[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:7090] Re: CGIの欠陥突き情報引き出した京大研究員逮捕 警視庁
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:7090] Re: CGIの欠陥突き情報引き出した京大研究員逮捕 警視庁
- From: KATOH Yasufumi <karma@xxxxxxxxxxxxxxx>
- Date: Fri, 06 Feb 2004 15:53:08 +0900
加藤泰文です.
>>> On Fri, 06 Feb 2004 13:55:21 +0900
in message "[connect24h:7083] Re: CGIの欠陥突き情報引き出した京大研究員逮捕 警視庁"
Sokichi(sokichi@xxxxxxxxxxxxxxxxxx)-san wrote:
> 法律にとても精通されていらっしゃるようなので
> 補足していただいて助かります。
いえ.詳しくないんです.今回で改めて不正アクセス法を読み直しましたから.
(^_^;)
> うまく伝わるかどうかは分かりませんが、私が言いたかったことは、
> 不正アクセス禁止法においてOfficeさんを「シロ」にする論調なのが
> おかしいんじゃないかということです。
> 逆に私は、今回のOfficeさんを「シロ」と解釈できるような
> 不正アクセス禁止法がおかしいと思いました。
なるほど.
ただ,法律は書いてある以上の事は処罰の対象になりませんから,法律が不備
で今回の事件が該当して当然なのに無罪でおかしいという風になるのであれば,
今後法律の改正の議論が高まるという風になっていくものでしょう.おかしい
と思えても,どうしようもないことです.
> 不正アクセス禁止法を適用されては困ることがあるんでしょうか?
> あればその辺を具体的に知りたいところです。
この辺りは既に多数の意見が出ていましたが... 読んでますよね?
不正アクセス禁止法はセキュリティホールを突いた攻撃という行為そのものが
対象になります (他にもありますが) .今回の場合,たとえ個人情報の公開を
行わずに ACCS にまず連絡を取ったとしても (つまり公開プロセスに問題がな
くても) ,関係ありません.
脆弱性があるのかないのかをチェックするには,実際にそのプログラムに不正
な入力をして見るなど,実際の攻撃を行わなければどうしようもありません.
世の中に出回っているようなプログラムであれば,個人的にテスト環境を用意
すれば良いですが,そのサイトのカスタムプログラムの場合,実際にそのサイ
トで実験しなければチェックは出来ません.
そのようなプログラムに対して,脆弱性があるかどうかをチェックするような
行為に対しても不正アクセス禁止法が適用されるのであれば,チェックはその
運営組織が自身で行わない限り出来ない事になります.その辺りの危惧は多数
出てきていると思います.例えば,
http://www.mainichi.co.jp/digital/network/archive/200402/04/2.html
なんかがその辺りがよく書けているのではないかと思います.
> 今回のアクセス方法を使ったアクセスについては
> 不正アクセス禁止法に触れないなら、
> このMLにOffice氏が発表したアクセス方法を
> 流しても問題ないということなんでしょうか?
アクセス方法を公表するという事自体は「不正アクセス方法」とは関係ないと
思います.なので流しても「不正アクセス法」には違反しないのではないかと
思います.
倫理的な問題,他の法律でひっかかるか? については知りません.現時点では
そのサイト自体は閉鎖されていますし,他に同じプログラムを使っているサイ
トがないのであれば,例えば今後のセキュアなプログラミングという観点から
悪い例ということで挙げればみんなの勉強にはなるでしょう.
あと,一般的には脆弱性が修正されたプログラムは,その攻撃方法も公開され
たりしますね.これは Windows 等の OS とか,その他様々なプログラムに関
してそういう風に運用されている例が多数あると思います.
その辺りの公表についてもケースバイケースでしょうし,色々な所で議論され
ていると思います.
> よりたくさんの人がそのアクセス方法を使って脆弱性のある
> サーバに「警告」という目的でアクセスすればセキュリティは
> 一気に高まりますでしょうか?(^^;
高まるでしょうけど,これはまずいのでは?
今回の件でも ACCS の発表に
http://www.askaccs.ne.jp/
| 確かに、CGIの脆弱性を指摘することについては、セキュアなネットワー
| ク社会を構築するために有用な側面もあると考えます。しかし、セキュリティ
| とは本来、個人情報など重要な情報を保護するという目的のために存在する
| 「手段」であり、今回のこの男性の行為は、手段のために目的を犠牲としたも
| ので、本末転倒と言わざるをえません。この男性の目的が本当に「CGIの脆弱
| 性の指摘」であれば、実際に個人情報を入手し、不特定多数の人の前で公開す
| ることまでは必要なかったと考えます。
とありますね.
先の毎日新聞のページでも
| 善意のぜい弱性の指摘が萎縮するのを問題と見るネット関係者もいる。こう
| したなか、経済産業省は情報処理推進機構(IPA)に委託し、ぜい弱性対策の
| 研究を始めた。ぜい弱性を発見したらどこに届け出て、不正アクセス禁止法に
| 抵触せず、ぜい弱性の指摘をするにはどうしたよいのかなどについての基準作
| りを行うものだ。年度内にも結論が出ることが期待される。
という部分があります.
いけださんは office さんの何が問題なので不正アクセス禁止法で有罪になる
べき,とおっしゃっているのでしょうか? その辺りがはっきり今までの発言で
わかりません.
脆弱性の有無をチェックする行為そのものも否定されているのでしょうか?
--
==============================================
(((( 加藤泰文
○-○ karma @ prog.club.ne.jp
==============================================
(Web Page) http://park2.wakwak.com/%7Ekarma/
==============================================
その他のヨーロッパの国々の音楽のページを更新
(January 31)
--[PR]------------------------------------------------------------------
┏━┯━┯━┯━┯━┓ 最新情報もりだくさん! ┏━┯━┯━┯━┯━┓
┃★│星│占│い│★┣━┯━┯━┯━┯━┯━┯━┫■│壁│ │紙│■┃
┗━┷━┷━┷━┷━┫⇒│ニ│ュ│ー│ス│速│報┣━┷━┷━┷━┷━┛
┗━┷━┷━┷━┷━┷━┷━┛
mypopで毎日お届け => http://click.freeml.com/ad.php?id=167197
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp