うリスクを天秤にかけて、これから先 IP をさらすことは
控えようと思います。この件に関しては納得できる説明が無い限り、これから先
反応するつもりはありません。「ますますそう思われる」ことは残念ですが、
有効な対処法が浮かびませんので。
299:名無しさん@お腹いっぱい。
03/12/28 13:41
>どの道、この書簡を証拠とするならば、FS が昨年末から対策を講じていた
>という裏が取れない以上、森川氏は嘘をついていたことになります。
森川の嘘がファーストサーバーの嘘にならないのであればサイトで公表されたとしても
それはファーストサーバーのWEB管理をしている人間の発言にすぎず、ファーストサーバーに
非は無いという理論になりかねないな
そのロジックで行けばユーザーに対してメールが送られてきても、それはファーストサーバーの
メールを送った人間の言葉にすぎないくらいのことになってしまうの理解してんの?
それと、office自身はきちんとACCSに対して出向いて謝罪しており、森川との書簡に関して虚偽を
する必要性は全く無いわけだよ
つまり、事実と認定出来る部分としては
・森川とofficeで書簡のやりとりがされていたことに関しては事実である
・その件に関して裏は取れなかったとしても森川がofficeに対して「脆弱性を認知していた」と書いたことも事実である
・森川はファーストサーバーの人間であり、森川の発言が虚偽だったとしても会社の責任ではないという言い逃れは問題外であろう
ということにならんか?
このロジックをひっくり返すとしたらACCSが虚偽の発言をしていることになるが、あれだけ速やかに謝罪表明をしたところが虚偽をする必要は無いと思うしね
300:190
03/12/28 14:05
>>295
>材料としては利用をやめるには充分な判断材料だし、こんなヤバイところを
>他の人が利用していてそのサービスを俺が利用してしまって自分の個人情報が
>流れてしまう可能性もあるので全ての利用者にやめて欲しいくらいに思ってるけど
>俺の考え方はおかしい?
個人的な考えとして尊重いたします。
私とて、一々「age」進行で、つらつらと理屈を並べているのも、
ハッキリと白黒の決着が付いて欲しいからです。
しかし、あなたとは違って、“現時点”では
「利用をやめるには充分な判断材料」とも「こんなヤバイところ」とも
思っていません。「個人情報が 流れてしまう可能性」は、個人情報を
インターネット上に置いておく以上、どんなシステムを使っても
危険性はあると考えます。
ところで、ファーストサーバが黒なら、何故 ACCS は訴えない
のでしょうか? 準備中なんですかね。そこら辺も興味深いところです。
ちなみに個人情報が流出したという記事は事実のようですが、
少なくともその ACCS の件でサーバのログを調べたところでは、
個人情報に不正アクセスしたのは office 氏本人だけであり、それ以外に
いなかったようです。(もちろん可能性として、他者からのアクセスが
無かったとは断定できないと、ご本人も言っておられますが。)
あまり実害が出なかったということでしょうか?
いっそのこと被害者(いるのなら)に訴訟を起こしてもらえると、
一気に色々な事実が明るみに出て解決しそうなものですけど。
301:名無しさん@お腹いっぱい。
03/12/28 14:26
>ところで、ファーストサーバが黒なら、何故 ACCS は訴えない
>のでしょうか?
きみは本当にわかってないねえ
自分でもさんざん書いているように訴訟にすべき材料ではないでしょう?
民事でやるとか方法はあるかもしれないけど刑事には出来ないわけだし
ACCSは公益法人だから方法として民事でやるのはあまり得策ではないでしょ
契約約款のことをよく持ち出すからある程度の法律知識くらいはあるのかと
思ってたんだけどねえ
そもそもこんな話は白黒が付くようなものでもないでしょ
ここまで情報が色々と出てきているのを否定もしなければ、内容を公表もしない
時点でファーストサーバーが「白です」と言ったとしても信用に値するとは思えないし
もし、出て来ている情報が事実であれば、それが森川単独でやったことだったとしても
ファーストサーバーは企業責任としてどうにかすべきでしょ
もし本当に脆弱性を認知していて、それを「安全ですよ」という口ぶりで使わせていたとしたら
少なくとも民法の不法行為には問われる可能性はあるでしょうがね
302:190
03/12/28 15:37
>>301
>契約約款のことをよく持ち出すからある程度の法律知識くらいはあるのかと
>思ってたんだけどねえ
申し訳ないですね。
しかし、約款は法律知識のある人間のためだけのものでもないでしょう。
現に私はその辺素人ですが、約款くらいは目を通しますよ。
てっきり、訴訟を起こさないのはファーストサーバを“黒”と
断定できないからであり、実害も少なかったからだと思っていたもので。
>もし本当に脆弱性を認知していて、それを「安全ですよ」という口ぶりで使わせていたとしたら
>少なくとも民法の不法行為には問われる可能性はあるでしょうがね
あなたも「もし」「可能性」という表現を使われていますね。
それは置いておいて、知らないついでに教えて欲しいのですが、
民法の不法行為を問う側というのは、具体的にいうと公的機関なんでしょうか?
そうだとしても、よほど実害がないと動いてくれませんよね。
結局この件は灰色で終わってしまうのだろうか。
303:名無しさん@お腹いっぱい。
03/12/28 16:20
>あなたも「もし」「可能性」という表現を使われていますね。
私の論じようといた部分はその前の段階で終わっており、あなたが訴訟という言葉を持ち出したのに
付き合って可能性について述べたまでです
こういう書き方をしてあなたは私に対して何を言いたいわけですか?
