Google グループは Usenet の新規の投稿と購読のサポートを終了しました。過去のコンテンツは引き続き閲覧できます。
Dismiss

$B%M%C%H$N@H<e$5$K7Y>b(B

閲覧: 4 回
最初の未読メッセージにスキップ

NAKAMURA Kazushi

未読、
2004/01/03 23:11:212004/01/03
To:
中村和志@神戸です。

●「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表
http://www.asahi.com/national/update/0104/003.html

起床して新聞見てぶったまげました。A&D2003の事が2ヶ月も経って
今頃記事になっているのも何だかなあなのですが、office氏に対して
かなり好意的でない記事になっているのが心配です。

セキュリティホールを指摘された(SI事業者資格を金で買っただけの)
大企業・サイトは、えてして「そんなハズは無い。東大院卒の情報一種
を持ったSE,PGが作って、テストもしているから、セキュリティは100%
万全だ。」、そして二言目には、「証拠を見せろ。実際にクラックして
見せろ。」と迫るのが常です。
#情報一種なんてユーザ(発注)側が持つべき資格で、作る側があの
#程度の資格を誇りにしているようでは…。

クラックの手口を教えるだけで気付いて修正してくれれば良いのですが、
えてして大手は技術レベルが低くて手口を示しても何のことか理解出来ず、
実際に個人情報等のデータベースそのものをクラックして見せないと
気付かないんですよね。そのくせ気付いたら「許し難い」ですか、はい。
しかも数年前から再三通告されているにもかかわらず修正もせず、
「欠陥が事前通告なしに公開され、」は、いくらなんでも嘘多過ぎ。
office氏というのは記事に書かれているのに、サーバ提供会社の名前が
一切公表されていないのもなんだかなあと思う記事ですが。

この件で警視庁が、個人情報を流出させた欠陥サイトやSI事業者側では
なく、office氏の方を調査しているというのが気になります。やっぱり
すべからくサイトは(警視庁の)侵入に便利な欠陥を抱えておいて、
裁判所や司法の(面倒臭い)許可をいちいち得ないでも、警察はいつ
でも情報通信の傍受(盗聴)が可能にしておきたいんでしょうかね。
--
中村和志@神戸 <mailto:k...@kobe1995.net>
NAKAMURA Kazushi@KOBE <http://kobe1995.net/>
- Break the hate chain. No more kill!
administrator@127.1

MURAKAMI Tomokazu

未読、
2004/01/04 9:37:332004/01/04
To:

村上 @鎌倉市です。

<0401041311...@ns.kobe1995.net>の記事において
k...@kobe1995.netさんは書きました。

> 中村和志@神戸です。
> ●「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表
> http://www.asahi.com/national/update/0104/003.html

> 万全だ。」、そして二言目には、「証拠を見せろ。実際にクラックして
> 見せろ。」と迫るのが常です。

38面の office 氏へのインタビューでは、「証拠を出せ」と門前払いされたと
の回答が載っていました。

38面まで合わせて読むと、多少ましな記事になっています。

--
┏━━━━━━━━━━━━━━━━━━━━━━━━┓
┃ 村上 智一 ( TomOne ) 鎌倉市在住 ┠┐
┃ URI: http://kikyou.sakura.ne.jp/~tomone/ ┃│
┃ E-Mail: tom...@kikyou.sakura.ne.jp (main) ┃│
┃ E-Mail: mrkm...@mtd.biglobe.ne.jp (sub) ┃│
┗┯━━━━━━━━━━━━━━━━━━━━━━━┛│
└────────────────────────┘

Yasushi Shinjo

未読、
2004/01/04 11:02:302004/01/04
To:
新城@筑波大学情報です。こんにちは。

In article <0401041311...@ns.kobe1995.net>


k...@kobe1995.net (NAKAMURA Kazushi) writes:
> 中村和志@神戸です。
> ●「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表
> http://www.asahi.com/national/update/0104/003.html
> 起床して新聞見てぶったまげました。A&D2003の事が2ヶ月も経って
> 今頃記事になっているのも何だかなあなのですが、office氏に対して
> かなり好意的でない記事になっているのが心配です。

紙の朝日新聞にも出たわけですね。朝日新聞は、コンピュータ系で
いい加減な記事が多いからなあ。古くは、X68000 がウイルスに弱
いとか。ある記者(名前忘れた、ある先生のお気に入り)の署名が
入ったものは、わりとまともなこともあるんだけど。今回は誰が書
いたのか。

