04/01/04 04:22
関連スレ
スレリンク(bizplus板)
スレリンク(newsplus板)
332:名無しさん@お腹いっぱい。
04/01/04 04:53
関連スレ
スレリンク(sec板)l50
333:名無しさん@お腹いっぱい。
04/01/04 09:16
不正アクセス法の論文ってとぼしいな。
URLリンク(www.okumura-tanaka-law.com)
URLリンク(www.okumura-tanaka-law.com)
不正アクセスの禁止等に関する法律の運用(罪数判断を中心に)
奥 村 徹
不正アクセス行為の禁止等に関する法律(平成11年8月13日法律第128号)は平成12年2月13日に施行されて3年を経過した。
同法初の上告事件の弁護人となったことを契機に、刑事確定訴訟記録法によって、
報道・文献で紹介された事例について判決例を収集・分析を試みた。
その結果、ひとたび他人のID・パスワードを入手すると多数回の不正アクセスを行う犯人が多いこと、
私怨による動機であったり知人に対するものなど概して犯罪規模が小さいこと、
保護法益や罪数の理解にバラツキがあること、保護法益は社会的法益とされているものの
判決理由では具体的被害の大小や被害感情が重視されていることが判明した。
本稿では、検挙事例を概観して、刑罰による規制の限界を明らかにしたい。
334:転載朝日officeインタビュー
04/01/05 01:24
(記者、以下記)なぜ個人情報を持ち出し、公開したのか?
(office、以下o)今回のCGIは広く使われている。個別に通告するよりも、騒ぎを起こして、全サイト運営者に手直しを迫る必要があった。
それには「証拠」を見せることが必要だ。ネットのセキュリティー問題を扱う民間団体に、さまざまなサイトの欠陥を指摘しても、
「証拠を出せ」と門前払いされるばかり。だから、だんだん指摘の仕方が過激になった。
欠陥は7月に発見した。11月の集会で参加者と一緒に、インターネットで個人情報が見えることを実演したかった。
(記)違法行為では?
(o)このCGIには外部からの侵入を防ぐ工夫がなく、全ての情報が公道に放置されているような状態だった。弁護士にも
相談したが、不正アクセスではないと思う。
(記)ネットの安全性に関心を持ったきっかけは?
(o)01年に官庁や大企業のサイトを調べたら欠陥だらけで、警鐘を鳴らす必要があると思った。
(記)サイト運営者の依頼を受けて安全性を検証すればよかったのでは?
(o)一度バイトで引きうけたが楽しくなかった。脆弱さを指摘した相手の対応の仕方に興味がある。(サイトに入るための)
攻撃コマンドが決まったときはすかっとする。
(記)反省点はないのか?
(o)今回は消費者の味方と言い切れない部分があり、コンピュータソフトウェア著作権協会にも出向いてわびた。
利用者の個人情報は全て削除した。深く反省している。
335:休暇明け190
04/01/06 08:19
朝日の記事は帰省先で読みました。
期待した程の内容ではなく残念です。
ともかく、ようやく世間的に注目されてきたので、
真相の究明につながれば良いなと、期待しています。
336:名無しさん@お腹いっぱい。
04/01/08 12:03
で、結局はだんまりをきめこむファーストサーバー
337:名無しさん@お腹いっぱい。
04/01/08 12:36
URLリンク(www.firstserver.co.jp)
>当社の有する技術的な知識を駆使して
技術なんて無いだろ(w
338:名無しさん@お腹いっぱい。
04/01/08 13:25
常識もないだろ
339:名無しさん@お腹いっぱい。
04/01/08 17:24
URLリンク(www.ad200x.net)
とりあえず、あまりにも遅すぎたが、A.D.のほうは筋を通した。
ファースト鯖よ。どうするんだよ。いつまで被害者面しているんだ。
340:名無しさん@お腹いっぱい。
04/01/08 18:05
糞会社だね。
341:名無しさん@お腹いっぱい。
04/01/08 18:10
いや、単なる糞で会社ですらないだろ
342:名無しさん@お腹いっぱい。
04/01/08 18:12
この会社の経営陣は全員クビ
親会社のクボタの役員も報酬カット
顧問弁護士は契約解除
森川は・・・もうクビになってるかな?(w
343:名無しさん@お腹いっぱい。
04/01/08 20:23
officeとAD200Xに損害賠償請求あげ!
344:名無しさん@お腹いっぱい。
04/01/08 23:18
FAX送信しまくり
345:名無しさん@お腹いっぱい。
04/01/09 00:56
URLリンク(www.ad200x.net)
346:名無しさん@お腹いっぱい。
04/01/09 01:02
しかし、馬鹿だよな。ちゃんと初期の段階にしっかり対処して、
謝罪なり、弁明をしていれば今ごろはACCSと一緒に同情されていたのにね。
今回の件で、まともに対処できたのはACCSだけだね。
347:名無しさん@お腹いっぱい。
04/01/10 01:23
この事件に関していろいろなHPや掲示板を覗いてみたけど
officeをかばうやつもいれば、ACCSをかばうやつもいた。
しかし、ファースト鯖をかばうやつが何処にもいなかったことがワラタ。
348:名無しさん@お腹いっぱい。
04/01/10 17:08
>>347
かばってたのは190だけだろ(w
349:名無しさん@お腹いっぱい。
04/01/10 17:18
厨房サイト入れ食いウマー(・∀・)
URLリンク(www.geocities.jp)
350:名無しさん@お腹いっぱい。
04/01/11 11:14
しかも、その190はあっという間に居なくなったよな(w
問題が大きくなったら禁止令でもでたか?(w
351:名無しさん@お腹いっぱい。
04/01/11 11:57
そしてファーストサーバーは黙ったまま
ひどい会社だな
352:190
04/01/12 00:34
>>350
捜査中というのが事実なら、近いうちに
ことの真相が判明すると思われます。
断定できない事柄を連ねて、誹謗する気には
到底なれません。
353:名無しさん@お腹いっぱい。
04/01/12 03:18
じゃあなにか?断定出来たら誹謗するってことか?
354:名無しさん@お腹いっぱい。
04/01/12 20:07
190は誹謗する前にさんざん馬鹿にしてきたこのスレの住人に謝罪するほうが先だろ(w
355:名無しさん@お腹いっぱい。
04/01/13 17:43
ユーザーを騙して脆弱性のあるCGIを使わせ続けてその後だんまりを決め込んでる
クボタの子会社の鯖屋はこちらですか?
356:190
04/01/13 18:52
>>354
>190は誹謗する前に
断定できない事柄を連ねて、誹謗する気には到底なれません。
>さんざん馬鹿にしてきたこのスレの住人に謝罪するほうが先だろ(w
自分の過ちに関しては謝罪済みです。
>>355
>ユーザーを騙して~(以下略)
現時点では「騙して使わせ続けていた」と断定することは
出来ないと考えます。
357:名無しさん@お腹いっぱい。
04/01/13 19:24
公式表明が出ない限りは騙して使わせ続けたも同然だろ
何の問題も無いのであればさっさと事実を公表しる
358:名無しさん@お腹いっぱい。
04/01/13 21:46
公表まだ?
359:名無しさん@お腹いっぱい。
04/01/15 15:34
今日も公表はされませんでした
URLリンク(www.firstserver.ne.jp)
360:190
04/01/15 17:33
>>357
>公式表明が出ない限りは騙して使わせ続けたも同然だろ
公式に糾弾されたわけでもないのに、公式表明する
必要は無いでしょう。何故「騙して使わせ続けたも同然」と
言い切れるのか不思議。
事実を公表して欲しいと思う気持ちは私も同じ。しかし、
営利企業として、そういうやり方も理解できなくも無いですよ。
ACCS の個人情報漏洩に関し、ファーストサーバ社が絡んでいると
どれだけの人間が知っているかな。それがもっと周知されれば、
すぐにでも何らかの公式発表があると思いますがね。
361:名無しさん@お腹いっぱい。
04/01/15 18:32
>公式に糾弾されたわけでもないのに
公式に糾弾されてからの表明では遅いのだがね(w
>何故「騙して使わせ続けたも同然」と言い切れるのか不思議。
現時点「そうではない」と断定出来る部分も無い
そうではないと公表されないのであれば騙されたと感じるユーザーが出てきても当たり前
つまりそれぞれのユーザーの判断に委ねられている部分でもありあなたが不思議がることはない
私はあなたの言動のほうが不思議に感じるがそれはあなたの考え方の問題であってそれをどうこう言うつもりもない
あなたは何故人の考え方に対してまで「違う」とか「不思議」とか言うのでしょうね?
自分の考えを押し付けてるとは感じませんか?
>営利企業として、そういうやり方も理解できなくも無いですよ。
モラルを無視すればやり方は理解出来るよ
別に法的な問題ではなくユーザー及びサービスを利用したことのある
二次ユーザーへの不安の解消は全く行われていない状況はモラル的にどうかと思う
>ACCS の個人情報漏洩に関し、ファーストサーバ社が絡んでいると
>どれだけの人間が知っているかな。
知れ渡ってからでは遅いのですよ
時間経過があればあるほど隠蔽していたと思われるだけで企業的なメリットも無いしね
>それがもっと周知されれば、
>すぐにでも何らかの公式発表があると思いますがね。
そこまで先延ばしにしたら普通に会社として潰れるんじゃないかあ?
362:名無しさん@お腹いっぱい
04/01/16 00:10
> そこまで先延ばしにしたら普通に会社として潰れるんじゃないかあ?
ふつーのレンタル鯖ユーザは、そんなこと気にしてないんじゃないかな?
もとい、今回のようなセキュリティ問題に関わるゴタゴタ。
2chをもてるわけじゃないし、オヒスのページ見るわけじゃなし。
つぶれないでしょ。
363:190
04/01/16 18:35
>>361
>公式に糾弾されてからの表明では遅いのだがね(w
世間的に見れば、ファーストサーバさんは、まだこの事件に
巻き込まれていません。わざわざ誤解を受けかねない可能性が
あるなら、黙っているのも手段でしょう。
>現時点「そうではない」と断定出来る部分も無い
>そうではないと公表されないのであれば騙されたと感じるユーザーが出てきても当たり前
>つまりそれぞれのユーザーの判断に委ねられている部分でもありあなたが不思議がることはない
根拠無く他者を褒めても余り問題はありませんが、
根拠無く他者を貶めれば実害が伴う危険性があるということですよ。
他者を誹謗することに非常に熱心な方が多数おられますので、
多少なりともバランスが良くなるように、私は反論いたします。
(つづく)
364:190
04/01/16 18:35
(つづき)
>自分の考えを押し付けてるとは感じませんか?
押し付けた覚えはありません。反論しているだけです。
繰り返しますが、確固たる理由も無くファーストサーバさんの
評価が下がることは、ユーザーとして非常に迷惑です。
>モラルを無視すればやり方は理解出来るよ
CGI の穴に気付きながら、対策を怠っていたという事実が
判明しない限り、モラルを無視したやり方とは言えないでしょう。
>二次ユーザーへの不安の解消は全く行われていない状況はモラル的にどうかと思う
私にも似たような思いはありますよ。しかし繰り返しますが、問題は、
ユーザーを含め、どれだけ社会的に事件が周知されているかによって、
対応は変わるということです。公表の仕方によっては、何も知らない
大半のユーザーに対し、逆に不安を募らせる危険性もあるでしょう。
今日まで、正式なコメントが無いことに不満はあります。
いっそのこと、もっと事件が周知され、社会的な批判や評価を
もろに受けて、もっと良い会社へと飛躍して欲しいものです。
365:名無しさん@お腹いっぱい。
04/01/16 22:41
190がこのスレをダメにしてると思うに1票
366:名無しさん@お腹いっぱい。
04/01/16 23:18
2票
しかも言ってることが支離滅裂なのを理解していなに1クローネ
367:(v^◇^v) † ロリポ神 † (v^◇^v)
04/01/16 23:25
地上の愚かなる糞ファースト鯖ユーザー共へ定期神託を下す。
ロリポップ を崇めよ。
ロリポップ を愛せよ。
ロリポップ を薦めよ。
ロリポップ を称えよ。
ロリポップ を奉れよ。
ロリポップ を褒めよ。
ロリポップ に従え。
ロリポップ に命を捧げよ。
ロリポップ に生き、ロリポップ に氏ね。
(有)paperboy&co.の方角を向き、深く礼拝せよ。
(有)paperboy&co.へ私財を喜捨せよ。
ロリポップ 開設月には、断食をせよ。
(有)paperboy&co.へ一生に一度は、巡礼せよ。
ロリポおじさんは神の使徒であると常に唱えよ。
以上。決して怠らぬように・・・わかったかヴォケども。
368:名無しさん@お腹いっぱい。
04/01/17 00:35
三票。
そうなんだよな。自分の意見の中での矛盾に気がついていないのがね。_| ̄|○
学生なのかな?社会人とは思えない思考だな。社会人だとしても、おひすと同じような
学校関係者かもね。社会とは違った閉鎖社会で世間の荒波には無関係で独特だからね。
何人か学校関係者知っているけど、実社会では生きていけないなと思うほど
非常識な人ばかりだ。
369:名無しさん@お腹いっぱい。
04/01/17 01:24
四票2クローネ。
社会人だとしたらファーストサーバの社員だろ。
でなければここまでいびつな思考はできないよ。
370:名無しさん@お腹いっぱい。
04/01/17 09:20
セカンドサーバ設立っていってます
スレリンク(honobono板)l50
371:名無しさん@お腹いっぱい。
04/01/17 10:03
2004年1月15日
ファーストサーバ サポートセンター
暫定版CGI削除のお知らせ
平素よりファーストサーバをご利用頂き誠にありがとうございます。
さて、昨年2003年12月16日に弊社にて旧標準CGIより置き換えさせて頂きました
暫定版CGIにつきまして、ご案内の通り次週22日に削除させて頂きます。
現在ご利用中のお客さまは削除作業後ご利用できなくなりますので、至急、弊社
提供の最新のCGIにお乗換え作業を実施していただきますようお願い申し上げま
す。なお、お乗換方法は、弊社サポートWEBに掲載しておりますので、ご参照く
ださい。
(略)
今後ともファーストサーバをよろしくお願いします。
372:名無しさん@お腹いっぱい。
04/01/17 11:08
>世間的に見れば、ファーストサーバさんは、まだこの事件に
この世間的にという意味がまったくわからないのだが。
認知度が低いということなのか?
