2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

OFFICE、タイーホさる!!

1 :名無し:04/02/04 11:19
ソースは寝て待て

2 :名無しさん@お腹いっぱい。:04/02/04 11:23
2

3 :名無しさん@お腹いっぱい。:04/02/04 11:23
Ofiiceは逮捕されないだろ

4 :名無しさん@お腹いっぱい。:04/02/04 11:33
日テレできたな。

5 :名無しさん@お腹いっぱい。:04/02/04 11:34
今、日テレのニュースでやってた河合なにがしがoffice?

6 :名無しさん@お腹いっぱい。:04/02/04 11:37
>>3

7 :名無しさん@お腹いっぱい。:04/02/04 11:39
ニュー即もきたな
【ネット】著作権保護団体のサイトに不正アクセス、京大研究員逮捕…警視庁
http://news5.2ch.net/test/read.cgi/newsplus/1075862247/


8 :名無しさん@お腹いっぱい。:04/02/04 11:39
他のチャンネルはー?

9 :名無しさん@お腹いっぱい。:04/02/04 11:41
TBSキター

10 :名無しさん@お腹いっぱい。:04/02/04 11:45
こういうアフォがいるから、ネット上でも言論が圧迫される…
情報保護法がどんどん捻じ曲げられる悪寒…

11 :名無しさん@お腹いっぱい。:04/02/04 11:46
オヒスに天罰下る

12 :名無しさん@お腹いっぱい。:04/02/04 11:52
ニュウスで言ってたけど、都内のイベントでも公開って、
イベントってADのことかい?

13 :名無しさん@お腹いっぱい。:04/02/04 11:58
http://www.fukuishimbun.co.jp/nationaltopics.php?genre=main&newsitemid=2004020401000826&pack=FN

河合一穂容疑者(40)?

14 :名無しさん@お腹いっぱい。:04/02/04 12:05
逮捕される前に名簿をnyで放流すればよかったのに

15 :名無しさん@お腹いっぱい。:04/02/04 12:10
40のおっさんも2ちゃんやってんだな

16 :名無しさん@お腹いっぱい。:04/02/04 12:12
逮捕の理由

・不正アクセス禁止法違反
・威力業務妨害

上はともかく下の方はどうよ?

17 :名無しさん@お腹いっぱい。:04/02/04 12:16
>協会にHPを閉鎖させるなど業務を妨害した疑い。

( ´_ゝ`)

18 :名無しさん@お腹いっぱい。:04/02/04 12:16
パスかかってないのに
不正アクセス禁止法にふれるのか

19 :名無しさん@お腹いっぱい。:04/02/04 12:17
>>1
なんでわかったの?

20 :名無しさん@お腹いっぱい。:04/02/04 12:21
>協会にHPを閉鎖させるなど業務を妨害した疑い。

ハァ?

21 :名無しさん@お腹いっぱい。:04/02/04 12:35
えぇぇぇぇぇぇぇぇぇぇ!!

22 :名無しさん@お腹いっぱい。:04/02/04 12:55
officeのやり方には同意できないが
容疑としてあげられてる、不正アクセス禁止法になんか
全く触れていないので、そこは擁護したい
この機にざる法を駆逐したいものだな


23 :名無しさん@お腹いっぱい。:04/02/04 12:57
http://news.goo.ne.jp/news/sokuho/
12:52 「大変残念」と文化庁長官 おい逮捕で
 不正アクセス禁止法違反の疑いでおいの河合一穂容疑者が逮捕されたことを受けて、
河合隼雄文化庁長官は4日、「私の親族が逮捕されたことは大変残念」とする談話を発表した。

おいおい

24 :名無しさん@お腹いっぱい。:04/02/04 13:01
なんだこりゃ,ACCSのまぬけもここまで来ると・・・

25 :名無しさん@お腹いっぱい。:04/02/04 13:06
穴があるのを教えたらタイーホな時代か・・・

26 :名無しさん@お腹いっぱい。:04/02/04 13:09
>>25
住民基本ネットも危ないらしいが、この程度で逮捕されるのなら、
長野県の侵入実験もアウト。


27 :名無しさん@お腹いっぱい。:04/02/04 13:10
この国はもうだめぽ・・・

28 :名無しさん@お腹いっぱい。:04/02/04 13:11
コメントが幼稚
www.askaccs.ne.jp

29 :名無しさん@お腹いっぱい。:04/02/04 13:16
このおいちゃんのおかげで、クボタのレンタル鯖使ってるとこは ページ更新面倒になった。あたしはPDFしかもう使わん。

30 :名無しさん@お腹いっぱい。:04/02/04 13:22
これからは穴があったら(ありそうだったら)利用しないでfa?
穴の確認 ←タイーホ
穴の通報 ←タイーホ

31 :名無しさん@お腹いっぱい。:04/02/04 13:28
日本にはグレイハットがセキュリティ向上を牽引する文化は
定着しないのかにゃー

32 :名無しさん@お腹いっぱい。:04/02/04 13:29
Office たちが グレイハットでは無い。という程度のことでしょう。

33 :名無しさん@お腹いっぱい。:04/02/04 13:30
まあ臭いものには蓋、臭い穴にも蓋

34 :名無しさん@お腹いっぱい。:04/02/04 13:33
穴が偶然あってたのを見つけてもタイーホかもね
#「未必の故意」みたいなもの

35 :名無しさん@お腹いっぱい。:04/02/04 13:34
とはいえ、不正アクセス禁止法では裁判戦えないんじゃねーの?
行方を生暖かく見守りたい

36 :名無しさん@お腹いっぱい。:04/02/04 13:34
>河合家の先代の秀雄氏夫妻の間に七人の男の子がある。一人は夭折されたよう
>だが、長男が今のべた仁氏で外科医、次男が公氏で篠山の北にある西紀町で
>内科医、三番目が雅雄氏、四番目が迪雄氏、篠山町内で歯科医、五番目が
>隼雄氏、そしてすこし年がはなれて六番目の逸雄氏である。

officeは誰の息子?

37 :名無しさん@お腹いっぱい。:04/02/04 13:36
情けは人のためになりません

38 :名無しさん@お腹いっぱい。:04/02/04 13:37
>>36
家族、親族の個人情報はお控えください。
なにとぞよろしく。

39 :名無しさん@お腹いっぱい。:04/02/04 13:40
顔写真うpまだー

40 :名無しさん@お腹いっぱい。:04/02/04 13:40
>>38

ハァ?
容疑者「河合一穂が」誰から生まれたかを探してんだよ。文句有っか?

41 :名無しさん@お腹いっぱい。:04/02/04 13:43
>>40
お前も檻の中に入りたいんだったら続けろ

42 :ニュー側から:04/02/04 13:43
オフィスって何者ですか?

43 :名無しさん@お腹いっぱい。:04/02/04 13:43
>>40
おかあさんからなのでは…

44 :ぼるじょあ ◆yBEncckFOU :04/02/04 13:45
オフスさんも前科もんですか。
まあ、厨房ハックァーなんだし、ハク付いていいんじゃないの(プ

45 :名無しさん@お腹いっぱい。:04/02/04 13:46
中国では彼だって木の股から生まれたわけじゃないとかいうらしいですね

46 :名無しさん@お腹いっぱい。:04/02/04 13:46
          ________
         /´:::::::::::::::::::::::::::::::::::::::::::`ヽ
       /::::::::::::::::::::::::::::::::::::::::::::::::::::::::\
       (:::::::::::人ノヽノヽノヽノヽ人::::::::::::::::)
      (:::::::::::/           \:::::::::::::)
      (::::::::::/             \:::::::::::)
     (::::::::::/               ヽ::::::::)
     |:::::::/ ,,;;;;;;;;;;;;;;,     ;;;;;;;;;;;;;,,,  |:::::::::|
     |:::::                      :::::|
     |::::    -=・=-        -=・=-   :::|
     /|:::     ~~~~  ノ  ヽ  ~~~~     |
    .| |/        /    ヽ        |
    ヽ|         (. o⌒o .)        .|ノ
      \       :::::::::::::U::::::::::::::      /
       |\    ::::--┬┬┬--::::    /| officeです
       |. \.     └┴┘     ./ .|  「ハウス!」


↑このAAにめちゃくちゃソックリじゃん。

47 :名無しさん@お腹いっぱい。:04/02/04 13:56
すっげー家系だ!!
ハカーのみなさんてみんなこんな感じなの??

48 :名無しさん@お腹いっぱい。:04/02/04 13:56
PDFもクラックされるのが分からんとは...
改竄しようか?

49 :名無しさん@お腹いっぱい。:04/02/04 14:11
個人情報を抜き出したことじゃなくて、その後それを公開しちゃったのが問題なんですかね?

50 :名無しさん@お腹いっぱい。:04/02/04 14:12
両方。

51 :名無しさん@お腹いっぱい。:04/02/04 14:32
ていうか、なんで公開するところまでやっちゃったんだ?
アホ?

52 :木直 田 ナ=” / \'' ― □ ◆UEDAeHtUvo :04/02/04 14:34
>>51
 ─── 、 ⌒ヽ
(___ノ(   )
(ノ ー   | /
[・][・]─-6 /   < ただ、スキルを自慢したかったヤロでは?
⊂      ソ
(!!!!_,_   /
  ヽ、 `/

53 :名無しさん@お腹いっぱい。:04/02/04 14:44
ついかーとなってやった

54 :名無しさん@お腹いっぱい。:04/02/04 14:53
これからはWindowsの穴をみつけても逮捕と。
ゲイシウマー

55 :名無しさん@お腹いっぱい。:04/02/04 15:02
キネンパピコ

56 :名無しさん@お腹いっぱい。:04/02/04 15:17
パスかかってなかったの?

57 :名無しさん@お腹いっぱい。:04/02/04 15:36
Officeタイ━━━━||Φ|(|゚|∀|゚|)|Φ||━━━━ホ!!!

58 :名無しさん@お腹いっぱい。:04/02/04 16:00
>>44
まぁたしかに、それ系の集まりでは英雄扱いだろう

59 :名無しさん@お腹いっぱい。:04/02/04 16:18
>>58
ハッカージャパンあたりなら前科者でもライターとしてやっているしな

60 :名無しさん@お腹いっぱい。:04/02/04 16:19
>>51
AD200Xというセキュリティイベントの場で華々しい成果を報告したかったんだろうね
周りが見えなくなっていたんだろう

61 :名無しさん@お腹いっぱい。:04/02/04 16:33
>>60
ちょっとネットで有名になっちゃったから、うぬぼれも入っていたのかも。
自分の技術を世間に披露したい、というのはハカーが良くはまる落とし穴だね

62 :名無しさん@お腹いっぱい。:04/02/04 16:45
厨房雑誌読んでる人が多いんだな、このスレは:)

63 :名無しさん@お腹いっぱい。:04/02/04 16:49
本当の容疑は女児連続ゴーカンとかだよ。
セキュリティとは何の関係も無い。

64 :名無しさん@お腹いっぱい。:04/02/04 16:53
Officeは馬鹿だよな。もっとうまくすればよかったのに。
それでも穴を教えてもらっても無視する香具師が一番馬鹿だと思うがな。

65 :56:04/02/04 17:07
ファイル名渡すだけで見れたのかー。
これはその手の弁護士が喜んで弁護しそう。
これが不正アクセスと言えるかは 相 当
揉めそうだし名前挙げるチャンスだもんね!

66 :名無しさん@お腹いっぱい。:04/02/04 17:10
AA が恐ろしく似てたことにわらた

67 :名無しさん@お腹いっぱい。:04/02/04 17:16
>>49
それは容疑には入っていないようだ。
不正アクセスと威力業務妨害の容疑。

68 :名無しさん@お腹いっぱい。:04/02/04 17:24
公開が威力業務妨害の容疑扱いの原因となってるのは確かだろう。

69 :名無しさん@お腹いっぱい。:04/02/04 17:30
直接の原因は2chに流出させたこと

70 :名無しさん@お腹いっぱい。:04/02/04 17:32
http://www.mainichi.co.jp/news/flash/shakai/20040204k0000e040045000c.html/pppppp
なんか書き方悪い。てか間違えてるだろこれ。この糞記事。

>>情報が漏れたことをメールで協会に知らせ、サイトの閉鎖に追い込んだ疑い
は?じゃぁメール来なかったら個人情報丸見えのサイトをそのまま運営してたんですか?

>>「CGIプログラム」の一部を書き換えて、利用者がパソコンからインターネットサイトに書き込んだ個人情報などを不正に取り込んでいた。
これじゃ「CGIのソースを書き換えた」と取れる。あほかこのライターは。
てか、夏休みの出来事をいまさら出した朝日も逝ってよし。

セキュリティーに対する考え方が、技術の発展に追いついてないと思う。

Free Office!!!

71 :名無しさん@お腹いっぱい。:04/02/04 17:33
>>68
http://www.asahi.com/national/update/0204/020.html
>さらに同月8日、都内で開かれたネットの安全対策担当者やハッカーの集会で、
>参加者約200人に接続方法を公開し、協会にも接続したことをメールで通知した。
>そのうえで、サイトの一部の閉鎖を余儀なくさせ、協会の業務を妨げたとされる。
↑報道では、公開したからサイトを閉鎖することになった→業務妨害


http://www.accsjp.or.jp/release/031111.html
↑ここでは、セキュリティーホールを指摘していただいたから閉鎖したと言っている。
公開したかどうかは関係なく(公開されたことを知らなかった)閉鎖したらしい。

72 :名無しさん@お腹いっぱい。:04/02/04 17:36
/.は擁護者が多いですな。

相手がACCSだから?

73 :名無しさん@お腹いっぱい。:04/02/04 17:37
officeのPGP Key晒してクレ
ヽ(´ー` )ノオクレヨン

74 :名無しさん@お腹いっぱい。:04/02/04 17:38
その厨房組織はダウソ厨にF5攻撃されて威力業務妨害だって
息巻いてた・・・・・・・

75 :名無しさん@お腹いっぱい。:04/02/04 17:41
>>74
それは威力業務妨害だろ

76 :名無しさん@お腹いっぱい。:04/02/04 17:42
>>72
「不正アクセス禁止法に抵触するという主張は変だ」という点での擁護は
それなりに真っ当なんじゃないかと思われる模様。

ACで書いてる煽り擁護は「多い」の中にカウントしないでくれ。めんどくさいから。

77 :名無しさん@お腹いっぱい。:04/02/04 17:43
>>75
それで誰がやったかわからんとか言ってたんだよな。
で、いつもの騙し打ちをしてた。

78 :名無しさん@お腹いっぱい。:04/02/04 17:45
ダウソ厨はびびって
親と一緒に謝りに逝きましたよ

79 :名無しさん@お腹いっぱい。:04/02/04 17:53
Officeの計算が狂ったのはACCSが無能だけどプライドだけは
成層圏を突き抜けるほど高いブタどもの集まりだと
いうことを認識してなかったこと。
ACCSはOfficeに自分たちの無能さ加減を公衆の面前で晒されて
赤っ恥をかかされた結果、自らの愚かさは棚に
上げて報復のためにOfficeを刑事告発して
Officeをタイホさせたっていうのが真相と思われ。

80 :名無しさん@お腹いっぱい。:04/02/04 17:55
ほんと
むしゃくしゃして訴えた
ついかーとなって訴えた

バールのような・・

そんなレベルの話

81 :名無しさん@お腹いっぱい。:04/02/04 17:59
>>79
俺はACCSが個人情報は漏れてません!って主張して闇に葬るかと思ってたよ

82 :名無しさん@お腹いっぱい。:04/02/04 18:00
ACCS、その能力もないのに「強面の保安官」としての
自己演出をするからなぁ。んでofficeにペネられた結果
そういう自己演出が全て単なる「交番に盗みに入られた
バカ警官」に転化。そりゃ逆ギレもするわな。

83 :名無しさん@お腹いっぱい。:04/02/04 18:08
>>79
ACCSは自ら晒していた糞なので擁護はしないが

罪状はともかくとしてOfficeタイーホはしょうがないんじゃない?

84 :名無しさん@お腹いっぱい。:04/02/04 18:09
個人情報盗まれた人がACCSに集団訴訟とかしないの?

85 :名無しさん@お腹いっぱい。:04/02/04 18:14
>>84
ACCSはそれを防ぐ為に詳しい事は黙り込んでる
だれの個人情報が盗まれたとか、、

86 :名無しさん@お腹いっぱい。:04/02/04 18:16
このタイーホ、日時的に映像公開された後、ということを
考えると、、「個人情報が現に漏れたじゃないかゴルァ」の
意味があるかもしれない。

とすると、映像公開したバカにも影響はでるだろな。

87 :名無しさん@お腹いっぱい。:04/02/04 18:16
47なのか?

88 :名無しさん@お腹いっぱい。:04/02/04 18:17
>>83
TBCとかでは定番の個人名さらしとかもなかったし(ばらした側が特定されるか)
なんだかその辺がうまくコントロールされすぎな気がする。

89 :名無しさん@お腹いっぱい。:04/02/04 18:17
47=office?

90 :72:04/02/04 18:20
>>76
了解

91 :名無しさん@お腹いっぱい。:04/02/04 18:26
>>70-71
彼のことだから脅迫まがいの高圧的な指摘メールだったとか。

92 :名無しさん@お腹いっぱい。:04/02/04 18:48
>>73
http://www.office.ac/

93 :名無しさん@お腹いっぱい。:04/02/04 18:51
>>91
イベントで公開して閉鎖に追い込まれたのが業務妨害だと、報道では言ってるのだが。

>>83
別件逮捕はイカンだろ。

94 :名無しさん@お腹いっぱい。:04/02/04 18:54
ちなみにACCSは、今回の刑事告発→逮捕で無罪となる可能性を見越して、
次の刑事告発をすでに用意してことでしょう。
一事不再理の原則により、同じ罪で再告発することはできまんが、違う事件
としてなら別件で告発することができます。

状況から判断して、ACCSはoffice氏に代表されるような確信犯的にセキュリテ
ィホールの存在を突くセキュリティ論者の駆逐を目論んでいると考えられます。
極少数のセキュリティ論者の常識(極論すればセキュリティホールを放置する
ほうが悪い)を排除し、大多数のセキュリティ無頓着者の常識(セキュリティ
ホールを突くほうが悪い)を、判例の存在する常識と認めさせるのが狙いです。

したがって、まずは不正アクセスと威力業務妨害という、本質的な告訴を行い
ましたが、これが認められなかった場合、より一般に犯罪行為が認知され易い
窃盗罪での告訴を行うものと思われます。電子情報が財物であることは、企業
のデータ持ち出し事件が窃盗罪として認められる判例が多数あることからも
わかるように、一般にも認知されつつあります。
「玄関の鍵」に例え、「鍵がかかっていなくても侵入すれば不法侵入、物を盗
れば窃盗」と同じように、「ネットワークまたは電子的に保護されていなくて
も、それが相手の財物と知りながら配布することは窃盗」と判断される可能性は
きわめて高いといえるでしょう。

95 :名無しさん@お腹いっぱい。:04/02/04 18:56
ちくしょう 罠だったか!

96 :名無しさん@お腹いっぱい。:04/02/04 18:57
>>94
はあ?告発?

97 :名無しさん@お腹いっぱい。:04/02/04 19:00
ttp://www.askaccs.ne.jp/houkoku3.html
↑のACCSの調査委員会による調査報告書によると、
(平成16年1月22日  ASKACCS個人情報流出事故調査委員会)
サイトを閉鎖したのは情報が流出したからではなく
セキュリティの脆弱さを指摘したメールが届き、
実際その通りだったからということになっている。

報道では「サイト閉鎖に追い込まれた」件が「威力業務妨害」と言ってるけど、
それってセキュリティについて指摘したら逮捕される、という
悪しき前例にならんかの。

98 :名無しさん@お腹いっぱい。:04/02/04 19:07
今後は迂闊に警告するのでは無く2chで晒せって事です。

99 :名無しさん@お腹いっぱい。:04/02/04 19:11
つーかなんだよこのスレタイ

タイーホ「 さ れ る 」だろw

オヒス叩きもいいがそんなに慌ててスレ立てんなや(ゲラ

100 :名無しさん@お腹いっぱい。:04/02/04 19:12
ニュー即から来ました。Officeって誰ですか?セキュリティ板のコテですか?

101 :名無しさん@お腹いっぱい。:04/02/04 19:13
>>100
47氏のことだよ

102 :名無しさん@お腹いっぱい。:04/02/04 19:14
>>101
これ以上、デマを流さないでくれ

103 :名無しさん@お腹いっぱい。:04/02/04 19:17
id-passで守られてない限り不正なんとか法には抵触しないんじゃなかったっけ。
officeのはXSS使ったやつだろうからこれに該当しないと思う。

てかアホだよなあ、ACCSとけーさつ。
教えてくれる人いなかったら悪い奴が使い放題なのに。
どうせ自分らじゃ穴あいてるかどうかも分かんないくせに。

文字通りの裸の王様だな。

104 :NHKミター→ν速+→ココ:04/02/04 19:19
>>99 おまいは、文語と言うものを…(ry

スキルのないのを威張り、スキルをつけてやろうと指摘した香具師を犯罪者にする…

これでは、進歩はありえませんな。

105 :名無しさん@お腹いっぱい。:04/02/04 19:21
>>103-104
ニュー速厨は帰れ

106 :名無しさん@お腹いっぱい。:04/02/04 19:21
>>104
彼を刺激しないでください

107 :名無しさん@お腹いっぱい。:04/02/04 19:22
>>104
本当にスキルがあってそっち方面の教育に関与しているヤシはきちんとこんな
馬鹿なことをせずに教育しているわけですが。

本家DEF-CONも使い捨て要員調達場になって久しいし。

108 :名無しさん@お腹いっぱい。:04/02/04 19:24
A.D.2003大成功でつね

109 :名無しさん@お腹いっぱい。:04/02/04 19:25
>>108
そうだな。こんなに大勢に知られたもんな。

110 :名無しさん@お腹いっぱい。:04/02/04 19:27
とりあえず修学旅行を廃止する運動でも起こせ

111 :名無しさん@お腹いっぱい。:04/02/04 19:33
激しく同意

112 :名無しさん@お腹いっぱい。:04/02/04 19:58
ニュー速から記念真紀子
Officeタイ━━━━||Φ|(|´|Д|`|)|Φ||━━━━ホ!!

113 :名無しさん@お腹いっぱい。:04/02/04 20:19
>>99
知障

114 :名無しさん@お腹いっぱい。:04/02/04 20:44
単なるアホとバカの喧嘩か

115 :名無しさん@お腹いっぱい。:04/02/04 20:46
          /::::::::::::::::::::::::::::::::::::::ヽ
        /´:::::::::::::::::::::::::::::::::::::::::::::::::`ヽ
      /::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::\
       (::::::::::::::::::::::::::::::::::::::ヽ:::::::::::::::::::::::::::::::)
      (::::::::::;;:/:::::::::::::::::::::::::::::::::人:::::::::::::::::::::)
      (::::::::::;::;/人ノヽノヽノヽノ  \:::::::::::::::)
     (:::::::::;::;;/ノヽノヽ         ヽ::::::::::)
     |::::::;;:/,               .|:::::::::|
     |::::::::|:::******@@ヽ  /'****** j:::::::::)
     |::::::|  -=・=-  i ^+  -=・=- j:::::::::)
 ..   (::::::|..   ~~~ . ノ   ヽ  ~~~~  ::::|
   .. (/::|..       /    ヽ      :::::|
  ...  (|         (.o⌒o .)       .|ノ
      \       :::::::::::::U::::::::::::::     /
       |\    :::::;m┬┬┬m-  ;::::/|  日本一有名なハッカーになりました
       |.. \.    .~└┴┘~   / .| しかし離婚されそうです
          ヽ          /  |

116 :名無しさん@お腹いっぱい。:04/02/04 20:53
memoからきますた
記念マキコ

117 :名無しさん@お腹いっぱい。:04/02/04 20:53
>>115
ニューバージョンキタ-----(゚∀゚)------!

118 :名無しさん@お腹いっぱい。:04/02/04 20:56
99は放置でおながいします

119 :名無しさん@お腹いっぱい。:04/02/04 21:03
顔写真晒してくれよ

120 :名無しさん@お腹いっぱい。:04/02/04 21:23
>>119
テレビでさんざん出てるよ。
10時からのニュースでもばんばん流れると思われ

121 :名無しさん@お腹いっぱい。:04/02/04 21:24
さらしてくれもなにも
TVで流れてるじゃん。

122 :名無しさん@お腹いっぱい。:04/02/04 21:35
お好きなチャンネルでどうぞ。しかし、かなり時間取って報道してるよね。
新幹線乗るところとか。かなり大罪人扱いだ。

(NHK)http://www3.nhk.or.jp/news/2004/02/04/k20040204000059.html
(NNN)http://headlines.yahoo.co.jp/videonews/nnn/20040204/20040204-00000013-nnn-soci.html
(JNN)http://headlines.yahoo.co.jp/videonews/jnn/20040204/20040204-00000028-jnn-soci.html
(FNN)http://headlines.yahoo.co.jp/videonews/fnn/20040204/20040204-00000582-fnn-soci.html

123 :名無しさん@お腹いっぱい。:04/02/04 21:47
タイーホのFlashを作った職人いますか?


124 :名無しさん@お腹いっぱい。:04/02/04 21:50
大罪人扱いしないとまずいんだろ
ジャスラクとかアクスとかは「法の番人」的位置付けって事になってるから

ジャスラクは年寄りばかりで最新技術に疎く、やることなすこと時代遅れ
アクスは比較的若いが、おつむが間抜けに出来てる
双方ともにかなりダメだけどもね

権利権利ってわめかないで正直に、
「皆さんのお金が欲しいです」って言ってた方がまだ正常に見える気が

125 :名無しさん@お腹いっぱい。:04/02/04 21:53
そんな利権の温床に警察が動かされるのもおかしい。
ちゃんと独立しててくれないと。

126 :名無しさん@お腹いっぱい。:04/02/04 21:56
>>125
警察・公安・検察自体が
政治屋や裁判所から独立できてないんだから、無理だろ

どこもかしこも癒着でベッタリだ

127 :名無しさん@お腹いっぱい。:04/02/04 21:59
そんな癒着連中の前で目立った行動を取るオヒスは正義の味方?ただのノーテンキ?


128 :名無しさん@お腹いっぱい。:04/02/04 22:04
>>127
自衛隊のイラク派兵のニュースを目立たなくさせるために官邸サイドが仕組んだ罠
それに乗ってしまうオヒスも救いようのない香具師


129 :名無しさん@お腹いっぱい。:04/02/04 22:07
自らを救世主か何かと勘違いした、おつむのおめでたい方ではないかと
兄弟灯台あたりに進むヤシって大概、大事な何かが足りてないし
モラルとか一般常識とか

嫁さんが気の毒だ
っていうか、よくこんなヤシについていけてたよな>嫁さん

130 :名無しさん@お腹いっぱい。:04/02/04 22:08
しかしハッカーも逮捕されたら哀れなもんだ。
今まで通りの強気で堂々と逮捕されたらハクもつくのに。

131 :名無しさん@お腹いっぱい。:04/02/04 22:13
救世主っていうか、魔法使い(Wizard)って呼ばれたかったのでは?
ハッカーだけに。

132 :名無しさん@お腹いっぱい。:04/02/04 22:13
オヒスはウザーーーーーーーど


133 :名無しさん@お腹いっぱい。:04/02/04 22:18
>>131
9.11以降ああいう馬鹿は世界的に「テロリスト(もしくは予備軍)」としてしか扱われなく
なってるんだけどね。
それすら理解出来ない取り残された連中だし。

134 :名無しさん@お腹いっぱい。:04/02/04 22:20
NHK総合!!
NHK層が追う!!1

135 :名無しさん@お腹いっぱい。:04/02/04 22:20
Office=越後屋

136 :名無しさん@お腹いっぱい。:04/02/04 22:22
>128
妄想電波左翼犯罪者参上?

137 :名無しさん@お腹いっぱい。:04/02/04 22:27
オフィスのやった事は、法治国家の現代に適応できず、時代錯誤の保安官面して
私刑を加えた事。
犯罪としか言いようが無く、逃れようがない。

138 :名無しさん@お腹いっぱい。:04/02/04 22:29
わかりやすく言うと緑豆のPCヲタ版っということでFA?

139 :名無しさん@お腹いっぱい。:04/02/04 22:29
まあなんだ
オフィス逮捕で脆弱性情報を裏取引に使う糞共がいなくなり
しっかりとした脆弱性公開手段が確立すればいいだろ


140 :名無しさん@お腹いっぱい。:04/02/04 22:30
>>135
Magi vs アリスリデルの争いでアリスの肩を持ったofficeが越後屋のわけがないw

141 :名無しさん@お腹いっぱい。:04/02/04 22:30
まだわかんないよ。
不正アクセス違反の無罪を勝ち取ったら
英雄になれるかも。

・・・だめかな?

でもID&PASS入れなくても有罪、なんてことになったら
わざとURL踏ませていいがかりつけて後日恐喝・・・なんて
新手の犯罪が出そう。そういうグレイゾーンは作るなアホ!!
と思ってる人は多いはず。

142 :名無しさん@お腹いっぱい。:04/02/04 22:33
>>141
だから逐条解説とかジュリストだの判例時報だのの記事読んでから出直せって。
どれが不正アクセスでどれが大丈夫かって規準は法律屋の世界では既知の
手段に関してであれば確立していると言っていい。

143 :名無しさん@お腹いっぱい。:04/02/04 22:34
無罪になったとしても個人情報を流したというレッテルはずっとつきまとうだろうな
英雄扱いするのはADの中の人ぐらいだろう


144 :名無しさん@お腹いっぱい。:04/02/04 22:34
個人情報晒しが無ければもうちょっと穏便に済んでいた気が・・・しないw

145 :名無しさん@お腹いっぱい。:04/02/04 22:34
>>142
じゃ今回のは?