>それは置いておいて、知らないついでに教えて欲しいのですが
あなたは他の人にも指摘されていますが自分の理論を声高に叫びつつ人の書いたことをバカにするくせに
何故自分で調べようとしないのですか?
あなたとまともに会話は成立しそうにないので説明する気力もありませんので自力で調べてくださいな
304:名無しさん@お腹いっぱい。
03/12/28 16:22
>>303
読解力と理解力の無いヤツにそんなこと言ってもムダだって(w
305:名無しさん@お腹いっぱい。
03/12/28 16:38
なんでもいいけど、長くて読みにくいよ(w
まともに見た香具師いるのか?
要点だけまとめろや(w
306:名無しさん@お腹いっぱい。
03/12/28 16:46
>>190
>つまらない書き込みが減るなら IP アドレスなんて
>開示されても本望だよ。
と書いておいて
>fusianasan の効果と、私が負うリスクを天秤にかけて、これから先 IP をさらすことは
>控えようと思います。この件に関しては納得できる説明が無い限り、これから先
>反応するつもりはありません。
というのは、どういうことなのか?
まだ、前言を撤回するという言葉は聞いていないのだが。
前の発言はそういうリスクを知ったうえのでの発言だろ?
言った本人が、そういういいかげんな態度をとるのであれば
今後の発言も、自分の勝手な理屈で都合よくひっくり返すと
判断するけどそれでもいいのか?
307:名無しさん@お腹いっぱい。
03/12/28 16:50
>>305
確かになw。
事実の部分だけ箇条書きで抽出してくれや。190以外の人で。
308:名無しさん@お腹いっぱい。
03/12/28 17:08
>>307
>事実の部分だけ箇条書きで抽出してくれや。190以外の人で。
でもせっかく理解しやすく箇条書きにしても190がバカなレスを返すのでムダになる罠(w
309:名無しさん@お腹いっぱい。
03/12/28 17:09
>>306
>言った本人が、そういういいかげんな態度をとるのであれば
>今後の発言も、自分の勝手な理屈で都合よくひっくり返すと
>判断するけどそれでもいいのか?
今日はファーストサーバーの社内からのアクセスだからIP晒せないんだよ
読み取ってやれよ(プ
310:名無しさん@お腹いっぱい。
03/12/28 17:10
>>309
>今日はファーストサーバーの社内からのアクセスだからIP晒せないんだよ
>読み取ってやれよ(プ
今頃、大急ぎで会社を出てネットカフェ探してたりしてな(w
311:名無しさん@お腹いっぱい。
03/12/28 18:04
>>306
>>つまらない書き込みが減るなら IP アドレスなんて
>>開示されても本望だよ。
>と書いておいて
IP晒してつまらない書き込みを延々と続ける190がいるスレはここでつか?
312:名無しさん@お腹いっぱい。
03/12/28 18:06
>>311
>IP晒してつまらない書き込みを延々と続ける190がいるスレはここでつか?
会社のIPは理由があって晒せないそうですが概ね正解です(w
313:名無しさん@お腹いっぱい。
03/12/28 18:07
190が森川だったら大したもんだと思う今日この頃
314:名無しさん@お腹いっぱい。
03/12/28 18:09
岡田良介です
315:190
03/12/29 00:18
>>303
>こういう書き方をしてあなたは私に対して何を言いたいわけですか?
あなたも「もし、出て来ている情報が事実であれば、それが森川単独でやったことだったとしても
ファーストサーバーは企業責任としてどうにかすべきでしょ」と
言っているように、断定はしておられないということです。
そしてそれは私のスタンスと余り変わりはありません。
>>306 >>311
「>>261」 を見れば分かりますが、「つまらない書き込み」というのは、
「>>258 >>259 >>260」 のような内容を示しております。
316:名無しさん@お腹いっぱい。
03/12/29 01:02
>>315
おまえみたいなタイプが賞味期限が切れたものを食って腹を壊すんだよ(w
317:名無しさん@お腹いっぱい。
03/12/29 02:09
便所の落書きに反論してんのおまえじゃん。
おまえが一番つまらない書き込みしてんの。
2ちゃんの趣旨わかってんのかよ。
318:名無しさん@お腹いっぱい。
03/12/29 06:21
>「>>261」 を見れば分かりますが、「つまらない書き込み」というのは、
>「>>258 >>259 >>260」 のような内容を示しております。
文盲ではないので、190がそう主張しているはわかっているよ。
で、>>306の書き込みに対しての返答はどうなんだ?
自分に都合の悪いことはスルーか?
319:名無しさん@お腹いっぱい。
03/12/29 10:06
>>318
>自分に都合の悪いことはスルーか?
>>306の書き込みに対してだけでなくずっとそうだよ
きっとレス出来ないような書き込みも190にとっては「つまらない書き込み」と同じ扱いなんだろ
320:名無しさん@お腹いっぱい。
03/12/29 23:13
本人はなぜこんだけ叩かれているのか、理由がわかっていないんだろうな。
321:名無しさん@お腹いっぱい。
03/12/30 00:25
自分と違う意見は全部「つまらない書き込み」なんだろうな。
友達居るのかなー?
