朝日新聞等で報道された「国立大研究員が個人情報を公表」という事件に関するアンケート結果を発表＜その１＞

先日、朝日新聞等で報道された「『ネットの脆弱さに警鐘』国立大研究員が個人情報を公表」（ http://www.asahi.com/national/update/0104/003.html ）に関する下記の問題について、皆様から頂きましたコメント（前半）を掲載させて頂きます。ご協力頂き誠にありがとう

製品・サービス・業界動向業界動向

2004年1月8日（木） 12時00分

先日、朝日新聞等で報道された「『ネットの脆弱さに警鐘』国立大研究員が個人情報を公表」（ http://www.asahi.com/national/update/0104/003.html ）に関する下記の問題について、皆様から頂きましたコメント（前半）を掲載させて頂きます。ご協力頂き誠にありがとうございました。

アンケート結果の後半＜その２＞はこちら
https://www.netsecurity.ne.jp/article/1/11984.html

==＜質問＞============================================================
　１．サイト主催者、サーバ管理会社に対しての事前の予告なく、脆弱性
　　　のテストを行った問題
　２．集会においてサイト主催者、サーバ管理会社に対しての事前の予告
　　　なく脆弱性の指摘と個人情報の一部開示を行った問題
============================================================＜質問＞==

======================================================================
職業：セキュリティスペシャリスト

１．サイト主催者、サーバ管理会社に対しての事前の予告なく、脆弱性のテストを行った問題

今回の問題では、無許可で脆弱性テストを行う必然性は全くなく、目的は何であれ脆弱性テストを騙った不正アクセスに思える。一般社会で言えば、「ピッキングできるタイプの鍵がついている家があったから、セキュリティチェックでピッキングして鍵を開けてみた」という行為と同等。

２．集会においてサイト主催者、サーバ管理会社に対しての事前の予告なく脆弱性の指摘と個人情報の一部開示を行った問題

今回の脆弱点は未知の重大なものではなく、HTMLソースを見るだけで専門家なら誰でも発見できるセキュリティホールである。このようなCGIにおける脆弱性の指摘については、特に対象サーバを限定せず、一般的な問題として発表するのであれば、CGIのセキュリティ問題を再認識してもらうという意味で有益かもしれない。しかしその場合でも、サイト主催者、サーバ管理会社に対しての連絡が先行するべきものである。しかし、今回の集会での開示は次の点で、開示者のプレゼンテーションを面白くすることが目的のように見える。

１）7月に発見した脆弱点を11月の集会まで放置し発表していること。セキュリティ向上を目的としていればすぐに発表するべき。
２）複数の企業で利用されているCGIであるが、話題が大きくなりそうなACCSの個人情報をターゲットにしたこと。
３）脆弱点の確認は、サーバ上の任意のファイル（無益なファイル）を対象にできたのに、あえて最も実害が大きく衝撃のある個人情報データのファイルを公開したこと。
４）個人情報データが取得できた証拠を見せるにあたり、モザイクなどによる個人情報保護を一切行っていないこと。

======================================================================
アイ・ディフェンス・ジャパン株式会社
横山竜太郎

１．サイト主催者、サーバ管理会社に対しての事前の予告なく、脆弱性のテストを行った問題

脆弱性のテストと言えるか否かは被検査対象が検査という目的をもって承認しているか否かによるものと考える。然るに予告あるなしに関わらず攻撃(テスト）を受けたネットワークがサーバ主催者、管理会社の承認のないまま不正侵入を行ったという事実があれば違法性があると考えるべきである。

２．集会においてサイト主催者、サーバ管理会社に対しての事前の予告なく脆弱性の指摘と個人情報の一部開示を行った問題

直接の被害者が情報漏えいの対象となった個人であると考えれば情報公開を行った事は許し難い事実であると考える。
極端な話、本件もサーバ管理者やサイト主催者への事前の予告のあるなしではなくて漏洩される個人の被害を最優先に考えるべきではないかと思う。（たとえ限定（クローズド）であっても漏洩には変わりない）