146 :名無しさん@お腹いっぱい。:04/02/04 22:34
/.内では?ADみたいなもんだけど

147 :名無しさん@お腹いっぱい。:04/02/04 22:36
裸で歩いてる女でも
無断でチンチン入れたら犯罪です

148 :142:04/02/04 22:37
>>145
おひすのは真っ黒と思われ。
(一応司法判断を経ていないので『思われ』と表現する)

>>141の後者の事例は完全にセーフ。

149 :名無しさん@お腹いっぱい。:04/02/04 22:37
>>147
あり得ない状況を例に挙げられてもなぁ

150 :名無しさん@お腹いっぱい。:04/02/04 22:38
(´ー`)y-~~
越後屋さんはそんなことするわけ無いだろ
(´ー`)y-~~

151 :名無しさん@お腹いっぱい。:04/02/04 22:39
/.は反体制厨の集まりだからK察へのあてつけが出来ればなんでもいい


152 :135:04/02/04 22:41
>>140
そか、話し分かる香具師いたか(w
だれ?(w

153 :名無しさん@お腹いっぱい。:04/02/04 22:47
>141
故意と過失の区別くらいつけとかないと、バカサヨ呼ばわりされますよ。

154 :名無しさん@お腹いっぱい。:04/02/04 22:49
>>153
だって過失ってどう立証すんのさ

155 :名無しさん@お腹いっぱい。:04/02/04 22:54
立証しなくきゃいけないのは故意のほうだよ。
今回の件では疑う余地がないだろう。

156 :名無しさん@お腹いっぱい。:04/02/04 22:56
K察の肩を持つ気はないが流れを追うと
- 脆弱な鯖を探してるうちにACCSの鯖を発見
- ADも近いのでネタとして不正アクセス、証拠として個人情報get
- ADで公表
- ADも終わったのでACCSに教えてあげる

これじゃADで公表する為に故意に不正アクセスしたとされても仕方ないな
いままでもいろんなサイトに対して脆弱性報告をしてるんだから
過失で個人情報を入手、ADでの公表も過失だなんていいわけは通らないだろう
(もちろん最終的に司法判断が出ないとなんとも言えない)


157 :名無しさん@お腹いっぱい。:04/02/04 22:58
PC調べられたら児ポに確実に引っかかるわけだが

158 :名無しさん@お腹いっぱい。:04/02/04 22:59
>>139
されるわけないじゃん‥‥。

159 :名無しさん@お腹いっぱい。:04/02/04 23:02
ていうか例えば。いかがわしい画像BBSを自動巡回して
リンク辿って画像落とすスクリプトを動かしてる人の場合
そこに妙な引数をつけたCGIへのリンクが貼ってあったりすると
何もしらんうちに同じことをしちゃわないのかなと。そういう心配。

160 :名無しさん@お腹いっぱい。:04/02/04 23:03
>>156
不正アクセスってのは間違いないわけ?
>>142は真っ黒と書いてるけど

161 :名無しさん@お腹いっぱい。:04/02/04 23:07
>>160
そもそもACCSが使ってたcgiが想定してた機能を超えるような動作をする
入力を意図的に与えてアクセスしたという意味では不正アクセス。
法に触れるかどうか、という意味では白黒はよくわからん。
(意図的に与えた動機によって司法判断が変わるため)


162 :名無しさん@お腹いっぱい。:04/02/04 23:07
>159
故意と過失の区別すらつかない低学歴サヨの良く主張する説だよな。
検察が故意を立証しなければいけないのだが何か?


163 :名無しさん@お腹いっぱい。:04/02/04 23:09
>意図的に与えた動機

緊急避難でも成立するのか?
正当防衛はありえねぇがw

164 :名無しさん@お腹いっぱい。:04/02/04 23:10
>>!56

つーか、7月に最初に見つけたということだから、わざわざネタにするために
11月まで寝かせておいたふしがある。

165 :142:04/02/04 23:10
>>162
低学歴というか法解釈の話するのにそっち方面の本を明らかに読んでいないヤシ
大杉。

166 :164:04/02/04 23:11
>>156
まちがえた。

167 :名無しさん@お腹いっぱい。:04/02/04 23:11
>>163
ありえないかどうかは裁判官に聞いてくれw


168 :名無しさん@お腹いっぱい。:04/02/04 23:12
>>166
それなら余計K察が動いたのも納得出来るな


169 :名無しさん@お腹いっぱい。:04/02/04 23:14
>>162
アクセスログ出されて
「ほれ!これおまいだろ!!わざとだろ」
て言われたらどーすんのYO

170 :名無しさん@お腹いっぱい。:04/02/04 23:15
>>169
無視する


171 :名無しさん@お腹いっぱい。:04/02/04 23:18
>>165
よく知ってるみたいだから講釈してほしい。
本は読んでるけど素人に説明できないヒキー?

172 :名無しさん@お腹いっぱい。:04/02/04 23:18
>>170
カツ丼出されても?

173 :名無しさん@お腹いっぱい。:04/02/04 23:21
>>172
特盛つゆだくなら考える


174 :名無しさん@お腹いっぱい。:04/02/04 23:23
クボタの「鍵のかかったドアをピッキングでこじ開けて
盗み出したようなもの」という説明はおかしい。

ACCSはそんなに大事なデータをネットに繋がったサーバーに
ファイルにプロテクトもかけずに保存しておいたのかと?
無防備なのにも程がある。
銀行で言えば、営業時間外に札束をカウンターに置きっぱなしに
するのと同じ。厳重にロックされた金庫にしまうのが
常識であるように、盗まれたら大変困る大切なデータは
暗号化してネットに繋がっていないハードディスクに保存するか
DVDなどのメディアに保存して金庫にしまっておけよ。






175 :名無しさん@お腹いっぱい。:04/02/04 23:25
>174
ネットから入力されたデータの置き場所を、
常にネットから切り離しておくってのはどうやるわけ?

世界的発明だよそれは。

176 :名無しさん@お腹いっぱい。:04/02/04 23:27
>>174
言いたいことがよくわからないんですがACCSがヴァカだからofficeは悪くないとでも?
ACCSについては別に管理者を逮捕すればいいだけだと思うんですが。


177 :名無しさん@お腹いっぱい。:04/02/04 23:27
>>164
それに関しては無責任だろ

178 :名無しさん@お腹いっぱい。:04/02/04 23:28
せんせい!せんせい!チャリで逃げる

179 :名無しさん@お腹いっぱい。:04/02/04 23:30
>176
へぇ、何罪で捕まえるの?

180 :142:04/02/04 23:30
>>171
一月頭から何度も同じ事書いてるんでいい加減疲れ果ててるだけ。

資料ひっくり返してテンプレまとめた方がいいのだろうか?

この場合cgiの引数に適当な引数をぶち込むことによって認証を回避したとみなされる。


181 :名無しさん@お腹いっぱい。:04/02/04 23:30
晒さなければACCSは「個人情報漏洩の事実は無い」
の一点張りだったんだろうなぁ…

182 :名無しさん@お腹いっぱい。:04/02/04 23:30
>>175
そのためにRFC1149がある


183 :名無しさん@お腹いっぱい。:04/02/04 23:35
どう考えてもクボタがいってるように二重にかぎはかけてないな


184 :名無しさん@お腹いっぱい。:04/02/04 23:35
>182
RFC1149つかうと法律が保護してくれないんでますますヤバw

185 :名無しさん@お腹いっぱい。:04/02/04 23:36
HTTPサーバはドキュメントルート以下に置かれたファイルを配信する仕様。
したがってTBCなどの情報ダダ漏れをダウソしても合法。
件のCGIはHTTPサーバの機能を拡張するため(ドキュメントルート以外に置かれたファイルを
配信)するために置かれているわけではない。
このCGIの穴を突付いた行為が不正アクセス禁止法違反という判断だろう。

186 :名無しさん@お腹いっぱい。:04/02/04 23:36
なんだよ深夜のニュースは顔でないな

187 :名無しさん@お腹いっぱい。:04/02/04 23:38
>>184
けしからん!
伝書鳩にも人権を!!


188 :名無しさん@お腹いっぱい。:04/02/04 23:41
>>185
じゃ同様に不正な引数の付いたCGIリンク踏んだら
客観的行為としては同じく不正アクセス行為なの

189 :名無しさん@お腹いっぱい。:04/02/04 23:41
>181
法律によれば管理者に警鐘を鳴らすのは公安委員会の仕事ですね。
公安委員会に通報するのが現時点での合法的対応。

その手続きをすっ飛ばして私的に侵入などしても
罪を免れる理由には一切なろうはずもない。



190 :名無しさん@お腹いっぱい。:04/02/04 23:42
cgiに穴を開けておいて、引っかかるのを待ってたのか

191 :名無しさん@お腹いっぱい。:04/02/04 23:43
>188
故意と過失(ry

192 :名無しさん@お腹いっぱい。:04/02/04 23:46
ちょっと参加させろ。

>>174
オレの中の解釈ではだな。

とあるマンションがあったとする。
背伸びして塀から中を覗くと女子大生が着替えをしていたわけだ。

で、こっそり女子大生にそれを教えてあげようとしたが
見えたという証拠を出せといわれた時の為にデジカメで撮影。

で、今回の場合は女子大生とマンションの管理人が
「この塀からは絶対にマンションの中は覗けない!」と言い張ったため
撮影しておいた生着替え画像を証拠として突きつけたが聞き入れなかったため、
町内会でその生着替え画像を公開→逮捕

どうよこの解釈。


>>156の経緯おかしくね?
Office氏はACCSにはADの前から水面下で警鐘をならしていた。
だが、関係者が思うように腰をあげなかったために、ADを利用して
槍玉にあげることにしたわけだ。

違ってたら突っ込みキボン

193 :名無しさん@お腹いっぱい。:04/02/04 23:47
>>189
例えば汎用のcgiを使っててどっかのページにそのバージョンが書いてあり
それに脆弱性があるとの情報が既知だった場合、公安委員会に「あのサイト
脆弱です」と連絡するのはOK。問題は今回のようにそれを見つけたのが
不正アクセスとも取られかねない(実際今回の逮捕では取ったんだろう)手段
だった場合、こちらが公安のチェック対象になりそうなんだが。


194 :名無しさん@お腹いっぱい。:04/02/04 23:48
>>191
だから
客観的行為としては
って(ry

195 :名無しさん@お腹いっぱい。:04/02/04 23:48
ACCSには警察というデカイバックボーンがあるから、
文句言ってるとおまえらもそのうち適当な理由を付けられてパクられるかもな

officeも個人情報をばらさなきゃ逮捕されなかったのに

それとどう考えてもクボタの「カギをかけても〜」の話は間違ってると思うぞ


196 :名無しさん@お腹いっぱい。:04/02/04 23:49
>>192
>Office氏はACCSにはADの前から水面下で警鐘をならしていた。
>だが、関係者が思うように腰をあげなかったために、ADを利用して
これで訴えたんなら、相当面の皮が厚そうだな。
そうなのか?

197 :名無しさん@お腹いっぱい。:04/02/04 23:52
>>196

Office氏のHPのURLここに貼っちゃっていいのかな・・・。

Office氏のホームページ、かなり前から覗いてたけど
オレが見る限り流れではそんな感じだったよ




198 :名無しさん@お腹いっぱい。:04/02/04 23:53
>192
OfficeがACCSに指示・命令する権利なんて無いんだから
逮捕は当然。


199 :名無しさん@お腹いっぱい。:04/02/04 23:53
>197
グーグルキャッシュにはっきりと経緯書いてるの残ってたよな。

200 :156:04/02/04 23:55
>>192
そうだったのか。それは悪かった。

誰か事実を知ってる人に質問。
ADでの発表とACCSの報告の順序、どこかで確認可能?


201 :名無しさん@お腹いっぱい。:04/02/04 23:55
仮に不正アクセス禁止法の施行前だったとしても、OfficeがACCSに言う事を聞かせるために
個人情報暴露を行ったとしたら、威力業務妨害・脅迫・強要罪が成立するな。


202 :名無しさん@お腹いっぱい。:04/02/04 23:56
>>198
それにOfficeの意図的な個人情報公開
(うっかりってレベルじゃないしなぁ)
にはまったく関係ないしね。

警鐘ならして思い通りに動かなかったら
公開なんて目的の為に手段を選ばない
グリーンピースみたいなもんだ

203 :名無しさん@お腹いっぱい。:04/02/04 23:56
ACCSへの通報はADの後メールで行った
これはoffice自身がはっきりと書いてあった

204 :名無しさん@お腹いっぱい。:04/02/04 23:57
>>198

権利無いね。

ただ、目の前で塀を覗けばすぐに覗ける状況を見つけたら
オマエならどうする?

警察とかしかるべきところに知らせるだろ?

ACCSって何をするところだったっけね

結局ね日本のネット上の警察官であるACCSがダメダメだったので
動かそうと圧力をかけたかったんだろうなぁと思う。
結果はまぁアレだけど

205 :名無しさん@お腹いっぱい。:04/02/04 23:57
>>192
ACCSのpageによれば、順序としては

> 町内会でその生着替え画像を公開
> で、こっそり女子大生にそれを教えてあげようとしたが

らしいぞ。


206 :156:04/02/04 23:58
>>203
となるとこんな順序か?
1) 脆弱性発見
2) 非公式にACCSに打診
3) ADで発表
4) 公式にACCSに打診


207 :名無しさん@お腹いっぱい。:04/02/04 23:59
>>206
2)のソースは?

208 :名無しさん@お腹いっぱい。:04/02/04 23:59
>>205
そりゃ逮捕だわな(藁
至極納得

209 :名無しさん@お腹いっぱい。:04/02/05 00:00
個人がACCSにメールで通知するのに
公式も非公式もないと思われ

210 :名無しさん@お腹いっぱい。:04/02/05 00:01
>>204
ACCSが駄目駄目なのとOfficeの行為は別問題

>>206
ADに発表することはACCSに一切言ってなかったんだろうね

211 :名無しさん@お腹いっぱい。:04/02/05 00:02
>>192

あれーーー?
ADの後なの?

今ソース探してるんだけど
(例の「ファーストサーバのお詫び」みたいなやつ)

あれ見れば一発なんだけどな・・・。

現状>>206 が認知されてる順序かな・・・。

何かソースがあったらそれ出すわ

212 :156:04/02/05 00:02
>>207
192の後半の文章からです
>>156の経緯おかしくね?
>Office氏はACCSにはADの前から水面下で警鐘をならしていた。


213 :名無しさん@お腹いっぱい。:04/02/05 00:04
>>212
だからその>>192のソースは?
2ch?192の脳内?

214 :156:04/02/05 00:07
>>214
ごめん、そこまではわからない

今googleキャッシュから経過をチェック中。
裏が取れたら改変します。


215 :名無しさん@お腹いっぱい。:04/02/05 00:13
無能&低脳集団ACCSの工作員が
このスレに張り付いているみたいですね
(・∀・)ニヤニヤ

216 :名無しさん@お腹いっぱい。:04/02/05 00:14
>>213
192だが、ソースが無いので現時点では脳内と思ってもらっていい。
現時点ではACCSの発表の通りとしかいいようがない。
なので先ほどの経緯については撤回します。

要するにオマエが期待しているようにADの前にOffice氏は警告しなかった。ということだ。

>>214
迷惑かけてすみません。

217 :名無しさん@お腹いっぱい。:04/02/05 00:16
指摘をしても何もしない企業が沢山

俺たちの個人情報がofficeより凶悪な厨房にだだ漏れ。

こういう事態を防ぐための活動は必要だと思うが。
今回はちょっとオイタが過ぎてしまったみたいだね。


しかし、インターネット上にあるファイルを"家の中の物"
に例えているACCSの関係者は認識が甘いとしか思えない。

218 :名無しさん@お腹いっぱい。:04/02/05 00:18
「不正アクセス」に困惑
 京大、研究員逮捕で会見
http://www.kyoto-np.co.jp/kp/topics/2004feb/04/W20040204MWB1K100000109.html

 警視庁が不正アクセス禁止法違反などの容疑で京都大研究員の河合一穂容疑
者(40)を逮捕した事件で、京大国際融合創造センター(IIC)長の松重和美
教授らが4日夕、記者会見した。

 松重教授は「パスワードなどは盗んでおらず、不正アクセスにはあたらない
とみていた。警視庁の踏み込んだ判断に驚いている。今後の司法判断を見守り
たい」と困惑した表情で語った。

 松重教授によると、河合容疑者は同センターで知的財産の専門家を補佐する
仕事に従事、情報処理の知識は独学で身につけたという。

 京大は、河合容疑者からの申告で法学部の教授ら6人でつくる調査委員会を
1月7日に設置。過去4回、河合容疑者から事情を聞くなどしていた。著作権
保護団体のホームページ(HP)から個人情報を取得したとされる逮捕容疑に
ついては「HPのぜい弱さを指摘するために、自宅のパソコンから接続した。
ソフトに欠陥があることが問題。不正アクセスではないが、反省している」と
説明していた、という。



219 :名無しさん@お腹いっぱい。:04/02/05 00:20
パスワードを盗む=不正アクセス

って認識もどうかと思うが

220 :ぶるじょあへのネオロード ◆U/gDqFZzsY :04/02/05 00:20
   ∧∧
   (;´ェ`)<officeさんのタイーホ、不正アクセスってのは何となく分かるんだけど
   (|  |)  威力業務妨害って何??業務を妨害したのって、ACCSのサイトが閉鎖したことについてなんだろうけど
    UU   サイトが閉鎖したのって、通報掲示板のcgiにセキュリティホールがあったからACCSが自ら
         閉鎖したんであって、あくまで閉鎖の原因はそんな危なっかしいもん置いてたACCSにあるんじゃないの?
         officeさんはなんで悪いの??教えてエライ人!!!

221 :名無しさん@お腹いっぱい。:04/02/05 00:20
215は無能である人間には犯罪を働いても許されるというレイシスト・原理主義者ですね。


222 :156:04/02/05 00:21
現状で過去のいきさつをチェックできるのはこれかな?
ttp://www.office.ac/tearoom/noframe.cgi?max=200

No.1616が正しいと仮定するとAD前にACCSに連絡はしてない模様。


223 :名無しさん@お腹いっぱい。:04/02/05 00:23
ブルートフォースは不正侵入の手段じゃないんだな
教授の頭の中じゃ

224 :名無しさん@お腹いっぱい。:04/02/05 00:26
クボータはアンポンタンなCGI配布してる香具師の味方って事だな

225 :名無しさん@お腹いっぱい。:04/02/05 00:27
>220
サイトを閉鎖するかどうかを決める権限は全面的にサイトを運営する企業にあります。
これを曲げて行動を取らせるには法律上の裏付けが必要条件です。
例:行政による指示・指導 法律上正当とされる範囲の報道等

Officeはそのサイト管理企業の裁量権を無視し、当時ですら民法上不法行為を構成する
個人情報公開を盾にして行動を変えさせたわけです。
Officeがやっても良い事の範囲は様々な法律で規定されています。
今回OfficeがACCSの行動を変える為にやった事を許容する法律はどこにもありません。
例:食品の表示を偽った業者名を行政が公表する事でさえ手続きがいる。
報道が公表するにはものすごい制約がある。

OfficeのACCSに対する強要行為、これを威力をもって業務を妨害したとするのは
至極当然の解釈です。


226 :名無しさん@お腹いっぱい。:04/02/05 00:28
河合一穂先生と言えば
彼が京都大学大学院工学研究科化学工学専攻の荻野研究室で助手をしていた頃、
俺の指導教官だったよ。

よくお世話になっていたので、今回の件は残念。
(まぁ、そのときから少しおかしい先生だったが。)

227 :名無しさん@お腹いっぱい。:04/02/05 00:28
パスクラックとは違って正規の手順
で、普通とはちょっと違うリアクションを試したら・・・
(・∀・)ワォ!!

なので不正アクセスとは一切関係ありません。
いつも押して開けるドアを引いて開けることがなぜいけないのですか?
インターネット上に置いてあるものは、見ちゃいけませんですか?

228 :名無しさん@お腹いっぱい。:04/02/05 00:28
>>222
> ?max=200

タイーホ

229 :156:04/02/05 00:28
二転三転してますが156、206の訂正版

1) cgiの脆弱性発見 (7/25)
2) このcgiを使用してるいくつかのサイトに打診(ACCSは含まれず)
3) 事前のACCSへの連絡無しにADで脆弱性内容と個人情報公表 (11/8)
4) ACCSに打診 (11/8以降)


230 :名無しさん@お腹いっぱい。:04/02/05 00:29
まぁ、元々の問題はへぼいサーバー屋に仕事だけ出して
きちんと動作確認してなかったACCSの仕事の仕方だと
思ってんだけど、おかしくないよね。

231 :名無しさん@お腹いっぱい。:04/02/05 00:29
>224
CGIがあんぽんたんだろうがザルだろうが法律上の権利が失われるわけではありません。

アンタがバカだったら誰かがアンタを殺しても良いの?

232 :名無しさん@お腹いっぱい。:04/02/05 00:30
No.1616見ました。
これで過ちであることは明白になったな・・・。
残念です。
それしかいいようがありません。

233 :156:04/02/05 00:31
>>228
?max=がつくURLがgoogle cacheあったもので(((;゚Д゚))ガクガクブルブル


234 :ぶるじょあへのネオロード ◆U/gDqFZzsY :04/02/05 00:31
>>225
   ∧∧
   (;´ェ`)ノ どうもです エライ人
   (|  |  
    UU

235 :名無しさん@お腹いっぱい。:04/02/05 00:32
>>225
>今回OfficeがACCSの行動を変える為にやった事を許容する法律はどこにもありません。

じゃあ逆にOfficeがやったことに対する罪状を追究する法律を教えてよ。

236 :名無しさん@お腹いっぱい。:04/02/05 00:33
>230
その怠慢でもしも誰かに経済的損害がでればACCSに賠償責任があるだろうが、
刑法犯ではないな。

237 :名無しさん@お腹いっぱい。:04/02/05 00:33
ACCSもOfficeも両方悪い。
被害者はACCSとOffice以外の全員

238 :名無しさん@お腹いっぱい。:04/02/05 00:34
>>231
ここはセキュ板だ。
オマイの言ってる事はスレ違い。

239 :名無しさん@お腹いっぱい。:04/02/05 00:35
>>220
威力業務妨害だと
人の意思を制圧するに足りる勢力を示すこと
うーん、正直わからんなぁ
報告の際に相当悪辣な態度を取ったのかもねぇ(藁
ある意味セキュリティゴロのセキュリティゴロたる本質を警視庁から認定されたわけだが・・・

240 :名無しさん@お腹いっぱい。:04/02/05 00:38
>235
不正アクセス禁止法
刑法234条
刑法223条

234条で違法性を問える場合は223条は適用しなくなるかも。



241 :名無しさん@お腹いっぱい。:04/02/05 00:38
>>239
今後起訴・裁判となる場合、そのあたりが焦点になりそうなニョガン


242 :名無しさん@お腹いっぱい。:04/02/05 00:38
>>225
ACCSは個人情報公開を盾に脅されたからではなく、
セキュリティーホールを指摘していただいたから閉鎖したと自分で言ってるんだが。

243 :名無しさん@お腹いっぱい。:04/02/05 00:39
> 例:食品の表示を偽った業者名を行政が公表する事でさえ手続きがいる。

そうなんだよな。早くセキュホの行政手続作れ。
って、無理か。セキュホ放置しても違法じゃないもんな。

244 :名無しさん@お腹いっぱい。:04/02/05 00:39
取り合えず、具体的な法令とその解釈をもってきてくれないことには。
officeの罪状について語ることはできない。

藻前等の目から悪と映っても、法律が白と言えば白。
藻前等がそれを正義だと叫んでも、法律が黒と言えば黒。

245 :名無しさん@お腹いっぱい。:04/02/05 00:40
>>97

246 :名無しさん@お腹いっぱい。:04/02/05 00:41
例えば、「このサーバに穴がありますよ。パスワードも取ろうと思えば取れます」とどこかで発表し、
それを聞いたサイト管理者がそのサーバを停止したら威力業務妨害ってことなの?

247 :名無しさん@お腹いっぱい。:04/02/05 00:41
今回の件のcgiは世間であまりにも広く使われていて、かつ
居所もわからない使用者全員に知らせなければならなかった。

どうすればこの虚弱性を皆に知らせる事ができるのか、
そして考えたすえに取ったこの「悪平等」・・・。


本当はどうすればよかったんだろうな
ACCSに知らせればそれでよかったのかな

とつぶやいてみる


248 :名無しさん@お腹いっぱい。:04/02/05 00:42
>>240
いや何々条とか言われても内容全然わかんないんだけど?
その刑法のどの部分をどう解釈すれば不正アクセス禁止法が成立するわけ?
そこんところを詳しく語ってくれないことには話しにならない。

249 :名無しさん@お腹いっぱい。:04/02/05 00:43
Windowsを鯖にしてたサイトが月間updateを適用たら再起動を要求され
その結果一時的にサイトが停止したらマイクロソフトを訴えられる?
マイクロソフトが脆弱性を公開しなきゃ再起動する必要なかったんだから。


250 :名無しさん@お腹いっぱい。:04/02/05 00:43
>243
不正アクセス禁止法をよく見ると、公安委員会が指導するとか書いてあるよ。
手続きは存在する。(有効かどうかは別として)

だから裁判で「手続きもないんだから公表はやむを得ないんだ!」とか主張しても
まず通らない。

251 :名無しさん@お腹いっぱい。:04/02/05 00:43
盗った情報を一部伏せ字にして関係者、マスコミにFAX。


252 :名無しさん@お腹いっぱい。:04/02/05 00:44
Officeを弁護する気は毛頭ないが、ニュースを見て廻ったら、「官公庁などのHPに不正侵入を…」
などという一方的な報道に腹が立った。
ヘボなサイトは整備不良の車で公道を走り回るに等しい。
整備不良の車を運転しているサイトの責任者や放置している行政も責任とれ。

253 :名無しさん@お腹いっぱい。:04/02/05 00:44
>249
使用許諾契約によって同意しているので強要にはなりません。
契約とか権利とかはちゃんとそういう問題が起こらないように作られている。


254 :名無しさん@お腹いっぱい。:04/02/05 00:46
officeがACCSにメールしたとき、ACCSから返事があったけど、
officeのメーラーがスパム扱いして/dev/nullしてたらしいよ
ADの前っぽいな
そうでなければ認めてもらえない欲求不満でADでさらそうと思わんはず

255 :名無しさん@お腹いっぱい。:04/02/05 00:46
>>250
公表という行為に関しては不正アクセス禁止法違反は問われていない。

256 :名無しさん@お腹いっぱい。:04/02/05 00:47
>246

「あのラーメン屋のラーメンにはハエが入ってた」とか近所に吹いて回るのと同じ。
それが事実だろうがどうだろうが違法。威力業務妨害。

まともな奴は店に直接抗議したり、保健所に行ったり、弁護士雇って慰謝料取ります。


257 :名無しさん@お腹いっぱい。:04/02/05 00:47
>>253
なるほど。どこかで使用許諾契約自体がそもそも有効かどうかなんて話も
あったけどここではそれには触れないとして。
それじゃオフィスが先にACCSとの間で「脆弱性を教えるけど、それによって
鯖を停止するような事になっても責任は取らない」という契約をしてから
報告すれば問題なかったわけね。そんな面倒な事をするかどうかは別として。


258 :名無しさん@お腹いっぱい。:04/02/05 00:49
>252
一応不正アクセス禁止法見ると責任があると書いてあるので、管理を怠ると
被害に対して金は取れる場合があるかも。刑事罰はないけどね。


259 :名無しさん@お腹いっぱい。:04/02/05 00:50
>257
そうそう、同意とか契約があれば何の問題もなかったはず。
功名心から意図的にそれをしなかったと思われ。

260 :名無しさん@お腹いっぱい。:04/02/05 00:51
>>256
でも今回ACCSが鯖を止めたのは>>97

261 :名無しさん@お腹いっぱい。:04/02/05 00:51
伝聞だがofficeからメールを受け取った人の印象はおしなべてよくない
気が狂ったように連続メールよこして義務履行を要求するかのような
ワンパターンらしい

セキュリティやってるoffice氏を偉いと思ってたのだが今回でこういう話を
聞くようになって評価変えた
志が高くてもやり方がまずけりゃ相手に素直に受け取ってもらえないし
今回みたいな事態になる

262 :名無しさん@お腹いっぱい。:04/02/05 00:52
>>254

あー、そうだったんだ。
ACCSとは何かやりとりはあったみたいよね。(いつごろか忘れた)

Office氏は
「ドメインを偽証している可能性があるのでACCSからのメールかどうか信用できない。」
みたいなことを書いてたし。

ああ、掲示板なんで削除しちゃったんだよ・・・。
経緯とか履歴を知りたい・・・。

それにしても敵多そうだったからなぁ

263 :名無しさん@お腹いっぱい。:04/02/05 00:53
>>259
功名心は本人の問題だからしょうがないな。

JNSAあたりでそういう契約(?)のテンプレ作ればいいのに。
JNSAやJPCERT/CCあたりが第三者として仲介するとなお可。


264 :名無しさん@お腹いっぱい。:04/02/05 00:53
>>256
ふむ。
では、アパッチに穴があってそれを公表し、アパッチを使用しているサイトを停止させても同じかな?

265 :名無しさん@お腹いっぱい。:04/02/05 00:54
>>262
>222


266 :名無しさん@お腹いっぱい。:04/02/05 00:54
>>242
その当初はイベントで晒し者にしていたことを知らされていなかった。
書き込みする前にまずはログを嫁。

267 :名無しさん@お腹いっぱい。:04/02/05 00:54
>>261
書こうかどうか迷った(1回消した)けど、受け取ったことあるよ。
脅迫的なのは確か。こっちがセキュリティ上問題ないと主張してる
のに、ならばこんな重大な問題を放置してると公表するぞ、と。
結局直したし、公表もされたけどね。
(でもとりたてて誰も問題視しなかったし、おかげで不便になった)

268 :名無しさん@お腹いっぱい。:04/02/05 00:54
1200人分は共有ソフトとかで流通しとるのか?
とりあえず4人分の情報がアプロダに揚げられたことはわかったが。

269 :名無しさん@お腹いっぱい。:04/02/05 00:55
>>265

そこの掲示板、過去記事もうたどれないでしょ


270 :名無しさん@お腹いっぱい。:04/02/05 00:56
たしかにサイト閉鎖の責をOfficeに問うのは酷いな。
Officeが穴を作り出したんじゃなくて指摘しただけだろ?
馬鹿だからついでに公開したらしいけど。
今回ので閉鎖するって穴を見つけてこっそり教えたって同じじゃん。
やっぱ両方馬鹿だ。

271 :名無しさん@お腹いっぱい。:04/02/05 00:56
>>264
Apache Software Foundationに直接報告する分には問題ないんじゃないか?


272 :名無しさん@お腹いっぱい。:04/02/05 00:56
公安委員会による行政指導ってなんか意味あんのって言う奴がいるかもしれんが、
1.OfficeがACCSに「直せやゴルア」電を何度もする →違法
2.公安委員会がACCSに「直せやゴルア」電を何度もする →合法

というような違いが生まれるぞ。
1.は業務妨害だが、2.は業務妨害にはならない。

273 :239:04/02/05 00:57
おぃ、ACCS
オレオレ、自称スーパーハカーのオヒスだYO!
さっきさぁ、AD2003っていうスーパーハカーの祭りがあったわけさ、OK?
でな、そこでスーパーハカーの俺様がチョチョイとやると、な、こう個人情報駄々漏れ。
俺様に感謝しろよ〜、早く対策したほうがいいんじゃないのぉ?
早く対策しないとスーパーハカーの俺様がインターネットで公開しちゃうZEEEEE?

