Lucrezia Borgia の Room Cantarella

はぁい。はじめまして。ルクレツィア ボルジアのカンタレラ部屋へようこそ。
主人のルクレツィアです。
簡単に、この部屋の主旨を。
この部屋は、コンピュータ技術関係のお話をするところなの。っていうかあたしの雑感を書いてるってほうが正確かしら?
あたしの主観で書いてるから、内容には要注意よ。原典と自分の意見くらい、きちんと自分で処理してね。あたしが処理して上げられるのはがちむちイケメンの殿方の下半身くらいのものよ。
カンタレラ、ってのはとっても素敵なお薬のこと。興味があったらGoogleにでもいって調べてみて頂戴。か弱い女に頼りっぱなしじゃだめよ。
名前のとおり、この部屋に書く内容にはたっぷり毒をまぶす予定だわ。即効性も遅効性も含めて。あま〜〜い、毒をね。

最近の見出し

2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 05 | 06 | 07 | 08 | 09 | 10 | 11 |
2007 | 05 |
2008 | 01 | 11 |
<< 2004/03 >>
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31
プロフィール

Lucrezia

あら? あたしの事をそんなに知りたいのかしら?

 | 

2004-03-29

うふ。金曜日から日曜日まであんまりにもデートの約束がつまってたものだから、へとへとだわ。心機一転…相変わらずひどい話が多いわねぇ。

また?

http://www.mainichi.co.jp/digital/network/archive/200403/26/2.html

http://japan.internet.com/webtech/20040329/5.html

http://internet.watch.impress.co.jp/cda/news/2004/03/26/2588.html

http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040326/142021/

東武鉄道メールマガジン会員の個人情報が流出したらしいわ。なんていうかこぉ…言うべき言葉も見つからないわ。

つづいてはこちら。

http://www.mainichi.co.jp/digital/network/archive/200403/26/3.html

山口銀行の顧客情報が漏洩、ですって。


多分、個人情報ってものに本当に重きを置いていないのねぇ。もしかすると「セキュリティ」自体に、根本的に注意を払えないのかもしれないわ。

そろそろ、この辺の「人としてまっつぐな考え方」が出来るか出来ないか、で企業をふるいにかけていく時代が来るのかもしれないわね。

極めつけに絶句ものなのは、これよ。

http://internet.watch.impress.co.jp/cda/news/2004/03/29/2591.html

京都府警より、個人情報11人分が含まれた捜査書類がネット上で漏洩、ですって。しかもそれって「捜査報告書、鑑定嘱託書、指名手配書」ですってよ? 聞いたかしら、奥様。なんていうかこぉ「冗談はあんた達の存在だけにして頂戴」って感じだわ。

まぁ当然のことながら、京都府警のWeb(http://www.pref.kyoto.jp/fukei/)を見に行っている2004/03/29 14:18現在、お詫びのおの字も見当たらないわ。さすが「国家権力を背負った暴力団」のやることは違うわねぇ。

しかも

http://internet.watch.impress.co.jp/cda/news/2004/03/29/2591.htmlより

下鴨警察署交番勤務の男性巡査が所有する私物のノートPC2002年に作成されたファイルが、ネットで閲覧できる状態になっていたことが判明。

ってどういうことかしら? 通常の個人情報と比較してもはるかにデリケートな情報をどれだけ杜撰な意識で扱っていたのか、ってのがよくわかろうってものだわ。

http://internet.watch.impress.co.jp/cda/news/2004/03/29/2591.htmlより

なお、府警の内規によると、私物のPCを公務で使用する場合、所属長に申請して登録する必要がある。個人情報は、ハードディスクへの記録が禁じられており、署外への持ち出しも許可が必要だ。「巡査は、個人情報ハードディスクに記録した時点で、内規に違反している」(京都府警総務部)とし、内規を徹底するよう全署に向けて再度通達したという。

ってあるけれども、まぁ無理ね。こういった状況が起きていること自体、内規が形骸化している好例だわ。そもそも規則ってのは「それを破ることでどのような不利益が起きるのか」という、規則の根底に流れる精神をきちんと理解させることが一番重要なの。そういったことをせずに「いいから守れ」っていう、脳みそまで贅肉で埋まってるような愚かな行為をしているからこういうことになるのよ?

まぁ警察が限りなく愚鈍な連中である、ってのは周知の事実だろうとは思うんですけれども。

http://internet.watch.impress.co.jp/cda/news/2004/03/29/2591.htmlより

なお、現時点では個人情報漏洩による二次被害の報告はないとしている。

この辺の台詞も愚かさを増長しているわねぇ。いかにも「とりあえず目先の火を大慌てで隠そうとしている」感満載だわ。

こんな連中が「法の番人」だ、ってあたりにあたしは恐怖と快楽を感じるの。ただ、少し視点を変えるといい面もあるわ。だって連中バカなんですもの。あたしがどんなことをやったって、うまくやれば気づきゃしないわ。見当違いのことをやって目先に振り回されて慣習としがらみと袖の下を基準に、愚かな行為を繰り返してくれるわ。つまり「本当の犯人」にとってはとても安全なの。ありがたいわ。たしかに犯人も「市民」ですもの。市民の安全を守ってくれているのね? って実感できるわ。

まぁ善良な市民にとっては純粋に恐怖だと思うんだけど。

その後の明暗

まずはこっちからかしら。

http://www.japanet.co.jp/index.html

Top Pageだから少し長めに引用するわ。ジャパネットたかたのお話よ。

http://www.japanet.co.jp/index.htmlより

お客様情報漏えいに関するお詫びとご報告◆

引き続きご報告申し上げます。社内の調査委員会を中心に原因究明につとめてまいりましたが、現段階までの出来る限りの資料・情報の提供を終え、最終的な捜査を警察当局へ委ねている状況でございます。

また弊社のテレビ・ラジオインターネット・CS放送(スタジオ242)の自粛につきましては、皆様方には多大なご迷惑をお掛けしております。前回も申し上げましたように出来るならば5月、可能な媒体は一日でも早く、事業が再開できますよう社員一同真相の究明を念じております。

同時進行になりますが、セキュリティ委員会を中心とした再発の防止・強化にむけての取り組みを行い、また放送再開時にはさらに充実した番組、そして安心のある応対がご提供できますよう社外のお力添えも頂き、社員のスキル向上にもつとめております。

今回の件では多くの皆様から叱咤、激励のお手紙やお電話メールを頂戴し大変ありがたく思っております。ご指摘、ご指導の点は真摯に受け止め、激励には報いることができますよう、最後まで真相の究明に尽力し、最終的なご報告を申し上げたいと考えております。

株式会社 ジャパネットたかた

代表取締役 高田 明

そうね、やったことは決してほめられることではないんですけれども。その後の潔いまでの身の断じ方は、ほめて差し上げてもよろしくってよ?

もちろん「ポーズじゃないのかしら?」っていう疑問がないわけではないし、よしんば本気だったとして「有効な対策がちゃんと打てているのか?」ってのは疑問としてあるわ。

それでも、ここまで自粛を含めた行動をしっかりとれば、少なくとも凡百の他企業よりは「信用してみてもいいかしら?」って思えるのよね。そしてこれが策略なら、それはそれで認めてあげるわ。あたし「優秀な詐欺師」は嫌いじゃないのよね。

さすがに「一代でたたき上げた」社長は一味違う、って感じかしら?

一方でこっちは…まだこれからが正念場ね。

http://internet.watch.impress.co.jp/cda/news/2004/03/26/2574.html

アッカのお話よ。見ている限りでは…内部大混乱って感じだわね。それにしても…あそこの技術レベルと、特に上層部技術への認識の甘さと疎さは直接体験しているから…下っ端の作業員の子たちの苦労が目に浮かぶようだわ。

これで少し体質が変わればいいんですけれども…人間、30超えて性根が腐ってるとそう簡単には治らないのよねぇ。ま、しばらく注目って感じだわね。

いい加減少しはお仕事していただけないかしら?

http://www.mainichi.co.jp/digital/network/archive/200403/26/4.html

確かに「罰則を設ける」ことは重要だと思うの。でも単純に罰則だけ作っても何の意味もないわ?

ここで少し冷静に考えて欲しいの。重要なのはなにかしら? 「漏洩したら罰する」ことではないはずよ? 重要なのは「漏洩させない」ことなの。

もちろん、漏洩させないために「漏洩したときの罰則を規定することで漏洩防止に対する意識を高める」ことは十分な意味があるわ。でもそれ以上に「どうやったら漏洩しないように予防できるのか」をきちんと啓蒙していく必要があるの。その辺の手をちゃんと打ってこその「意味のある行政」じゃないかしら? どうも「法を整備すればあとは何とかするだろう」的な、寝ぼけた幼稚園児でも考え付かないような愚考を、まましがちなのよね。

税金は、あんた達みたいな社会不適合者を養うためにあるんじゃないわ。もう少し「意味のある」使い方を考えていただけないものかしら?

ちょっと残念な記事ね

https://www.netsecurity.ne.jp/article/1/12636.html

あたし、Net Security(https://www.netsecurity.ne.jp/)は好きな記事が多いの。それだけに、今回のこの時期はとても残念で悲しく思っているわ。

いくつか引用して、突っ込みを入れてみるわ。

部分部分はうなずける部分も少なくないの。例えば

https://www.netsecurity.ne.jp/article/1/12636.htmlより

個人情報の回収、拡散防止をひとつの企業や団体などに押し付けてしまうことはできないのではないだろうか

https://www.netsecurity.ne.jp/article/1/12636.htmlより

いったんインターネット上に流出した個人情報は、回収することはおろか拡散を100%防ぐことも事実上不可能である

このあたりはまさに正論だわ。まぁ拡散防止については申し上げたい部分も多々あるんですけれども。一端漏れてしまった情報の回収はきわめて難しい、っていうのは正鵠を射てるわ。

ただ、それ以外の部分でどう考えても状況を読み間違え、履き違えているとしか思えない部分が多すぎるのよ。

https://www.netsecurity.ne.jp/article/1/12636.htmlより

ACCSの久保田裕・専務理事は、訴訟に踏み切った理由について、「office氏に社会的な制裁を加えるためではない。ましてや、損害賠償金額が欲しいわけでもない」と強調する。「本当の狙いは、当事者であるoffice氏と私たちACCSサーバを管理していたファーストサーバ、そしてoffice氏が参加していた『A.D.200X』のイベントでの行為など、関連する全ての人たちや会社、団体の法的な責任を明確にしたかった」と語る。

まぁこれは随所に書かれていたから、発言をした、という事実についてはそうなんだと思うわ。でも、それならなぜACCSサーバ会社であるファーストサーバサイト作成を担当していたヨセフアンドレオン、そして当然ながら「自ら」を裁こうとしていないのかしら? 法的な責任云々を問うのなら、そのあたり全てを「等しく」訴えてこそ自らの言葉の正当性も示せるってものだわ。

現状見ている限りでは明らかに「Officeさんに全賠償を背負わせる」形で話を進めているわ。社会的な制裁云々以前の問題で、単純に「いけにえの羊」を見つけて、そこに全ての責任をかぶせようとしているふうにしか見えないわ?

もう一度、同一の文章を引用してみるわ。

https://www.netsecurity.ne.jp/article/1/12636.htmlより

個人情報の回収、拡散防止をひとつの企業や団体などに押し付けてしまうことはできないのではないだろうか

なら「一人の個人に押し付ける」ことは出来るのかしら?

https://www.netsecurity.ne.jp/article/1/12636.htmlより

確かに、脆弱性サーバが存在し、その脆弱性から個人情報が盗み出されたという事実を考えれば、ACCS側、つまりは「ハクられた側にも責任がある」との論調は一考に値する。ACCSでも、そのことを十分に認識し、いわばネット上をパトロールし個人情報の拡散に歯止めをかけようと精一杯の努力をしてきている。

そもそも「それ以前に自らの職務を見事なまでに怠けていた」のが最大の原因なのに、そのことにはまったく触れられていないわ。だいたい、社会で「結果は出なかったけど僕頑張ったんです」なんて甘い言葉がどこで通用すると思っているのかしら?

それが通用する、なんてヌルイ事考えてるから、政府系とか公共団体系がだめになるのよ。大切なのは常に結果なの。努力や過程なんで誰も評価してくれない、それが厳然たる事実よ?

https://www.netsecurity.ne.jp/article/1/12636.htmlより

それだけに、今回の事件に関連した全ての個人、会社、団体の責任を「明確にしたい」という理由はうなずける。

どこをどううなずけるのかしら?

実際にACCSが「どんな行動をとっているのか」をまるで理解していないのね。愚かというよりも単純に「提灯記事」を書いている人にしか見えないわ。そして、そういう記事をほかならぬNet Securityが載せているっていうことに、あたしは深い悲しみを感じるの。


で、パターンなんだけど記者の「下玉利 尚明」をGoogleで軽く検索してみたの。…なんていうか「個性がよく見えない」感じだわ。はっきり言えば「適当な記事を依頼された方向性で書ける、言いなりになる便利なクズ」って感じかしら?

まぁ現状見ている限り、見るべき主張も取材力も考察力も構築力もないわ。なんていうか「時間の無駄」だったのかしら? この人の記事を読むのって。

不安がいっぱいだわ

http://www.mainichi.co.jp/digital/network/archive/200403/26/1.html

サイバー犯罪条約のお話よ。法律は専門外なので…それでも言及するわ。

ただ、まずはこれを見ていただきたいの。

http://www1.jca.apc.org/aml/200403/38409.html

あたし的に非常にうなずける部分が少なからずあるわ。

はっきり申し上げておきますけれども、法律をやっている人たちの大半の「技術への理解度」を、あたしは疑っているの。ううん、疑っているっていうのは間違いだわ。「無理解である」ことを疑いなく信じているんですもの。

そういう「技術に疎い」連中が「抜け道だらけの」法律を作ることでかえって「クラックを法的に正当化させてしまう」状況ってのが、あたしはとても嫌だと思っているの。昨今だとSPAM系の条例が各国でことごとくしくじってるわね。もちろん「罪のない人々を断罪する」ことも許されざることだわ。

とりあえず

http://www.mofa.go.jp/mofaj/gaiko/treaty/pdfs/treaty159_4a.pdf

に条約のPDFがあるの。…読みにくい日本語だわ。そのうち熟読して切り込んでみたいんですけれども…きっとあちこちに穴があるのねぇ。

言葉を駆使して他人をだましたり偽りのイメージへ誘導することを、世間では通常「詐欺」っていうんじゃないかしら?

美辞麗句で飾り立てて張りぼてな法律を立てている連中と詐欺師とでなにが違うのか、あたしには見分けがつかないわ。

まぁそんなものよねぇ

http://japan.linux.com/opensource/04/03/27/0351206.shtml

SCOネタよ。

事なかれ主義の気持ちが分からないんではないんですけれども、結局「SCO広告塔として使われた」のが致命的だったわね。

それでも

http://japan.linux.com/opensource/04/03/27/0351206.shtmlより

では、約1カ月経った今、マーシュ氏はこの契約についてどう感じているのか?「また同じことをするかどうか? 答えはノーだ。この発言はオフレコにしなくていい。今では、多くの面で1カ月前より物事をわきまえるようになった」と同氏は述べた。

って「前言を見事に翻している」あたりはまだ偉いと思うわ。経営者としては正しい判断よね。過ちをしないことは重要だけれども、過ちを速やかに認めて訂正できることっていうのもまた重要な素質なんですもの。

そういう意味では「ずるずると悪名を悪名で塗り重ねている」SCOは見事なほどに失格だわ。MSからの資金譲与がバックボーンなのか、単純に後に引けないだけなのか。まぁどっちにしてもこのままなら企業生命も長くないわね。

一本筋の通った男っていうのはかっこいいけれども、それは「必要ならば自らの主義を変更することも厭わない」だけの、本当の意味での芯の強さがあってこそよ?