オンラインの記事は、さっき見てみましたが、一応、好意的な解釈
をすれば、書いてあることは、わりとまともそうです。誤解しやす
い記事の書き方という話は残るかもしれないけれど。

> office氏というのは記事に書かれているのに、サーバ提供会社の名前が
> 一切公表されていないのもなんだかなあと思う記事ですが。

office氏というのも、国立大学の研究員で年は40としか書いてい
ません。office氏の WWW サイト http://www.office.ac/ には、サー
バ会社の名前も、CGI スクリプトの開発者の名前も、スクリプトの
名前も、ついでにお詫びも出ています。いちいち言わなくてもいい
話ですけど、同じスクリプトを使っていたら、すぐにWWWサーバを
止めた方がいいです。

: http://www.asahi.com/national/update/0104/003.html
:
: 研究員と協会の説明によると、研究員は11月8日、インターネットから協会
: サイトのサーバーに、運営側が想定しない指示を送って入った。非公開の領域
: に保存されたファイルから、サイトへ相談を寄せた約1200人の名前、住所、
: 電話番号、相談内容などの記録を引き出したという。

「運営側が想定しない指示」というのが、CGI の話なんだけど、こ
の「想定」を「運営側」にやられたのでは、たまりません。単に
WWW ページを見ていて、「そのアクセスは想定していなかった」と
は、誰でもなんとでも言えます。(この部分では、一応、不正アク
セス禁止法は出てきていない。)

: 同日夜、都内で開かれたインターネットの安全対策担当者やハッカーを集めた
: 集会で、参加者約300人に体験を披露。「証拠」として、持ち出した個人情
: 報の一部を公表した。持参したパソコンにこの情報を保存した参加者もいたと
: いう。

11月8日の集会って何でしょうね。夜だから何かのBOF?

: 研究員は集会後、協会と、プログラムを開発したサーバー提供会社にCGIの
: 欠陥を電子メールで指摘した。協会はサイトを閉鎖し、個人情報がネット上に
: 広まるなどの事態にはなっていないという。サーバー提供会社は約2万の顧客
: を抱えており、同じCGIを使う他のサイトの修正作業を始めたという。

WWW サイトを閉鎖するのは、偉い。すばらしい対応と言えます。

: サーバー提供会社も「欠陥が事前通告なしに公開され、他のサイトまで危険に
: さらされた」と批判している。警視庁は、研究員の行為が、外部からの利用を
: 制御したサイトへの侵入になる疑いがあるとみている。

この「外部からの利用を制御したサイト」が不正アクセス禁止法の
アクセス制御に相当するんでしょう。ここで始めてでてきます。
そもそもアクセス制御をちゃんとしていたら、外部からアクセスで
きないはずです。上で書いてある「運営側が想定しない指示」より
は、形式的でわかりやすい話になると思います。

で、朝日新聞の記事は、一応気をつけて書いてあるという読み方も
可能ですが、「運営側が想定しない」なら「不正アクセス禁止法で
御用」とも読める記事ではあります。個人情報保護の話と混ぜて。
書いている記者が理解していないのかもしれないけど。

> この件で警視庁が、個人情報を流出させた欠陥サイトやSI事業者側では
> なく、office氏の方を調査しているというのが気になります。やっぱり
> すべからくサイトは(警視庁の)侵入に便利な欠陥を抱えておいて、
> 裁判所や司法の(面倒臭い)許可をいちいち得ないでも、警察はいつ
> でも情報通信の傍受(盗聴)が可能にしておきたいんでしょうかね。

警察の不正アクセス禁止法担当の部署が動いたということでしょう
か。私が思うに、パスワードかなにかでどんなに弱くてもいいから
アクセス制御していないと、あの法律は使えないと思うんだけど。
今まで不正アクセス禁止法が適応された事例はありましたっけ?

個人情報保護の方は、WWWサイト側やサーバ提供会社の問題とし
て残ると思います。そちらの方がずっと大きい問題だと思います。
そちらは、個人情報が公開された方から訴えてもらわないと警察も
動けないかも。

警察も自衛隊も、官僚組織ではあるので、ほっとくと成長路線に走
ります。警察も自衛隊も本当は暇な方がいい組織なんだけどね。

\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報       \\

NAKAMURA Kazushi

未読、
2004/01/05 21:24:222004/01/05
To:
中村和志@神戸です。

In article <YAS.04Ja...@kirk.is.tsukuba.ac.jp>


y...@is.tsukuba.ac.jp writes:
>: 同日夜、都内で開かれたインターネットの安全対策担当者やハッカーを集めた
>: 集会で、参加者約300人に体験を披露。「証拠」として、持ち出した個人情
>: 報の一部を公表した。持参したパソコンにこの情報を保存した参加者もいたと
>: いう。
>
>11月8日の集会って何でしょうね。夜だから何かのBOF?