322:名無しさん@お腹いっぱい。
03/12/30 05:22
ここじゃどうかは判らんが、傍から見ていると、俺には190の言ってる事の方が筋が通ってると思うな。
ここで見ている限り、少なくても190や271となら一緒に仕事をしても良いが、他の煽ってる連中とは仕事はできん。
# こう書くと、また煽る奴が居るんだろうな。
323:名無しさん@お腹いっぱい。
03/12/30 09:08
>>322
190さんおはようございます
324:271
03/12/30 11:28
しばらく見れなくて、覗いたらこんな展開になっていたw
まあ、190はもう戻ってこないかもしれないけど、
せっかくレスくれて、放置するのも悪いから一応レス
つけておくよ。読んでるかもしれないしな。
>それを使用することで起きた損害を保障してはくれまい。
>少なくとも私は保障してくれるシステムをしらない。
ここに論点のずれがあるんだけど、別に保証しろとはいっていない。
cgiを使う以上は使う側も細心の注意が必要だと思うし、
チェックする義務もあると思う。ACCSもそのことが判っているから
記者会見では触れていなかったしね。
ただ、
>ユーザーは対価を払ってサービスを受けているわけだから安全性に対する義務、
>常に安全性を向上する義務というのはサービスする側に発生すると思うのだが。
と書いたように、この義務とは別問題だ。190が書いてあるとおり
完全なシステムというのは難しいわけだからね。定期的におざなりではなくね。
>ユーザーの自己責任の範囲としかいえないでしょう。標準 CGI の安全保障など
>何処にも明記していませんし、標準 CGI の使用を強制していたわけでもありません。
これもね、そこまで考えなければいけないのかなー、と。
普通に提供されていれば、問題ないとおもうのが普通では?
cgiを一から書けるスキルがあれば別だけど、自分にはありません。
そこまで考えるのであれば、他のcgiだって同じような危険性があるわけで
結局は標準であるcgiを使ってしまうのが大部分なんでは?
325:271
03/12/30 11:56
続きよん。
森川問題(wに関しては>>299の情報によれば信憑性はかなり高いと
判断できると思う。ゆえに現段階の状況においてはFS鯖はほとんど
真っ黒ではないかと。
ここらへんについては、もう我々では限界じゃないのかな。ACCSが直接訴えないのは、
>>301のいうとおりだとおもうし。ただ、Officeの件はログなどを取っているはずだし、
状況証拠もそろっているので、被害届はだしているはず。記者会見を開いている以上は
してないはずはない。また何の罪で(不正アクセスなのか、窃盗なのか、威力妨害なのか)
捕まるのか、法律のスキルはないからわからないが、このまま放置ということはないでしょう。
裁判になり、関係者は呼ばれると思う。当然、当事者のFS鯖もね。
かなり上のほうに書き込みがあったけど、裁判所で偽証するリスクを選ばない限り、
ここに真実が出てくる可能性があるかなと期待している。
警察が中々動けないのは、普通の窃盗などにくらべて、立証するのにあらゆるところの
データを集めて理詰めで逮捕、起訴しないと逆効果になるから慎重になっているものだ
と信じたい(w
>>それにファーストサーバーを悪者にしたいのではなくて、すでにこれだけ放置していると
>>いうことだけで、十分悪者だと思うが。
>前述の理由で、「すでにこれだけ放置」していたと、断定することは
>私には出来ない
これは自分の書き方が悪かったね。申し訳ない。
放置しているというのは、我々ユーザーに対してのことであってcgiの件ではない。
正式な釈明がなく、ユーザーが持っているであろう不安を取り除くことをせずに
放置していることは、十分悪者ではないかということが書きたかった。
326:271
03/12/30 11:57
最後にFS鯖についてだが、個人的には可もなく不可もなくであった。
よって同程度のところがあれば、乗り換えるには十分な出来事と判断し、
これから探そうと思っている。190がいうとおり、完璧なシステムが
ないという前提で考えると、新しいcgiだってどんなバグがあるか、わからない。
同様の問題が起きて今度は自分の身になにかあったとしたのならば
悔いが残ることだしね。
自分の身になにも起きなくても同じ問題で悩むのはいやだし。
同じ金を払うのであれば、自分のやるべき事をちゃんとやる鯖であれば、
多少料金が高くても、容量がプアでもそっちを選びたい。
327:名無しさん@お腹いっぱい。
03/12/30 12:13
>>ユーザーの自己責任の範囲としかいえないでしょう。標準 CGI の安全保障など
>>何処にも明記していませんし、標準 CGI の使用を強制していたわけでもありません。
>これもね、そこまで考えなければいけないのかなー、と。
>普通に提供されていれば、問題ないとおもうのが普通では?
それもそうなんだけど、ファーストサーバーはその標準のCGIを強制的に交換した事実があるわけだから
ユーザーの自己責任ですら無くなってしまってるしね
328:名無しさん@お腹いっぱい。
03/12/31 12:09
結局年内には何の報告も無かったですねえ
329:名無しさん@お腹いっぱい。
04/01/03 09:43
あけましておめでようございます
今年はちゃんとファーストサーバーが事の顛末について公表するかどうか
しないだろうな(w
330:名無しさん@お腹いっぱい。
04/01/04 04:18
URLリンク(www.asahi.com)
さて、マスコミがかぎつけたぞ。これで警察も動かざるおえない
状況になったな。
明日の仕事始めが楽しい状況になったな、ファースト鯖
331:名無しさん@お腹いっぱい。
04/01/04 04:22
関連スレ
スレリンク(bizplus板)
スレリンク(newsplus板)
332:名無しさん@お腹いっぱい。
04/01/04 04:53
関連スレ
スレリンク(sec板)l50
333:名無しさん@お腹いっぱい。
04/01/04 09:16
不正アクセス法の論文ってとぼしいな。
URLリンク(www.okumura-tanaka-law.com)
URLリンク(www.okumura-tanaka-law.com)
不正アクセスの禁止等に関する法律の運用(罪数判断を中心に)
奥 村 徹
不正アクセス行為の禁止等に関する法律(平成11年8月13日法律第128号)は平成12年2月13日に施行されて3年を経過した。
同法初の上告事件の弁護人となったことを契機に、刑事確定訴訟記録法によって、
報道・文献で紹介された事例について判決例を収集・分析を試みた。
その結果、ひとたび他人のID・パスワードを入手すると多数回の不正アクセスを行う犯人が多いこと、
私怨による動機であったり知人に対するものなど概して犯罪規模が小さいこと、
保護法益や罪数の理解にバラツキがあること、保護法益は社会的法益とされているものの
判決理由では具体的被害の大小や被害感情が重視されていることが判明した。
本稿では、検挙事例を概観して、刑罰による規制の限界を明らかにしたい。
334:転載朝日officeインタビュー
04/01/05 01:24
(記者、以下記)なぜ個人情報を持ち出し、公開したのか?
