編集部はご難続き　SCAN編集部騒動記（2）

======================================================================

特集特集

2004年12月29日（水） 13時15分

======================================================================

編集部はご難続き　SCAN編集部騒動記（2）
−　もちろん、本稿の内容はすべて架空のものです。お間違えなきよう　−

======================================================================

あけましておめでとうございます
本年も NetSecurity & SCAN編集部をよろしくお願いいたします。

● NetSecurity 「改ざん情報」から自分のサイトを消して欲しいクレーム

　「改ざん情報」というコーナーが NetSecurity には存在する。
　https://www.netsecurity.ne.jp/9.html
　あからさまに、改ざん被害になった企業名やサイト名をさらしているため、関係各所に影響がでることも少なくない。
　よく編集部に来るのは「改ざん情報」に掲載された自社のサイトを消して欲しいというクレームというか、依頼というか、恫喝ということもある。
　彼らいわく

・サイトは復旧したので消して欲しい
・あのサイトを管理しているのは当社（レンタルサーバ）ではない。当社の責任ではないので当社のサイト名は消して欲しい。
・NetSecurity 「改ざん情報」に掲載されてからアタックが世界中から来るようになった。深刻な影響である。消去して欲しい。
・もともとそのサイトは書き換え自由なものである（wikiとか）。「改ざん」には当らない。
・その他、いろいろ

　ということである。

　これまで NetSecurity は３年間くらいこの情報を掲載してきているのであるが、改ざんされていないサイトを掲載してしまったことはほとんどない。この情報には独自ネタもあるが、外部のネタ元のサイトも複数あって、そこの情報をもとに追跡、検証した上で掲載している。そのためネタ元サイトで誤った情報が掲載されていた場合、この編集部の検証過程ではじかれる。

　もちろん、「改ざん」された方が改ざんではないと主張することもある。「意図に反して本来あるべき内容でないものが掲載されてしまった」状態であることは少なくない。はっきりと言い切れるのはXOOPSなどのWEBアプリケーションのセキュリティホールをついた改ざんはサイト管理者からは「意図せぬ利用者の書き込み」で済ませようとすることもある。よりサイト管理者が反発しがちなのが、「WEBアプリケーションは正常に動作しているが、環境設定など人的要因により問題となる状況が発生」した場合である。wikiが誰でも書き込める状態になっており、管理者が本来意図しない書き込みをされる場合がある。

「改ざん」という言葉の定義の話にもなるが、 NetSecurity ではこれも「改ざん」として扱っている。なぜなら、それは本来意図したものではないし、利用者にとっても本来意図していないものを見せられるハメになる。場合によってはクロスサイトスクリプティングなどの攻撃も可能となる危険もはらんでいる。もちろん、世の中には自由な書き込みを許しているサイトはいくらでもある。問題は、利用者が危険性を事前に察知できるかどうか、そのサイトの利用者数や属性が問題になる可能性をはらんだものなのかどうかといったことになってくる。自由な書き込みを許しているサイトは、ある意味、誰でも自由に攻略できるセキュリティホール満開のサーバと同じなのである。それが「改ざん」情報に掲載されるかどうかは、「改ざん」行為の有無とその影響度合いによる。
　ちなみに影響度合いという観点から「改ざん」情報では個人のアクセス者が少ないサイトの「改ざん」は掲載しないことが多い。

●「改ざん」情報を削除して欲しいという人たちは、ほとんど途中で挫折する
　「改ざん」情報を削除して欲しいという要望をいただいた場合は、おおまか下記のフローで対応している。

・ファーストステップ
　最初はメールでお申し出をいただくことが多いです。

■　対応
　一度掲載した情報を削除することはございません。
　事実と相違する場合は、別途修正記事を掲載いたします。サイト復旧の場合は、サイト復旧日を付記する形で対応しております。
　弊社の情報掲載方針については「情報公開原則」をご参照ください。

・セカンドステップ　＞　ファーストステップの対応にご不満の方
　まれに血の気の多い方や取引先と深刻な問題に発展している方からは電話をいただくこともある。でも、まだまだメールでいただくことが多い。内容は要するに「とにかく削除しろ、こっちは困ってるんだから」といったもの。

■　対応
　まことに申し訳ございません。貴社のお話もご趣旨は理解できるのですが、これまでこの方針で運営しており、同様のご要望をいただいたみなさまにも同様の内容でお願いいたしております。
　お申し越しの件は編集部内で検討させていただきますが、単純に削除することは難しいと思います。
　＞　検討結果　まことに恐縮ですが、ご要望には沿いかねます。

・サードステップ　　＞　セカンドステップの対応にご不満の方
　このへんになると電話もかかってきたりする。かなり強硬な態度の方もいる。
　「損害賠償」「名誉毀損」などといったせりふがとびだしはじめるのもこの頃である。

■　対応
　お申し越しの件、了解いたしました。ご事情は理解できますが、私の一存ではなんともいたしかねます。私から上のものにあげて判断をあおぐようにいたしたく思います。
　そこで、まことに恐縮ではございますが、これまでメールやお電話でいたました内容をあらためて正式な書面としていただけますでしょうか。
　社名およびご担当者様のお名前を記載、捺印の上、弊社あてご郵送いただければ、上の人間の判断をあおぐことができます。何度もお手数をおかけして恐縮ですが、よろしくお願いいたします。

