【マンスリーレポート2003/12】脆弱性の指摘は不正アクセス禁止法違反か ACCSの事件から広がる波紋 | ScanNetSecurity
2024.03.29(金)

【マンスリーレポート2003/12】脆弱性の指摘は不正アクセス禁止法違反か ACCSの事件から広がる波紋

──────────────────────────────〔Info〕─
Scan Monthly Report Best Worst
http://www.vagabond.co.jp/c2/shop/books/p-sbw01.html

製品・サービス・業界動向 業界動向
──────────────────────────────〔Info〕─
Scan Monthly Report Best Worst
http://www.vagabond.co.jp/c2/shop/books/p-sbw01.html

ネットワークセキュリティ・インシデント年鑑2003
http://www.vagabond.co.jp/c2/shop/books/p-inc02.html
───────────────────────────────────


 今年1月4日の朝日新聞に「国立大研究員がコンピュータソフトウェア著作権協会(ACCS)のサイトから個人情報を引き出し、その一部を公開した」という記事が大々的に報道された。「警視庁が不正アクセス禁止法違反の可能性があるとして捜査を開始している」という。この事件の本質的な問題はどこにあるのだろうか…。

>> 不正アクセス禁止法違反で警視庁が捜査
>> ただし、ことはそう単純ではない

 朝日新聞の記事における国立大学研究員というのは「office氏」である。この事件については、すでに「Scan Security Management」誌上にて掲載している。

◇【マンスリーレポート2003/11】不正アクセスで個人情報が盗まれる
 危険性があらためて浮き彫りになったACCSの問題(2003.12.15)
https://www.netsecurity.ne.jp/article/1/11850.html

 ただ、今回の朝日新聞の報道では「不正アクセス禁止法違反の可能性」が指摘されている。警視庁では、「現在、どのような捜査をしているか、捜査を継続しているかどうかなど、捜査に関するコメントは一切できない」としているが、ACCSによれば「昨年中に、すでに警視庁から情報収集への協力要請はあった。その内容についてはコメントできない。今後も要請があれば協力する」としている。どうやら、不正アクセス禁止法違反を視野に入れた捜査は行われていると判断してもよさそうだ。office氏は、自らの行為について、インターネットや個人情報を管理するサーバにおける「脆弱性について警鐘を鳴らそうとした」としているが、その行為が今や波紋を大きく広げつつある。

 今回の朝日新聞の報道を読む限りでは、office氏=「悪意のあるハッカー」であり、「サイト管理者が予測しない、できない手法で不正にアクセスし」→「個人情報を盗み出し」→「その一部を公開した」という図式が浮かび上がってしまう。だからこそ、不正アクセス禁止法に基づく捜査が進められていると考えられるのだが、ことはそう単純ではない。そこで、今一度、「どういった経緯で問題が明らかになり、大きくなっていったのか」について振り返ってみたい。


>> 脆弱性のあるサーバが存在している この大前提をしっかりと認識すべき

 発端は、昨年11月11日にACCSが、同協会が運営するサイトの質問フォーラムにおいて、ここに入力された個人情報が閲覧可能であったことを発表したことにさかのぼる。これは、ある「第三者」からACCSに対し、「ACCSのホームページ上から個人情報を入手できる」という内容の電子メールが送られたことで発覚した。この「第三者」がoffice氏である。office氏によれば、原理的には「サーバの中のファイル表示をする機能を持つcgiが、制限無くどのようなファイルをも表示できるようになっていた」という。office氏は、当時のScan編集部の取材に対して「cgi本来の表示機能を利用するにあたって、ファイル名を指定するべき場所に、閲覧しようとするファイル名を指定するだけ個人情報を入手できてしまう。その作業は普通、『特別な操作』」とは言わない」と、多くの人間がACCSのサイト上から個人情報を入手できる可能性があったことも、あわせて指摘している。

 一方、ACCSでは、「cgiファイルはCSV形式で残るが、そのファイルについては定期的に廃棄するなど、個人情報保護の取り組みはしていた。しかし、今回はCSV形式のファイルとは別個に、ログファイルが残っていて、そこから個人情報が入手可能となっていた。レンタルサーバを利用しているが、そのことに関しての情報を得ていなかった」とコメント。サーバを管理していたのは、クボタ系列のレンタルサーバ会社・ファーストサーバである。同社によれば、「問題となったのは、当社で標準cgiと呼ばれるもので、2003年初めより、すでに提供は中止し、新たなバージョンに切り替えていた」という。

 ここで、あらためて認識しておくべきことは、ACCSのサーバ、つまり、ファーストサーバが提供していたサーバに「脆弱性」が存在していたという事実である。それも、特別な操作を必要とせずに個人情報を入手できてしまうような脆弱性があったこと、しかもACCSに限らず、脆弱性を持ったサーバがインターネット上には数多く存在することを、まず、前提として認識しておくべきである。


【執筆:下玉利 尚明】

(詳しくはScan Security Managementをご覧ください)
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?ssm01_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×