世間の認知度が低かったら、問題ないのか?
どのくらいの規模で知られたら、認知されたというのだ?
どうやって調べるのか?だれが認定するのだ?
190の脳内認定では、意味がないんだぞ。
>根拠無く他者を貶めれば実害が伴う危険性があるということですよ。
すでに消えてしまったが、事件の当事者であるofficeの謝罪文の
中にファーストサーバーについての部分があるのだが、これは
根拠にならないのか?また、自分の脳内判定による判断なんだろな。
>多少なりともバランスが良くなるように、私は反論いたします
あんた、何様なんだよ。バランスのために反論ってさ。
いいわけにしか聞こえないぞ。少なくとも他の人間は、記事を読んだり
さまざまな情報を見て、自分の判断で書き込んでいるだけであって
そんなご大層な思い込みは、ここには必要ないんだよ。
反対のための反対なんざ、いらないんだよ。
373:名無しさん@お腹いっぱい。
04/01/17 11:19
五票3クローネでつ。
いったいどんな思考回路してんのか小一時間・・・
374:名無しさん@お腹いっぱい。
04/01/17 11:23
>繰り返しますが、確固たる理由も無くファーストサーバさんの
>評価が下がることは、ユーザーとして非常に迷惑です。
正式な発表もせず、ユーザーを混乱させている企業の評価が
下がることは、当たり前のことだと思うのだが。
そして、確固たる理由はofficeの謝罪文で十分だろ。
>判明しない限り、モラルを無視したやり方とは言えないでしょう。
混乱している状況を収めることをしないことは、企業として
モラルがないといわれても、「一般社会」は当たり前。
こういうことを、一般的には「臭いものに蓋」というんだよ。
>ユーザーを含め、どれだけ社会的に事件が周知されているかによって、
>対応は変わるということです。公表の仕方によっては、何も知らない
あんたさ、雪印などの事件とか知らないのか?
企業の社会的責任というのは、事件の規模や認知度なんて関係ないのだよ。
>いっそのこと、もっと事件が周知され、社会的な批判や評価を
>もろに受けて、もっと良い会社へと飛躍して欲しいものです。
そういう外圧や社会的批判などに頼り、自分自身で解決できない企業
なぞ、良い会社への飛躍なんて考えられないのだがな。
375:名無しさん@お腹いっぱい。
04/01/18 10:48
土曜日の昼すぎから止まってる。。。
やはりコノスレfsvの社内議論なのね。。。
376:名無しさん@お腹いっぱい。
04/01/18 11:51
しかし、結局、応急対応版の問題って何なんだ?
場所を移してファイル名変えているのに、わざわざ見つけて消すって言ってくるから、しゃーないなと乗り換えようかと思ったんだが。。。
設置作業、めんどくさいぞー。
377:名無しさん@お腹いっぱい。
04/01/18 12:59
>>376
問題があっても客にさえバレなければ良いと工作員190号が申しております。
ですから問題があっても客には公表されません。
唯一楯突いたofficeは逮捕直前でもはや無力です。
おとなしく騙されつづけてください。
お幸せに。
378:376
04/01/18 13:19
当たり前ながら、自作CGIは放置なんだろ。
漏れが作ったCGI、>に関しては別の理由で無効化してあったのでいいのだが、他になにがあるんだって気になってしゃーないがな。。。
偶然とは恐ろしいもので、最初に応急対応版に入れ替えるって通知が来くる1週間前に立ち読みしたPerl本に>の問題点が書いてあった。
応急対応版をみたら、きっちりその対策がしてあったので笑えた。
しかし新CGIの設置作業、自分で作ったほうが早いほどめんどくさいぞ。
ちなみに旧版使用当時、Perlがぜんぜんわからんかった。
379:名無しさん@お腹いっぱい。
04/01/18 20:56
>>378
あ、自分で作ってるのね。ごめんごめん。
またファーストサーバ提供のスクリプトの入れ替えかと思ってね。
一概にこうすれば完璧ってのは言えないけど、入力でフィルタリングするんじゃなくて
・処理を行う上で問題となる文字
・出力先で問題となる文字
について対処することになる。
クロスサイトスクリプティング対策ではHTMLが使うメタ文字についてフィルタか
置き換えをすることになるね。
今回のファーストサーバのCGIでは「フォームのパラメータを変更してファイル
にアクセスした」っていう話らしいんで、これだけじゃ対処はできてないと思う。
詳しくは板違いになるんでWEB製作板あたりを探してくれ。
380:376
04/01/18 21:29
んー、別にどっちでもええねんけど、困っているのは以下の2点。(あんまり書くと、わしが誰かまるわかりやな。。。)
・暫定版に問題を自信を持って発見できないので、自分で作ったCGIにも同様な問題があるんじゃないかと不安になっていること。
・Perlを使えなかった頃に標準CGIを使って納品したサイトで、入れ替えが必要となっているんだが、新バージョン乗換えがめんどくさい。
忙しいんで暫定版をファイル名やパスを変えてごまかして「客先にもう大丈夫ですよ」って、言ってるのに、22日に消しますってメール送ってくるんだもん。。。
どないせーつーねん。。。
381:名無しさん@お腹いっぱい。
04/01/18 21:41
>>380
暫定版がどんなコードなのかわからないから正確じゃないかもしれないけど。
そもそも暫定版はQuickHackでの修正なのかも知れない。
HotFixとバージョンアップの違いみたいなもんかな?
んだから、そもそも暫定版はソースが汚いだけで問題は直ってるのかも。
で、動作効率上げて最適化まで考えたリリース出しますよ、だから前のは
置き換えますよ、機能は同じですよ、という言い分の可能性もゼロじゃない。
だから問題を見つけられなくて当然だっていう可能性もゼロじゃない。
ただし、本来はそういったことについてちゃんと仕様や変更点がアナウンス
されて当然なんだけど、376の悩みっぷりから見るといまいち説明されて
いなさそうな気がする。
そのへんは問い合わせてみるのも手だと思う。
乗換えが面倒なのは、まあ、頑張ってくれとしか。
382:国民生活千太亜
04/01/19 00:07
376さん、大変な迷惑をファースト鯖から受けたようですね。ご同情申し上げます。
一つ言えるのは、これだけ無責任な考えを持ち、社会的責任を果たそうとしない対
応をするファースト鯖社でサーバを借りるメリットは少なく、敢えてファースト鯖
社を選ぶ危険を冒す必要な無いということではないでしょうか。言うまでも無く、
レンタルサーバ会社は他にいくらでもありますから、他のサーバ会社を選べば良いと
思います。やるべきことをせずに放置しておく企業は衰退していくのが常であり、フ
ァースト鯖社もそういった衰退していく運命にある企業なのでしょう。早くまともな
レンタル鯖会社へ移転することをお薦めします。
383:190
04/01/19 00:11
>>372
>すでに消えてしまったが、事件の当事者であるofficeの謝罪文の
>中にファーストサーバーについての部分があるのだが、これは
>根拠にならないのか?
ならないと思っているから、過去に何度も「断定できない」と
発言しているのです。根拠とするなら、確固たる証拠や事実が
必要でしょう。office 氏と森川氏との間に交わされた
書簡というもの自体が証拠として不十分ですし、事実だとしても、
森川氏の発言とファーストサーバさんが実際に行った行動には
矛盾が存在します。それらのあやふやなことを頼りに
ファーストサーバさんを“黒”と断定する人の気が知れません。
>また、自分の脳内判定による判断なんだろな。
脳内判定はお互い様じゃないですか。確固たる証拠が無いのですから。
>>374
>あんたさ、雪印などの事件とか知らないのか?
事実としてハッキリしているのは、「ACCS の情報漏えいは
ファーストサーバの提供する CGI のバグによるもので、発端は
office 氏の指摘によるものであったが、その方法がまずかった。」
ということだけです。CGI を含め、基本的に“システム”はバグを
内包するものですから、今分かっている事実だけではファーストサーバに
責任を問うことができません。それでも雪印と同じだといえますか?
>>企業の社会的責任というのは、事件の規模や認知度なんて関係ないのだよ。
ファーストサーバがバグを知りつつ一年近くも何もせず放置していた
というのが事実なら、その通りでしょうね。事実なのですか?
384:国民生活千太亜
04/01/19 00:21
190の発言・・・
>繰り返しますが、確固たる理由も無くファーストサーバさんの
>評価が下がることは、ユーザーとして非常に迷惑です。
ユーザーがこんなこと書く必要あるか!?ファースト鯖社員がユーザのふり
してファースト鯖を守るために書き込みしているとしか思えない。
190!お前ファースト鯖の社員だろ?自作自演もほどほどにしろ。
190はファースト鯖の社員であると思うに1票。
385:名無しさん@お腹いっぱい。
04/01/19 01:28
190へ
>>世間的に見れば、ファーストサーバさんは、まだこの事件に
>この世間的にという意味がまったくわからないのだが。
>認知度が低いということなのか?
>世間の認知度が低かったら、問題ないのか?
>どのくらいの規模で知られたら、認知されたというのだ?
>どうやって調べるのか?だれが認定するのだ?
>190の脳内認定では、意味がないんだぞ。
この件については、どうなんだ?また自分の都合の悪いことには
答えないつもりか?
386:376
04/01/19 08:43
んーまあ迷惑というのは、作業終了を宣言したユーザに削除通知を送ったことかな。
移動したり改造しているCGIは放置ってことになってたはずやのに。。。ぶつぶつ。。。
で、他のレンタルサーバを借りたらいいって話なんだが、まともなとこあるかなぁ?
うちのユーザになってくれたとこがすでに契約していたレンタルサーバ、まともなとこがなかったんだが。。。
たとえば、メールで質問したら方向性の違うことを一生懸命回答してくる、ひどいとこは無しのつぶて、管理ツールの説明を見ようと思ったら他のサイトに飛んでいく、まともだと思った業者は70MBで月額10万だった。。。
今回の問題も含めて、サポートの対応が誰かさんのコピー(謎)だから一般受けができないことあるなぁとは思うが、全体の評価としてまともなサーバ会社だと思うぞ。。。
(うう、わしが誰かまるわかりかも。。。)
387:376
04/01/19 08:52
訂正
*うちが*作業終了を宣言したユーザに削除通知を送ったことかな。
388:名無しさん@お腹いっぱい。
04/01/19 16:25
>>376
>しかし、結局、応急対応版の問題って何なんだ?
前にサポートに問い合わせたときの返答(要約)。
Q.暫定版で穴はふさいだんでしょ?この暫定版cgi使い続けていい?
A.今後も同様のセキュリティ上の問題が発生しないとも限らないので、
継続提供は難しいのが現状。新CGIに乗換お願いします。
389:376
04/01/19 20:44
>>388
ほんとに? (^^;;
ユーザの作った別のCGIに旧バージョンと同じ穴があったら暫定板では危ないでしょ。
気がついたんで対策して作りなおしたわい。。。(他にもまだあるかもと思って、不安ではある)
全責任をファーストサーバで負うことができるソース未公開の新バージョン乗換えを要求してくることは理解できました。
でも、ワシは乗り換えがめんどくさいのでしません。:p
390:名無しさん@お腹いっぱい。
04/01/21 03:49
>>384
おれも1票。
ここまでユーザがムキになるかよ(w
よ~~~くかんがえよ~~~♪
391:名無しさん@お腹いっぱい。
04/01/21 11:35
いろいろ情報を総合してみると、こんなところだったんじゃないかなあと思う。
(1) 2002年ごろ(?)、旧CGIがセキュリティのことを何も考えずに作られたものだと気付いた。(「洗浄不足」と認識。)
(2) ただし、具体的にどんなセキュリティホールがあるかは調査しなかった。
(3) 新CGIを開発し、旧CGIはサポート外(オリジナルCGI扱い)とすることを決定。
(4) 2003年3月25日、旧CGIを7月31日以降「オリジナルCGI扱いに変更」とユーザに告知。
(5) 8月11日、「セキュリティ上の問題が発見されない限り、そのまま継続してご利用頂く事は可能」と告知。
セキュリティホールが発見される可能性は十分にあると認識していたが、具体的には調べなかった。
「発見された場合は、告知なしに緊急停止」することもあるというサポート体制。
(6) 11月10日(?)、セキュリティホールの存在を具体的に認識。
森川氏がoffice氏に「洗浄不足は認識していた」(?) と発言(?)
