office 氏の逮捕についてのアンケート結果を発表

【office 氏の逮捕についてのアンケート結果を発表】

製品・サービス・業界動向業界動向

2004年2月10日（火） 12時00分

【office 氏の逮捕についてのアンケート結果を発表】

　2月4日、新聞紙面およびテレビで報道されたように、本誌でお馴染みのライターoffice氏が逮捕されました。

　本件につきまして、Scan編集部では、弊社媒体であるScan Daily Expressおよび本誌（Scan Security Wire）誌上にてアンケートを実施しました。このアンケートに対し、非常に多くの回答をいただきました。ご協力頂き誠にありがとうございました。なかでも特徴的であったコメントをいくつかご紹介させて頂きます。

==＜質問＞============================================================
　１．逮捕そのものについてのご感想、ご意見を賜れればと思います。
逮捕は妥当であり、じゅうぶん予測できたという方もいらっしゃれば、逮捕までいくとは思わずショックを受けている方あるいは「みせしめ」ではないかという疑問をもつ方などいろいろな見方があると思います。率直なご感想、ご意見をいただければと思います。

　２．この逮捕による、今後のわが国のネットワークセキュリティついての影響についてお答えください。象徴的な事件となりますので、よい影響を与えるか、悪い影響を与えるかについてのご意見を賜れればと思います。
============================================================＜質問＞==

======================================================================
職業：セキュリティ管理会社社長

１．逮捕そのものについてのご感想、ご意見

　逮捕は不当。

　今回の逮捕劇についての疑問点は次の一点にあると考えます。

　ACCS又はその利用するISPは、パラメーターにファイル名やパスを与えることで、任意のファイルを表示するCGIプログラムを設置して公衆に利用させていました。

　このことは、サーバー内の全領域を公開領域として設定していたものと同等に評価されるべきものと考えます。
　office氏の行った行為は、このCGIプログラムに、このプログラムが設計上当然「予定」していた、「正当な」パラメータを与えて実行させただけと判断されます。

　一方、不正アクセス禁止法が禁じる行為は、「特定利用の制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動」させることであり、本法を適用して処罰するためには、WWWサーバーやCGIプログラムの設計上予定されていなかった（バッファオーバーフローなどの）データ送信やコマンド送信が伴うことが必要であると考えられます。

　従って、office氏の行為は、不正アクセス禁止法の構成要件には該当しないため、本法の適用による逮捕は不当と考えます。

　なお、報道によれば、office氏は威力業務妨害の疑いもかけられていますが、（これは上述のように、構成要件該当性が疑われる恐れがあるため念のために付け加えたものだと思います。）セキュリティホールを指摘したり、個人情報を比較的少数の者に配布する程度では、同罪による逮捕は行き過ぎと言わざるを得ません。

======================================================================
職業：中小企業のシステム管理者

１．逮捕そのものについてのご感想、ご意見

　エンジニアの方の考えと、技術に疎い一般人の意識の差がでた事件であったと思います。ハッカー的な文化では、扉を開けっ放しにした方に重大な落ち度があると考えますが、一般人は扉が開いていた証拠にものをもって行く前に一声かけてくれないと泥棒と同じと思うと思います。
　したがって大多数の一般人の常識では、逮捕されてしまったわけです。

２．この逮捕による、今後のわが国のネットワークセキュリティついての影響
　ハッカー系の方には、一般人の意識レベルを認識させることになったのではないかと思います。これにめげず技術力を誇るだけでなく、一般社会への説明責任も十分に配慮していただける技術者が増えるとよいのですが

======================================================================
１．逮捕そのものについてのご感想、ご意見

　今回の逮捕は取得した個人情報の公開に対してであれば妥当である。

　そのため、今回の事件は不正アクセス禁止法ではなく、個人情報保護法で逮捕されるべきだ。

　セキュリティ調査行為は不正アクセス禁止法によって、抑止されるという意見があるがそれは間違いである。相手側に適切な伝え方をすれば告訴されることはなく、告訴がない限りは法によって裁かれることはない。

　行為が逸脱した時点で啓蒙活動とは言えない。

２．この逮捕による、今後のわが国のネットワークセキュリティついての影響
　現状のセキュリティ対策では問題があることを理解していただける結果につながればよい影響だと言える。

　ニュースで見たＡＣＣＳ側のコメントを聞く限り、彼らはまだ問題の本質を理解していないのも事実である。

「彼らはピッキングをされて情報を盗まれたようなもの」と、表現していたが今回の事件の原因を知っている者にとっては、「道路に落ちていた財布をネコババした」のと同レベルである。

　ネコババも法的には認められない行為であるが、財布を落とした側の管理能力は問われるべきである。

　今回の事件の被害者にとっては、逮捕された犯人、サイト運営者はどちらも加害者である。
　被害者の情報は”非公開”であるのかもしれないが、被害者側のコメントがどのメディアにもないのは残念だ。彼らのコメントこそ今回の事件の本質を知るものではないだろうか？