うーん、勢力を示すって感じはしないなぁ

(゚Д゚ )ゴルァ!!、さっさとやれよ、さっさとやらんと
スーパーハカーの俺様がインターネットで公開するぞ!
まぁ、ちょっと待ってあげないこともないんですよね。
ちょっとACCSさんの誠意を見せて欲しいんですけどね(藁

ってこれじゃ脅迫か

274 :名無しさん@お腹いっぱい。:04/02/05 00:57
>>269
( ´_ゝ`)フーン


275 :名無しさん@お腹いっぱい。:04/02/05 00:57
>>262
それくらい警戒してるんだったら、相手もoffice氏を警戒すると考えるべきだよ
でも、伝え聞くoffice氏のメールの書きっぷりはそういう配慮があったと思えないんだなぁ
タイーホは自業自得の面があると思う

276 :名無しさん@お腹いっぱい。:04/02/05 00:58
>270
ラーメンにハエが入ってると店に直接主張する→合法
ラーメンにハエが入ってると店の中でわめいて他の客に知らせる→違法
ラーメンにハエが入ってると近所に吹いて回る→違法


277 :名無しさん@お腹いっぱい。:04/02/05 00:58
>>272

ふーむ、それって通りすがりが違法建築を発見した場合も同じっぽいね。

278 :名無しさん@お腹いっぱい。:04/02/05 01:00
>>269
max=1000というような当該アクセス制御機能による特定利用の制限を免れることができる情報
を入力すれば見られるよ。

279 :名無しさん@お腹いっぱい。:04/02/05 01:01
それで公安委員会に報告するとして、ネットワーク経由でも可能?


280 :名無しさん@お腹いっぱい。:04/02/05 01:02
>>272
いや1でも最初に一回するなら全然もんだいないんじゃない?
ってまぁ、何度もしつこくやれば業務妨害にはなるけど
てゆーか2でも何度もやれば業務妨害じゃない?

どこに報告するか

業務妨害は関係ないような???
あれ、わからんくなってきた・・・

281 :名無しさん@お腹いっぱい。:04/02/05 01:02
>>276
本当にラーメンにハエはいってたら、
店で大声で文句言っても、店の外であの店のラーメンにはハエはいってた、
って言ってもおkでしょ

282 :名無しさん@お腹いっぱい。:04/02/05 01:03
>>276
こっそり教えたら何事も無かったかのように運営続けるって事か?

283 :名無しさん@お腹いっぱい。:04/02/05 01:03
>>261
脆弱性指摘するにしても身分を明かして丁寧な内容を心がければまた反応は違ってくる。
officeの場合、知的財産を扱う部署にいたわけでその肩書きをちらつかせれば
相手の不審を抑えるにはもってこいの材料。The pointerに拘ったのは失敗だろ。
つーかうざいofficeにつつかれる前にと幾つかこっそりXSS脆弱性を指摘する
メールを送っていたことがあるんだが、漏れも京大出身であること相手にばれてるし、
この件で同じように見られるだろうから全く迷惑な話だよ。

284 :名無しさん@お腹いっぱい。:04/02/05 01:03
http://www.office.ac/tearoom/noframe.cgi?max=1000の976に犯行予告がある。

285 :名無しさん@お腹いっぱい。:04/02/05 01:04
>>278

サンクス。おかげで気になってた個所見つけられたよ。
No.1613

286 :名無しさん@お腹いっぱい。:04/02/05 01:05
>>276
その論理を適用するなら、セキュリティホールなんか公表できないな。
うーん、MSのサイトで公開されている穴も違法なのかな?

287 :名無しさん@お腹いっぱい。:04/02/05 01:07
そうか!今回の逮捕はMSの圧力だったのか!!


288 :名無しさん@お腹いっぱい。:04/02/05 01:07
>281
名誉毀損もそうなのだが、それが事実であればあるほど罪が重くなるとされる。


289 :名無しさん@お腹いっぱい。:04/02/05 01:10
>事実であればあるほど罪が重くなる
???

290 :名無しさん@お腹いっぱい。:04/02/05 01:11
>>288
アフォか。
事実なら威力業務妨害になんて問われねーよ。

291 :名無しさん@お腹いっぱい。:04/02/05 01:11
やっぱやり方しだい、ってことだろうなあ。
一番迷惑したのは、さて、誰だろう。

292 :名無しさん@お腹いっぱい。:04/02/05 01:11
>>288
業務妨害は違うんじゃなかったっけ?

293 :名無しさん@お腹いっぱい。:04/02/05 01:12
>>291
ひろゆき

294 :名無しさん@お腹いっぱい。:04/02/05 01:14
>>275
どこから出てきたかわからないような風評を一々間に受けるなよ。
ソースを明示せよ。

295 :名無しさん@お腹いっぱい。:04/02/05 01:14
一番迷惑したのはセキュリティイベントで金儲けしてた奴らだろう
小島なんかBOFで金がたまって使い道に困るなんて言ってたw


296 :名無しさん@お腹いっぱい。:04/02/05 01:15
>やっぱやり方しだい、ってことだろうなあ。
>一番迷惑したのは、さて、誰だろう。

1. Office氏
2. ACCS
3. レンタル鯖屋
4. 虚弱性アリのCGI作った人
5. 情報漏洩されちゃった人
6. 虚弱性を報告されずらくなった世間の鯖管理人達
7. 会社の見え見えディレクトリを密かに覗いて楽しんでた人たち
8. Office氏の家族

関係者はこんな感じかね

297 :名無しさん@お腹いっぱい。:04/02/05 01:15
>286
公表の目的を考えれば自ずから適切な公表の方法がわかるはずだ。
相手の同意無しに公表するのは相手の営業に対する裁量権を無視して
業務妨害になるおそれがある。
社会的公益のためにマスコミが公表とか、許される場合もあるが、
いずれにしても功名心のために個人が企業を操って無事ですむような事はない。

MSの穴はMSに言う。それが直されない場合今までなら客観的に社会的公益に関わると判断される場合に
限りマスコミ報道が許された。この合法的行動を盾にして改善を適度に促す分には問題がない。

今では不正アクセス禁止法によって公安委員会が管理者に援助とか指示とかする指導権があるらしい。

MSが自分の穴を自分で発表する事自体には何の問題もない。
それによってMS製品導入している人たちが取らなければ行けない行動に関しては
使用許諾契約で免責されている。
でもSUNがMSの穴を同意を得ずに公表してたりしたら違法かもしれない。


298 :名無しさん@お腹いっぱい。:04/02/05 01:16
9. 2chにうpされたり、鯖を重くされたりしたひろゆき

299 :名無しさん@お腹いっぱい。:04/02/05 01:17
10. AD2000の関係者

大事なのに忘れてた

300 :名無しさん@お腹いっぱい。:04/02/05 01:20
>>290,292

すまん、俺が言おうとしてたのは233条の方じゃなくて234条の方ね。
威力業務妨害。

301 :名無しさん@お腹いっぱい。:04/02/05 01:20
11. ハッカージャパン等の厨房相手の出版社


302 :名無しさん@お腹いっぱい。:04/02/05 01:20
>>286
セキュリティ意識の低い相手だと穴の公開を全面的にいやがって訴訟を盾にする事が多い。
MSも今はまだましで昔はひどかったしな。
そういう相手にofficeは厨丸出ししてしまったのが何より痛い。

303 :名無しさん@お腹いっぱい。:04/02/05 01:21
一番楽しんでるのはこのスレの住人であることは確実。

304 :名無しさん@お腹いっぱい。:04/02/05 01:22
>290
事実であれば問われないのは233条の方で、234条の威力業務妨害は
関係ない。

305 :名無しさん@お腹いっぱい。:04/02/05 01:22
MSについてはsecure@microsoft.comに英語で連絡すれば対応してもらえる可能性が高い
対応するまでの時間はそれなりらしいが


306 :名無しさん@お腹いっぱい。:04/02/05 01:23
>>303 (´ー`)y−~~~

307 :名無しさん@お腹いっぱい。:04/02/05 01:24
迷惑を受けた人々、ワロタw

>>297
穴を見つけて再三改善要求を出しているにもかかわらず、
MSがそれを公表せず、ずっとほったらかしにしていた場合はどうなんだろ。

>>303
それは確かにw

308 :名無しさん@お腹いっぱい。:04/02/05 01:24
一番楽しんでるようで明日遅刻しそうになって苦しむのもこのスレの住人だな(⊃д`)


309 :名無しさん@お腹いっぱい。:04/02/05 01:25
ソフトの作成元じゃなくて利用者叩いたのが失敗。
森川のCGIはこんな穴がある。A**Sも使ってるぜ、ヒヒヒ
とやっときゃ良かったんですよ。

310 :名無しさん@お腹いっぱい。:04/02/05 01:30
>>297
なるほど。ありがとう。

>>247にあるけど、フリーソフトみたいなソフト管理者が不明な場合でも
公安委員会に報告なのかな?報告されても困ると思うのだが。
まあ法律でそうなっているなら従うしかないか。

311 :名無しさん@お腹いっぱい。:04/02/05 01:31
>>310
たぶん2chに報告すると一番早く穴が埋まる。

312 :名無しさん@お腹いっぱい。:04/02/05 01:33
>>31
それだ!(ホントかよw

313 :名無しさん@お腹いっぱい。:04/02/05 01:34
>>312
そしてひろゆき相手の訴訟が増えて2ch廃止w


314 :名無しさん@お腹いっぱい。:04/02/05 01:35
>>310
そして公安委員会で1年ぐらい協議されて、
それからシドウー
ってなことになるんだろうかw

315 :名無しさん@お腹いっぱい。:04/02/05 01:35
>>313

そうすると、修羅場スキルでいえば

ひろゆき>>>>>>>>Office

こんな感じなのかな。

Office氏も先にここで相談すればよかったのに・・・。

316 :名無しさん@お腹いっぱい。:04/02/05 01:36
ちなみに公安委員会に報告したという事実を公表するのは問題なの?
もちろんどのソフトかという所をボカしてあくまで公安の動きを
公表するという意味で。


317 :名無しさん@お腹いっぱい。:04/02/05 01:37
>>315
人付き合いというか人との交渉という意味ではそうだろうな。
もっともここで相談といっても逮捕前にこのスレは無かっただろうがw


318 :名無しさん@お腹いっぱい。:04/02/05 01:39
>>>297
>穴を見つけて再三改善要求を出しているにもかかわらず、
>MSがそれを公表せず、ずっとほったらかしにしていた場合はどうなんだろ。

それが誰が見ても重大な結果を招くとわかれば新聞報道しちゃえばいいんじゃない?
ただし、「穴がある」だけだとダメかもね。
だって「穴をつく」事は違法なんだから、別に直さなくても必ずしも無防備なわけじゃない。
ちゃんと罰則によって保護されてる。
「A銀行のある支店は金庫室にドリルで穴が空く」事実があったとしても、それを直す義務は必ずしもないと思う。
A銀行が自らの信用のために直すかどうか選択できる話であって、何かが強要する事柄ではないと思う。
普通に使っててトラブルが起こるとかなら十分報道の対象になるでしょう。


319 :名無しさん@お腹いっぱい。:04/02/05 01:42
>>317
ニュー速とかにスレ立てればいいんだよ。ACCのサイトに穴発見!とか言って。
そしてヒントは小出しでスレを成長させて、うp祭りとかが起きて、鯖ダウンさせて、
誰かがアク禁くらう。

320 :名無しさん@お腹いっぱい。:04/02/05 01:44
>319
だなぁ、自分でやるからドジ踏むんだよな。
厨にやらせりゃいいw





スマソ、Office自身が厨だって事を忘れて…

321 :名無しさん@お腹いっぱい。:04/02/05 01:46
自分よりレベルの高い厨を探すのが先決か


322 :名無しさん@お腹いっぱい。:04/02/05 01:47
>>320

それをいうのはよそうよ・・・。

世の中、厨に勝てるのは厨だよ?

しかも権力のあるやつに限って強力な厨だったりするし


323 :名無しさん@お腹いっぱい。:04/02/05 01:48
皆もうちょっと勉強しろ。とりあえず取っ掛かりはこんなところで。
ttp://www.itmedia.co.jp/enterprise/0307/31/epn16.html

324 :名無しさん@お腹いっぱい。:04/02/05 01:50
>>318
ACCSの件は置いておいて

自らみつけたセキュリティホールをなんで公開
する必要があるの?
特に金貰っている機関の人間でない限り
M$への報告は本人が善意でやってんでしょ?
対応しなかったら、公開っつー考えも良くわか
らんがね。
#検証用でやってんだろうが、サンプルソースまで
#つける行為はもっとわからんが

対応しなくて問題があったら(別の人が発見して
利用したら)、あ〜俺が言ってやったのにって
したり顔してればイインデネーノ?

325 :名無しさん@お腹いっぱい。:04/02/05 01:51
あいや、これとその関連記事のほうが面白いや。
ttp://www.itmedia.co.jp/news/0207/05/cead_vamosi.html

326 :名無しさん@お腹いっぱい。:04/02/05 01:53
>>324
そりゃ自分で直すのが面倒だから
Windowsなんぞ自分で直す事自体出来ないし


327 :カキコ:04/02/05 01:53
ちなみに

328 :名無しさん@お腹いっぱい。:04/02/05 01:54
>>324
そうやって穴を放置することで個人情報を漏らされたりする一般人が
一番の被害者だとかofficeが言ってたんじゃない?
指摘してもまず是正されないから、公表もやむをえないと。

329 :名無しさん@お腹いっぱい。:04/02/05 02:01
>>328
穴はそらなんとかして欲しいが、巷には
セキュ報告で詳細に公開したり、ソース
公開したのを元にウィルス作ったりして
いる香具師の方が多いんじゃない?

なんか一般人を盾して、自分が悦にひた
っている気がしますが。
# あくまで個人レベルの場合ね

330 :名無しさん@お腹いっぱい。:04/02/05 02:02
>>323 はアメリカの話でしかも(怪しい)業界団体の指針だし、
>>325 もアメリカの話で単なる感想だし。
むしろ、日本の不正アクセス禁止法のことをくわすく教えてほすい。

331 :名無しさん@お腹いっぱい。:04/02/05 02:02
officeはよそのサイトをアタックするときは
セキュリティーホールがあるかどうか確認するための正当な行為だ
って言うくせに自分のサイトが攻撃されると
攻撃しかけた側を脅迫してたからなw

332 :名無しさん@お腹いっぱい。:04/02/05 02:04
個人レベルの動機なんてどうでもいいと思うけどね
法に触れず、周りに迷惑をかけないんなら好きにすればいい
どういう動機であれ法に触れ、周りに迷惑をかける香具師は逝ってよし


333 :名無しさん@お腹いっぱい。:04/02/05 02:07
どれくらい脆かったら「穴」っていうのかな?
用途や保護する情報によるんだろうけど、そもそもコレがもろいとか堅いとかって
判断する基準がないような気がする。


334 :名無しさん@お腹いっぱい。:04/02/05 02:12
今回のは警視庁だよね、なんで京都府警じゃなかったんだろ。
京都府警はゴニョゴニョ家にムニャムニャされてたのかな?

335 :名無しさん@お腹いっぱい。:04/02/05 02:14
アクセス制御機能ってボロボロの制御機能ではぼろぼろの鍵でもいいのかな?
そのボロボロの鍵は果たして本当に鍵と言えるのか?


336 :名無しさん@お腹いっぱい。:04/02/05 02:16
鍵の強度と不正アクセスになるかどうかは別問題
弱い鍵のせいでユーザーが不利益をこうむる場合はユーザーが鯖管理者を訴えるだけ
弱くても強くても不正アクセスした時点で法的に問題になる


337 :名無しさん@お腹いっぱい。:04/02/05 02:17
たとえ1分でピッキングできる南京錠でも、ピッキングして侵入した時点で犯罪。



338 :名無しさん@お腹いっぱい。:04/02/05 02:18
>>333
rootのパスワードを設定していなかったら、穴だけど、
セキュリティーをかける意思がなかったとみなされても仕方がないんじゃないだろうか。

339 :名無しさん@お腹いっぱい。:04/02/05 02:19
>>334
ACCSが大塚にあるからだよ。

340 :名無しさん@お腹いっぱい。:04/02/05 02:19
鍵って言っても GET リクエストのパラメータのところになんか数字4桁入れるだけだったとか、
JavaScriptでやってたとかいうのもあり?

341 :名無しさん@お腹いっぱい。:04/02/05 02:20
>>336
CGIの引数に何を渡すかなんて、サイト閲覧者の自由のように思えるが。

342 :名無しさん@お腹いっぱい。:04/02/05 02:21
うpされた個人情報をDLした香具師はいるのか?

343 :名無しさん@お腹いっぱい。:04/02/05 02:21
確か不正アクセス禁止法にはセキュリティホールを突くものと
他人のID,Passwordでアクセスする事が別に規定してたと思う。
他人のマシンにID:rootでパスワード無しで入れたとしても
それは他人のマシンの他人のIDを使って進入したことになるかも。
(判例が出てるかどうか知らないのであくまで条文からの解釈)

344 :名無しさん@お腹いっぱい。:04/02/05 02:21
まあ鍵と認められないものを鍵だと主張することもできるな。

345 :名無しさん@お腹いっぱい。:04/02/05 02:22
鍵を鍵と認めるのも誰だか分からんが。
いまのところ裁判所だけなのか…。

346 :名無しさん@お腹いっぱい。:04/02/05 02:22
南京錠のピッキングって、ヘアピン折り曲げて、グリグリするだけ。簡単に開いちゃう。
それといっしょ、

347 :名無しさん@お腹いっぱい。:04/02/05 02:23
http://pc.2ch.net/test/read.cgi/sec/1075861177/2

↑こんなふうにレス番を指定するのも管理者が意図してないかもしれない。

348 :名無しさん@お腹いっぱい。:04/02/05 02:26
>340
たとえば裁判所の差し押さえ物件の封印とかは、小学生の力でもはがせるわけだが、
はがしやすいかどうかと、はがしていいかどうかは全く別の話。


349 :名無しさん@お腹いっぱい。:04/02/05 02:28
AD200Xスレ、新スレがたちました


350 :名無しさん@お腹いっぱい。:04/02/05 02:31
アクセスを制限する側が期待したとおりに制限することがあって、
それが(管理者が)意図せず出来ないときに初めてセキュリティホールって言葉が使えるわけで。

管理者はどういう用途を期待しているのか利用者に対して明文化しないと、
利用者は管理者が何を意図しているのかわからないよ。

351 :名無しさん@お腹いっぱい。:04/02/05 02:34
A.D.200X@Random (14) 〜Office逮捕へ〜
http://pc.2ch.net/test/read.cgi/sec/1075915643/l50

352 :名無しさん@お腹いっぱい。:04/02/05 02:35
>>328
で、なんでその個人情報をプレゼン資料に添付して配ったりしたんだ?

353 :名無しさん@お腹いっぱい。:04/02/05 02:37
>>352
officeだから

354 :名無しさん@お腹いっぱい。:04/02/05 02:38
ACCSに不正アクセスした証拠として見せびらかせただけだろ


355 :名無しさん@お腹いっぱい。:04/02/05 02:38
>347
そういう主張を管理者ないしは検察がする事は可能だが、それが認められるかどうかは
裁判所が判断する。

356 :名無しさん@お腹いっぱい。:04/02/05 02:39
>>350

利用者はセキュリティホールを突いている事を
意識できない場合が出てくるということか

357 :名無しさん@お腹いっぱい。:04/02/05 02:42
>>356
あるだろうね
だからこそ不正アクセスかどうかを判断するのは裁判官なわけだ


358 :名無しさん@お腹いっぱい。:04/02/05 02:43
>>357
利用目的ごとに基準がほしいと思ったよ。
裁判官のさじ加減で決まるのはいやだ。

359 :名無しさん@お腹いっぱい。:04/02/05 02:45
>>348
裁判所の差し押さえ物件の封印をはがしてはいけないとわかるが、
CGIの引数に何を与えてよくて何をあたえてはいけないかなんて管理者以外にはわからない。
鯖が何かを返してきたら、それは見ても構わないと判断しても責められない。
index.htmlは公開してるけどindex2.htmlは公開していない、と言っても通用しないように。

360 :名無しさん@お腹いっぱい。:04/02/05 02:45
>>358
裁判官だって本人の主観だけで決めるわけではない。
管理者がどういう使い方をユーザーに示していたか、
ユーザーがどういう理由でそれとは違うアクセスをしたか、
過去の判例がどうだったかなどを判断材料にしている。


361 :名無しさん@お腹いっぱい。:04/02/05 02:51
悪意のない人が罪になるおそれはまずありません。
罪にするには罪にしたい側が証拠を出さなければいけないのですから。
悪意のある人がなるべく罪になりたくないというなら、どんどん処罰されて下さい。


362 :名無しさん@お腹いっぱい。:04/02/05 02:53
>359
そこら辺を個別に判断するために裁判所があるのだし、
いちいち細かい境界を公表して周知させる義務はどこにもない。


363 :名無しさん@お腹いっぱい。:04/02/05 02:53
>>360
自由心証主義である限り、裁判官の主観だよ

364 :名無しさん@お腹いっぱい。:04/02/05 02:53
>>360
それはそのとおり。

言いたかったのは裁判しないと結論が出ないという現状がやだなぁ、ってことですよ。
なんかの基準がほしい。

…今回の件、国外の外国人が同じ事をやったら同じ論理が通じるのかな?

365 :名無しさん@お腹いっぱい。:04/02/05 02:58
>>362
裁判所の判断にまかせろでは、検察も弁護士もいらん。

366 :名無しさん@お腹いっぱい。:04/02/05 03:01
まあ、これで不正アクセスの基準が変わったとしても逮捕できるのは日本人だけだ。
セキュリティホールをつく奴は、その他の連中の方が多い&ウマー。
おせっかいから警告も貰えず、流出データが世界中回って被害者から訴えられるのも良かろう。

367 :名無しさん@お腹いっぱい。:04/02/05 03:02
>>361
罪がある人には悪意があるものなのかな?必ずしも。

また、もし言っているとおりだったら冤罪なんてありえないね。

368 :名無しさん@お腹いっぱい。:04/02/05 03:11
>366
不正アクセス禁止法に準ずる法律があり、かつ日本との犯罪人引き渡し条約の
ある国からのみのアクセス以外弾くようにしておけば無問題。
おまえらのようなアフォが保安官気取りで私刑を加える事を許さない体制は万全だなw

369 :名無しさん@お腹いっぱい。:04/02/05 03:13
>>368
それって技術的にどうやって実現するの?


370 :名無しさん@お腹いっぱい。:04/02/05 03:14
>>368
アメリカ人が同じことをしても引渡しなんか要求できるわけが無い。

371 :名無しさん@お腹いっぱい。:04/02/05 03:15
>>368
串使ってたらどうするよ

372 :名無しさん@お腹いっぱい。:04/02/05 03:18
>>368は釣りだろ。
こんなことを本気で書いてたらどうかしているぜ

373 :名無しさん@お腹いっぱい。:04/02/05 03:19
>369
.htaccessってのに書いておくのが一番簡単だが、
CGIでアクセス元のDNS逆引き・whoisを行えばほぼ確実。
んでポートチェックとブラックリストで串禁止。
主要ISPの非公開串のホワイトリストで利便性も確保。


374 :名無しさん@お腹いっぱい。:04/02/05 03:20
>>372
釣りっていわずにネタとして楽しんだほうがよいと思うけど、どうよ?

375 :名無しさん@お腹いっぱい。:04/02/05 03:20
>>373
鎖国でもするんですか?

376 :名無しさん@お腹いっぱい。:04/02/05 03:21
371・372は知ったか厨だなw

377 :名無しさん@お腹いっぱい。:04/02/05 03:23
2ちゃんの串規制してる板に書ける国外の串が一つでもあったら
言ってみろ。
俺はsageで2ちゃんにかけるかどうか試すスクリプト組んでるが、
国外ので通ったのは一つもないな。逆引きできないのもはじかれるし。



378 :372:04/02/05 03:23
ただの釣りだろ厨ですが?

379 :名無しさん@お腹いっぱい。:04/02/05 03:24
>>377
name cache に毒を盛る

380 :372:04/02/05 03:25
>>377
国外の串に限定する理由は?

381 :名無しさん@お腹いっぱい。:04/02/05 03:26
国際電話で日本国内のアクセスポイントにダイアルアップするとかできないのか?

382 :名無しさん@お腹いっぱい。:04/02/05 03:27
>>381
そんなことしなくても国内の串使えばいいんじゃねーか?
とりあえず、できる。

383 :名無しさん@お腹いっぱい。:04/02/05 03:29
Soft Ether

384 :名無しさん@お腹いっぱい。:04/02/05 03:31
(´,_ゝ`)プッ
侵入先のログ消したって、NSPIXPのログまで消せんのかね?

(´,_ゝ`)プッ
大昔と違って捜査権使えばどこまででもたどれるよ。

385 :名無しさん@お腹いっぱい。:04/02/05 03:33
>382
国内の串なら令状出して「ログ出せゴルァ」で終了。
やるなら捜査協力の無い国のログもろくに取ってない串使わないと。

逆に言えばそういうのを避ける設定をすれば無問題。

386 :名無しさん@お腹いっぱい。:04/02/05 03:33
辿れても、このぐらいじゃタイーホできる国があるのかとさっきから言われてるのに・・・

387 :名無しさん@お腹いっぱい。:04/02/05 03:33
>>384
んなところでログとってんの? < NSPIXP

388 :名無しさん@お腹いっぱい。:04/02/05 03:33
>381
電話局がログ取らないで料金取れるとでも思うのか?


389 :名無しさん@お腹いっぱい。:04/02/05 03:37
>>384
>(´,_ゝ`)プッ
>侵入先のログ消したって、NSPIXPのログまで消せんのかね?
本当???ソースくれー。

390 :名無しさん@お腹いっぱい。:04/02/05 03:39
イソターネット喫茶店のようなところからアクセスした場合、犯人など分からん

391 :名無しさん@お腹いっぱい。:04/02/05 03:49
>>390
分かる・・・
店に身分証提示しなゃいけないし
それに、店では誰がどのPC使ったかとか記録されてる(時間帯も)



392 :390:04/02/05 03:54
ああ、わりぃ。国内に限定してないから。

393 :名無しさん@お腹いっぱい。:04/02/05 03:54
>387
>389
http://nspixp.sfc.wide.ad.jp/Traffic/
最近のはログ残してるだろうね。
ファイルに書かなけりゃ全部メモリに入れて集計してる事になるw

394 :名無しさん@お腹いっぱい。:04/02/05 03:56
>392
日本と犯罪人引き渡し条約結んでいるような国は当然
ネットセキュリティに関する国際条約結んでるわけで、身元確認は
行われていると考えていい。

395 :名無しさん@お腹いっぱい。:04/02/05 03:57
>>377
>不正アクセス禁止法に準ずる法律があり、かつ日本との犯罪人引き渡し条約の
>ある国からのみのアクセス以外弾くようにしておけば無問題。
これを満たすには串設定をどうしたらいい?

396 :390:04/02/05 04:00
>>394
韓国あたりじゃ引渡し条約結んでいないのかねえ・・・全然身分確認とかされなかったよ。

397 :393:04/02/05 04:00
>387
>389
http://nspixp.sfc.wide.ad.jp/Traffic/
この集計を全部メモリ内で行っているとは考えがたいな。
週単位か月単位かはわからないが、確実にファイルにかかれているだろう。
最近のストレージの発達考えると、ログを1TBくらいため込んでも何ともないしな。
というより接続料徴収の根拠として使えるように数ヶ月分は確実にあるだろうな。


398 :393:04/02/05 04:03
http://nspixp.sfc.wide.ad.jp/Traffic/
この集計ね。

399 :名無しさん@お腹いっぱい。:04/02/05 04:03
nnn24出すぎだな

400 :名無しさん@お腹いっぱい。:04/02/05 04:09
>>397
ネタか?
IXが知ってなきゃいけないのは、ピア単位でのトラフィック量
どのピアから来た/どのピアへ行ったパケットが何バイトor何パケットあるかが
わかればいいだけでどのIPアドレスかまで記録してる訳無いだろ
IPアドレスまで記録してたら1TBあっても一日もかからずに使い切っちゃうよ

401 :名無しさん@お腹いっぱい。:04/02/05 04:11
今回の場合、被疑者がメール送ったりなんだりしたからばれたのであって
黙ってアクセスされてればほとんどの場合ばれないんだろ?

402 :393:04/02/05 04:14
IPなんて四バイトしか食わないだろ。
open時だけ記録すれば容量は食わない。


403 :名無しさん@お腹いっぱい。:04/02/05 04:16
from-to

404 :393:04/02/05 04:16
んじゃ8バイトの方向で。

405 :名無しさん@お腹いっぱい。:04/02/05 04:18
あんまり考えないで発言してるのがよく分かるな(w > 393

406 :名無しさん@お腹いっぱい。:04/02/05 04:22
一時間あたりのユニークホストなんてきわめて少なく、ログのエントロピーは
小さいんだから、たとえば一時間ごとにLZ圧縮とかすれば
結局1openあたりのアドレス記述に要するバイト数は3も行かないだろうな。


407 :名無しさん@お腹いっぱい。:04/02/05 04:48
>>400
> IPアドレスまで記録してたら1TBあっても一日もかからずに使い切っちゃうよ

1兆バイトというと、IP=4バイトとして2500億アドレスということに
なりますね。googleでも一日で使い切るのはちと大変でしょう。


408 :名無しさん@お腹いっぱい。:04/02/05 05:37
ホントに何も考えてないのな
IXが記録するとしたらパケット数やデータ量(バイト数)の情報の方が大事
openした時だけレコード作ってたら後続のパケット来た時サーチしなきゃいけない
そんな事してたら記録なんて追いつかないのは明らか

http://nspixp.sfc.wide.ad.jp/Traffic/
のグラフ見りゃわかるけど、5分Aveでも15Gbpsのデータ量がある訳で
そんなに高速で書けるHDDなんてこの世に存在しない

そもそも何で比較対照がgoogleなんていうちっぽけな一サイトなんだよ
IXを単独のサイトと比較しているあたりで何も考えてない事は明らかだな

409 :名無しさん@お腹いっぱい。:04/02/05 07:07
要するに、今回の件は

掲示板に掲示してあった紙をぺラットめくったら個人情報が書いてある裏紙をそのままつかってて
「ばっかでぇ、こいつ、こんな裏紙使ってるぞ・・・みんな見れ見れ」とやったら不法進入で捕まったというわけですな

>390 >391
YBBUserというホットスポットを町中で見かけますが、それを利用するのは?