(7) 11月11日(?)、緊急暫定対策版に差し替え。
脆弱性がありそうと認識したから新版を用意したという状況で、
具体的な脆弱性は認識しないまま、脆弱性の調査をせずに、
そのまま使わせていた
ということが、法的責任をどの程度追及できるかかなあ。
こういう対応ってありがちだと思うんだけど、こういう対応で困るのは皆なんだから、
法廷で争って良い判例を残してほしい。
参考引用
URLリンク(itpro.nikkeibp.co.jp)
予見できる欠陥は,製品出荷前に修正すべきである。これを怠り,欠陥を残したソフトウェアを
そのまま販売したのなら,メーカに過失があると考えられる。この場合は,不法行為責任を根拠に
メーカを訴えられる注12)。ただしその欠陥が一般的に予見できないものと判断されれば,メーカ
に過失はないことになり,責任は問われない可能性が高い。
過去に発覚していたセキュリティ・ホールを放置し,次のバージョンでも修正しなかったとしたら,
ソフトウェア・メーカの責任を問える可能性がある。この時,セキュリティ・ホールがどんなものか
も判断の材料となる。放置して何も影響がないものよりも,重大な損害を巻き起こす恐れのある
セキュリティ・ホールの方が,問われる責任は大きい。
392:名無しさん@お腹いっぱい。
04/01/21 16:06
あと、一般的に行われているソフトウェアの利用許諾にある免責事項のうち
「このソフトウェアを利用した結果の一切について責任を負いません」といった
内容のものは事実上認められていない。
使った結果どうなるか知らんぞ?といったことを書いているからといって、
どんなクソソフトを渡しても良いということではない、ということだ。
少なくともファーストサーバの中の人が問題を認識していたのなら、
「知っていたけど黙って渡した」ということになる。
知らなかったのなら知った時点で説明するべきだしね。
どちらにしろファーストサーバは説明責任を果たしていない。
393:名無しさん@お腹いっぱい。
04/01/21 16:25
予見出来ない。
そういう意図を持った奴は出来るが、
一般的な使い方をしていたら、個人情報が読める状態にならない。
394:名無しさん@お腹いっぱい。
04/01/21 17:56
>>393
予見できないのは開発者の怠慢。
一般的な使い方しか想定できないなら、子供向けのハサミの刃先を丸くできるはずがない。
セキュリティに関係するなら、少なくともサーバ屋ならそれくらいのリスクを検証するべき。
つまりテストが不完全だったということに他ならない。
テストしてないから予想できませんでした、なんて言い訳は通らないよ。
少なくともコマンドインジェクションやSQLインジェクション、XSS脆弱性などの既知の手法で
汚染された入力値の危険性は公知のもの。それに対して適切な処置を取らなかっただけ。
395:1/2
04/01/21 17:58
2004年1月20日
ファーストサーバ サポートセンター
「サポート停止済みCGIの利用者の皆様へのセキュリティ上のご注意とお願い」
平素よりファーストサーバをご利用頂き誠に有難うございます。
さて、先般よりご連絡させて頂いております通り、2003年8月18日以降サポート
を終了いたしました旧標準CGIのうち、フォーム系及びカウンタ系CGIに重大な
セキュリティ上の問題が発見されました。
このご案内をお送りしますお客様は、現在も「旧標準CGI」になんらかの変更
(=カスタマイズ)を加えた形でご利用中である可能性が高いと思われます。
該当すると思われるCGIにつきましては、本メール末尾に「対象CGI」として記載
しておりますのでご参照下さい。なお、対象CGIは旧標準CGIと特定の文字列が一
致していること等を元に抽出しており、抽出の過程において旧標準CGIとは無関
係なお客様独自のCGIが含まれている可能性がございますのでご了承ください。
対象CGIは、お客様にて作成されたプログラムと同様の扱いとなる為、先般より
弊社主導にて進めております「旧標準CGI」削除対策の対象外となっております。
より安心してCGIをご利用頂く為、これを機に、是非とも「新標準CGI」へのお乗
換えをお願い申し上げます。
○「新規標準CGIへのお乗換え方法」のご案内
URLリンク(*****)
なお、引き続き対象CGIをご利用になる場合は、至急のセキュリティ対策を
実施していただきますようお願い致します。
396:2/2
04/01/21 17:59
○「プログラムセキュリティ対策方法」のご案内
URLリンク(******)
セキュリティ対策を施されないまま「旧標準CGI」を変更(=カスタマイズ)した
ものを引き続きご利用された場合、不正アクセス等、以下に挙げるようなセキュ
リティ上の諸問題が発生する可能性がございます。
・クロスサイトスクリプティングの危険性
・Webフォームで収集した情報等、サーバ上のデータが
不正に読み取られる、改ざんされる、破壊される等の危険性
・不正にメール送信が実行されてしまう危険性
つきましては、上記のご案内に沿ってお客様のご運用に合わせた対策を実施し、
また、ご不要なものにつきましては削除を行っていただきますよう重ねてお願い
申し上げます。
なお、カスタマイズの有無にかかわらず、現在全ての「旧標準CGI」は、お客様
ご自身の管理責任のもとにご利用いただく「オリジナルCGI」扱いとさせていた
だいております。適切なセキュリティ対策を施されないままのお客様のご利用に
関し前述の諸問題が発生した場合も含め、弊社は一切の責任を負いかねますので
ご了承ください。
また、本ご案内は昨年末の調査に基づき、旧標準CGIを変更(=カスタマイズ)さ
れておられると思われるお客様全てにお送りしております。既に対策を施された
お客様には、重複したご案内となりましたことをお詫び申し上げますとともに再
度のご確認をお願いいたします。
397:名無しさん@お腹いっぱい。
04/01/21 18:11
お。やっと説明したか。
さすがにこれならユーザもスクリプトを乗り換えるだろ。
398:190
04/01/21 18:40
190へ
>>世間的に見れば、ファーストサーバさんは、まだこの事件に
>この世間的にという意味がまったくわからないのだが。
>認知度が低いということなのか?
>世間の認知度が低かったら、問題ないのか?
>どのくらいの規模で知られたら、認知されたというのだ?
>どうやって調べるのか?だれが認定するのだ?
>190の脳内認定では、意味がないんだぞ。
この件については、どうなんだ?また自分の都合の悪いことには
答えないつもりか?
399:190
04/01/21 19:26
390 はミスです。
400:190
04/01/21 19:27
>>385
>世間の認知度が低かったら、問題ないのか?
ファーストサーバさん(以降 FS)が「黒」だという前提で考えるから、
そういう発想になるのです。確かに「黒」なら、世間の認知度なんて
関係ないでしょう。で、「黒」なのですか?
過去に何度も発言済みですが、私自身も、今回の事件に関して FS は
説明責任を果たしていないと思っています。しかしこの事件の社会的な
認知度はまだまだ低いでしょう。FS のユーザーでさえ、問題のある
標準 CGI を使っていない限り、この件を詳しく知るものは少ないと
予想します。さて、そのような状況で、「ACCS の事件は当社のサーバにて
発生しました~」というような内容の説明をするのは、営利企業として
とても勇気の要ることだと思います。何度も書きますが、説明することが
かえってユーザに対し、いたずらに不安を煽ることになる可能性も
否定できないでしょう。そう考えれば、FS から公式な説明が無いことも
理解できなくも無いですよ。
それでも、「FS は何が何でも黒で、何も説明が無いのは黒である証拠だからだ。」
と、あなたは言えるのですね?
>どのくらいの規模で知られたら、認知されたというのだ?
>どうやって調べるのか?だれが認定するのだ?
私個人には調べようが無いですよ。しかし、
・公式に ACCS の事件が FS のサーバによって発生した
というニュースは今のところない。(FS の名前は伏せられて記事になっている)
・問題のある標準 CGI を使用していたユーザ以外に、FS から、この件に
関するメール(情報)は配信されていない。
上記を考慮すれば、認知度は低いと予想できます。
私は、FS が「だんまり」を決め込んでいるのは単に認知度が低いから
と判断しており、認知度が上がれば無視もできなくなるだろうと考えています。
>この件については、どうなんだ?また自分の都合の悪いことには
>答えないつもりか?
同じ内容の文章を何度も書かせないで欲しいものです。
401:名無しさん@お腹いっぱい。
04/01/21 20:01
>>398-400
こりゃまた豪快な。
さてと。詭弁、つまり議論からの逃げの特徴として質問返しや議題逸らしが挙げられるんだが。
>>400
>>世間の認知度が低かったら、問題ないのか?
>ファーストサーバさん(以降 FS)が「黒」だという前提で考えるから、
議題逸らし。
>関係ないでしょう。で、「黒」なのですか?
質問返し。
>それでも、「FS は何が何でも黒で、何も説明が無いのは黒である証拠だからだ。」
>と、あなたは言えるのですね?
議題逸らし。
>>どのくらいの規模で知られたら、認知されたというのだ?
>>どうやって調べるのか?だれが認定するのだ?
>私個人には調べようが無いですよ。しかし、
議題逸らし。
以上のことから回答にはなっていないと断定できる。
402:名無しさん@お腹いっぱい。
04/01/21 20:04
190みたいな香具師の上司も大変だな。
403:名無しさん@お腹いっぱい。
04/01/21 20:05
>>393
> 予見出来ない。
予見していたから、新CGIを開発して、旧CGIのサポートを打ち切って(オリジナルCGI扱いにして)
逃げたわけでしょう。
「オリジナルCGI扱い」にすれば責任をユーザに移転できるという発想もおかしい。
だって、作った人でないと脆弱性は把握できない(把握しにくい)でしょう。
本当のオリジナルCGIは、設置した人が把握して設置していることが前提だけど、
旧CGIはファーストサーバによって最初に提供されているのだから。
しかも、旧CGIを簡単に利用できることをサービスの売りのひとつとして商売していたわけだし。
しかも、CGIを別のものに乗り換えるためのユーザのコストは無視できないわけだから、
当然ユーザはそのまま使い続けてしまうことになる。
ACCSのようなプライバシーに敏感なユーザでさえそうだったわけで。
脆弱性が何かありそうだと悪い予感がして(予見できて)逃げの手を打ってサポート外とし、
かつ、脆弱性の調査を行わなかった。
404:名無しさん@お腹いっぱい。
04/01/21 20:16
>>400
>関係ないでしょう。で、「黒」なのですか?
黒。なぜなら、ファーストサーバの提供したスクリプトが原因でACCSの個人情報漏れが起きた。
しかも差し替えの時に危険性を説明しなかったため、ACCSはそれを把握せずに運用を続けた。
危険なスクリプトでありながら置き換えを推奨する理由を説明しなかったファーストサーバの落ち度。
>何度も書きますが、説明することが
>かえってユーザに対し、いたずらに不安を煽ることになる可能性も
>否定できないでしょう。そう考えれば、FS から公式な説明が無いことも
>理解できなくも無いですよ。
そう考える事ができない。
何故なら「危険性があっても知らせなければ良い」といった思考は論外だ。
ユーザの保護を最優先することが企業利益の理に適う。
>それでも、「FS は何が何でも黒で、何も説明が無いのは黒である証拠だからだ。」
>と、あなたは言えるのですね?
説明が無いのは黒である。何が何でも黒ではないならファーストの責任ではないとする
証拠を挙げればよいだけのこと。
それができないなら主張を撤回するべきだな。
>・公式に ACCS の事件が FS のサーバによって発生した
> というニュースは今のところない。(FS の名前は伏せられて記事になっている)
ニュースの有無と責任の所在は無関係。
続く。
405:名無しさん@お腹いっぱい。
04/01/21 20:17
>>400
続き。
>・問題のある標準 CGI を使用していたユーザ以外に、FS から、この件に
> 関するメール(情報)は配信されていない。
保護するべきユーザ以外に敢えて告知する必要があるかどうか考えれば当然。
よってこの二点は根拠足りえない。
>上記を考慮すれば、認知度は低いと予想できます。
根拠として不足であるため、予想は成り立たない。
認知度が低いのはファーストサーバが説明責任を果たしていないからであり、原因と
結果が逆転している。よって190の主張は却下できる。
>私は、FS が「だんまり」を決め込んでいるのは単に認知度が低いから
>と判断しており、認知度が上がれば無視もできなくなるだろうと考えています。
ならば認知度を上げるために活動すればよかろう。
>>この件については、どうなんだ?また自分の都合の悪いことには
>>答えないつもりか?
