朝日新聞等で報道された「国立大研究員が個人情報を公表」という事件に関するアンケート結果を発表＜その２＞

先日、朝日新聞等で報道された「『ネットの脆弱さに警鐘』国立大研究員が個人情報を公表」（ http://www.asahi.com/national/update/0104/003.html ）に関する下記の問題について、皆様から頂きましたコメント（後半）を掲載させて頂きます。ご協力頂き誠にありがとう

製品・サービス・業界動向業界動向

2004年1月8日（木） 12時00分

先日、朝日新聞等で報道された「『ネットの脆弱さに警鐘』国立大研究員が個人情報を公表」（ http://www.asahi.com/national/update/0104/003.html ）に関する下記の問題について、皆様から頂きましたコメント（後半）を掲載させて頂きます。ご協力頂き誠にありがとうございました。

アンケート結果の前半＜その１＞はこちら
https://www.netsecurity.ne.jp/article/1/11983.html

==＜質問＞============================================================
　１．サイト主催者、サーバ管理会社に対しての事前の予告なく、脆弱性
　　　のテストを行った問題
　２．集会においてサイト主催者、サーバ管理会社に対しての事前の予告
　　　なく脆弱性の指摘と個人情報の一部開示を行った問題
============================================================＜質問＞==

======================================================================
職業：SIベンダ技術者

１．サイト主催者、サーバ管理会社に対しての事前の予告なく、脆弱性のテストを行った問題

【結論】問題はない。
【論点１】
当該サーバは、本来的に一般向けに公開を想定したものであり、アクセス制限をしている旨を明確に表明するとともに、充分な実効力のある制限を実施していない限り、プロトコル規約にしたがったさまざまなアクセスが行われるのは、当然である。

【論点２】
正常なアクセスと、脆弱性のテストの境界線が明確にできない。なんらかの法的規制を設けた場合、サイト主催者と正当なサイト閲覧者との間で、混乱が起こると思われる。　少なくとも、「運営側が想定しない指示を送って入った」（朝日新聞より）ことを規制することは無理がある。たとえば、とても簡単なパスワードを設定した場合など、運営側が想定しなかったというのはどうか。

２．集会においてサイト主催者、サーバ管理会社に対しての事前の予告なく脆弱性の指摘と個人情報の一部開示を行った問題

【結論】問題である。

【論点１】
脆弱性の有無，本来公開されないはずの情報の２点を知ることと公開することは別問題であり、知ることは止むを得ないかもしれない。しかし、それらを開示することは、開示の結果起こる状況が事前に想定されるものであり、開示する者はその状況について責任を負うべきである。

【論点２】
一般消費者の保護という目的と、今回の手段にまったく整合性がない。悪意あるアタッカーから情報を守るのが本来の社会的要請であり、脆弱性が発見された場合、当該サイト主催者に修正を促すのが最初に行うべき行動である。

======================================================================
職業：ウェブサイトユーザビリティコンサルタント

ご存知のように国立大研究員が行なった行為は、不正アクセス行為の禁止等に関する法律に該当するものと考えます。

１．サイト主催者、サーバ管理会社に対しての事前の予告なく、脆弱性のテストを行った問題は「不正アクセス行為の禁止」に十分妥当であり、許されるべき行為とは考えられません。
法規自体の問題性は別として、バーチャルとはいえ他者の所有する領域に無断で侵入し、データを持ち出した行為自体を許すことはWebの業界に連なるものとしても許されざることです。
私自身、ハッカーの存在自体を否定するつもりはなく、現状でもセキュリティのテストの一貫として有効であると考えます。コンピュータ社会の発展に十分寄与された歴史もあります。ただそれも許可の上での行為と考えます。刑法での罰則がないから行なえる行為でもありません。
国立大研究員は、専門家でありながら電磁的記録という無体物に関しての認識の甘さを伺わせます。もしこれが、倉庫に保管中の商品をセキュリティが悪いからといって無断で持ち出した場合はどんな罪に問われるでしょう？ハッカーだから許されるという思い込みこそが良識を逸脱した行為といえます。

２．集会においてサイト主催者、サーバ管理会社に対しての事前の予告なく脆弱性の指摘と個人情報の一部開示を行った問題は「不正アクセス行為を助長する行為の禁止」にあたるもので罰せられるべき行為と考えます。不用意に第三者に個人情報を提供しハッキングの手口まで公開した罪はハッキング行為以上に重いものと考えます。この行為により公開された個人個人からの訴訟を受けたとしても致し方ないといえます。

