| 

2004-2-5 Thursday 練馬

[] やまのあなたのそらとおく 01:44

  • 前提

どこまでを個人情報とするのかいまだに判然としないのだが、ここでは“公開されたくない個人的な情報”という定義のもとに話を進めることにする。すなわち、名前はもちろん生年月日も知られたくないというヒトがいれば、当然「氏名」も「生年月日」も守られるべき個人情報ということになる。また、名前はいいけど顔出しは不可、ということであれば「名前」も「生年月日」も「顔」も個人情報ということにする。
要は“そのヒト本人”を特定し得る要素であると“そのヒト本人”が考えるすべてを、守るべき個人情報とする。

ここまではwell definedですね。

[] さいわいすむとひとのいう 01:50

  • おさらい

2003年11月9日(日曜日)、東京渋谷でA.D.200X主催のA.D.2003が開催された。
A.D.200Xとは“Attack and Defense 200X”の略であり、インターネット上で繰り広げられている攻防に関するさまざまな情報を、その両面から検証/検討しているIT従事者と広く共有し、よりセキュアな環境を構築するための一助となることを目指し、ボランタリーベースで活動を行なってきた非営利団体。
彼らの2003年度の研究/検証発表会的位置づけのカンファレンスがA.D.2003。

カンファレンス自体の詳細は本ディレクトリの2003年11月9日付けのコンテンツを参照のこと。

セッションは40分枠と5分枠の2タイプが用意されていて、5分枠はいわば宴会芸的一発ネタが中心。もちろん、だからといって5分枠に技術的/学術的要素がないかと言うとそんなことはない。きちんとした技術や考察のない一発芸はA.D.200Xのカンファレンスにおいてはありえない。
このカンファレンスにおいて行なわれたofficeによる「WebアプリケーションExploit例」が、今回のドタバタ劇の発端である。

officeのセッションでは、社団法人コンピュータソフトウェア著作権協会(以降ACCS)のサイト(=http://www.askaccs.ne.jp/)が有している脆弱性とその検証方法、さらに検証による結果が提示された。

セッションの本質は、

デジタル時代の情報モラルを考える」と謳っているACCSが、(イ
ンターネットを基本インフラとするユーザーにしてみれば)タコな
アプリケーションを使用していたがために、収集していた相談者の
個人情報を全然関係のない第三者が「ぜーんぶまるっと」取得可能
な状態においていることの腰の抜け具合を黒く笑う

という、5分枠とは言え、良識のある方々から見ればいささか品のない“ネタ”ではあった*1

従来ならば、脆弱性を発見した場合、まず該当サーバー管理者に通達し対策を依頼し、3ヶ月以上経過して脆弱性放置されたまま音沙汰がなければ公開に踏み切る、というステップを踏むのがofficeのパターンだった。ただしこのフローは明示的に確立されたものではない。というか、そういうフロー自体が構築されていないのが現状だ。とはいえ、だからといって「あ。脆弱性みーっけ。みなさーん……」というのは、あまりにもダメダメである。ところがそのダメダメをやってしまった。つまり、ACCS脆弱性の指摘がなされる前にネタにしてしまったのだ。しかもこれまでのように事前調査を注意深く行なっていれば、ACCSサイトファーストサーバ株式会社(=http://www.firstserver.ne.jp/)のホスティングサーバーであることはすぐにわかったはずだし、それはすなわち、ACCSだけではなくファーストサーバ株式会社へも脆弱性の通告を行なう必要性も自ずとわかったはずだ。

このような調査/通告、さらには脆弱性の危険性が回避されるまでのタイムラグを考慮した上で、ネタは披露されるべきであったのだが、それらをすべてすっ飛ばしてしまったわけだ。

[非常に重要な追記]2004/02/25
上記文中の最後の段落において誤認識があったので訂正します。
officeが管理している掲示板(=http://www.office.ac/tearoom/noframe.cgi?)において、11月25日付けで謝罪文が掲載されていますが、それを仔細に読めばわかるように、彼は、