>同じ内容の文章を何度も書かせないで欲しいものです。
全く内容が無いから何度も訊かれるだけのこと。
きっちり反論なり撤回なりすればよろしい。
少しは思考しましょう。零点。
406:名無しさん@お腹いっぱい。
04/01/21 22:17
見難いから、おまえらトリップつけてくれ。
407:名無しさん@お腹いっぱい。
04/01/21 22:29
わかった、わかった、190よ。
君のことは理解したよ。
ようは、認知もされていないし、公式にも発表がないから
白なんだろ?いいよ、それで。190がそれで納得しているのならば
それは、尊重する。それでいいじゃないか。
190のなかで完結しているのだから、このスレにいる意味はまったく
ないよな。
しかし、ここはそれらの問題に対して疑問を持っているものが
書き込んでいるスレだ。別にファースト鯖を悪者にしたいわけではなく、
さまざまな情報を「客観的に」読み、推理したうえで話し合っている
わけで、あなたとは前提が違う。
あなたのいうこれらのことが、ユーザーにとっての不利益になるという
論理は意味がわからない。具体的に証明できるのであれば証明
してほしいが、今までの流れからすると証明は出来ないであろう。
逆に、ここで様々な情報を議論して闇に葬られないように、書き込むこと
が未だに公式発表のないファースト鯖に対してのプレッシャーになり
ひいては真実への道になるかもしれない。
そして、それはユーザーへの本当に利益になることであろうと
信じている。
申し訳ないが、あなたのまったく説得力のない書き込み、論理的でない
思考力、都合の良い解釈は、荒らしになれこそまったく有益なものでは
ない。自分の論理を具体的に証明したければ、自分でHPでも立ち上げ
そっちでやってくれないか?それがみんなが納得すれば賛同されるし、
納得されなければ放置されるだけだ。
そしてあなたがいう世間への認知度を上げてくれ。
そうすれば、あなたも望んでいるファースト鯖からの説明もあること
だろう。楽しみにしているぞ。
408:名無しさん@お腹いっぱい。
04/01/22 01:28
URLリンク(www.fsv.jp)
409:名無しさん@お腹いっぱい。
04/01/22 02:08
もういいから、190はどっかいけや。
410:名無しさん@お腹いっぱい。
04/01/22 11:30
>説明することがかえってユーザに対し、
>いたずらに不安を煽ることになる可能性も否定できないでしょう。
旧標準cgi利用者には、詳しい説明もないまま
「セキュリティ上の問題発生、新cgiに移行しろ」
と何度もメールとFAXがきましたが、
こちらの方が、よっぽど利用者として不安を煽られましたけど。
411:名無しさん@お腹いっぱい。
04/01/22 17:26
URLリンク(www.askaccs.ne.jp)
更新されているね。まだファースト鯖の名前を隠してもらっているね。
なさけないなー。
412:名無しさん@お腹いっぱい。
04/01/22 18:31
俺、ファーストサーバを信用したばっかりに個人情報抜かれたACCSに
少しばかり同情してきたよ。
ACCSはわりと早く記者会見して状況説明に当たったし、それなりに
きっちり対応したよ。
この件に関しては騙されてクズソフト掴まされて被害を受けたACCSを
応援してやってもいいんじゃないか?
ACCSという団体の是非はともかく、奴らも被害者だ。
413:名無しさん@お腹いっぱい。
04/01/22 20:44
ファーストサーバ、「サイボウズデヂエ」のホスティングサービス
URLリンク(internet.watch.impress.co.jp)
ファーストサーバは22日、サイボウズのWebベース情報共有ツール「サイボウズデヂエ」のホスティング機能を同日より提供すると発表した。
途中略
~運用にあたって特に自社でセキュリティ対策をとる必要もないという。
↑ぷっ
414:名無しさん@お腹いっぱい。
04/01/22 22:35
>>413
それって・・・・
ファースト鯖がセキュリティするからってことか?
前の例あるから一番恐いじゃん。。。。
415:名無しさん@お腹いっぱい。
04/01/22 23:06
>>411
URLリンク(www.askaccs.ne.jp) より:
ACCSに対する提言
今後のホームページの運営に際しては、
ホームページの製作・運営等を外部に委託する際の基準の策定、
委託先の再検討、
などを行うべきである。
416:名無しさん@お腹いっぱい。
04/01/22 23:11
これ漏れたらACCSの比じゃないよな。
その会社のダメージは計り知れない。
しかし、徹底的にこの件に関しては無視の体制だな。
ACCSのコメントを読んだが、これが本来の企業(ACCSは
企業ではないが)のあるべき姿じゃないか?
現時点でわかる情報を提示して、すこしでも不安を解消する
姿勢。外部の調査による原因の究明、その対策。
これをみて、ファースト鯖は恥ずかしくないのだろうか。
417:名無しさん@お腹いっぱい。
04/01/22 23:51
今日の白い巨塔を見て思ったのだが、及川ミッチーがやっていた弁護士のような顧問弁護士が
ファースト鯖にいてドラマと同じようにいろいろ小細工したり指示したりしているんだろうな
って想像してしまったよ。
418:名無しさん@お腹いっぱい。
04/01/23 00:11
顧問弁護士って儲かるの?
大変なわりにあんまり儲からない感じ
419:名無しさん@お腹いっぱい。
04/01/23 00:18
顧問弁護士といえば、あそこの鯖屋だな
420:名無しさん@お腹いっぱい。
04/01/23 00:21
>>393
>予見出来ない。
>そういう意図を持った奴は出来るが、
>一般的な使い方をしていたら、個人情報が読める状態にならない。
そんな理屈が通るなら、セキュリティホールは全部「予見できない」で済ませちゃうよ。
「一般的な使い方をして個人情報が読める」ケースはセキュリティホールじゃなくて、堂々公開なんだからね。
「セキュリティホール=予見できない」なんてことになっていいの?
牛乳が腐ってたのも「予見できない」で済ませるし、
卵が腐ってたのも「予見できない」で済ませちゃうね。
凄腕弁護士にかかると。
421:名無しさん@お腹いっぱい。
04/01/23 00:44
技術的な点で言うと、今回の穴は十分予見できるものだったと言える。
XSSやインジェクション系の穴ならば、そこそこ専門知識か経験がないと判別できないとも言えるかもしれないが、
今回の穴は、もろにファイル名を指定する引数があっただけだからね。
ファイル名に絶対パスや相対パスで別のファイルを指定したらどうなるかなんて、
素人でも考えることだし、CGIプログラム開発の基礎中の基礎。
実態として、次の画面のファイル名をCGIの引数で指定できるようになっているCGIはけっこう、まだ
あちこちで散見される。けして珍しい構造じゃない。
だけど、そこに任意のファイル名を指定して、そのファイルが得られるようになっているかは、
確かめてみないとわからない。
対策されていれば、特定のファイルしか見れないようになっているはず。
そこに適当なファイル名を入れて試しちゃうと不正アクセス禁止法違反になるかもしれないので、
誰も試してないわけ。office氏以外。
つまり、今回の件は、
通常のシステム屋には予見できない高度な欠陥をoffice氏に見つけられてしまった
という話ではなくて、
通常のシステム屋に予見できている(が管理者以外による検証は違法なので検証されていない)
よくある構造の欠陥の可能性を、恐れそ知らぬoffice氏が検証してしまった
ということなのですよ。
> そういう意図を持った奴は出来るが、
> 一般的な使い方をしていたら、個人情報が読める状態にならない。
不正アクセス禁止法の構成要件の議論ならそういう論理も出てくるだろうが、
欠陥を予見できたかの議論で、その理屈を持ち出すのは場違いだろう。
422:名無しさん@お腹いっぱい。
04/01/23 01:08
>>393
>予見出来ない。
>そういう意図を持った奴は出来るが、
>一般的な使い方をしていたら、個人情報が読める状態にならない。
○○乳業社長:
一般的な飲み方をしていたら、牛乳が腐っているかわからない。
予見出来ない。
423:名無しさん@お腹いっぱい。
04/01/23 02:31
つーか、「予見できない」なんて主張するわけがない。
そんなこと言ってみろ、
こんな超初歩的なセキュホさえ予見する能力のない鯖屋だと
自ら宣言することになるぞ。
424:名無しさん@お腹いっぱい。
04/01/23 03:25
ファースト鯖も
URLリンク(www.office.ac)
のように逃げの一手で乗り切る腹づもりです
425:名無しさん@お腹いっぱい。
04/01/23 08:05
ASKACCSはたいしたもんだ。
ちゃんと何が起こったか説明している。
相談者に心配をかけないように。
でも何か変じゃないか?
ACCSは腐った牛乳が最初に見つかった量販店みたいなもんだ。
だからってなんでACCSが全部被って説明してるんだ?
ACCSだけなのか?
URLリンク(www.askaccs.ne.jp) より
> なお、調査委員会は、この脆弱性の内容についてはより詳細に
>事実を確認しているが、その内容をここで明らかにすると、他の
>ホームページで同様の被害が生じるおそれがあるため、ここでは
>これ以上詳細には示さないこととした。
ACCSにできることはここまでだろう。
あとはファーストサーバがやることじゃないのか?
ACCSはofficeの名もファーストサーバの名も伏せて自分達の責任
について果たそうとしている。
officeはいずれ逮捕されて追及されるだろう。
ファーストサーバだけがそしらぬ顔でのうのうと生きている。
何か変じゃないか?
426:名無しさん@お腹いっぱい。
04/01/23 18:37
2004年1月22日
ファーストサーバ サポートセンター
暫定版CGI削除作業終了のお知らせ
平素よりファーストサーバをご利用頂き誠にありがとうございます。
さて、昨年12月16日に弊社にて置換え作業を実施し致しました暫定版CGIを
先般よりご案内申し上げておりました通り削除させていただきましたので削除
作業終了のご報告を申し上げます。
■削除実施日 : 2004年1月22日 13時30分 作業終了
■削除対象となったCGI:2003年12月16日にお送りいたしましたご案内メールを
ご参照ください。
なお、本ご案内は昨年12月16日に弊社にて暫定版CGIに置換え作業を実施致しま
したお客様すべてにお送りしております。既にお客様で削除されている場合には
無用なご案内となりますが何卒ご了承いただきますようお願い申し上げます。
■ご不明な点については、弊社サポートセンターまでご連絡いただきますよ
うお願い申し上げます。
今後ともファーストサーバをよろしくお願い申し上げます。
427:名無しさん@お腹いっぱい。
04/01/23 22:19
今後ともファーストサーバをよろしくお願い申し上げます。 m( )m
428:名無しさん@お腹いっぱい。
04/01/24 03:34
URLリンク(www.itmedia.co.jp)
429:名無しさん@お腹いっぱい。
04/01/24 11:34
>なお、当該Webサーバを運用していたレンタルサーバ会社からは、
>この問題について、プレスリリースなどの公的なアナウンスは
>いっさいなされていない。
をいをい。とうとうマスコミにまで突っ込まれているぞ。
ファースト鯖の中の人190の言い分からすると、これでも
まだ世間的には認識されていないから問題ないのかな。
430:名無しさん@お腹いっぱい。
04/01/24 12:18
デヂエのセキュリティは「うちにまかせてもらえればええねん」と言うからには、
森川君の作った標準CGIの件を公表できないだろ ヘ(゜◇゜)ノ~ウケケケ・・・
431:名無しさん@お腹いっぱい。
04/01/24 13:44
マジレスすると、信頼を得るには、原因を公表して、今後は起きないと信じられるだけの根拠を発表すべきだな。あたりまえだけど。
ただそうすると、今回の件に責任があったと認めることになる。
信頼をとるか責任回避をとるか…
432:名無しさん@お腹いっぱい。
04/01/24 14:40
早く公表すれば信頼もとれたし責任回避も出来たかもしれないのにね
もはや信頼回復も責任回避も出来ないでしょ
433:名無しさん@お腹いっぱい。
04/01/24 15:17
うがった見方をすれば、事実を公表すると別のまずい部分が
出てきてしまい、ファースト鯖にとって致命的なことになって
しまうという、シナリオを勝手に妄想してしまう。
434:190
04/01/24 19:44
主張の要約。
・確かな証拠も無く「黒」と言い切る人には疑問を感じる。
・ファーストサーバさんは説明責任を果たしていないと考える。
・真相が明らかになるよう、捜査の進展に期待し、この事件が
広く周知されることを望む。
補足
過去、ファーストサーバさんが「白」と断言した覚えも全く無い。
しかし、憶測を超えた根拠無き誹謗を賛成する気には到底なれない。
435:名無しさん@お腹いっぱい。
04/01/24 20:55
>>434
馬鹿皿仕上げ
確かな証拠はあるだろ。ファーストサーバが標準スクリプトとして配布したブツが原因で漏れた。
必死で無かった事にしたい様子だが事実は事実(笑
新標準スクリプトへの差し替えを薦めるメールにも旧標準を使っても良いとしていた。
普通スクリプトの差し替えにはコストがかかるため継続利用できるならそうするという選択も充分
ありえるものとなる。ACCSのケースがまさにそれだ。
ファーストサーバがろくに説明しなかったことが客を危険に晒し、実際にASKACCSで被害が出た。
ファーストサーバは説明責任を果たしていないと考える?
考えなくてもわかるだろ。説明責任を全く果たしていない。
ACCSは説明責任を果たしている。俺はACCSの対応を評価するね。
真相が明らかになるよう捜査の進展に期待?
捜査の手が入るまではダンマリってか。おめでてーな。
どうやったらそんな推測を超えた根拠無き妄想を垂れ流す事ができるんだか。
ファーストが白と断定した覚えが無い?
だろうな。断定してしまうと嘘をついたことになるからな(笑
そろそろ透明あぼーんの時期か?