過去の自分にしがみついているのは単純に「見苦しい」男、っていうの。その辺の違い、あなたには理解できるかしら?

b4-ttb4-tt 2004/04/01 00:59 インプレス最高です ヽ(^0^)ノ
http://bb.watch.impress.co.jp/static/news/2004/04/01/campaign.htm

LucreziaLucrezia 2004/04/01 17:22 リンク切れちゃってるわねぇ。残念だわ。でもあんな記事書くくらいの気合あったら、ついでにクレームを蹴散らすくらいの度胸も欲しかったわねぇ

トラックバック - http://d.hatena.ne.jp/Lucrezia/20040329

2004-03-25

朝からあの人のことが胸に焼き付いてはなれないの。これが恋なのかしら? …なんて甘酸っぱい思いで胸をいっぱいにしながら…嫌なニュースが飛び込んできたわ。

またISP情報漏えい?

http://www.itmedia.co.jp/news/articles/0403/25/news003.html

http://internet.watch.impress.co.jp/cda/news/2004/03/25/2550.html

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040325/141927/

とりあえず速報系のニュースだわ。多分夕方くらいにはまた増えてるわね。

アッカ ( ACCA ) が個人情報漏洩を確認したらしいわ。…あたし、アッカとは少しだけやり取りをしたことがあるのよ。はっきり言って「最低な会社」の一つね。IP16個のビジネス向けの回線用のルータに「syslog吐き出しも出来ない」「時間の設定も出来ない」「まともなパケットフィルタリングの設定が出来ないっていうか設定画面で固まって"ハードウェアinit"しないと復活しない」素敵なルータをくっつけてきて。あたし思いっきり雷を落としまくった記憶があるわ。

まぁずいぶんと「技術力が低くて金の亡者」な匂いを放ちまくってる会社だったから、納得は出来るわ。とはいえ「どんな経路で」情報が漏れたのかしら? ってところに興味があるんですけれども。

一応、プレスリリースが出てるわ。

http://www.acca.ne.jp/release/040325.html

3月22日(月)、弊社は社外から201名分のリストの照会を受け、弊社のお客様情報と照合しましたところ、同月23日(火)に、今回照会を受けた201名の全情報が弊社のお客様情報と合致することを確認いたしました。

社外って書き方がまだ微妙でいい感じよね。どんなやり取りが行われていたのかしら?

でまぁ、パターンではあるんですけれども。3月22日にこの事実が判明してから

その後即座に代表取締役社長 坂田好男を委員長とする内部緊急対策委員会を設置、事態の究明に向け更なる調査を開始したほか、入手したリストの分析や流出の可能性・時期の検討、アクセスログの解析等を行い

とあるのに

現在、顧客情報流出の範囲、詳細な流出経路などに関して全容解明に向けて調査を進めております。

って状態がまだ続いているあたりが不安だわ。また「流出経路不明」なまましばらく続くのかしら?

今日11:00AMからの会見で、大枠でもいいから流出経路が出てきてるといいんですけれども。

それにしても…

弊社が入手したリストには、氏名、郵便番号、住所、電話番号、申込時連絡用メールアドレス、性別の情報が含まれていました。ただし、性別に関しては弊社ではお客様情報として取得していませんでしたが、流出していた個人情報には性別の情報が記載されており、弊社のお客様情報が加工されていた可能性も考えられます。

ってのが怖いわ。それってつまり「情報を入手してから加工する時間があった」ってことよね?


まぁ今更感が強いんですけれども、何とかならないものなのかしら?

あたしが知っている限り、多くのSI屋さんとか営業さんとか、あまりにも技術ってモノを軽視しすぎているわ。「技術はそこそこでいいんだよ」って発言をよく耳にするのよ。そしてあたしはそれに猛反発して、相手が「まだまだ子供だなぁ」って態度をとってくるのよね。で、その結果がこれかしら?

もちろん、あたしも「技術があればそれでよし」だとは思わないし「最高の技術でナイト」とかも思わないわ。ただ、売り物である技術はそれ自体がせめて「一流」といわれる程度の精度を保てない限り意味がないと思わなくってかしら? 営業も提案も技術も、売り物の一つの側面だわ。そしてどこか一つの質が低下すれば、全体の質が低下するの。

生まれながらのいい女が教養とウィットを身に着けてボディラインに気を配ってメイクして、そこで初めて「素敵な女」になれるのよ? そこに一切の妥協なんて許されないの。

あなたは、あなた自身とその売り物にどのくらい妥協せずに努力を続けているのかしら?

ACCAの続報よ

http://www.itmedia.co.jp/news/articles/0403/25/news032.html

http://japan.cnet.com/news/sec/story/0,2000050480,20065084,00.htm

http://internet.watch.impress.co.jp/cda/news/2004/03/25/2557.html

http://itpro.nikkeibp.co.jp/free/SI/NEWS/20040325/141941/

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040325/141942/

いくつかのサイトから内容を切り出してみるわ。…バカさ加減満載の、素敵な内容だわ。

http://itpro.nikkeibp.co.jp/free/SI/NEWS/20040325/141941/より

従来,顧客データを格納するデータベースへのアクセスを許可されていたのが466人いたが,62人に限定する。

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040325/141942/より

顧客データベースへのアクセス権を持つ466人全員が全顧客データを閲覧できたことが明らかになった。

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040325/141942/より

従来は、顧客サポート部門に加えて、営業担当者、情報システム部門の担当者が466人がアクセスできた。

確かYahoo! BBもそうだったわよね? これってISPの顧客情報の運用の基本なのかしら? 「誰でも閲覧できる個人情報」って。…笑い話としてはちょっとブラックすぎないかしら?

http://itpro.nikkeibp.co.jp/free/SI/NEWS/20040325/141941/より

データベースアクセスできる共有アカウントが17個あったが,これを廃止する。

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040325/141942/より

さらに社内システムアクセスするための共有アカウントが17個ある。セキュリティ面からこれを3月26日までに使用できなくする。

http://internet.watch.impress.co.jp/cda/news/2004/03/25/2557.htmlより

従来の問題点として社内の共有アカウントを指摘。「利用できた人数は限定的だったと考えているが」と前置きした上で、「17個ほどあった共有アカウントをすべて廃止した」と説明した。

Yahoo! BBの時にもこれあったと思うんですけれども。「共有アカウント」ってなにかしら? 是非「セキュリティを立脚点にした」議論をちゃんとしてみたいわ。そういう愚かな設計をしたばか者に、ね。

まぁ「利用できた人数は限定的だった」とかいう発言自体、社内で即座に「現在どれくらいの人が共有アカウントを知っているのか」っていう状況が把握できる状況にはなかったことを示しているわ。まぁきちんと把握できるなら「共有アカウント」なんて使わないわね。この辺、技術を知らない無知蒙昧な金の亡者たちの「バカさ加減」が如実に現れている好例だわ。

http://itpro.nikkeibp.co.jp/free/SI/NEWS/20040325/141941/より

共有アカウントは3月26日までに廃止

http://internet.watch.impress.co.jp/cda/news/2004/03/25/2557.htmlより

セキュリティルームの設置と情報システム部門のセキュリティ強化は3月29日までに、共有アカウント廃止は3月26日までに実施する予定

http://internet.watch.impress.co.jp/cda/news/2004/03/25/2557.htmlより

続いてデータの流出対策については、PCUSBポートやフロッピーディスクを4月4日までに原則すべて利用できなくする。

http://internet.watch.impress.co.jp/cda/news/2004/03/25/2557.htmlより

顧客情報を扱うサポート担当部署についてはインターネットアクセスを原則利用できなくする方針。こちらは4月4日までに対策が行なわれる。

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040325/141942/より

一方、出口の部分では、社内のパソコンUSBフロッピーを使ってデータを取り出せないようにする。これは物理的な作業が必要だが4月4日までに終わらせる。

これも「今のうちなら」やり放題なのね。きっと今頃大慌てでUSBメモリ買ってる人がいるんだわ。共有アカウントも今日中ならまだ有効ですし。そりゃもう大急ぎのはずよ?

ちなみにどの記事を見ても「対策完了までの暫定的対応」についてはかけらほども言及されていないわ。…きっと数日間程度なら安全なんだわ。きっとそうに違いないわ。

…やだ、知り合いにだれかアッカのサポートやってる子いないかしら? ちょっとお願いしたいことが色々あるのよ、今のうちに、ね。(邪笑

http://itpro.nikkeibp.co.jp/free/SI/NEWS/20040325/141941/より

外部流出の監視対策として,同社で送受信したメールを1カ月間保存し,1週間に1回不正なものがないかどうかをチェックする。また,外部流出の防止策として,全クライアントPCUSBポートやフロッピーディスクドライブを物理的に使用できないようにする。データベースから抽出したファイルの流出を防ぐために,DRM(Digital Rights Management)ソフトの導入も検討する。Webメールなど特定のサイトへのアクセス制限も行う。

そうねぇ。あたしなら「こっそり自力でWebメールでも作ってそこから垂れ流し」かしら? この辺ってよっぽど考えて作っておかないと大変なことになるのよね。

まぁ、もとが

http://internet.watch.impress.co.jp/cda/news/2004/03/25/2557.htmlより

データベースへのアクセス権限を持っていた466名はすべてのデータを閲覧できたほか、社内全体でもインターネットの接続やWebメールの利用できた。また、外部メモリの利用などは禁止していたものの、現実的に利用は可能だったという。

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040325/141942/より

加えて、データベースアクセスするための専用の高セキュリティ・ルームを設置して、物理的な対策を講じる。高セキュリティ・ルームの監視担当者を設置したり、セキュリティ・ルームでできる作業も限定する制度を設ける。

http://itpro.nikkeibp.co.jp/free/SI/NEWS/20040325/141941/より

データベースが設置してある部屋からインターネットに接続できないようにしたり,入退室管理を強化するなど高セキュリティ・ルームとする。

って状況なら「やり放題」よね。

ちなみに「データベースアクセスするための専用の高セキュリティ・ルームを設置」ってのは「今までは低いセキュリティレベルでアクセスが可能だった」ってことだし、「高セキュリティ・ルームの監視担当者を設置」は「誰も監視してなかった」、「セキュリティ・ルームでできる作業も限定する制度を設ける」は「好きな作業ができた」、「入退室管理を強化」は「入退室管理がゆるゆるだった」って意味だわ。それくらいは分かるわよね? こういう文章はちゃんと「裏を」読まなきゃだめよ?

それにしてもネットに接続可能って…。それって双方向で「情報垂れ流し状態」よ? 冷静に考えなくたって分かりそうなものじゃなくってかしら?

しかも今まで「誰でも自由に入れた」って内容。それって、目隠しして股開いて「誰でも好きにヤってちょうだい」って感じの状態よ?

まぁきっと「本当に」なにも考えていなかったのね。本能のままって感じかしら? 本能の赴くままにベッドで…っていうのならうれしいんだけど、本能のまま個人情報を…ってのは願い下げだわ。

内部犯行もきっとやりやすかったのねぇ。ここまで杜撰だと、内部犯行者もある種の犠牲者なんじゃないかしら? って思っちゃうわ。

目の前に「誰も見てなくてネコババしてもばれない100万円の札束が転がってます」ってのと変わらない状況なんですもの。お金にちょっと困ってる人が誰かにそそのかされたときに、これじゃブレーキどころかアクセルになっちゃうわ。

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040325/141942/より

――これまでどんなセキュリティ対策を講じていたのか。

湯崎氏:2002年からBS7799にのっとって、セキュリティ対策を講じてきた。情報セキュリティ・ポリシーやユーザー向けのルール策定、システムの堅牢性のチェックを進めてきた。その過程で、今回のような事態を引き起こしてしまった。

やだ。少なくとも1年以上もかけてまだこんな基本的な部分で「チェック中」だったのかしら? だとすると「今までなにをやってきたのかしら?」。そんな使い物にならない業者ならとっとと切り捨てなさい。自社でやってるんなら有能なところにお金積んで依頼しなさい。

http://itpro.nikkeibp.co.jp/free/SI/NEWS/20040325/141941/より

同社は2002年以降,BS7799に基づいて情報セキュリティ・ポリシーを作成していたほか,外部のセキュリティ監査を受けていた。2002年に受けた外部業者からのセキュリティ監査の結果,「外部からの侵入は難しいと評価を受けていた」(湯崎氏)ことから,今回の流出は内部犯行の可能性が高いとしている。

ってあたりも突っ込みどころ満載だわ。情報は「漏れるか漏れないか」よ? 内部をチェックしようなんてお話、カビが生えるほど昔から言われ続けてきたことだわ。まして「外注業者が出入りする」場所なんて半公的な場所といっても過言じゃないわ。

この辺の想像力が決定的に欠落してるのが、こういう連中の頭の固い…っていうよりないところなのよねぇ。

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040325/141942/より

――現在システムアクセスできる466人の内訳は。

湯崎氏 営業部門や情報システム部門といった社員、派遣社員、それに設備関係の業務委託先企業の担当者がいる。今後、これを顧客サポートのカスタマ・サポートを担当する62人に限定する。

素敵ぃ。「派遣社員、それに設備関係の業務委託先企業の担当者」が閲覧できてたのね。しかも全顧客データを。素敵なくらい完璧なセキュリティね?

ちなみに「顧客サポートのカスタマ・サポートを担当する62人」って、ちゃんと法的に守秘義務とか結ばせてるのかしら? あたしが知ってる限り、顧客サポートって結構「アルバイト」が多いと思うんだけれども。

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040325/141942/より

――これまでは466人がデータベースの内容を全部見られたのか。

湯崎氏:そうだ。データベース情報は顧客サポートをする上で必要だ。そこで、466人が閲覧できるようにしていた。このような事態になってしまったので、運用面に課題があることがわかった。

さすがだわぁ。こないだのルータの件を思い出しちゃうわ。「よく考えもせずに」必要だろう、ってだけの理由でやってたのね。だいたい「設備関係の委託業者」が個人情報を見れるメリットってなんなのかしら?

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040325/141942/より

――解約した顧客情報も含まれていたのはなぜか。

湯崎氏:顧客がサービスを解約したあと、応対することがある。そこでそれに備えて、創業以来3年間、契約管理情報をすべて管理してきた。

やだわ、なんの対応をするつもりなのかしら? きっと「個人情報が暴露されるときは解約者も一蓮托生で情報を漏洩させる」ためにとっておいたのね?

Yahoo! BBもそうだったんですけれども。「解約者の情報の保持の仕方」ってもう少し考えてもらえないものかしら? 少なくとも「きちんと目的を明確にした」上で「最低限の情報に絞って」「きちんとしたガードをかけて」欲しいものだわ。

まぁ、とりあえず

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040325/141942/より

現在、いつまで解約した顧客の情報を持っておくのかを検討している。

いいからとっとと「解約した顧客の情報」は完璧に抹消するのよ!!


なんか、とりあえず「全てのISP個人情報の取り扱いを総チェック」したい気分だわ。他にも「如何にも怪しくて危なそうな大手ISP」がいくつか連想できてしまうんですもの。

これでまたどこかのISPから情報でも流れてきたら…あたしが慰めてあげるわ。そうね、この季節なら、さっくりとした食感の焼き菓子とかどうかしら? マードレーヌとかフィナンシェとかおいしいわね。もちろん、あたし特製の白い粉砂糖をたっぷり振り掛けて、上層部を中心に社員皆さんに召し上がっていただくわ。きっと天にも昇るおいしさよ?

max_tytemax_tyte 2004/03/25 21:06 YBB!漏れてました。僕の個人情報。500円くれるそうです。でも、受け取らないってメールしときました。だって、受け取ったら和解したとか言われそうですもン(>_<) 白い粉の入ってないフィナンシェは食べたいですねぇ!

