今日もセキュリティ関連のMLはこの話題で持ちきり。11月に自らの非を認め、ACCSに対しても身分を明らかにしていたのに、なぜ今頃になって逮捕されなければならなかったのか? 普通なら任意出頭させてから署内で逮捕するくせに直々に京都まで出向き、用意周到にもカメラの前で逮捕連行した警視庁のあざといデモンストレーションを思うと、やっぱり「京都府警に対する並々ならぬ対抗意識が背景にある」と考えるのが最も合理的で理解し易い。
片や、京大研究員によるハイテク犯罪というスキャンダル性から安易に警視庁の尻馬に乗って権威のプロパガンダに荷担する情けないメディアが多い中、Mainichi INTERACTIVEの「ネット界も困惑? ACCS不正アクセス事件」はマトモでちょっと救われた。
ただ気になったのが
法的に言えば、個人情報を外部に流出させたり、ダウンロードしなくても、通信が行われている不正アクセス自体が違法行為となるというわけだ。と言い切っている一節。件の脆弱性はCGIに与えるパラメータを書き換えると蓄積した個人情報が纏めて表示されてしまうという問題だったそうで、これまでのようにIDとパスワードを破ったわけではない(落した個人情報が1184人分に及ぶ事からも正鵠を射ていると思われる)らしい。こういう手法をして「不正アクセス行為」となるのかどうか、まさに意見の分かれているところだ。
CGIパラメーターのIDと思われる数値をあてずっぽうに入れるのはどうだ?とか、アドレスバーを編集してURLの上位へ辿る事すら違法行為となるのではないか?という極論すらあるのだが、こればっかりは判例が出てみない事には憶測の域を出ないわけで、暫くは脆弱性の調査は非常にやりにくくなったと感じているエンジニアは少なくないだろう。
という事からも
善意のぜい弱性の指摘が萎縮するのを問題と見るネット関係者もいる。こうしたなか、経済産業省は情報処理推進機構(IPA)に委託し、ぜい弱性対策の研究を始めた。ぜい弱性を発見したらどこに届け出て、不正アクセス禁止法に抵触せず、ぜい弱性の指摘をするにはどうしたよいのかなどについての基準作りを行うものだ。年度内にも結論が出ることが期待される。という話があるのだが、去年発足した「特定非営利活動法人日本セキュリティ監査協会」という組織はそれとはまた違うのだろうか? いずれにせよ、不正アクセスになる/ならないを明確化した基準を早く作って欲しい。
ところでところで、ASKACCSのCGIを作ってレンタルしていた一方の当事者ファーストサーバーの名前がどこにも出て来ないのはどういうわけだ? お咎め無しで良いですか? そうですか?
こっそりWebを飾っていた「印刷したら他人の確定申告書 国税庁HPでミス」という記事。
香川県の男性が入力して印刷ボタンをクリックしたところ、愛知県の男性の申告書が印刷されるなど、入力者と別人の申告書が出てきたケースが4件あった。いずれのケースも、2人が同時に印刷をクリックしたところシステムが対応できず、別人のデータが上書きされ出力されてしまったという。まぁセキュリティインシデント言えばそう言えなくもないが、あまりに情けないバグだ。他ならぬ自分自身で、去年の今頃このシステムを使って還付申告書を作成したのだが、この程度のケースもテストで洗い出せてなかったとは恐るべし。
こっちもせいぜい指名停止程度のペナルティ止りで、法的なお咎めは無しですか?
【参照】
●ITmedia http://www.itmedia.co.jp/
┣他人の確定申告書が生成されるトラブル、国税庁の「確定申告書作成コーナー」が一時停止 2004年2月5日
┣ACCS個人情報流出で京大研究員逮捕 2004年2月4日
┣「足元から火がついた」──ACCSの個人情報流出は1184件、脆弱性を3年以上放置 2003年11月12日
┗情報処理振興事業協会:予算の10%をセキュリティに投資してほしい 2003年1月1日
●Mainichi INTERACTIVE http://www.mainichi.co.jp/
┣印刷したら他人の確定申告書 国税庁HPでミス 2004年2月5日
┣他人になりすまし住基カード交付受ける? 佐賀 2004年2月5日
┣不正アクセスで調査委員会を設置 京大センター長 2004年2月5日
┣ACCSの個人情報流出で京大研究員を逮捕 警視庁 2004年2月4日
┣ネット界も困惑? ACCS不正アクセス事件 2004年2月4日
┗Winnyで初摘発、2人逮捕 京都府警 2003年11月28日
●A.D.2003 http://www.ad200x.net/
┗国立大学研究員によりなされた個人情報漏洩問題に関する調査報告 2004年1月28日
●経済産業省 http://www.meti.go.jp/
┗情報セキュリティ総合戦略