  • ファーストサーバーのCGI脆弱性を有していることを
  • 2003年7月25日に発見し
  • 製作者が森川さんであること
  • 広範囲に使われているCGIであること

を確認しています。
その使用会社の中にASKACCSがあり、森川さんとも連絡を取り合っていたこともわかります(2003年11月10日の段階で音信不通になったようですが)。すなわち、「あ、脆弱性みーっけ。みなさーん……」ではなく、officeならではの通常のパターンを踏んだ後にA.D.2003での公開、という流れになります。大変失礼いたしました。

  • 不運の連鎖

さらにボランタリーベースで運営されていたがための不運が重なる。プレゼン資料が会場に設置されたサーバーにアップされ、オーディエンスがそれを持ち帰ることが可能だったことだ。

この件はボランタリーベースとはいえイベント運営上の不備であった。また、それを誘発するようないわゆる“馴れあい感”もあったかもしれない。A.D.200Xの発表によると、連絡不十分の一語に尽きるのだが。また、“セキュリティ”に関するカンファレンスであるにも関わらず、officeの発表を静止あるいは中断させることも(まあ、5分間のセッションを途中で中止することなど不可能に近いのだけれど)、サーバーに置かれたプレゼン資料を削除することまで気が回らなかったのはイタイ失点だった。

その上、セキュリティに関するカンファレンスに集まったオーディエンスであるにも関わらず、その資料を後生大事にHDDに保存していたカスも混ざっていた、という不運も重なる。

ここまでの状況を、なーんにも知らない人にかいつまんで語ると、以下のようになる。

これではただの愉快犯でしかない。しかし、ただの愉快犯であると思わせるには十分の内容であり、かつ、微妙に異なりはするがまるっきりのウソではない。エサとしては実においしい香りのするエサである。

[] ああわれひとととめゆきて 01:50

  • 劇的ビフォア・アフター

おそらくACCSにとっては寝耳に水のできごとだったろう。それだけに事態収拾に向けて迅速な行動をとった点は高く評価できると思う。ただしこの感想は当時の感想で、今は実はちょっと違う(後述)。同時にホストサーバーを運営し、タコなCGI放置したままうやむやなバージョンアップ情報しかユーザーに配信しなかったファーストサーバ株式会社からのアナウンスが一言くらいあってしかるべきだと思われるが、これもどこにもない。

もし、本質的な意味で加害者がいるとすれば、個人情報を垂れ流すようなCGIをリリースしていたベンダーこそ加害者であるはずだ。なぜなら、垂れ流された個人情報の主が被害者なのだから。微妙な言い回しをするが、officeのプレゼンはトリガであったにすぎない。(結果的に)愉快犯じみた状態でそれを公表してしまったものの、その手法はなかば古典的ともいえる方法なのだから、遅かれ早かれoffice以外の誰かがやってい{た|る}といえなくはない*2

一方でofficeに発表の場を与えることになってしまったA.D.200Xからのアナウンスは、なぜか非常に遅かった。これは何事かが舞台裏で進展していたからに相違ないのだが、直接関わりのない人々にとっては、そんなことは知ったこっちゃないわけで、実際11月のACCSの動きと連動してアナウンスがなされるのが普通の動きだったろう。そのあたりの情報が出てくるのは2004年1月の朝日新聞の報道を待たなければならない。

2004年1月の朝日新聞の報道は、2ヶ月前のネタの焼き直しでしかない。まずなによりもこれが一番解せなかった*3。さらに当時、このネタで警察が動くとは、とても思えなかった。「office2月逮捕説」がまことしやかに流れていたが、そんなのあり得ないと思っていたのだ。むしろ、古賀代議士の学歴詐称と同様、ニュース枯れの時期、どう報道してもネガティブキャンペーンにしかならない自衛隊派兵問題を薄くするための方策としか取れなかったのだ。

実際問題として、ネット上で自衛隊派兵よりはofficeネタを議論する方が“トレンド”となってしまったわけだし、テレビでは連日連夜、古賀代議士が泣いたの喋ったの雲隠れしたので大騒ぎになったわけで。

テレビでは古賀代議士を、ネットではofficeを、というのは考え過ぎか?