LucreziaLucrezia 2004/03/26 18:03 あら、漏れちゃったのね。でもお金を受け取らない、っていう態度はえらいわ。男も女も、その辺はしっかりとプライドってのを持つべきなんですもの。

トラックバック - http://d.hatena.ne.jp/Lucrezia/20040325

2004-03-23

ゆっくりとした午後のお茶にはオレンジキュラソーで香りをつけたマフィンがとってもよく似合うわ。こんな素敵な午後に必要なもう一つのものっていえば、やっぱり道化ね。

素敵な会社だわぁ

ACCS関連ででてきたヨセフアンドレオン(http://www.josephandleon.co.jp/)っていう会社のお話。前にも一度書いたわね。http://d.hatena.ne.jp/Lucrezia/20040205#p2 を参照してみて頂戴。

ここで、とっても愚かな声明文を出してたの。でもネットで叩かれまくってわずか数日足らずであっという間にファイルを削除していたわ。でも、それが復活してるのよ(http://www.josephandleon.co.jp/seimei.html)。ついでに、脳みそ空っぽバカ女マチルダのコラムも、バックナンバーのほうで復活してるわ(http://www.josephandleon.co.jp/column/column_backnumber.html)。バックナンバーは2/4の分を見て頂戴。

まぁ、この二つは前に叩いたからどうでもいいわ。で、今回わざわざ書くのは別に「復活したから」ってだけじゃなくってよ?

この会社の「セキュリティポリシー」ってのがhttp://www.josephandleon.co.jp/staff/security/policy.htmlに載ってるの。面白いわよぉ。こんな素敵なネタ、そう簡単には扱えないわ? 一呼吸置いてからじっくり責め上げていくわ。

ちょっとバトラー、バラの香水風呂用意して頂戴。そう、朝摘みのバラだけを使った香油をた〜っぷり入れた、特製のお風呂よ?

さて、準備はよろしくってかしら?

1.不要な個人情報は収集しない。

まぁ当然だわね。ただ「なにをもって不要とするのか?」っていう議論こそが重要なんですけれども。その辺の考察って、ケモノより知能が低い愚者風情が満足に出来るものなのかしら?

2.サーバ会社から「セキュリティ上の問題はない」と言われても真に受けない。

真に受けるほうがどうかしてると思うわ?

というか、こういうことを書くっていうことは、今まで「他人の言葉を検証もせずに真に受けてきた」ってことなのね。それとも、今後の訴訟に向けての言い訳の布石かしら?

3.他のサイト脆弱性を指摘するときは身元と目的を明らかにする。

あら? あんた達が脆弱性の指摘なんで出来ると思ってるのかしら? 身の程を知らないっていうか、己を知らないっていうか。

大体、1で「不要な個人情報は収集しない」って書いてないかしら? 脆弱性の指摘があるときに必要なのは「どのような脆弱性が、どのような手法で再現できるのか」の1点よ。身元なんて関係ないし(せいぜいが連絡先くらいよね。今後のよりよい交流のための)、目的も「指摘している」のであれば善意って解釈すればいいだけじゃないかしら? ようは「とっとと直せ」って言われてるだけよ。そして、脆弱性の指摘とあわせて金品だのなんだのの要求をしてきたときに初めて「それってもしかして脅迫かしら?」って思えばすむことよ。

ここですでに己の発言に矛盾がある、ってことに気づいてないのね。大体「他の目的があって脆弱性を発見した」なら、わざわざ連絡なんてすると思ってるのかしら? いいわねぇ、愚者の楽園に住むケモノたちは。

4.他のサイト脆弱性サイト内の情報勝手イベント等で公表しない。

これも短絡的な文章だわねぇ。こういうときに必要なのは「なぜ公表してはいけないのか」って考察なの。これを読んでるあなたも少し考えてみて頂戴。

大体、この文章ってかなり曲解しやすい文章よ。こういう文を書くあたりが技術者じゃないわね。

あたしなら、少なくともこの文章はこういう風に書くわね。

他のサイト脆弱性は、少なくとも先方に「脆弱性の詳細を含む」連絡をしたあと一ヶ月間はなにがあっても公表を避ける。また一ヶ月を越えた後も先方が現在修正中であるという連絡がある場合、状況に応じて公表を避けるか、或いは延期する。また、他サイト内で、脆弱性などによる「正当ではない手段で」入手した情報は、これを一切公表しない。

まぁまだ突っ込みどころはいっぱいある文章だと思うんですけれども(あたしは一ヶ月もいらないと思うんだけど、まぁ比較的ロングスパンな意見で一ヶ月ってのをよく耳にするのでそうしてあるわ)。最低でもこれくらいのことは書いておいて欲しいわね。

5.学会先生から「大きな事件が起きないと変わらない。一発、ドカンと頼むよ」と言われても安請け合いはしない。

…なにがどこがどんなふうに「セキュリティポリシー」なのかしら? 大体、この発言ってテロ行為と大して変わらない理論よ?

それにしても。「安請け合いはしない」ってことは、高ければ「大きな事件をドカンと一発」って依頼も請けるのね? すごいところだわぁ。

6.「本当は公表するつもりはなかったんです。引っ込みがつかなくなったんです」という場合も、自分自身で責任を負い、けっして「私は・・の命令支配下にある」などと他人に責任をおっかぶせるようなマネはしない。

ほーっほっほ。Officeさんが「実はすごく弱気な人だった」とか社内で言いふらしているその後押し用、って感じかしら? なんかあんまりにも単純すぎるやり方だわねぇ。

まぁ「公表するなら腹を括れ」って部分だけはうなずいてあげてもよろしくってよ?

7.また、個人情報を盾に「身の安全を保障しろ」などと迫らない。

あら? 迫られたのかしら? 大体、これを迫られるからには相応の「相手への身の危険の提示」があるのよね。いったいどんな「危険」を提示したのかしら?

なにがあってそれをどんな風に曲解していったのかが見えるようだわ。

8.いったん謝罪をすると決めた場合は「仲間をかばう」ためでも見え透いたウソはつかない。

つまり「謝罪するつもりなんでかけらもない」ってことなのね?

それともACCSの発言とかOfficeさんの発言(を曲解した理解)あたりから書いてみたかったのかしら? その辺から予想つくのは「個人情報は削除した」関連の発言だと思うんですけれども。まぁ「他の人が十分にアクセスしうる状態が続いていた」ってことは理解できないんでしょうねぇ。

きっとこの人たちにとって「クラッカー」って全部仲間なのね。ましてや「クラックテスト」をしてきた、いわゆるハッカーですらも一括りになってるんだわ。まぁ「理解できない世界の住人」を纏め上げるってのは人間のよくある思考形態なんですけれども。サイト作ってる連中がセキュリティに関してそこまで「無知蒙昧」だってのも、なんか悪い冗談でも見てる気分だわねぇ。

9.セキュリティの専門家同士の抗争にはかかわらない。

勝てない喧嘩に手を出さない、ってのは懸命だわ。でもあんた達もサイトを作ってる以上、最低限「その専門家とやり取りをする」立場にあるってのを分かっていないのかしら?

これも完全に「ぼくセキュリティとかよく分からないし関係ない」っていう態度を表してるわねぇ。

10.家族、親族に迷惑をかけない。

あら? じゃぁ他人になら迷惑をかけてもいいのかしら?

中身がなくってひどいことばっかりやってるような連中に限って「親兄弟」って単語を持ち出してくるわよねぇ。親兄弟も他人も等しく大切なものじゃなくってかしら? こんな感覚だから「癒着」とかってことに鈍感になれるのね。

あたし? あたしにとっては親兄弟も他人も等しく「他人」だわ。だって「あたし」じゃないんですもの。当然じゃなくってかしら?

詩人さるやまさるぞう氏より提案のあった「信念をもって事を起こした場合は逮捕されてもジャンパーで顔を隠さない」は、「そんなの当然。ポリシーでうたうまでもない」「そんな思想の脆弱なやつはうちにはいない」ということで却下されました。

…何をかいわんや、って感じだわね。

まぁ一つだけ突っ込みを入れてあげる。「誤認逮捕、または罪状が最終的に裁判で否認された場合に、逮捕と同じくらいの分量とインパクトでマスコミはきちんとそれを報道してくれるのかしら?」


結局これってポリシーでもなんでもないわ。ただ今回の件に関して「なにも考えずにただ書きなぐった」だけのものよ。

印象としては「個人的なツテだけで仕事を取ってきたクズ集団」って感じしかしないんですけれども。こういう連中が大手を振って「編集プロダクション」とかって大嘘つかれるのってあんまり好きじゃないわ。

まぁ確かにネットの世界って、他と比べても玉石混合の気は強いと思うんですけれども。こんだけ「なにやっても価値がでなさそうな」クズ石も久しぶりに見るわ。この会社、まだまだチェックし続ける価値がありそうね。だって笑えるんですもの。

冒頭にも書いたでしょ? あたしみたいな貴婦人には、時々こんな道化が必要なの。まぁ、本当の道化のような「実は賢い」とか「風刺に満ち溢れている」とかって感じじゃなくて「存在そのものが道化」って感じではあるんですけれどもね。まぁ、愚者ですら小物になっている昨今、ここまで見事な小物っぷり&愚者っぷりを見せてくれるのは貴重だわ。

max_tytemax_tyte 2004/03/25 20:58 ヨセフアンドレオンって会社は一体何なんでしょうかねぇ。。社名からして香ばしい香りが漂いまくってるンですけど。ほとんどボランティアでレンタルサーバーしてる僕の方がよっぽど個人情報に気を遣ってますワ。今日も石垣島は暑い(^_^)v

LucreziaLucrezia 2004/03/26 18:06 あら、「利権が絡むから香ばしい」のよ? 採算を取ることの大切さってあるんですけれども、ああいった「利権にしか目が行かない輩」を基準に考えるとボランティアのほうがまだしも…って考えちゃう瞬間があるわ。東京の今は結構肌寒いわ。沖縄…いいわねぇ。また行きたいものだわ。

2004-03-22

哀しげな雨が冷たく降りそそぐ一日。片思いのあの人のことを想って心まで涙雨が降ってきそうな切ない気分…が見事に台無しだわ。

詐欺師?それとも子供

ACCSのお話よ。まずはこちらから、だわ。

http://internet.watch.impress.co.jp/cda/special/2004/03/22/2500.html

そうねぇ。容赦なく切り込んでいくわ。

幼稚なセキュリティ研究者こそがネット社会で最も迷惑な存在

あら。「幼稚な公的機関」もとっても迷惑な存在だわ。「己を省みる」って単語を本当に知らないのねぇ。

もちろん、事故調査委員会の報告書については真摯に受け止めるが、実際にネットワークセキュリティをどのように評価し、なおかつどの程度導入しなければならないかという点については、慎重に対応する必要がある。今後、我々のような規模の社団法人や中小零細企業が個人情報を扱う場合に、セキュリティに関する注意義務をどこまで果たさなければならないかという複雑な問題に絡んでくるだろう。

そうねぇ。事実を把握せずにこの文章だけを読んでいる限りでは、確かに難しい問題だわぁ、って思うの。実際の基準ラインってとっても引きにくいと思うし。もちろん、そこはきちんとした議論を重ねていかなければならない大切なポイントだわ。

でもね、少なくともセキュリティホールを年単位で放置してるってのは、議論の余地がないと思うの。違うかしら?

こういう、如何にも「字面のいい逃げ方」って、あたし大っ嫌いだわぁ。

ただ、研究員の男性にそういう場を与えた責任はあるだろう。イベント脆弱性を公開し、それを(サーバーの運営者に)通知してあわてふためくところを見て楽しむという側面が絶対にあったはずだ。

二点ほど突っ込んでおくわ。一つ目。「なぜ彼らがそのようなことをするのか」ってところをきちんと考えているかしら?

無論「笑いものにする」ことが完全な白だとはいわないわ。でも、彼らがそういったことをやる側面の一つに「管理者側のあまりにもひどい怠慢」があるっていう話しもまたあちこちから出ていることなのを…きっとご存知ないのねぇ。

ここを読んでいるあなた達に少しだけ教えてあげるわ。多くの、特に大企業や公的機関、第三セクターなどにセキュリティホールを教えてあげると、大体反応は「無視」「逆切れ(お前が不正なアクセスをしなければ大丈夫なんだ、とか)」「こっそり修正したうえで"言いがかりをつけるな"的クレーム」に集約されることが多いわ。少なくとも第一報は善意である連絡に関して、よ? そういったことが続いて「上っ面だけ飾り立てて偉そうにしている」連中がはびこるのを、その裏側を知っている彼らがどれくらい苦々しい思い出眺めていたのかしら?

そしてもう一つ。「絶対にあったはずだ」。はず、ってのは憶測だわね。こういうところで、ましてや組織を代表する発言として「思い込みから来る発言」っていうのはどんなものなのかしら? よっぽど悪者にしたいみたいね。

──男性に対する損害賠償訴訟に発展したことで、セキュリティ上の問題などを指摘する活動が萎縮するという向きもある。実際、A.D.200Xも活動を停止している。

 それで萎縮してしまうということは、絶対にないと思う。通知の仕方が問題だ。ホワイトハッカー的な行為については、適切な方法で通知してくれれば、我々は必ず受け入れていたはずだ。

あら。っていうことは「通知の仕方がおかしい」から「業務威力妨害」や「不正アクセス法違反」になるのかしら?

例えば「通知の仕方が脅迫に近しい」から脅迫罪で訴えた、とかっていうのなら理解するんですけれども。きちんと考えればすぐに分かることなんですけれども、「(CGIセキュリティホールをどうにもできないから)サイトの一部を停止せざるを得なかった、ための業務威力妨害」や「ガードされていたはずの情報に不正なアクセスを行ったための不正アクセス法違反」って、通知の仕方とは全然無関係なのよ?

まして「ないと思う」でしょ? そんな言葉、誰が信用するのかしら?

現実に目を向ければ、少なくとも今回の件がまともに片付くまでの間、多くのハッカー達は「問題が起きても連絡はしない」ってのが共通見解だわ。一部の「たれこんでくれた方には、感謝はしますが訴訟は絶対にしません」って掲げている現状をよく把握しているところには連絡するかもしれないんですけれども。

そして、今回の件の片付き方によっては、少なくとも当面の間、場合によっては恒久的に「通知はしない」ってのが風潮として出てくるわ。


それにしても…「通知の仕方」云々って、接客業でのクレームを思い出すわぁ。この手の「通知の仕方」だの「口調や顔つき、目線」だのって、最終的に言いがかりをつけるのにとっても便利なの。だって「100%の正解」がないんですもの。例えどんな書き方、物言いの仕方をしても「俺が気に食わない」に適当屁理屈をつけてしまえばどこまでもごねる事が出来るわ。もし本当に「あまりにも通知の仕方がひどくて、それを理由に告訴をせざるを得ない」ほど壮絶な告知で、さらに「告知の仕方を間違えなければ告訴されることはない」から「こういうことをやってはいけない」と知らしめるのであれば、Mailのやり取りの一部始終と「どこに問題があったのか」を提示するくらいのことはやって然るべきはずよ?