436:名無しさん@お腹いっぱい。
04/01/24 21:35
>新標準スクリプトへの差し替えを薦めるメールにも旧標準を使っても良いとしていた。
この時期は、データ漏洩の恐れには気がついてなかったと思われ。
変なファイルが作成されるかもしれないぐらいにしか思ってなかったと思うぞ。
で、あの脆弱性が発見されたのは最近だろ。
それでfsvがどうのってのに直接影響はないとは思うが、、、
セキュリティホール=バグと考えている漏れにとっては損害賠償責任が発生するとは思うのだが、マイクロソフトの前例を考えると、この業界、セキュリティホールに賠償責任はないみたいだ。
今後ファーストサーバの全責任で提供CGIを運営していくという対策をとったということで、マイクロソフトがやってるUPDATEと同様に一般的な責任はとったことになるだろ。
ユーザからの損害賠償がASKACCSにあるかどうかには無関係でASKACCSがファーストサーバに損害することには何の問題もない、そっから先は個別の民事訴訟。
437:名無しさん@お腹いっぱい。
04/01/24 21:37
誤:損害することには何の問題もない、
正:損害賠償請求することには何の問題もない、
438:名無しさん@お腹いっぱい。
04/01/24 21:51
>>436
>>新標準スクリプトへの差し替えを薦めるメールにも旧標準を使っても良いとしていた。
>この時期は、データ漏洩の恐れには気がついてなかったと思われ。
>変なファイルが作成されるかもしれないぐらいにしか思ってなかったと思うぞ。
スクリプトについては気が付いていたかどうかではなく、原因となったかどうかが問題ね。
故意にそんなスクリプトを作ったわけじゃないだろうとは思うけど、それに気づいていなかったのは単にショボいだけのこと。そんなの理由にならないよ。
原因となってしまったならちゃんとフォローすればいいだけのことだけど、ファーストサーバはだんまり逃げを決め込んでる。それはどう考えても賛同できることじゃない。
ミスは誰にでもあるんだし、過剰に責めても意味は無い。
>で、あの脆弱性が発見されたのは最近だろ。
>それでfsvがどうのってのに直接影響はないとは思うが、、、
テクニカルな部分では、ずいぶん古い手法。hidden フィールドの書き換えはWEBアプリの古典的攻撃手法だと思う。
スクリプトそのものに存在することはofficeと森川のメールとやらを信じるなら昨年八月くらいにわかったと思われる。
セキュリティホールを完全に防ぐ事は事実上不可能だと思うんだよね。あとは見つかったときにどうするか。その対応なのよ。
>今後ファーストサーバの全責任で提供CGIを運営していくという対策をとったということで、
>マイクロソフトがやってるUPDATEと同様に一般的な責任はとったことになるだろ。
今度から気をつけます、なんてのが通じるのは小学校くらいまでだと思うよ。
始末書書かされるってのは賞罰でいうところの罰にあたるわけで。人事考査の対象だったりする。
ファーストサーバはそれに相当することをしていないよな。ACCSは報告書の形で出したけどファーストサーバはメディアに名前が出てないのをいいことに息を潜めてる。
ファーストサーバのスクリプトに責任をかぶせるんじゃなくて、ファーストサーバの対応がなってないってことなのよ。
説明責任を果たして、それから改善すればいい。今のファーストサーバは何も説明してないし、どんな改善をするのかなんてことも当然わからない。
それが一番の問題だと認識してる。
439:名無しさん@お腹いっぱい。
04/01/24 22:18
>>434
巛彡彡ミミミミミ彡彡
巛巛巛巛巛巛巛彡彡
r、r.r 、|::::: |
r |_,|_,|_,||:::::: ⌒ ⌒|
|_,|_,|_,|/⌒ -="- (-=" ぁぁそうでっかそうでっか
|_,|_,|_人そ(^i '"" ) ・ ・)""ヽ なるほどね・・・
| ) ヽノ |. ┃`ー-ニ-イ`┃
| `".`´ ノ ┃ ⌒ ┃|
人 入_ノ´ ┃ ┃ノ\
/ \_/\\ ┗━┛/ \\
/ \ ト ──イ/ ヽヽ
巛彡彡ミミミミミ彡彡
巛巛巛巛巛巛巛彡彡
r、r.r 、|::::: |
r |_,|_,|_,||:::::: /' '\ |
|_,|_,|_,|/⌒ (・ ) (・ )|
|_,|_,|_人そ(^i ⌒ ) ・・)'⌒ヽ ・・・で?
| ) ヽノ |. ┏━━┓|
| `".`´ ノ ┃ ノ ̄i ┃|
人 入_ノ´ ┃ヽニニノ┃ノ\
/ \_/\\ ┗━┛/|\\
/ \ ト ──イ/ ヽヽ
440:名無しさん@お腹いっぱい。
04/01/24 22:33
>原因となってしまったならちゃんとフォローすればいいだけのこと
ちゃんと状況を報告すると真似するやつがでてくるでしょ。
そのアタリが難しいとこだと思うが、どうなんだろうな。
ワシとしては、一言いっておいてくれたらワシのユーザへの対策を余裕を持って出来たとは思うが、まねするやつの存在を考えたらダンマリもやむをえないかもしれない。
>テクニカルな部分では、ずいぶん古い手法。hidden フィールドの書き換えはWEBアプリの古典的攻撃手法だと思う。
んーと、この部分に気がついたので、ソース未公開バージョンをリリースしたんだと思うぞ。
で、シャレにならない脆弱性が隠れていた。
(最新版の一歩手前までシャレにならない部分の対策できてたか否か非常に興味があるなぁ。。。W)
>今度から気をつけます、なんてのが通じるのは小学校くらいまでだと思うよ。
だからわしもそう思うんだが、この業界では、マイクロソフトがそれを押し通したので免罪符になっとるんだわな。
>それが一番の問題だと認識してる。
ん。。。。っと、
まあ、
URLリンク(firstserver.co.jp)
ここの3.あたりに、ことの成り行きと今後の対策を書いておくべきではあるな。
旧来は弊社提供CGIの改変をお客様に許可しセキュリティホール発見後の迅速な対応に障害がありましたがが、今後は提供CGIの運営責任を持つための、ソース未公開とします。
くらい書いてもいいと思うぞ>しゃちょー
441:名無しさん@お腹いっぱい。
04/01/24 23:00
> ソース未公開とします。
よけい危ない。
442:名無しさん@お腹いっぱい。
04/01/24 23:04
ソースっか。(爆
443:名無しさん@お腹いっぱい。
04/01/24 23:05
>>440
>>原因となってしまったならちゃんとフォローすればいいだけのこと
>ちゃんと状況を報告すると真似するやつがでてくるでしょ。
ASKACCSがやったレベルでいいとおもうよ。
それにもう対策済みのブツに差し替えのはずだし、旧版にしか通じない攻撃手法を説明してもさしたる問題じゃない。
>ワシとしては、一言いっておいてくれたらワシのユーザへの対策を余裕を持って出来たとは思うが、まねするやつの存在を考えたらダンマリもやむをえないかもしれない。
非公開のつもりでも詳細な手法は知られているよ。
発見者が一人居たら、三十人くらいは攻撃方法知ってるやつがいると思ってもいいんじゃない?
>んーと、この部分に気がついたので、ソース未公開バージョンをリリースしたんだと思うぞ。
>で、シャレにならない脆弱性が隠れていた。
乗り換え推奨のときにちゃんと説明されていたなら問題ないと思うよ。
「新しいの出たよ~」だけだったら、乗り換えない奴も出るでしょ。「何故」の部分がないと。
この後に書くけど、説明をそこそこやっときゃユーザの運用に責任を移せるんだし。
>(最新版の一歩手前までシャレにならない部分の対策できてたか否か非常に興味があるなぁ。。。W)
同じく。どんなスクリプトだったのか、現物見てみたいなあ。
>>今度から気をつけます、なんてのが通じるのは小学校くらいまでだと思うよ。
>だからわしもそう思うんだが、この業界では、マイクロソフトがそれを押し通したので免罪符になっとるんだわな。
技術的な詳細は、鯖屋ならユーザには渡したほうがいいと思うけど、一般向けには必要無いと思う。考えられるリスクを指摘して、対策版への乗り換えを促すくらいかな。
ゲイツんとこはユーザが多すぎるから「お知らせ」なんかやってらんなくて自動アップデートで対策してるんだろう。オフィシャルやメルマガでも情報公開してるし。
ある程度説明しておけば、危険性があるってことを公知にできる。公知にできるってことは、それでも使う奴が悪いって言える。さっき書いたユーザへの責任移行ができるんよ。
パッチ(対策版)を出したなら、ちゃんと説明して移行を促すべきだよ。
444:名無しさん@お腹いっぱい。
04/01/24 23:30
>旧版にしか通じない攻撃手法を説明してもさしたる問題じゃない。
ファーストサーバが認識してないユーザが改変したものは問題がでるでしょ。
多分、そういった指摘があったから、場所を移したり名前を変えたりして逃げ回っているソースを一生懸命探して消したんだと思うけど。
また、データを抜かれないにしても、無駄にトラフィックが増えるし。
>発見者が一人居たら、三十人くらいは攻撃方法知ってるやつがいると思ってもいいんじゃない?
その理屈で考えたら、説明メールの本数の30倍の連中が余計なことをしてまいますな。
で、そもそも、ファーストサーバのユーザディレクトリ構成を知らなかったら、ややこしいことをしないとデータを抜くことが出来ないので、ファーストサーバユーザに通知することは事が無駄に重大になりますな。
でもまあともかく、なにか発表しといたほうがいいかとはおもうぞ>しゃちょー
445:名無しさん@お腹いっぱい。
04/01/24 23:32
攻撃方法知っているのは一万人くらい。
ていうか、知らないやつがCGI作ったら危ない。
技術者なら知っているのが当然。
隠すのは文系。
446:名無しさん@お腹いっぱい。
04/01/24 23:52
>>444
あ、いやだから詳細な攻撃手法を公表する必要性はまず無いと思うのよ。
で、ユーザがカスタマイズした部分に対応するためには、自社のユーザに対してパッチっつうか
「もとのソースのここがヤベーから直せよ」くらいには連絡してもよかろうと。
そのほうが探し回って消してっていうより楽で確実。
・対策済みを配布
・問題点を(少なくともユーザに)告知
・ユーザに警告
ここまでやっときゃそれでも使う奴はリスク背負えよ、って言えるでしょ。
ファーストサーバとしてそれ以上手を書ける必要はなくて、提供するスクリプトを堅牢にすればいい。
確かに情報公開とリスクについては未だに議論の分かれるところで一概にこうとは言えないんだけどね。
でも、「ファイル抜かれる可能性があるから差し替えれ」くらいはユーザに言ってもよかったはずなのよ。
とりあえず、ファーストサーバは立場表明っつうか意見表明くらいしたほうがいいと思うけどねえ。
447:名無しさん@お腹いっぱい。
04/01/26 10:23
ファーストサーバーの表明まだあ?
448:名無しさん@お腹いっぱい。
04/01/26 11:38
URLリンク(www.momo.dyndns.org)
449:名無しさん@お腹いっぱい。
04/01/26 11:43
URLリンク(www.momo.dyndns.org)
450:名無しさん@お腹いっぱい。
04/01/26 22:33
URLリンク(www.netsecurity.ne.jp)
一方、ACCSでは、「cgiファイルはCSV形式で残るが、そのファイルについては定期的に廃棄するなど、
個人情報保護の取り組みはしていた。しかし、今回はCSV形式のファイルとは別個に、ログファイルが
残っていて、そこから個人情報が入手可能となっていた。レンタルサーバを利用しているが、
そのことに関しての情報を得ていなかった」とコメント。サーバを管理していたのは、クボタ系列の
~~~~~~~~~~~~~~~~~~
レンタルサーバ会社・ファーストサーバである。同社によれば、「問題となったのは、当社で標準cgiと
呼ばれるもので、2003年初めより、すでに提供は中止し、新たなバージョンに切り替えていた」という。
451:名無しさん@お腹いっぱい。
04/01/26 22:59
やはりクボタは危険性を承知していたのに知らせなかったのですな。
452:名無しさん@お腹いっぱい。
04/01/27 22:17
セキュリティ関係の商売している会社が、平気で「定期的に廃棄するなど、個人情報保護の取り組みはしていた。」とは、よくいったもんですな。。。
453:名無しさん@お腹いっぱい。
04/01/27 22:18
恥ずかしくないんだらうか…
454:名無しさん@お腹いっぱい。
04/01/28 11:06
ACCSの個人情報だけどやっぱり流出していたよ
URLリンク(up.isp.2ch.net)
スレリンク(sec板:217-番)
455:鵜飼裕司
04/01/28 11:29
>>454
上記ファイルはACCSに寄せられた個人情報が含まれています。ダウンロード
なされないよう、お願い申し上げます。また、ダウンロードされた方は速や
かに削除してください。
456:名無しさん@お腹いっぱい。
04/01/28 11:40
,:::-、 __
,,r::::::::::::〈:::::::::),,,,,,,,,,,,ィ::::::ヽ
〃::::::::::::;r‐''´:::::::::::::::::::::ヽ::ノ
,'::;'::::::::::::::/:::::::::::::::::::::::::::::::::::
l::::::::::::::::::l:::::::::::●::::::::::::::●:::j うんうん
|::::::::::::::::::、::::::::::::::( _●_):::::,j: それは熊った事になったね。
}::::::::::::::::::::ゝ、:::::::::|∪|::::::ノ;!