上記の他に第３の議論されるべき点があると思うので、その事にも触れておきたいと思う。本事件とあるいは直接関係あるとは限らないが；

一般的にサイト運営者（特に個人消費者からの情報を扱う場合、若しくは情報が漏洩することにより第三者に被害が及ぶ場合）のセキュリティに対する管理能力と責任を検討・検証・議論すべきではないかと思う。今回の事件は公開される場で明らかになったものであるが、そもそも始めから悪意を持ってサイトに存在する脆弱性を攻撃する事も想定されるからである。また、常に脆弱性を発見した人が善意から警告してくれるということを期待すること自体考え方が誤っていると思う。

１）攻撃の対象となる欠陥の多くは既知のものである場合が９割以上である。
つまり情報収集をしていれば対策は取れる。（取れるようにするべき）
２）各自試験する方法は存在する。そのような方法を用いていればそもそも問題（リスク）は減少できる。
３）セキュリティ対策はコストとの兼ね合いであるが、第三者に直接的な被害を及ぼす可能性のある情報を扱う場合はセキュリティ対策費用を予算化させてでも行うべきである。

攻撃者と被攻撃者の関係のみならず、コントロールの出来ない（投稿しないという選択をしないこと以外）被害者がいることを忘れてはならない。

======================================================================
職業：セキュリティコンサルタント

テストを行うことは、実際の脆弱性の可能性を確認するくらいまでで、寸止めまでのテストにすべきでしょうね。
それから、やはり仁義として、サーバ管理者に通知を行い、穴がなくなった事を確認してから公開するべきだったでしょうね。
さらに、個人情報はモザイクを欠けるなど、ある程度、情報をフィルタリングするべきだったと思います。

XSSの脆弱性を行う人の特徴なのですが、相手の立場に対する愛が足りないと思います。
大規模のサイトを運営している場合、サイトのメンテナンスタイミングが1ヶ月に一度や、3ヶ月に一度などざらです。
再開発が必要な場合、予算化などやらなければならないことはたくさんあります。
そういう意味で報告する側の人も、相手の立場を思いやって、気長に待つとか、そういう姿勢が重要なのではないかと思います。
残念ながら、office氏は闘争の人でしたので、そういった面での愛や思いやりが足りなかった事が今回の大事になった原因のような気もします。
少なくとも、普通に相手の立場を思いやることができるなら、休日の夜中にいきなり衆前で公開するようなこともなかったのではないかと思います。
ただ、報告先がわからずやの相手場合が難しいのですが、基本的にその場合は放置でよいのではないかと思います。相手は、ある意味リスクを許容しているのですから・・・

======================================================================
職業：大学教員

以下に個人的意見を述べる。まず 2. について。

* 「個人情報の一部開示」は不適切な行為である。情報漏洩の危険性を指摘するはずの行為者が自ら情報漏洩を行ってしまったのは、なんとも皮肉である。

* 「事前の予告なく脆弱性の指摘」を行ったのは不適切な行為である。行為者自身が影響 (の可能性) の大きさを認識していた点を考えればなおのこと、不適切な行為であると言える。

しかし一方で行為者は、さまざまなサイトにあるさまざまな脆弱性を事前通告する上で、さまざまな困難に遭遇していたと聞く。行為者の資質を問う声もあるが、それを差し引いても、その困難さが今回の状況の遠因のひとつだろうと考える。

CGI などサイト固有の脆弱性については、発見者とサイト管理者の間をコーディネートしてくれる公的組織が今のところ存在しない。問い合わせ窓口の調査、脆弱性の存在の説明、修正の確認などにおいて、発見者に大きな負担がかかっているのは事実だ。発見者の指摘内容をサイト管理者が理解できなかったり無視したりする事も少なくないと聞く。発見者が過激な手段に訴えたくなるのも無理からぬ面がある。

朝日新聞報道には

> 専門家からは、企業や団体のサイトの安全性を調査、公表する仕組みを
> 求める声が出ている。経済産業省の外郭団体・情報処理振興事業協会は、
> 外部から寄せられる欠陥情報をどのように扱うかを検討している。