そういった行為をせずにただ漠然と「通知の仕方が問題」とか言っても、他の誰はともかくあたしには通用しないわ。

他者の人権や社会的環境のことは視野になく、単純に“セキュリティ”のことしか考えることのできない幼稚な研究者こそ、ネットワーク社会で最も迷惑な存在ではないだろうか。

ここに本音が見て取れるわね。こういう「瑣末なところ」に、人間の本音が出てくるんだわ。

まず「他者の人権」を視野に入れるのは大切なことなの。これに議論の余地はないわ。でも「他者の人権への配慮」って「セキュリティ」と切り離せないものだわ。少なくとも「個人情報が流出するのを防ごう」って考え方は「他者の人権」を考慮したうえでの「セキュリティ」の追求なんですもの。

だとすると「他者の人権」を無視した「セキュリティ」ってなんなのかしら? これを読んでるあなたはピンときたかしら? ヒントは、もう一つの単語である「社会的環境」だわ。

結局これって「脆弱なものが見つかったっていわれてもこっちだって面倒くさかったりなんだり事情があるんだから気にしてくれるな」って言っているの。こういう「組織とかしがらみとか無駄なものに縛られるのが好きなマゾ連中」って、そういうのを理解してくれない人たちをさして「幼稚」って叫んで如何にも「自分は大人だから頑張って耐えてるんだ」みないなところに自分を持っていって自己満足に浸ろうとしてるわね。

愚かもここに極わまれり、だわ。

自分達が「セキュリティをきちんと出来ていない」ことに言い訳してるだけなんですもの。これじゃ思春期の「みんな社会が悪いんだ」って喚いているバカガキどもとなんにも変わらないわ。ううん、ガキどもはまだこれから成長するかもしれないってことを考えると、それよりもたちが悪いわ。


で。ACCSサイトに今回の経緯みたいなのが書いてあるPageを発見したの。

http://www.askaccs.ne.jp/security_2003.html

なんていうか…笑わせてくれるわぁ。稚拙な情報操作っていうかイメージ誘導を見ている気分よ。

officeがメールに添付した個人情報は、ホームページ開設当初から直近までに質問コーナーに入力された(1)IPアドレス (2)氏名 (3)年齢 (4)住所 (5)電話番号 (6)eメールアドレス (7)質問内容 などでした。ACCS側では、ユーザーがCGIに入力した内容については適時削除しており、web上にこのようにホームページ開設当初から直近の情報がすべて記録されているファイルが存在することはないと認識しておりましたが、フォルダ内を調べたところ該当するファイルを確認し、officeが入手した個人情報が真性のものと確認しました。

素敵だわぁ。どこが素敵って「web上にこのようにホームページ開設当初から直近の情報がすべて記録されているファイルが存在することはないと認識しておりましたが」って部分。なにをどうやって「ファイルが存在しない」と認識するに至ったのかしら? 是非腰をすえて伺ってみたいものだわ。しかも「フォルダ内を調べたところ該当するファイルを確認」ってことは少なくとも「ftpかtelnetかそういった類のもので見れば即座に分かる」ものだった、ってことだわ。つまり「その程度のことすらも、年単位で何もやってなかった」ってことなのよね? それって物凄いことなんじゃないかしら?

そこでレンタルサーバ側に、このようなファイルの存在とアクセス方法についての報告を求め

ここが微妙なのよね。レンタルサーバって言っても色々あるわ。CGIって本当に「レンタルサーバ側がメンテナンスをすべきもの」だったのかしら?

11月10日(月)以降、officeとメールでやりとりし、個人情報の削除を要求したところ、officeはこれを拒否。

書き方がうまいわねぇ。これを見ている限りだと「個人情報をもてあそぶクラッカー」に見えるわ。でも実際のところ「どんな経緯で」「どんな会話が」行われたのかしら?

あたしははっきり言ってACCSの連中の発言なんて信用していないわ。こういう発言をするならきちんとやりとりのMailも公開すべきよ。双方がどのような意図でやり取りをしていたのか、って部分の考察はある程度読み手であるあたしたちに任せていただきたいものだわ。もちろん「それじゃ情報恣意的な操作なんで出来ないじゃないか」って言われそうですけれども。

さらに、自分が手法を公開しているので、誰かが同様の方法で個人情報を入手している可能性がある、といった内容のメールを送ってくるなど、個人情報をもて遊ぶようにも取れる発言を行っていました。

まぁ今までの情報から「手法の公開」は事実だと思うわ。でも「公開しない」としても、同じような手法に気づいた人がいないとは限らないのよ? まして「hiddenの情報を書き換えるだけ」だなんて…初歩の初歩だわ。

ASKACCSが利用していたレンタルサーバ会社が提供していた「標準CGI」に欠陥があり、officeはその欠陥を利用して個人情報が蓄積されたファイルを入手したものです。

どうもこの辺が、前に耳にしてた情報と食い違うのよねぇ。たしかに提供してたって話は聞いているんですけれども、かなり前にセキュリティホールが発覚して、その辺はすでに対応をした、って主旨の発言をどこかで見た記憶があるのよ。

大体「提供しているCGI」なら通常は一括でバージョンアップを行うものだわ。もっともレベルの低いレンタルサーバだとしたら怪しいものですけれども。

ACCSでは上記「標準CGI」の欠陥について、事故調査委員会の指摘にあるように、十分なセキュリティ上の検証を行っておらず、欠陥の存在について全く把握しておりませんでした。

まぁこの辺はきっちり問題視されるべきところだわね。っていうか十分も何も、こんなもの知識のある人間なら始めの5分で危険への可能性が予測できそうなものだわ。そのへんが出来ていないあたり「十分な検証」ってよりは「検証そのものを」やってなかったんじゃないかしら?

個人情報を収集していた理由】

 ASKACCSでは質問を受け付ける際に、氏名、年齢、住所などの個人情報の記入を求めていましたが、これは、ひやかしやいたずらを避け、まじめな質問を送っていただくためでした。

よくあるわねぇ。脳みその干からびたジジィ連中たちの一部にこういった発言をする輩がいるわ。こないだも山崎なにがしってバカの掲示板に書いた時に、発言を削除されて「反論をしたいなら本名で連絡先を以下の弁護士に送って来い」とか愚かな発言をされたばかりですもの。

こんなものなんの意味も無いってのに、それすらも分からなかったのね? 「氏名や住所を言えばきちんとしてる」って考え方、そろそろ改めたほうがいいわ。

【office以外の個人情報へのアクセスについて】

 ACCSでは保存されていた10月6日以降のログについて調査したところ、事故調査委員会の報告にもあるように合計4回、外部から個人情報アクセスした形跡を認めました。これらのアクセスについては、いずれもoffice本人であると確認しています。

あら? たしか「他にもアクセスがあった」んじゃなかったのかしら? この「事故調査委員会」てのも大概いい加減だわねぇ。結局「事故にかこつけて」「利害関係だけで選択された連中を使って」無駄金を費やして私腹を肥やしていくだけなのね?

国立大学研究員への民事訴訟】

当協会は、被告が不正入手し、拡散させた個人情報の被害者へ謝罪するとともに、イベント参加者への個人情報の削除要請、インターネット上に個人情報が拡散していないかどうかのチェック作業、レンタルサーバ会社への対応、事故調査委員会の設置と開催など、業務上多大な影響を受けています。

素敵ぃ。年単位で放置されていたセキュリティホールの「拡散させた個人情報の被害者へ謝罪」や「ンターネット上に個人情報が拡散していないかどうかのチェック作業」、「レンタルサーバ会社への対応」、「事故調査委員会の設置と開催」の全てが「officeさんに起因する」「業務上多大な影響」なのね?

自分達の発言が如何に「責任転嫁」に依存しているものなのか、理解できないのかしら?

きっと他の場面でも同じようなことをやっているんだわ、って想像しちゃうわね。


まぁ全体的にみて、ACCS全ての責任を他者に転嫁して自分達は口先だけの謝罪で済ませようとしている雰囲気がとても明確に現れていて分かりやすいわ。これってつまり通常の業務においても同じようなことをやっている、っていうACCSの体質の表れだと、あたしは見て取っているの。まぁお役所ちっくではあるわね。

なんていうのかしら、こぉ「自分のケツを他人に拭かせる」のが好きな連中って、権力とか名声とかが好きなだけに、そっちには長けてるもんだから結構社会的に「いい」と言われている場所に現れてきやすいのよねぇ。そして残念なことに、結構な人たちが「そういう人たちの発言だからきっと間違いないんだろう」って思って、結果として簡単に情報操作されてしまって、それに気づかないのね。

まぁ幻想ってとっても素敵だわ。そこでは誰も傷つくこともなく、平和で幸せに心安らかに自分の思い通りに物事が進んでいくんですもの。

どうかしら? いっそそんなあまやかな幻影だけをみて平和に過ごしてみるのもいいんじゃなくってかしら? ACCSやほかの「大人な人たち」が望んでいるのって、そんな素敵な世界よ?


あたしとは寸分の狂いもなく異なる価値観だし、そんな唾棄すべき屑、あたしにはなんの興味もないんですけれども。

max_tytemax_tyte 2004/03/22 17:29 いつも楽しく拝見させて頂いております。それにしてもACCSってば・・・

LucreziaLucrezia 2004/03/23 15:30 あら、いつもだなんて、うれしいわ。確かに今回のACCSの件は思った以上にあちこちでたたかれてるわねぇ。まぁ叩かれるに値するだけの愚かな発言ではあったんですけれども。あんな連中が国の看板背負ってるあたりがすでに間違いなのよねぇ

2004-03-19

暖かい日差しに少し冷たい風のコントラストが最高に素敵な瞬間だわ。暖かい笑顔と冷たい口調って感じでシンパシーを感じちゃうわね。

素敵、落ち度は「ない」のね?

http://itpro.nikkeibp.co.jp/free/NCC/NEWS/20040318/141628/

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040318/141629/

ネタ振りありがとうって感じだわ。内容はYahoo BB!のお話よ。

とりあえず疑問を一つ持った部分があるんですけれども。

http://itpro.nikkeibp.co.jp/free/NCC/NEWS/20040318/141628/より

ソフトバンクBBを恐喝した容疑者の一人が勤務していたサポート・センターでは,オペレータが一定のエリアやNTT局ごとに数百件〜数千件の顧客の情報を閲覧できた。委員会では,サポート・センターから,Webメール情報を外部に送った可能性があると見ている。

ってことは「情報の取得」も「情報の入出管理」もなにも出来てなかったってことよね? これでどうして

http://itpro.nikkeibp.co.jp/free/NCC/NEWS/20040318/141628/より

流出元の可能性があるサポート・センターの管理体制などについても,「流出経路が特定できず,現時点ではソフトバンクBBの落ち度を認められなかった」(牧野氏)と判断した。

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040318/141629/より

委員会メンバーである牧野二郎弁護士は、「証拠不十分の感は否めない」としながらも、「サポートセンターの現地視察、責任者などからの事情聴取などを実施した結果、現時点で入手できる情報から判断する限りでは、ソフトバンクBBの対応について落ち度は認められない」と結論付けた。

って判断/結論が可能なのかしら? 一応根拠が書いてないわけじゃないんだけれども…

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040318/141629/より

サポートセンターの入退室管理などの対策が「常識的」に考えて著しく劣ったレベルとは思われないこと

あら? 常識ってなにかしら? あたしが知ってる限り常識って「俺の主観」と同意語よ? 常識って言葉を多発する人に常識ってものを突き詰めて質問してみるとその答えが出てくるわ。ちなみにあたしが大っ嫌いな単語の一つね。あたしにこの単語を不用意に使った某現場主任SEは、あたしの逆鱗に触れて一時間ほど説教食らったこともあってよ?

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040318/141629/より

データベースアカウント管理では保有者をほぼ把握できていた

「ほぼ」ってなによ? それに「保有者を把握してる」なんて当然以前の問題だわ。問題にすべきは「妥当な人間に妥当な権限を与え、かつそれに対する自浄作用を含むチェック機構が十分なレベルで機能しているか?」よ? 論点のずれ方にもほどがあろうってもんだわ?

そんな愚かなセキュリティー感覚もどきしか保有していないから

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040318/141629/より

データベースアクセス用のアカウントが135件(うち数件はグループ・アカウント)と多かったことなどについては、同社が急成長企業であり、システムや業務フローなどの調整が進んでいなかった点を指摘するにとどまった。

なんて戯けた行動になるのよ。

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040318/141629/より

顧客からソフトバンクBBに寄せられる問い合わせ内容などを分析した結果、現時点では、個人情報の2次流出、散逸は行われていないとの結論に至った。

あら。基本的且つ典型的パターンねぇ。「二次流出はないと信じたい」のね? でも自分をごまかしても事実はごまかされてくれなくってよ?

大体

http://www.max.hi-ho.ne.jp/hash/diary.shtmlより

0312 1625

ヤフーBB個人情報漏洩の件についてですが、フリーダイヤルに何度か電話を入れてるんですよ。

まず最初は「うちの情報も漏れているのか?」といった内容。我が家はヤフーBBの立ち上げ当初に申し込み、仮申し込みのまま開通待ち(NTT側の工事だか手続きだか待ち)状態で放置され、進捗状況を確かめるページでは開通予定が延びたり、当時は問い合わせがメールしかなく、メールを送って状況を問い合わせてもなしのつぶて……といった次第で申し込みをキャンセルしたわけです。

つまり、うちは仮申し込みまではしたけども、開通前にキャンセルしたという立場なわけですよ。で、そんなうちの個人情報ですが……見事に漏れていたそうです。

-中略-

「今回の漏洩対象になった人には、電話・郵送・e−mailで今後のご連絡をさせて頂きます」というヤフーBB側の発言があり、「……僕みたいに、現在会員でない人間は、こうやって問い合わせた人間だけに金券を発送なんてふざけたことは言いませんよね?」という確認に「もちろんです。何かあった場合、必ずこちらから、郵送なりなんなりでご連絡させて頂きます」という発言があったのですが……。見事に嘘っぱちでした。「絶対に間違いないですね?」と確認したのですが、ええ、さすがです。

-中略-

ご解約者様へのお詫び送付先確認ページとやらで、「ところでうちは漏洩対象らしいけど、このチェッカーではどうかな?」と思って試したところ、「該当データがありません」と出る始末。その理由が、データが存在していない、漏洩対象に含まれていない……etc、といったものだったので、また電話。「フォームで調べたんですけど、その結果によると漏洩対象じゃないって出るんですよ。でも、前に電話で聞いたら対象に含まれてるって。どっちが本当なんですか?」。で、やっぱり漏洩対象だったらしい。

こんな「いい加減の上にいい加減を塗り重ねている」ようなところが「分析した結果、現時点では、個人情報の2次流出、散逸は行われていない」と結論付けて、だれが信じるのかしら?

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040318/141629/より

ただし、「実際にデータベースを操作して膨大な顧客情報を盗み出した実行犯がほかにいる可能性は否定できない」とし

ってあたりもお笑い種よねぇ。

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040318/141629/より

さらに同諮問委員会では、ソフトバンクBBが今後さらに徹底したセキュリティ面の改善を進めることが望ましいとして、各部門を監査し、アドバイスする専門委員会を設置することを提案。

まぁ「さらに徹底した」って発言でもうNGだわ。だって「今まではセキュリティなど皆無であった」現状をきちんと認識していないんですもの。鏡を見なきゃお化粧なんで出来ないし、己が醜く太ったデブだって認識できなければダイエットもできやしないわ。「無知の知」って言葉があるの。自らが無知であることを知ることができることこそ、賢者への第一歩なのよ?