. {::::::::::::::::::::::::::::`='=:ヽノ:::::/
';::::::::::::ト、::::::::::::::i^i::::::::::::/
`ー--' ヽ:::::::::::l l;;;;::::ノ
457:名無しさん@お腹いっぱい。
04/01/28 12:35
おーい、190どこ行った~
458:名無しさん@お腹いっぱい。
04/01/28 12:40
この状況でもファーストサーバーはだんまり
459:(゚∀゚)
04/01/28 14:21
おっと。ダウソする気なんてなかったのにクリックしたら
何かが勝手に落ちてきますた( ゚∀゚)アハハ
460:名無しさん@お腹いっぱい。
04/01/28 14:36
>>459
おいおい。それ見ちゃったらOfficeと同罪だぞ。
きちんと削除しろよな。
461:名無しさん@お腹いっぱい。
04/01/28 14:41
>>460
ただ見たのと売名のために公表したのとは全く次元が違うぞ
462:名無しさん@お腹いっぱい。
04/01/28 14:48
>>460-461
同罪ではないにしろDLしたりしないほうがいいだろうね
本格的な捜査とかになったら当然DLした人間も調べられるだろうし
しかし、この状況になっても黙っているファーストサーバーって会社は一体なんなんだろう?
463:名無しさん@お腹いっぱい。
04/01/28 14:51
>>462
ほら、それは「お客様の管理責任」だからだろ(藁
セキュリティホールを「お客様」に知らせてから管理責任を擦り付けてよ>ファースト鯖
464:(゚∀゚)
04/01/28 15:06
では、わたくしはきっと
クリック禁止法違反
でタイ━━||Φ|(|゚|∀|゚|)|Φ||━━ホ!!
されます。
465:名無しさん@お腹いっぱい。
04/01/28 15:24
>>464
オマエがタイーホされるのは別にかまわないけどこれを発端に2ch潰しがはじまると
遊び場が無くなって困る
特に個人情報ネタは今はヤバイしな
466:名無しさん@お腹いっぱい。
04/01/28 16:13
>>462
調べられるのはうpしたヤシですよ。
467:名無しさん@お腹いっぱい。
04/01/28 16:19
>>466
型どおりであればそうだろうね
でも、今回は新聞にも取り上げられたりセンセーショナルに扱われているので
徹底した捜査がなされないとも限らない
そうなると流出範囲の特定という意味でダウンロードしたやつまで捜査が及ぶ
可能性も無いとは言えないかもね
特にダウンロードしましたとか書いたら普通にダウンロードした人間よりも
追跡はしやすいだろうしね
それにしてもファーストサーバーはこの期に及んでまだ何もしないつもりかね?
468:名無しさん@お腹いっぱい。
04/01/28 16:20
A.D.200Xでダウンロードした奴は調べられなかったのはどうしてだろう
流出がなかったとすればオフィス当人がうpしたとも考えられるが
469:名無しさん@お腹いっぱい。
04/01/28 16:30
ダウソしてもなんの罪にもならないからだよ。
法的に問題ない。
ダウソしたファイルそのものが違法なら話は別だけどね。
(例えば割れ、MP3)
470:名無しさん@お腹いっぱい。
04/01/28 17:09
ファイルはアップローダーから削除されたっぽいな
471:名無しさん@お腹いっぱい。
04/01/28 17:23
それにしても今回の件に関しては全てがファーストサーバーが提供しているCGIの脆弱性を把握していながら
それを利用者に告げずに新しいCGIを提供することで以前のCGIも継続利用することの問題の告知を
怠ったことが原因だと思われるのだが、それでもこのまま何も公表しないのだろうか?
俺の目から見ればデータを引き出したofficeやそれを公開する場を提供したADの問題は大きいと思うが
ACCSは完全にファーストサーバーに嵌められた被害者にしか見えない
以前、ここを利用していて今は違うサーバーに乗り換えているがもしかしたらデータを抜かれる被害に
合ったのが自分のところだったかもしれないと考えると(提供されていたCGIは利用してなかったけど)背筋が寒くなる
そもそも、ファーストサーバーがCGIの脆弱性を正しく利用者に伝えていたらこんな事件は起きなかっただろうしね
472:名無しさん@お腹いっぱい。
04/01/28 19:43
なんかこれで逆にファースト鯖は釈明のチャンスが完全に
なくなった気がするよ。今、事実関係を説明しても二次流出が
起きた後では何も意味がないし、批判を浴びるだけ。
このまませこく、黙り続けるに1カノッサ。
あとは真実が出てくるのはOfficeの裁判までないでしょう。
ACCSは今が踏ん張り時。がんばれ。こんなくそ鯖の尻拭いは
いやだと思うが、今回の件で唯一まともな対応をしている
ところなだけに、事件をうやむやにしないためにも応援してる。
473:名無しさん@お腹いっぱい。
04/01/28 22:09
ちなみにAD200Xのヘタレが監視していたスレ
スレリンク(sec板)
474:名無しさん@お腹いっぱい。
04/01/28 22:28
URLリンク(www.ad200x.net)
今回の件の二次流出のADの言い訳だけど、ここでも
ファーストサーバーとちゃんと名指しで書かれているね。
さて、これもファースト鯖は黙認かな。
475:名無しさん@お腹いっぱい。
04/01/29 10:33
>>471
>それにしても今回の件に関しては全てがファーストサーバーが提供しているCGIの脆弱性を把握していながら
>それを利用者に告げずに新しいCGIを提供することで以前のCGIも継続利用することの問題の告知を
>怠ったことが原因だと思われるのだが、
ちょっと違う。
古いCGIのバグは、「hiddenパラメータをいじられたら、変なファイルが変なとこに作成される」
「ファーストサーバのユーザだったら既存ファイルを改変される可能性があるけどそれはないだろ。」
と思っていた。
で、だれでもその気になったらhiddenパラメータに関係なくデータ漏洩がある可能性は、実際に指摘されるまでわからなかった。
これが現実だと思うぞ。
どっちにしろ
>それでもこのまま何も公表しないのだろうか?
これが問題だな。
476:名無しさん@お腹いっぱい。
04/01/29 10:44
> で、だれでもその気になったらhiddenパラメータに関係なくデータ漏洩がある可能性は、実際に指摘されるまでわからなかった。
> これが現実だと思うぞ。
でも森川はofficeに一昨年(2002年)の時点で脆弱性を把握していたと伝えてたわけでしょ?
officeが指摘したのが昨年(2003年)の11月なのだからそれは違うと思うぞ?
477:名無しさん@お腹いっぱい。
04/01/29 11:20
「知らなかったといえないエンジニアの定め。」の可能性もあるが(W
hiddenパラメータの問題と、しゃれにならない脆弱性、この2つの問題を把握した次期は全く違うと思うんだが。
前者はインターネットから業界に入ったエンジニアが気がつきやすい問題、後者はUNIX出身プログラマなら簡単に気がつく問題。
478:名無しさん@お腹いっぱい。
04/01/29 11:22
わかりやすくかくと、2002年の時点では、hiddenの問題しか気がついてないだろ。
479:名無しさん@お腹いっぱい。
04/01/29 11:28
officeが使った穴も“hiddenの問題”なわけだが.
480:名無しさん@お腹いっぱい。
04/01/29 11:48
>前者はインターネットから業界に入ったエンジニアが気がつきやすい問題、
>後者はUNIX出身プログラマなら簡単に気がつく問題
出鱈目も甚だしいなあ。文系の生半可な知識での判断ですか? 法学部出身とかはこれだから困る。
後者はUNIXに関係がない。インターネットから業界に入ればすぐ気付く。
むしろ前者の方がUNIX知識に依存しているかもしれん。(前者の穴がどういうものだったか知らんのでわからんが。)
481:名無しさん@お腹いっぱい。
04/01/29 12:01
> 古いCGIのバグは、「hiddenパラメータをいじられたら、変なファイルが変なとこに作成される」
direct unix shell command injection vulnerability のこと?
482:名無しさん@お腹いっぱい。
04/01/29 12:07
もまえら、ほんまにシャレにならん方の脆弱性を知らんやろ。
それをわからせないように、うやむやにしようとファーストサーバが考えて、沈黙をしてんdろうが、
企業として、これ以上の沈黙がいいわるいか微妙なとこやぞ>しゃちょー
483:名無しさん@お腹いっぱい。
04/01/29 12:09
別に、このスレで何か書けといってるんではないので、為念 > しゃちょー
484:名無しさん@お腹いっぱい。
04/01/29 12:18
>別に、このスレで何か書けといってるんではないので
社長はともかくとして社員はたくさん書いてるだろうな(w
485:名無しさん@お腹いっぱい。
04/01/29 12:57
社員が必死なスレはここでつか?
486:名無しさん@お腹いっぱい。
04/01/29 13:13
ファーストサーバーの顧問弁護士がインターネット系では有名な弁護士だという噂を聞いたのですが本当なんでしょうか?
487:名無しさん@お腹いっぱい。
04/01/29 17:46
>>486
ファーストサーバーって大阪本社だよね?
そこの顧問弁護士でインターネット系というとすごく絞られるよ
その噂の真偽はわからないけどね
488:名無しさん@お腹いっぱい。
04/01/29 18:32
>>486
業界の実力者
489:名無しさん@お腹いっぱい。
04/01/29 19:24
URLリンク(www.askaccs.ne.jp)
ACCS、キターーーーーーーーー!
490:名無しさん@お腹いっぱい。
04/01/30 03:00
URLリンク(itpro.nikkeibp.co.jp)
サーバー業者によれば,今回問題となったCGIプログラムの問題は,最新版では修正されている。
また,問題がある古いバージョンのCGIプログラムは,ASK ACCS以外には稼働していないという。
ASK ACCSのCGIプログラムが最新版に更新されていなかった原因については調査中である。
491:名無しさん@お腹いっぱい。
04/01/30 04:11
【補足】
本文中に「また,問題がある古いバージョンのCGIプログラムは,
ASK ACCS以外には稼働していないという。」とありますが,
これは,サーバー業者が,12日0時30分頃から未明にかけ,
ACCS以外のユーザーが使用している旧バージョンCGIのすべてを,
緊急暫定対策版のCGIに置き換えるという措置を行ったことによります。
ACCSだけ放置しやがったのか(笑
ひでえ会社だな。ここ使っててトラブルに巻き込まれると放置されるのか。
しかも事後になっても何ら釈明や説明も得られない。
ACCSはよくやったよ。著作権はウゼェがACCSの対応そのものはたいしたもんだ。
ファーストサーバはどうするんだろうね(・∀・)ニヤニヤ
492:名無しさん@お腹いっぱい。
04/01/31 07:22
巛彡彡ミミミミミ彡彡
巛巛巛巛巛巛巛彡彡
r、r.r 、|::::: |
r |_,|_,|_,||:::::: ⌒ ⌒|
|_,|_,|_,|/⌒ -="- (-=" ぁぁそうでっかそうでっか
|_,|_,|_人そ(^i '"" ) ・ ・)""ヽ なるほどね・・・
| ) ヽノ |. ┃`ー-ニ-イ`┃
| `".`´ ノ ┃ ⌒ ┃|
人 入_ノ´ ┃ ┃ノ\
/ \_/\\ ┗━┛/ \\
/ \ ト ──イ/ ヽヽ
巛彡彡ミミミミミ彡彡
巛巛巛巛巛巛巛彡彡
r、r.r 、|::::: |
r |_,|_,|_,||:::::: /' '\ |
|_,|_,|_,|/⌒ (・ ) (・ )|
|_,|_,|_人そ(^i ⌒ ) ・・)'⌒ヽ ・・・で?
| ) ヽノ |. ┏━━┓|
| `".`´ ノ ┃ ノ ̄i ┃|
人 入_ノ´ ┃ヽニニノ┃ノ\
/ \_/\\ ┗━┛/|\\
/ \ ト ──イ/ ヽヽ
493:名無しさん@お腹いっぱい。
04/01/31 15:55
ニュー速
ACCSから漏えいした個人情報が2ちゃんねる上に流出
スレリンク(news板)l50
494:名無しさん@お腹いっぱい。
04/02/02 12:18
公表まだ~?
495:名無しさん@お腹いっぱい。
04/02/02 12:45
嵐の前の静けさという感じですな。
496:名無しさん@お腹いっぱい。
04/02/04 12:11
逮捕されちゃった・・・
ここだよね?
497:名無しさん@お腹いっぱい。
04/02/04 12:14
ああ、ここの件だよ
498:名無しさん@お腹いっぱい。
04/02/04 12:22
逮捕されても
ファースト鯖はまだコメントなし。
うーん
499:名無しさん@お腹いっぱい。
04/02/04 13:24
とりあえず、事情聴衆を受けてあらいざらい喋るはずだから、
事実関係がこれで時系列にわかってくるだろう。
そのときにファースト鯖の悪行も芋ズル式に......。
500:名無しさん@お腹いっぱい。
04/02/04 15:20
ここだけ、蚊帳の外でつな。みんなACCSのほうに目が行っちゃっている。
本当の悪は、ここにいるのにな(´・ω・`)
501:名無しさん@お腹いっぱい。
04/02/05 10:23
>>500
>本当の悪は、ここにいるのにな(´・ω・`)
「本当の悪」って何ですか?