より強いセキュリティを構築するために、ハッキングは必要と考えています。早急な法整備も急がれますが、ハッカーの保護のための団体の設立が望ましいと考えます。管理者や企業からの依頼の元にハッキングを行い、サイトの脆弱性発見のために貢献すべきと考えます。
情報公開に関してはかなり慎重な態度が望まれます。ハッキングの倫理も問われることと考えます。ソフトの開発元との連係を踏まえ、クライアント企業、エンドユーザの保護を一番に考えた方法が必要でしょう。
米国のように「グレーハット」を締め出すこと自体がWWWの自由を侵害するものと考えられるし、健全な発展を阻害すると考えます。

======================================================================
職業：プログラマー

１．サイト主催者、サーバ管理会社に対しての事前の予告なく、脆弱性のテストを行った問題

現在のサイト主催者、サーバ管理会社のセキュリティ意識の欠如や見当違いのプライドにより、事前予告をした場合には「そのようなことをされては困る。
もし実行してきた場合は法的措置も辞さない」と回答されるのは目に見えているので、事前予告なしで行うのはやむをえない面もある。

２．集会においてサイト主催者、サーバ管理会社に対しての事前の予告なく脆弱性の指摘と個人情報の一部開示を行った問題

実名を挙げたのであれば、サイト主催者、サーバ管理会社に連絡なく行ったのは問題がある。

サイトのアドレスや引き出した情報を特定できないようにして資料にしたのであれば、問題はない。

（朝日新聞の報道では「集会で開示された個人情報をコピーして持ち帰った参加者がいる」とあったが、これは事実でしょうか？事実だとしたら、office氏のいかなる反論も意味を持たないことになりますが。）

======================================================================
職業：LAN管理者

・脆弱性のテストは予告なしに行っても良いと思われます。
・脆弱性の指摘は当事者にすべきであり、指摘を行わずして第３者に公表した場合には大きな問題であると思われます。
・個人情報の開示を行ったことに関しては、いかなる理由にせよ大きな問題であると思われます。

総合的に、脆弱なサイト群を少しでも強固なものとするためにも第３者による脆弱性テストが行われることは望ましいことと感じますが、テスターの労に報いるしくみ（中立的な指摘仲介機関等）が整備されればこのような問題に発展しなかったように思われます。

======================================================================
役職：ネットワーク機器開発マネージャー

１．サイト主催者、サーバ管理会社に対しての事前の予告なく、脆弱性のテストを行った問題

インターネットのインフラは、ライフラインの接続保障もなく、ベストエフォートなフリーなアクセス媒体であるのが現状だと思います。
現在のインターネットのインフラの状態において、事前の予告無くテストを行うことや、脆弱性のテストも行うことを阻害することは、あり得ますし、サイト主催者、およびサーバ管理者はその危険を承知で公開している前提が必要であると思われます。

２．集会においてサイト主催者、サーバ管理会社に対しての事前の予告なく脆弱性の指摘と個人情報の一部開示を行った問題

サイト主催者、サーバ管理会社に了解無く、脆弱性の指摘と個人情報の一部開示を行われたことですが、公衆回線のようなインフラとの違いを、個人情報を登録してもらう際に、その危険性があることを、明示すべきあり、サイト主催者、サーバ管理会社も個人情報を扱う際も、その危険性を認識しているべきことが重要であると思います。
その認識をもって、生命や金銭、プライバシーに関わる重要な情報は、暗号や認証が行われる仕組みを取り入れて守っていくべきであると思います。
今後、パソコン以外にもネット家電などのノンＰＣ機器の接続が行われる場合は、他人によって勝手に操作される可能性もあります。そうならないような仕組みや暗号、認証の取組み、IPv6化への対応を行っていくことが重要であると思われます。

======================================================================
職業：WEBプログラマー

このデータファイルの入手の仕方（exploitコード）がはっきりとは分かりませんが、クロスサイトスクリプティングの脆弱性のテスト・実証とは違って、今回のケースでは個人情報に実際にアクセスするわけですから、「これはかなりきわどいことをやっているのだ」ということを、office氏は事前に認識していてしかるべきだったと思います。ですから、しかるべき手順を取るべきだったと思います。

クロスサイトスクリプティングの検証であれば、「特定のキーワードを入力すれば、タグが実行されるでしょう。だから悪用される危険性があるんです。」ということをサイト運営側に示すだけであり、そのキーワードによって生成されるページに対してどこか別のページからリンクなどを実際に張らない限り、脆弱性は発露しません。つまり実害がありません。

