|
|
|
|
|
||
|
||
| << | 2012/05 | >> | ||||
| 日 | 月 | 火 | 水 | 木 | 金 | 土 |
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 | ||
http://www.itmedia.co.jp/news/articles/0507/26/news031.html
この和解は、脆弱性を放置しても責任を問われることは無いという、人類に大きな一歩をもたらしたと言えよう。
後にカカクメソッドに続く、歴史的偉業である。
http://www.itmedia.co.jp/lifestyle/articles/0402/27/news063.html
ACCSの久保田裕専務理事は、被害者への謝罪やサーバ管理会社への対応、
事故調査委員会の設置など業務に多大な影響を受けているとしたうえで、「被告の
行為は、当協会の信用を毀損し、個人のプライバシーを侵害する重大な違法行為」
と指摘する。「高度情報化社会では、一度流通してしまったものは戻せない。今後、
このような行為が二度となされないよう、被告に対して訴訟を提起することにした」
(久保田氏)。
被害者への謝罪・・・これは有り
サーバ管理会社への対応・・・教えてくれたんだからありがたいのでは?
事故調査委員会の設置・・・短期の対応を迫られたが、結局は脆弱性は直す必要があったんじゃない?
被告の行為は、当協会の信用を毀損し・・・(゜Д゜)ハァ? 信頼を失うような管理不行き届きは自業自得では?
脆弱性を利用された場合は、管理がずさんでも免責とされる日本である。
http://d.hatena.ne.jp/yjochi/20050708#1120782512
この事件でも、アクセス制御が十分だった、とは認定されていませんね。「アクセス制御がなかったとは言えない」として、「不十分」ながらアクセス制御があったという認定がされています。不十分ではあってもアクセス制御機能がある、それに対して「通常ではない」アクセスが行われる、それも「不正アクセス」であるというのが、先日の東京地裁判決でしょう。だからこそ、有罪認定になったはずです。
突き詰めていくと、FTPこそがアクセス制御で、最高のセキュリティを誇ってもFTPでメンテナンスしていなければ不十分なアクセス制御ってことになりそうです。
この矛盾をどう説明するのかと言いたいですが、控訴却下ですから、矛盾してようが
office=悪者、悪者は逮捕されるべし 最初からこういう図式しか無かったわけなのでしょう。
2005年07月07日16時33分
一方、中国人留学生の郁華容疑者(27)はカカクコムが集中攻撃される前の4月中旬と5月初旬に侵入していた。だが、少なくともこの時点では同社のサーバーは、利用者を特定の人に限り、部外者の侵入を防ぐ「アクセス制御機能」が不十分だった疑いが強いことが判明。不正アクセス禁止法の要件を満たさない可能性が高いと判断したという。
http://internet.watch.impress.co.jp/cda/news/2005/07/05/8279.html
http://itpro.nikkeibp.co.jp/free/NCC/NEWS/20050602/161996/
「なんだか危ないからサイトを閉鎖しよう」と言うのは簡単。だが,多くのユーザーや当社で店舗を運営している会社を考えると,おいそれとサイトを閉鎖するのは難しかった。さらに,すぐに閉鎖すれば,不正アクセスの犯人を調子づかせてしまうことにもなる。ただ,結果としては裏目に出てしまった点は否めない。
「調子づかせる」という言い方は分かりにくいが、BBSの荒し等の愉快犯を想定してのことだろう。運営者としてみれば閉鎖=利益取得機会逸失に繋がり、おいそれとできるものではない。その辺りの悩みを切実に語った上での反省の弁があるのは、CEOがマスコミに晒される中で身をもって学んだ後が窺える。
一方で、情報公開には未だ誤解がある。
半面,クラッカーの方は手口を知ってしまえば,すぐに攻撃をしかけられる。同じ情報を知った場合,企業とクラッカーでは対応時間が圧倒的にクラッカーに有利。だからこそ,情報公開について慎重にならざるを得なかった。
変ににクラッカーを恐れていないだろうか。