502:名無しさん@お腹いっぱい。
04/02/05 10:40
はっぴーはっきんぐで逮捕される時代なんでつね。。。
ォォコゎ
503:名無しさん@お腹いっぱい。
04/02/05 10:54
これはハックじゃなくてクラックですよね。
504:名無しさん@お腹いっぱい。
04/02/05 10:55
あのウルサイ香具師が急に居なくなったよな(w
逮捕もされたし何か指示あったか?
それとも・・・・・
505:名無しさん@お腹いっぱい。
04/02/05 11:04
コメントまだー?
506:名無しさん@お腹いっぱい。
04/02/05 11:09
悪意を持たずにセキュリティホールを見つけて自慢しただけだから、はっくだろ。
システムを破壊したわけじゃないし。。。
って、逮捕されたやつは、ファイルを改ざんしたのか?
まあ、はっきんぐというレベルかどうかは、問題点の認識レベルにより意見が分かれるとこだとは思うが。
507:名無しさん@お腹いっぱい。
04/02/05 11:12
で、こうなる(ハッカーが逮捕された)と、コメントは出せないやろなぁ。。。
508:名無しさん@お腹いっぱい。
04/02/05 11:14
システムを破壊しなくても改竄しなくても罪
それが不正アクセス禁止法
509:名無しさん@お腹いっぱい。
04/02/05 11:18
URLリンク(www.asahi.com)
>さらに協会のサイトに相談を寄せた数人の氏名や住所、相談内容などの個人情報を会場のスクリーンに映し出した。
このことが逮捕理由かな?
510:名無しさん@お腹いっぱい。
04/02/05 11:22
>>508
法律がどうとかいっていうるのではなく、ハッカーかクラッカーの定義についてです。
で、ハッカーが逮捕されるってこわい世の中だなと思っただけ。
511:名無しさん@お腹いっぱい。
04/02/05 11:24
今時ハッカーとクラッカーの定義ってあんたw
512:名無しさん@お腹いっぱい。
04/02/05 11:32
>>511
ぶひっ
そりゃそうや。
で、ハッカーの集会で「こんな穴みつけたよ」と言ったら逮捕されたわけだ。
怖くない?
個人情報を会場のスクリーンに映し出したのが逮捕理由だとしたら、別の法律のような気がするし。
513:名無しさん@お腹いっぱい。
04/02/05 15:04
>>509
それじゃ直接の逮捕理由じゃないだろう。
ファースト鯖が管理しているASKACCSのページから個人データを
抜いたのが不正アクセス法にひっかかるということだろう。
>>510
なんで怖い世の中なの?窃盗と同じ事をしたんだから逮捕されて当たり前
じゃないの?
514:名無しさん@お腹いっぱい。
04/02/05 17:58
朝日新聞社会面の記事(ネット上には出てないようなので)
プログラム開発会社欠陥の詳細、未公表
欠陥を突かれたプログラムを開発したサーバー提供会社は、02年末にこの欠陥を見つけ、修正プログラムも開発したという。
しかし、顧客に対し、詳しい欠陥情報を提供しなかった。
情報が不正アクセスなどに悪用される恐れがあると判断した、と説明している。
同社は約2万の顧客を抱え、昨年3月から、欠陥を解消した新しいプログラムへの移行を顧客に促してきた。
しかし、欠陥自体の存在が明らかにされなかったこともあり、事件のあった11月時点では、コンピュータソフトウェア著作権協会など相当数が未対応だった。
事件から約3ヶ月がたった今も移行していない顧客がいる。
515:名無しさん@お腹いっぱい。
04/02/05 18:11
>>514
続きがあるぞ。
事件から約3ヶ月がたった今も移行していない顧客がいる。
プログラムの欠陥については、経済産業省情報セキュリティ政策室も調査を進めている。
「サイトの安全管理について、プログラムの利用者を含めて指導や注意喚起も検討する」という。
516:名無しさん@お腹いっぱい。
04/02/05 20:23
>>513
>窃盗と同じ事をしたんだから逮捕されて当たり前じゃないの?
くどいようだが、ハッカーとクラッカーの定義を考えてみると背筋が凍る。(W
>>513
>情報が不正アクセスなどに悪用される恐れがあると判断した
そーかなぁ…
XXXXを知らない○○○○からの△△△△は大丈夫だと思ってたんじゃないかなぁ…
なんんことやら(W
ところで本当に移行していない(ファーストサーバの追求を逃れている)ユーザっているのかな?
517:名無しさん@お腹いっぱい。
04/02/05 22:23
>>516
>くどいようだが、ハッカーとクラッカーの定義を考えてみると背筋が凍る。(W
そんな言葉遊びをして何が楽しい?ハッカーだのクラッカーだのコンピュータ
業界の狭義の定義で、今回の事件には何にも関係ない。
もまえ、もしや190か?
518:名無しさん@お腹いっぱい。
04/02/05 22:54
はい。
519:名無しさん@お腹いっぱい。
04/02/05 23:32
事件ねぇ。。。
ハッカーが、個人情報を得ようとしたのではなくでCGIの脆弱性を指摘するためにデータを抜いただけなのに何をムキになっとんだぁ?
まあ、今回の事件の裁判で、不正アクセス禁止法が悪意のある行為を罰するための法律か、悪意・善意の区別とかの目的に関係なく適用されるものなのかの判例になるだろ。
で、ファーストサーバは、だんまりしかできんやろな。
520:名無しさん@お腹いっぱい。
04/02/06 01:52
ACCSにも警察にも、10行のPerlスクリプトも書ける人間なんていないんだよ。
だからこんなあほらしいことで大騒ぎしてるんだよ。
521:名無しさん@お腹いっぱい。
04/02/06 02:03
(アクセス制御機構なんて無かったというでたらめに対するテンプレ)
URIの一部をファイル名に変えるだけで侵入できた、
だからアクセス制御機構など無いと言い張る輩がいますが、
それは偽情報に騙されていますね。
件のアクセス制御機構回避事件に関しては、
(1)CGIの引数に対する適切な処理が行われていないケースがあるかどうかをかなり執拗に
探索する。
(2)不適切な処理の内容からCGIの引数をどのように与えればCGIのソースを見る事が出来るか
を試行錯誤して導き出す。
(3)得られたCGIのソースに書いてあるファイルオープンの箇所等を見て、
通常は絶対に知られる事のないサーバーに置いてあるファイル名が何であるかに関する
情報を得る。
(4)(1)と同じ手法に、(3)で得られた情報を組み合わせてCGIの引数を考え出し、それを
GETパラメーターとして与えて情報を盗み出す。
このようなプロセスが必要になります。
「誰にでもみれる状態だったし、違法などではない」という主張が明らかに嘘、だましである事が
わかるでしょう。
もし、「誰にでもみれる状態だったし、違法などではない」というのなら、
今でも同じバグが改善されていないスクリプトを使っているサイトがある事は周知の事実ですので、
あなたがそこのサイトからファイルを取ってきて下さい。
あなたの説によればそれは誰にでも出来て、違法ではないのですからすぐに出来ますよね?
その主張の正しさを証明するため是非ともお願いします。
522:sage
04/02/06 04:24
(よくわかんないけどとりあえずテンプレ)
(1)CGIの引数に対する適切な処理が行われていないケースがあるかどうかをかなり執拗に
探索する。
(2)CGIの引数をどのように与えればオフィスの謝罪文を見る事が出来るか
を試行錯誤して導き出す。
(3)得られたCGIの変数名に書いてある max の箇所等を見て、通常は絶対に知られる事のない
数字が何であるかに関する情報を得る。
(4)(1)と同じ手法に、(3)で得られた情報を組み合わせてCGIの引数を考え出し、それを
GETパラメーターとして max=1000 を与えて謝罪文を盗み出す。
523:名無しさん@お腹いっぱい。
04/02/06 08:00
当のCGIに自身のCGIパスを渡したらソースを表示したってどこかに書いてあったぞ。
その程度のこと小学生にでも思いつきそうなもんだよな。
524:519とか(同一文体多数)
04/02/06 09:00
>>521
>「誰にでもみれる状態だったし、違法などではない」というのなら、
ワシに言ってんだかどうかわからんのだが、、
ワシが言ってるのは、「ハッキング(悪意なし)が刑事罰の対象だってことになったら怖いな」ということだけ。
525:519とか(同一文体多数)
04/02/06 09:03
補足
上で書いた「悪意」とは「法律用語の悪意(事情を知っている)」ではなく、「一般的な悪意(自分の利益だけを追求)」です。
526:名無しさん@お腹いっぱい。
04/02/06 09:08
>>524
不正アクセス禁止法が出来た段階で結論は出てるだろ
なにをいまさらハッカーだのクラッカーだのw
527:519とか(同一文体多数)
04/02/06 09:10
>>523
>その程度のこと小学生にでも思いつきそうなもんだよな。
そうそう、そういう気がつけばだれにでもできる脆弱性が堂々とセキュリティーホールとしてまかりとおってきたのがインターネットの世界です。
例
smtp鯖には誰でもアクセスできる。 → spam中継不正利用
/etc/passwdはだれでも読むことができる → 力技でパスワード解析
528:519とか(同一文体多数)
04/02/06 09:13
>>526
だから、怖いなーといってるだけだろが。。。
529:519とか(同一文体多数)
04/02/06 09:16
ともかく、今回の*事件*の裁判結果により、ハッカー(くどい…)が刑事罰の対象になるか否かの判例になるでしょ。
530:名無しさん@お腹いっぱい。
04/02/06 09:19
だから結論は出てるって
ハッカーだろうがクラッカーだろうが
不正アクセスは罪
今回の論点はそんなことじゃなく
あれが実際不正アクセスだったかどうか
531:名無しさん@お腹いっぱい。
04/02/06 10:04
>>523
なんか違うらしいぞそれ。
■ACCS不正アクセス 京大研究員逮捕事件に関するテンプレ
URLリンク(www.geocities.jp)
532:名無しさん@お腹いっぱい。
04/02/06 10:17
>>531
違わない。CGIにパスを渡すメソッドがPOSTだというだけ
533:名無しさん@お腹いっぱい。
04/02/06 10:35
まあ少なくともPOSTの改竄は小学生はやらんだろうけども。
このへんはどうなのかね、裁判ではリクエスト改変の
容易さてのは裁判官の心証の違いにつながってくるのかな。
534:523
04/02/06 11:04
GETじゃなくてPOSTなら一般的には不正と受け取られても仕方ないかな。
いまどきの小学生なら書き換えたファイルをローカルに作るくらいは出来ると思うけど。
でも不正アクセスの一言で片付けられてサーバ管理側の責任が問われないのでは、
一般利用者としては困るよね。個人情報が流出した原因の過失の割合としては、
サーバ管理側の責任は決して軽くはないと思う。
535:名無しさん@お腹いっぱい。
04/02/06 11:08
刑事では個人情報流出の責任を問う法律がないからね
民事ならやりようはあるだろうが...
536:名無しさん@お腹いっぱい。
04/02/06 11:22
>535
そこだよね。
個人情報が流出した被害者が気づかなければ、管理側にはお咎めなし。
住民基本台帳なんかでコレやられたら、「なんか勝手に借金されてるぞ」と
気づいたときにはもう個人情報ダダ漏れ。
紙ベースの業務のつもりで運用されちゃ怖いよなあ、任せらんないよ。
537:519とか(同一文体多数)
04/02/06 12:03
>>530
設置者の意図しないアクセス方法だったら不正だろう。
「説明書を読んで正しくお使いください。」ってのが日本の常識やし。
しつこいようだが、裁判の結果待ちですな。
538:名無しさん@お腹いっぱい。
04/02/06 12:15
perlやCGIの説明書も読んで欲しいんだが
539:名無しさん@お腹いっぱい。
04/02/06 13:06
俺の人生の説明書も読んで (・∀・)v
540:名無しさん@お腹いっぱい。
04/02/06 16:51
>>537
不正アクセス禁止法のどこに「設置者の意図」なんて書いてあるんだw
議論したいなら不正アクセス禁止法を読んでから出直すことをお勧めする
541:名無しさん@お腹いっぱい。
04/02/06 17:21
別スレでも出てたけど法廷では「プログラムの
設計意匠の解釈」が絶対に入ってくるでしょう。
542:名無しさん@お腹いっぱい。
04/02/06 17:26
つまり"svcmail.cgi"が任意のファイルにアクセスできるってのが
「仕様」だったか「脆弱性」だったかってことだな
それは論点になると思うよ
543:名無しさん@お腹いっぱい。
04/02/06 19:28
>設置者の意図しないアクセス方法だったら不正だろう。
違うよ。
>「説明書を読んで正しくお使いください。」ってのが日本の常識やし。
つまり、設置者が説明書を正しく読まなかった責任をアクセス側に押し付けるなってことだ。
例えば、UNIXでパス名中の".."が親ディレクトリなんてのは常識で、UNIX鯖の設置者や管理者は「知らなかった」とは言えない。
544:名無しさん@お腹いっぱい。
04/02/07 00:55
>537
裁判の結果待ちではあるが、その前に「意図」って何だよ?