ところが、今回のようなデータファイルの入手となると、ハッカー（クラッカー）と言われても仕方のないレベルでの脆弱性実証になってしまいます。ただ、データファイルが入手される可能性があるということを示すためには実際に脆弱性を示さなければ信用してもらえません。ここが難しいところです。
たしかに依頼されていないのに脆弱性の検証テストを始めたことは問題ですが、だったら「この脆弱性は善意の第三者に永久に知られなくてもいい（悪意のクラッカーが第一発見者になっていい）のか？」という問題になります。確かにセキュリティ会社で有料の脆弱性テストをしているところもあり、そのようなところに依頼するぐらい意識の高い会社であれば良いのですが、そうでない場合が圧倒的でしょう。

この問題は本当に難しいですね。

ただ、事前の依頼もないのにデータアクセスが可能かどうかを実証する形での脆弱性の指摘は、住基ネットとの関連でも、政府や警察は絶対に認めたくないはずです。脆弱性の指摘という形であれば住基ネットへの外部からのアクセスの試みが無条件に認められるならば、大変なことになるからです。

実際問題、今回の朝日の記事は、何か背景を感じます。住基ネットの信頼性の問題が盛んに取り上げられる中、何者かによってけん制されたというのが背景（の一部）にあるように思います。

※仮に「クロスサイトスクリプティング」の指摘のような問題さえ、相手の会社に事前に連絡が必要であれば、脆弱性を検証しそれを指摘するような善意の第三者（ボランティア）はいなくなるでしょう。

２．集会においてサイト主催者、サーバ管理会社に対しての事前の予告なく脆弱性の指摘と個人情報の一部開示を行った問題

これは100％良くないです。office氏も早まったものです。

office氏も公開手順などは熟知していたはずなのに、公開の時期や方法がよくなかったです。

問題のあるサイト及び、今回のケースで言えば同種のCGIファイルを利用しているユーザーのサイトにおいての危険性が（ある一定段階まで）除去された段階で公表すべきだったのに、適切でない時期に情報を公開してしまっています。この部分は、office氏に非があるかと思います。

また、個人情報の開示は決してあってはいけないことです。問題のあるサイトに対して脆弱性を説明するためにその個人情報の入ったファイルを見せることには意味はありますが、一般の人に見せて何の意味があるのか理解に苦しみます。この場合、「自分の技術の高さを誇示するために行われた」と取られても仕方がないのでは？　と思います。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
●朝日新聞の記事について

>研究員と協会の説明によると、研究員は１１月８日、>インターネットから協会サイトのサーバーに、運営側が想定しない
>指示を送って入った

というのが、万民に理解できるような文章にすると確かにこんな感じになるか分かりませんが、何か違うと思いました。「運営側が想定していない」というのが、「運営側が（あまりにもプログラム・セキュリティについて無知であったために）想定していなかった指示を送って入った」であったらどうなるのでしょうか？

誰でも思いつくようなことをやって、不正アクセスだと言われたら困ります。例えば、googleツールバーの、「ディレクトリーを上に」というアイコンをクリックしたら、index.htmlがなく、.htaccessでの制御もなかったのでファイル一覧が表示されました。その際に、「customer.csv」というファイルがあったので、思わずクリックしたら個人情報がダウンロードされました。これは不正アクセスでしょうか？

http://www.example.com/hogehoge/
というURLにリンクを張っているページは存在しないからといって、
http://www.example.com/hogehoge/sample.html
から
http://www.example.com/hogehoge/
にアクセスする人はいないはずだと運営者側が"想定"していた場合、
http://www.example.com/hogehoge/sample.html
から
http://www.example.com/hogehoge/
にアクセスしたら不正アクセスでしょうか？

プログラム開発者の想定レベルが低ければ、それは通常バグとか不具合とか脆弱性というのであって、不正アクセス禁止法で守られるものではないはずです。守ろうという意識が拝見されない以上、これは違うはずです。であれば、朝日の記事は、不正アクセスの定義を誤解させる、不正確な記述だと思います。今回のデータファイルは単純なディレクトリーインデックスのような問題ではなく、確かにソースを分析したりとか、手の込んだことをしなければ、入手は不可能なファイルだったかもしれませんが、そのことに朝日新聞のような大手新聞が触れていないと、「何でもかんでも不正アクセスのように解釈されるような土壌ができないか」と不安になります。

──
アンケート結果の前半＜その１＞はこちら
https://www.netsecurity.ne.jp/article/1/11983.html

《ScanNetSecurity》