======================================================================
職業：PC機器営業

１．逮捕そのものについてのご感想、ご意見

　逮捕は妥当と考えます。理由はセキュリティホールが確認された場合その不具合が修正されるまで手法を公開すべきではないと考えるからです。

２．この逮捕による、今後のわが国のネットワークセキュリティついての影響
　セキュリティホールを見つけた場合の適切な対処方法(貴社で取られている対応方法等)をもっと広くアピールする必要があると思います。

======================================================================
職業：神戸市在住　システム監査技術者

１．逮捕そのものについてのご感想、ご意見

　Office氏の逮捕には強い憤りを感じております。まったく不当な法律解釈と感じます。

　日本中のサイトに、致命的なセキュリティ上の欠陥があり、それを放置しておきながら、警告する目的で、侵入したことを犯罪とすることは、本末転倒ではありませんか？

　そもそも、システム監査の義務付けやISMSの構築を積極的に進めない行政の無知が、このような危険な社会の到来を招いたのではありませんか！
　きちんとしたマネジメント・システムが無い状態で、いきなりインフラを整備して、利用を拡大すれば、何が起こるか火を見るよりも明らかです。

　セキュリティだけでなく、ITそのものに何の見識も無い経営者や役人の社会に対する罪ははるかに大きいと思います。

　確かにOffice氏の行動は、積極的に評価できるものではなく、倫理的に問題がある、と私も思います。

　しかし、IDやパスワードを盗んだ訳ではなく、専門家なら誰でも知っている方法で、普通に侵入でき、情報まで取り出せてしまった、多分、Officeもあきれかえったことでしょう。
　いくら警告しても、改善しようとしない、多くの人々に対し、このような行動を取らざるを得なかったOffice氏の心情は十分理解できます。Office氏は、改善してもらいたい一心で、警告を出されたのでしょう。警告を出さなければ、情報を盗まれたことすら、検知できなかったかも知れません。

　そんな状態で逮捕しても、見せしめにもなりません。
　即刻、釈放してOffice氏に謝罪していただきたいと思います。

２．この逮捕による、今後のわが国のネットワークセキュリティついての影響
　このような事件は、マスコミの取り上げ方で影響が左右されます。
　正しい認識を持って、社会全体に警告する論調が増えることを期待します。逮捕、それ自体を問題にするのでなく、社会全体が極めて脆弱であり、それを放置したまま、どんどんインターネットが社会のインフラになっていくことの危険性を、正面から見据えていただきたい。
　そうなれば、この事件は意義があったと思います。

======================================================================
職業：ネットワークコンサルタント　佐藤隆一

「今回の事件の影響で、セキュリティの欠陥を指摘するような『善意の行為』が萎えてしまうようなことにならぬよう、なにがどう違法であったのかを一刻も早く明確にし、善意の行為を確実に安全に反映できる仕組み作りを急ぐべきだ」

======================================================================
職業：SIベンダ技術者

１．逮捕そのものについてのご感想、ご意見

　逮捕に至ったのは意外ではある。　しかし、すべての経緯が表沙汰になっている状況では、捜査担当者としても黙認はできなかったと想像できる。
　今回のような脆弱点の場合、悪意ある第３者が不正アクセスとみなされるURLを誰かにメールで送った場合、受信者がその URL をクリックしただけで、メール受信者が逮捕されるのかという心配を持った。

２．この逮捕による、今後のわが国のネットワークセキュリティついての影響
　どちらにしても、ごく軽微であると思っている。この業界では有名な人物，有名な事件ではあるが、一般的には逮捕者の叔父が政府高官であったことだけが注目されているようだし。
　あえていえば、良い影響があると思う。逮捕者が出たおかげで、Web アプリケーションに潜む脆弱性についての認知度が上がり、Web アプリケーションの開発，運用時にセキュリティ対策にかける費用が増えるのではないかと期待する。

======================================================================
職業：セキュリティアナリスト　帆場英次

１．逮捕そのものについてのご感想、ご意見

　逮捕されたことは、当然と考えます。昨年のイベントに使用されたと思われるプレゼンテーション資料（WebExploit_Demo.ptt）を拝見し、これはセキュリティの脆弱性を指摘する限度を超えていると判断したからです。

前回のアンケート
https://www.netsecurity.ne.jp/article/1/11983.html
では、「影響範囲」と「再現性」について説明しましたが、「影響範囲」は、コンピュータソフトウェア著作権協会のホームページ業務の停止という形になりました。脆弱性を指摘するなら、協会の立場を考慮して影響が最小限になる（サーバー保守時間を最低限にする）協力をすればよかったでしょう。それが十分ではなく、対策も行われず公開したことで、威力業務妨害という最悪の結果になったものと判断します。

　イベントで公開した後、同脆弱性を利用して数名の人がアクセスし、個人情報を取得したことが明らかになっています。「再現性」が確認できた脆弱箇所、入手方法を公開し、被害をさらに拡大させたことは、許されるべきではありません。この点は、事前に発表資料を査読しなかったイベントの主催側にも責任は大きい。もしも、この件で不正アクセス禁止法に適用しないなら、類似するイベントが日本で各地で開催され、個人情報が漏れつづけていくだろう。逮捕は当然である。