元記事にも書いたA&D2003です。Attack側とDiffence側に分かれて、ネットハック?
の技術研鑽する運動会です。私は別の用事があって行けなかったけど、office
氏は、運動会とは別に、ゲストとして講演も受け持っていたはず。その時に
「実演」して見せちゃったのかな。

http://www.ad200x.net/ad2003_contents/

>: 研究員は集会後、協会と、プログラムを開発したサーバー提供会社にCGIの
>: 欠陥を電子メールで指摘した。協会はサイトを閉鎖し、個人情報がネット上に
>: 広まるなどの事態にはなっていないという。サーバー提供会社は約2万の顧客
>: を抱えており、同じCGIを使う他のサイトの修正作業を始めたという。
>
>WWW サイトを閉鎖するのは、偉い。すばらしい対応と言えます。

ええ、そうなんですけど、本来なら最初に通報してもらった時にすべき。
大勢の前で実演されて、事態が大きくなってからというのは遅過ぎ。

別件で、明らかな違法コピーソフトの販売SPAMメールが私のところに来たので、
通報すべきかどうか迷いました。セキュリティホールが有ると分かっている
サイトに個人情報を晒すのは勇気が必要と言うか。善意を仇で返されかねない
と言うか。で、某MLで「著作権協会ってどうよ」的なメールを流したりして
ました。やっぱり案の定という感じですね。

OTA Takashi

未読、
2004/01/06 5:28:342004/01/06
To:
おおたです。
kazさんが2004年01月06日(火) 11時24分22秒に、
fj.comp.securityに投稿した<0401061124...@ns.kobe1995.net>の記事から

> 元記事にも書いたA&D2003です。Attack側とDiffence側に分かれて、ネットハック?
> の技術研鑽する運動会です。私は別の用事があって行けなかったけど、office
> 氏は、運動会とは別に、ゲストとして講演も受け持っていたはず。その時に
> 「実演」して見せちゃったのかな。

 A.D.2003自体は

> http://www.ad200x.net/ad2003_contents/

にもあるようにプレゼンテーションが主で,運動会のようなものでは
ありませんでした.office氏のプレゼンテーションもその一つ.

> >: 研究員は集会後、協会と、プログラムを開発したサーバー提供会社にCGIの
> >: 欠陥を電子メールで指摘した。協会はサイトを閉鎖し、個人情報がネット上に
> >: 広まるなどの事態にはなっていないという。サーバー提供会社は約2万の顧客
> >: を抱えており、同じCGIを使う他のサイトの修正作業を始めたという。
> >
> >WWW サイトを閉鎖するのは、偉い。すばらしい対応と言えます。
>
> ええ、そうなんですけど、本来なら最初に通報してもらった時にすべき。
> 大勢の前で実演されて、事態が大きくなってからというのは遅過ぎ。

 引用部分にもあるように,office氏は実演後に通報したとのことですが,
実演前にも通報したんでしょうかね?(私は知りませんが)

----------- ニュースはみんなのために /|\ メールは個人のために -----------
太田 尚志 - OTA Takashi - http://web.sfc.keio.ac.jp/~t00156to/ ICQ#:39782589

Sawaki, Takayuki

未読、
2004/02/04 5:12:542004/02/04
To:
NAKAMURA Kazushi wrote:
> ●「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表
> http://www.asahi.com/national/update/0104/003.html
> 起床して新聞見てぶったまげました。A&D2003の事が2ヶ月も経って
> 今頃記事になっているのも何だかなあなのですが、office氏に対して
> かなり好意的でない記事になっているのが心配です。
(中略)
> この件で警視庁が、個人情報を流出させた欠陥サイトやSI事業者側では
> なく、office氏の方を調査しているというのが気になります。

http://dailynews.yahoo.co.jp/fc/domestic/net_crime/
には研究員の方が逮捕されたとの記事が載っておりました。うーん……

~~ ◯ ~~~~~~ ・ ・ ~~~~~~~~~~~~~~
\\           …   佐脇貴幸
 \☆  /\/\   ・ ・  fi-s...@yahoo.co.jp
    / /  \ 
※※ /      \ ※※※※※※※※※※※※※※※※※※
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

新着メール 0 件