ついでに

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040318/141629/より

フトバンクBBは、同日からYahoo! BB全会員に対し、セキュリティを強化できるサービス「BBセキュリティ」を開始した。同社サイト上でシマンテックのセキュリティ対策ソフト「Norton Internet Security 2004」を配布するサービスで、会員は9月末まで無償で利用できる。

も、見当違いも甚だしい素敵なサービスだわ。札束に物をいわせてイメージ戦略、ってのが見え見え。お金で買える娼婦なんて安いものよ。たとえ高い娼婦が買えても、本当の楽しみとは程遠いお安いものにしかならないの。


あと、いくつか記事のURLをくっつけておくわ。…突っ込みはやめておくわ。だって、突っ込むととんでもない量になりそうなんですもの。

http://internet.watch.impress.co.jp/cda/news/2004/03/18/2491.html

http://www.itmedia.co.jp/enterprise/0403/19/epn03.html

http://internet.watch.impress.co.jp/static/column/jiken/2004/03/17/

バカ弁護士を切り込んでみるわ

牧野二郎。時々名前を見るって程度の人だったんですけれども。今回のYBBのニュースでどうも「限りなく愚かな発言をしている最低弁護士」の匂いが漂ってきたからネットで調べてみたの。

http://www.makino-law.jp/index.html

ここが比較的基本になるサイトじゃないかしら? 「牧野総合法律事務所」って名前ですし。自己紹介(http://www.makino-law.jp/shokai.html)も載ってるんですけれども…とりあえずあたしが気になるのは「ホームページ」って書き方かしら? まともにWebをやってる人間なら「ホームページ」って言い方はしないと思うのよね。このあたりですでに微妙な不安が漂ってきたわ。

で、軽くGoogleで検索をしてみたの。まぁ結構よく名前が出てくるオヤジだわ。

http://www.hotwired.co.jp/bitliteracy/interview/980921/textonly.html

この記事を読む限りではまぁまっとうなことを言ってるわ。ただあくまで「技術の側面については詳しくない、ユーザの立場を立脚点にした法律家として」という立場なの。たしかにその立場は重要なんですけれども、「技術に明るいわけじゃない」ことに留意しなくてはいけないわ。

http://enterprise.watch.impress.co.jp/cda/topic/2003/10/23/337.html

でも大体方向性は一緒。ただ気になるのは時間軸から推測される彼の「自分の立場」に対する勘違いかしら?

さっきの記事は、恐らく1998/09ごろに記載されている記事だと推測できるわ。で、この記事は2003/10。この記事で不安を感じたのは、例えば以下の部分なの。

http://enterprise.watch.impress.co.jp/cda/topic/2003/10/23/337.htmlより

最後に牧野氏は議論の必要がある課題として、クッキーアクセスログについてふれた。クッキープライバシー情報であるためWebページにプライバシーポリシーを明記するべきという指導が警察から出されているという。牧野氏は「時としてクッキー個人情報になりうる」として指導を順守するべきとした。

他の発言も含めて、彼のスタンスは「ユーザの視点」だったはずなの。この発言だけとっても、とても「技術に明るい」とは思えないわ。でもまるで「自分は技術的な部分も理解している」っぽい勘違いをしているんじゃないかしら? って思わせる匂いを放っているの。

少し他の記事も覗いてみるわ。

http://itpro.nikkeibp.co.jp/as/tm/seminar5/

この記事も視点は技術に立脚していないわ。勘違いしないで欲しいんだけど、それが「悪い」って意味ではないの。ただ「自分のスキルを冷静に把握する」ことはとても重要なの。まして「自分で自分のスキル勘違いする」っていうのはわりと最低の部類に入る愚行だわ。


で、あたしがなんでこの人を取り上げたのか。もう一度この部分を見て欲しいの。

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040318/141629/より

委員会メンバーである牧野二郎弁護士は、「証拠不十分の感は否めない」としながらも、「サポートセンターの現地視察、責任者などからの事情聴取などを実施した結果、現時点で入手できる情報から判断する限りでは、ソフトバンクBBの対応について落ち度は認められない」と結論付けた。

これってせいぜいが「現状の法規制を基準に、法的責任を問われるべきかどうかについては」落ち度が認められない、って意味合いだと予想できるわ。そして、その見解に対してあたしは二つほど意見があるの。

一つは「文脈からはそうは読み取りにくい」部分。普通にこの記事だけを読んだら「セキュリティ的に落ち度がないんだぁ」っていう風に捕らえる人が多いと思うわ。

そしてもう一つ。「法的な責任の部分なんてどうでもいいことよ」。そりゃ企業にとっては大切かもしれないけれども、あたしは本質を追及する女なの。そして今回の本質は「いかに個人情報を守れるだけのセキュリティが確保できるか?」だわ。その観点に立って考えたときに、現状の「脳みそが干からびて黄金しか見えていないジジィ」どもが作った意味の無い法律なんて興味ないの。重要なのは「実害を与えてくるクラッカー」を相手にしたときにきちんと戦えるだけの技術力なのよ。


こういう、ネット絡みで出てくる法律家の大抵はあたしの大嫌いなタイプなの。理由は簡単だわ。

  • 技術に明るくない上に学ぼうとすらしない

技術をろくに知らないで「無理やり自分の知識に摺り寄せようとする」態度ってとても愚かだと思うの。多分例外だとは思うんだけれども、少なくとも一人、あたしは「法律の専門会」で「技術に異様に詳しい(下手したらネットワーク関係はあたしより詳しいかもしれないわ)」っていう人物を一人知っているわ。それってつまり「ちゃんと学べば双方ともに理解を深めることが可能」ってことよ?

  • 「法律が絶対的に正しい」という基準で発言する

もちろん「法律」というルールに則った戦いをするのが弁護士ですもの。法律を盾にとるのは一つの戦略だわ。でも所詮法律って人間が作ったもの。しかもそれが必ずしも「善意」であるとは限らないし、善意であってですらそれが「有効」であるとは限らないものよ。

そこをわきまえて「この法律は果たして"よい"法律なのだろうか?」という議論が出来る人があまりにも少ないのが嫌なの。考察って、常に「もう一つ深い部分の根っこ」を考えることからスタートするのよ?


あたしが見ている限り、どうも牧野って弁護士は少しづつ勘違い方向に進んでいるような懸念があって不安だわ。でなければ「名前をいいように利用されているカモ」ね。

ネットワークの世界にも、もちろん法規制って必要だし重要だと思うの。ただ、必要であるからこそ「使い物になる」法規制が出てこないと、意味がないどころか邪魔くさいだけの存在になってしまうわ。


弁護士の一部でいいの。頭のいいバカだけじゃない、ってことをあたしたち一般愚民に見せ付けてくれるくらい煌びやかに光る人ってでてこないものかしら?

トラックバック - http://d.hatena.ne.jp/Lucrezia/20040319

2004-03-18

今日は、ちょっと寂しげな雨が降ってるわ。昔通り過ぎていったあんな男とかそんな男とかを思い出してちょっぴり感傷的になってみたりするの。

そしてネットニュースを見て…あたしの感傷的な気分をぶち壊してくれるようなものを見つけちゃったわ。

「盗人猛々しい」とはこのことだわね

ACCSのお話よ。

http://internet.watch.impress.co.jp/cda/special/2004/03/18/2477.html

そうね。一応うなずける部分がないわけじゃなくってだわ。

我々に脆弱性の問題を通知する前に、イベントでそれを説明し、プレゼンテーションの中で個人情報の一部を公開している点も問題視した。個人情報へのアクセス手法も教えていたため、実際にその手法でアクセスしてくる者も何人か出ている。

賠償金が欲しいというのではなく、彼がやった行為の責任を法的に明確にしたい。新聞などで取り上げているような、(脆弱性を突く行為が)不正アクセスに該当するかどうかという議論も、我々にとってのいちばんの問題ではない。これは、個人情報を盗まれた、もしくは個人情報が拡散するような脅威にさらされた人たちに対する法益侵害の問題だと考えている。また、ACCS個人情報を預かっていたことによって、流出させる側に回ってしまったことに対しての痛みを考える意味でも、裁判所のもとでその責任を明確にしたい。

個人情報流出の対象となった人に)お詫びに行くと、逆に「ACCSだって加害者だ。どう対処するつもりなのか?」と問われることもある。

-中略-

原告にはまだ加わっていない残りの1人も含めて、(プレゼンテーション資料で個人情報をさらされた)4人が、研究員の男性だけでなくACCSを訴えることも当然あり得るだろう。それは我々も理解しているところで、個人の方の弁護士はACCSとは別に立てた。男性に対する訴訟は一緒にやるが、将来的にはわからない。4人だけでなく、1,200名がACCSを訴えることも、可能性としては考えられるだろうが、その覚悟はしている。

このあたりはまぁ、多少突っ込みどころがあるにせよ、まぁとりあえず「聞いて差し上げてもよろしくってよ」レベルだわ。

でも…それ以外の部分で突っ込みどころが多すぎるのよ。

一方、流出が発覚してからというもの、我々は個人情報の拡散を防ぐために、朝・昼・晩とファイル交換ソフトや2ちゃんねるなど、ネットのチェックをしており、ACCSの本来の業務に支障を来たしている。

あら。じゃぁOfficeさんが何もいわなくて「ACCSが知らぬままセキュリティホールが存在し続けてた」らどうなってたのかしら?

そりゃあんた達は「知らないから何もしないから業務が増えない」って理由で万歳かもしれないわ。でも、その場合多くの人たちの個人情報は「危険に晒されたまま」なのよ?

彼が我々のところに来て、「『A.D.200X(※)』の中では、自分が個人情報の流出をすべて止めています。自分自身もハードディスクの中に入っているデータを消去しました。大丈夫です」と明確に言ったにも関わらずだ。完璧に対処したと言っておいて、実際はボロボロと出てきた。

なんか詐欺師爆発な文章ねぇ。そもそも、あれだけセキュリティに五月蠅かったひとが「『A.D.200X(※)』の中では、自分が個人情報の流出をすべて止めています」なんて果たして発言するかしら? だってどう考えてもそれって無理な話なのよ。人の口に戸は立てられないわ。せいぜいが「『A.D.200X(※)』の中では、個人情報の流出をすべて止めてもらえるように話しはしました」程度が発言できる限界だと思うの。そのあたり、分かってるOfficeさんが発言したのかって聞かれたら、あたしはとても疑問だわ。どちらかというと「脳みそのない」ACCSの連中が「脳内変換した」ようにしか感じられないの。

「自分自身もハードディスクの中に入っているデータを消去しました。」はまぁさほど事実からかけ離れていないと想像するわ。

でも、これらの発言を持って「完璧に対処したと言っておいて、実際はボロボロと出てきた。」に結びつけるのはどうなのかしら? だいたい「ぼろぼろ出てきた不正アクセス」が、本当にOfficeさん情報を基準にしていたのかどうかすら怪しいわ。だいたいまともに過去ログチェックしてないみたいですし。それ以前の「悪意あるクラッカー」の存在が理解できないか、或いは意図的に糊塗しようとしているのか。どっちかしら?

結局、我々ばかりがしゃかりきになって情報が流出していないかをチェックし、被害者の方にはお詫びに行き、この2カ月以上、この問題にかかりっきりの状況だ。

いまさら、よねぇ。っていうかどうしてきちんとCGIのチェックをそれくらい気合入れてやらなかったのかしら?

結局自業自得の域を出てないわ。

本当に考えているのは、我々が現在やっている情報の拡散防止作業と同じことを彼にもやってもらいたいということだ。

バカじゃないかしら? 予防医学って言葉の意味重要性をしっかりお勉強してからまたいらっしゃい。事後対策も無論必要ではあるんだけど、あんたたちがそれ以上にやらなきゃいけないことって予防なのよ?

彼は、「セキュリティ技術に対して警鐘を鳴らし、よりセキュアなネット社会を作る」という言い方の下に、今回のような行為をしている。しかし、残念ながら、彼がやった行為で実際に個人情報が流出している。その矛盾に対しては、自分で後始末をやってください、という感情にならざるを得ない。

あんた達も一緒よ。「個人情報が流れるようなセキュリティホールを年単位で放置していた」ツケを今払わされてるだけなのよ?

彼らとしてみれば、何か不安なことが起きれば、「ACCSに提供した個人情報が漏れたから」と一生言われるだろう。我々は十字架を背負いながら、彼らの日常生活の平穏が害される危惧や危機感について、できる限りのことをしていかなければならない。

ここは正論なの。でも、それに続いて

ただ、そのことが、法的責任を負うほどの注意義務違反がACCSにあったことにつながるのかはわからない。少なくとも、私はそこまでの注意義務違反はないのではないかと思ってる。

って続くあたりが…とんでもない話だわ。

もし注意義務違反だというような認定が下って、(ACCSの被害者に対する)損害賠償が成立するというようなことになれば、ガチガチのセキュリティをかけているごく一部の上場企業以外は、どこも個人情報を扱うことが困難になるのではないかとも思う。

あんた達のスキルが低いから困難なだけよ?

少なくとも、今回のホールに関して「交通事故だよねぇ」と同情を買えるような要素は原子の一欠けらほども存在していないわ。

まぁこういう「僕は悪くない」的感覚が強いから、今回のような一連の愚かなまねが出来たんでしょうとは思うんだけれども。

もちろん、法的な注意義務に違反していたことが裁判所によって評価されるのであれば、ACCS責任は真摯に受け止める。

法的以前に、ネットワークサービスを提供する人間の良心としてしっかり考えてもらいたいものだわ。

少なくとも「既知のセキュリティホールが」「勧告されている状態から年単位で放置」って状態に情状酌量の余地なんて、なによりもまずあたしが一切認めないわ。


結局文面を読む限り「自分達に責任がない状態であり被害が一切ないことを前提に口先だけで反省しているかのような態度を見せ、実際の問題や責任は他のところにぶち撒く」態度がなにも変わっていないの。

これじゃ、見る人間が見たら「なにもやってないのと一緒」としかみなせないわ? まぁそれでも「ごまかされてくれる一般愚民」が大勢いるのがACCSの強みなんでしょうねぇ。

お髭だし体格もまぁまぁだし、写真見ている限りでは久保田裕専務理事ってまぁまぁな男だと思うんだけど。こういう男って、実際に会うと卑しさとか卑屈さとか無責任さとか、そういうものが滲み出してくるんだわ。たまにそういう輩を見かけるから予想は容易いわ。

男は40すぎたら自分の顔に責任を持て、って言葉があるの。別に男女の区別なく、年齢の区別なく、自分の雰囲気には相応の責任と誇りを持つべきだわ。そして、誇りがもてないような人間もどきが大手を振って表に出てこないで頂戴。あたしの目が穢れてしまうわ?

便利、ねぇ…

Windows周りのお話よ。「歴代ウイルスが飛びついた“おいしい”機能」ってタイトルの3部作だわ。

http://itpro.nikkeibp.co.jp/members/NBY/techsquare/20040311/1/

http://itpro.nikkeibp.co.jp/members/NBY/techsquare/20040311/2/

http://itpro.nikkeibp.co.jp/members/NBY/techsquare/20040311/3/

やだ。メンバーPageだわ。ま、興味があったらメンバー登録してでも呼んで頂戴。

Windowsって、確かに便利なところは少なからずあると思うの。ただ「便利さに統一がない」「"セキュアである"ことを前提にしている」点が限りなく間違っているわ。

さらに今回紹介されたいくつかって「なにを意図して作ったのかわからない」ものもあるの。.folderとかがいい例だわ。これってなにを意図して実装されたものなのかしら? あたしには皆目見当もつかないわ。もちろん「クラック目的」でならいくらでも便利なことを考えちゃうんだけれど。

便利であることが悪いとは…言うわ。時には悪いのよ。刃物が危険だからって子供に刃物を使わせなければ、大人になったときにもっと困るわ。刃物が危険なら「よく研いだ刃物を」きちんと使わせて、時には痛い目にあいながら、しっかりと使い方を学んでいくべきものなの。

あたしは脳みその使い方を知らない愚か者に興味がないの。そうねぇ、例外があるとすれば「体格と顔のいい、腰の使い方を知っている殿方」くらいかしら? でもそういう殿方って大抵頭の使い方も知ってるのよねぇ。つまり「脳みそが使えない」ような輩はあらゆる意味であたしの興味を引かない、ってこと。それって「存在していても意味がない」のと一緒よ?

b4-ttb4-tt 2004/03/19 00:36 はてなダイアリー市民転入、おめでとうございまーすヽ(^0^)ノ
ACCSは…今回のはネタとしてはソフトバンク以下なのでは?あ、ガキさ加減では変わらずカモ(笑)

LucreziaLucrezia 2004/03/19 14:14 あら、いつのまにか市民になってたのね。お祝いの言葉ありがとう。ACCSのネタはm、むしろ「どこまで転げ落ちた愚言を吐くか」ってところがこれからのポイントかしら?