とある。サイト固有の脆弱性についてコーディネーションを行う公的組織が登場すれば、発見者にもサイト管理者にも福音になると考える。

次に 1. についてだが、予告すればいいものだとは思えないので「事前に予告し、かつ許可が得られた場合にのみ」ということになるのだろうか。しかし常識的に考えて、そんな許可が下りるとは思えない。

個人的には、
* 法や契約に触れない、かつ
* サイトにサーバダウンなどの異常動作を発生させない

範囲でのテストは許されるべきだと考える。しかし今回の件が、特に前者においてその範囲内にあったのかどうかは微妙だろう。

======================================================================
職業：ホスティングプロバイダネットワーク管理者

脆弱性の公開手法とそのモラルが多く問われている。

公開方法に問題があり、無関係な人々の個人情報を漏洩させてしまったのは事実だが、ファーストサーバーを含め国内の業者に対し、今までに無いほどの警鐘を鳴らすことにもなったのも事実である。
しかしOffice氏の行動に関しては様々な場で議論が行われているためコメントを控える。

一方で忘れてならないのは、これほど単純なCGIの脆弱性をファーストサーバー自身が予見できていなかったこと、そして同様の意識を持つ業者が国内に未だ多くはびっている(た)ことだ。

業者のサイトではエンドユーザに見えないのを良いことに「セキュリティ万全」など根拠の曖昧な宣伝文句が目立つ。
なにもASP、ISPに限られたことではない。電気、ガス会社、銀行等も含め、アウトソーシングという言葉の裏に秘められた責任や重要性を再認識する必要がある。

「安価、安全」という言葉に惑わされがちなアウトソーシングとは一歩間違えば、利用者の目に見えない遠隔地にあるブラックボックスなのだから。

======================================================================
帆場英次（セキュリティアナリスト）

１．サイト主催者、サーバ管理会社に対しての事前の予告なく、脆弱性のテストを行った問題

　誤解を生まないための用語の統一
　サイト管理者：主催者、管理会社など色々な解釈があるので、「サイト管理者」として定義する。

脆弱性診断の実行者は、サイト管理者に対して事前の予告は不要と考えます。しかしながら、脆弱性診断によって対象となるサイトの可用性が損なわれ損害を生じたり、テスト行為の結果を第三者に公開し、それが元で攻撃され、サイトの安全（サイト内にあるコンテンツを含みます）が脅かされた場合、脆弱性診断を実行したものは、その責任一切を負うべきだと考えます。

何故なら、サイトで構築されているシステムの複雑さは、技術上の問題があることはもちろん、運用組織や命令系統などを考慮してセキュリティ対策を行うことがあり、時間はかかるものです。こうした現場の実情を考慮せず、サイトに対し土足で踏み込むには、相応の覚悟をすべきです。

それでも事前の予告が不要な理由として、事前に告知することで、セキュリティ対策に甘えが発生し、逆にサイトの安全性が低下する可能性がある為です。仕事柄、情報システムに対してペネトレーション・テストを行っております。顧客のCIOや限られた数名にだけ、その事実を知らせ、運用担当者にはペネトレーション・テストが実施される事を知らせないケースもあります。これによって現状のセキュリティレベルがわかるのです。予め脆弱性テストを知らせておけば、前日にセキュリティ修正プログラム（パッチ）を適用したり、ポートを閉じる等の対策を施すことがあり、システムの運用における安全性を正確に測定できません。

このような理由から、脆弱性のテストを行う場合は、予告は不要と考えます。（ただし、サイトに脆弱性テストを実施する者に対し、事前に通知、了解を得ることを求めている場合は、この限りではありません）