(office、以下o)今回のCGIは広く使われている。個別に通告するよりも、騒ぎを起こして、全サイト運営者に手直しを迫る必要があった。
それには「証拠」を見せることが必要だ。ネットのセキュリティー問題を扱う民間団体に、さまざまなサイトの欠陥を指摘しても、
「証拠を出せ」と門前払いされるばかり。だから、だんだん指摘の仕方が過激になった。
欠陥は7月に発見した。11月の集会で参加者と一緒に、インターネットで個人情報が見えることを実演したかった。
(記)違法行為では?
(o)このCGIには外部からの侵入を防ぐ工夫がなく、全ての情報が公道に放置されているような状態だった。弁護士にも
相談したが、不正アクセスではないと思う。
(記)ネットの安全性に関心を持ったきっかけは?
(o)01年に官庁や大企業のサイトを調べたら欠陥だらけで、警鐘を鳴らす必要があると思った。
(記)サイト運営者の依頼を受けて安全性を検証すればよかったのでは?
(o)一度バイトで引きうけたが楽しくなかった。脆弱さを指摘した相手の対応の仕方に興味がある。(サイトに入るための)
攻撃コマンドが決まったときはすかっとする。
(記)反省点はないのか?
(o)今回は消費者の味方と言い切れない部分があり、コンピュータソフトウェア著作権協会にも出向いてわびた。
利用者の個人情報は全て削除した。深く反省している。
335:休暇明け190
04/01/06 08:19
朝日の記事は帰省先で読みました。
期待した程の内容ではなく残念です。
ともかく、ようやく世間的に注目されてきたので、
真相の究明につながれば良いなと、期待しています。
336:名無しさん@お腹いっぱい。
04/01/08 12:03
で、結局はだんまりをきめこむファーストサーバー
337:名無しさん@お腹いっぱい。
04/01/08 12:36
URLリンク(www.firstserver.co.jp)
>当社の有する技術的な知識を駆使して
技術なんて無いだろ(w
338:名無しさん@お腹いっぱい。
04/01/08 13:25
常識もないだろ
339:名無しさん@お腹いっぱい。
04/01/08 17:24
URLリンク(www.ad200x.net)
とりあえず、あまりにも遅すぎたが、A.D.のほうは筋を通した。
ファースト鯖よ。どうするんだよ。いつまで被害者面しているんだ。
340:名無しさん@お腹いっぱい。
04/01/08 18:05
糞会社だね。
341:名無しさん@お腹いっぱい。
04/01/08 18:10
いや、単なる糞で会社ですらないだろ
342:名無しさん@お腹いっぱい。
04/01/08 18:12
この会社の経営陣は全員クビ
親会社のクボタの役員も報酬カット
顧問弁護士は契約解除
森川は・・・もうクビになってるかな?(w
343:名無しさん@お腹いっぱい。
04/01/08 20:23
officeとAD200Xに損害賠償請求あげ!
344:名無しさん@お腹いっぱい。
04/01/08 23:18
FAX送信しまくり
345:名無しさん@お腹いっぱい。
04/01/09 00:56
URLリンク(www.ad200x.net)
346:名無しさん@お腹いっぱい。
04/01/09 01:02
しかし、馬鹿だよな。ちゃんと初期の段階にしっかり対処して、
謝罪なり、弁明をしていれば今ごろはACCSと一緒に同情されていたのにね。
今回の件で、まともに対処できたのはACCSだけだね。
347:名無しさん@お腹いっぱい。
04/01/10 01:23
この事件に関していろいろなHPや掲示板を覗いてみたけど
officeをかばうやつもいれば、ACCSをかばうやつもいた。
しかし、ファースト鯖をかばうやつが何処にもいなかったことがワラタ。
348:名無しさん@お腹いっぱい。
04/01/10 17:08
>>347
かばってたのは190だけだろ(w
349:名無しさん@お腹いっぱい。
04/01/10 17:18
厨房サイト入れ食いウマー(・∀・)
URLリンク(www.geocities.jp)
350:名無しさん@お腹いっぱい。
04/01/11 11:14
しかも、その190はあっという間に居なくなったよな(w
問題が大きくなったら禁止令でもでたか?(w
351:名無しさん@お腹いっぱい。
04/01/11 11:57
そしてファーストサーバーは黙ったまま
ひどい会社だな
352:190
04/01/12 00:34
>>350
捜査中というのが事実なら、近いうちに
ことの真相が判明すると思われます。
断定できない事柄を連ねて、誹謗する気には
到底なれません。
353:名無しさん@お腹いっぱい。
04/01/12 03:18
じゃあなにか?断定出来たら誹謗するってことか?
