Re: ネットの脆弱さに警鐘

From(投稿者):	yas@is.tsukuba.ac.jp (Yasushi Shinjo)
Newsgroups(投稿グループ):	fj.comp.security
Subject(見出し):	Re: ネットの脆弱さに警鐘
Date(投稿日時):	04 Jan 2004 16:02:30 GMT
Organization(所属):	Institute of Information Sciences and Electronics, University of Tsukuba
References(祖先記事, 一番最後が直親):	(G) <040104131121.M0105596@ns.kobe1995.net>
Message-ID(記事識別符号):	(G) <YAS.04Jan5010230@kirk.is.tsukuba.ac.jp>
Followuped-by(子記事):	(G) <040106112422.M0117804@ns.kobe1995.net>

From(投稿者):

yas@is.tsukuba.ac.jp (Yasushi Shinjo)

Newsgroups(投稿グループ):

fj.comp.security

Subject(見出し):

Re: ネットの脆弱さに警鐘

Date(投稿日時):

04 Jan 2004 16:02:30 GMT

Organization(所属):

Institute of Information Sciences and Electronics, University of Tsukuba

References(祖先記事, 一番最後が直親):

(G) <040104131121.M0105596@ns.kobe1995.net>

Message-ID(記事識別符号):

(G) <YAS.04Jan5010230@kirk.is.tsukuba.ac.jp>

Followuped-by(子記事):

(G) <040106112422.M0117804@ns.kobe1995.net>

記事全体へのコマンド

新城＠筑波大学情報です。こんにちは。

In article <040104131121.M0105596@ns.kobe1995.net>
        kaz@kobe1995.net (NAKAMURA Kazushi) writes:
> 中村和志＠神戸です。
> ●「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表
> http://www.asahi.com/national/update/0104/003.html
> 起床して新聞見てぶったまげました。A&D2003の事が２ヶ月も経って
> 今頃記事になっているのも何だかなあなのですが、office氏に対して
> かなり好意的でない記事になっているのが心配です。

紙の朝日新聞にも出たわけですね。朝日新聞は、コンピュータ系で
いい加減な記事が多いからなあ。古くは、X68000 がウイルスに弱
いとか。ある記者（名前忘れた、ある先生のお気に入り）の署名が
入ったものは、わりとまともなこともあるんだけど。今回は誰が書
いたのか。

オンラインの記事は、さっき見てみましたが、一応、好意的な解釈
をすれば、書いてあることは、わりとまともそうです。誤解しやす
い記事の書き方という話は残るかもしれないけれど。

> office氏というのは記事に書かれているのに、サーバ提供会社の名前が
> 一切公表されていないのもなんだかなあと思う記事ですが。

office氏というのも、国立大学の研究員で年は４０としか書いてい
ません。office氏の WWW サイト http://www.office.ac/ には、サー
バ会社の名前も、CGI スクリプトの開発者の名前も、スクリプトの
名前も、ついでにお詫びも出ています。いちいち言わなくてもいい
話ですけど、同じスクリプトを使っていたら、すぐにWWWサーバを
止めた方がいいです。

: http://www.asahi.com/national/update/0104/003.html
: 
: 研究員と協会の説明によると、研究員は１１月８日、インターネットから協会
: サイトのサーバーに、運営側が想定しない指示を送って入った。非公開の領域
: に保存されたファイルから、サイトへ相談を寄せた約１２００人の名前、住所、
: 電話番号、相談内容などの記録を引き出したという。

「運営側が想定しない指示」というのが、CGI の話なんだけど、こ
の「想定」を「運営側」にやられたのでは、たまりません。単に 
WWW ページを見ていて、「そのアクセスは想定していなかった」と
は、誰でもなんとでも言えます。（この部分では、一応、不正アク
セス禁止法は出てきていない。）

: 同日夜、都内で開かれたインターネットの安全対策担当者やハッカーを集めた
: 集会で、参加者約３００人に体験を披露。「証拠」として、持ち出した個人情
: 報の一部を公表した。持参したパソコンにこの情報を保存した参加者もいたと
: いう。

１１月８日の集会って何でしょうね。夜だから何かのＢＯＦ？

: 研究員は集会後、協会と、プログラムを開発したサーバー提供会社にＣＧＩの
: 欠陥を電子メールで指摘した。協会はサイトを閉鎖し、個人情報がネット上に
: 広まるなどの事態にはなっていないという。サーバー提供会社は約２万の顧客
: を抱えており、同じＣＧＩを使う他のサイトの修正作業を始めたという。

WWW サイトを閉鎖するのは、偉い。すばらしい対応と言えます。

: サーバー提供会社も「欠陥が事前通告なしに公開され、他のサイトまで危険に
: さらされた」と批判している。警視庁は、研究員の行為が、外部からの利用を
: 制御したサイトへの侵入になる疑いがあるとみている。

この「外部からの利用を制御したサイト」が不正アクセス禁止法の
アクセス制御に相当するんでしょう。ここで始めてでてきます。
そもそもアクセス制御をちゃんとしていたら、外部からアクセスで
きないはずです。上で書いてある「運営側が想定しない指示」より
は、形式的でわかりやすい話になると思います。

で、朝日新聞の記事は、一応気をつけて書いてあるという読み方も
可能ですが、「運営側が想定しない」なら「不正アクセス禁止法で
御用」とも読める記事ではあります。個人情報保護の話と混ぜて。
書いている記者が理解していないのかもしれないけど。

> この件で警視庁が、個人情報を流出させた欠陥サイトやSI事業者側では
> なく、office氏の方を調査しているというのが気になります。やっぱり
> すべからくサイトは（警視庁の）侵入に便利な欠陥を抱えておいて、
> 裁判所や司法の（面倒臭い）許可をいちいち得ないでも、警察はいつ
> でも情報通信の傍受（盗聴）が可能にしておきたいんでしょうかね。

警察の不正アクセス禁止法担当の部署が動いたということでしょう
か。私が思うに、パスワードかなにかでどんなに弱くてもいいから
アクセス制御していないと、あの法律は使えないと思うんだけど。
今まで不正アクセス禁止法が適応された事例はありましたっけ？

個人情報保護の方は、ＷＷＷサイト側やサーバ提供会社の問題とし
て残ると思います。そちらの方がずっと大きい問題だと思います。
そちらは、個人情報が公開された方から訴えてもらわないと警察も
動けないかも。

警察も自衛隊も、官僚組織ではあるので、ほっとくと成長路線に走
ります。警察も自衛隊も本当は暇な方がいい組織なんだけどね。

＼＼　新城　靖　（しんじょう　やすし）　＼＼
＼＼　筑波大学　電子・情報　　　　　　　＼＼

Fnews-brouse 1.9(20180406) -- by Mizuno, MWE <mwe@ccsf.jp>
GnuPG Key ID = ECC8A735
GnuPG Key fingerprint = 9BE6 B9E9 55A5 A499 CD51 946E 9BDC 7870 ECC8 A735