410 :名無しさん@お腹いっぱい。:04/02/05 07:23
>408
ハァ?
・TCP OPEN時にのみIPを記録するのは十分にHDDの帯域幅に収まる
・コネクションあたりの転送量はメモリ内でサーチして集計するので
多量でも問題ない。

411 :名無しさん@お腹いっぱい。:04/02/05 07:24
>409

例え紙一枚でもはがせば犯罪になるものの例に裁判所による差し押さえ
の封印がある。
やるのが簡単ということとやっていいかどうかは何ら関係がない。


412 :名無しさん@お腹いっぱい。:04/02/05 07:25
とりあえずたとえ話はやめとけ
意味がないから

413 :名無しさん@お腹いっぱい。:04/02/05 07:30
>>411
そうもいえない。当然裁判所はそういうこと考慮するでしょ。

414 :名無しさん@お腹いっぱい。:04/02/05 07:36
>>413
そうでもないんだよね。令状なんてすぐ出ちゃうらしい。

415 :名無しさん@お腹いっぱい。:04/02/05 07:47
CGIの引数を勝手に書くことなんて2chでもよくやってるぐらいの普通のことだ。
情報を保護する意図があったとは思えない。

416 :名無しさん@お腹いっぱい。:04/02/05 08:04
不正アクセス禁止法にはひっかからんよ。
CGIのファイル名引数は不正アクセス禁止法にいう識別符号ではないし、アクセス制御機能を回避したわけでなくそのまま堂々ととおしたんだし、管理者は何年も前からそれが可能だと認識つつ放置してたんだから。


417 :名無しさん@お腹いっぱい。:04/02/05 08:06
yahooの速報に2ちゃんねるに書き込まれて削除されたって
出てるな。

418 :名無しさん@お腹いっぱい。:04/02/05 08:10
協会にHPを閉鎖させるなど業務を妨害した

これは違うだろ・・。
不正アクセスだって別に他人のIDつかったりしたわけでもないし・・。
警察やマスコミの報道が変だろ

419 :名無しさん@お腹いっぱい。:04/02/05 08:12
>>416
脆弱性でもなんでもなく「仕様」だよな。
むしろそれに管理者が気づかなかったとしたら
白鳥としか言いようがない。
白鳥が堂々と公開してた情報を引っ張り出して逮捕されたら
たまったもんじゃないな。


420 :名無しさん@お腹いっぱい。:04/02/05 08:14
っつーか、ニュース記事、読めば読むほど腹が立つ。
悔しくて悔しくて、涙出てきた。

河合一穂のために、俺に何かできること無いですか?


421 :名無しさん@お腹いっぱい。:04/02/05 08:14
>417
これだな

217 :名無しさん@お腹いっぱい。 :04/01/28 09:42
あぷろだにあるファイルは本物でつか?
ADに逝った人、確認きぼんぬ。怖いのでまだダウソしてないへたれでつ。

WebExploit_Demo.ppt
2004-01-27 20:43:48
名前:office

お借りします

ファイル:/up/27aa7f56c0eb.ppt (1717.00 KB)

422 :名無しさん@お腹いっぱい。:04/02/05 08:15
>>420 抗議の自殺でもしたら?
世の中のためでもある。

423 :名無しさん@お腹いっぱい。:04/02/05 08:16
既に報道されてることだが、気づいてたんだよ、何年も前から。
その上で設定をそのままにしてたんだから、管理者の意図どおりの利用でしかない。

424 :名無しさん@お腹いっぱい。:04/02/05 08:25
>>421
で、そのウプがどんな法律にひっかかるのかな?
まさか個人情報保護法とか思ってないよな?
自分で作ったPPTファイルだから、著作権法でもないしな(w

425 :名無しさん@お腹いっぱい。:04/02/05 08:35
>>420
これからは君が office だ。office と名乗りたまへ。

426 :名無しさん@お腹いっぱい。:04/02/05 09:01
>>425
ハウスの方がいいだろう

427 :名無しさん@お腹いっぱい。:04/02/05 09:02
>>370
日本に産業スパイに関する法律はないのにアメ公のエゴと理研への妨害のために
日本の研究者が引き渡されようとしているまっただ中でよくそんなことが言えるな。

428 :名無しさん@お腹いっぱい。:04/02/05 09:05
>>390
身分証不要な店も多いよ
あとは無線LAN経由だな
ある程度の場所と時刻は絞れるがこっちは店員や客に顔を覚えられる心配がない。


429 :名無しさん@お腹いっぱい。:04/02/05 09:35
警察も「ネットワーク犯罪が増えてます、予算増やせ!」っていう
ネタを探すのにやっきになってるってことだね。
なんたってpingを「不正アクセスのための準備行為」と位置づけて
ハッキング数にカウントして水増ししまくってんだからよ。
それにしても相変わらず府警は大企業に弱いな。

430 :名無しさん@お腹いっぱい。:04/02/05 09:48
>>427
ぷっ、そういうことも含めて立場が弱いだけだ。
だから逆の場合はそういう法律があっても、この件は該当しないと突っぱねられるのがオチ。

431 :名無しさん@お腹いっぱい。:04/02/05 09:58
>>428
無線LANはMACアドレス残るから足がつくよ。
それを偽装できる人なら(簡単にできるけど)、他にもいろいろ方法は
考え付くだろうね。


432 :名無しさん@お腹いっぱい。:04/02/05 10:09
          /::::::::::::::::::::::::::::::::::::::ヽ
        /´:::::::::::::::::::::::::::::::::::::::::::::::::`ヽ
      /::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::\
       (::::::::::::::::::::::::::::::::::::::ヽ:::::::::::::::::::::::::::::::)
      (::::::::::;;:/:::::::::::::::::::::::::::::::::人:::::::::::::::::::::)
      (::::::::::;::;/人ノヽノヽノヽノ  \:::::::::::::::)
     (:::::::::;::;;/ノヽノヽ         ヽ::::::::::)
     |::::::;;:/,               .|:::::::::|
     |::::::::|:::******@@ヽ  /'****** j:::::::::)
     |::::::|  -=・=-  i ^+  -=・=- j:::::::::)
 ..   (::::::|..   ~~~ . ノ   ヽ  ~~~~  ::::|
   .. (/::|..       /    ヽ      :::::|
  ...  (|         (.o⌒o .)       .|ノ
      \       :::::::::::::U::::::::::::::     /
       |\    :::::;m┬┬┬m-  ;::::/| 保釈OFF参加者募集中です  
       |.. \.    .~└┴┘~   / .| 
          ヽ          /  |


433 :名無しさん@お腹いっぱい。:04/02/05 10:38
来るべき中国とのサイバー戦争に備えて、officeを確保しておく戦略なのだよ。


434 :名無しさん@お腹いっぱい。:04/02/05 10:47
>>433
まるで役に立たないです

435 :名無しさん@お腹いっぱい。:04/02/05 10:54
>>431
仮想PCのNICに適当なMACアド付ける。

436 :名無しさん@お腹いっぱい。:04/02/05 11:01
とはいえ、侵入の準備行為においてpingが重要なのは事実でもあるんだよねぇ・・・。

437 :名無しさん@お腹いっぱい。:04/02/05 11:05
>>420
これからは 犬 と名乗りなさい

438 :名無しさん@お腹いっぱい。:04/02/05 11:13
>>432
退所OFFなら行くよ。

439 :名無しさん@お腹いっぱい。:04/02/05 11:14
しかし京大だと司法関係者も多いから今後の展開が楽しみだね。
2ちゃんで神と崇められながらも現実社会じゃ孤立無援のダウソ厨とわけが違う。

440 :名無しさん@お腹いっぱい。:04/02/05 11:19
>>439
京大がってよりは擁護するのは親族だと思われ
それとも半バイト君を大学側が守らんといかんのか?


441 :名無しさん@お腹いっぱい。:04/02/05 11:19
タッホイ♪

442 :名無しさん@お腹いっぱい。:04/02/05 11:21
>>440
親族が大学に圧力の可能性

443 :名無しさん@お腹いっぱい。:04/02/05 11:24
>>424
マジレスすると、個人情報のリストを
htmlに変換しようがpptに変換しようが
個人情報のリストであることには変わりない。

444 :名無しさん@お腹いっぱい。:04/02/05 12:04
結局「個人情報」て何だったんですか?
ASK ACCSのサイトから察するに、
実氏名と住所、メアド、相談内容ってとこ?

445 :名無しさん@お腹いっぱい。:04/02/05 12:32
ACCSのサイトみる限り、
通報者の個人情報のほか、通報先の情報も洩れてる可能性があるね
http://www.accsjp.or.jp/piracy.html

446 :名無しさん@お腹いっぱい。:04/02/05 12:36
>>445 まあ通報者の勤務先が一般的だろうね。で、職場で白い目で見られると。

447 :名無しさん@お腹いっぱい。:04/02/05 12:46
ああ、「このちくり野郎、殺すぞ!」みたいな…。
ユダを促進するシステムなのに、その身元情報
必要以上に詳しく取って、おまけにその内容を
保護してなかったら、そりゃ悲惨なことにもなるよなぁ。

448 :名無しさん@お腹いっぱい。:04/02/05 12:59
2ちゃんのあぷろだに上げられたという数人分以外にも
officeとは別にアクセスして持ち出したメンバーが7人もいるそうだから
残りの1200人の情報も闇ルートで出回っているかもしれない。
更にやばくなってきたと思う。

449 :名無しさん@お腹いっぱい。:04/02/05 13:06
キーボードの「Q」のところに右手の中指、
「A」のところに右手の人差し指をおいて、
その指を、ガーって右にスライドさせると
かなりの確率で「ふじこ」が登場

450 :名無しさん@お腹いっぱい。:04/02/05 13:11
>>449
キーボードが傷むからやだなw

451 :名無しさん@お腹いっぱい。:04/02/05 13:40
>>361
だから、たとえばどっかのBBSで

>おもろいものが見れるYO!http://hogehoge...

みたいな感じで不正な引数をCGIに渡すURLが
書いてあって、それを何気なくクリックしたら、
その数ヶ月後、もちろんそんなことすっかり忘れ、
そのBBSの書き込みも当然流れてなくなったころに
突然警察が踏み込んできてアクセスログ突きつけられ
「このPCを使ってるのはおまいだけだな!?
これがどういう意味だかはわかってやったんだよな?」
と言われた場合どーなるの
これだけじゃまだ故意の立証無しと認めてもらえるの

452 :名無しさん@お腹いっぱい。:04/02/05 13:46
>>451
認めてもらえるだろ。
河合容疑者の場合、はじめから穴を利用する目的で実際に利用してデータを
取り出してるわけだから話にならない。

453 :名無しさん@お腹いっぱい。:04/02/05 13:52
>>452
じゃさ、

>おもろいがもんが見れるYO!http://hogehoge..
>ただ、一応形式的なID&PASSがあるけどそこは
>デフォルトのままの〜で全然OK!

みたいな書き込みがあった場合は?
これも過失だって言い切れるのだろか。

454 :名無しさん@お腹いっぱい。:04/02/05 13:52
>>451
>これがどういう意味だかはわかってやったんだよな?
正直に「知りませんでした」といえばいいんじゃないの?
前提として、その URL で入手した情報を元に不正なことをしていないならね。




455 :名無しさん@お腹いっぱい。:04/02/05 13:52
「君子危うきに近寄らず」


456 :名無しさん@お腹いっぱい。:04/02/05 13:54
>>453
例がわざとらしくなってきたけど、もしそのような例があったとして「おもしろいもん」として
何を期待する?

何事も程度問題。

457 :名無しさん@お腹いっぱい。:04/02/05 13:57
>>456
やっぱエロかな・・・それか猥褻動画かあるいは女のハダカとか

458 :名無しさん@お腹いっぱい。:04/02/05 14:03
・通常セキュリティホールに関しては、相手に直接通知して
 対応が終わった段階で公表するのが暗黙のルール
・今回のoffice氏の場合、ACCSに通知する前にAD200Xという
 ハッカーグループの会合でこのセキュリティホールを公表
 して、かつ実際の個人情報が載った資料も公開した
・その後office氏からセキュリティホールを通知されたACCSは
 当初はoffce氏を協力者として友好的に扱っていた
・ところがoffice氏が事前にセキュリティホールと個人情報を
 公開していたことが分かったため怒りまくってoffice氏を告訴
・さらに公開された個人情報は全て破棄されたとAD200X関係者
 が説明したにもかかわらず、2ちゃんねるのアップローダで
 アップロードされてACCS再激怒
・ついにoffice氏が逮捕

officeがやった実際の手法
・ACCSの投稿フォームで投稿内容の最終確認のため投稿内容を表示するCGIを利用
・投稿内容を表示するCGIの引数にそのCGI自体を入れると、CGIのバグで
 CGIのソースが表示される
・そのソースを見て投稿内容が格納されるファイル名を確認する
・今度は投稿内容を表示するCGIの引数に投稿内容が格納されるファイル名を入れると、
 CGIのバグですべての投稿内容が表示される

459 :名無しさん@お腹いっぱい。:04/02/05 14:05
>>454
ファイル名渡すだけとかならまだいいけど
たとえば引数が異常に長いバイト数な場合とかだと
『あれ?なんか変だな』と思いつつクリックしちゃって
「おまえ、こんなURL一見して不正な動作を期待してるって
わかるだろ!!!!!!!!!!!!!!!!!」
とか言われたらどーすんだろとか。色々心配しちゃう。

460 :名無しさん@お腹いっぱい。:04/02/05 14:15
URLクリックするときに
「知らなかった」が通用しない場合があるのか、
もしあるならそれはどういう場合なのか、
はっきりおしえてケロ

461 :名無しさん@お腹いっぱい。:04/02/05 14:17
>>458
よくわかる整理ありがとう。関係者全員にとって不幸な
成り行きだね。

・プレゼンの場でのoffice氏の功名心の暴走
・その行為と鯖からの情報漏出を防げなかったADの不作為と不手際
・greyとの接点を持つことにやぶさかでなかったACCSの態度硬化

ほんとならACCSとADみたいなとこがつかず離れずの状態を
保ちつつ、ホール報告に関する慣行や不文律みたいなのを
ボトムアップで作っていければよかったんだろけど
ここまで関係者間の信頼関係がズタズタになってしまったんじゃ
もう関係回復は不可能かもなぁ。


462 :名無しさん@お腹いっぱい。:04/02/05 14:23
>>459
っというか、明らかに故意的にやったのでは
無い限り大丈夫だろ。

とりあえず、今回の件は明らかに故意で
狙ってやっているわけだから、どっちとも
とれるんでわ?


463 :名無しさん@お腹いっぱい。:04/02/05 14:29
その程度のことを心配してしまうなら、インターネットやめればいいんです。
別に死ぬわけではないでしょ?


464 :名無しさん@お腹いっぱい。:04/02/05 14:30
あのおっさんが「ハウス」とか書いてたのかと思うとちょとウケル

465 :名無しさん@お腹いっぱい。:04/02/05 14:33
おれおれ詐欺で引っかかる被害者に対して、そんなネタに今更引っかかる方が悪い。といえるかどうか。
どう見てもネズミ講なのに引っかかる連中に対して、引っかかるおまえが悪い。といえるかどうか。

教育、常識、環境などで左右されるので、一言で答えを出すことが出来ないことがいくらでもある。
そのために裁判があるわけだし。


466 :名無しさん@お腹いっぱい。:04/02/05 14:33
あのおっさんが秋葉原でパンツ見てハァハァとか書いてたのかと思うと哀愁漂う

467 :名無しさん@お腹いっぱい。:04/02/05 14:43
>>465
そだね。

法整備も、それぞれの個人意識やスキルもバラバラ。
だからこそ、話し合いながら、ベターな道を選ぶことが大切なんだろうけど。
officeの場合、
「俺には使命がある。だからそれを達成するためには何をしてもいい」
ってな具合の、子どもじみた正義感と、自己顕示欲にかられたんだろうか。


468 :名無しさん@お腹いっぱい。:04/02/05 15:04
正義感、というより権力欲でしょ。


469 :名無しさん@お腹いっぱい。:04/02/05 15:05
権力って感じはしないかも。スキルある人間としての
リスペクトみたいな?

470 :名無しさん@お腹いっぱい。:04/02/05 15:06
自分が世界を操っているんだ。
って感じだったじゃない。

471 :名無しさん@お腹いっぱい。:04/02/05 15:09
だいたい、スキル無いんだしね。スクリプト言語より複雑なコードは読めないし。
他人の開発した脆弱性を使い回していただけだし。
わかっている人(黒幕ともいう)は、定期的に Office に燃料を投下して汚れ仕事は
任せていた訳だし。
けど、これで全部捕まるな。Office も裏切られたことに気づいただろうしね

472 :名無しさん@お腹いっぱい。:04/02/05 15:33
住基ネットをハクした個人情報はいらんから早く晒せや!


473 :名無しさん@お腹いっぱい。:04/02/05 16:02
セキュリティの権威になりたかった。憧れたんだろうね。
昔は同じようなコミュニティに出入りしていた身にはその気持ちがよく理解できる。
それこそ事業を興すとかした方が良かっただろうに。
名うてのセキュリティゴロとして有名だったのだから。
アカデミックと非実名主義に拘りすぎたのが失敗だろうね。

474 :名無しさん@お腹いっぱい。:04/02/05 16:04
>>461

>・プレゼンの場でのoffice氏の功名心の暴走
>・その行為と鯖からの情報漏出を防げなかったADの不作為と不手際
>・greyとの接点を持つことにやぶさかでなかったACCSの態度硬化
>
>ほんとならACCSとADみたいなとこがつかず離れずの状態を
>保ちつつ、ホール報告に関する慣行や不文律みたいなのを
>ボトムアップで作っていければよかったんだろけど

見事にACCSを善玉にしたてた論理だが、慣行や不文律がどうあれ、どこにもofficeが逮捕される理由も誰かによる犯罪もない。

だいたい問題の本質は、

・鯖からの個人情報漏出を防がなかったACCSの不作為と不手際
・警視庁の功名心の暴走

なんだからな。

慣行と不文律が功名心にはやって正常な判断力失った警視庁に通用するか。

475 :名無しさん@お腹いっぱい。:04/02/05 16:05
>>471 は正しい。
officeは自分じゃたいしたことはできなかったはず。
元々化け学やってて、移って知的財産を扱う外様だぞ。
コンピュータ関連のトレーニングや勉強を独学でやってもかたが
知れている。本当に実力があるなら、一族のコネで雇ってもらって
いるバイトなんかやっているか?会場設営やっている姿をテレビで
見て、こいつ、本当に下働きなんだな、と思ったぞ。

マニア程度のofficeに燃料投下して、汚れ仕事をさせていた連中は
いったいなんだんだ。セキュリティの研究や、あるいはセキュリティ
関連企業、はたまた政府外郭団体でセキュリティ部門としてやって
いるやつら。京都のいいとこのボンボンがいいように使われた
というだけだろ。本当に悪いやつらは誰だ?よく考えろよ。
officeは悪い。しかし、その後ろには、もっと巨悪がいる。
そいつらは絶対に許せねぇ。

476 :名無しさん@お腹いっぱい。:04/02/05 16:11
>>474
うん、それと似たような事をダウソ厨が必死に言ってたよ


477 :名無しさん@お腹いっぱい。:04/02/05 16:14
>>475
同様の意見は結構あるみたいだね
http://slashdot.jp/comments.pl?sid=154873&cid=489351

478 :名無しさん@お腹いっぱい。:04/02/05 16:15
>>474
いろんなソースを確認した限りでは、こと今回の件に関しては
ACCSの対応はまともだったと思うがなぁ

もちろんACCSの普段のDQNな行動とか、ファースト鯖の
お仕着せCGIをチェックもせずに使ってた間抜けさとかは
潜在的な問題としてあるが

479 :名無しさん@お腹いっぱい。:04/02/05 16:19
あと別スレにも書いたが

不正アクセスに関する論点はこんな感じだろう

警察側
管理者によってアクセス制御されている、つまり通常の方法
ではアクセス不可能な個人情報ファイルにCGIの脆弱性を
使うことにより、アクセス制御を回避してアクセスしたのは
不正アクセスにあたる

弁護側
CGIの脆弱性といっても通常URLの一部と認識される
CGIの引数にファイル名を入れただけで全てのファイルに
アクセス可能な状態だった
つまりアクセス制御されていたとは言い難い

優秀な弁護士つけば結構いい線いくかもね

480 :名無しさん@お腹いっぱい。 :04/02/05 16:32
>>479
結局前々から問題になっている「アクセス制御」の解釈の問題になるのか。

481 :名無しさん@お腹いっぱい。:04/02/05 16:35
>いろんなソースを確認した限りでは、こと今回の件に関しては
>ACCSの対応はまともだったと思うがなぁ
何を確認したって?ACCSのホムペくらい確認汁。
サーバ管理者はCGIのアクセス制御状態ではすべてのファイルが公開されてることを何年も前から知ってた。
そういうサーバに必要以上に詳細に取得した個人情報をいれた。
また、イベント無関係にofficeに電子メイルで問題を指摘されたからサーバを止めたんであって、威力業務妨害でないことは認識してる。
これのどこがまともだ?


482 :名無しさん@お腹いっぱい。:04/02/05 16:36
「アクセス制御」されているか否かはofficeがアクセスできるか否か
officeがアクセスできる程度で「アクセス制御」とか言われちゃうと困る

483 :名無しさん@お腹いっぱい。:04/02/05 16:37
ACCSへの文句は監督官庁へ送ろう。
文部科学省に関するメールでの御意見・お問い合わせ窓口案内
voice@mext.go.jp

484 :名無しさん@お腹いっぱい。:04/02/05 16:38
>>481
>また、イベント無関係にofficeに電子メイルで問題を
>指摘されたからサーバを止めたんであって、威力業務妨害
>でないことは認識してる。
イベントと無関係のソースは?


485 :461:04/02/05 16:43
>>474
漏れACCSもkubotaとか嫌いな人間なんだけどねぇ…。別にofficeを
悪者にしたいわけじゃない。漏れとしてはgreyhat hackerが
PoCを自由にできないようじゃセキュリティ業界は終わると思うし。
ただサービス系のvulnに対するアプローチとしてはofficeのやり口は
いかにもまずすぎた。full disclosureに対してある程度理解がある
業界ですら、適切な公開ステップと情報保護をしなかったって点は
誰もが認めるだろうし、セキュリティのことについてよくわかっとらん
マスコミはほとんどoffice叩きに回るでしょ。何しろ「有名ガクシャの
親族で京大の教員が知財権団体に「侵入」してデータ盗用」って
フレーズですっぱり斬れるんだから。

警視庁の意図は、功名心の暴走どころじゃなくてもっとヤバい。
サイバー犯罪条約批准立法が今期中に提出される予定。崎ちゃんの
言う通り、これの後押しのためにぶつけてきた検挙だと思われれう。
この事件と報道操作で、ネットの公安活動に関して警察と法が
主導する、ハカさんは官の決めた手続きに従って報告だけしてね、
余計なことするとヤっちゃうよ、っていう「形」を決めちゃいたい
んだと思うよ。そういう動きに格好のお墨付きを与えてしまった
時点でofficeタンとADのうっかりぶりはいくらなじっても仕方ないくらい。
「漏れらは誰の音楽に合わせてダンスしてるのか」といえば、たぶん
警視庁なんじゃないかなぁ。

つわけで、漏れは「officeと周囲の人間のやったことは大バッシング
するけど不正アクセス法の適用に関してはoffice側を徹底擁護の立場。

486 :名無しさん@お腹いっぱい。:04/02/05 16:44
>>481
>サーバ管理者はCGIのアクセス制御状態ではすべてのファイルが
>公開されてることを何年も前から知ってた。

これ言ってるやつ結構いるんだけど、ソースがどこにもないんだよ
office自身が書いた文章にも
もちろんACCSの文章にも

487 :名無しさん@お腹いっぱい。:04/02/05 16:50
>>486
憶測がさも事実であるかのように流布されて巡り巡った結果事実認定された次第。
根拠は希薄でファーストサーバが今に至るまで事情説明をしていないからというのが理由。

488 :名無しさん@お腹いっぱい。:04/02/05 17:00
>>487
そうなんだよね
漏れが色々見た情報をまとめると

・ASKACCSのサイトで個人情報が約3年前からCGIの脆弱性により
 アクセス可能な状態だったのは事実
・ACCSを含めたCGIのユーザには脆弱性が公になるまでファーストサーバ側
 からCGIのセキュリティ問題についての連絡はなかった
・ファーストサーバ側がCGIの脆弱性について以前から知っていた可能性は
 あるがファーストサーバ側からのコメントがないので詳細は不明

こんな感じ

489 :名無しさん@お腹いっぱい。:04/02/05 17:05
うーん、極力汚染されてないソースを集めながら
事実を再構成したまとめテンプレとか作る?
>>461の警視庁の意図の件もあるし、
この件がACCS叩きやoffice/AD叩きのどちらかに
暴走するのは誰かの思う壺かもしんない。

>>458>>488で大まかなところはいいと思う。
異論ある人はどんどん足してくって感じで
どうだろか。


490 :名無しさん@お腹いっぱい。:04/02/05 17:08
警視庁の意図の話は>>461じゃなくて>>485か。失礼。

491 :名無しさん@お腹いっぱい。:04/02/05 17:16
おそらく
>サーバ管理者はCGIのアクセス制御状態ではすべてのファイルが
>公開されてることを何年も前から知ってた。
ってのはこの記事が噂の出元だろうな

http://www.itmedia.co.jp/news/0311/12/nj00_accs.html

>サイトは欠陥が放置されたまま3年以上運営されていたことも分かり
>脆弱性が修正されたスクリプトも配布していたというが、実際には
>適用されずに放置されていた。

って書き方してるからいかにも知ってて放置したように受け取れる

まぁその後のACCSの報告とか2ちゃんでのファーストサーバユーザ
のカキコでファーストサーバが修正スクリプトを配るときにも
一切脆弱性のことには触れてなかったというのが真相らしい

492 :名無しさん@お腹いっぱい。:04/02/05 17:28
実際にいろいろなサーバソフトを運用している立場からすると、
脆弱性などの問題がない(説明されていない)ならば、
修正スクリプトを適用しない事を選ぶ人は多い気がするけどね。

493 :名無しさん@お腹いっぱい。:04/02/05 17:53
>>484
ttp://www.askaccs.ne.jp/houkoku3.html
この報告書では、セキュリティーホールを指摘していただいたから閉鎖となってる。
このときはたぶんACCSはイベントのことなんか知らなかった。
それが、いつの間にか、
イベントで公開したことにより閉鎖に追い込まれた(威力業務妨害)ことになってる。

494 :名無しさん@お腹いっぱい。:04/02/05 18:07
>>493
そこんとこよくわからんのだよねえ。>>71にも書いてあるが、
ACCSの報告書を信じればホームページ閉鎖は
(イベント公開されたからではなく)CGIの脆弱性を知ったからだそうだ。
それを威力業務妨害と言っているのなら
サイトを管理していた会社に咎はあるのではなかろうか。
>>491によると、彼らは当然知っていて然るべきだったし
「知りませんでした」「気づきませんでした」で通れば警察はいらんな。

名簿が公開されてそれの回収+調査に当たらねばならなかったということを
「威力業務妨害」と言っているのならわからんでもないけど。
報道では「閉鎖に追い込まれた」ってことについて訴えてることになってたし。

495 :名無しさん@お腹いっぱい。:04/02/05 18:08
>まぁその後のACCSの報告とか2ちゃんでのファーストサーバユーザ
>のカキコでファーストサーバが修正スクリプトを配るときにも
>一切脆弱性のことには触れてなかったというのが真相らしい
あのな、何勘違いしてるのかしらんが、サーバ管理者はファーストサーバだ。
サイトから任意のファイルがとりほうだいだったことをサーバ管理者は知って何年も放置してたんだ。
もちろん、ヴァカ管理者を選んだACCSにも連帯責任はある。
ACCSはファーストサーバには怒ってもよいが、officeも含めた世間には顔向けできん。
一方、サーバ管理者が意図的に公開してたファイルをダウソしても何の法にも触れん。


496 :名無しさん@お腹いっぱい。:04/02/05 18:16
>実際にいろいろなサーバソフトを運用している立場からすると、
>脆弱性などの問題がない(説明されていない)ならば、
>修正スクリプトを適用しない事を選ぶ人は多い気がするけどね。
で、
>ACCSの報告書を信じればホームページ閉鎖は
>(イベント公開されたからではなく)CGIの脆弱性を知ったからだそうだ。
>それを威力業務妨害と言っているのなら
>サイトを管理していた会社に咎はあるのではなかろうか。
だと、ファーストサーバのACCSに対する偽計業務妨害だな、むしろ。

497 :名無しさん@お腹いっぱい。:04/02/05 18:18
>ファーストサーバのACCSに対する偽計業務妨害だな、むしろ。
ということだと、ファーストサーバを真犯人ということでスケープゴートにしてしまえば、警視庁、ACCSの責任もうやむやにできて、八方丸く納まるな。

498 :名無しさん@お腹いっぱい。:04/02/05 18:19
日本てのは、バカがのさばる社会だってのが、よく分かった。


499 :名無しさん@お腹いっぱい。:04/02/05 18:20
実際威力業務妨害に関しては( ゚д゚)ポカーンな感じ

ACCSも最初はofficeに穴を指摘されて、サイトを閉鎖して
しこしこ修正してたけど、officeが指摘前に個人情報含め
穴を公開してたことを知って急に
「ゴルァ!威力業務妨害じゃボケ!」

ってなったつーことか?

