Internet Explorer 用の修正プログラム

Wed, 04 Feb 2004 00:00:00 +0900

昨年から問題になっていたURL詐称(スプーフィング)に対処する修正プログラムがやっとリリースされた。但し、これで先の不具合が改修されるわけではなく、ユーザー名とパスワードをURLの中に含めることができなくする事によって暫定的に危険を回避するだけのものである。

一方でこの仕様変更によってアクセスに影響を受けるWebサイトが少なくないかもしれないので、社内システムのUIにブラウザを使っている場合はかなり注意が必要だ。詳細はマイクロソフトサポート技術情報 - 834489を参照。

2ヶ月近くを経ても改修できなかったのねんという残念感もあるが、取り敢えずは危険を回避する手段を提供したマイクロソフトのスタンスは評価したい。…のだが、この修正プログラムを適用すると認証ダイアログボックスで「パスワードを保存する」を選択しても保存されない場合がある、という問題も報告されており、やっぱりなんだかなぁという感じだ。

ちなみにトラブル・メンテナンス速報によると

この現象が発生した場合、以下の手順でユーザー名とパスワードを表示させることが出来る場合があります。

1) 一旦、全ての Internet Explorer の画面を閉じる
2) Internet Explorer を起動する（どのページを表示していてもかまいません）
3) もう一つ、別に Internet Explorer を起動する
4) 2番目に起動した Internet Explorer で、ユーザー名とパスワードの入力を行うダイアログボックスを再度表示する

という事だ。

【参照】
●ITmedia http://www.itmedia.co.jp/
┣クローン携帯をめぐる、"真偽"の判断 2004年2月3日
┣MS、IE緊急パッチの「副作用」に注意呼びかけ 2004年2月4日
┣MS、IEの脆弱性に対応の臨時パッチ 2004年2月3日
┗IE用の新パッチ発行で電子商取引に混乱の可能性も 2004年2月2日
●TechNetセキュリティセンター http://www.microsoft.com/japan/technet/security/
┣MS04-004 - Internet Explorer 用の累積的なセキュリティ修正プログラム (832894) 【緊急】
┗Internet Explorer で HTTP URL と HTTPS URL のユーザー情報を処理する際のデフォルトの動作を変更するソフトウェアアップデートのリリースについて http://support.microsoft.com/?id=834489

ミスリードに注意

Wed, 04 Feb 2004 00:00:00 +0900

まったりとしたのどかな昼休みを揺るがしたoffice氏逮捕の報道。

欠陥突きサーバー侵入、研究員逮捕

ASKACCSの個人情報流出事故に対して「不正アクセス行為禁止法違反」はともかく、「威力業務妨害」という容疑まで持ち出してくるのは、いかにもうさん臭い。

無作為に第三者のIDでログインした可能性はあるので不正アクセス行為の禁止等に関する法律に規定する不正アクセス行為に抵触する可能性はあるが、氏がシステムやファイアーウォールに対してクラッキング活動を行ったとは聞いていないし、もしそうした行為があったならば電子計算機損壊等業務妨害の適用が合理的で、威力業務妨害を持ち出すのは理解に苦しむ。

asahi.comの記事では

ハイテク犯罪対策総合センターの調べでは、河合容疑者は昨年１１月６〜８日、社団法人コンピュータソフトウェア著作権協会（東京都文京区）のサイトのサーバーに不正に接続し、ネット上で同協会に相談を寄せた約１２００人分の氏名や住所、相談内容などを引き出した疑い。

　さらに同月８日、都内で開かれたネットの安全対策担当者やハッカーの集会で、参加者約２００人に接続方法を公開し、協会にも接続したことをメールで通知した。そのうえで、サイトの一部の閉鎖を余儀なくさせ、協会の業務を妨げたとされる。

　このサイトは情報を読み出したり書き込んだりするために、「ＣＧＩプログラム」と呼ばれる汎用（はんよう）プログラムが使われていた。河合容疑者はこのプログラムの欠陥を突き、サーバー内の非公開の領域に保存されている情報を引き出したという。

と報道している一方、Mainichi INTERACTIVEでは一歩踏み込んで

調べでは、河合容疑者は昨年１１月６日〜８日の間、計７回にわたり自分のパソコンから協会のサイトに不正にアクセスし、協会に相談や情報提供した人の住所、氏名など約１２００人分の個人情報データを入手。同月８日に渋谷区内で開かれたイベントでこのデータを公開したうえ、情報が漏れたことをメールで協会に知らせ、サイトの閉鎖に追い込んだ疑い。

河合容疑者は、掲示板サイトなどで一般的に使われているプログラム「ＣＧＩプログラム」の一部を書き換えて、利用者がパソコンからインターネットサイトに書き込んだ個人情報などを不正に取り込んでいた。

としているが、CGIそのものに欠陥があったのでわざわざ手間をかけて書換える必要なんて無かったと記憶しており、その点ではasahi.comの方が正確。いずれにせよサイトの閉鎖に追い込んだという論調で威力業務妨害を裏付けようとする意図を感じる。

そもそもACCS自らの意思でサイトの停止を決めたという経緯はどこに吹っ飛んでしまったのか？　他ならぬASKACCSの個人情報流出事故調査委員会による調査報告書でも

