office氏逮捕の波紋

Thu, 05 Feb 2004 00:00:00 +0900

今日もセキュリティ関連のMLはこの話題で持ちきり。11月に自らの非を認め、ACCSに対しても身分を明らかにしていたのに、なぜ今頃になって逮捕されなければならなかったのか？普通なら任意出頭させてから署内で逮捕するくせに直々に京都まで出向き、用意周到にもカメラの前で逮捕連行した警視庁のあざといデモンストレーションを思うと、やっぱり「京都府警に対する並々ならぬ対抗意識が背景にある」と考えるのが最も合理的で理解し易い。

片や、京大研究員によるハイテク犯罪というスキャンダル性から安易に警視庁の尻馬に乗って権威のプロパガンダに荷担する情けないメディアが多い中、Mainichi INTERACTIVEの「ネット界も困惑？　ACCS不正アクセス事件」はマトモでちょっと救われた。

ただ気になったのが

法的に言えば、個人情報を外部に流出させたり、ダウンロードしなくても、通信が行われている不正アクセス自体が違法行為となるというわけだ。

と言い切っている一節。件の脆弱性はCGIに与えるパラメータを書き換えると蓄積した個人情報が纏めて表示されてしまうという問題だったそうで、これまでのようにIDとパスワードを破ったわけではない(落した個人情報が1184人分に及ぶ事からも正鵠を射ていると思われる)らしい。こういう手法をして「不正アクセス行為」となるのかどうか、まさに意見の分かれているところだ。

CGIパラメーターのIDと思われる数値をあてずっぽうに入れるのはどうだ？とか、アドレスバーを編集してURLの上位へ辿る事すら違法行為となるのではないか？という極論すらあるのだが、こればっかりは判例が出てみない事には憶測の域を出ないわけで、暫くは脆弱性の調査は非常にやりにくくなったと感じているエンジニアは少なくないだろう。

という事からも

善意のぜい弱性の指摘が萎縮するのを問題と見るネット関係者もいる。こうしたなか、経済産業省は情報処理推進機構（IPA）に委託し、ぜい弱性対策の研究を始めた。ぜい弱性を発見したらどこに届け出て、不正アクセス禁止法に抵触せず、ぜい弱性の指摘をするにはどうしたよいのかなどについての基準作りを行うものだ。年度内にも結論が出ることが期待される。

という話があるのだが、去年発足した「特定非営利活動法人日本セキュリティ監査協会」という組織はそれとはまた違うのだろうか？いずれにせよ、不正アクセスになる／ならないを明確化した基準を早く作って欲しい。

ところでところで、ASKACCSのCGIを作ってレンタルしていた一方の当事者ファーストサーバーの名前がどこにも出て来ないのはどういうわけだ？お咎め無しで良いですか？そうですか？

こっそりWebを飾っていた「印刷したら他人の確定申告書　国税庁HPでミス」という記事。

香川県の男性が入力して印刷ボタンをクリックしたところ、愛知県の男性の申告書が印刷されるなど、入力者と別人の申告書が出てきたケースが4件あった。いずれのケースも、2人が同時に印刷をクリックしたところシステムが対応できず、別人のデータが上書きされ出力されてしまったという。

まぁセキュリティインシデント言えばそう言えなくもないが、あまりに情けないバグだ。他ならぬ自分自身で、去年の今頃このシステムを使って還付申告書を作成したのだが、この程度のケースもテストで洗い出せてなかったとは恐るべし。

