最新日記】【最新コメント
タイトル前の■はそのトピックへのリンクになっています
気になったネタのメモ(改)
このページはリンク元、IPアドレス等のログを取っています。
なにとぞご了承いただきたくm(__)m

リンクはご自由にどうぞ。日記の各タイトルをリンク先にしてもかまいません。
ただし、逆襲リンクされたくない方は、リンクを張ったところに、わかりやすくその旨ご記述下さい。
さもなければ、必ずや逆襲リンクを行うことでしょう(^^)

また、たれこみもお待ちしております。

あやしいつっこみはすべて問答無用で削除します。このページでの削除権はすべて私にあります。



UNYUNに自由を!
TCP/IPの基礎をこの一冊で!





2004-2-6-(Fri)のネタ


さて、まじめに。

いろいろ論点が存在するし、それらが絶妙にからみ合っているのでなかなかむずかしい。

まず、officeさんのやったことを警察の理論、ACCSの理論、ファーストサーバの理論など、いろいろな視点でみた論点がはっきりしていないのがややこしさの原因その1。
また、本件が、今までに類似の判例がないため、違法性については想像でしか語れないのがややこしさの原因その2。
そして、何よりも私自身が渦中のイベントに参加しており、さらにそれなりに脆弱性について理解しているがゆえに生じてしまう、一般の視点と乖離。これが(自分のなかでの)ややこしさの原因3。
これらをうまく解きほぐしていくのは難しい。
が、これについて考えていかなければいけないと思っている。すでに多くの所で交わされているように、今回の事例が今後に与える影響が大きいからだ。ご存じの通り、私自身、いくつかのサイトに脆弱性の報告をしてきた。その問題の与える影響は大きなものではないため、放置してもいいような部類だったかもしれない。しかし、今後はどういう事情があれ、私は見つけてしまった脆弱性を隠蔽しなければいけなくなるかもしれないのだ。間違っても直してくれなんて言えない。下手すると威力業務妨害と言われるかもしれないのだ。

長文になると思うが、自分の考えをとりあえず書いておきたい。
まず、道義的な問題に話を絞っておく。道義的部分と法律的部分をごっちゃにすると単なる感情論になるからだ。

道義的に見て、officeさんがCGIの問題を利用して(結果的かもしれないが)得た情報を公開してしまったこと、そして(結果的かもしれないが)AD200Xというイベント団体がその情報をダウンロード可能としてしまった事、そして(故意だろうが)ある人物がさらに流出させる行動をとった事、これら(彼ら)はその行為について理由をつけておしまい、というわけにはいかないと思っている。
(もちろん、上記のとおり、その場にいた自分の責任も言い逃れできるものではないと思っている。だからこそ一時的にではあるが沈黙を守っていたし、2次流出の際にはその事実を確認の上関係者に連絡を取った。もちろんそれで十分とは思っていないからこそ、ここできちんと考えたいのだ。)

さてその一方で、脆弱性を知りながら放置したファーストサーバ(ACCSではないことに注意)には道義的責任はないのだろうか。また、必要もない情報(漏洩した結果、その情報が必要になったのは皮肉だ)を入力させていたACCSはどうだろうか。入力するページを作成したヨセフアンドレオンはどうだろうか。
個人的には、ファーストサーバはAD200Xに匹敵する道義的責任があると思っている。私の把握している情報によると、2003年6月にはoffice氏からファーストサーバ側に脆弱性の連絡がいっている。2003年8月にはCGIのバージョンアップ告知を顧客に行っている。この時、「古いバージョンも使えますがセキュリティ問題があったら使用不可にする場合があります」という趣旨の文言が入っていた。つまり、「今現在セキュリティ問題は確認されていないがあったら使わせないようにします」といっているに等しい告知である。推測だが、ACCSおよびヨセフアンドレオンはこの告知を見て、旧CGIを使い続けたのだろう。これは十分道義的責任を問われてしかるべきことであると思っている。
ACCSやヨセフアンドレオンはどうだろう。ACCSについて言えば、必要ない情報を書かせていたことは問題であるし、CGIの問題を見抜けなかった事についても責任があるのだろうが、それ以外(情報流出後のACCSの行動など)については道義的責任は低いのではないだろうか。(ただし、ACCSおよびヨセフアンドレオンが脆弱性の存在を知っていた場合、これはファーストサーバと同レベル、もしくはそれ以上の責任があるだろう。)ヨセフアンドレオンについて言えば、CGIのセキュリティについて情報収集を怠り(なんせあまりにお粗末な脆弱性なので)、こういったリスクを勘案しないままサイトを設計した責任は大きい。

そして、更に言えば、メディアの責任はどうだろう。河合氏という、政治の中核に存在する、学術的文やにおいてにも希有な存在である人物の甥であり、京都大学にいるoffice氏が不正アクセス、という非常に一般受けしそうな話題を見つけ、顔を撮影し、自宅も撮影すると言う行為はどうだろうか。あれほどの逮捕シーンは殺人犯を捕まえたときくらいしか見られないのではないだろうか。
そしてニュース番組を見ていると、脆弱なコンピュータの存在には触れず、犯人憎しの紋切り報道である。今回の問題は(後に触れるが)そんなに単純な背景をもつものではないことくらい本当は知っているんじゃないだろうか。

こうやって考えていくと、事件につきものの被害者、加害者の色分けができてくる。
被害者として名前をあげてよいのはACCS、ヨセフアンドレオン、ファーストサーバ、情報を公開された4名の方・・・だけだろうか?
加害者として名前を挙げてよいのはoffice氏・・・・だけだろうか?
どうしてもそうは見えない。純粋な被害者と言っていいのは情報を公開されてしまった4名だけに見えるのだ。
何度でも書くが、office氏のやったことは道義的に許されるものではないと思っている。
が、その一方で、(4名の方を除く)すべての登場人物が、そもそもやるべきことをやらなかったという意味において、道義的責任があるのではないだろうか。
その点について、きちんと語っているメディアは(私の知る限り)ないようだ。

まだまだ法律的責任やメディアの姿勢などについて書きたいが、だいぶこの記事が膨れ上がってきたのでとりあえずここでいったん終了。



本文 名前


DiaryMaker1.00b