２．この逮捕による、今後のわが国のネットワークセキュリティついての影響
　この逮捕をきっかけに良い方向に持っていくことが、情報セキュリティを生業とする専門家の使命であると考えている。安全を守るという名を借りて、個人情報を入手し、イベント会場で脆弱性と個人情報を公表する。そんなやり方を終了させるキッカケになったことだけでも、よかった。悪い影響としては、セキュリティ脆弱性情報を交換しているサイトが会員制をとりはじめている点だ。これは、オープンな形でセキュリティ情報を公開するものとは、全く逆の動きであり、特に注意すべきであろう。

======================================================================
職業：研究職公務員、兼業LAN管理者

１．逮捕そのものについてのご感想、ご意見

　警察に対してはこう思いました。

「ふーん、そう、じゃ、今後はネットワークで市民の安全を守るのは警察がや　ってくれるのね(できないくせに)。」

　京都府警はWinnyユーザー逮捕や47氏宅の捜索などで「ハイテク犯罪捜査」においては先行しているようですが、そのお膝元に警視庁が乗り込んでいって逮捕するというのにも、下世話な想像をしたくなります。

　逮捕容疑については具体的な内容を知らないためはっきりしたことは言えませんが、これまでのoffice氏の活動を伝え聞く範囲ではあれで不正アクセス禁止法違反として有罪になったら大変なことだと感じています。不正アクセスの内容を明確にしてもらわないと困ります。今回の件で貴重な判例ができることでしょう。

　メールで脆弱性情報を送りつけてサイト閉鎖に追い込んだのが業務妨害だとする報道が正しいのであれば、まさに何をかいわんやです。たとえば、雨の日に店の裏の崖が崩れそうなのを見つけて教えてあげたら「店舗閉鎖に追い込んだ、威力業務妨害だ」ということになるでしょうか。崖が崩れそうであることを近所に触れて回ってもやはりそうなるでしょうか。

　欠陥を突いた、すなわちCGIに与えるパラメータを変更して想定外の動作をさせたことが業務妨害に当たるとする意見もありますが、そのこと自体はACCSに気づかれもしなかった、つまりそれ自体は妨害ではなかったように思えるため、私の感覚では納得はできません。しかしこれは法律家が判断するべきことです。

　office氏の犯した過ちのうち私が理解しているものは、４人分の個人情報を漏洩させてしまったことです。それが理由の逮捕であれば仕方ありますまい。ただしそれを理由に逮捕することができるのかどうかは知りません。また、それ以外の理由では納得できません。私の知らない犯罪行為をoffice氏が行っていたのなら別ですが。いずれ裁判が明らかにしてくれると期待したいものです。

２．この逮捕による、今後のわが国のネットワークセキュリティついての影響
　何が不正アクセスとして逮捕されるに至ったのかが分かりませんから、素人法律判断に人生を賭ける人はあまり多くないでしょう。脆弱性の探索活動は停滞すると思います。一方で犯罪目的の脆弱性探索はもちろん続きます。その結果、とりあえず動くだけで安全性は考慮されてもいないようなでたらめなサイトが淘汰されることがなくなり、何も知らない利用者が餌食にされることになるでしょう。警察は利用者を餌食にした者が違法行為をしていれば逮捕できるでしょう。しかし、法に触れずとも情報を盗めるサイトで被害にあったときには恐らく何もできません。

　そのような「カモサイト」の運営者が「十分な対策はしていたが魔法使いのようなハッカーにやられてしまった」と言っても、「そうですか」と鵜呑みにするしかありません。サイトの欠陥が暴露されその責任を問われる恐れが減るなら、リスクはユーザーに押しつけて、いざとなったら被害者面をして罪は「謎のハッカー」になすりつけるというモラルに欠けたビジネスも成立しやすくなるでしょう。

　ふつうの利用者(消費者)にはまともなサイトとカモサイトとの区別は付けられません。カモサイトを見つけては警告してまともなサイトにしていくか、本当にセキュリティ対策ができているサイトに検証済みシールでも付けてもらうか。office氏の活動は個人でもできる前者だったと理解していますが、警告を脅迫と受け止められることもあり、カモサイト関係者にはそのような活動をする人を「セキュリティゴロ」と呼ぶ向きもあるようです。これからは不正アクセスを受けたと告発されるかも知れません。

　やはり脆弱性について警告なり指導なりをして問題にならないのは公的機関でしょう。不満があってもお上には逆らえませんから。しかし脆弱性検証を立ち入り検査のように強制的に行うには、公務員として公権力を執行するという立場と法的根拠が必要でしょう。法律の制定には時間がかかりますし、そのために公務員を増員することは行政改革の枠組み上から絶対にできません。やりくりでどうにかしようにも時間がかかるのは避けられません。それまでの間、多分何年間か、下手をすると無期限に、カモサイトが横行して利用者が餌食にされる時代が続くのではないかと恐れています。
======================================================================

《ScanNetSecurity》