既知の脆弱性であれば、手口を公開したところで、対策漏れした企業より不正アクセスしようとしている側の方が情報の入手に関しては上である。カカクコム1社が隠したところで大した差はない。セキュリティパッチが出る前の対策のしようがないゼロディは別として。
セキュリティパッチが公開されている等で対策があるなら、この脆弱性を利用されたと公開すればよい。詳細に公表しなくても、対策を行なうことは可能である。
結局のところ、こういう誤解の図式だったのだろう。
カカクコムは最高のセキュリティを保っていた ↓ ↓ だからそれを破ったクラッカーの手口を模倣したら、カカクコムのセキュリティに及ばない企業は一網打尽だろう
ただ,同じセキュリティ会社から,セキュリティ対策のレベルは決して低かったわけではないと指摘された点も付け加えておきたい。だが実際に不正アクセスを許した以上,これまでの対策では甘い部分があった。
被害を受けた方々には心から謝罪し,今後も真摯にサポートしていきたい。それ以外のユーザーにも,再び信頼を損ねることがないようセキュリティ対策には相応の投資をして対応する。安心して利用してもらうための努力を継続していきたい。
真摯なサポートを期待する。
カカクメソッドという言葉を生み出してしまったCEOの迷言は残ってしまうだろうが、自分たちなりに考え抜いた様が見えてきているので、期待している。是非とも手本となって欲しい。
http://bakera.jp/hatomaru.aspx/ebi/topic/2324
極めて尤もな意見である。
そして、本質的であるが故に、解決できない問題でもある。
ダメな国会のダメな構成員たるダメな議員を選出してるのは、我々ダメな国民である。
結局のところ選挙は人気投票なので、衆愚を操った側の勝ちであり、票の数から言って高齢者には敵わないのである。
利益に直結する企業ですら対応が後手に廻り、上層への説得に苦労して個人情報保護法対策が・・・法施行後に対応がズレこんでいる現在・・・
絶賛漏洩中である。
判決が出たから、サイバーノーガード戦法は国家のお墨付きというわけだ。
不正アクセスされても過失を認めなければ、謝らなくても良いのである。
過失を確かめたかったら、NDA契約を結ばなければいけない、そんな新しい一歩を踏み出したカカクコムに続く会社が早速登場だ。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050527/161628/
OZmailのサイトを見るに手口の公表云々は無いため、日経ITProの記載からしか情報は無いが、事実だとしたら、凄いことである。
http://www.ozmall.co.jp/faq.html#q1
不正アクセスの手口については「ほぼ特定できているが,類似の不正アクセスを誘発しかねないため,侵入手口は公表しない」(スターツ出版)という。またセキュリティ対策については「過失はなかったと考えている」(同)としている。
不正アクセスされたってことは過失があったんじゃ無いですか。
も、も、もしかしてゼロディ・アタック??!
ゼロディならば不正アクセスを誘発し、ネット中のサイトは対策を行なえず、不正アクセスする側に有利となる。これなら公表を控える理由は分かる。
女性向けポータル・サイト「OZmall」が不正アクセスで一時閉鎖
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050526/161587/
スターツ出版が運営する女性向けポータル・サイト「OZmall」は5月26日,不正アクセスを受けサイトを一時閉鎖したことを明らかにした。 OZmallの会員は約35万人。被害状況は調査中だが,26日時点では個人情報を含む情報流出の痕跡は認められていないという。
スターツ出版によれば,5月25日の16時頃,何者かによる同社のサイトへの外部からの不アクセスを認識し「即座にサイトを外部からシャットダウン」(スターツ出版)した。同時にOZmallと携帯電話向けサイト「モバイルオズ」「OZの恋愛占い」を閉鎖した。現在,OZmallのトップページには一時閉鎖を報告するメッセージが掲載されている。
だってさ、
「即座にサイトを外部からシャットダウン」
したけど
個人情報を含む情報流出の痕跡は認められていない
だもの。
外部からシャットダウンしたら、どういう不正アクセスだったか分からないんじゃないですか。
即座に情報収集して切り離したとすれば、それは迅速な対応と言えるだろうけれど。
でも、せめて顧客の情報を預かる企業には説明責任があるんじゃないか?