意図してなければ…、想定漏れであれば…、穴が開いていても、
散々指摘されても、3年以上放置していても、許されるのか?
今回のように「ハッキリ」分かるように指摘されるまで、指摘に
気付いていなかった、指摘を理解出来なかった、なら構わないのか?
「サイバーノーガード戦法」でググれ。
今回の個人情報流出事件で、『真』犯人ACCSとファースト鯆に
お咎め無しだと、ノーガード戦法がまかり通ってしまうわけだが、
これを銀行や住基ネットでやられたら>536さんの言う通り、
ガクガクブルブルものだ。それでなくとも社内の違法コピーを
ACCSに内部告発した香具師は、既にガクガクブルブルなのだが。
>536に付け足すと、被害者が気付いても、管理側が気付かなかったり、
気付かなかったことにすれば平気なのか?五月蝿く文句を言う被害者
が居たら、ロビィ活動してoffice氏のように口封じすれば良いのか?
『真』犯人=ACCSとファースト鯆は逝ってヨシ!
545:名無しさん@お腹いっぱい。
04/02/07 01:19
>『真』犯人=ACCSとファースト鯆は逝ってヨシ!
ヨセフアンドレオンの中川文人です
声明文は恥ずかしくて削除しましたが私をお忘れなく
URLリンク(www.josephandleon.co.jp)
546:名無しさん@お腹いっぱい。
04/02/07 01:26
>>544
ファースト鯖に関しては同意だが、ACCSについてはどうだろう?
ファースト鯖からまともな情報を貰っていなかったわけだから
同列に扱うのはどうかと。もちろん、CGIの確認が甘かったという
事実は変わらないわけだから、無罪というわけではないのだが。
547:名無しさん@お腹いっぱい。
04/02/07 06:31
>>544
今回の件で、気づかなかった(不正アクセスされた)ことにすれば、情報の管理者は
責任を問われないという前例が作られると、一般利用者が泣きを見る世の中になって
しまいそうですね。何とかならないのかなあ。
>>546
被害者の立場に立って考えれば、
office氏、ACCS、ファースト鯖、ヨセフアンドレオン
それぞれの過失割合に応じて賠償請求可能かどうかが重要だと思います。
犯罪者には賠償能力が無い場合のほうが多いから、情報管理者の賠償責任を
問える法制度が無いと困りますよね。
別のスレでは個人情報保護法で守ればいいみたいな意見があったが、情報だけ
守れば安心ってものでは無いだろうし、ちょっと違う気がするんですよ。
サイバーノーガード戦法の記事は、今回のように世間の関心が「不正アクセス」
にだけ向けられた状態だと限りなくこれが現実になりそうで怖いな。
548:名無しさん@お腹いっぱい。
04/02/07 10:34
>>514
>プログラムを開発したサーバー提供会社は、02年末にこの欠陥を見つけ、修正プログラムも開発したという。
>しかし、顧客に対し、詳しい欠陥情報を提供しなかった。
詳しいもなにも、欠陥があるから修正したという事実すら伝えてないのでは?
そこんとこどうなの?
>02年末にこの欠陥を見つけ、修正プログラムも開発したという。
危険性を予見していたということで FA ?
>情報が不正アクセスなどに悪用される恐れがあると判断した、と説明している。
危険性を予見していたということで FA ?
549:名無しさん@お腹いっぱい。
04/02/07 14:46
全部officeのせい全部officeのせい全部officeのせい全部officeのせい
全部officeのせい全部officeのせい全部officeのせい全部officeのせい
全部officeのせい全部officeのせい全部officeのせい全部officeのせい
全部officeのせい全部officeのせい全部officeのせい全部officeのせい
全部officeのせい全部officeのせい全部officeのせい全部officeのせい
全部officeのせい全部officeのせい全部officeのせい全部officeのせい
全部officeのせい全部officeのせい全部officeのせい全部officeのせい
550:名無しさん@お腹いっぱい。
04/02/07 15:51
>>549
土曜日の出勤ご苦労様
でも頑張ってもファーストサーバーは今年はボーナス無いと思うよ
551:519とか(同一文体多数)
04/02/07 20:58
ホントに、土曜日出勤ご苦労さんでした。
修正しましたというFAXが入っていて、そんなわけねーだろがーと思って念のため確認したのですが、そんなわけありまへんでした。(謎
そのパラメータどこで使ってるねん。。。(さらに謎
客先から問い合わせが来たら、心配性のファーストサーバが無駄なことをしたみたいですと報告します。
どうせ商品の発売記録しかとってないし。。。
しかし、ファーストサーバの追求から逃げ切れた香具師っているんかな。。。
>>544
この場合、設置者は、ユーザに入力された情報を記録する意図があります。
決して、記録した情報を一般公開しようという意図はありません。
ある方法で、記録されている情報を得たとしたらソレは不正アクセスなわけです。
で、その不正アクセスの動機が不正アクセス可能であることを指摘する目的でも処罰されるんだったら怖いなぁと。。。(クドイ
>>547
一般利用者の情報を保護する目的で作られた法律が不正アクセス禁止法ですよね。
システムの作成者や管理者を処罰するようにしようとした場合、業務上過失ほげほげみたいな法律が必要でしょうな。。。
そんなものができたら、システム価格が高騰するでしょうね。
552:名無しさん@お腹いっぱい。
04/02/08 05:06
スレリンク(newsplus板)l50
どぞ
553:名無しさん@お腹いっぱい。
04/02/09 00:15
URLリンク(www.firstserver.ne.jp)で万全のセキュリティを謳っていながら、
実際には何もしていなかったのではないだろうか?
していないなら誇大広告だし。
> 新規導入ソフトのセキュリティ監査(独自CGIは除く)
を行っていたなら、何故こんな単純な穴が見過ごされたのか? 今後見過ごさないようにする対策に関して説明する義務があると思う。
554:名無しさん@お腹いっぱい。
04/02/09 07:53
>>544
>『真』犯人=ACCSとファースト鯆は逝ってヨシ!
何という罪を犯したんですか?
私の知っている限り、ACCSとファーストサーバは被害者か関係者というだけで、
罪を犯したという記憶は有りませんが・・・。
555:名無しさん@お腹いっぱい。
04/02/09 08:07
>>554
ACCS
セキュリティを専門にしている集団のくせに
・不必要な個人情報を収集した
・個人情報を扱うのにセキュリティチェックもせずに業者まる投げ
ファースト鯖
・基本的なサニタリングもしていないCGIを提供した
・早くからセキュリティーホールに気付きながら、ユーザに周知すらしなかった
・事件後も正式なコメントすら出さずとぼけつづけている
そりゃ高度なスキルを持ったクラッカーが誰も気付いていない穴をついたなら
同情の余地もあるだろうが、今回のようなまぬけなしかも既知の穴をほっといて
被害者づらもないだろう
556:名無しさん@お腹いっぱい。
04/02/09 09:08
>>547
「サイバーノーガード戦法」の記事を読んでみたのですが、どうも一時的な義憤で書かれた、稚拙な記事という印象を受けました。
仮に、不正アクセスをされたサイトの管理者は不正アクセスを行った者と同じく加害者であるから、同様の罪と考えるべきであるという事を言っている
のなら、私はそちらの方が怖いですね。
それこそ専門の情報機関に掛かれば、一般のWebサイトに不正アクセスを行う事は容易にできるでしょうし、不正アクセスを行う事で相手を犯罪者にできるのなら、
国家権力に掛かれば幾らでもそういう*犯罪者*を仕立て上げる事ができる事になりかねません。
いささか想像力が大きすぎるのかも知れませんが、世界中と繋がっているネットワークに接続している訳ですので、そういう事も考慮しないのは問題が大きすぎると思いますねぇ。
第一、不正アクセス禁止法が禁止しているのは、別にインターネットに接続されたコンピュータに限らなかったと思うのですが、それが正しいとすると、非常に広範囲に犯罪者として逮捕される恐れが広がるのではないでしょうか。
そちらの方が個人情報の漏洩より遥かに怖いと思います。
557:名無しさん@お腹いっぱい。
04/02/09 09:09
(続き)
>>547
やはり不正アクセスなどにより個人情報が漏洩されてしまった場合、その管理が不適切だったという事による民事上の責任に問われる形であるべきでしょう。
>犯罪者には賠償能力が無い場合のほうが多いから、情報管理者の賠償責任を
>問える法制度が無いと困りますよね。
賠償能力は関係が無いと思いますよ。
不正アクセスをするのが貧乏な個人であり、不正アクセスされるのが裕福な法人とは限りませんし、第一賠償能力が無いからと言って賠償責任が軽減されるというのも、賠償能力が有るからと言って賠償責任以上の負担を命令されるというのもおかしな話です。
>情報だけ
>守れば安心ってものでは無いだろうし、ちょっと違う気がするんですよ。
いや、逆でしょう。
守らないといけないのは情報であって、Webサイトのセキュリティでは無いと思いますよ。
558:名無しさん@お腹いっぱい。
04/02/09 09:15
まぁあれが稚拙な記事というのには同意するが
別に専門の情報機関とかいうような話ではなく、
今回のようなろくなセキュリティもない糞なサバ管
でもお咎めなしってのはどうなのよ
ってことであってさ
まぁそういうサバ管は自然淘汰されていくのが
資本主義って奴だとは思うが、不正アクセスの
おかげで糞サバ管が被害者面してるのもなんだかなぁ
559:名無しさん@お腹いっぱい。
04/02/09 09:16
>>555
それは犯罪なんですか?
560:名無しさん@お腹いっぱい。
04/02/09 09:20
現行法では犯罪じゃないよ
だからこそ>>544は
『真』犯人
と書いてあるんだと思うよ
561:ムウ・ラ・フラガ
04/02/09 18:21
国内高速回線
格安
電話サポートも、あり
URLリンク(www.risedotpro.com)
562:名無しさん@お腹いっぱい。
04/02/09 21:20
>558
残念ながらIIJは事実上、九州合併された。
ACCA^hSが良貨を駆逐している現状。
>560
現行法でも有罪だよ。文章を正しく読む限りでは。管理者には情報を
正しく保護することを求めている。にも係わらず、その保護を破って
侵入するのが「不正侵入」。ノーガード戦法なのに不正侵入の容疑で
タイーホとは、これ如何に?
まあ法律は、文章よりも判例だけど、この法律はまだこれから判例を
積み重ねていかねばならん段階たからね。
とにかく、大本営発表は、もう秋田。お腹いっぱい。
その受け売りのマスゴミ記事を鵜呑みにするなよ。
情報操作には、眉に唾付けるのを忘れるな。
563:名無しさん@お腹いっぱい。
04/02/09 21:26
>545
サンクツ。「ヨセフ アンド レオン」ってユダヤ系かな。覚え難い
名前だ。
確かに「40過ぎのオサーンがおじさん(ここ平仮名)の権力を…」
のくだりが削除されてるね。恥ずかしいヤシ。全然、釈明に
なってない釈明。ITバブルで色んなDQN野郎が参入して来たが、
ここまで最低なDQN野郎は初めて見た。
564:名無しさん@お腹いっぱい。
04/02/09 21:59
>>551
「不正アクセス禁止法」は、(設立の趣旨は別かもしれませんが)個人情報を管理
している管理者を不正アクセスから守るような内容になってると思うんですよ。
「個人情報保護法」が個人情報の漏洩から個人を守るために、管理者に管理義務を
課してはいますが、罰則がそれほど厳しくはないんですよね。
ご指摘のようにあまり厳しいと業界にも悪影響が出るのでしょうが…
個人情報の漏洩を防止するには業界の自主的なモラル向上に期待するしかないという、
個人にとっては非常に厳しい状況ですね。
(罰則が緩いので変化のスピードはかなりゆっくりなんだろうな)
>>557
国家権力による「不正アクセス禁止法」の乱用により、サイトの管理者が犯罪者に
仕立て上げられてしまうことも確かに心配です。
でも私は、犯罪者によって持ち出された個人情報が悪用されて更なる被害が起きた
場合の被害者の損害が深刻なことのほうが、もっと心配です。
情報が漏洩した場合に、「個人の更なる損害」について負担する責任は情報を管理する
企業の規模によって決まるのでは無いのは、もちろん同意です。
「簡単に個人情報を盗まれないように管理義務を誠実に履行していたかどうか?」や、
「不正に個人情報を入手した犯人の悪質性」等で決まるべきと思います。
>いや、逆でしょう。
>守らないといけないのは情報であって、Webサイトのセキュリティでは無いと思いますよ。
私の文章が読む人に誤解を与えてしまうような、とりとめの無い形になってました。
申し訳ないです。
「情報だけ守れば安心ってものでは無いだろうし」というのは「個人情報が漏洩した
被害者を更なる損害から守って欲しい」というような気持ちで書きました。
「不正アクセス」の解釈が、情報を管理する管理者の「管理義務」を緩くしてしまう事
(いわゆる個人情報だだ漏れ)が起こらないように願うばかりです。