500 :名無しさん@お腹いっぱい。:04/02/05 18:20
>>493
>>494
だから威力業務妨害での起訴は難しいでしょ。少なくとも裁判では検察は
まったく勝てない。

501 :名無しさん@お腹いっぱい。:04/02/05 18:24
ファースト鯖スレからコピペ

朝日新聞社会面の記事(ネット上には出てないようなので)

プログラム開発会社欠陥の詳細、未公表

欠陥を突かれたプログラムを開発したサーバー提供会社は、02年末に
この欠陥を見つけ、修正プログラムも開発したという。
しかし、顧客に対し、詳しい欠陥情報を提供しなかった。
情報が不正アクセスなどに悪用される恐れがあると判断した、と説明している。
同社は約2万の顧客を抱え、昨年3月から、欠陥を解消した新しいプログラムへ
の移行を顧客に促してきた。
しかし、欠陥自体の存在が明らかにされなかったこともあり、事件のあった
11月時点では、コンピュータソフトウェア著作権協会など相当数が未対応だった。
事件から約3ヶ月がたった今も移行していない顧客がいる。
プログラムの欠陥については、経済産業省情報セキュリティ政策室も調査を進めている。
「サイトの安全管理について、プログラムの利用者を含めて指導や注意喚起も検討する」という。

あ〜あ、こりゃファースト鯖あぼーんだなw

502 :名無しさん@お腹いっぱい。:04/02/05 18:25
>一方、サーバ管理者が意図的に公開してたファイルをダウソしても何の法にも触れん。

ここの「意図的に公開」をどう取るか、かなぁ。
「サーバ利用者に提供したcgiが脆弱性を持ち、その脆弱性により
本来非公開であるべき情報が事実上不特定多数のアクセスによって
読み出せる状態を知りながら、その状態を放置した」ことは
サーバ管理者が情報を公開したことになるとは思えない。職務行為
における不作為ってやつなんじゃないか。

503 :名無しさん@お腹いっぱい。:04/02/05 18:27
http://www.josephandleon.co.jp/seimei.html
ここなんでこんなに必死なんだ? 脅迫されたなら告訴すりゃいいのに。
切られたくない一心で馬脚あらわした感じだな。よほど美味い仕事なんだろう。
マスコミの人、この会社がいくらで請け負ってるか調べてみると面白いかもよ。
広く使われている件の穴あきCGIを設置しただけで100万単位の費用とってるかもな。

504 :名無しさん@お腹いっぱい。:04/02/05 18:29
>493
そこ読んでみたけど、こう書いてあったよ。
(この調査報告書だけ読むと、あまりおかしな対応には見えない)

・(中略)それに先立ち、同日開催されたセキュリティに関するイベントにおいて、ASKACCSのサイトから個人情報の入手が可能であったことを発表した。
その際に、情報提供者が作成したレジュメをスクリーンに上映したが、そのレジュメには、情報提供者が入手した個人情報のサンプルとして、相談者4名の実際の個人情報が記載されていた(これら4名以外の個人情報は一切記載されていない。)。

何にしても無許可で個人情報晒したことには同意しかねるなあ。

505 :名無しさん@お腹いっぱい。:04/02/05 18:33
法律論はともかくさ、この逮捕が社会正義かどうかを考えてみる。
やっぱただのスケープゴートだね。
そんなにofficeが悪いことしたか?
個人情報を4人分漏らしたことは責められてしかるべきだけど、
逮捕理由とは全々関係ないじゃん。
これまで公官庁のページに様々な方法でアクセスして、情報盗ん
で悪用したり、書き換えたりしたのか?
単に警察が気にくわないことしてたから、これはいい機会とばか
りに逮捕したっていうようにしか見えないよ、俺には。
世の中の治安を守っているのは俺たちだ、勝手なことをするなってな。

506 :名無しさん@お腹いっぱい。:04/02/05 18:36
>>491
旧ZDNetの日本人ライターの質は恐ろしく低くなっているからなあ
朝日新聞の方がまだまし
http://pc2.2ch.net/test/read.cgi/hosting/997111619/514

507 :名無しさん@お腹いっぱい。:04/02/05 18:39
警察庁はこれからサイバー条約関連法を成立なせなきゃいけないので、
「ちょうどいい宣伝材料だ。馬鹿な大衆どもは、このスケーブゴートを
リンチにするだろう。もちろんサイバー条約関連法の中身なぞ考えず
に賛成するだろう。自分で自分の首を絞めるにもかかわらずな。
いつの世も大衆とは愚かなものよ。ほっほっほっほ」と喜んで
いるかも。


508 :名無しさん@お腹いっぱい。:04/02/05 18:39
>>505
>法律論はともかくさ、この逮捕が社会正義かどうかを考えてみる。
>やっぱただのスケープゴートだね。
>そんなにofficeが悪いことしたか?
法律論無視して社会的正義だけみたら
officeの擁護なんて逆にできないと思うけど?

509 :名無しさん@お腹いっぱい。:04/02/05 18:44
>>508
いんや、へぼ鯖業者が大手を振って未来の犠牲者を大量生産している現状では、
鯖の脆弱性を検証するのは正当防衛、緊急避難、あるいは防衛権として保護されるべきだと思うぞ。

510 :名無しさん@お腹いっぱい。:04/02/05 18:46
>何にしても無許可で個人情報晒したことには同意しかねるなあ。
だからあ、無許可で個人情報晒したのはファーストサーバとACCS。

511 :名無しさん@お腹いっぱい。:04/02/05 18:46
officeがやった個人情報の公開はどうころんでも擁護できんだろ

512 :名無しさん@お腹いっぱい。:04/02/05 18:50
>>511 >>508
4人分の情報を提示し、取得できるようにしたことは、俺も擁護してないよ。
道義的に悪いことしているやつは、別件で処罰されてもいい、と思っているの?


513 :名無しさん@お腹いっぱい。:04/02/05 18:50
>>511
たしかにofficeのやったことは犯罪以外のナニモノでもない。
が、バグを3年間も放置していたACCSとヴァカ久保田が単に被害者面するのも
許せん。久保田は専務理事を辞任しる!凸(´口`メ) ウラァ〜

514 :名無しさん@お腹いっぱい。:04/02/05 18:53
>法律論無視して社会的正義だけみたら
ACCS関係者は一族郎党皆殺しだろ。

515 :名無しさん@お腹いっぱい。:04/02/05 18:54
>officeがやった個人情報の公開はどうころんでも擁護できんだろ
だからあ、無許可で個人情報晒したのはファーストサーバとACCS。
ちなみに、残念ながら現行法では犯罪になりませんが。



516 :名無しさん@お腹いっぱい。:04/02/05 18:55
>>512
「法律論無視して社会的正義だけみたら」

という話をしてるのであって(ry

517 :名無しさん@お腹いっぱい。:04/02/05 18:55
タイーホ二日目。
今日は取り調べでもやったのかな?
時間的にそろそろカツ丼でも食わされてるころ?
オヒスは今、いったい何をして、何を考えているだろう・・・

ちなみに拘置所から出てくるのはいつ?


518 :名無しさん@お腹いっぱい。:04/02/05 18:56
>>515
だからオヒスも同列だろ

519 :名無しさん@お腹いっぱい。:04/02/05 19:01
>>504
>・(中略)それに先立ち、同日開催されたセキュリティに関するイベントにおいて、
>ASKACCSのサイトから個人情報の入手が可能であったことを発表した。
それが閉鎖の理由ではないだろ。閉鎖したときにイベントを認知していたなんて書いてない。
いつイベントのことを知ったかぼかしてる。

>何にしても無許可で個人情報晒したことには同意しかねるなあ。
それはそうなんだけど、それは違法じゃないでしょ。逮捕する理由ではない。


520 :名無しさん@お腹いっぱい。:04/02/05 19:03
>>516
ああ、そうか、スマン。
4人分の情報を提示し、取得できるようにしたことは、俺も擁護してない。
に訂正させてもらう。

521 :名無しさん@お腹いっぱい。:04/02/05 19:03
>>515
その言い分もよく判るよ(w
でも、office、ACCS、ファーストサーバ(とJ&L?)の三社がヘマやった結果一般利用者が迷惑被ったんだから
office一人が処罰される結果になったら納得いかないけど、だからと言ってoffice擁護は絶対無理。

522 :508:04/02/05 19:06
>>509
>鯖の脆弱性を検証するのは正当防衛、緊急避難、あるいは防衛権として保護されるべきだと思う。
やるのは良いけど専用の機関(団体)を設けないとつらいかな?
アタックと紙一重(見分けがつかない)ではあると思うので
# ↑今回の話しとは関係なしにってことで


523 :名無しさん@お腹いっぱい。:04/02/05 19:07
テンプレ素案つくってみた。
--------------------------------
■事情をよく知らないんだけど、かいつまんで経緯を教えて。
・office氏はACCS((社)コンピュータソフトウェア著作権協会)が
 運用する「著作権・プライバシー相談室」(ASKACCS)の
 著作権侵害報告CGIの脆弱性を発見した。脆弱性の内容は、
 CGIに特定の引数を与えることにより、ASKACCSに質問を
 寄せた約1,200人の送信日時・氏名・住所・電話番号・年齢・
 メールアドレス・相談内容等の個人情報を入手できるという
 もの。
・11/8 office氏はAD2003というハッカーグループの会合で
 このセキュリティホールを公表し、実際にASKACCSを利用
 した4人分の個人情報を含むpptスライドを会合の席上で上映。
 AD2003の席上ではoffice氏が利用したppt資料が会場サーバ内に
 置かれ、この資料が複数の会合参加者によってダウンロードされたと
 思われる。このppt資料は後に2chのアップローダに流出しており、
 さらに不特定多数のユーザの手元に渡った可能性がある。
・11/8夜 office氏、ACCSにこのセキュリティホールを通知。
・11/9午後 ACCSはASKACCSサイトを閉鎖。
 この時点ではACCSはoffice氏を善意の報告者として扱っていた。
・11/11 ACCSはこの脆弱性に関する問題を初公表。記者レクを行う。
 参照:http://www.askaccs.ne.jp/houkoku1.html
・11/24 office氏、自webサイトで謝罪文を公表。
・1/22 ACCS、事故調査委員会による調査報告書を発表。
 参照:http://www.askaccs.ne.jp/houkoku3.html
・1/27 問題のpptファイルが2ちゃんねるのアップローダに流出。
・1/29 ACCS「緊急のご報告」を発表。
 参照:http://www.askaccs.ne.jp/houkoku4.html
・2/4 不正アクセス禁止法違反と威力業務妨害の疑いでoffice氏が
 警視庁に逮捕される。

524 :名無しさん@お腹いっぱい。:04/02/05 19:07
Officeが個人情報抜かなかったら、セキュリティーホールなんてなかったことにして
CGIを書き換えていただろうということは想像できる。
そうなってたら、こんなに盛り上がらなかっただろう。

つまり、言いたいことは、
O f f i c e は 偉 大 な ネ タ 提 供 者

525 :名無しさん@お腹いっぱい。:04/02/05 19:08
■office氏は具体的にどんな方法で情報にアクセスしたの?
 ASKACCSの投稿フォームで、投稿内容の最終確認のため投稿内容を
表示するCGIを利用した。このCGIの引数にそのCGI自体を入れると、
CGIのバグでCGIのソースが表示される。 そのソースを見て投稿内容が
格納されるファイル名を確認し、次に投稿内容を表示するCGIの引数に
投稿内容が格納されるファイル名を入れると、CGIのバグですべての
投稿内容が表示される。この方法でファイル内容を取得した。

■セキュリティホールを一般公開するのはセキュリティ業界では
よくあることなんでしょ? 何か問題あんの?
 通常セキュリティホールに関しては、相手に直接通知して対応が
終わった段階で公表するのが暗黙のルール。今回のoffice氏の場合、
ACCSに通知する前にAD2003でこのセキュリティホールを公表し、
かつ実際の個人情報が載った資料も公開した。11/8〜11/9の間に
複数の人間が同セキュリティホールを利用して1200人分の
個人情報を読み出したとされている。また、会場でもサーバから
4人分の個人情報を含むpptデータが流出した。つまりoffice氏の
公開手順と情報管理に問題があり、当該情報の二次流出が起きた。
しかしこれらの情報公開や二次流出に関しては、今回の容疑には
入っていないことに注意。あくまで11/8当日とそれ以前(確認
されている限りでは10/6以降、計4回のアクセスが行われている)の
office氏によるASKACCSのCGI/ファイルへのアクセスが焦点。


526 :名無しさん@お腹いっぱい。:04/02/05 19:08
>>521の言うとおり、この事件にかかわって出てくる登場人物は、
全員駄目駄目状態なんだよ。そこで相対的にofficeの善し悪しを
判断しようとしても、目糞鼻糞を笑う状態で、「やっぱだめだろ
officeは」となるわけだ。officeに戻ってどうする?
だ か ら...
ACCSやファストサーバーを責めたければ、officeと絡めるな。それら
単独で問題点を暴いていけ。な、わかったか>>515

527 :名無しさん@お腹いっぱい。:04/02/05 19:08
■ACCS側はCGIの脆弱性をずっと前から報告されていたのに
 それを放置してたって聞いたけど、それ自己責任じゃないの?
ACCSのプロバイダであるファーストサーバは、CGIの修正
スクリプトに関する情報を利用者に連絡していたけれども、ACCSの
事後説明やその他のファーストサーバの利用者などの報告から、
その情報は脆弱性に関する報告を含んでいなかったらしいとされて
いる。現状ではファーストサーバ側からのコメントがないので
詳細は不明。

■逮捕の容疑は?
・不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)違反
http://www.ipa.go.jp/security/ciadr/law199908.html
・刑法第234条 威力業務妨害
http://law.e-gov.go.jp/htmldata/M40/M40HO045.html#1000000000000000000000000000000000000000000000023300000000000000000000000000000

528 :名無しさん@お腹いっぱい。:04/02/05 19:09
■不正アクセスに関する論点は?
 office氏の行為を不正アクセス禁止法の定める「不正アクセス」と
認定する上で、ACCSのCGIが「アクセス制御」された状態にあった
かどうかが論点になりそう。想定される主張は以下の通り。
●警察側
 管理者によってアクセス制御されている、つまり通常の方法では
アクセス不可能な個人情報ファイルにCGIの脆弱性を使うことにより、
アクセス制御を回避してアクセスしたのは不正アクセスにあたる。
●弁護側
 CGIの脆弱性といっても通常URLの一部と認識されるCGIの引数に
ファイル名を入れただけで全てのファイルにアクセス可能な状態だった。
つまりアクセス制御されていたとは言い難い。

■威力業務妨害に関する論点は?
 office氏の報告行為と脆弱性情報の公開行為が「威力を用いて
人(ACCS)の業務を妨害した」ことにあたるかどうかが論点に。
想定される主張は以下の通り。
●警察側
★(詳しい方埋めてください)
●弁護側
★(詳しい方埋めてください)


529 :名無しさん@お腹いっぱい。:04/02/05 19:10
■その他、この事件を考える上で重要なことは?
「サイバー犯罪条約」を批准する立法が今期国会で提出される予定。
サイバー犯罪条約に関しては以下参照。
http://www.mainichi.co.jp/digital/zenbun/cyber-jouyaku/01.html
その実際のインパクトや考えられる問題点については以下参照。
http://www.atmarkit.co.jp/fsecurity/special/14cyber/cyber01.html
今回の検挙は、サイバー犯罪条約の批准や新たな捜査機関の設立に
向けた警視庁の話題&実績作りとしての性格も持っていると考えられる。


530 :名無しさん@お腹いっぱい。:04/02/05 19:13
ごめん、大勘違い。
>■セキュリティホールを一般公開するのはセキュリティ業界では
>よくあることなんでしょ? 何か問題あんの?
のxvc
>11/8〜11/9の間に
>複数の人間が同セキュリティホールを利用して1200人分の
>個人情報を読み出したとされている。
は大嘘ですー

531 :名無しさん@お腹いっぱい。:04/02/05 19:15
>>527
鯖管はファーストサーバーであって、
そのファーストサーバーがCGIの欠陥を知りながら放置
というレスがあったけど。

532 :名無しさん@お腹いっぱい。:04/02/05 19:19
>>528
威力業務妨害についての弁護は簡単。
当該WEBページが閉鎖されたのはイベントの件とは関係ありません。
ACCS自信のWEBページにそう書いてます。
http://www.askaccs.ne.jp/houkoku3.html

反論不可能だと思うけど?

533 :名無しさん@お腹いっぱい。:04/02/05 19:23
>>529
サイバー犯罪防止条約は、テロ対策や組織犯罪対策と密接に関連している。
というか、そのためにできあがった条約と言っていい。

まったりとグレイだ黒だなんてやってるのって、日本だけかも知らんね。
そういってる連中は例外なくテロリスト予備軍扱いだけど(w

534 :名無しさん@お腹いっぱい。:04/02/05 19:25
>>532
違法行為に屈してサイト閉じたって言える?
一般的な危機管理上の問題。

#ここはセキュ板だと思っていたがいつの間に厨房が?

535 :名無しさん@お腹いっぱい。:04/02/05 19:27
>>531

http://pc2.2ch.net/test/read.cgi/hosting/997111619/

ただし、実際にACCSのサーバーの運営管理していたのはジョセフアンドレオン
http://www.josephandleon.co.jp/

そこが慌てて出した幼稚な声明文がこれ(w
http://www.josephandleon.co.jp/seimei.html

536 :名無しさん@お腹いっぱい。:04/02/05 19:30
ACCSがイベントのことを知ったのがどの時点なのか
さっぱりわからんのだが。

537 :532:04/02/05 19:30
>>534
スマン。意図がまるで分からん。
「違法行為に屈してサイト閉じたって言える?」
言えない。

538 :名無しさん@お腹いっぱい。:04/02/05 19:33
>>537
たぶん>>534は誤読しただけ。スルー汁。

539 :名無しさん@お腹いっぱい。:04/02/05 19:36
>>537
『ACCS自信のWEBページにそう書いてます。』
必ずしも金科玉条じゃないってことなんだが。

540 :名無しさん@お腹いっぱい。:04/02/05 19:38
まぁもちつけ

どっちも威力業務妨害はありえないって言ってるよ

541 :名無しさん@お腹いっぱい。:04/02/05 19:39
http://www.mainichi.co.jp/digital/network/today/2.html

によると威力業務妨害に関しては

>また、同関係者によると、威力業務妨害についても、河合容疑者の
>一連の行動が、意図的であり、ACCSの権利を侵害したと判断された
>ため、適用されたという。

ということらしい

542 :名無しさん@お腹いっぱい。:04/02/05 19:42
ACCSの言い分が二転三転しとりまつ
証拠隠滅の恐れ…
各自、関連サイトを保存しる!

543 :名無しさん@お腹いっぱい。:04/02/05 19:44
ACCSの権利ってのは、脆弱性のあるサイトをそのままにしておく
権利なんですかねぇ

544 :532:04/02/05 19:46
>>541
その文俺も読んだけど、具体的に何が威力業務妨害だったのか、さっぱり
分からん。
権利を侵害した???
まあ記者の能力が低かっただけだとは思うんだが。

(信用毀損及び業務妨害)
第233条 虚偽の風説を流布し、又は偽計を用いて、人の信用を毀損し、又はその業務を妨害した者は、3年以下の懲役又は50万円以下の罰金に処する。

(威力業務妨害)
第234条 威力を用いて人の業務を妨害した者も、前条の例による。


545 :名無しさん@お腹いっぱい。:04/02/05 19:48
インターネットの安全性に警鐘をならすためにダメダメCGIを
使う権利なんだな。まちがいない


546 :名無しさん@お腹いっぱい。:04/02/05 19:49
>違法行為に屈してサイト閉じたって言える?
イベントですっぱぬかれなきゃサイト閉じなかったってこと?
>一般的な危機管理上の問題。
一般的な危機管理上の問題として答えてくれ。
>#ここはセキュ板だと思っていたがいつの間に厨房が?
厨房は黄身。


547 :名無しさん@お腹いっぱい。:04/02/05 19:50
>>458
漏れはあるHPの管理人でお問合せフォームにCGIを利用しているんだが、
漏れのCGIにも欠陥があるかどうか調査したいとおもっている。

> ・ACCSの投稿フォームで投稿内容の最終確認のため投稿内容を表示するCGIを利用
> ・投稿内容を表示するCGIの引数にそのCGI自体を入れると、CGIのバグで
>  CGIのソースが表示される
つまり、
http://XXXXXXX.com/cgi-bin/12345.cgi
の場合は、
http://XXXXXXX.com/cgi-bin/12345.cgi?12345.cgi
で欠陥調査をすればいいということか?

> ・そのソースを見て投稿内容が格納されるファイル名を確認する
ファイル名がhoge.dat とする

> ・今度は投稿内容を表示するCGIの引数に投稿内容が格納されるファイル名を入れると、
>  CGIのバグですべての投稿内容が表示される
http://XXXXXXX.com/cgi-bin/12345.cgi?hoge.dat
で欠陥調査をすればいいということか?

ということでOKだろうか?


548 :名無しさん@お腹いっぱい。:04/02/05 19:55
今回のはファイル名をリクエストしたら
無条件に開示してくれるっちゅー特殊仕様だから
(なんでそんな仕様にしたのか意味不明だが)
普通のcgiなら問題なす

549 :名無しさん@お腹いっぱい。:04/02/05 19:56
>>547
これを他所さまのCGIでやると不正アクセスになるわけか・・・???

550 :名無しさん@お腹いっぱい。:04/02/05 19:56
>>536 それ重要だよね。もし該当情報あったら追加ヨロです。
>>531-535,>>541 とんくす。微修正して第二弾。
--------------------------------
■事情をよく知らないんだけど、かいつまんで経緯を教えて。
・office氏はACCS((社)コンピュータソフトウェア著作権協会)が
 運用する「著作権・プライバシー相談室」(ASKACCS)の
 著作権侵害報告CGIの脆弱性を発見した。脆弱性の内容は、
 CGIに特定の引数を与えることにより、ASKACCSに質問を
 寄せた約1,200人の送信日時・氏名・住所・電話番号・年齢・
 メールアドレス・相談内容等の個人情報を入手できるというもの。
・11/8 office氏はハッカーコミュニティ「A.D.200X」
 (http://www.ad200x.net/)の開催するA.D.2003という
 セキュリティカンファレンスでこのセキュリティホールを公表し、
 実際にASKACCSを利用した4人分の個人情報を含むpptスライドを
 会合の席上で上映。A.D.2003の席上ではoffice氏が上映した
 ppt資料が会場サーバ内に置かれ、この資料が複数(A.D.200Xの
 報告では関係者含めて12名)の会合参加者によってダウンロード
 された。後にこのppt資料が2chのアップローダに流出し、
 さらに不特定多数のユーザの手元に渡った可能性がある。
・11/8夜 office氏、ACCSにこのセキュリティホールを通知。
・11/9午後 ACCSはASKACCSサイトを閉鎖。この時点では
 ACCSはoffice氏を善意の報告者として扱っていた。
・11/11 ACCSはこの脆弱性に関する問題を初公表、記者レクを行う。
・11/24 office氏、自webサイトでACCSへの謝罪文を公表。
・1/22 ACCS、事故調査委員会による調査報告書を発表。
・1/27 問題のpptファイルが2ちゃんねるのアップローダに流出。
・1/29 ACCS「緊急のご報告」を発表。
・2/4 不正アクセス禁止法違反と威力業務妨害の疑いでoffice氏が
 警視庁に逮捕される。

551 :名無しさん@お腹いっぱい。:04/02/05 19:57
■流出した個人情報ってどんな内容なの?
 相談者の氏名・メールアドレス・住所・相談の内容など。ASKACCSの
性質から考えて、勤務先などでの違法コピー状況などの通報が含まれて
いたと考えられる。

■office氏は具体的にどんな方法で情報にアクセスしたの?
 ASKACCSの投稿フォームで、投稿内容の最終確認のため投稿内容を
表示するCGIを利用した。このCGIの引数にそのCGI自体を入れると、
CGIのバグでCGIのソースが表示される。 そのソースを見て投稿内容が
格納されるファイル名を確認し、次に投稿内容を表示するCGIの引数に
投稿内容が格納されるファイル名を入れると、CGIのバグですべての
投稿内容が表示される。この方法でファイル内容を取得した。

■セキュリティホールを一般公開するのはセキュリティ業界では
よくあることなんでしょ? 何か問題あんの?
 通常セキュリティホールに関しては、相手に直接通知して対応が
終わった段階で公表するのが暗黙のルール。今回のoffice氏の場合、
ACCSに通知する前にAD2003でこのセキュリティホールを公表し、
かつ実際の個人情報が載った資料も公開した。会場ではサーバから
4人分の個人情報を含むpptデータが12人に流出した。つまりoffice氏の
公開手順と情報管理には問題があったし、その結果当該情報の二次
流出が起きてしまった。

552 :名無しさん@お腹いっぱい。:04/02/05 19:57
しかしこれらの情報公開や二次流出に関しては、今回の容疑には
入っていないことに注意。あくまで11/8当日とそれ以前(確認
されている限りでは10/6以降、計4回のアクセスが行われている)の
office氏によるASKACCSのCGI/ファイルへのアクセスが嫌疑。

■ACCS側はCGIの脆弱性をずっと前から報告されていたのに
それを放置してたって聞いたけど、それ自己責任じゃないの?
 ACCSのwebサーバが設置されていたのはファーストサーバ
http://www.firstserver.co.jp/)、またASKACCSの運用管理担当は
ヨセフアンドレオン(http://www.josephandleon.co.jp/)。当該
CGIはファーストサーバが提供したもので、ファーストサーバは
CGIの修正スクリプトに関する情報を利用者(この場合はヨセフ
アンドレオン)に連絡していたが、ACCSの事後説明やその他の
ファーストサーバの利用者などの報告から、その情報は脆弱性に
関する報告を含んでいなかったらしいとされている。現状では
ファーストサーバ側から本件に関する報告はない。ヨセフアンド
レオンは2/4に以下の声明を発表。
http://www.josephandleon.co.jp/seimei.html

■逮捕の容疑は?
・不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)違反
http://www.ipa.go.jp/security/ciadr/law199908.html
・刑法第234条 威力業務妨害
http://law.e-gov.go.jp/htmldata/M40/M40HO045.html#1000000000000000000000000000000000000000000000023300000000000000000000000000000

553 :名無しさん@お腹いっぱい。:04/02/05 19:57
>>546
企業勤めたこと無いだろ。

554 :名無しさん@お腹いっぱい。:04/02/05 19:58
■不正アクセスに関する論点は?
 office氏の行為を不正アクセス禁止法の定める「不正アクセス」と
認定する上で、ACCSのCGIが「アクセス制御」された状態にあった
かどうかが論点になりそう。想定される主張は以下の通り。
●警察側
 管理者によってアクセス制御されている、つまり通常の方法では
アクセス不可能な個人情報ファイルにCGIの脆弱性を使うことにより、
アクセス制御を回避してアクセスしたのは不正アクセスにあたる。
●弁護側
 CGIの脆弱性といっても通常URLの一部と認識されるCGIの引数に
ファイル名を入れただけで全てのファイルにアクセス可能な状態だった。
つまりアクセス制御されていたとは言い難い。

■威力業務妨害に関する論点は?
 office氏の報告行為と脆弱性情報の公開行為が「威力を用いて
人(ACCS)の業務を妨害した」ことにあたるかどうかが論点に。
想定される主張は以下の通り。
●警察側
office氏のアクセス行為は意図的なものであり、それによって
ACCSの権利を侵害したので、威力業務妨害に相当する。
●弁護側
ASKACCSのサイト閉鎖はCGI脆弱性の発見報告を受けてこれに
対処するために行われたもので、A.D.2003での発表とは無関係。
少なくともサイトを閉鎖した時点ではACCS側がoffice氏を
善意の報告者として認識していたことがACCS報告からも伺える。

■どういう影響が考えられるの?
善意の脆弱性報告行為への動機付けが低下し、結果的にネットの
セキュリティが低下する危険性がある。


555 :名無しさん@お腹いっぱい。:04/02/05 19:58
つーかだ。
AD2003というイベントでのオヒスのプレゼンがどういう性格のものだったかを
知らないと、威力業務妨害は説明できないだろ。ニュースには「HP閉鎖など」
とか書いてあるけど。
問題のプレゼンは、セキュリティが甘いアフォなサイトはいっぱいあるんですよ、
その一つはACCSというところなんですよー、ほらこの通り個人情報取り出せます
よー、といってきわめて具体的に取り出して観衆に示したわけ。もう明らかに
ACCS攻撃によって厨房のウケを狙ったわけだ。AD2003にはACCS関係者がAD2003
主催者の松田も含め多数いたわけだが後で気付いて凍り付いたんじゃないだろう
か。現実に真似した奴まで出てるしね。
というわけで、バグを指摘するメールが高圧的だったことが問題なんじゃなくて、
イベントでの行動とその意図が問題になっているはず。

556 ::04/02/05 19:59
よせふぁんどれおにっくプログラミングの10ヶ条

557 :名無しさん@お腹いっぱい。:04/02/05 19:59
■その他、この事件を考える上で重要なことは?
「サイバー犯罪条約」を批准する立法が今期国会で提出される予定。
サイバー犯罪条約に関しては以下参照。
http://www.mainichi.co.jp/digital/zenbun/cyber-jouyaku/01.html
その実際のインパクトや考えられる問題点については以下参照。
http://www.atmarkit.co.jp/fsecurity/special/14cyber/cyber01.html
今回の検挙は、サイバー犯罪条約の批准や新たな捜査機関の設立に
向けた警視庁の話題&実績作りとしての性格も持っていると考え
られる。

558 :名無しさん@お腹いっぱい。:04/02/05 20:00
>>547
今回の件は実際にはPOST METHODらしいよ
だからフォームのINPUT TYPE=HIDDENの値を書き換えた
HTMLを作ってブラウザで読ませる必要があるね

559 :テンプレの人:04/02/05 20:02
>>555
つまり侵入行為それ自体ではなくAD2003でのアクセス情報公開行為が
威力業務妨害に相当すると言うこと? その場合って教唆とかなら
わかるんだけど、威力業務妨害そのものじゃない気がするんですが
どうでしょう。

560 :名無しさん@お腹いっぱい。:04/02/05 20:02
>>541
>また、同関係者によると、威力業務妨害についても、河合容疑者の
>一連の行動が、意図的であり、ACCSの権利を侵害したと判断された
>ため、適用されたという。
もともとの警視庁の発表は「サーバを停止させた」のが業務妨害だとのことだが、「一連の行動」のうち「サーバを停止させた」のは通報のみ。
通報が「意図的」だから威力業務妨害だといわれたらたまらん。
なお威力業務妨害の未遂は罪じゃないから「イベントでの公開を威力に使うつもりだった」というのも無理。
という以前に、セキュリティホールを公開するのは威力でもなんでもないだろ。


561 :名無しさん@お腹いっぱい。:04/02/05 20:02
>>548
サンクスです。
漏れのHPのCGIで調査したが欠陥はなかった。
安心したYO。

※最後にoffice氏へ
ドアホ!!!!!!!!!


562 :テンプレの人:04/02/05 20:03
>>558
その場合レファラチェックとかは取ってなかったんでしょうか。
ファーストサーバのスレもちゃんと見てみないとダメかなー。

563 :名無しさん@お腹いっぱい。:04/02/05 20:10
漏れが思うに

普通にセキュリティホールを通報して、それを受けてサイトを閉鎖
して修正するという場合は威力業務妨害を適用することはないが、
今回の場合はofficeの一連の行動(個人情報の公開等)から見て
セキュリティーホールの指摘というよりACCSの業務を阻害する
意図があったとみなしたので威力業務妨害を適用した

ということだと思う
かなり無茶だとは思うが

564 :548:04/02/05 20:12
>>561
念のため言っとくけど>>547の方法じゃ調査不可能よん
ファーストサーバー(株)所属の森川氏製作、配布のcsvmail.cgi
じゃなければok

565 :名無しさん@お腹いっぱい。:04/02/05 20:14
で、結局プレゼン資料を2chにアップしたやつ誰なんだよ!!

年明けてから、マスコミがなーんかOffice関係のニュース流すし
なんでこんな古いニュースが今ごろになって出てくるのかなあと
思ってたんだが・・・。

Office逮捕に向けて関係者各位様が色々裏でネゴとってた?