その流れを加速させたのは2ちゃんねるで4人分の情報の流出だった。セキュリティカンファレンスに集まるのが、必ずしもセキュリティに対して意識の高いユーザーばかりではなく、単なる愉快犯も紛れ込むことが証明されたわけだけれど、しかしこれはofficeの咎でもA.D.200Xの咎でもない。イベントの来場者を誰がどうやって選別できよう。ましてや、「お願い」に反する行為を平気で行なえるカスを選別するなんて、そんなの神さまだって不可能だ*4

不運は多重に連鎖し、結果的に2ちゃんねるで4人分の情報は流れ出し、officeは逮捕され、その顔や履歴や番地まで含む住所といった個人情報は世間にばらまかれることになる。

[] なみださしぐみかえりきぬ 01:50

  • 基本的なこと

ところで、脆弱性をもったCGIはなぜ危険なのか。カンタンな話で、あなたの個人情報がまるっと第三者に渡るからである。個人情報が第三者の手に渡るとどうなるか。その情報をもとに、たとえばより高度な(信憑性の高い)オレオレ詐欺や振り込み金貸、あるいは保険の偽装やなりすまし詐欺カード偽造などを行なうことが可能になる。その被害は個人情報を使用されたユーザーにかかるだけで、CGIの設置者や製作者は痛くも痒くもない。

じゃあ、その脆弱性は誰が発見するのか。今回のofficeの逮捕で一番影響が出るのがここだ。脆弱性は発見されるのを待っている。だが、その発見者が善意の第三者でない限り、脆弱性は温存され、情報は抜かれっぱなしとなる。いわゆる“だだ洩れ”状態だ。officeを筆頭とする他の何人かは、ユーザーの情報が洩れる可能性があることを指摘し続けている。それが否定されると、要は「どんなタコなCGIでもそのままいじるな」と宣言されるに等しい。これ、ユーザーの個人情報なんて、どうってことないと言ってるのと同義だ。すなわち、「あぶないところには市井の人々を送り込め」という自衛隊海外派兵と通底した思想が見えて来る。まあ、昔からどこの国でもそんなもんだけど。あるいは、ストーカーは人死にが出るまでは野放しにしとけ、というのと同義。あ。こっちのほうがわかりやすいね。内部/外部を問わず、個人情報が流出して以降が捜査の対象になるわけで。ただもう最近は人死にが出てもなかなか動かないけどねえ。

つか、だいたいがofficeにしろ某にしろ、そんなすごいワザを使って脆弱性を発見してるわけじゃない。IEとかのアドレスボックスに表示されるURIをちょいと書き換えてエンターキーを押すのと変わりはない。注意して見ていればある程度のカラクリは自明なんだ。もしofficeがこれまでやってきたことを全部否定するのであれば、それは脆弱性の発見とか言う以前に、“科学する心”を持つなということに等しい。IEURIを偽造するような仕掛けのしてあるサイトに飛んで、なんか不自然なふくらみ表示であったとしても、それは疑うな、ということに等しい。officeがやってきたことを否定するのは、それくらいのインパクトがある。

同時に、これも問題なんだけど、じゃあ、脆弱性を発見したらどうすればいいのか、というフローがどこにも明文化されて存在していないことなんだよね。誰に言えばいいんだ? このCGIはどうもおかしいという話を。マイクロソフトの製品ならマイクロソフトに言えばいいい。オラクルの製品ならオラクルに言えばいい。サンの製品ならサンに言えばいい。彼らはそのプロダクトでお金を稼いでいるんだから当然だ。

じゃあCGIは? 話の流れからすればCGIを作ったベンダーだろう。でもベンダーの名前はなかなか見えない。ACCSのくだんのサイトがファーストサーバ株式会社のものだということは調べないとわからない*5。同時に、そのCGIを含むサイトを運営している人にとって、タコなCGIであればそれはサイト全体の脅威となる可能性があるんだから、運営者にも連絡したほうがいい。