トラックバック - http://d.hatena.ne.jp/Lucrezia/20040318

2004-03-15

うふ。珍しく恋に悩む乙女をしている今日この頃だわ。久しぶりに心を奪われかけてるって感じかしら?

こんな切ない思い…もぶち壊れそうな話題が今日も目白押しよ? まったく、困ったものだわ。

どこまで無能っぷりを晒したら気が済むのかしら?

ACCSのその後のおはなし。http://www.askaccs.ne.jp/にまた色々かいてあるんですけれども。例によって例のごとく、ここってよく内容が変わるから大量に引用しておくわね。

平成16年3月11日

社団法人コンピュータソフトウェア著作権協会

専務理事・事務局長 久保田 裕

昨年11月のASKACCS個人情報流出事件に関連して、国立大学研究員男性(現在、不正アクセス禁止法違反で起訴中)が昨年11月8日(土)にセキュリティ関係者によるイベントで公開した手法をまねてASKACCSの利用していたサーバーに不正アクセスした成人二名が、本日不正アクセス禁止法違反の容疑で書類送検されたことがわかりました。

 現在起訴中の国立大学研究員男性は、当協会に対して事前に何ら連絡することなく、ホームページ著作権プライバシー相談室〜ASKACCS」のCGIプログラムの脆弱性を悪用して、ホームページに寄せられたユーザの個人情報を不正に入手し、その後、昨年11月8日に東京で行われたセキュリティ関係者によるイベント不特定多数の人の前でプレゼンテーションを行い、個人情報の入手方法を公開し、現実に入手した個人情報の一部を発表していました。

 今回書類送検された二名は、イベント終了後の9日(日)早朝5時以降から、ASKACCSのすべてのCGIプログラムを閉鎖した同日昼までの間に、同様の手法でのアクセスを試みていました。なお、この二名については、個人情報が蓄積されていたファイルを保有していないことがわかっています。

以 上

あたしね、ちょっとこれで疑問があるの。

今回書類送検された二名は、イベント終了後の9日(日)早朝5時以降から、ASKACCSのすべてのCGIプログラムを閉鎖した同日昼までの間に、同様の手法でのアクセスを試みていました。なお、この二名については、個人情報が蓄積されていたファイルを保有していないことがわかっています。

ってあるでしょ? これって単純に「本当にセキュリティホールあるのかなぁ」「あ、すげぇ、本当にありやがる」ってアクセスじゃなくってかしら?

無論そういう好奇心的行動が白とは言わないわ。でも情報一つ保存していないところでどこまで「刑事事件にする」ほどの問題性があるっていうのかしら? 先に書いておくわね。「不正アクセス禁止法に違反してる」とかいう戯けた発言に耳を傾けるほどあたしは優しい女じゃなくってよ?

それにもう一つ。少なくとも8日のうちには連絡が行っているセキュリティホールを「とりあえず閉鎖」するのにどうして12時間以上もかかるのかしら? 不正なアクセスが可能であると判明した時点で「なにもりも高い緊急度で」とっとと閉鎖すべきじゃないかしら?

そんな自分達のトロい行動をさておいてってあたりも…まぁお役所仕事っていうか「他人に罪をかぶせたいのねぇ」って感じが見え見えだわ。

それともう一つ。

http://internet.watch.impress.co.jp/cda/news/2004/03/11/2410.htmlより

ACCSが1月23日に発表した事故調査委員会の報告書の中では、2003年10月6日以降4回にわたって外部から個人情報へのアクセスがあったことを確認したが、いずれも国立大学研究員の男性からのもので、それ以外には「外部から個人情報を取得されたことを示すアクセスログは認められなかった」としていた。

しかし今回、新たに外部からの不正アクセスがあったことが明らかになったことについて、ACCSでは「(報告書の調査結果を)修正しなければならない。当時は事件直後であり、相手のアクセス手法も確定できていないまま、我々が自主的にチェックを開始しなければならなかった。そのために形跡を発見できなかったのではないか」としている。

…いったいどんなヌルイ調査してるのかしら? 上下左右360°あらゆる方向から見て「自分達のスキルの低さ」が露見してるのよ?

たまに見るわ。不細工な上で努力もしてないようなブスが「どうしてもてないんだろう?」って悩んでる姿を。努力もしてないような駄ブスがもてないのは当然なのよ? まずは自分の姿を姿見でじっくりと御覧なさいな。しっかりと目を開けてね。


なんかどんどん最悪な方向に流れていってるわ。水は低いほうに流れるとはよく言ったものだわね。人間はそれでも「現状にとどまり、よりよい高いところに登る努力をする」生き物なんですけれども。そういう意味では警察とACCSの連中は人間じゃないわね。ただのケモノだわ。ベッドの上でのケダモノは大好きなんだけれども、知性のないケモノはあたし大嫌いなの。

割れ鍋に綴じ蓋、って感じかしら?

SCOのお話ね。MSのお話って言い換えてもいいのかしら?

http://www.itmedia.co.jp/enterprise/0403/12/epn01.html

http://japan.linux.com/opensource/04/03/11/016256.shtml

http://japan.linux.com/opensource/04/03/12/0124227.shtml

http://japan.cnet.com/news/media/story/0,2000047715,20064825,00.htm

まぁなんていうか「お笑い種」だわ。

予想から外れたのは「自分たちに危険なネタを逆に利用する」っていう手法にかけている、思った以上に愚かなSCO&MSの連中の低脳っぷりくらいかしら?

設計のチェックってどうなってるのかしら?

これもMSのお話よ。しかもセキュリティホール関連。

http://itpro.nikkeibp.co.jp/members/NBY/ITARTICLE/20040304/1/

これはIT-Proの会員じゃないと見れないサイトなの。ごめんなさいね。

いくつか重要な部分を引用してみるわ。

Windowsデフォルトでオープンしている1025番以降のポートを突けば,(1)マシン/ユーザーの情報収集,(2)パスワードクラッキング,(3)任意のコマンドの実行――などが可能になるという。

ほーっほっほっほ。最低な仕様だわ。具体的な内容は…MSがそのうち公開してくれるといいわねぇ。

ま、期待せずに待ちたいものだわ。

個人情報保護って…

http://www.mainichi.co.jp/digital/coverstory/archive/200403/10/1.html

http://www.tomatobank.co.jp/apologize.htm

またしても情報が漏洩した…のはもういい加減聞き飽きたお話なんですけれども。毎日のサイトのお話が…あたしの懸念したとおりの方向性でとっても嫌な気分にさせられたわ。

http://www.mainichi.co.jp/digital/coverstory/archive/200403/10/1.htmlより

 三菱総研とNTT−Xが1月19、20日に企業の情報システム担当者505人に行った調査では、個人情報漏えいで「社会的な信用低下が起きる」とした回答は86%にも上り、企業側も深刻に考えていることがうかがえる。

 ところが、個人情報保護対策への取り組みについては、27%が「特に無し」と回答。「分からない」の8%を加えると3分の1以上に。逆に、「情報システムや管理体制の再構築を行った」は40%にとどまった。さらに、社内からの情報漏えい防止対策は「していない」「分からない」が48%と半数近くを占めた。

 また、一般職員に対して定期的にセキュリティ教育を行っているのはわずか15%、経営層向けに行っているのも11%に過ぎず、多くの企業が「お寒い」状況にあることが浮き彫りとなった。

なんていうか「危ないのは分かってる」んだけど「特に何もしていない」ってのはもっとも愚かな発言だわ。っていうか「分かってない」だけだと思うんだけどどうなのかしら? そのあたり。こういう「分かったつもりで理解していない」愚者が最悪の状況を生み出すのよ。


どうしてこんなにも愚かな連中が大量に社会にはびこっているのかしら? 害虫としか思えないわ。

そうねぇ。あたしのCantarella入りのクッキーでもホワイトデープレゼントしてあげればよかったかしら? 白い粉砂糖が上品な甘さを醸し出してとってもおいしくってよ?

トラックバック - http://d.hatena.ne.jp/Lucrezia/20040315

2004-03-10

久しぶりにSE系のお話を書いてみるわ。

初心者向け」ってなんなのかしら?

なんか最近よく見るのよねぇ。「難しかった**もこれで簡単に!!」「これで今日からあなたもプログラマー」などなど。

これの亜種としては「新しい開発手法を発明。これで簡単に開発が出来る」「開発がスムーズに出来るソリューション完成」「今までの手法は間違っていた。これが正しいソフトウェアモデルアーキテクチャだ」。

これって結局「高度なことをやりたいけど勉強とか面倒な手間は省きたい」っていうことよね?

そんなもの無理よ。当然でしょ?


別に「効率化」が悪いとは、それは全然思わないわ。「きちんと基礎を把握している人間」が「工数削減のために」効率化を図るのは義務だわ。鉄則だわ。やらない輩なんて、据え膳を食わない男より使い物にならないわ。

でも、まだ学びの途中にある子たちが「闇雲に」使うものじゃなくってよ? 効率的な手法っていうのは。

学びの途中にある子たちは「遠回りして」「苦労して」、効率化の重要性をまずはしっかりと体で学ぶべきだわ。苦労したからこそ、効率化が出来たときの達成感が蜜の味になるの。努力という対価を払うからこそ、最高級の女を抱けるのよ? あら? それとも男に抱かれたいかしら? それでもよろしくってよ?


たとえどんなに「使うツールが便利」になっても、だからっていきなり自分のレベルが上がるわけじゃないの。ツールは所詮ツール。自分に内在するパワーを外に引き出す道具でしかないわ。もちろん内在するパワーの引き出し方にも効率ってものはあるの。だから「中上級者」なら、より効率的なパワーの引き出し方と、それにみあったツールってのは重要になってくるわ。

でも、学びの徒に必要なのは「パワーの増大」よ?

最近「**ソリューション」やらなにやらで正直目障りなものをたくさん見てるわ。そんな小手先をどうにかする前に、まずは自分自身をしっかりと鍛え上げなさい。

「僕、脱いだらすごいんです」なら素敵だけど「僕、脱いだらカスいんです」じゃ誰も見向きしなくってよ?

トラックバック - http://d.hatena.ne.jp/Lucrezia/20040310

2004-03-09

ジャパネットたかたの顧客情報漏洩(http://internet.watch.impress.co.jp/cda/news/2004/03/09/2371.html)とかまぁいくつかあるんだけれど。

セキュリティって単語をどこまで理解してるのかしら?

やっと切り込みたいネタの一つを切り込んでいけるわ。SoftEtherの商用のお話よ。

ここでもう一度整理しておきたいの。SoftEtherに対して、なんであたしがここまで五月蠅く突っつくか、についてよ。

それは以下の2つの「双方を併せ持つ」からだわ。

・F/Wを無視して内外のTCP/IP通信が自由に出来る

・素人や初心者でも簡単にインストール、利用が出来る

特に「F/Wを無視する」部分に関しては、元々作者が明らかにそこを意図して作っているのが非常に悪質だといえるわ。


でも現状は少し変わってきたの。無論無料ではないんですけれども、SoftEtherブロックする手段も出てきたわ。ブロックする手段があるのであれば、最悪の状況からは免れることが出来るとおもってるの。だとしたら今こそ「便利な方向」に目を向けてあげても「よろしくってよ?」

ただ、ひとつだけ注意してもらいたいことがあるの。飽く迄ブロックが「可能である」だけだ、っていうこと。しかもそこにはお金がかかるって事を忘れちゃダメよ? つまり本質の「迷惑なソフト」である部分を、自己完結で解決したわけじゃないわ。

まぁずいぶん叩かれまくって、作者も少しは大人になっ…てるといいんだけれども。あら? あたしはあんなガキの筆おろしなんてまっぴらごめんだわ。もうちょっと「世間にもまれて強くなった」男のほうがいいわ。


それで。商用で出回るってニュースももう大分前に出てるんですけれども。どうも要領を得ないのよねぇ。

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040301/140751/

http://www.itmedia.co.jp/news/articles/0403/01/news020.html

http://internet.watch.impress.co.jp/cda/news/2004/03/01/2263.html

http://japan.cnet.com/news/ent/story/0,2000047623,20064596,00.htm

http://enterprise.watch.impress.co.jp/cda/network/2004/03/01/1521.html

基本的には「よりセキュア、かつ運用管理機能を向上させた商用版の開発」って感じだわ。ニュースリリースによれば、

・電子証明書による認証システム

・ユーザー管理機能

アクセス制御機構の拡充

を柱にしていくつもりらしいんだけど…どうかしらねぇ? って感じだわ。まぁ使うPortの問題とかいくつかあるからまだ断定は出来ないんですけれども。あたしは嫌な予感がひしひしとしてるわ。

そのへんの危険性は、唯一IT-Proのサイト(http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040301/140751/)だけが言及してるって状態なの。

そして、一番気になるのは開発する三菱マテリアルニュースリリースのサイト(http://www.mmc.co.jp/japanese/corporate/news/news20040301.html)。

なんていうのかしらやだ最低だわって感じかしら? 典型的な「便利さだけを前面に押し出したシステム作り」って感じだわ。このPageの下のほうに「(別紙資料)開発背景と今後の展開、概要(http://www.mmc.co.jp/japanese/corporate/news/news20040301-2.pdf) 」ってあるんだけれども。見たけど…ひどいものよ。


もちろん、きちんとしたセキュリティがはれることを前提にした活用法の模索自体を否定するつもりはないわ。ただ「セキュリティという言葉を使うだけ」の状況であるのだとしたら、あたしは認めてなんかあげないわ。

そしてセキュリティは「危険であることを認識する」ところから常に始まるの。「目をつぶってれば怖くない」ってのはただの自己欺瞞よ。自己欺瞞が自分自身で完結してくれればいいんだけど、今回はそうもいかないわ?

結局のところ「最低なモノに最低な企業が最低な企業倫理でくっついてきた」って感じだわね。無論予想していなかったわけじゃないわ。でもそれだけに「結局その程度の、レベルの低い愚かで怠慢で目先のことしか見えない低脳な」男どもだったのねぇ、っていう失望感はぬぐえないわね。

これで商品版が「そのまんまPort443使う」なんて状況になったら…大変よねぇ。あたしはそんな会社には絶対に近寄らないわ。

トラックバック - http://d.hatena.ne.jp/Lucrezia/20040309

2004-03-08

先週の後半ちょっと忙しくて書けなかったんだけど。なんかまた色々おきてるわねぇ…。あたしが切り込みたい話がなかなか書けないわ。

懲りない面々なのか裏が透けて見えてきたのか…

SCOネタよ。

http://japan.cnet.com/news/ent/story/0,2000047623,20064711,00.htm

ライセンス購入も増えてきたみたいねぇ。「勝とうが負けようが裁判沙汰になってコストを払うくらいならそのまえにライセンス購入をしたほうが安くつく」って判断かしら?