少なくとも、Webには公開しなくても、自分の顧客には周知すべきであろう。
そうした務めを果たさない企業は、是非とも世にある他の非常識な企業達と同様に批判を浴びて業績を落としていってもらいたい。
判決から僅か2ヶ月である。
弁護団の北岡弘章弁護士は「有罪判決が決定すれば、脆弱性を指摘する技術者が減り、管理の甘いサイトが増えるだろう。不正アクセスと正当なアクセスの境界線も明確には示されず、不満が残る」などと話した。
技術者は、脆弱性を指摘したら逮捕されるので、指摘はできない。
指摘されないなら、確かめる術はないから、堂々と過失は無いと言い張れる。
価格.com不正アクセス事件、IPAは「第一報のみで詳細は把握していない」
http://internet.watch.impress.co.jp/cda/news/2005/05/26/7766.html
会見で穐田社長は、「今回の不正アクセスについては情報処理推進機構(IPA)に事態の報告を行なっており、IPAの側で今後の類似犯罪の防止につながると判断したものについては積極的に内容を公開していくと伺っている。直接的ではないにしても、こうした形で尽力していきたい」とIPAに協力する姿勢を強調した。しかし、IPAでは「事件が起こった早い段階で、不正アクセスを受けたという第一報は受けているが、不正アクセスの詳細については連絡を受けていない」という。
IPAの宮川さんも、びっくり慌てて出てくるわけだ。
この矛盾をどう説明するかも、今後の動向が注目だな。
http://bakera.jp/hatomaru.aspx/ebi/topic/2324
※そして別の意味では、不正アクセス禁止法の敗北でもあると思います。"IF" の話をしても仕方が無いことは分かっていますが、「もし」office さんが逮捕されていなかったら、私はおそらく SQL インジェクションができないかどうかチェックしていたでしょうから。
ITmediaより
http://www.itmedia.co.jp/news/articles/0505/25/news086.html
「過失はない」「地震のようなもの」――カカクコム、侵入手口明らかにせず
不正アクセスを受けて10日間閉鎖していた「価格.com」。不正アクセスの手口や、まるごと更新したというシステムの構成については一切明らかにしなかった。
「当社に過失はなかったが、詳細は明らかにできない」――カカクコムの穐田誉輝社長は5月25日、サイト再開後初めて会見を開いた。「価格.com」を一時閉鎖に追い込んだ不正アクセスの手口や、同社のセキュリティ対策の詳細などは「類似犯を防ぎ、捜査に協力するため」(穐田社長)として一切明かさなかった。記者からは「ある程度情報を開示してもらわないと、他社も対策を取りようがない」などと不満の声が漏れた。
流出したメールアドレス2万2511件の持ち主への補償は行わない。「自社内部の問題による情報流出ではなく、悪意の第三者からのハッキングによる情報詐取のため」(穐田社長)。代わりに、同社サイト上に被害サポートページを作成する予定。スパムメール対策などに関する情報を掲載し、メールなどで問い合わせを受け付ける。
出店店舗に対する補償は「個別相談で対応する」(穐田社長)。各店舗からは、不満や怒りの声よりは「大変ですね、頑張って欲しい」との激励が多かったという。「明日は我が身と思っていらっしゃるようだ」(穐田社長)。昨夜のサービス再開以降は「わりと順調なペースでユーザーは戻っている」(穐田社長)
「セキュリティ対策のお手本となる企業を目指す」と穐田社長
サイバーノーガードのお手本を目指すわけだ。
確かに、ここまでサイバーノーガード戦法を極めた企業は無いよ。
穐田社長、アンタ日本一だよ、世界に誇れるサイバーノーガード戦法だよ。
何しろ、ホームページにはお詫びの言葉が無い。
http://www.kakaku.com/info/200505/
http://www.kakaku.com/info/200505/rireki.html
お知らせと報告のみである。見上げた一部上場企業である。顧客の個人情報が漏洩しても、自分のせいで無いから責任無いと言い切るのである。
・最高のセキュリティと自称する
・不正アクセスの事実関係を公表しない
・個人には補償は応じない
・企業への補償は個別に応じる
言い換えるとこうだろう。
・俺は最高、俺がやっていることは間違いないんだから責任は無い
・俺がやっていることに文句をいう奴が出ないよう説明しない
・俺も被害者だ、管理に不備は無い、不備がないことは説明しないが泣き寝入りしろ
・俺の客には、こっそり相談には応じてやろう
こんな企業にIPAは協力する必要は微塵も無いのでは。
サイバーノーガード戦法をパワーアップさせた感じである。
何度も引き合いに出すが、PL法と同様である。
企業側が情報を出さず、許可無く利用者側が検査することが出来なかったらどうなる? という見本の最悪の一例かも知れない。
守秘義務を結んだら教えるというのでは、個々人に知る術は無いわけだ。
IPA 宮川です。
株式会社カカクコムからは、「不正アクセスを受けた」という被害の届出があり
ましたが、現時点ではその原因や対策については報告を受けておりません。
IPAへも報告が無いとは、我が道をまっしぐらである。
こうした事態にoffice氏の名前が上がるのは、
不正アクセス禁止法では企業は守れても個々人は守られないからである
無論、office氏への批判も上がっていて、危険を増した行為については批判は当然ではある。
自分たちの安全は自分達で確かめる、その術を不正アクセス禁止法で奪われているのである。
これは一見当然にも見えるが、価格comが許可すると、この記者会見の文面から思えるか?