・フォースステップ　　＞　サードステップ以降に進む人は驚くほど少ない。なぜか、書面を出すこと段階でやりとりが止まることが多いです。もちろん、書面をいただくこともありますが、圧倒的に少ないです。

　・ラストステップ　社外秘！
　この先は門外不出というか、ひたすら根気強くお話を続けるしかないのである。日本の夜明けは遠いと思う。

●とはいえ、社会貢献？もしています

　とはいえ、こんな危ないことばかりでなく、地道にいろいろ社会貢献？というか、利用者のためになることもしております。

　社会動向に連動して発生するネットでの危険性についてもより具体的に注意喚起をうながすようにしている。
　例えば、下記の記事には、　このレンタルサーバはヤバイ！　というリストがついている。

　イラク戦争に関連した攻撃への自衛のための注意喚起(2003.3.22)
　http://old.netsecurity.ne.jp/article/1/9234.html

　一般のサーバ向けパッケージの脆弱性の発見、レポートも行っている。特に専門部隊をもっているわけではないので、主として実際に利用している方から相談をいただいて、編集部検証することが多い。

　BUGTRAQ、FullDisclosure、VulnWatch投稿　CVE にも登録された主なもの
　Flash AD に CSS 脆弱性(2003.4.14)
　http://old.netsecurity.ne.jp/article/1/9590.html
　ColdFusion エラー出力画面のクロスサイトスクリプティング脆弱性
　(2003.9.22)
　http://old.netsecurity.ne.jp/article/1/11161.html

　一般的な啓蒙的な記事もときどき掲載しています。

　問題だらけのサイバー犯罪条約　米国も批准を見送る可能性(2004.5.12)
　http://old.netsecurity.ne.jp/article/3/12972.html
　サイバー犯罪条約批准および関連法規の改正とネット事業への影響
　■第1回■(2004.4.20)　指宿　信（立命館大学法科大学院教授）
　http://old.netsecurity.ne.jp/article/11/12720.html
　■第2回■(2004.4.20)　指宿　信（立命館大学法科大学院教授）
　http://old.netsecurity.ne.jp/article/11/12783.html
　■第3回■(2004.4.20)　指宿　信（立命館大学法科大学院教授）
　http://old.netsecurity.ne.jp/article/11/12831.html
　■第4回■(2004.4.20)　指宿　信（立命館大学法科大学院教授）
　http://old.netsecurity.ne.jp/article/11/12900.html
　カナダにおけるサイバー犯罪条約批准の状況(2004.6.9)
　http://old.netsecurity.ne.jp/article/1/13237.html
　イスラエルのセキュリティ専門集団 SecuriTeam に聞くサイバー犯罪条約と日本の対応(2004.3.9)
　http://old.netsecurity.ne.jp/article/1/12477.html

　1年前に提出された "SCAN 編集部" のセキュリティ対策提言メモ
　(2003.3.18)
　http://old.netsecurity.ne.jp/article/1/9144.html
　メモ
　http://old.netsecurity.ne.jp/article/3/9081.html
　http://old.netsecurity.ne.jp/article/3/9082.html
　大量無差別攻撃に無防備なサイバーテロ対策　その１(2001.10.29)
　http://old.netsecurity.ne.jp/article/7/3144.html
　大量無差別攻撃に無防備なサイバーテロ対策　その２(2001.10.30)
　http://old.netsecurity.ne.jp/article/7/3147.html

======================================================================
●支援金募集中！　1,500円で NetSecurityを応援しよう！　支援特典あり！
───────────────────────────────────
　　　　　　　　　　　　　 http://shop.ns-research.jp/3/12/1183.html
======================================================================
　ネットアンドセキュリティ総研株式会社　Scan編集部は、その運営するセキュリティ情報サイトNetSecurityにおいて、同サイト運用のためのカンパを広く利用者から募ることとなりました。

　NetSecurity 1日のはページビューが12万PVとセキュリティ専門情報サイトとしては国内トップクラスの利用者を誇っています。しかし、ベンダや企業サイトに批判的な記事が多いことで知られる SCAN 系の WEB サイトであるため広告収入もなく、運用費用が完全な持ち出しとなっています。同じ SCAN 系媒体の多くは有料サービス化していますが、 NetSecurity は有料化を実施せずに運営を続けてきました。

　この企画は無料での運営を維持するための試みのひとつとして、心ある利用者からの支援金を募るというものです。

　支援金を支払った利用者が希望すると好みの文言（企業名やサイト名など）とリンクを同サイト上に掲載してもらえることができます。

　支援金は「がんばれ NetSecurity！」（一口　1,500円／半年間）と「がんばれ！ NetSecurity！　ゴールド」（一口　10,000円／半年）の2種類。支払い方法はクレジット決済のみとなっています。

「がんばれ！ NetSecurity ！」申込サイト
http://shop.ns-research.jp/3/12/1183.html
======================================================================

《ScanNetSecurity》