まぁ短期的には間違ってないと思うんだけど。長期的に「じゃぁSCOがのさばったらどうするのかしら?」って疑問がなくはないの。もっとも「どのみちすぐSCOは潰れていくから長期的な支払いはありえない」って判断をしている可能性も少なからず存在するんですけれども。

この辺って腹の探りあいよねぇ。

http://japan.cnet.com/news/ent/story/0,2000047623,20064690,00.htm

まぁ裁判もさらに混迷って感じだし。っていうか「証拠も出さずに言いがかりだけど」よくまぁここまで引っ張ってきたわよねぇ、ってあたしは思うわ。

で。なんかきな臭い話が出てきてるのよね。

http://www.hotwired.co.jp/news/news/business/story/20040305101.html

http://japan.cnet.com/news/media/story/0,2000047715,20064693,00.htm

http://japan.cnet.com/news/media/story/0,2000047715,20064697,00.htm

http://www.itmedia.co.jp/news/articles/0403/05/news018.html

元になってる文書の日本語訳はここよ。

http://cruel.org/freeware/halloween10j.html

なにがきな臭いか少し考えてみましょ。

まずこの文書が出たことが「事故か故意か」って部分。もちろん「MSが秘密裏のやりとりをしてそれが事故で露見してしまい大慌て」ってみなすのは簡単だわ。でも「相手を愚者とみなす」のは愚者の戦略よ? 常に「別の可能性」を考えてこそ知性も磨かれようってものだわ。

じゃぁ「故意」って考えた場合。これもまた「Linux陣営を陥れるため」の戦略とみなすことが出来るの。そうねぇ。簡単なシナリオを一つ書いてみるわ。

Linux陣営は我々を陥れるためにこのような文書を偽造してきた。彼らがこのようなことをすることこそ、我々に技術面での勝ち目がないことを暗示している」。まぁ単純なシナリオだけれどもそれなりに効果はありそうね。でも、もう少しこれを深く考えていくと。別に今回の文書が「真実」でかつ流出が「事故」であったとしても、上記の発言は有効なの。それくらいわかるわよね?

もちろん「嘘であるにしてはあまりにも様々な符合が一致する」という発言は可能だわ。でも「嘘が嘘であるためには如何にも"真実っぽく"見せる必要がある。今回はまさにその好例です」とか言ってしまえば煙に撒けるわ。

結局最終的には「大衆に与える印象値」の問題になってくるの。そしてMSは基本的にその辺の、マーケティングとかプロパガンダとかは得意分野だわ。しかも今回って「SCOを盾にしてる」から負けても問題ないし。

これからどうなるのかが興味深い一件になってきたわね。

そうそう。

http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20040307/141020/

に面白い記事が載ってるわ。確かに「暴走」と見て取ることも可能だわね。でも。暴走って「闇雲に走っている」イメージが強いんですけれども。それが全て「無知蒙昧な輩による」ものだとは限らないわ? 計算づくの暴走は、或いは最も危険なものかもしれないわ?

そろそろ出てきてるわね

2038年問題2000年問題の教訓が早速生かされてないわ。

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040305/140989/

これはほんの一例。他にも色々耳には入ってるわ。きっとまた近くなるころに色々騒ぎ出すのね。

よく耳にする話があるの。「time_t(またはunsigned long)はそのうち8バイトになるから大丈夫だよ」って。あたし同じような発言を耳にしたことがあるのよねぇ。「大丈夫。このプログラムのまま2000年までは動かないよ」。

学習能力ってものが根本から欠落してるとしか思えないわ?

これを読んでるSEどもに言っておくわ。「大丈夫だろう」って思ってるうちは大丈夫じゃないのよ。だからきちんと「もしやばいときはどうやって対応するか」くらい考えておきなさい?

それともまた「大晦日から元日にかけて徹夜」でもしたいかしら?

トラックバック - http://d.hatena.ne.jp/Lucrezia/20040308

2004-03-02

なんかしばらくネタ不足に困ることは無さそうな気配ねぇ。いいんだか悪いんだか。

広告塔探しかしら?

SCOネタよ。

http://www.itmedia.co.jp/news/articles/0403/02/news022.html

http://www.itmedia.co.jp/news/articles/0403/02/news011.html

http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20040302/140758/

そうねぇ。手法としては「大手を広告塔に立ててあちこちから小銭を巻き上げる」ってやり方かしら? 広告で似たようなやり方を知ってるわ。「声が大きいほうが有利」って感じのやり方ね。品がないわぁ。

http://www.itmedia.co.jp/news/articles/0403/02/news011.htmlより

EV1Servers.netが支払った金額の公表は避けている。SCOはシングルCPUサーバ1台当たり699ドルを要求しているが、今回の契約は約2万台のサーバのうち「大多数」が対象となるため、数量割引が適用されているという。

っていうくらいだから、ずいぶん大幅な値引きをしたのね。もしかしたら「口を止めておいて全額割引」かしら? 手法としては「あり」よねぇ。あたしはそんな下品な真似は出来なくって、ですけれども。

http://www.itmedia.co.jp/news/articles/0403/02/news011.htmlより

世界の大手1000社のうち「一握り」が既にこのようなライセンス契約を締結済みだが、いずれも秘密保持契約が条件となっている。

あら。一握りってどれくらいかしら? 秘密保持が条件なら「0件」もありよねぇ。ブラフっていうほど高級な感じじゃないんですけれども。

こんな発言で揺さぶりをかけて、今後このSCOの「壮大な独り芝居」はどうなっていくのかしら?

でもせっかくならあたしはこんな独り芝居よりも「ジーナと青いつぼ*1」の独り芝居でも見てみたいわぁ。

まぁ、数日中に大手数社を訴える「かもしれない」らしいので一応注目だわね。

保身に必死な男って見苦しくってよ?

住基ネット長野でのテストを受けた前後のお話。…ため息モノだわね。

http://www.pref.nagano.jp/soumu/shichoson/jyukisys/singikai/keka.htm

http://www.pref.nagano.jp/soumu/shichoson/jyukisys/singikai/siryo12-1.pdf

http://www.soumu.go.jp/c-gyousei/daityo/pdf/040229_1.pdf

http://slashdot.jp/articles/04/02/29/1640258.shtml?topic=89

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040301/140708/

http://www.mainichi.co.jp/digital/network/today/7.html

(http://www.mainichi.co.jp/digital/network/archive/200403/02/7.htmlになるのかしら?)

http://www.mainichi.co.jp/digital/network/today/7.html

(http://www.mainichi.co.jp/digital/network/archive/200403/02/7.htmlになるのかしら?)より

総務省自治行政局は「調査手法を含め多くの問題がある。住基ネット本体の情報に対する具体的危険性も確認されなかった」とのコメントを出した

ですって。つまり「それでも住基ネット本体の情報は安全だ」っておっしゃってるの。まぁ、とっても頼もしいんじゃなくってかしら。口先だけじゃなかったら。

で、その意見に対する具体的な話がPDFに載ってるの。ちょっと覗いてみてみようかしら。

以下、しばらくの引用http://www.soumu.go.jp/c-gyousei/daityo/pdf/040229_1.pdfからよ。

2 今回の最終報告においても、事実関係の真偽が明らかでない上、調査

手法に問題があり、また、根拠が薄弱な推測を積み重ねて結論を導き出

そうとするなど、多くの問題があるが、

よくあるパターンだわ。なにがって「根拠なく相手を否定して、その否定がさも正しいかのような前提で話を重ねていく」ところが、よ。「真偽が明らかでない」って言い方も役人の得意な逃げ口上ねぇ。

報告内容を見れば、長野県が本

来意図したインターネットから市町村庁内LAN及び市町村庁内LAN

からCS(コミュニケーションサーバ)への「侵入実験」は成功してお

らず、

あら? それで進入に成功したら今度は「不正アクセス禁止法違反」で騒ぎ立てるのかしら? 素敵だわぁ。早速ACCSでの教訓を生かすのね?

国民の利便性の向上と行政の効率化の推進の観点から、住民基本台帳ネットワークシステムを含むIT技術の活用は不可欠であり、また、その際にセキュリティの維持・向上を図るべきことは言うまでもない。

そうねぇ。正しいわ。

昨年12月26日の第9回住民基本台帳ネットワークシステム調査委員会で決定された方針に基づき、市町村等におけるセキュリティ対策の強化に取り組んでいく。

基づいているものはともかくとして、セキュリティの強化は重要だわ。でもね、都道府県単位で仕切ってる担当者がセキュリティポリシーの定義を理解できてないって状況についてどう考えているのかしら?

いってる話は立派だけど、あまりにも実が伴ってなさすぎるんじゃなくってかしら?


報告の主な問題点、ってところの突っ込みは…ありすぎるわ。とりあえず顕著なところを2、3。

インターネット−庁内LAN間のFWについて、インターネットからFW越しにDMZにある公開サーバへの攻撃に失敗している。FWの適切な設定等がなされれば、FW越しの攻撃ができないことが明らかとなっている。

F/Wの過信のしすぎはよくなくってよ? そのあたりちゃんと理解しているのかしら?

っていうか、まずF/Wの定義からお勉強しなおしてらっしゃい。ポートフィルタリングをするものだけをさしてる訳じゃないのよ? 「あるネットワーク」が別の「あるネットワーク」をガードしていれば、そのネットワークそのものもまたF/Wと呼ばれる概念に含まれるものなの。よろしくってかしら?

CSはセキュリティパッチに一定の適用時間差が生じることを前提にFWで厳重に防御することとしており

一つ目。なんでそんなに時間差が生じるのかしら?

二つ目。F/Wについて…は今さっき書いたわね。二度は繰り返さないわ。

「CSが格納されている役場サーバ室内のラックを開錠」して調査を行う等、物理的な侵入を伴う実験としての的確性を完全に欠いた方法で行われている。

あら、「住民が自由に出入りできる施設のLANポートや出先機関のダイヤルアップルータに接続した調査用コンピュータネットワークに接続することができ*2」るってのは的確性を欠いた方法なのかしら?

住基ネットの全国サーバや県サーバの本人確認情報を不正に閲覧することはできないし、実際に閲覧されていない。

なんていうか、馬脚を現している発言だわねぇ。「閲覧されていない」っていう断言はどこから発生しているのかしら?

電子データの閲覧とCopyは極めてその発見が困難なものだわ*3。それを根拠もなしにこうまで言い切るあたりがすでに「発言全体の危険性」を暗示しているんですけれども。ご理解いただけませんかしら?


全体を通して「必死にガードしようとしているけど見るだにがら空き」って感じだわ。子供が愚にもつかない言い訳を必死にひねり出すようなときがちょうどこんな感じだわね。


一方で長野県の報告書のPDFは…ネットワーク技術的に腑に落ちる部分がありすぎて…逆にストレスだわ。だって下手なホラーよりも怖い内容が書かれているんですもの。

以下、しばらくの間http://www.pref.nagano.jp/soumu/shichoson/jyukisys/singikai/siryo12-1.pdfからの引用よ。

3−1−1 ネットワークの設定

庁内LANへの接続に当たってのユーザ名及びパスワードの設定に問題があり、調査用コンピュータネットワークに接続することができた。

また、住民が自由に出入りできる施設のLANポートや出先機関のダイヤルアップルータに接続した調査用コンピュータネットワークに接続することができた。

…おまち。「住民が自由に出入りできる施設のLANポート」から「ネットワークに接続することができた」ってどういうことかしら?

ありがちだけれど最低レベルの出来事よ?

3−1−2 既存住基サーバ

既存住基サーバの管理者権限のユーザ名及びパスワード設定に問題があり、庁内LANに接続した調査用コンピュータにより管理者権限で正規のユーザになりすましてログオンできた。

この際、データベースのユーザ名及びパスワード設定に問題があったので、データベースの内容を閲覧することができた。

また、既存住基サーバで使用されているOSには既知の脆弱性が存在しており、庁内LANに接続した調査用コンピュータにより、この脆弱性を利用して管理者権限を奪取した。

弱いパスワードってのも基本だわねぇ…。この手の話題ってどれだけ語りつくされていることなのかしら?

OSには既知の脆弱性」ってのもどうかと思うわ。どうせまた「パッチ当ててない」とかなのね? たしか散々「パッチ当てろ」ってあちこちから叩かれてたはずですけれども。きっと意味も重要性も理解できないのねぇ、干からびた脳みそと黄金しか映らない目には。

それにしても「管理者権限を奪取」できるレベルのホールを放置してるって…あたし、かけるべき言葉が見当たらないわ?

3−1−3 庁内WEBサーバ

ファイル共有の設定に問題があり、庁内LANに接続した調査用コンピュータから個人情報を含む重要なデータファイルにアクセスすることができた。

庁内WEBサーバが使用しているOSには既知の脆弱性が存在しており、庁内LANに接続した調査用コンピュータにより、この脆弱性を利用して管理者権限を奪取し庁内WEBサーバを支配することができた。

また、不必要なサービスの提供が行われていたほか、OSレベルでのパケットフィルタリングによるアクセス制限も行われていなかった。

ファイル共有の設定も…素人には多いミスだわね。プロの仕事とは到底思えないんですけれども。

ちなみに庁内で「住民が自由に出入りできる施設のLANポート」から「ネットワークに接続すること」はできるのかしら?

出来るのだと仮定すると…もはや笑い話だわ。書いていない以上「出来ない」と思いたいんですけれども…危ないから「書かなかっただけ」っていう可能性も捨てきれないわ。だって「出来ない」とは書いていないんですもの。

3−2−1 既存住基サーバ/CS間のファイアウォール

不要と思われるポートが開放されているものがあった。今後このポート関連の脆弱性が発見される可能性は否定できない。

なお、ファイアウォールのOSのバージョンが古く、既知の脆弱性を利用した攻撃が行われる可能性がある。

ほーっほっほっほ。…F/WのOSってなに使ってるのかしら? 不安のバーゲンセールが出来そうな気分だわ。

3−2−2 CS

CSが使用しているOSには既知の脆弱性が存在しており、CSセグメントに接続した調査用コンピュータから、この脆弱性を利用して管理者権限を奪取することができた。

この際、CSのデータベースのユーザ名及びパスワードがCS内部のバッチファイル暗号化されずに記述されていたので、データベースにアクセスできた。

さらに、このデータベース自体も暗号化されていなかったことから、当該自治体住民の住基ネット情報を閲覧することができた。 また、不必要なサービスの提供が行われていたほか、OSレベルでのパケットフィルタリングによるアクセス制限も行われていなかった。

やだ。きっと「ノーガード戦法」なのね? それならきっと安全だわ。どんなに管理者たちが無理解でも。

…ごめんなさい。あたしが悪かったわ。しゃれになってなさすぎるんですもの。ジョークにブラックはつきものだけど…漆黒の闇よりも濃いんじゃ笑えないわ?

3−3 インターネット側からの攻撃に関する脆弱性

今回の調査では脆弱性は発見されなかったが、一般にDMZにある公開サーバの管理者権限が奪取された場合、公開されている情報の破壊・改竄が可能なほか、DMZと庁内LANの間のファイアウォールの設定によっては、庁内LAN上に存在するデータも危険にさらされる可能性が存在する。

よかった。ほっと…出来ないわよ。

理由? 簡単だわ。インターネット経由じゃなくても「他にルートが存在しているからよ」。

というか、元々「インターネットとは物理的に完全に切り離されている」ことが前提じゃなかったのかしら?

この部分「だけ」を見て「安全だ」とかほざいてるのね。きっとここが唯一のよりどころなんだわ。


ちなみに対策について記述があるんですけれども…当たり前以前のお話だわ。こんなことを書かなきゃいけないのかしら?

パッチを当てるとかパスワードポリシーを確立するとか…やっていないんだとしたら(まぁやってないんでしょうけれども)悪夢だとしか思えないわ?

4−4−1 セキュリティ監査

一部の構成要素に限定せずにシステム全体について実施する。

第三者により定期的に実施する。

えらいわ。当たり前だけど極めて重要なことよ?

こういう部分に対してこそ真摯に受け止めて実施すべきよ。


「住民基本台帳ネットワークシステムに係る市町村ネットワーク脆弱性調査」 に係る第三者評価ってやつの文章がなかなか笑えるわ。とってもシニカルに。

市町村ネットワークの調査全体に対する分析

  • 中略-

総合的に言って、当該の場所においてのセキュリティレベルは平均以下であり、住民についての様々な個人情報は盗まれたり改竄されることに対して危険な状態にあると言える。

まぁ。身も蓋もなくまっすぐな発言で素敵だわ。

とはいえ平均以下って…あたし、平均的なセキュリティレベルですらアウトだと思ってるのに。それよりも低いのね。

加えるなら、住基ネットとは無関係だが、センシティブな個人情報を含んでいる多数のファイルが、保護がないままの地方自治体ネットワークの上にアクセス可能な状態で存在した。

予想通りだわねぇ。個人情報を日常扱ってるもんだからその辺の感覚に鈍感になっているのね?