２　本質的な原因について

　上記のとおり、本件の技術的な原因は、当該CGIプログラムに脆弱性があった点にあるが、本質的には、次のような問題があると判断した。

(1)　ACCSは、ASKACCSのホームページについて、セキュリティチェック等の充分な検証を実施していなかった。また、当該CGIプログラムを採用するに際しても、特にセキュリティ上の検証を行っていなかった。
　ASKACCSは広く個人情報を収集・取得していたのであるから、そのセキュリティについては細心の注意を払うことが求められていたというべきである。第三者が作成したソフトウェアを利用する場合には、その選定に際して細心の注意を払う必要があると考えるし、採用した後においても、セキュリティ上の問題がないか否かを、継続的に自らの責任で検証する必要があると考える。さらに、ACCSは、これまで情報の取り扱いに関する啓発活動を自ら行ってきていることからすれば、自ら運営するホームページのセキュリティについては、通常の企業等以上に、充分なスキル、体制で臨む必要があると考える。
　しかし、ACCSは、レンタルサーバー会社の提供するCGIプログラムを採用する際に、セキュリティ上の検証について入念な検査をしたとは認められなかった。

(2)　ASKACCSは、必要と認められる以上の個人情報を入力させていたと考えられる。
　ASKACCSは、不特定の第三者から広く質問を受け付け、それに回答することを目的としていた以上、回答を送付するために必要な最低限の個人情報（メールアドレス等）の入力を求めることはやむを得ないと考える。
　しかし、ASKACCSの質問フォームでは、さらに住所・氏名等の個人情報の入力まで要求していたところ、このような情報まで必要であったとは認めがたい。
　個人情報を扱う際には、その管理に万全を尽くすことはもちろんであるが、それと同時に、そもそも不必要な個人情報は取得しないことも求められているというべきである。

と原因の本質はASKACCSにあると認めている事からもわかるように、親切心から「ファスナー開いてますよ」と指摘してあげたら逆ギレして「痴漢呼ばわり」されてしまったようなもので、告訴ならACCSの責任転嫁だし、告発に因らないなら警察権力の横暴ではなかろうか。

ていうか、そもそもACCSは逆に個人情報保護法の第四章、一節、二十条

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

に違反していた可能性が問われないままで良いのか？

一方でoffice氏の京大研究員という肩書から何となく思い出されるのが、Winnyの件で名を上げた京都府警。先を越された感ありありで成果が欲しい警視庁としても京都府警のお膝元で気炎を上げる事ができればしてやったり。そしてoffice氏をスケープゴートにして自らの責任逃れを目論むACCS、そんな両者の思惑が一致して…なんていう裏事情を勘繰ってしまうのは考え過ぎか？

ACCSは「手段のために目的を犠牲としたもので，本末転倒と言わざるを得ない」とコメントしているが、「デジタル時代の情報モラルを考える著作権・プライバシー相談室」を設置したACCSもまた情報モラルを置き去りにして組織防衛に走っているように見えるのだが。

NHK「7時のニュース」でも「総理大臣官邸や総務省、大手都市銀行のホームページなどにも次々に侵入した疑い」とトップ扱い。本人も認めているように確かに1184人分の個人情報のダウンロードや公の場での提示などエスカレートしたのはやり過ぎで、過失と言えども断罪もやむを得ないところだが、いかにもoffice氏が反社会的な人間であるかのような印象を与えかねない論調は憤りを感じざるを得ない。

まぁ警視庁記者クラブにぶらさがった提灯記者に正義やらジャーナリズムを期待するのも酷かと思うが、裁判員制度が始まろうとしている昨今、世論のミスリードだけはゴメン被りたい。

話は変って大阪近鉄バファローズの球団名売却騒動、ナベツネが激怒したからというわけでもないだろうが、asahi.comはさもえらそうに

この手法は「ネーミングライツ（命名権）ビジネス」と呼ばれる。球場などの施設名では、オリックスの本拠「グリーンスタジアム神戸」が昨春、「ＹＡＨＯＯ！（ヤフー）ＢＢスタジアム」に変わった。プロ野球の２軍チームが企業からスポンサー料をもらい、その企業の商標などをチーム名の一部に使った例もある。だが１軍で、親会社以外が名前を付けるのは初めてだ。

と書いているが、西鉄ライオンズの後を受けた太平洋クラブライオンズ、クラウンライターライオンズの球団経営を行ったのは資本関係の無い福岡野球株式会社であり、決して前例が無い事ではない。またNHKでも同様に「１軍で親会社以外が名前を付けるのは初めて」とのたまっていたらしいから、どちらも通信社の配信をそのまま鵜呑みにして流したものと思われる。海外ソースならいざ知らず、なんともズサンな事だ。

権威あるマスメディアをしてこの程度の体たらくであるという事を肝に命じ、自らも鵜呑みにする事の無いようにしないとなぁ。

結局、他球団の同意を得ずに公表した事が野球協約違反、という事かな？

【参照】
●Mainichi INTERACTIVE http://www.mainichi.co.jp/
┣住基カード：他人になりすまし交付受ける？　佐賀県警が捜査 2004年2月4日
┣不正アクセス：個人データ引き出す　京大の研究員を逮捕 2004年2月4日
┗プロ野球：近鉄球団社長　球団名売却は「ビジネス」 2004年1月31日
●（社）コンピュータソフトウェア著作権協会（ACCS） http://www.accsjp.or.jp/
┗ASKACCS http://www.askaccs.ne.jp/
●独立行政法人情報処理推進機構 http://www.ipa.go.jp/
┗不正アクセス行為の禁止等に関する法律 http://www.ipa.go.jp/security/ciadr/law199908.html
●NHK http://www.nhk.or.jp/
┗研究員官公庁ＨＰにも侵入か (VIDEOあり)
●首相官邸 http://www.kantei.go.jp/
┣個人情報の保護に関する法律
┗裁判員制度・刑事検討会
●パシフィック野球連盟 http://pacific.npb.or.jp/
┗パシフィック・リーグ略史 http://pacific.npb.or.jp/bluebook/bluhist1.html

2004/02/04 on Yano's digital garage

Internet Explorer 用の修正プログラム

ミスリードに注意