354:名無しさん@お腹いっぱい。
04/01/12 20:07
190は誹謗する前にさんざん馬鹿にしてきたこのスレの住人に謝罪するほうが先だろ(w
355:名無しさん@お腹いっぱい。
04/01/13 17:43
ユーザーを騙して脆弱性のあるCGIを使わせ続けてその後だんまりを決め込んでる
クボタの子会社の鯖屋はこちらですか?
356:190
04/01/13 18:52
>>354
>190は誹謗する前に
断定できない事柄を連ねて、誹謗する気には到底なれません。
>さんざん馬鹿にしてきたこのスレの住人に謝罪するほうが先だろ(w
自分の過ちに関しては謝罪済みです。
>>355
>ユーザーを騙して〜(以下略)
現時点では「騙して使わせ続けていた」と断定することは
出来ないと考えます。
357:名無しさん@お腹いっぱい。
04/01/13 19:24
公式表明が出ない限りは騙して使わせ続けたも同然だろ
何の問題も無いのであればさっさと事実を公表しる
358:名無しさん@お腹いっぱい。
04/01/13 21:46
公表まだ?
359:名無しさん@お腹いっぱい。
04/01/15 15:34
今日も公表はされませんでした
URLリンク(www.firstserver.ne.jp)
360:190
04/01/15 17:33
>>357
>公式表明が出ない限りは騙して使わせ続けたも同然だろ
公式に糾弾されたわけでもないのに、公式表明する
必要は無いでしょう。何故「騙して使わせ続けたも同然」と
言い切れるのか不思議。
事実を公表して欲しいと思う気持ちは私も同じ。しかし、
営利企業として、そういうやり方も理解できなくも無いですよ。
ACCS の個人情報漏洩に関し、ファーストサーバ社が絡んでいると
どれだけの人間が知っているかな。それがもっと周知されれば、
すぐにでも何らかの公式発表があると思いますがね。
361:名無しさん@お腹いっぱい。
04/01/15 18:32
>公式に糾弾されたわけでもないのに
公式に糾弾されてからの表明では遅いのだがね(w
>何故「騙して使わせ続けたも同然」と言い切れるのか不思議。
現時点「そうではない」と断定出来る部分も無い
そうではないと公表されないのであれば騙されたと感じるユーザーが出てきても当たり前
つまりそれぞれのユーザーの判断に委ねられている部分でもありあなたが不思議がることはない
私はあなたの言動のほうが不思議に感じるがそれはあなたの考え方の問題であってそれをどうこう言うつもりもない
あなたは何故人の考え方に対してまで「違う」とか「不思議」とか言うのでしょうね?
自分の考えを押し付けてるとは感じませんか?
>営利企業として、そういうやり方も理解できなくも無いですよ。
モラルを無視すればやり方は理解出来るよ
別に法的な問題ではなくユーザー及びサービスを利用したことのある
二次ユーザーへの不安の解消は全く行われていない状況はモラル的にどうかと思う
>ACCS の個人情報漏洩に関し、ファーストサーバ社が絡んでいると
>どれだけの人間が知っているかな。
知れ渡ってからでは遅いのですよ
時間経過があればあるほど隠蔽していたと思われるだけで企業的なメリットも無いしね
>それがもっと周知されれば、
>すぐにでも何らかの公式発表があると思いますがね。
そこまで先延ばしにしたら普通に会社として潰れるんじゃないかあ?
362:名無しさん@お腹いっぱい
04/01/16 00:10
> そこまで先延ばしにしたら普通に会社として潰れるんじゃないかあ?
ふつーのレンタル鯖ユーザは、そんなこと気にしてないんじゃないかな?
もとい、今回のようなセキュリティ問題に関わるゴタゴタ。
2chをもてるわけじゃないし、オヒスのページ見るわけじゃなし。
つぶれないでしょ。
363:190
04/01/16 18:35
>>361
>公式に糾弾されてからの表明では遅いのだがね(w
世間的に見れば、ファーストサーバさんは、まだこの事件に
巻き込まれていません。わざわざ誤解を受けかねない可能性が
あるなら、黙っているのも手段でしょう。
>現時点「そうではない」と断定出来る部分も無い
>そうではないと公表されないのであれば騙されたと感じるユーザーが出てきても当たり前
>つまりそれぞれのユーザーの判断に委ねられている部分でもありあなたが不思議がることはない
根拠無く他者を褒めても余り問題はありませんが、
根拠無く他者を貶めれば実害が伴う危険性があるということですよ。
他者を誹謗することに非常に熱心な方が多数おられますので、
多少なりともバランスが良くなるように、私は反論いたします。
(つづく)
364:190
04/01/16 18:35
(つづき)
>自分の考えを押し付けてるとは感じませんか?