でもofficeのやってきたことを完全に否定すると、それもやってはいけないことになる。話を広げれば、A.D.200Xがやってきたことを完全に否定するということは、PC上で決して少なくはない“脆弱性”を指摘する方法や指摘するだけのスキルを、誰とも共有できないことになる。誰とも共有できないということは、それを悪用しようとするユーザーに対抗できないということだ。

話が日本の中だけなら、それでもいいかもしれない。臭い物には蓋をして、万事なあなあで済ますことはお手のものだからね。でも、インターネット日本だけで完結しているわけじゃない。海外から脆弱性を突かれて個人情報をごっそり抜かれ、それが日本に還流したら、それはどうすれば防衛できるんだろう。もしかするとごっそり抜くのではなく善意のガイジンで、「オマイラ ノ さいと ニハ あな ガ アリマス」というメールを送って来るかもしれない。それにはどう対処するんだろう。CGIの再構築のためにサイトを閉めて、「この腐れ毛唐がぁ、貴様、威力業務妨害だぞ!シット」と言うのだろうか。言うんだろうね、今の流れだと。

欠点を指摘されるのは誰だってイヤだ。おれだってイヤだ。誤字脱字勘違いによる記述を指摘されるのは恥ずかしい。でも、欠点は欠点なんだから素直に聞き入れて、対処するのがオトナとして、ヒトとして当然の姿勢だと思う。そういう思いを前提にして話を進めると、ホントはフローなんて要らないはずなんだ。

「ここをこうするとあなたんとこの情報がだだ洩れになりますよ」

「あぁ、それはお恥ずかしい次第でございます。確認して修正させていただきます」

なんでこれができないんだろう。というか、させてくれないんだろう。

「えー、ユーザーのみなさん。大変恐縮ですが、うちのサイトCGIに穴がありまして、情報が流出する危険性がございました。申し訳ない。もろもろ確認作業中ですので、今しばらくお待ち下さい」

と言えるのがオトナなんじゃないか(まあ、話はそうカンタンではないことは重々承知している)。

ところで、話には出てこないけれど、本当の主役は誰なんだろう。もしかすると、Webで爆発しているこのネタのことすら知らない、ふつーにインターネットを利用しているユーザーなんじゃないか。一番危険な状態にあるのは、そういうフツーのユーザーなんじゃないか?

科学する心なんてどーでもいい、オープンソースとか“プログラムはなぜ動くか”とか.NETとか、そんなものは埓外で、メールや30分くらいWebサイトをくるくるして、ショッピングサイトサーバーダウンしてると「あー、今日はお休みかい」くらいのユーザーが主人公なんじゃないか?

彼らを守れずに著作権なんてあり得ないでしょ。CGIベンダーですなんてどの面下げて言うんだろう。悪いのはCGI脆弱性を指摘する一部のユーザーです、なんて臍でお茶をわかしますよ。飲まないけど。

大半のメディアの報道は、ホントに情けなくなるくらい、デタラメだった。そんなことはおれが言わなくたって、みんな知ってると思う。知らないのはIT立国を標榜する国のメディアだけだ。でも、おそらくわれわれがこういうコンテンツをそこかしこに残したところでメディアは無視するだろう。なぜなら彼らにとってインターネットは現実じゃないからだ。彼らにとっての現実は、個人情報ではなく、個人とその顔でしかない。そして悲しいことに、そういう報道でなければ納得しないのがIT立国の国民なのだ。臍でお茶をわかしますよ。飲まないけど。

なにしろ“個人情報”の流出を大々的に取り上げたマスメディアが、ほかならぬ“個人情報”をだだ洩れにしていたことを忘れないようにしよう。なにかというとモザイクをかけたり音声を替えて人権擁護を謳う、あのマスメディアが。

officeの個人情報を流すことが、4名分の個人情報の回収に役に立つのだったら、それはいたしかたないかもしれない。で、4名の個人情報保護・回収できたのだろうか。というより、2ちゃんねるにアップしたただの愉快犯は、それによって抑止されるのだろうか。