銀行でも「大量のお金」を扱ってるから、彼らは一歩間違えるとお金に対して鈍感になるわ。でも銀行はそれを防ぐために様々な手段を講じているの。

お役所は…きっとその辺なにも考えていないのねぇ。ダメすぎるわ。

インターネットから地方自治体ネットワークに侵入することは可能ではなかったが、遠距離のオフィスのためユーザーが地方自治体のネットワークに接続することを許したダイアルアップ・アカウントがあり、これらのダイアルアップ・アカウントが何者かの支配下に置かれた場合ネットワークにダイアルインすることは可能である。加えて、ある自治体では庁舎以外の施設で直接ネットワークに接続していた。

たった1クッションで「インターネットからの進入経路」が確保されているのね? 至れり尽くせりだわ。さすが「住民のための」住基ネットだわ。あら?クラッカーも住民の一部よね?

CSと、地元の住民の住基ネットデータを収容している既存住基サーバーに侵入することは非常に容易であった。

  • 中略-

そのサーバー上で走っているソフトウェアは「バッファオーバーフロー」の弱点が含まれた状態で書かれていた。

これって事実上「どうぞお好きになんでもしてください」状態だわね。安いわ。安すぎるわ。あたしの周りの娼婦達から聞いた「一番安い10文女郎」クラスの股だってもうちょっとお高いわよ?

ふぅ…胃に穴が開きそうだわ。あたしこれでも結構デリケートに出来ているのよ?

オフィスで働く人々と、特にシステムセキュリティを提供している業者は、セキュリティプライバシー問題に敏感ではない。サーバーは適切に保守されてはいなかったし、パスワードの選択(多くが既定パスワードあるいは容易に推測できるパスワードを用いていた)は無責任であり、そしてセキュリティに関する注意の完全な欠如を示していた。

…分かってはいるつもりだわ。…それでもこの文章を読むとまるで初恋の人と二人きりになったときのように鼓動が高まるの。…こんなに冷や汗が出ることはないと思うんですけれども。


市町村ネットワークの調査の最終審査に基づく勧告

ってタイトルで色々と善意が書かれているんですけれども。あたしなら一言で片付けるわ。

対面と意地と癒着業者への金落としだけが目的でやってるようなモノはとっととやめなさい。永遠に。


どこかで「それって長野ネットが脆弱なだけジャン」という発言があったわ。それ自体に間違いはないの。ただここで問題なのは「脆弱にならないような設計図」を総務省がまったく出していないこと。彼らはただ「セキュアにすることが大切」と騒いで、その肝心な中身をまったく言及していないわ。

つまり「長野が脆弱であった」ことは確かだけど、それは「他県が安全である」という意味ではまったくないの。ううん、むしろ「同様の脆弱性が潜んでいる」可能性が十分にある、と考えたほうがいいわ。

あたしとしては、できれば長野県に「テストの方法と項目所一覧」を、役所内部限定でいいから公開していただきたいの。きちんと詳細なものをね。そして全ての市町村区都道府県でそのテストを行って、きちんとその結果を検証して、考えていただきたいの。そうすれば少しは状況も把握できようってモノだわ。


でも…まぁ望み薄ね。だって総務省の連中ったら無理解で無知で厚顔な上で保身しか考えていないんですもの。愛するもののために身を挺してでも守るってのが人間だわ。

ううん、総務省の連中が人間じゃない、って意味じゃないの。だって考えてみて御覧なさい? 彼らはちゃんと自分の利益(愛するもの)のために身を挺してでも(どんな厚顔な虚言を吐いてでも)守ろうと努力しているじゃない。

黄金は、汚物の万倍もきつい腐臭を漂わせるわ。そしてその腐臭にはハエがたかるの。万倍もタチの悪い、最低なハエが。そして、そんな連中が大手を振ってあたしたちの上で胡坐かいてるのよ?

*1:「ガラスの仮面」を熟読して頂戴

*2:後述の報告書のPDFからの引用

*3:物理的な減少がまったく発生しないからよ

hoshikuzuhoshikuzu 2004/03/04 02:03 がらかめは熟毒でした。ニキビ破裂です。

hoshikuzuhoshikuzu 2004/03/04 02:06 ところで緑色のカウンタックは極めてあぼーんなので【謎】、ここまで書いて突然がらかめの中の一シーンを思い出してしまいました。緑色っていいよなぁ。カツーンと舞台の上でゲタが響くんですよ。

LucreziaLucrezia 2004/03/08 13:03 あら。下駄の響く音、なつかしいわねぇ。あたしは花を「きゅっと」噛むしぐさが素敵だと思ったわ。

hoshikuzuhoshikuzu 2004/03/09 01:05 ううむ、、梅の木の精、、、僧侶か。。私は、、なれないなぁ

LucreziaLucrezia 2004/03/09 16:56 あら。足に鈴をつけて、それが鳴らないように歩くくらいは女のたしなみよ(笑

トラックバック - http://d.hatena.ne.jp/Lucrezia/20040302

2004-03-01

週明けのさわやかな月曜日だってのに、切り込むネタが多すぎるわ?

いくつかは後日に回しながら切り込んでいくわよ。いいわね?

まぁ予想通りの駄々漏れだったのね

Yahoo!BBのお話よ。

http://www.softbankbb.co.jp/press/2004/p0227_1.html

http://slashdot.jp/articles/04/02/27/1517243.shtml?topic=57

http://www.itmedia.co.jp/news/articles/0402/27/news071.html

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040227/140662/

http://internet.watch.impress.co.jp/cda/news/2004/02/27/2252.html

http://internet.watch.impress.co.jp/cda/news/2004/02/27/2257.html

どうかと思うわ。まぁ「大体一通り漏れてた」ってのは予想通りのお話なんですけれども。気になるのはこの辺かしら。

http://www.softbankbb.co.jp/press/2004/p0227_1.htmlより

しかしながら、クレジットカード番号や銀行口座番号、パスワード、取引実績などの信用情報の流出はありませんでした。

まぁこの文章自体は「ほんの少しだけ」ほっと出来そうな文章だわ。きっと書いた人間の意図もそうなんだろうと思うわ。でもね、ちょっとあたしには気になる部分があるの。

http://www.softbankbb.co.jp/press/2004/p0227_1.htmlより

1.お申し込み住所 2.氏名 3.電話番号 4.Eメールアドレス(お申し込み時) 

5.Yahoo! メールアドレスYahoo! JAPAN ID 6.お申し込み日


クレジットカード番号や銀行口座番号、パスワード、取引実績等の信用情報は入っておりませんでした。今回確認したデータは、信用情報が入っているデータベースとは別のデータベースからのものと判明いたしました。

*1

なんか書き方がとっても「問題のある情報は漏洩していません」ってないいっぷりなんですけれども。名前+住所+電話番号が漏洩している時点で切腹モノよ?

まして「どこから漏洩したか分からない」上に「どう情報が広がっているか分からない」以上、最悪「すでに裏では個人情報が売買されまくっている」可能性だって否定できないわ?

なにが「不幸中の幸い」なのかしら?

http://internet.watch.impress.co.jp/cda/news/2004/02/27/2257.html

2次流出の可能性については「絶対ないとは言い切れないが、現時点では判明していない」

ってのも温い見解だわ。2次流出なんて「あって当たり前」の観点で調査するべきではなくってかしら? この期に及んで「自分に都合のいい展開」を期待しているのね。

他にも突っ込むべき部分は色々あるんですけれども。まぁ孫同様「お安い餓鬼な」会社だったってことね。

己を省みるって言葉を知らない輩だわ

ACCSのお話。…正気かしら?

http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040227/140661/

http://slashdot.jp/articles/04/02/27/1456250.shtml?topic=73

http://www.itmedia.co.jp/lifestyle/articles/0402/27/news063.html

http://internet.watch.impress.co.jp/cda/news/2004/02/27/2250.html

http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040227/140661/より

ACCSは「被告が不正入手し,拡散させた個人情報の被害者へ謝罪するとともに,イベント参加者への個人情報の削除要請,インターネット上に個人情報が拡散していないかどうかのチェック作業,サーバー管理会社への対応,事故調査委員会の設置と開催など,業務上多大な影響を受けた」としている。今後このような行為を抑止するため,訴訟に踏み切った。

また同時に,ACCSでは,今回の提訴は「インターネット技術セキュリティ問題を指摘する行為を否定するものではない」としている。ただし,「今回,被告が『ぜい弱性の指摘』の名の下に行った行為は,セキュリティ技術保護する対象の1つである個人情報を不正に入手し,公衆に対してその手法と個人情報自体を公開するものであり,このような方法を断じて認めることはできない」コメントしている。

この辺は理解できるわ。つまり「個人情報を人前で晒した」事に対する問題。これは実際に多くの人が指摘していた部分だと思うの。どんな理由があったにせよ、これは裁判に踏み切らざるを得ないといってもよい大きな失点であることに間違いはないわ。

でもね、気になる部分もあるの。

http://www.itmedia.co.jp/lifestyle/articles/0402/27/news063.htmlより

賠償請求金額は、ACCS側が607万1000円(弁護士費用含む)、被害者一人あたり45万5400円の総額743万7200円。今後、調査の進展とともに原告が増える可能性がある。

ひとつ伺いたいんですけれども。年単位でセキュリティホールを放置して危険な状態のまま放置してたあんた達の責任はどこから追及していくのかしら?

http://www.mainichi.co.jp/digital/network/archive/200402/27/2.htmlより

同協会の久保田裕専務理事は「インターネット社会ではいったん流通した情報は2度と回収できない。情報流出で被害者の不安は大きい」と話している。

そうねぇ。確かに被害者達の不安は小さくないと思うわ? 社団法人のサイトにそんな大きなセキュリティホールが開きっぱなしになっていたんですもの。

そして当のご本人の記述よ。ちょっと多めに引用しておくわ。

http://www.askaccs.ne.jp/より

平成16年2月27日

社団法人コンピュータソフトウェア著作権協会

専務理事・事務局長 久保田 裕

社団法人コンピュータソフトウェア著作権協会は、当協会が運営するWebサイト著作権プライバシー相談室〜ASKACCS(アスクアックス)」に不正にアクセスしたこと、及び当協会の業務を妨害したことの容疑で逮捕された国立大学研究員男性(現在、不正アクセス禁止法違反で起訴、勾留中)に対し、個人情報を公開され被害を受けた3名とともに、昨日(2月26日)、損害賠償請求訴訟を東京地方裁判所に提起しました。

被告は、当協会のサイトASKACCS)に侵入し、約1200件の個人情報を入手したばかりでなく*2、昨年11月8日夜、渋谷で開催されたセキュリティ関係のイベントにおいて、参加者約250名の前で、ASKACCSへの不正アクセスの手法を公表しました。このとき、入手した約1200件の個人情報のうち数名の個人情報、及びASKACCSへの侵入手口などを示す資料を、自分で作成したパワーポイント資料(以下PPT資料)に貼り付け、大勢の参加者の前で上映してプレゼンテーションを行いました。

さらに、そのPPT資料をイベント主催者とともに、会場内で無線LANによるダウンロード可能な状態にして、会場内の参加者複数名に頒布し、個人情報を拡散させました。これらの被告の行為は、当協会の信用を毀損し*3、個人のプライバシーを侵害する重大な違法行為*4です。

当協会は、被告が不正入手し、拡散させた個人情報の被害者へ謝罪すると共に*5イベント参加者への個人情報の削除要請、インターネット上に個人情報が拡散していないかどうかのチェック作業*6サーバ管理会社への対応*7、事故調査委員会の設置*8と開催など、業務上多大な影響を受けています。

また、PPT資料については、1月28日になって、インターネット上の掲示板に掲載されていたことが判明しており、今後も個人情報インターネット上に流されるおそれがあります。

そこで、当協会は被害を受けている個人とも協議の上、今後このような行為が二度となされないように、被告に対して共同して訴訟提起することと致しました*9

以 上

突っ込みどころは脚注で入れてみたわ。


この辺をざっくり見てると分かることが一つあるの。

確かにofficeさんは少なくとも一つ、大きなミスを犯してるわ。ACCSのいいぶんを全面的に信用するならもう一つ問題があるの。

明らかなのは「個人情報を人前に晒したこと」であり、もう一つ、ACCSの言い分を信用するのであれば「連絡からクラック手法公開まで0dayであった」こと。セキュリティをチェックする人間としては、とても真摯にとらえなければいけない問題点だわ。

だから、その部分を持って「見せしめの意図を含めて」訴えるというのは、それはそれでありだとおもうの。どんなに奇麗事を言っても、やっぱり見せしめって効果が大きいわ? 必要であればとり得る手段の一つだと、あたしは思うの。

ただACCSの手口は見せしめだけじゃないわ。ここで「全部の責任を」のせつけて、自分達の責任から逃れようとしているわ。これは単に「生贄の羊」に仕立ててるだけよ?

生贄の羊は単純に「強者が弱者を食い物にしている」だけ。別にそれを悪いとはいわないわ。でもそれをやってしまったら「善意のハッカー」達の大半はきっと黙ってしまうわ。悪意あるクラッカーが「何も言わずに」情報を抜いて裏で売買をして。愚かな巨人達は自分が啄ばまれていることにも気づかずに堕落したまま黄金にしがみついて。そして一般人がその全てのわりを食うのよ?

そんな状況の先陣を切るのが社団法人の役目なのかしら? そんなことやってるから悪名が高くなるの。

「何も知らない一般人」を食い物にしてる連中には吐き気がするの。そういうのは悪っていわないの。カスっていうの。「ワル」はいいわ。時に法を無視する人たちには魅力を感じるのがあたしの感性。でも彼らには彼らなりの守るべき律があったの。ただ闇雲に暴れていたわけじゃないわ。

昔はたくさんのワルがいたわ。今はカスしかいない。寂しい時代だわ。

*1:元の文章は丸数字を使ってるんだけれど、そこはあたしが編集したわ。丸数字使うなんてどういう見解なのかしら?

*2:入手できるように放置したのはどなた様なのかしら?

*3:あら? 毀損できるほどの信用があるとでも思ってかしら? というか「信用に値しない」セキュリティホールの放置を行っていたのはどこのどなたかしら?

*4:そうねぇ。間違ってはいないわ。自分のことを棚にあげなければ

*5officeさん「以外の」もっと悪意のある人間のアクセスへの調査はどうなっているのかしら?

*6:責任の一部はあんた達にもあるわよねぇ?

*7:あんた達が本来やるべき職務じゃなくってかしら?

*8セキュリティホールが見つかればどのみち必要だったんじゃなくってかしら? もっともその前にセキュリティホールを「事前に」見つける部署が必要だと思うんですけれども

*9:如何にも「自分も被害者です」ヅラしてるわよねぇ。あんた達は加害者のカテゴリなのよ?

トラックバック - http://d.hatena.ne.jp/Lucrezia/20040301
 | 

楽しんでいただけたかしら?
いつか、あたしの事も楽しませてね

そうそう。最後に一つ。このPage、どうもIEで見るとインデントがおかしくなるみたいなのよねぇ。でも、あたしはOperaとFirefoxの人間ですし、そもこのテンプレートもはてなさんが用意してくださってるものなの。
インデントが汚いってかたは、ぜひあなたのその「汚いブラウザ」を乗り換えなさい。そうすれば見易くなってよ?
Connection: close