566 :名無しさん@お腹いっぱい。:04/02/05 20:15
>>547
お前のような無知なやつがサイト運営するから、こういう事件が発生する。

 信 頼 で き る プ ロ に 依 頼 し ろ

567 :名無しさん@お腹いっぱい。:04/02/05 20:16
で、そんな難しいことしなくても単純なXSS脆弱性があったりしてな(藁

568 :名無しさん@お腹いっぱい。:04/02/05 20:17
>>563
常識を持った成人なら自分の行為がどういう結果を生むかある程度
知ってなければならないという社会の掟を逸脱した行為は、非難されて
当然ということだろう。

569 :名無しさん@お腹いっぱい。:04/02/05 20:17
>>554
藻前、警察の回し者かなんかだろ。中立をよそおうな。
■不正アクセスに関する論点は?
●ACCS
ACCSは、これまで情報の取り扱いに関する啓発活動を自ら行ってきていることからすれば、自ら運営するホームページのセキュリティについては、通常の企業等以上に、充分なスキル、体制で臨む必要があると考える。
しかし、ACCSは、レンタルサーバー会社の提供するCGIプログラムを採用する際に、セキュリティ上の検証について入念な検査をしたとは認められなかった。
●京都大学
不正アクセスではないと認識している。
●弁護側
管理者であるファーストサーバは、現状の設定では全てのファイルが公開状態にあることを認識したまま長年放置していた。
●警察側
スマソ
■威力業務妨害に関する論点は?
●ACCS
通報があったので、サーバ閉じました。
●警察側
スマソ
●弁護側
ヴォケ
■どういう影響が考えられるの?
警視庁担当者の引責辞任


570 :名無しさん@お腹いっぱい。:04/02/05 20:17
>>553
役員会議に出たことないだろ

571 :548:04/02/05 20:18
素人でも他人が作ったcgiを使う分には別に構わないと思うが。
だいいち今回のはプロが起こした事件だろ…て釣りですかそうですか…orz

572 :テンプレの人(1):04/02/05 20:22
>>569
そこの部分は法廷での争点になりそうなとこをまとめたとこです。
できれば>>569さんの書いたことは「■事件の関係者の主張は
どうなってるの?」として別にまとめてほしいんですが。
あと威力業務妨害について書いてることムチャクチャすぎ。

573 :テンプレの人(1):04/02/05 20:25
■不正アクセスに関する争点は?
 office氏の行為を不正アクセス禁止法の定める「不正アクセス」と認定する上で、
ACCSのCGIが「アクセス制御」された状態にあったかどうかが争点になりそう。
想定される主張は以下の通り。
●警察側
 管理者によってアクセス制御されている、つまり通常の方法ではアクセス不可能な
個人情報ファイルにCGIの脆弱性を使うことにより、アクセス制御を回避して
アクセスしたのは不正アクセスにあたる。
●弁護側
 CGIの脆弱性といっても通常URLの一部と認識されるCGIの引数にファイル名を
入れただけで全てのファイルにアクセス可能な状態だった。つまり当該CGIが
アクセス制御されていたとは言い難い。

■威力業務妨害に関する争点は?
 office氏の報告行為と脆弱性情報の公開行為が「威力を用いて人(ACCS)の
業務を妨害した」ことにあたるかどうかが争点に。想定される主張は以下の通り。
●警察側
office氏の一連の行動(個人情報の公開等)から見て、office氏の意図は
セキュリティホールの指摘というよりACCSの業務を阻害する意図があった
と考えられるので、威力業務妨害に相当する。
●弁護側
ASKACCSのサイト閉鎖はCGI脆弱性の発見報告を受けてこれに対処するために
行われたもので、A.D.2003での発表とは無関係。少なくともサイトを閉鎖した
時点ではACCS側がoffice氏を善意の報告者として認識していたことがACCS報告
からも伺える。

574 :名無しさん@お腹いっぱい。:04/02/05 20:27
>>563
>普通にセキュリティホールを通報して、それを受けてサイトを閉鎖
>して修正するという場合は威力業務妨害を適用することはないが、
ハア?
警視庁の発表だと、それだけで威力業務妨害だ。
>今回の場合はofficeの一連の行動(個人情報の公開等)から見て
>セキュリティーホールの指摘というよりACCSの業務を阻害する
>意図があったとみなしたので威力業務妨害を適用した
いかなる「意図」があったとしても威力業務妨害未遂は罪じゃない。
ACCSがホムペを閉じた理由は「通報」だけだ。


575 :名無しさん@お腹いっぱい。:04/02/05 20:30
>>574
うーん
>>541の内容を漏れなりに解釈してみただけなんだが...

576 :名無しさん@お腹いっぱい。:04/02/05 20:32
警視庁も2chを見て落としどころを考えてるだろう。

577 :名無しさん@お腹いっぱい。:04/02/05 20:32
ちなみに、世間の耳目を集める事件の場合、検挙前に検察にもお伺い立てられるって
知ってる?

578 :名無しさん@お腹いっぱい。:04/02/05 20:33
>>553
>企業勤めたこと無いだろ。
という問題じゃない。
事実はどうあれACCSのホムペで書いたことと矛盾することをACCSが法廷で証言できないということ。
ちなみに漏れは、取締役会でたことある(W

579 :名無しさん@お腹いっぱい。:04/02/05 20:33
>>578
从リ ゚д゚ノリ ハァ?

580 :テンプレの人(1):04/02/05 20:37
>>578
威力業務妨害に関しては、ACCS側は主張しないんじゃないすかね?
刑事事件の場合被害者の言い分がどう反映されるのかは漏れには
よくわかんないんですが…。

581 :名無しさん@お腹いっぱい。:04/02/05 20:40
>>580
主張するのは検察です。

582 :名無しさん@お腹いっぱい。:04/02/05 20:40
威力業務妨害の争点は
officeのセキュリティホール通知の目的が

(1)善意でセキュリティホールを知らせるため
(2)ACCSの業務を妨害するため

のどっちだったか
ってことになりそうな気がする

警察はofficeの一連の行動から(2)だと主張して
officeは(1)だと主張する

でもACCSの業務を妨害するために、セキュリティーホール
を通知するっては、どう考えても無理あるよなぁ

583 :名無しさん@お腹いっぱい。:04/02/05 20:41
>威力業務妨害に関しては、ACCS側は主張しないんじゃないすかね?
というか、その反対をホムペで主張してる。
>刑事事件の場合被害者の言い分がどう反映されるのかは漏れには
>よくわかんないんですが…。
被害者とされる側が「被害はない」とホムペで主張してる以上、検察が何いっても無駄というか、そもそも起訴しないだろ。


584 :名無しさん@お腹いっぱい。:04/02/05 20:42
>>582
そうだよなあ。
業務妨害するなら、通知しないでばら撒いたほうがいいに決まってるよなあ。

585 :テンプレの人(1):04/02/05 20:43
>>583
了解です。とりあえず警視庁が逮捕の名目を華々しくするために
現時点で逮捕理由に盛り込んでみただけ、ちゅうことですかね。

586 :名無しさん@お腹いっぱい。:04/02/05 20:44
>>582
>>555
>>568

587 :名無しさん@お腹いっぱい。:04/02/05 20:45
>>568
非難されることと訴追されることは違う

588 :名無しさん@お腹いっぱい。:04/02/05 20:47
>>587
http://lawschool-konan.jp/sonoda/nyumon/manabu04.html
の「有責性」の項目をよく読みましょう

589 :名無しさん@お腹いっぱい。:04/02/05 20:53
おい、おまえら、夕刊フジ(紙面)の記事見てみろ。
違法ではない、という観点からの内容も載ってるぞ。
こんなまともな記事初めて見た。
これってそのうち zakzak にも UPされるんかな?


590 :名無しさん@お腹いっぱい。:04/02/05 20:54
>>586
つまりこんな感じか

威力業務妨害の争点は
officeのAD200Xでの情報公開の目的が

(1)セキュリティホールを広く世に知らしめて警鐘を鳴らすため
(2)ACCSを槍玉に挙げることによって、ACCSの業務を妨害するため

のどっちだったか

officeは(1)を主張して、検察は(2)を主張する

これならなんとなく話はわかるか

591 :名無しさん@お腹いっぱい。:04/02/05 20:54
>>588
違うじゃん。

592 :名無しさん@お腹いっぱい。:04/02/05 20:54
とすっとこの先どうなる?


593 :名無しさん@お腹いっぱい。:04/02/05 20:56
>>590
でも業務を妨害するつもりなら、通報しない。

594 :名無しさん@お腹いっぱい。:04/02/05 20:58
多分ほんとの答えは

(3)AD200Xで拍手喝采を浴びるため

なんだろうなw

595 :名無しさん@お腹いっぱい。:04/02/05 21:16
今回はofficeを支持するぜ。
このまま放置されていたらもっと多くの個人情報が漏れていた可能性もあるし。

これでもし間違って「指摘することが悪」みたいな流れになっていったら
脆弱性を抱えた企業サイトが野放しにされる可能性がある。

その結果(;゚Д゚)マズーなことになるのは俺たち利用者だ。
ACCSが勝って利益になることは何一つも無い。

596 :テンプレの人(1):04/02/05 21:20
またちょっと修正してみたよ。
--------------------------------
■事情をよく知らないんだけど、かいつまんで経緯を教えて。
・office氏はACCS((社)コンピュータソフトウェア著作権協会)が運用する
 「著作権・プライバシー相談室」(ASKACCS)の著作権侵害報告CGIの
 脆弱性を発見した。脆弱性の内容は、CGIに特定の引数を与えることにより、
 ASKACCSに質問を寄せた約1,200人の送信日時・氏名・住所・電話番号・
 年齢・メールアドレス・相談内容等の個人情報を入手できるというもの。
 office氏はこの手法を使い、11/8までに少なくとも計4回のアクセスを実行。
・11/8 office氏はハッカーコミュニティ「A.D.200X」(http://www.ad200x.net/
 の開催するA.D.2003というセキュリティカンファレンスでこのセキュリティ
 ホールを公表し、実際にASKACCSを利用した4人分の個人情報を含むppt
 スライドを会合の席上で上映。A.D.2003の席上ではoffice氏が上映した
 ppt資料が会場サーバ内に置かれ、この資料が複数(A.D.200Xの報告では
 関係者含めて12名)の会合参加者によってダウンロードされた。後にこの
 ppt資料が2chのアップローダに流出し、さらに不特定多数のユーザの手元に
 渡った可能性がある。
・11/8夜 office氏、ACCSにこのセキュリティホールを通知。
・11/9午後 ACCSはASKACCSサイトを閉鎖。この時点ではACCSは
 office氏を善意の報告者として扱っていた。
・11/11 ACCSはこの脆弱性に関する問題を初公表、記者レクを行う。
・11/24 office氏、自webサイトでACCSへの謝罪文を公表。
・1/22 ACCS、事故調査委員会による調査報告書を発表。
・1/27 問題のpptファイルが2ちゃんねるのアップローダに流出。
・1/29 ACCS「緊急のご報告」を発表。
・2/4 警視庁、不正アクセス禁止法違反と威力業務妨害の疑いでoffice氏を逮捕。


597 :テンプレの人(1):04/02/05 21:21
■office氏は具体的にどんな方法で情報にアクセスしたの?
 ASKACCSの投稿フォームで、投稿内容の最終確認用として投稿内容を表示する
CGIを利用した。このCGIが表示するHTMLの、INPUT TYPE=HIDDENの部分の値を
書き換え、このCGIの引数としてそのCGI自体を渡すHTMLをブラウザで読み込ませて
実行すると、CGIのバグでCGIのソースが表示される。 そのソースを見て投稿内容が
格納されるファイル名を確認し、次にCGIの引数に投稿内容が格納されるファイル名を
渡すと、CGIのバグですべての投稿内容が表示される。office氏はこの方法でファイル
内容を取得し、手元にコピーしたと考えられる。

■セキュリティホールを一般公開するのはセキュリティ業界ではよくあること
なんでしょ? 何か問題あんの?
 通常セキュリティホールに関しては、相手に直接通知して対応が終わった段階で
公表するのが暗黙のルール。今回のoffice氏の場合、ACCSに通知する前に
A.D.2003でこのセキュリティホールを公表し、かつ実際の個人情報が載った資料も
公開した。この会場で運用されていたサーバから4人分の個人情報を含むpptデータが
少なくとも12人(A.D.200Xの報告による)に流出した。また現在、A.D.2003の
会場でこの報告を聞いた参加者のうち2名が、翌日のサービス停止までの間に
同じ手法でデータの読み出しを行っていた疑いが警視庁から報告されている。
つまりoffice氏の公開手順と情報管理に問題があり、その結果として当該情報の
二次流出を招いてしまった。なお、このファイル名はファーストサーバ(後述)の
提供する同CGIを利用しているユーザーであれば誰でも知ることができた。


598 :テンプレの人(1):04/02/05 21:21
■ACCS側はCGIの脆弱性をずっと前から報告されていたのに、それを放置
してたって聞いたけど、それ自己責任じゃないの?
 ACCSのwebサーバが設置されているのはファーストサーバ
http://www.firstserver.co.jp/)、またASKACCSの運用管理担当はヨセフアンド
レオン(http://www.josephandleon.co.jp/)。当該CGIはファーストサーバが
提供していたもので、ファーストサーバはCGIの修正スクリプトに関する情報を
利用者(この場合はヨセフアンドレオン)に連絡していたが、ACCSの事後説明や
その他のファーストサーバの利用者などの報告から、その情報は脆弱性に関する報告を
含んでいなかったらしいとされている。現状ではファーストサーバ側から本件に
関する報告はない。ヨセフアンドレオンは2/4に以下の声明を発表。
http://www.josephandleon.co.jp/seimei.html

■逮捕の容疑は?
・不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)違反
http://www.ipa.go.jp/security/ciadr/law199908.html
・刑法第234条 威力業務妨害
http://www.annie.ne.jp/〜schim/ultima_ratio/joubun/keiho/235.html

■不正アクセスに関する争点は?
 office氏の行為を不正アクセス禁止法の定める「不正アクセス」と認定する上で、
ACCSのCGIが「アクセス制御」された状態にあったかどうかが争点になりそう。
想定される主張は以下の通り。
●警察側
 管理者によってアクセス制御されている、つまり通常の方法ではアクセス不可能な
個人情報ファイルにCGIの脆弱性を使うことにより、アクセス制御を回避して
アクセスしたのは不正アクセスにあたる。
●弁護側
 CGIの脆弱性といっても通常URLの一部と認識されるCGIの引数にファイル名を
渡すだけで全てのファイルにアクセス可能な状態だった。つまり当該CGIが
アクセス制御されていたとは言い難い。

599 :テンプレの人(1):04/02/05 21:22
■威力業務妨害に関する争点は?
 office氏の報告行為と脆弱性情報の公開行為が「威力を用いて人(ACCS)の
業務を妨害した」ことにあたるかどうかが争点に。想定される主張は以下の通り。
●警察側
office氏の一連の行動(個人情報の公開等)から見て、office氏にはセキュリティ
ホールの指摘というよりACCSの業務を阻害する意図があったと考えられるので、
威力業務妨害に相当する。
●弁護側
ASKACCSのサイト閉鎖はCGI脆弱性の発見報告を受けてこれに対処するために
行われたもので、A.D.2003での発表とは無関係。少なくともサイトを閉鎖した
時点ではACCS側がoffice氏を善意の報告者として認識していたことがACCS
報告からも伺える。

■この事件でどういう社会的影響が考えられるの?
・これまでは「節度ある相互協力関係」にあったハッカーコミュニティと
 セキュリティ業界の相互信頼関係が決定的に失われてしまった。
・メディアにおけるハッカーとクラッカー(破壊的行為を行うハッカー)の
 同一視がさらに進む可能性がある。
・善意の脆弱性報告行為への動機付けが低下する。
・セキュリティ脆弱性への対応がセキュリティ業界の慣行的ルールではなく
 厳格な法的アプローチにもとづいて行われるようになる可能性がある。

■その他、この事件を考える上で重要なことは?
「サイバー犯罪条約」を批准する立法が今期国会で提出される予定。
サイバー犯罪条約に関しては以下参照。
http://www.mainichi.co.jp/digital/zenbun/cyber-jouyaku/01.html
その実際のインパクトや考えられる問題点については以下参照。
http://www.atmarkit.co.jp/fsecurity/special/14cyber/cyber01.html
今回の検挙は、サイバー犯罪条約の批准や新たな捜査機関の設立に
向けた警視庁の話題&実績作りとしての性格も持っていると考えられる。


600 :名無しさん@お腹いっぱい。:04/02/05 21:22
>>572
>そこの部分は法廷での争点になりそうなとこをまとめたとこです。
ハア?
法廷?
起訴できることを前提としてるあたりが、警視庁。
>あと威力業務妨害について書いてることムチャクチャすぎ。
ああ、警視庁がな。



601 :548:04/02/05 21:24
馬鹿は無視

602 :名無しさん@お腹いっぱい。:04/02/05 21:25
>>597
>■セキュリティホールを一般公開するのはセキュリティ業界ではよくあること
なんでしょ? 何か問題あんの?
> 通常セキュリティホールに関しては、相手に直接通知して対応が終わった段階で
公表するのが暗黙のルール。
暗黙のルールは「匿名掲示板で晒す」だろが、ヴォケ。


603 :名無しさん@お腹いっぱい。:04/02/05 21:28
基本的に良スレなのに
一人かわいそうな子がいるね

604 :名無しさん@お腹いっぱい。:04/02/05 21:34
>>599

「office氏」じゃなくて「河合一穂容疑者」でしょ。

605 :テンプレの人(1):04/02/05 21:35
>>604
どっちにするのがいいかなぁ。

606 :テンプレの人(1):04/02/05 21:37
>>604
わ、途中で送信しちゃった。警察側の主張の中では「容疑者」にしときます。
あと警察じゃなくて検察か。

607 :名無しさん@お腹いっぱい。:04/02/05 21:38
ファーストサーバの管理状態が、セキュリティの確保という面から
望ましいものとは程遠かった、というような趣旨のアピールを
専門家なりが出すわけにいかんのかね。
connect24hとか見てると、マスコミの一方的認識を責めてはいても
それを正そうとする人がおらんような。

空き巣被害だと、旧式のシリンダー錠(だっけ?)はピッキングに弱い
から新しいものに交換しよう、という啓蒙はかなり強力にされているし、
鍵をかけずに外出するなボケ、という認識は一般常識といっても
いいくらい普及してます。

しかも商用サービスのサーバは一応はプロが設置・管理するわけで、
仮に広範な情報技術者が所属する専門家団体(情処よりもIEEE的なもの)
があって、「われわれはこういう規範とレベルをもってやっている、
こんな下らん仕事をする奴は技術者を名乗る資格もない」というような
ことを言えれば状況は良くなるかもしれないと思ったり。


608 :名無しさん@お腹いっぱい。:04/02/05 21:44
>>599
>●弁護側
>ASKACCSのサイト閉鎖はCGI脆弱性の発見報告を受けてこれに対処するために
>行われたもので、A.D.2003での発表とは無関係。少なくともサイトを閉鎖した
>時点ではACCS側がoffice氏を善意の報告者として認識していたことがACCS
>報告からも伺える。

メールやりとりしながら調査中とあって、善意の報告者として認識してた
なんて書いてないぞ。
http://www.askaccs.ne.jp/houkoku1.html

しかも、http://www.askaccs.ne.jp/houkoku2.htmlによると、運営会社の
ヨゼフアンドレオンの人間が河合のメールをもらってサーバを閉めたので
あって、担当者と河合との間の険悪なやりとりは河合自身が掲示板で自慢
していたとおりだ。(先にヨゼフアンドレオンにメール送ったのか森川に
メール送ったのかその辺は知らんが)

609 :名無しさん@お腹いっぱい。:04/02/05 21:45
>>503
その会社やACCSは、他人の個人情報を
不特定多数に対して一般公開した張本人のくせして態度でけーよな。
officeが有罪になろうがなるまいが、
こいつらが被害者面することを許してはいけないと思う。

610 :名無しさん@お腹いっぱい。:04/02/05 21:46
>>607
まあ嫁 http://www.askaccs.ne.jp/houkoku3.html

611 :テンプレの人(1):04/02/05 21:51
>>608
どもです。反映します。しかしそうなると威力業務妨害が
妥当する可能性はでてきちゃうわけですねぇ。

612 :名無しさん@お腹いっぱい。:04/02/05 21:53
>>607
鍵というのは扉を自由に開けてほしくないという意図が明確だけど、
CGIの引数を変えて出てきた情報は保護する気があったのかどうか
管理者以外にはわからない。
だからピッキングと比較するのはおかしい。
どこぞのhotmailのパスワードが簡単に破れるとか言う話のときは
ピッキングと比較してもいいけど。

613 :テンプレの人(1):04/02/05 21:53
>>608
こんなでどう?

●弁護側
 ASKACCSのサーバ停止はoffice氏からCGI脆弱性の発見報告を受けた
ヨセフアンドレオンの担当者がこれに対応するために独自に行った行為で、
A.D.2003での発表とは無関係。少なくともサーバを停止した時点では
セキュリティ脆弱性への対応策として行われたもので、威力業務妨害を
構成するとは考えられない。

614 :548:04/02/05 21:54
>>608-611
いまんとこhoukoku4まで出てるよん

615 :テンプレの人(1):04/02/05 21:55
>>612
漏れもどう解釈すべきか迷ってるんだけれども、問題のフォームが
getじゃなくてpostになってて、クライアントの手元でhtmlを改変することで
cgiへの引数を変える行為って、さっき挙がってた「有責性」が高くならない?

616 :名無しさん@お腹いっぱい。:04/02/05 21:57
>どもです。反映します。しかしそうなると威力業務妨害が
>妥当する可能性はでてきちゃうわけですねぇ。
うーん、、、あんたやっぱり警視庁?
でも、セキュリティホール放置は「業務」と認めようがないぞ。


617 :608:04/02/05 21:57
>>613 いいんじゃない?

618 :名無しさん@お腹いっぱい。:04/02/05 21:58
>>608
悪意のあるクラッカーだと思ってたら、こんな書き方をしないだろう。
>「ASK ACCSのホームページ上から個人情報を入手できる」との指摘のメールをいただき

619 :名無しさん@お腹いっぱい。:04/02/05 21:59
テンプレの人へ

変更点だけ貼って、残りはリンクにしてくれ

620 :548:04/02/05 22:00
>>615
それって非行の事実が確認された後の話じゃないかな

621 :608:04/02/05 22:04
>>618 だから、善意ではなく中立であると言いたいわけだが。指摘を頂いた
だけではどういった状況でその個人情報取り出しが行われたのかわからない
から、http://www.askaccs.ne.jp/houkoku2.htmlにあるように、そのあと
数日に渡ってメールのやりとりがあった。

622 :名無しさん@お腹いっぱい。:04/02/05 22:05
>問題のフォームがgetじゃなくてpostになってて、クライアントの手元でhtmlを改変することで
>cgiへの引数を変える行為って、
getであれpostであれ引数を変えるのは同じだしHTTPなんて手で入力できるから、何も違いない。


623 :名無しさん@お腹いっぱい。:04/02/05 22:08
>>615
問題のCGIだけでなく、実はほかのアクセス手段も用意されていて公開されている
情報と受け取る可能性もあるんじゃないかなあ。
別の手段があるかどうかなんてわかるわけないんだし。

624 :548:04/02/05 22:09
善意。悪意。
http://www.hou-nattoku.com/mame/mame3.php

625 :名無しさん@お腹いっぱい。:04/02/05 22:10
>>624 それ無関係

626 :548:04/02/05 22:12
そうかな。そうかも…w
>>599で弁護側の発言として出てたんで

627 :名無しさん@お腹いっぱい。:04/02/05 22:13
>●弁護側
> CGIの脆弱性といっても通常URLの一部と認識されるCGIの引数にファイル名を
>渡すだけで全てのファイルにアクセス可能な状態だった。つまり当該CGIが
>アクセス制御されていたとは言い難い。

いつ直るんだろうな。POSTだからURLの一部には絶対にならないのにな。
それともoffice援護のために意図的に間違えたテンプレにしているの?

628 :名無しさん@お腹いっぱい。:04/02/05 22:15
こんな糞CGI作って公開した奴も成敗汁!!

って無理なの?

629 :名無しさん@お腹いっぱい。:04/02/05 22:16
ミスは誰にでもあるから…
問題は指摘されたのに対処しなかったこと。

今までずっと名前が548だった…orz

630 :テンプレの人(1):04/02/05 22:29
>>627
どないしよ。

631 :名無しさん@お腹いっぱい。:04/02/05 22:36
鵜飼
松田
河合

632 :名無しさん@お腹いっぱい。:04/02/05 22:38
「想定される主張は」なんだからそんなに厳密にしなくても…
それに「通常は」ってしてあるんだし

633 :テンプレの人(1):04/02/05 22:50
こんなふうにしてみました。
http://www.geocities.jp/officeandaccs/index.html


634 :名無しさん@お腹いっぱい。:04/02/05 22:52
>>628
素人としてはプロの作ったCGIを利用するしかない。
しかし、素人には、そのCGIに欠陥があるかどうかの
判断はほぼ出来ない。
今回のCGI以外にも、巷にあふれているCGIの中にも
まだまだ欠陥のあるCGIがある可能性がある訳だ。
今使っているCGIに欠陥がある可能性もある。
我々素人は、今後、どのCGIを信用したらいいので
しょうね。

プログラム判定機関のようなものを作った方がいいのでは。
CGI作者がCGIを作成 → 判定機関で判定 → 問題ないと
判定されたCGIは、判定機関の認定印付きで、公に公開
できる。判定機関の認定印の無い、CGIは配布してはいけない。

これなら、素人も安心してCGIを利用できる。

という風なればいいと思うが、どうだ。





635 :名無しさん@お腹いっぱい。:04/02/05 22:53
>>633
<meta http-equiv="Content-Type" content="text/html; charset=Shift_JIS">
お前も嘘つきだな。

636 :名無しさん@お腹いっぱい。:04/02/05 22:57
えーと、このスレ的にofficeのやった悪いことは、個人情報を晒したことだけでFA?
(目立ちたがりとか、ウザイとか感情的なモノを除く)

637 :名無しさん@お腹いっぱい。:04/02/05 22:59
法的に問題になるのは個人情報流出だけかな

638 :名無しさん@お腹いっぱい。:04/02/05 23:00
何度も言う様だが、逐条解説と刑法総論の基本書ぐらい読んでから出直してこいや
クソ厨房ども!

639 :名無しさん@お腹いっぱい。:04/02/05 23:01
そうだね、この程度で不正アクセスとか言い出されたら困る。

640 :名無しさん@お腹いっぱい。:04/02/05 23:01
専門家を気取るなら分かりやすく解説してみろ。

641 :テンプレの人(1):04/02/05 23:02
>>635
ドリウィで作成してソースをgeocitiesエディタに貼り付けてしまったYO〜

642 :名無しさん@お腹いっぱい。:04/02/05 23:02
>>633
getにしろpostにしろ、
csvmail.cgiによって無制限に任意のファイルを開示するサービスが
「公開」されていたって当たりを強調した方がよくないですかね。<弁護側

643 :名無しさん@お腹いっぱい。:04/02/05 23:03
判例では
「妨害 妨害の結果を発生させるおそれのある行為をすれば足りる−業務を妨害する虞のある状態を生じさせること(具体的危険犯−判例・大塚・団藤・前田)。」
だからね。
こっそり通報されただけで閉じる必要があると判断される事例なわけだから、
それ以前のサイトが開いてる間にイベントで公開したという事実があれば、
たとえそれからACCSがサイトを閉じるまでの間にその事実を知らなくても、充分。

644 :名無しさん@お腹いっぱい。:04/02/05 23:05
とりあえず
おひすが裁判でどういう罪状でどの程度の罰を受けるのか
ACCS初めサバ管理会社の責任は問われることはあるのか
興味津々

645 :名無しさん@お腹いっぱい。:04/02/05 23:06
お!判例キター

意味不明なわけだが、つまり業務妨害は間違いないと言いたいわけですか?

646 :名無しさん@お腹いっぱい。:04/02/05 23:10
>>643
結果犯的要素もある。
クソ厨房が爆弾仕掛けたって電話しても、無視されれば威力業務妨害にはならない。
そこで爆弾捜索などのために先方がごにょにょすると威力業務妨害になる。
この場合現実にサイトが閉じられているしね。
スクリプト厨房のアタックが予想されるのでサイト閉じますと発表出来るか?
適当な美辞麗句で飾ったとして現実問題責められるか?


不正アクセス禁止法違反についてはこれまでにもこういう理由でアウトと何人もが
何度説明しても理解出来ずにループだし。


647 :名無しさん@お腹いっぱい。:04/02/05 23:13
>>643
イベント以前に通告していても結局は閉鎖せざるをえないわけだから当たらないと思う。
むしろ不正アクセス助長に相当しそう。

648 :名無しさん@お腹いっぱい。:04/02/05 23:13
>>643
一旦、http://www.askaccs.ne.jp/houkoku2.htmlのように自己の責任を認めて、自ら閉鎖した場合でも、
「やっぱオフィスの妨害だった」つーのはありですか?

庶民感情としてはACCS卑怯としか思えませんが。

649 :名無しさん@お腹いっぱい。:04/02/05 23:13
ttp://pc2.2ch.net/test/read.cgi/hosting/997111619/514-515

やっぱりこいつらにも何らかの責任を負わせるべきでは?


650 :名無しさん@お腹いっぱい。:04/02/05 23:16
いや、別に間違いなくないよ。
まず、通報行為が妨害行為であることはありえない。いくらなんでもそんなに
警察も馬鹿じゃないだろう。
イベントで公開したことが妨害であるかどうかについては、
もし、イベントで公開したことをACCSが知ったならば、サイトを閉じざるを
えない事態なのかどうかが論点。
非公開の通報だけによってサイト閉鎖しなければならないような事態なのだと
すれば、イベントで公開されることはもっと重大だろうと想像できる。

したがって
通報によってサイトを閉鎖したのは必ずしもそこまでやる必要はなかった
→イベントでの公開が業務妨害にあたるかは別議論が必要。
通報によってサイトを閉鎖せざるをえなかったのは当然である
→それより前のイベントでの公開は業務妨害である。

Office氏はやや分が悪いと思われる。すくなくとも検察は公判維持できそう。
ただ、ACCSの説明がいい加減なのは確かだ。

651 :名無しさん@お腹いっぱい。:04/02/05 23:20
        ,,ィiii;:;:;:;:iii;:;:;:;:i;:i;:;:!;:!;:;:;:l、,,_
       r'":;:;:;:;:;:;:;:ヾ;:;: 彡ノノ'ヾ、;:;:;:i!
       |:;:;:;、ゞゞゞ'7''"~     `l;:;:;i!
       l:;:;l     ヽ、      l;:;:;:ミ   ちょっと不正アクセスしますよ
       l;:;:|   ,,....、    __,;;;;;;;,,,,,ヾ;:;-、
       ヾl,r"‐''''―、,-r'",..,、  i!`T")|
       l^ーi '"' ’'` ノ ヽ、,,,...-‐' j!  |
       i! :; `''ー'''';:',, ,,, )    : |ー'"
        ヽ-l    ,,.;:;::;;;;:,,,,,    |
           ヽ i '"ー''''"~~`' / ,,.!、_
           `ヽ、 "" '''  ,,.:'"/' :ヽ
            j^'ー--‐''".ィ'ン"   `ー-、
   r''"~~ ̄ ̄ ̄ ̄i\___,..-'" /    /
            | /`ヽ /
   ヽ   :;:      ^|ヾ,r`'    ,.    ,,.r'
   ミヽ  ヾ ::;;:    |     /   ,.ィ"

652 :名無しさん@お腹いっぱい。:04/02/05 23:23
>>627
ここでテンプレと言っている奴は明らかに擁護派だよ
都合の悪い部分はわざと省いている
例えば京都大学が不正アクセスではないと認識しているとはあるが
その理由、つまり
> 今回の事例はソフトプログラムの欠陥などを利用してサイトにアクセスしており、
> パスワードなどを盗むなどする「不正アクセス」には当たらないとの見方
を隠している。

653 :名無しさん@お腹いっぱい。:04/02/05 23:23
不正アクセス禁止法の3-2-2はいわゆる「セキュリティーホール」に対処するための規定。
過失・不可抗力によりシステムに穴が開いている場合、それに乗じて行う行為は基本的に
規制される。

で、ここでいわゆる脆弱性検査の場合の問題が出てくるが、不正アクセス禁止法が
不可罰としていない未承諾のチェック行為の場合、それが社会通念上正当な方法で
行われているものであれば、一般的に処罰を必要としない事例として警察も検察も
扱う(自転車が人間にぶつかってすりむかせたときに、謝ってその場で終わったのを
警察は捜査するか?)。あれのやった行為は社会通念上どうよ?
(刑法総論の『起訴便宜主義』がこの理論に関係する)。

654 :名無しさん@お腹いっぱい。:04/02/05 23:24
>>629
対処はしたがセキュリティを理由に告知せず
対策を施した新しいスクリプトへの変更を薦めただけ。

655 :名無しさん@お腹いっぱい。:04/02/05 23:25
>>631
うかい
まつだ
かわい

縦読みすると「うまか」つまり真犯人は博多弁を話す奴だ!