おそらくNOだろう。

だって、おれが厨房だったら、これだけ世間を賑わせている事件のデータは、なんとしても入手したいと思うもんね。田舎者はとくにそう思うだろうな。なんかそういうデータを持っているとハッカーつぅんすか? そういう雰囲気が味わえるもんね。

もちろんこれはレトリックで、その拡散要因を生んだofficeのセッションがなければもともとこういう事態には陥らなかったはずだ、という反論があるだろう。

そこでもう一度振り出しに戻る。

officeがやったことは褒められることではない。不運を加速させた場の主宰者A.D.200Xにも落度はあった。

だが、それによって彼らが指向していた“情報の共有とセキュアな環境の構築”まで否定するべきではない。

ヌエのような“個人情報”を扱うことが、どれくらい細心の注意を必要かということをofficeは身を持って味わっただろう。A.D.200Xもさまざまなリスクに目を向けなければならないことを知ったはずだ。だとしたら、もう一度、山積している未設定のフローや未着手の分野も含めて、ITと個人のセキュアな関係を探すべきではないのか。このままofficeやA.D.200Xにすべての咎を負わせて、わけのわからんマスメディアとダーティハックよりも質の低いパッチ処理みたいな法に委ねることが、本当にわれわれが望んでいる社会なのか、もう一度考えた方がよい。

それは当然、こんな糞のようなテキストを公開して悦に入っている、タコCGI制作会社も含めてだ。

規制だらけのつまらない社会しか築けないテクノロジーの、なにが楽しいんだ?

[][] バックステージ 01:50

実はofficeの逮捕前々日に日本テレビの報道を名乗る女性から電話がかかってきている。おそらくofficeと関連のある編集部には同様の電話があったと思われるのだが、身辺にわかに慌ただしい、という状態にあった。これ、どう考えても、おかしいのだ。11月にイベントが開催され、1月に朝日新聞の一面トップに記事が掲載され、2月に2ちゃんねるで2次流出が起こって、テレビ局がバタバタ動き、その数日後に逮捕。ちょっとできすぎじゃ、ござんせんか?

非常にうがった見方として、たとえば47氏を検挙した京都府警の御膝元から、東京警察庁が(大物っぽい風情の)officeを挙げることで威信回復とハイテクにも強いぞアピールを行ないたかった。しかも年度末だし。とか。なんつったってLogの山とかHDDの押収とかしなくたって犯人は特定できてるし、朝方に2人くらいで玄関に立てば連行なんかカンタンだし。

でもそれだとテレビ局の動きが理解できない。朝日新聞ならテレビ朝日だろうというのは、シロウト考えなのか? おれがザテレビジョンにいたころとは、時代はもちろん局の住所まで異なっているから、もうそのころの常識は通用しないのかもしれない。

じゃあ、世の中に出回っているタコCGI製造組合が黒幕か? シロウト相手に高額な値付けで導入させて、サポートだのメンテナンスだので金儲けしているベンダーが「うるせーこと言う奴はofficeみたいにあげるぞゴルァ」という恫喝も込めて画策したとか? オープンソースとかいっといたって、どうせユーザーにはソースなんて読めないんだから、この程度でいいんだよ的なノリで作ったCGIと、アクセスしてきたユーザー情報は、まあいずれ何かに使うかもしれないからいっぱい入力させとこうよ、大は小を兼ねるって言うし、ユーザーにはプロファイルとして利用することでよりよいサービス提供(製品作り)のために活用しますとか言っときゃいいじゃんというプロバイダの思惑が、市場形成IT促進という名のもとに合致した結果とか?