こっちもせいぜい指名停止程度のペナルティ止りで、法的なお咎めは無しですか？

【参照】
●ITmedia http://www.itmedia.co.jp/
┣他人の確定申告書が生成されるトラブル、国税庁の「確定申告書作成コーナー」が一時停止 2004年2月5日
┣ACCS個人情報流出で京大研究員逮捕 2004年2月4日
┣「足元から火がついた」──ACCSの個人情報流出は1184件、脆弱性を3年以上放置 2003年11月12日
┗情報処理振興事業協会：予算の10％をセキュリティに投資してほしい 2003年1月1日
●Mainichi INTERACTIVE http://www.mainichi.co.jp/
┣印刷したら他人の確定申告書　国税庁HPでミス 2004年2月5日
┣他人になりすまし住基カード交付受ける？　佐賀 2004年2月5日
┣不正アクセスで調査委員会を設置　京大センター長 2004年2月5日
┣ACCSの個人情報流出で京大研究員を逮捕　警視庁 2004年2月4日
┣ネット界も困惑？　ACCS不正アクセス事件 2004年2月4日
┗Winnyで初摘発、2人逮捕　京都府警 2003年11月28日
●A.D.2003 http://www.ad200x.net/
┗国立大学研究員によりなされた個人情報漏洩問題に関する調査報告 2004年1月28日
●経済産業省 http://www.meti.go.jp/
┗情報セキュリティ総合戦略

パレットフォトシェア

Thu, 05 Feb 2004 00:00:00 +0900

フジカラーパレットプラザを運営するプラザクリエイトがパレットフォトシェアというサービスの実験運用を開始した。プレスリリースによると

「パレットフォトシェア」は、インターネット接続環境にある本ソフトウェアをインストールしたパソコンであれば、登録メンバー同士が画像・その他のデータを、ダイレクトに送受信することができ、リアルタイムで画像を共有・交換したり、チャット機能を使って画像にコメントを入れたアルバムを楽しく簡単に作成できます。
そして、交換した画像やグループで編集したアルバム画像を、いつでもお好きな時間に、簡単な操作でプリントのご注文をいただけます。プリント注文はご指定のパレットプラザ店舗のプリントオーダー専用受付機にダイレクトに画像データを転送し、銀塩方式にて出力した高画質プリントをご指定のパレットプラザにて、当日※2にお受取りが可能です。

という事だが、個人的にはリアルタイムで画像を共有したりチャットする必要性は全く必要としない。でも、世間ではネットゲームが流行っているという話しから想像するとそれなりのニーズがあるかも。

ただYahoo!フォトやinfoseekフォトアルバムのようなサーバにアップロードする形でなく、P2P接続とした構成は新しい考え方はどうだろう？常時接続環境が普及したとはいえパソコンを常時起動したままにしている人が多いとは思えないのだが。チャットという通信形態には相性が良いと思うが、画像共有ベースで考えるとその辺りが使い勝手のネックになりはしないかと懸念する。

まぁ取り敢えずパレットフォトシェアをインストールするとネットプリントの初回プリントが50枚まで無料サービス(Lサイズ)というのはウレシイかも。残念ながら店頭で受け取れる加盟店はまだ都内の一部に限られているが、全国一律200円で郵送してもらえるというのはお手軽だ。実験サービスは2004年3月31日までの期間限定なのでお早めに。

なおFAQに書かれている

パレットフォトシェアに登録できる画像フォーマットは、JPG（拡張子.jpg）のみです。
その他の画像フォーマットは登録することができませんので、ご了承ください。
また拡張子が "jpeg" の画像は登録できません。あらかじめ "jpg" に変更してお使いください。

というのは手抜きでは？試験サービスということもあり大勢には影響無いと判断したのだろうが、本サービス開始時には利用者に手間を煩わせる事ないようソフトの改善を期待したいところだ。

【参照】
●INTERNET Watch http://internet.watch.impress.co.jp/
┗プラザクリエイト、P2P技術を利用した新プリントサービス実験 2004年1月30日
●プラザクリエイト http://www.plazacreate.co.jp/
┗「パレットフォトシェア」サービスのテストを開始 2004年1月30日
●パレットフォトシェア http://photo.80210.com/
┗FAQ http://photo.80210.com/faq.html
●フジカラーイメージングサービス http://www.fujicolor.co.jp/

2004/02/05 on Yano's digital garage

office氏逮捕の波紋

パレットフォトシェア