２．集会においてサイト主催者、サーバ管理会社に対しての事前の予告なく脆弱性の指摘と個人情報の一部開示を行った問題

「影響範囲」と「再現性」の２点を考慮して公開（もしくは開示）を行うべきです。影響範囲が広い場合、サイトに対する過度の問合わせによって通常業務に悪影響を及ぼす可能性があります。顧客が数万人いれば、サポート窓口が対応できず、通常のサポートが受け付けられなくなります。それに乗じて別な攻撃にさらされる危険も発生する。公開する者は、自らが2次的に引き起こされる影響にも考慮すべきです。次に、開示後に脆弱性の「再現性」がある場合、「危険性を世間にアピールする」とか「公開して対応を早めることを目的とした」などのいいわけが使われます。それは、本人の自己満足にしか過ぎません。何故なら、第三者によって行使され、犯罪を助長させる行為と受け止められるリスクまで配慮するのが、公表する者としての正しい立場だからです。

脆弱性、個人情報の一部を公表することで、原稿料や講演に聞きに来る者から参加費を徴収していれば、それは明らかに商売のネタとして扱っており、商用行為です。

だからといって発言する自由を奪うものではないです。集会において事前に出席者から、取扱いに関する確約、契約をとった者に対して公表すれば、講演者の目的は十分達せられます。個人情報の一部を公表する場合でも、事前に公表される者に対して了解をとるなり方法はいくらでもあります。私もマスコミを通して、過去に色々な脆弱性を発見、指摘してきましたが、今回のように、配慮に欠けた行動、事前予防策すらとらなかった行為は、今後のセキュリティを向上させる意味で、よい教訓を残してくれたと感謝している次第です。

======================================================================
職業：OA全般　担当者(40) [ PCハードウエア50台くらい　LinuxServer7台程度の管理]

１．サイト主催者、サーバ管理会社に対しての事前の予告なく、脆弱性のテストを行った問題

常識的にはすべきではないが、そのような抜き打ちテストが必要ではあるだろう。
実際orbsやSpamCopなどもサイトオーナーとのコンセンサス無しにブラックリストに載るような状態ではあるので、テスト自体はそれと同列に捉えられるようになってきてると思う。

２．集会においてサイト主催者、サーバ管理会社に対しての事前の予告なく脆弱性の指摘と個人情報の一部開示を行った問題

予告があったにしても、個人情報の開示は許される行為ではない。
インターネットセキュリティの問題は、サーバー管理側、ユーザー(または単に不特定多数)側双方の意識改革の上で成り立つものだ。
　”個人情報の一部開示”が犯罪となるほどのものではなくとも、この行為は明らかに犯罪行為を正当化し、助長するものであると感じる。
　鍵をかけずに泥棒に入られれば、鍵をかけないほうが悪いとは言われるものの、現実には、泥棒自体が犯罪であり、鍵をかけなかった人は被害者であり、鍵がかかってなくても盗みはしないというモラルが常識として存在しているがネット社会では、その匿名性や、盗んだデータのオリジナルは消えないという特質などの影響もあってまず、第一にそのモラルの低さが懸念される。
　現時点において、モラルをさらに低める行為は厳しく諌められるべきであると考える。

======================================================================
１．サイト主催者、サーバ管理会社に対しての事前の予告なく、脆弱性のテストを行った問題

脆弱性については例えばoffice氏が行わなかったするとプログラムの作成者（今回はcgi作成者のおそらく森川氏）がテストを行わない限り誰も脆弱性について知りえないかあるいはもっと危険な人物によって発見されより多くの被害が発生した可能性もある。

かといってoffice氏が依頼されたわけでもなにもかかわらず、ある意味ファーストサーバを救ったわけでもあり、窮地に陥れたわけでもある。

もし、ファーストサーバがプログラムの脆弱性の調査を依頼すると「ただ（０円）」というわけには行かないと思われるので、このようなボランティアがいるのはありがたいことではないだろうか。