656 :名無しさん@お腹いっぱい。:04/02/05 23:32
>>650
分かり易い説明どうも。
威力業務妨害についてはOfficeの分が悪そうですね。

657 :名無しさん@お腹いっぱい。:04/02/05 23:33
>>655
左上から斜め読みで「宇津井」じゃないのか?

658 :名無しさん@お腹いっぱい。:04/02/05 23:41
>>652
>例えば京都大学が不正アクセスではないと認識しているとはあるが
どこにあるかわからん…

659 :名無しさん@お腹いっぱい。:04/02/05 23:42
>>650
サイトを閉じることになった要因はここに書いてあるって。
http://www.askaccs.ne.jp/houkoku3.html
ここまで明確に自ホームページで出してて威力業務妨害は成り立たない。


660 :名無しさん@お腹いっぱい。:04/02/05 23:44
>>659
明日ぐらいに消えてるんじゃなかと?

661 :テンプレの人(1):04/02/05 23:44
>>652
片方に肩入れしないような表現にしたいので、うまいまとめ方を
提案していただけるとありがたいです。>>627の指摘は反映してみました。
ただ>>653にもある通り、その京大の認識は3-2-1の「識別符号」絡みの
説明には通用するけど、3-2-2には通用しないんじゃないかと思いました。
どでしょ?

662 :テンプレの人(1):04/02/05 23:49
>>658
その文言は入れてないです。ソース自体は新聞で見たような。

663 :名無しさん@お腹いっぱい。:04/02/05 23:48
そもそもアクセス制御機能を有してないですよ

664 :名無しさん@お腹いっぱい。:04/02/05 23:49
>>650
ACCSがサイト閉じたのは通報によるもの。http://www.askaccs.ne.jp/houkoku2.html
> まず、通報行為が妨害行為であることはありえない。いくらなんでもそんなに
> 警察も馬鹿じゃないだろう。
警察はhttp://www.askaccs.ne.jp/houkoku2.htmlの存在知らないんじゃないの?
あるいは、余罪で起訴に持ち込む事を意図した別件逮捕。

665 :名無しさん@お腹いっぱい。:04/02/05 23:50
>>654
>対処はしたがセキュリティを理由に告知せず
>対策を施した新しいスクリプトへの変更を薦めただけ。

それ以上に2002年末の段階(一昨年だよ)でファーストサーバーは脆弱性を把握していた
office程度が気付く穴を他の人間が気付いていないわけがない
その間にファーストサーバーが抱えるユーザーが取得していた個人情報がどれだけ流出していたのだろう?
もし、officeがそれを教えなければ今後何人の情報が流出していたのだろう?

>朝日新聞社会面の記事(ネット上には出てないようなので)
>プログラム開発会社欠陥の詳細、未公表

>欠陥を突かれたプログラムを開発したサーバー提供会社は、02年末にこの欠陥を見つけ、修正プログラムも開発したという。
>しかし、顧客に対し、詳しい欠陥情報を提供しなかった。
>情報が不正アクセスなどに悪用される恐れがあると判断した、と説明している。
>同社は約2万の顧客を抱え、昨年3月から、欠陥を解消した新しいプログラムへの移行を顧客に促してきた。
>しかし、欠陥自体の存在が明らかにされなかったこともあり、事件のあった11月時点では、コンピュータソフトウェア著作権協会など相当数が未対応だった。
>事件から約3ヶ月がたった今も移行していない顧客がいる。
>プログラムの欠陥については、経済産業省情報セキュリティ政策室も調査を進めている。

666 :名無しさん@お腹いっぱい。:04/02/05 23:52
頼まれてもいないのにセキュリティホールを探す
連絡を受けてもセキュリティホールを事実上放置していた
何を思ったのか見つけたセキュリティホールを公衆の面前に晒す
セキュリティホールを放置していたことを棚に上げる

ずぼらすぎ。余計なことをしすぎ。
どれもダメぽ。

667 :名無しさん@お腹いっぱい。:04/02/05 23:56
>>663
まあ、そういうことやね。
ファイル名くわせたら何でも表示してくれる CGI にアクセス制御機能が
ついてるっていう方が無理がある。

>>627
京大で記者会見をした人はネットの専門家でも法律の専門家でもないし、
しょせん記者会見の内容の報道発表。京大の認識が正確に伝えられてるとは
思えない。
俺が信頼できると思っている情報は、京大は「違法性はない」という結論を
出したということ。その他のは信頼度は高くない。

668 :名無しさん@お腹いっぱい。:04/02/05 23:57
>>664

別件逮捕もちゃんと犯罪が成立してない限り不当逮捕に成っちゃうんですけど。
大体、最初に閉めたことと、それ以降現在まで閉め続けさせられたこと、これ
は別個で、最初に閉めたのが通報だったから後の3か月閉まったままの状態も
何ら業務妨害ではないなんて都合のいい話が通ると思うか?
先月末に2chで河合のプレゼン資料が流れたが、依然としてASKACCSは再開でき
ない状態な訳だろ。

669 :名無しさん@お腹いっぱい。:04/02/05 23:57
不正アクセス禁止法では、
アクセス制御機能を回避することを違法と定めている
しかし問題のcgiはアクセス制御機能がなかった
よって本件は第三条、第四条のいずれにも相当しない

670 :名無しさん@お腹いっぱい。:04/02/06 00:02
>>668
3ヶ月経ってもサービスを再開できないのはACCS側の復旧能力の問題で
office氏の通告とは関係ないよ

671 :名無しさん@お腹いっぱい。:04/02/06 00:04
>>668
それなら、なんとなく納得。

>>669
HTTPサーバはアクセス制御機能を有している。CGIはそれに開いた穴という強引な主張も可能かと。

672 :名無しさん@お腹いっぱい。:04/02/06 00:06
>>670

それは違うな。AD200X代表の鵜飼の報告が嘘だったので報告書の作り直し
もあった。結局はイベントでオヒスが個人情報をばらまいたことが尾を引いて
いる。

673 :名無しさん@お腹いっぱい。:04/02/06 00:07
>>670
だよね。


674 :テンプレの人(1):04/02/06 00:08
第3条2項2号 アクセス制御機能を有する特定電子計算機に電気通信回線を
通じて当該アクセス制御機能による特定利用の制限を免れることができる
情報(識別符号であるものを除く。)又は指令を入力して当該特定電子
計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該
アクセス管理者の承諾を得てするものを除く。次号において同じ。)

1号の「識別符号」てのは、よーするにID・パスワード・その他の
テンポラリIDやクッキーなど、正規ユーザーの同一性を確認するために
個別に割り振られるタイプの情報のことですよね。つまりスプーフィング
などによるアイデンティティアタックを指す条文。2号で規定してるのは
その他の情報で、こっちは法的にはセキュリティホールを利用した
アタックを指す、という解釈が普通みたいですね。当該cgiの本来の挙動
では問題のファイル名はユーザー側には見えず、また正規html上から
利用する限りはこのファイル名を引数として渡すこともできなかったと。
この状態を「アクセス制御」といえるかどうかが問題なんでしょうね。
ローカル側でhtmlを改変してファイル名引数を組み込んだ行為はかなり
強い有責性?を感じさせるので、「アクセス制御」が認められてしまえば
「不正アクセス」も認定されてしまうかと。

675 :名無しさん@お腹いっぱい。:04/02/06 00:09
>>664
実際に何が原因でサイトを閉じたのかは無関係。
もちろん情状としては関係あるけど、構成要件とは関係ない。
(最高裁での判例上、ただし反対意見あり)

676 :名無しさん@お腹いっぱい。:04/02/06 00:14
>674
何をもってアクセスの制御とするかは管理者が決める事であって、Officeの決める事ではありません。
よって管理者の意図が公序良俗違反でもない限りOfficeの有罪は免れませんね。


677 :名無しさん@お腹いっぱい。:04/02/06 00:16
>>674
それだと cgi でなくても、どこからもリンクがないページにアクセスしたら、
っていうのも成り立ってしまう。
うーん、議論がループしとるなー。
まあ、それがどうなのか、今回の裁判で判断が下されるってことで手打ちに
しない?
むろん不起訴になったら認定されない、ってことで。


678 :名無しさん@お腹いっぱい。:04/02/06 00:16
>>670
>3ヶ月経ってもサービスを再開できないのはACCS側の復旧能力の問題で
>office氏の通告とは関係ないよ

復旧能力を超えるような負担をかけるのは立派な妨害だと思われ
通告とは関係ないかもしれないがAD2003での河合の行動のがより問題
いまインターネット上に流通している個人情報は河合作の資料だけと
いうことになっている上に他に真似して情報を取得した者も存在し、
実質的にも個人情報を入力しても安心な状態と世間にACCSが信じさせ
るだけの状態にまで回復するのは極めて困難
河合があとほんの少し大人であればどういう事態になるか予測は出来た
だろう

679 :名無しさん@お腹いっぱい。:04/02/06 00:17
>>676
「アクセスの制御」は法律で定義されている。

680 :名無しさん@お腹いっぱい。:04/02/06 00:17
>>676

ディレクトリ丸見えでも管理者が「アクセス制御だ」と言い切ればそこに個人情報が置いてあってもお咎めなしか
利用者にとってはいやな世の中だなあ

681 :名無しさん@お腹いっぱい。:04/02/06 00:20
>>678
平然と嘘の報告書出して誤魔化そうとするようなところ信じろと?
責任者全とっかえしなきゃ、信じられないね。

682 :名無しさん@お腹いっぱい。:04/02/06 00:20
>679
「アクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して
接続された他の特定電子計算機に付加されている機能」
ちゃんと管理者が決めるって明記してあるねw

683 :名無しさん@お腹いっぱい。:04/02/06 00:21
なんかすっとループしてるな。

684 :名無しさん@お腹いっぱい。:04/02/06 00:21
>>674
なるほど、結構難しいところありますなー
もちろん前者のことを言ってるわけですよね。

ただ結局クッキーや引数は第二条第二項に定める識別符号に当たらないと思う。

685 :名無しさん@お腹いっぱい。:04/02/06 00:22
これだけでも黒なので、河合一穂くんには迷い無く逝ってもらいたいと思います

http://www.npa.go.jp/hightech/arrest_repo/kenkyo_2000.htm

(2)有料掲示板「2ショットチャット」の認証機能が甘いことに乗じ、自作
CGIプログラムを使用してセキュリティホールを突き、パスワードを入力
することなく不正アクセスした。また、不特定多数の者が当該掲示板にアク
セスできるようなリンクを自分の管理するホームページ上に作成した。
(平成12年6月検挙。北海道、富山)

686 :テンプレの人(1):04/02/06 00:22
>>680
DMCAなんかは完全にそのノリですよね。「作ってる側がプロテクトだって
言えばどれだけ技術的瑕疵があろうとプロテクトなんだよ!」みたいな。

687 :名無しさん@お腹いっぱい。:04/02/06 00:23
ファイルシステムはそもそもファイル名によってアクセスを制御する機構以外の何物でもないからな。
「知られてはならないファイル名」を使用してアクセスされれば、
ファイル名は特に、ディレクトリリスティングが出来ない場合には識別符号以外の何物でもない。


688 :名無しさん@お腹いっぱい。:04/02/06 00:24
アクセス制御とは何かという具体例がないし、利用者が知るすべも無い。

程度の問題は今後の課題なのかな?

689 :名無しさん@お腹いっぱい。:04/02/06 00:25
>>678
なるほどね。警視庁はそういう論法で来るのかね。勉強になった。
最初、何言ってんだ?と思ったが。
だけど、俺は >>670 の意見の方に賛成。

690 :名無しさん@お腹いっぱい。:04/02/06 00:25
この板の某スレでやっていることがきわどくなってくるな。

691 :670:04/02/06 00:26
>>678
言ってることが二転三転しすぎ。

ACCSの復旧能力と個人情報の流出とは無関係
さっさと改良済みcgiを導入すれば即日復旧できてますって。

692 :名無しさん@お腹いっぱい。:04/02/06 00:27
>686
当たり前じゃん権利者なんだから。
「誰の攻撃にも耐えるようにする義務」なんてあるわけねぇだろ。

じゃあおまえを夜道金属バットとかクロスボウで襲ってやるから、
完全防備しとけよ?
完全防備もしないで警察の保護なんか受けるなよ?
なにしろ法律の保護云々以前に自衛の義務があるんだろ?
ちゃんと実践してくれや。




といわれたらどうするつもりだ?

693 :名無しさん@お腹いっぱい。:04/02/06 00:28
>>691

お前さー、ACCSに個人情報出すってのが、ちくり行為であって、んないきなり
復旧しましたですませられる問題だと思ってるわけ?河合一穂ですら謝りに
行ったんだがな。

694 :名無しさん@お腹いっぱい。:04/02/06 00:29
>>687
↓を100回読んで逝ってくれ。

2  この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係る
アクセス管理者の許諾を得た者(以下「利用権者」という。)及び当該アクセス管理者(以下この項において
「利用権者等」という。)に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別
することができるように付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する符号
とその他の符号を組み合わせたものをいう。

695 :名無しさん@お腹いっぱい。:04/02/06 00:30
>>692
「完全防備が可能」と言ってしまった危ない人が書いた記事
https://www.netsecurity.ne.jp/article/1/12226.html

696 :670:04/02/06 00:30
だれか>>693の解読よろ

697 :名無しさん@お腹いっぱい。:04/02/06 00:31
>>692
そういう喩えは今回のように目に見えないものが対象だとちょっと説得力が無い。
金属バットとかクロスボウに相当するこういって何ですか?
完全って誰がどういう基準で判断するんですか?

って話になってしまわないかなぁ

698 :名無しさん@お腹いっぱい。:04/02/06 00:31
>>685
>また、不特定多数の者が当該掲示板にアク
>セスできるようなリンクを自分の管理するホームページ上に作成した。

これが問題になる以上、河合一穂の不正アクセス禁止法違反は確実と思われ

699 :名無しさん@お腹いっぱい。:04/02/06 00:32
当該利用権者等を他の利用権者等と区別して識別することができるように付される符号
ってこの場合、何?

700 :名無しさん@お腹いっぱい。:04/02/06 00:33
(´ー`)y-~~
どうでもいいよ

701 :名無しさん@お腹いっぱい。:04/02/06 00:34
>>685
>>698
それはアクセス制御機能がある場合の話

702 :名無しさん@お腹いっぱい。:04/02/06 00:35
腐った錠前はアクセス制御といえるのか

703 :名無しさん@お腹いっぱい。:04/02/06 00:38
>694
おまえ日本語が読めないのか?
管理者により与えられる、ファイル名により特定利用の利用権者を識別するアクセス制御機構を法律が禁じているとでも言いたいのか?
何法の何条何項だ。言ってみろ。

当然このファイル名は「一 当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号」
に該当する。


704 :テンプレの人(1):04/02/06 00:38
>>699
>>674

705 :名無しさん@お腹いっぱい。:04/02/06 00:40
>>701

解釈上、CGIにアクセス制御機構が全く存在しない場合でも、元々誰かを
中に入れて何かをさせるという作業が予定されていない以上、誰も入れない
完全な認証ゲートがあるものとして扱うことは可能だと思いますよ

706 :名無しさん@お腹いっぱい。:04/02/06 00:40
>702
頭の悪い奴に人権があるといえるのか?


707 :名無しさん@お腹いっぱい。:04/02/06 00:41
>>706
いえるね

708 :701:04/02/06 00:42
なるほど。。
しかしwebサーバ上にcgiを設置した時点で
「予定」されていることにはならないかな…

709 :名無しさん@お腹いっぱい。:04/02/06 00:42
頭の悪いヤシにまで人権を認めているから(ry

710 :河合 一穂:04/02/06 00:42
>>702
ある

711 :名無しさん@お腹いっぱい。:04/02/06 00:43
>>703
ファイル名のどこが「特定利用の利用権者を識別する」なんだよ。
そんなんで引っ張れるならhttp://pc.2ch.net/test/read.cgi/sec/1075518329/l50
が14まで続いてるわけねーだろ、ヴォケ。

712 :名無しさん@お腹いっぱい。:04/02/06 00:43
>707
ならば錠前が腐っていようがアクセス制御機構だ。
腐っていたら権利が剥奪されるなどという根拠はない。

713 :名無しさん@お腹いっぱい。:04/02/06 00:44
>>703
それは無理っぽい
当該利用権者は管理者からファイル名を知らされてアクセスする訳じゃないから

714 :名無しさん@お腹いっぱい。:04/02/06 00:44
>>709
どこかの原理主(ry

715 :名無しさん@お腹いっぱい。:04/02/06 00:45
>>706 >>707
お前らにも人権が無いって事だな

716 :テンプレの人(1):04/02/06 00:46
錠前が腐ってても、「ここに錠前があるぞ」というディスプレイ機能が
あって、それを錠前破りが認知してさえいれば、どうやらこの法律では
不正アクセスが成立してしまうみたいですね。

「錠前が全然錠前の形に見えなかったし、ドアを引っ張った拍子に
外れちゃったからうっかり入っちゃったよ」とかいう強弁が
できるケースもあるかもしれないんだけど、この事件ではoffice氏は
AD2003の席上ではっきり「ほーら錠前ボロボロ」てやってしまった
わけで、「錠前破りの意図」の件については逃げ場なしかなぁと。

717 :名無しさん@お腹いっぱい。:04/02/06 00:46
>>712
腐ってても権利が剥奪されないという根拠もないな

718 :名無しさん@お腹いっぱい。:04/02/06 00:47
>711
じゃあ改めて聞くが、パスワードで利用権者を識別するってのは何をやってるんだ?
パスワードってのはどっかの協会なりで洗礼を受けた特別な言葉で、聖なる力があるから
識別して守ってくれるとでも言いたいのか?

否、断じて否だ。
パスワードが利用権者を識別しうるのは、それが利用権者のみの記憶の中にあり、
それ以外のどこにも存在しない情報だからだ。

当然ながら、利用権者のみの記憶の中にあり、
それ以外のどこにも存在しない情報であるところのファイル名があるならば、
それはアクセス制御を行う識別符号に他ならない。


719 :名無しさん@お腹いっぱい。:04/02/06 00:47
>>708
「予定」されてることになって欲しい
それくらいの覚悟をして欲しいよね、管理者には

720 :名無しさん@お腹いっぱい。:04/02/06 00:47
>>716
故意かどうかが問題になるのは、
不正アクセスが確認された後のことです

721 :名無しさん@お腹いっぱい。:04/02/06 00:48
>717
じゃあバカから人権を剥奪してはいけない根拠もないって事でOK?


722 :名無しさん@お腹いっぱい。:04/02/06 00:48
>>716
それは同意

723 :701:04/02/06 00:49
>>719
著作権法の判断では「予定」されてることになってるみたいだよ

724 :名無しさん@お腹いっぱい。:04/02/06 00:51
>>721
無いね。あんたの論旨と同じくらい。

725 :名無しさん@お腹いっぱい。:04/02/06 00:51
この手の問題は本人の意志の問題になっちゃうわけっすか?
本人が「人んちとは知らずに入っちゃったら」無罪、とか。

726 :名無しさん@お腹いっぱい。:04/02/06 00:52
たとえ話は不毛

727 :名無しさん@お腹いっぱい。:04/02/06 00:52
少なくともわかってて入ってるだろ、オヒスは

728 :701:04/02/06 00:53
あぁ著作権法じゃなかったかも。
要はサーバ上に置かれた時点で公開されたものと見なす、と。

729 :名無しさん@お腹いっぱい。:04/02/06 00:55
>>680
ディレクトリ丸見えでも管理者が「アクセス制御だ」と言い切れば
そこにWindowsXPやPhotoshopが置いてあってもお咎めなしか

730 :テンプレの人(1):04/02/06 00:56
>>718
この事件で問題になってるのはユーザー非依存の単一のcsvファイルなんじゃ
ないすかね?

テンポラリファイルみたいな形でユーザーの同一性チェックするケースでは
ご指摘通り識別符号に相当すると思います。

731 :名無しさん@お腹いっぱい。:04/02/06 00:57
丸見えってことはアクセス制御してないってことじゃんw

732 :名無しさん@お腹いっぱい。:04/02/06 00:59
>>729
そうみたいだね。警視庁によれば。

733 :名無しさん@お腹いっぱい。:04/02/06 01:01
>725
人の家とは知らなかったとか言い張っても不法侵入は免れませんが何か?


734 :名無しさん@お腹いっぱい。:04/02/06 01:02
>731
「制御がどんなときでもうまくいくかどうか」

「制御が存在するかどうか」
は何の関係がありません。
法律で問題になるのは「制御が存在するかどうか」です。
「制御がどんなときでもうまくいくかどうか」はあなたの脳内でだけ問題になっています。


735 :名無しさん@お腹いっぱい。:04/02/06 01:03
パーミッション設定してなかったん?600にするとか。
そんな低次元な話じゃないのか

736 :名無しさん@お腹いっぱい。:04/02/06 01:04
>729
ディレクトリ丸見えならばファイル名は識別符号になりません。
当然ながら今回の事件はディレクトリリスティングが出来たわけではない。


737 :731:04/02/06 01:05
>>734
ありり、>>729が言ってるのはそういうことじゃなかったん?

738 :テンプレの人(1):04/02/06 01:05
>>731,>>734
あれですよね、http://hoge.net/index.htmlから
http://hoge.net/cgi/uploader.cgiへのリンクがあって
ここでURI削ってhttp://hoge.net/cgi/にすると
うぷろだのファイルが丸見え、みたいなケースでも
この不正アクセス禁止法だと「制御あり」に相当
しちゃいそうな気配ですね。

739 :名無しさん@お腹いっぱい。:04/02/06 01:07
>>716
昨日も書いた気がするが、恐らく警察はこう考えているのだろう。

HTTPサーバーは識別符号でアクセス制御されている。
ドキュメントルート以外に置かれたファイルは管理者から識別符号を与えられた
者だけがアクセスできる。
河合はCGIに不正指令を送る事でアクセス制御を回避しドキュメントルート以外に
あるファイルを不正に取得した。

740 :名無しさん@お腹いっぱい。:04/02/06 01:09
直リンは制限を回避する行為に相当したりしてw

741 :名無しさん@お腹いっぱい。:04/02/06 01:10
>>717
警視庁ですらしそうにない解釈に何ら意味を感じない。


742 :名無しさん@お腹いっぱい。:04/02/06 01:12
2chでSETTING.TXTを見るのも違法

743 :テンプレの人(1):04/02/06 01:15
この場合、当該cgiで提供しているサービスにはセッション期間を超える
同一性認証の機構はなく、その意味では「識別符号」に相当するのは
SSL認証鍵以外には存在しないのではないかと。

不正アクセス禁止法 3-2-2では識別符号なしの不正アクセスを定義して
ますし、検察が攻めてくるのはこちらのルートでは。

744 :名無しさん@お腹いっぱい。:04/02/06 01:16
>>741
弁護側ですらしそうにない解釈に何ら意味を感じない。

745 :名無しさん@お腹いっぱい。:04/02/06 01:17
>>738

ルートディレクトリ以外には上位ディレクトリが存在するという構造は
常識とされて制御ありとはならないのでは?
>>685のように単にリンクたどらせる行為が不正アクセスを行わせる行為
である以上単に削る以外の推論による文字列付け足しは問題にされると
思うけど。

746 :名無しさん@お腹いっぱい。:04/02/06 01:26
ソースが表示されるような欠陥をついたことは不正アクセスではないという苦しい主張が
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=9096&forum=14&4


747 :テンプレの人(1):04/02/06 01:28
>>745
なるほど。じゃ
http://hoge.net/cgi/check.cgi?uid=123
とかってURIのuidの部分を変更するのは微妙、ぐらいの
線引きになってくるのかな。

748 :名無しさん@お腹いっぱい。:04/02/06 01:28
>>745
推論とは言っても、簡単に推測できるものではアクセス制御になるかな。
index.htmlを公開してるけどindex2.htmlは公開してない、といってるのと
大きく違いはないような気がする。

749 :名無しさん@お腹いっぱい。:04/02/06 01:31
世界中からアクセス

750 :名無しさん@お腹いっぱい。:04/02/06 01:31
>>746
どこがどう苦しいのか…

751 :名無しさん@お腹いっぱい。:04/02/06 01:32
>>750
警視庁に逆らうな

752 ::04/02/06 01:32
私見もいいとこですが、結局、河合氏は、ネット社会を自らの管理下に
置こうとする勢力(行政?)の思惑にはまったのかなと思う。
ネットっていうのは正に草の根から起こったインフラで、ネット社会に
おけるルールも利用者間の同意に基づいて成立してきましたよね。
そういう経緯だから、HP上の不備なんかも、HP管理者同士や利用者が
「お宅のHP、こんなバグありますよ」などと指摘しあって互いにセキュリティ
の向上を図るというようなほのぼのとした社会だったんじゃないでしょうか。
もちろん、そこには悪意を持った人間、人をあっと言わせたいだけの人間も
いたんだけど、そういう人間も含めてネット社会が成り立っていたんだと思う。
正に、大いなるアマチュアの社会だったわけですね。
しかし、ネットが限られた人々の社会であった時代は終わりました。
今は、現実社会がネットを重視し、ネットを活用し、ネット無しでは成り立たなく
なりつつあります。こうなると、悪意を持った人間による被害も洒落にならなくなって来る。


753 ::04/02/06 01:33
要するに、国家権力の出番ですな。「どれどれ、ネット社会は今までお前ら
の自治にまかしておったけど、ここまで社会的な影響が大きくなるとそういう
わけにはいかんなあ。今まで君らはよくやってくれた。これからはわしらに
まかしとけ。」ってな感じじゃないですか?
で、善なるアマチュアは自称「保安官」の立場を追われ、中央政府派遣の
役人がでーんと居座り、ついでに甘い汁にも預かると、、。
河合氏は、後からのこのこ乗り込んできた偉そうな連中のHP(官邸とか、
今回のACCSとか)が、とんでもないおまぬけなHPであることを指摘しては、
かえって煙たがられていた。
しかし、河合氏の指摘が的を射ていて、しかも、不正アクセスしたとも
言い切れなさそうだし、その目的も善意としか言いようがないし、言い返す言葉が
なかったんじゃないでしょうか。


754 ::04/02/06 01:34
が、河合氏は重大なミスを犯しました。くだんのHPから得た個人情報を
第3者に公開してしまったのです。こうなれば、話は別です。
「河合氏は個人情報を第3者に公開!」
「HPに不正アクセス」
「侵入手法も自身のHPで公開」
などと、当初から悪意を持っていたがごとくねじまげて報道し、
氏を抹殺にかかったのでしょう。

かくして、「やっぱ、ネット社会の管理って必要でしょ。管理のプロたる行政
や警察にまかせなさいよ。」ってなことになるわけです。で、なんたらいう国際条約の
批准に向けた道筋をつけると。

まったく、スケープゴートもええとこですわ。NHKが連日報じているのも、
世間にネット管理の必要性を植え付けるための工作かと思っちゃうねえ。
しかも、京大研究員、文化庁長官(だっけ)の甥で、河合一族の一員と世間
の耳目を集めるゴシップには事欠かないし。そのうち、ワイドショーが面白
おかしく、彼の生い立ちとかについて報じるんやろか。 やっぱ腹立ってきた。


755 :名無しさん@お腹いっぱい。:04/02/06 01:34
なげぇ

756 ::04/02/06 01:35
河合氏の罪状については、嫌疑不十分とか証拠不十分とかで片づくと思う
(思いたい)ので、それほど心配はないと思うんだけど、おそらく、河合氏が
守ろうとした、偉大なるアマチュアによるネット社会の自治制度はどんどん
浸食されていくでしょう。
そして、警察などの目的はそれで十分に達せられるのだと思います。
元々の目的はネット社会を掌中に入れることであり、河合氏を罰することで
はなかったのですから。


757 :名無しさん@お腹いっぱい。:04/02/06 01:36
そんな長いレスを読む人なんて1/10もいませんよ。

758 :名無しさん@お腹いっぱい。:04/02/06 01:37
最初の2行と最後の3行くらいで十分。

759 ::04/02/06 01:38
確かに長すぎ。すんませんでした。 でも、言いたかったので、、。
最後に、、
自称ハッカー連中ども。お前らのちょっとしたいたずらが河合氏を
逮捕させたんやぞ。お前らのいたずらがネット社会の自治を奪うんやぞ。
わかってんのか!
(俺の想像、間違ってるかなあ。でも、これが、一番ましな想像なんだよな。)

河合氏、無念やろうなあ。でも、この流れ、止められないよなあ。悔しすぎるけど。


760 :名無しさん@お腹いっぱい。:04/02/06 01:39
そんなおおげさな話じゃないよ

Officeは世の中を知らないお坊ちゃんだったからやんちゃやって捕まった

だけの事

761 :名無しさん@お腹いっぱい。:04/02/06 01:40
いや、その、なんだ。
まっとう(というか旧態依然)な左翼の論理からすると、
明らかに利敵行為だよな。弁護に値しない。

762 :名無しさん@お腹いっぱい。:04/02/06 01:40
>>756
ほぼ同感。たぶん警視庁側は有罪に持ち込むことより、
とにかく騒ぎを大きくして脅しにかけたいだけなような気がする。

763 :名無しさん@お腹いっぱい。:04/02/06 01:40
>>753
> その目的も善意としか言いようがないし
厨房相手の有料のオフ会で公開してるんだから、河合の目的は売名もしくは金だよ。

764 :テンプレの人(1):04/02/06 01:42
>>759
どうも流れを整理してきた身からすると、当のoffice氏本人が
「ちょっとしたいたずら」に関わっちゃってる印象がありまして…
現時点の集約です↓。ご参考までに。

http://www.geocities.jp/officeandaccs/index.html

765 :名無しさん@お腹いっぱい。:04/02/06 01:42
          /::::::::::::::::::::::::::::::::::::::ヽ
        /´:::::::::::::::::::::::::::::::::::::::::::::::::`ヽ
      /::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::\
       (::::::::::::::::::::::::::::::::::::::ヽ:::::::::::::::::::::::::::::::)
      (::::::::::;;:/:::::::::::::::::::::::::::::::::人:::::::::::::::::::::)
      (::::::::::;::;/人ノヽノヽノヽノ  \:::::::::::::::)
     (:::::::::;::;;/ノヽノヽ         ヽ::::::::::)
     |::::::;;:/,               .|:::::::::|
     |::::::::|:::******@@ヽ  /'****** j:::::::::)
     |::::::|  -=・=-  i ^+  -=・=- j:::::::::)
 ..   (::::::|..   ~~~ . ノ   ヽ  ~~~~  ::::|
   .. (/::|..       /    ヽ      :::::|
  ...  (|         (.o⌒o .)       .|ノ       不正アクセスの詩
      \       :::::::::::::U::::::::::::::     /
       |\    :::::;m┬┬┬m-  ;::::/| この道を行けばどうなるものか  
       |.. \.    .~└┴┘~   / .| 危ぶむなかれ危ぶめば道はなし
          ヽ          /  | 踏み出せばその一足が道となり
                          その一足が道となる
                          迷わずにゆけよ ゆけばわかるさ!