https://www.netsecurity.ne.jp/1_2937.html
書いていたら、同じクロスカウンターネタを本家様が書いていた。
今回の事件に対して某大手サイトでは「4つのやりません宣言」を発表した。
・過失は認めません
・サイトからメールアドレスを漏洩してしまった被害者へは補償しません
・原因については公表しません
これでも、こんなサイトでも、我々は確かめる術が無い。
一部の報道ではSQLインジェクションとも言われ、まさしくoffice氏が警鐘を鳴らしてきたWebの脆弱性である。
でも、でも、我々は、
最高のセキュリティで守っていたのだから、漏洩しても責任は取らない
最高のセキュリティがどういうものか説明するつもりは無い
と言われればお終いなのである。
NDAは、例年通りの雛形があれば1週間、初回契約で法務部チェックを行なえば1ヶ月かかるような代物である。
このブログは逮捕当時、テレビ、新聞報道が恣意的なものであったこと、事件当日の情報等が少なかったり誤解を招くものが多かったことから始めました。
当初は好意的な書き込みも多く、また反対意見であっても貴重な意見として伺って参りましたが、
・言葉尻を取っただけの書き込み(言葉を荒げる必要がない内容にも拘わらず)
・煽り
も増えてきました。
そんな者に場を提供する気はありません。
その中、事件に至るまでの、インターネットのセキュリティに古くから携わってきた方の意見は出ないかと
見守って参りましたが、有用な形では殆ど出てきませんでした。
(OLDMAN様の書き込みは感謝しています、確かに危ないネタを披露する風潮は昔あったものの、晒すようなことはしていませんでした)
よって、コメントは制限いたします。
ハンドルも、匿名は構わないのですが、余りに刹那なハンドルが多すぎました。
誰が誰を指しているのか分かりませんでした。
アンテナを張ってくださっている方も多く、このBlogは無意味ではなかったと感じており、Blog自体は続けて参ります。
彼の業績を辿ってみています。
バッシングされやすいキャラクターは主に2chのAAからの印象が強いと考えております。
当人の顔は確かにAA通りのインパクト(失礼)がありますが、ハンドル名での活動が主ゆえ、主に2chのA.D.200Xのスレでネタにされる特定キャラとしてのイメージが強いように感じます。コピペによる荒しで同じネタが延々繰り返される上に、AA化されているため、単なる掲示板荒し用のキャラクター化されていました。
当人の講演自体はそう多くなく、A.D.200X及び@randomくらいでしか直接見る機会はありませんでした。(僅かに計6回とA.D.2003の前日の宴会くらい)
<security-talk ML>
発言は著名な方が多く、発言者同士で互いの意見を尊重するような書き方で議論、情報交換が進んでいた。今見ると非常に良質で、情報量で圧倒するセキュmemoに対し、良い議論の場となっていた。
<Tea Room for Conference>
office氏の掲示板。office氏のサイトは彼の記したコンテンツや仲間のPPが置かれていたが、メインとしてはこの掲示板となっていた。
書き込みをしていた方は特定の方が多かったが、多少癖があるものの、XSSの検証あたりでは注目に値する成果を出していた。カジュアルな議論がなされており、掘り下げた話題を気軽に行なうには最も適した掲示板であった。
そういうところへ参加したことのどこが「■ Web上での主な業績」になるのでしょうか? お手数ですが説明をお願いします。
彼がバッシングされやすいのは彼自身の発言故でしょう
でなければそもそも2chでネタになりようがないですね
法的にも社会的にも糾弾されているというのに
開き直って反省の態度も示さないというそのメンタリティに起因するものだと
思われます。自ら望んで破滅に向かうアフォが人に馬鹿にされるのはある意味
仕方のないことだとおもうのです。