ただ、もう少し組織化をしてテストに対するルール作りは必要ではないかとおもわれる。

２．集会においてサイト主催者、サーバ管理会社に対しての事前の予告なく脆弱性の指摘と個人情報の一部開示を行った問題

おそらく、問題となっているのは２の部分であり、実際に見たわけではないので、どの程度の内容をどのように開示したのか知りえない上では論ずるべきではないのだろうが、少なくとも情報の見せ方を許可を得て（許可されないと考えたのかはわからないが）すべきであったのではないだろうか？

office氏が構築したテストサーバから引き出したデータを見せるという手法でも良かったのではないだろうか？

インターネットは相互の協力の基に成り立つネットワークであり、問題のあるサーバは無いに越したことは無い。
しかし、実社会のように、自分には関係がないと考え、問題を抱えたサーバが稼動する現状において、アタックテストは必要でありその費用がかさまないこともまた必要なことではないかと考えます。

逆の発想ではインターネット上にサーバを設置するためにはアタックテストが必修でありそのコストを盛り込むということも必要なのかもしれない。

======================================================================
職業：コンピュータセンター運営担当

１．サイト主催者、サーバ管理会社に対しての事前の予告なく、脆弱性のテストを行った問題

まず、この設問そのものが疑問です。
「テスト」となっていますが、この者の行為は、単純にプログラムのバグを突いてサーバに入れるかどうか、さらに情報を引き出せるかどうかを、一方的に確認しただけのもので、「テスト」とはいえないと思います。

（という前提の下で、）
運営側に全く知らされていない状態で、こうした「擬似アタック」を仕掛けることは好ましくないです。
運営側にとっては、擬似アタックなのか、本当のアタックなのかの判別が出来ませんので。

２．集会においてサイト主催者、サーバ管理会社に対しての事前の予告なく脆弱性の指摘と個人情報の一部開示を行った問題

本人は「警鐘を鳴らす」目的だったのかも知れませんが、サイト側に事前連絡せず「脆弱性がある」と公表するのは、警鐘を鳴らすものでは無く、危険性を増すだけの効果しか無いでしょう。
そこから入手した個人情報を開示した件については、言語道断です。

======================================================================
１．サイト主催者、サーバ管理会社に対しての事前の予告なく、脆弱性のテストを行った問題

法律による罰則があっても、この行為を実行する人間には、過去・現在・未来と状況は変わることはないと思います。

ただし、本当の意味でのセキュリティ啓蒙活動であれば、事前連絡があるべきだと思います。

２．集会においてサイト主催者、サーバ管理会社に対しての事前の予告なく脆弱性の指摘と個人情報の一部開示を行った問題

知識、挑戦、啓蒙よりも自己顕示欲が強かった結果でしょう。

自己顕示欲がなかったとしても「取得した情報の公開」がセキュリティ問題を説明するための行為であったのなら軽率な行為としか思えません。

======================================================================
研究職公務員、兼業LAN管理者

１．サイト主催者、サーバ管理会社に対しての事前の予告なく、脆弱性のテストを行った問題

まず一般人的視点から考えてみる。

不正アクセス禁止法に抵触しないことは大前提として、オンライン取引開始前のチェックといった直接の(予定)当事者としてならテストは完全に正当だと思うが、直接関係ないサイトについてはそのサイトの公共性とテストの正当性が比例するような関係だと思う。

直接関係ない私企業のサイトをわざわざテストしに行くのは、余計なお世話でありそこの担当者を痛めつける悪趣味な行為とも考えられる。しかし、そこに「消費者からの暗黙の依頼ないし期待」があったと見るのは無理だろうか。過去にそのようなテストで問題が指摘されて Web の改善が行われ、消費者が損害を被るリスクが軽減されてきた、つまり恩恵を受けてきたことを踏まえ、消費者がそれを期待している、誰かにやって欲しいと思っていると考えるのは妄想だろうか。

はてなのスターダストさんの日記に切実な思いとともにつづられていたが、第三者がテストをするなりして品質の水準を維持するする仕組みが必要だ。消費者は、自覚の有無はともかくそれを必要としている。そのことに自覚があり、「誰でもいいからやってくれれば何もないよりずっといい」と思っている消費者が無視できないほどいれば、上記は妄想とは言えないと思う。少なくとも私自身はそう思う。