たしかにおれの周辺にもofficeの逮捕を喜びそうなベンダーはいくつかある。とくに名は秘すが、おまいらのことでございます。ただ、そんな面倒なことを多忙な彼らがするか? しねーだろうなあ。

当初、おれはホントにただのチンカスが走り回っているだけだと思っていた(まあ、今もそう思っている)。でもとりあえずメディアを動かしちゃったんだから、単なるチンカスじゃないんじゃないかなとも思う。

このへん、歯切れが悪くて申し訳ないんだけど、ホントによくわからないんだよね。わかるのは日本テレビの報道を名乗る女性が「えーでぃーにひゃくえっくす」と言ったことで、要はろくな下準備もせずに電話をかけてきた、言葉は悪いが脳味噌の皺が一般人より少ない人だろう、ということくらいだ。まあ、お茶汲みレベルの下っ端局員だろう思うが、それにしても関係者向けの取材に、そのレベルの局員を出さなければならないほど、日本テレビの報道は人的リソースが少ないんかい? んなこたー、ないだろう。でも、これが報道専門の外注ダクションだとしたら、チンカスが食い込むことは十分に可能だ。このところ目立ったスクープを取れていない日本テレビならないわけではない(てゆうか、帰社時の高速道路で車が炎上しているのを見つけて、さも大スクープのように報道したときは、情けなくて涙が出たぞ、日テレ)。

あとさー、ACCSのお詫びのページ。時間軸にしたがって、もう一度ゆっくり熟読玩味して欲しい。なんか当初のニュアンスから、どんどん威丈高になってないか? もとはといえば、ACCSサイトが不必要なほどの個人情報を入力させてたからだろうが、とか思わず反論したくなりませんかね。最新のアナウンスなんて。

それと警察。officeを挙げた以上、国土地理院の個人情報流出犯人も、YahooBB個人情報流出犯人も、きっちり検挙しろよな。迷宮入りになんてするなよな。最近検挙率下がってんだから、がんがれよ。

*1:これは個人的な感想だけれど、長年、個人情報がだだ洩れになっているCGIの欠陥を善意から指摘し、白眼視されることはあっても感謝されることのない作業を繰り返してきたofficeにとってみれば、黒く笑わなければバランスが取れなくなるところだったのかもしれない。でも、それが隙を生んだ

*2:だからといってofficeの行動が正当化されるわけではもちろんない

*3スパムメールも許容する寛大かつ偏屈なMLを運営する某コミュニティの顔役は、首をひねる我々に首をひねっていたようだが

*4:そんなことはないか

*5:だから調べることが重要

AIDOAIDO 2004/02/07 01:48 2chという分かりやすい構図にUpされたことも非常に気持ち悪いです。何故この時期に、何故2chだと。

のむらのむら 2004/02/09 01:31 ご無沙汰してます(って、ちゃんとしたご挨拶はまだだったかも)。2chが侮れないのは、大事なネタを拡散させずに纏め上げるユーザーが必ず出てくることだと思っています。なので、それほど恣意的な要素は少ないような気がしますが、いかがでしょうか。タイミングはある種バッチリだったですけどね ;-)

toritori 2004/02/24 01:52 ダダ漏れている当事者そっちのけで晒す行為が「善意から指摘」だといって、信じてもらえるのでしょうか。

のむらのむら 2004/02/25 12:08 この場合の“当事者”は、晒された4名の方々を指していると認識して回答します。
もちろん、「善意からの指摘」なんて言われても、信じてもらえないかもしれません。おそらくウロンな目で見られることでしょう。したがってofficeさんが(抽選で選ばれたとはいえ)公衆の面前で(結果的に)4名分のデータを表示してしまったのは文中でも述べているように許される行為だとは思っていません。一方で、officeさんは7月25日にcgiの欠陥を発見しています(これは追記せんといかんな)。その旨はcgi製作者の森川さんや、該当cgiを設置している会社(ACCSやみずほ銀行(!?))に通知しています。その後、A.D.2003が開催されてもなお、脆弱性を内包した設置したままの会社があったわけですが、こちらに対する世間の目はそれほど厳しくないのはなぜなのでしょうか。指摘されてもなお、「(情報が)ダダ漏れている当事者そっちのけで晒」したままの行為は、許容されるのでしょうか。

 |