OfficeLoveの日記

ウルフ金串もビックリである。

ウルフ金串に練習台にされたチビッコも浮かばれない。

■ 「水無月ばけらのえび日記」より

http://bakera.jp/hatomaru.aspx/ebi/topic/2324

※そして別の意味では、不正アクセス禁止法の敗北でもあると思います。"IF" の話をしても仕方が無いことは分かっていますが、「もし」office さんが逮捕されていなかったら、私はおそらく SQL インジェクションができないかどうかチェックしていたでしょうから。

■ スラドのコメントも盛り上がっている。

http://slashdot.jp/comments.pl?sid=257337&cid=740189

■ 「過失はない」「地震のようなもの」――カカクコム、侵入手口明らかにせず

ITmediaより

http://www.itmedia.co.jp/news/articles/0505/25/news086.html

「過失はない」「地震のようなもの」――カカクコム、侵入手口明らかにせず

不正アクセスを受けて10日間閉鎖していた「価格.com」。不正アクセスの手口や、まるごと更新したというシステムの構成については一切明らかにしなかった。

　「当社に過失はなかったが、詳細は明らかにできない」――カカクコムの穐田誉輝社長は5月25日、サイト再開後初めて会見を開いた。「価格.com」を一時閉鎖に追い込んだ不正アクセスの手口や、同社のセキュリティ対策の詳細などは「類似犯を防ぎ、捜査に協力するため」（穐田社長）として一切明かさなかった。記者からは「ある程度情報を開示してもらわないと、他社も対策を取りようがない」などと不満の声が漏れた。

流出したメールアドレス2万2511件の持ち主への補償は行わない。「自社内部の問題による情報流出ではなく、悪意の第三者からのハッキングによる情報詐取のため」（穐田社長）。代わりに、同社サイト上に被害サポートページを作成する予定。スパムメール対策などに関する情報を掲載し、メールなどで問い合わせを受け付ける。

　出店店舗に対する補償は「個別相談で対応する」（穐田社長）。各店舗からは、不満や怒りの声よりは「大変ですね、頑張って欲しい」との激励が多かったという。「明日は我が身と思っていらっしゃるようだ」（穐田社長）。昨夜のサービス再開以降は「わりと順調なペースでユーザーは戻っている」（穐田社長）

写真に付けられたコメントが凄い。

「セキュリティ対策のお手本となる企業を目指す」と穐田社長

サイバーノーガードのお手本を目指すわけだ。

確かに、ここまでサイバーノーガード戦法を極めた企業は無いよ。

穐田社長、アンタ日本一だよ、世界に誇れるサイバーノーガード戦法だよ。

何しろ、ホームページにはお詫びの言葉が無い。

http://www.kakaku.com/info/200505/

http://www.kakaku.com/info/200505/rireki.html

お知らせと報告のみである。見上げた一部上場企業である。顧客の個人情報が漏洩しても、自分のせいで無いから責任無いと言い切るのである。

■ まとめるとこういうことだ

・最高のセキュリティと自称する

・不正アクセスの事実関係を公表しない

・個人には補償は応じない

・企業への補償は個別に応じる

言い換えるとこうだろう。

・俺は最高、俺がやっていることは間違いないんだから責任は無い

・俺がやっていることに文句をいう奴が出ないよう説明しない

・俺も被害者だ、管理に不備は無い、不備がないことは説明しないが泣き寝入りしろ

・俺の客には、こっそり相談には応じてやろう

こんな企業にIPAは協力する必要は微塵も無いのでは。

サイバーノーガード戦法をパワーアップさせた感じである。

何度も引き合いに出すが、PL法と同様である。

企業側が情報を出さず、許可無く利用者側が検査することが出来なかったらどうなる？
という見本の最悪の一例かも知れない。

守秘義務を結んだら教えるというのでは、個々人に知る術は無いわけだ。

セキュメモMLの投稿から凄いことが判明した。

IPA 宮川です。

株式会社カカクコムからは、「不正アクセスを受けた」という被害の届出があり

ましたが、現時点ではその原因や対策については報告を受けておりません。

IPAへも報告が無いとは、我が道をまっしぐらである。

こうした事態にoffice氏の名前が上がるのは、

不正アクセス禁止法では企業は守れても個々人は守られないからである

無論、office氏への批判も上がっていて、危険を増した行為については批判は当然ではある。

自分たちの安全は自分達で確かめる、その術を不正アクセス禁止法で奪われているのである。

許可を得なければ勝手に検査するな

これは一見当然にも見えるが、価格comが許可すると、この記者会見の文面から思えるか？

■ 05月26日 大手サイトの「４つのやりません宣言」　サイバーノーガード戦法を超えた必殺のサイバークロスカウンター！

https://www.netsecurity.ne.jp/1_2937.html

書いていたら、同じクロスカウンターネタを本家様が書いていた。

今回の事件に対して某大手サイトでは「４つのやりません宣言」を発表した。

　・過失は認めません

　・サイトを見てウイルス感染した被害者へは補償しません

　・サイトからメールアドレスを漏洩してしまった被害者へは補償しません

　・原因については公表しません

これでも、こんなサイトでも、我々は確かめる術が無い。

一部の報道ではSQLインジェクションとも言われ、まさしくoffice氏が警鐘を鳴らしてきたWebの脆弱性である。

でも、でも、我々は、

最高のセキュリティで守っていたのだから、漏洩しても責任は取らない

最高のセキュリティがどういうものか説明するつもりは無い

と言われればお終いなのである。

一部MLでNDA結べばのNDAで議論が起きている。

NDAは、例年通りの雛形があれば１週間、初回契約で法務部チェックを行なえば１ヶ月かかるような代物である。

まして社会的に被害拡大の影響があるNDAである。簡単に結べると思えないし、簡単に結べたら問題大ありである。