押し付けた覚えはありません。反論しているだけです。
繰り返しますが、確固たる理由も無くファーストサーバさんの
評価が下がることは、ユーザーとして非常に迷惑です。
>モラルを無視すればやり方は理解出来るよ
CGI の穴に気付きながら、対策を怠っていたという事実が
判明しない限り、モラルを無視したやり方とは言えないでしょう。
>二次ユーザーへの不安の解消は全く行われていない状況はモラル的にどうかと思う
私にも似たような思いはありますよ。しかし繰り返しますが、問題は、
ユーザーを含め、どれだけ社会的に事件が周知されているかによって、
対応は変わるということです。公表の仕方によっては、何も知らない
大半のユーザーに対し、逆に不安を募らせる危険性もあるでしょう。
今日まで、正式なコメントが無いことに不満はあります。
いっそのこと、もっと事件が周知され、社会的な批判や評価を
もろに受けて、もっと良い会社へと飛躍して欲しいものです。
365:名無しさん@お腹いっぱい。
04/01/16 22:41
190がこのスレをダメにしてると思うに1票
366:名無しさん@お腹いっぱい。
04/01/16 23:18
2票
しかも言ってることが支離滅裂なのを理解していなに1クローネ
367:(v^◇^v) † ロリポ神 † (v^◇^v)
04/01/16 23:25
地上の愚かなる糞ファースト鯖ユーザー共へ定期神託を下す。
ロリポップ を崇めよ。
ロリポップ を愛せよ。
ロリポップ を薦めよ。
ロリポップ を称えよ。
ロリポップ を奉れよ。
ロリポップ を褒めよ。
ロリポップ に従え。
ロリポップ に命を捧げよ。
ロリポップ に生き、ロリポップ に氏ね。
(有)paperboy&co.の方角を向き、深く礼拝せよ。
(有)paperboy&co.へ私財を喜捨せよ。
ロリポップ 開設月には、断食をせよ。
(有)paperboy&co.へ一生に一度は、巡礼せよ。
ロリポおじさんは神の使徒であると常に唱えよ。
以上。決して怠らぬように・・・わかったかヴォケども。
368:名無しさん@お腹いっぱい。
04/01/17 00:35
三票。
そうなんだよな。自分の意見の中での矛盾に気がついていないのがね。_| ̄|○
学生なのかな?社会人とは思えない思考だな。社会人だとしても、おひすと同じような
学校関係者かもね。社会とは違った閉鎖社会で世間の荒波には無関係で独特だからね。
何人か学校関係者知っているけど、実社会では生きていけないなと思うほど
非常識な人ばかりだ。
369:名無しさん@お腹いっぱい。
04/01/17 01:24
四票2クローネ。
社会人だとしたらファーストサーバの社員だろ。
でなければここまでいびつな思考はできないよ。
370:名無しさん@お腹いっぱい。
04/01/17 09:20
セカンドサーバ設立っていってます
スレリンク(honobono板)l50
371:名無しさん@お腹いっぱい。
04/01/17 10:03
2004年1月15日
ファーストサーバ サポートセンター
暫定版CGI削除のお知らせ
平素よりファーストサーバをご利用頂き誠にありがとうございます。
さて、昨年2003年12月16日に弊社にて旧標準CGIより置き換えさせて頂きました
暫定版CGIにつきまして、ご案内の通り次週22日に削除させて頂きます。
現在ご利用中のお客さまは削除作業後ご利用できなくなりますので、至急、弊社
提供の最新のCGIにお乗換え作業を実施していただきますようお願い申し上げま
す。なお、お乗換方法は、弊社サポートWEBに掲載しておりますので、ご参照く
ださい。
(略)
今後ともファーストサーバをよろしくお願いします。
372:名無しさん@お腹いっぱい。
04/01/17 11:08
>世間的に見れば、ファーストサーバさんは、まだこの事件に
この世間的にという意味がまったくわからないのだが。
認知度が低いということなのか?
世間の認知度が低かったら、問題ないのか?
どのくらいの規模で知られたら、認知されたというのだ?
どうやって調べるのか?だれが認定するのだ?
190の脳内認定では、意味がないんだぞ。
>根拠無く他者を貶めれば実害が伴う危険性があるということですよ。
すでに消えてしまったが、事件の当事者であるofficeの謝罪文の
中にファーストサーバーについての部分があるのだが、これは
根拠にならないのか?また、自分の脳内判定による判断なんだろな。
>多少なりともバランスが良くなるように、私は反論いたします
あんた、何様なんだよ。バランスのために反論ってさ。
いいわけにしか聞こえないぞ。少なくとも他の人間は、記事を読んだり
さまざまな情報を見て、自分の判断で書き込んでいるだけであって
そんなご大層な思い込みは、ここには必要ないんだよ。
反対のための反対なんざ、いらないんだよ。
373:名無しさん@お腹いっぱい。
04/01/17 11:19
五票3クローネでつ。
いったいどんな思考回路してんのか小一時間・・・
374:名無しさん@お腹いっぱい。
04/01/17 11:23
>繰り返しますが、確固たる理由も無くファーストサーバさんの
>評価が下がることは、ユーザーとして非常に迷惑です。
正式な発表もせず、ユーザーを混乱させている企業の評価が
下がることは、当たり前のことだと思うのだが。
そして、確固たる理由はofficeの謝罪文で十分だろ。
>判明しない限り、モラルを無視したやり方とは言えないでしょう。
混乱している状況を収めることをしないことは、企業として
モラルがないといわれても、「一般社会」は当たり前。
こういうことを、一般的には「臭いものに蓋」というんだよ。
>ユーザーを含め、どれだけ社会的に事件が周知されているかによって、
>対応は変わるということです。公表の仕方によっては、何も知らない
あんたさ、雪印などの事件とか知らないのか?
企業の社会的責任というのは、事件の規模や認知度なんて関係ないのだよ。
>いっそのこと、もっと事件が周知され、社会的な批判や評価を
>もろに受けて、もっと良い会社へと飛躍して欲しいものです。
そういう外圧や社会的批判などに頼り、自分自身で解決できない企業
なぞ、良い会社への飛躍なんて考えられないのだがな。
375:名無しさん@お腹いっぱい。
04/01/18 10:48
土曜日の昼すぎから止まってる。。。
やはりコノスレfsvの社内議論なのね。。。
376:名無しさん@お腹いっぱい。
04/01/18 11:51
しかし、結局、応急対応版の問題って何なんだ?
