日記
CGIの欠陥突き情報引き出した京大研究員逮捕 警視庁 from asahi.comEdit

2004/2/6 の続き

この件のまとめページ。後半で罪状ごとに、検察側、弁護側の(想像上の)意見を並立させているあたり、とても良くできている。

2004/2/4

>>ハイテク犯罪対策総合センターの調べでは、河合容疑者は昨年11月6〜8日、著作権保護団体のサイトのサーバーに不正に接続し、ネット上で同協会に相談を寄せた約1200人分の氏名や住所、相談内容などを引き出した疑い。

>>さらに同月8日、都内で開かれたネットの安全対策担当者やハッカーの集会で、参加者約200人に接続方法を公開し、協会にも接続したことをメールで通知した。そのうえで、サイトの一部の閉鎖を余儀なくさせ、協会の業務を妨げたとされる。

不正アクセス禁止法違反威力業務妨害か。厳しい判断だな。

特に前者に関しては、やばそうなWebアプリを見かけたときに、自分の身を守るために勝手にテストすることまで、不正アクセス禁止法違反に問われてしまいかねない。ただ逆に言うと、少しでもやばいことをしたら即不正アクセス禁止法違反だと認定されるのならば、遊び半分でクラックするような行為への抑止力になるかもしれない。ただそうすると、この手の問題は根深い方向に向かってしまいそうだ。

威力業務妨害の方も微妙すぎる。「威力」ってのは何? システムに問題があることを周知させることも「威力」なのか? 「業務が妨害された」のか、それとも問題を認識して「自主的に業務を中断した」のかどっちなんだ? これってACCS側から罪状を取り下げさせることはできないのかな?(親告罪じゃないけど)

多人数に公開したことは問題だったと思うけれども、基本的にはセキュリティ意識の改革・向上を求めてのことだったんだから、厳重注意の上、今回は罪に問わないってあたりでいいと思うんだけど。

>>ACCSによれば「男性はイベント終了後に,はじめて当協会宛にメールでCGIのぜい弱性を指摘し,個人情報を入手できることを通知してきた」という。

あれ、そうだったの。てっきり逆だ(すでに通知してあるのにまだあいている穴を使った)と思っていたよ。それだったら確かに「ちょっと行き過ぎた」ですませるのは難しいな。悪意のある攻撃(クラッキングというのではなく、ACCSという存在自体に対しての)ととられても仕方がないかも。なんでそんなことをしたんだろう。

2004/2/5

公式に、今回の件のグレーな部分をきちんと指摘する声明を出してくるあたり、京都大学およびこのセンター長は偉いな。トカゲのしっぽ切り的な方向に向かわなくて好印象。

2004/2/6

問題のコンテンツをACCSから請け負って作成・運営している会社の代表取締役の人の見解。

>>また、この間、ユーザの個人情報を盾に、われわれを脅迫した人物でもあります。

と言い切ったのが結構すごい。この事実をきちんと証明できるんだろうか。

>>現在、ASKACCSの再開に向けた作業を進めていますが、 セキュリティの専門家やセキュリティ技術に依存しないセキュリティのあり方、セキュリティに依存しない情報社会のあり方を模索していかなければならないと考えております。

ってのはなんとなくいやな感じだ。技術嫌いの人の技術否定論って感じがして。その解決策はおそらく法規制の方向なんだろうなーと思うけど、技術を伴わない法規制なんてものでは、技術的な問題は解決できないだろう。セキュリティは倫理だけでコントロールできるものではない。最低限の技術的な裏付けは必要だ。もちろん技術だけで解決できるものでもないので、ある程度の法規制も必要だが。

って書いてから見に行ったら、うげ、このページ削除されてるよ。ひでーなー。

そういうことすると、うちみたいに文章の一部分を引用して批判しているところを見た人に、文章のほかの部分を読む機会を失わせ、結果として自分自身の主張がねじ曲げて伝えられるという行為を、自ら助長していることになってしまうんだよ。それにどうせそのうち2chとかに全文コピペが貼り出されるだろうし。

によれば、この会社のサイトの他の人のコラムにも、

>>ASKACCS「著作権・プライバシー相談室」を閉鎖に追い込んだ憎っくきサイバーテロリスト、「officeこと、河合一穂」がついに逮捕されました!

と書かれてあったのが削除されたらしい。なんかすごい印象悪いんだけど、削除してばっくれるつもりなの? なんらかの釈明なり再掲載なりした方が印象がいいと思うんだけど。

後者の全文コピペ発見。

声明文の方もまだGoogleキャッシュに残っていた。

Published At2004-02-04 00:00Updated At2004-02-04 00:00