しかし、それを個人の正義感に頼るのは危険である。そもそも正義とは無形の麻薬であり、あるいは office 氏のパワーの源になっていたのかも知れないが、独善に陥って暴走する危険をはらむ。もちろん office 氏のモチベーションが正義感から来たものかどうかは知るよしもないが。

今回の脆弱性についての対応には本人も認めるように過誤があり、個人ではそのようなことを未然に防ぐのは難しく、またそれによって生じた問題についての全責任を個人が背負うことになる。これは望ましいことではない。農林水産省に消費・安全局が設けられたように、消費者保護のための公的機関が設けられるのが望ましいと思う。十分機能しない危険はあるが、少なくとも安全なタレコミ先にはなる。JPCERT/CC がそのために機能していないらしいのがなぜだか分からない。

参考：http://d.hatena.ne.jp/hoshikuzu/20040104#p3

もちろんきちんと機能すれば私企業でも構わない。ミシュランとて元はタイヤメーカーのおまけである。CGI 脆弱性・最新修正情報の有料データベースを構築したり、それに基づき「最新版保証シール」を発行したりすれば、ビジネスとして成立するのではないか。NS総研なら可能かも知れない。NS総研のサイトにリンクした最新版保証シールをクリックするとその CGI の作成者や更新履歴などが分かったり、ユーザー企業がアップデートを怠っているとリンク先が「最新版ではありませんシール」に変わるようになっていたり。

次に、半可通ながら業界的視点で考えてみる。

第三者によるソフトウェアの脆弱性の指摘とそれを受けての改善は一般的に行われていることであり、むしろ品質向上の重要な手段であろう。そのためローカルで脆弱性をテストする行為には、何ら問題はないと見なされているはずである。cgi のテストはそれをネットワーク越しに行っただけのことで、法律などで禁止されている行為を行っていない限り問題はない。

Web は誰でもアクセスできるのが前提であり、「テストのためのアクセスはお断り」とでも明記されていれば別だが、そのようなサイトを信用する気になる人がどれくらいいるだろうか(案外いるかも知れないが)。また、テストのためのアクセスは本来の利用方法ではないが、ローカルでソフトウェアのテストをする場合もそのソフトウェアを本来の利用方法とは違う形で利用している。前者がだめで後者がよいとする理由はないと思う。

２．集会においてサイト主催者、サーバ管理会社に対しての事前の予告なく脆弱性の指摘と個人情報の一部開示を行った問題

これはどうひいき目に見ても間違ったことであろう。特に個人情報を一部とはいえ開示してしまったのが事実であれば弁解の余地はあるまい。

なお、脆弱性の指摘には問題はない。予告なく脆弱性情報を公開してしまった点が問題である。Microsoft も中国のセキュリティ研究者とやらがいきなり Bugtraq に脆弱性情報を流したことに不満を述べていた。発見した脆弱性情報の取り扱いというのは昔から問題だが、いきなり公開というのが好ましくないというのについてはほぼ関係者の意見が一致していると思う。

しかし office 氏も作成者や cgi 設置者に全く連絡しようとしなかったわけではなく、詳しくは分からないが cgi 設置者に完全に周知するのは不可能だと思うに至ったらしい。そこで諦めて、恐らく一種の半ば投げやりな気持ちに陥って冷静に検討せぬまま公開するという決定的な過ちを犯してしまったのであろう。作成者が分かっているのなら、利用者を捜し出して連絡する責任をそちらに押しつけるという選択肢もあったのではないだろうか。本来その責任はそちらにあるはず。

直接攻撃に利用できないような情報だけ公開することも考えられるが、あまりにも典型的な脆弱性の場合はどのスクリプトに問題があるかが分かるだけで攻撃が可能になることもあり得るので、部分的公開が不可能だったとしてもやむを得ないかもしれない。

上で述べたような「安全なタレコミ先」があれば、こんなことにはならなかっただろうに。

──
アンケート結果の後半＜その２＞はこちら
https://www.netsecurity.ne.jp/article/1/11984.html

《ScanNetSecurity》