場所を移してファイル名変えているのに、わざわざ見つけて消すって言ってくるから、しゃーないなと乗り換えようかと思ったんだが。。。
設置作業、めんどくさいぞー。
377:名無しさん@お腹いっぱい。
04/01/18 12:59
>>376
問題があっても客にさえバレなければ良いと工作員190号が申しております。
ですから問題があっても客には公表されません。
唯一楯突いたofficeは逮捕直前でもはや無力です。
おとなしく騙されつづけてください。
お幸せに。
378:376
04/01/18 13:19
当たり前ながら、自作CGIは放置なんだろ。
漏れが作ったCGI、>に関しては別の理由で無効化してあったのでいいのだが、他になにがあるんだって気になってしゃーないがな。。。
偶然とは恐ろしいもので、最初に応急対応版に入れ替えるって通知が来くる1週間前に立ち読みしたPerl本に>の問題点が書いてあった。
応急対応版をみたら、きっちりその対策がしてあったので笑えた。
しかし新CGIの設置作業、自分で作ったほうが早いほどめんどくさいぞ。
ちなみに旧版使用当時、Perlがぜんぜんわからんかった。
379:名無しさん@お腹いっぱい。
04/01/18 20:56
>>378
あ、自分で作ってるのね。ごめんごめん。
またファーストサーバ提供のスクリプトの入れ替えかと思ってね。
一概にこうすれば完璧ってのは言えないけど、入力でフィルタリングするんじゃなくて
・処理を行う上で問題となる文字
・出力先で問題となる文字
について対処することになる。
クロスサイトスクリプティング対策ではHTMLが使うメタ文字についてフィルタか
置き換えをすることになるね。
今回のファーストサーバのCGIでは「フォームのパラメータを変更してファイル
にアクセスした」っていう話らしいんで、これだけじゃ対処はできてないと思う。
詳しくは板違いになるんでWEB製作板あたりを探してくれ。
380:376
04/01/18 21:29
んー、別にどっちでもええねんけど、困っているのは以下の2点。(あんまり書くと、わしが誰かまるわかりやな。。。)
・暫定版に問題を自信を持って発見できないので、自分で作ったCGIにも同様な問題があるんじゃないかと不安になっていること。
・Perlを使えなかった頃に標準CGIを使って納品したサイトで、入れ替えが必要となっているんだが、新バージョン乗換えがめんどくさい。
忙しいんで暫定版をファイル名やパスを変えてごまかして「客先にもう大丈夫ですよ」って、言ってるのに、22日に消しますってメール送ってくるんだもん。。。
どないせーつーねん。。。
381:名無しさん@お腹いっぱい。
04/01/18 21:41
>>380
暫定版がどんなコードなのかわからないから正確じゃないかもしれないけど。
そもそも暫定版はQuickHackでの修正なのかも知れない。
HotFixとバージョンアップの違いみたいなもんかな?
んだから、そもそも暫定版はソースが汚いだけで問題は直ってるのかも。
で、動作効率上げて最適化まで考えたリリース出しますよ、だから前のは
置き換えますよ、機能は同じですよ、という言い分の可能性もゼロじゃない。
だから問題を見つけられなくて当然だっていう可能性もゼロじゃない。
ただし、本来はそういったことについてちゃんと仕様や変更点がアナウンス
されて当然なんだけど、376の悩みっぷりから見るといまいち説明されて
いなさそうな気がする。
そのへんは問い合わせてみるのも手だと思う。
乗換えが面倒なのは、まあ、頑張ってくれとしか。
382:国民生活千太亜
04/01/19 00:07
376さん、大変な迷惑をファースト鯖から受けたようですね。ご同情申し上げます。
一つ言えるのは、これだけ無責任な考えを持ち、社会的責任を果たそうとしない対
応をするファースト鯖社でサーバを借りるメリットは少なく、敢えてファースト鯖
社を選ぶ危険を冒す必要な無いということではないでしょうか。言うまでも無く、
レンタルサーバ会社は他にいくらでもありますから、他のサーバ会社を選べば良いと
思います。やるべきことをせずに放置しておく企業は衰退していくのが常であり、フ
ァースト鯖社もそういった衰退していく運命にある企業なのでしょう。早くまともな
レンタル鯖会社へ移転することをお薦めします。
383:190
04/01/19 00:11
>>372
>すでに消えてしまったが、事件の当事者であるofficeの謝罪文の
>中にファーストサーバーについての部分があるのだが、これは
>根拠にならないのか?
ならないと思っているから、過去に何度も「断定できない」と
発言しているのです。根拠とするなら、確固たる証拠や事実が
必要でしょう。office 氏と森川氏との間に交わされた
書簡というもの自体が証拠として不十分ですし、事実だとしても、
森川氏の発言とファーストサーバさんが実際に行った行動には
矛盾が存在します。それらのあやふやなことを頼りに
ファーストサーバさんを“黒”と断定する人の気が知れません。
>また、自分の脳内判定による判断なんだろな。
脳内判定はお互い様じゃないですか。確固たる証拠が無いのですから。
>>374
>あんたさ、雪印などの事件とか知らないのか?
事実としてハッキリしているのは、「ACCS の情報漏えいは
ファーストサーバの提供する CGI のバグによるもので、発端は
office 氏の指摘によるものであったが、その方法がまずかった。」
ということだけです。CGI を含め、基本的に“システム”はバグを
内包するものですから、今分かっている事実だけではファーストサーバに
責任を問うことができません。それでも雪印と同じだといえますか?
>>企業の社会的責任というのは、事件の規模や認知度なんて関係ないのだよ。
ファーストサーバがバグを知りつつ一年近くも何もせず放置していた
というのが事実なら、その通りでしょうね。事実なのですか?
384:国民生活千太亜
04/01/19 00:21
190の発言・・・
>繰り返しますが、確固たる理由も無くファーストサーバさんの
>評価が下がることは、ユーザーとして非常に迷惑です。
ユーザーがこんなこと書く必要あるか!?ファースト鯖社員がユーザのふり
してファースト鯖を守るために書き込みしているとしか思えない。
190!お前ファースト鯖の社員だろ?自作自演もほどほどにしろ。
190はファースト鯖の社員であると思うに1票。
385:名無しさん@お腹いっぱい。
04/01/19 01:28
190へ
>>世間的に見れば、ファーストサーバさんは、まだこの事件に
>この世間的にという意味がまったくわからないのだが。
>認知度が低いということなのか?
>世間の認知度が低かったら、問題ないのか?
>どのくらいの規模で知られたら、認知されたというのだ?
>どうやって調べるのか?だれが認定するのだ?
>190の脳内認定では、意味がないんだぞ。
この件については、どうなんだ?また自分の都合の悪いことには
答えないつもりか?
386:376
04/01/19 08:43
んーまあ迷惑というのは、作業終了を宣言したユーザに削除通知を送ったことかな。
移動したり改造しているCGIは放置ってことになってたはずやのに。。。ぶつぶつ。。。
で、他のレンタルサーバを借りたらいいって話なんだが、まともなとこあるかなぁ?
うちのユーザになってくれたとこがすでに契約していたレンタルサーバ、まともなとこがなかったんだが。。。
たとえば、メールで質問したら方向性の違うことを一生懸命回答してくる、ひどいとこは無しのつぶて、管理ツールの説明を見ようと思ったら他のサイトに飛んでいく、まともだと思った業者は70MBで月額10万だった。。。
今回の問題も含めて、サポートの対応が誰かさんのコピー(謎)だから一般受けができないことあるなぁとは思うが、全体の評価としてまともなサーバ会社だと思うぞ。。。
(うう、わしが誰かまるわかりかも。。。)
387:376
04/01/19 08:52
訂正
*うちが*作業終了を宣言したユーザに削除通知を送ったことかな。
388:名無しさん@お腹いっぱい。
04/01/19 16:25
>>376
>しかし、結局、応急対応版の問題って何なんだ?
前にサポートに問い合わせたときの返答(要約)。
Q.暫定版で穴はふさいだんでしょ?この暫定版cgi使い続けていい?
A.今後も同様のセキュリティ上の問題が発生しないとも限らないので、
継続提供は難しいのが現状。新CGIに乗換お願いします。
389:376
04/01/19 20:44
>>388
ほんとに? (^^;;
ユーザの作った別のCGIに旧バージョンと同じ穴があったら暫定板では危ないでしょ。
気がついたんで対策して作りなおしたわい。。。(他にもまだあるかもと思って、不安ではある)
全責任をファーストサーバで負うことができるソース未公開の新バージョン乗換えを要求してくることは理解できました。
でも、ワシは乗り換えがめんどくさいのでしません。:p
390:名無しさん@お腹いっぱい。
04/01/21 03:49
>>384
おれも1票。
ここまでユーザがムキになるかよ(w
よ〜〜〜くかんがえよ〜〜〜♪
391:名無しさん@お腹いっぱい。
04/01/21 11:35
いろいろ情報を総合してみると、こんなところだったんじゃないかなあと思う。
(1) 2002年ごろ(?)、旧CGIがセキュリティのことを何も考えずに作られたものだと気付いた。(「洗浄不足」と認識。)
(2) ただし、具体的にどんなセキュリティホールがあるかは調査しなかった。
(3) 新CGIを開発し、旧CGIはサポート外(オリジナルCGI扱い)とすることを決定。
(4) 2003年3月25日、旧CGIを7月31日以降「オリジナルCGI扱いに変更」とユーザに告知。
(5) 8月11日、「セキュリティ上の問題が発見されない限り、そのまま継続してご利用頂く事は可能」と告知。
セキュリティホールが発見される可能性は十分にあると認識していたが、具体的には調べなかった。
「発見された場合は、告知なしに緊急停止」することもあるというサポート体制。
(6) 11月10日(?)、セキュリティホールの存在を具体的に認識。
森川氏がoffice氏に「洗浄不足は認識していた」(?) と発言(?)
(7) 11月11日(?)、緊急暫定対策版に差し替え。
脆弱性がありそうと認識したから新版を用意したという状況で、
具体的な脆弱性は認識しないまま、脆弱性の調査をせずに、
そのまま使わせていた
ということが、法的責任をどの程度追及できるかかなあ。
こういう対応ってありがちだと思うんだけど、こういう対応で困るのは皆なんだから、
法廷で争って良い判例を残してほしい。
参考引用
URLリンク(itpro.nikkeibp.co.jp)
予見できる欠陥は,製品出荷前に修正すべきである。これを怠り,欠陥を残したソフトウェアを
そのまま販売したのなら,メーカに過失があると考えられる。この場合は,不法行為責任を根拠に
メーカを訴えられる注12)。ただしその欠陥が一般的に予見できないものと判断されれば,メーカ
に過失はないことになり,責任は問われない可能性が高い。
過去に発覚していたセキュリティ・ホールを放置し,次のバージョンでも修正しなかったとしたら,
ソフトウェア・メーカの責任を問える可能性がある。この時,セキュリティ・ホールがどんなものか
も判断の材料となる。放置して何も影響がないものよりも,重大な損害を巻き起こす恐れのある
セキュリティ・ホールの方が,問われる責任は大きい。
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
4970日前に更新/295 KB
担当:undef