766 :名無しさん@お腹いっぱい。:04/02/06 01:42
>>763
ACCSに通報したところは善意だけどな。

767 :名無しさん@お腹いっぱい。:04/02/06 01:45
>>764
EUC_JPをShift_JISと嘘つかれると読めないんだってば。

768 :テンプレの人(1):04/02/06 01:47
>>767
直しました〜

769 :名無しさん@お腹いっぱい。:04/02/06 01:48
不正アクセスっても、F5を2-3回押しただけでデータファイルが消去される場合もあるだろう。ロック処理がしょぼければ。
それでも不正アクセスになるんだろうか。

770 :名無しさん@お腹いっぱい。:04/02/06 01:49
(アクセス制御機構なんて無かったというでたらめに対するテンプレ)
URIの一部をファイル名に変えるだけで侵入できた、
だからアクセス制御機構など無いと言い張る輩がいますが、
それは偽情報に騙されていますね。
件のアクセス制御機構回避事件に関しては、
(1)CGIの引数に対する適切な処理が行われていないケースがあるかどうかをかなり執拗に
探索する。
(2)不適切な処理の内容からCGIの引数をどのように与えればCGIのソースを見る事が出来るか
を試行錯誤して導き出す。
(3)得られたCGIのソースに書いてあるファイルオープンの箇所等を見て、
通常は絶対に知られる事のないサーバーに置いてあるファイル名が何であるかに関する
情報を得る。
(4)(1)と同じ手法に、(3)で得られた情報を組み合わせてCGIの引数を考え出し、それを
GETパラメーターとして与えて情報を盗み出す。

このようなプロセスが必要になります。
「誰にでもみれる状態だったし、違法などではない」という主張が明らかに嘘、だましである事が
わかるでしょう。

もし、「誰にでもみれる状態だったし、違法などではない」というのなら、
今でも同じバグが改善されていないスクリプトを使っているサイトがある事は周知の事実ですので、
あなたがそこのサイトからファイルを取ってきて下さい。
あなたの説によればそれは誰にでも出来て、違法ではないのですからすぐに出来ますよね?
その主張の正しさを証明するため是非ともお願いします。

771 :名無しさん@お腹いっぱい。:04/02/06 01:51
>756
ログのこりまくりで「証拠不十分」なわけねーだろwwwwwww

772 :名無しさん@お腹いっぱい。:04/02/06 01:53
>>770
>>747については?

773 :名無しさん@お腹いっぱい。:04/02/06 01:53
>>770
1の部分、詳説してもらっていいかな?

774 :名無しさん@お腹いっぱい。:04/02/06 01:55
ログって言ってもただのテキストファイルだからね。それ自体の正当性はどうやって確立するんだろうか。

775 :名無しさん@お腹いっぱい。:04/02/06 01:55
>>770
かなり執拗とか、通常は絶対に知られることのない、など極めて主観的な表現が多すぎる。

776 :名無しさん@お腹いっぱい。:04/02/06 01:56
>>770
アクセス制御機構なんてなかった派です

その程度のことでアクセス制御と言われてしまうと困るのです
そんな判例が出てしまうと困るのです
そこら辺が心配なのです
ただそれだけです

777 :名無しさん@お腹いっぱい。:04/02/06 01:57
>>774
Officeのプロバイダのログと照合するんだろうな。

778 :名無しさん@お腹いっぱい。:04/02/06 01:58
プロバイダのログって言ってもただのテキストファイルじゃん。
別にPGPとか、ああいう特別な仕組みがあるわけでもなし。

779 :名無しさん@お腹いっぱい。:04/02/06 01:59
office   「やらないか」
留置所仲間「ウホッ!いいハッカー」

780 :名無しさん@お腹いっぱい。:04/02/06 02:00
ISPはアクセスログを残してるだけで、
書込みログやダウンロードの詳細は残していないよ。

781 :名無しさん@お腹いっぱい。:04/02/06 02:00
そもそもアクセスログなんて、せいぜい2-3ヶ月程度しか保存されてないだろう。
場合によっては、急にディスクが埋まってサーバダウン。仕方ない、アクセスログ全部消去しちゃうか。
とかって、よくあると思うんだけど。

782 :テンプレの人(1):04/02/06 02:01
>>774
FBIのカーニボーの持つスニッフィング機構は、パケ抜けによる
データログの歪曲が発生しないように設計されているようです。

言い換えると、他のスニッファーを使っていた場合、たとえテロに
関係するようなメールのやりとりがスニッフィングで見つかっても
「ぐーぜん」パケットが破損なり不達になったりして「ぐーぜん」
テロとの関係を示唆するようなメッセージが構成されたんだと
弁護側が強弁することが理論的に可能だということ、らしい、です。

>>770
一部テンプレに反映させてもらってよいですか?

783 :名無しさん@お腹いっぱい。:04/02/06 02:02
>772
for($i=0;$i<=9999;$i++){
$uri='http://hoge.net/cgi/check.cgi?'.sprintf("%04d");
httpget($uri);
}
とかしたら?

784 :名無しさん@お腹いっぱい。:04/02/06 02:03
あとこのセキュリティホールだけど、POSTメソッドでデータファイルの読み込みを誘った場合、
アクセスログにはそれが正当なアクセスなのか、データファイルの読み込みを目的としたアクセスなのか、判別できないと思うんだけど。

785 :773:04/02/06 02:03
>>770
返事がないから書いちゃうけど、
アクセス制御機能があったことを何一つ証明できてないですよ。

786 :名無しさん@お腹いっぱい。:04/02/06 02:03
>>783
hoge.net は実在するからまずいよ

787 :770:04/02/06 02:04
>782
適当にドゾー

788 :770:04/02/06 02:04
>786
実在したのかw
見た人はやらないようにww

789 :名無しさん@お腹いっぱい。:04/02/06 02:05
>>786
ワロタ。
荒らされても同情できない名前だな(w

790 :名無しさん@お腹いっぱい。:04/02/06 02:05
N+のスレ終わっちゃった。

こいつの行為が現行犯で取り締まれないなら、法律を改正すべき。

791 :名無しさん@お腹いっぱい。:04/02/06 02:05
2ちゃんの墓ーへ
http://xf.xtend.co.jp/xcgi/x.cgi?97534
↑このサイト破壊してください

792 :名無しさん@お腹いっぱい。:04/02/06 02:06
そういう時はexample.comを使うんじゃなかったかな。RFCかなんかで推奨されていたと思う。

793 :770:04/02/06 02:06
>785
じゃあアンタが今すぐ同じスクリプトからデータ取ってきてよ。
アクセス制御機構もないし、誰にでもわかるんでしょ?
当然出来るよね。
証明してもらおうか。

794 :名無しさん@お腹いっぱい。:04/02/06 02:06
>>786
マジ?今実行しちゃったよ!
ガクガクブルブル

795 :770:04/02/06 02:07
>794
っつーかsprintfに$i入れ忘れたから動かんよ…

796 :名無しさん@お腹いっぱい。:04/02/06 02:08
>>778
違うだろ。全く意思の疎通がない2人(ISPとACCS)が同じ記録を残してたら信用できるってこと。
アクセスの時間とかが一致してれば信用できると判断してもいいだろう。
他のどこかにも記録が残ってるかもしれんが、それは知らない。

797 :名無しさん@お腹いっぱい。:04/02/06 02:08
次ぎスレ立ちました。


【ネット】"2ちゃんねるに流出" ACCSサイトへ不正アクセス、京都大研究員逮捕★3
http://news5.2ch.net/test/read.cgi/newsplus/1076000765/l20

798 :773:04/02/06 02:09
何が問題になってるか分かってないようだけど
手間暇がかかるか否か、誰にでもできるか否かってことじゃないのね。
http://www.ipa.go.jp/security/ciadr/law199908.html
これの第二条に該当する機構があったかどうかなのよ

799 :名無しさん@お腹いっぱい。:04/02/06 02:09
770はまだ不完全です

「F社サーバユーザなら使えるCGIであった」

これをベースに、セキュリティが甘いことを知った者(ユーザ)が
どこかに書いた情報を元に彼が実行した場合は、
執拗に悪意を持ってCGIを利用してデータをとったには当たりません

これこそ善意の検証ではないかと思われます
警鐘を鳴らしたかった・・・という彼の言葉に繋がる

ただ、やり方がまずかった

800 :名無しさん@お腹いっぱい。:04/02/06 02:10
>>793
アクセス制御があったかなかったかはこれから判断されるでしょう

ちなみにアクセス制御があったと判断されると、あなたも不正アクセスを助長したとしてタイーホってことになりませんか?

801 :名無しさん@お腹いっぱい。:04/02/06 02:10
>>793
なんでそんな子供じみた反論するんだ?

802 :名無しさん@お腹いっぱい。:04/02/06 02:12
今のISPって、単なる接続開始・終了のログだけじゃなくって、どこに接続したか?その接続先に対してどんなHTTP命令をしたか?までロギングしてるの?
そんなプロバイダはないだろ。

803 :773:04/02/06 02:12
>>770の主張を分かりやすく言うと、
入りやすい→入ってよい(合法)
入りにくい→入ってはいけない(違法)
ってことになってるのよ

804 :名無しさん@お腹いっぱい。:04/02/06 02:14
警察もこんなことしてるヒマがあるなら、ヤフオクでコピーCD売ってるやつとか取り締まればいいと思うんだけどね。

805 :名無しさん@お腹いっぱい。:04/02/06 02:15
そふとはうす やっつけてほすぃですね

806 :名無しさん@お腹いっぱい。:04/02/06 02:20
アクセス制御機構についてはこの辺が参考になる+1
ttp://slashdot.jp/comments.pl?sid=154873&cid=488552

807 ::04/02/06 02:21
>>804

まさにそこだと思う。違法コピー問題に関する団体とかはすでにあるでしょ。
ところが、ネット犯罪を取り締まる団体はこれから発展途上なんですよ。

だいぶ前の発言(別スレだったかも)に、
「このCGIならセキュリティ万全ですよ」って認証する制度作ればいいのにね。
ってあったけど、この団体をなんたら省所管で作れば、
ほーら、天下り先いっちょあがり!

(私の想像もだいぶバイアスかかってるなあ)


808 :名無しさん@お腹いっぱい。:04/02/06 02:26
           /::::::::::::::::::::::::::::::::::::::ヽ
         /´:::::::::::::::::::::::::::::::::::::::::::::::::`ヽ
       /::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::\
        (::::::::::::::::::::::::::::::::::::::ヽ:::::::::::::::::::::::::::::)
       (::::::::::;;:/:::::::::::::::::::::::::::::::::人:::::::::::::::::::)
       (::::::::::;::;/人ノヽノヽノヽノ  \:::::::::::::::)
      (:::::::::;::;;/ノヽノヽ         ヽ::::::::::)



          ,:-‐'" ̄"""・――-、.         _____
        /            ヽ \      |____  \□ □
       /,                 \           /  /
       /,                   |          /  /
       | :::******@@ヽ  /'******    )         /  /
       |  ;::''“”“~`  i ^+  .;''“”`,    )        /_/
 ..     |..   ~~~ . ノ   ヽ  ~~~~  ::::|       __
   ..  (/|        /    ヽ      :::::|       |  |
  ...   (|        (.o⌒o .)       .|ノ      |  |
       \      :::::/ /::/ /:::::::::     /       | .|
        |\   ::-/ /-/ /┬m-  ;::::/|       |_|
        |.. \  / / ./ /~┘    / .|

809 :名無しさん@お腹いっぱい。:04/02/06 02:27
>>802
ISPが提供するのは接続開始・終了時刻と割り当てたアドレスのログ
これとファースト鯖のhttpdのログ
それで十分立件できる

810 :773:04/02/06 02:27
>>806
#488552の前半はうなづけた。
ただ後半はちょっと勘違いしてる部分があるみたい。

http://user:pass@sample.com/
これが不正なのは他人の識別符号を用いたからであって、
任意のURL指定そのものとは関係ないんですよね。

811 :名無しさん@お腹いっぱい。:04/02/06 02:29
>「このCGIならセキュリティ万全ですよ」って認証する制度作ればいいのにね。

そんな制度あり得ないよ
どのCGIも認証できないか、大嘘の認証するかのどちらか

消防の丸適マークなんかも「火災に対して最低限の基準を満たしている」
という認証であって「決して火災が起きない」と言っている訳ではない
CGIというかセキュリティにおいて「万全」はあり得ない

812 :770:04/02/06 02:30
>803
当然ながらHTTPの定義からして、
集合S={アクセス元ホスト,URI,HTTPのレスポンス}とすると集合Sは識別符号になる。
なぜなら、
(1)集合Sによって利用権者と他の利用権者を区別する事が可能
(2)集合Sは管理者によって与えられる。なぜならHTTPのレスポンスは管理者の設置した
Webサーバーの動作により初めて与えられる。
(3)集合Sはいわゆるアクセスログと同等の情報で、当該アクセス管理者によってその内容をみだりに
第三者に知らせてはならないものとされている符号に相当する。
(4).htaccess等の設定情報は集合Sの部分集合を用いて定義され、利用権者とそうでない者を
識別する。

(1)〜(3)により、HTTP上に定義された集合Sは識別符号を構成し、
任意のHTTPサーバーはアクセス制御機構を有する事が示された。  

813 :名無しさん@お腹いっぱい。:04/02/06 02:31
>>791
金の亡者は芯でね(‘ー‘)/~~

814 :名無しさん@お腹いっぱい。:04/02/06 02:31
httpdのログにはPOSTメソッドの内容、どのようなquest_stringを送信したかまでは載ってないでしょう。
WEBサーバのアクセスログはただのテキストファイル。どうにでも改ざんできるし。

815 :名無しさん@お腹いっぱい。:04/02/06 02:32
>>811
不正アクセスの立件が可能である程度のアクセス制御が存在することを保証できると思われ。

816 :名無しさん@お腹いっぱい。:04/02/06 02:32
>>811
>消防の丸適マークなんかも「火災に対して最低限の基準を満たしている」
>という認証であって「決して火災が起きない」と言っている訳ではない

ファーストサーバーのCGIは最低限の基準すら満たしてないと思うがなあ
しかも、火災が起きる可能性を知りながらきちんとした対処してなかったわけだし

817 :名無しさん@お腹いっぱい。:04/02/06 02:34
訂正

>火災が起きる可能性

いつ火がついてもおかしくない状況

818 :名無しさん@お腹いっぱい。:04/02/06 02:35
このセキュリティホールって、office以前にもみつけてたやつ絶対いると思うな。

819 :名無しさん@お腹いっぱい。:04/02/06 02:35
>816
おまえレベルが火つけられるほどもろくは無いがなwww

820 :名無しさん@お腹いっぱい。:04/02/06 02:36
>>812
アクセス元ホストは利用権者を識別できないと思うのですが
IPアドレスがわかるだけでしょ

821 :名無しさん@お腹いっぱい。:04/02/06 02:36
Unixはアクセス制御していないとでも主張するのだろうか。
本来なら該当ユーザーしかアクセスできない領域にあったファイルを
CGIの欠陥を悪用してアクセスしているんだが。
擁護意見としてはスクリプトがパスワードで個人認証をかけていないから不正じゃないと
いうことのようだがお門違いも甚だしい。

822 :名無しさん@お腹いっぱい。:04/02/06 02:37
>>812
じゃあ、index.htmlをindex2.htmlに書き換えるのも駄目じゃん

823 :名無しさん@お腹いっぱい。:04/02/06 02:37
おお、スラドとここが一番まともな展開になってるな
ML系では最早、妄想全開脳内俺刑法が炸裂でマスコミ云々
ファサバ云々って感じだし

ここまできたら行為無価値と結果無価値の侃侃諤諤の議論キヴォンヌ
って関係ないか(藁

824 :773:04/02/06 02:37
>>812
そこまで書けるんならなぜ最初から書かないのか…
>>739で既出だが。。。

825 :名無しさん@お腹いっぱい。:04/02/06 02:39
>>821
だからCGIに欠陥はないんだってば

826 :773:04/02/06 02:40
そういう仕様だったんでしょ?って話です

827 :名無しさん@お腹いっぱい。:04/02/06 02:41
アクセス制御っていうのがどういう意味なのかあいまいだけど、問題のデータファイルはドキュメントルート(というかブラウザがHTTPで参照できる場所)にあったわけ?
それともWEBサーバじゃなければ、見れないところにあったわけ?

828 :名無しさん@お腹いっぱい。:04/02/06 02:41
?の左側いじって絶対に落とせないファイル→アクセス制御機構がある
その?の右側いじったら落とせちゃった→アクセス制御機構を回避した



829 :名無しさん@お腹いっぱい。:04/02/06 02:41
>>821
該当ユーザにCGI使用者は含まれるんじゃないの?
CGIがアクセスできるファイルならUnixのアクセス制御は無関係かと。

830 :名無しさん@お腹いっぱい。:04/02/06 02:41
>>821
パスワードの話なんてしてませんよ。

831 :名無しさん@お腹いっぱい。:04/02/06 02:41
>>822
だめだねぇ
>>739,812

832 :名無しさん@お腹いっぱい。:04/02/06 02:42
http://user:pass@sample.com/ これは識別符号使ってるから替えちゃダメ。
これはわかる
じゃあ http://sample.com/login.cgi?ID=user&Pass=pass は?
これも識別符号だからダメだよね?
だったら http://sample.com/login.cgi?user&pass は?
更に http://sample.com/login.cgi/user/pass は?
userとpassからセッションID作って http://sample.com/login.cgi/cafed32b0122f33adfc/ は?

833 :825:04/02/06 02:43
>>821
付け加えると、漏れは誰も擁護してないからね
漏れにはおまいがACCSやファースト鯖を擁護してるように思える

834 :773:04/02/06 02:45
つまり、そのcgiがファイルビューワにしか見えなかったわけ。
管理者が想定した場合でも、そうでない場合でも、
ファイルビューワとしての機能しか使ってないという。。
一般公開されているファイルビューワを使っただけで
どうして問題になるのかってことなのね。

835 :名無しさん@お腹いっぱい。:04/02/06 02:45
>>831
ファイル名は識別符号にはならないとかいう意見もあったが。

836 :名無しさん@お腹いっぱい。:04/02/06 02:45
>>825
サニタイズしていない引数をそのまま渡してopen()
を欠陥ではないと言い張れる度胸
コマンド試し放題が仕様ですなんて裁判では通用しない罠

837 :名無しさん@お腹いっぱい。:04/02/06 02:46
不正アクセス禁止法の悪い点は、不正アクセスを悪と規定することによって、
かえってHP管理者の怠慢をまねきかねないところだと思う。
「不正アクセスされることを前提として、顧客の個人情報の保護には念をいれる」というのが
本来のある姿だと思う。

管理者の想定外の操作をされた結果個人情報がもれた場合(今回の河合氏含む)などに、
HP管理者は、HP管理者としての責任を問われることなく、想定外の操作をした人物が
不正アクセス禁止法に違反したのだと、言い逃れをすることができる。


838 :名無しさん@お腹いっぱい。:04/02/06 02:47
?の左側いじって絶対に落とせないファイル→アクセス制御機構がある
その?の右側いじったら落とせちゃった→アクセス制御機構を回避した

839 :773:04/02/06 02:47
>>832
全部アウトでしょう

840 :名無しさん@お腹いっぱい。:04/02/06 02:48
>>776
>アクセス制御機構なんてなかった派です
>その程度のことでアクセス制御と言われてしまうと困るのです
>そんな判例が出てしまうと困るのです

なんで君が困るの???

841 :テンプレの人(1):04/02/06 02:48
>>836
cgiの欠陥の有無はこの場合問題じゃないと思うんですー

842 :名無しさん@お腹いっぱい。:04/02/06 02:51
ttp://slashdot.jp/comments.pl?sid=154873&cid=489563

ここに書かれてる
>csvmail.cgiのソースを見て、$home/cgi-data/csvmail.log を知ったということだったと思います。
って裏取れてるの?
というか正しい?
正しいとすれば普通にURLいじっただけでhttpdに返させる事のできる領域じゃなくて
CGIの脆弱性(ってか機能?)を使わないと読み出せないんだから
アクセス制御されていると言えるんじゃないかな?

http://sample.com/csvmail.cgi というのを http://sample.com/csvmail.log に書き換えたら
ファイル読めちゃいましたというのとはちょっと次元が違うと思う

843 :名無しさん@お腹いっぱい。:04/02/06 02:51
>837
傷害罪の悪い点は、傷害を悪と規定することによって、
かえって日本人の怠慢をまねきかねないところだと思う。
「障害を受けることを前提として、路上での自己武装には念をいれる」というのが
本来のあるべき姿だと思う。

日本人の想定外の被害を受けた結果、後遺症が残った場合などに、
日本人は、自己武装主義者としての責任を問われることなく、想定外の傷害行為をした人物が
刑法に違反したのだと、言い逃れをすることができる。


844 :名無しさん@お腹いっぱい。:04/02/06 02:52
>>840
あなたは困らないんですか?
こんなCGIがのさばる世界が容認されるんですよ?

845 :テンプレの人(1):04/02/06 02:52
>>837
DMCAも不正アク禁止法も基本的にはそういう発想ですよね。
たとえ実効性があろうがなかろうが、制御の意図を見せてた場合
それをすり抜けたらアウト。だから言い逃れとしては>>773さん
みたいに「え、あれファイルビューワcgiでしょ?」みたいに
制御(による締め出し)の意図を理解してなかったように装うのが
アリだと思うんですが、本件の場合AD2003の席上で「ホラホラ
入れちゃいました〜」やってるわけで、その言い逃れは無理
ですよね。

まとめはじめた最初は「こんなもん不正アクセス禁止法で
やられちゃったらたまらんよな」と思ってましたが、数時間
経った今「これは無罪になるのはかなり難しいんじゃないか?
つかこの法律やばくね?」と思い始めました。

846 :名無しさん@お腹いっぱい。:04/02/06 02:52
>>829
外部者はそのままでは個人情報データのあるファイルにアクセスできない。
CGIはユーザ権限で動作するのでそのユーザの領域にあるデータにアクセスできる。
欠陥のあったスクリプトは入力完了後のメッセージを表示させるためのもので
個人情報のファイルを表示させるために設けられていたのではない。
だがそれを本来の完了メッセージではなくスクリプトのソース、
個人情報持ってこさせたので十分立件、有罪に持ち込める。

847 :名無しさん@お腹いっぱい。:04/02/06 02:52
?の左側いじって絶対に落とせないファイル→アクセス制御機構がある
その?の右側いじったら落とせちゃった→アクセス制御機構を回避した

848 :773:04/02/06 02:53
>>842
office氏の説明もそんな感じだったと思う

849 :名無しさん@お腹いっぱい。:04/02/06 02:54
>>838
>>839

意見が違うようですね
争ってみてください(w

850 :名無しさん@お腹いっぱい。:04/02/06 02:54
>845
証拠がちゃんと残るから、無罪ならちゃんと無罪になる。
冤罪の可能性は少ない。


851 :名無しさん@お腹いっぱい。:04/02/06 02:54
そりゃ、道にツバ吐いたって、何かしらの罪になるだろうし。有罪といえば有罪だろうけど。って感じ。

852 :名無しさん@お腹いっぱい。:04/02/06 02:56
>>844

悪戯っ子に対する刑罰による抑止力も必要


853 :773:04/02/06 02:57
>>849
どう争えばいいのか…w

854 :名無しさん@お腹いっぱい。:04/02/06 02:58
アクセスログには
192.169.0.1 - - [7/Feb/2004:13:08:23 +0900] "POST /test.cgi"
みたいなのしか残ってないと思うんだけど、これでどうやってtest.cgiを正当に呼び出したのか?それとも不当に呼び出したのか?判別するわけ?

855 :名無しさん@お腹いっぱい。:04/02/06 02:59
>>845
だから無罪にしようとしているというのに

856 :名無しさん@お腹いっぱい。:04/02/06 02:59
>>846
それはあくまでもCGIのアクセス制御であってUnixのアクセス制御では無いでしょ?
Unixのアクセス制御を回避したとはとても思えないです。
CGIのアクセス制御だけが論点だと思います。

857 :名無しさん@お腹いっぱい。:04/02/06 02:59
?の左側いじって絶対に落とせないファイル→アクセス制御機構がある
 HTTPサーバーとUNIX等OSのファイルシステムを複合して
 おこなうアクセス制御機構。
その?の右側いじったら落とせちゃった→アクセス制御機構を回避した
 上に述べたアクセス制御機構を回避した。

858 :名無しさん@お腹いっぱい。:04/02/06 03:00
>>845
これまではそういう法律があっても互いに脆弱性を指摘しあってセキュリティを高めるという
慣習が尊重されてきた経緯がある。だが河合容疑者が度を過ぎた行為に走ったため
今後のことはわからない。
河合の問題行為を洗い出して基準を明確にすることで、出来れば今まで通りの運用を
求めたいのだが、全面無罪派か経産省とIPAで機関を設置しよう派しかいなくて嘆いている。

859 :名無しさん@お腹いっぱい。:04/02/06 03:00
>854
オヒスがPOSTメソッドなんか知ってるわけ無いだろw
やつはブラウザのあどれすらんいぢるのが精一杯w

860 :名無しさん@お腹いっぱい。:04/02/06 03:01
>>854
まともなCGIなら個別にログ吐くことも考えられるが
今回のCGIは期待できないか・・・

861 :名無しさん@お腹いっぱい。:04/02/06 03:03
>>853
たとえばさ、最後のセッションID使った
http://sample.com/login.cgi/cafed32b0122f33adfc/
なんてのはそもそも?が無い訳でこれをいじってファイルを落とせば>>838的には
「アクセス制御機構が無い」という事になる
あなた的には「これはアクセス制御機構だ」という意見ですよね?

このあたりで争ってみて欲しい

862 :名無しさん@お腹いっぱい。:04/02/06 03:03
>>856
CGIのアクセス制御って、例えば指定したファイル以外は開けないようにしていた
わけじゃないから制御ではないとでもいいたいの?
それを脆弱性というのであって

863 :838:04/02/06 03:06
>861
そりゃCGIで?じゃないとこでURI切ってるだけじゃないかw

864 :773:04/02/06 03:07
>>861
838さんは単にcgiの引数を?の右側から求めている場合を想定してるだけですよ、多分
?がないからといって制限機能がないと結論付けているようには見えないけど。。

865 :名無しさん@お腹いっぱい。:04/02/06 03:07
>>854
その後に通常送り出したデータのサイズが入る
CGIファイルのサイズはわかってる。
また、個別の正常な使用法に対して、全ログファイルのダウンロードは
明らかにデータサイズが大きいはず(ログに個別のデータが入ってるんだから)なので
サイズを見れば*怪しい*という事はわかる。はず

866 :名無しさん@お腹いっぱい。:04/02/06 03:08
欠陥があったのは,Webページに質問を記入して送信する質問フォーム
から呼び出されるメールフォームCGIプログラム。質問フォームで「送る」
ボタンを押すと,処理を実行するCGIプログラムが呼び出される。記入デ
ータに入力漏れなどがあった場合,CGIプログラムは,記入の不備を示
すメッセージが記述されたファイルを表示する。CGIプログラムは,セキ
ュリティ・ホールが存在していたため,このメッセージ・ファイルの代わり
に,個人情報を含んだログ・ファイルを指定して表示させることが可能に
なっていた。

 ファイルを表示させるには,該当ファイルのファイル名を,CGIプログラ
ムを呼び出す際のパラメータとして指定する必要がある。一般的なファ
イル名であったため,推測される可能性があった。また,同CGIは
「ASK ACCS」をホスティングしているサーバー業者が,契約ユーザー
向けに提供しているもので,同CGIを使用した経験があればファイル名
も知ることができた。

 サーバー業者によれば,今回問題となったCGIプログラムの問題は,
最新版では修正されている。また,問題がある古いバージョンのCGIプ
ログラムは,ASK ACCS以外には稼働していないという。ASK ACCSの
CGIプログラムが最新版に更新されていなかった原因については調査
中である。

867 :名無しさん@お腹いっぱい。:04/02/06 03:10
>>863
login.cgiとかいう名前だからその後に続く部分がCGIへのパラメータだなと
想像が付くけど、これが全く別の名前だったらどうよ?
たとえば http://sample.com/foo.dir/abcdefg というのがあった時abcdefgは
ファイル名?CGIへのパラメータ?
どっちも有り得るよね?

868 :テンプレの人(1):04/02/06 03:11
>>850
ほんにそうですねぇ。セキュリティ業界が行政に対して
一定の自律性を確保するのが理想だったのでしょうが…。
ここまでコミュニティの信頼関係がズタズタになって
しまうと…。

ところで! 明日から忙しくなっちゃうので
テンプレの人(2)を募集します。webもひきつぎます。
やってもいいよーって方はemail宛にメールおくって
ください。

869 :名無しさん@お腹いっぱい。:04/02/06 03:11
>>865
それは厳しいんじゃないかな?そもそも確認画面をだすための処理のセキュリティホールでしょ?
であれば、ユーザが書き込んだデータも確認画面で表示されるから、そのレスポンスのデータサイズは不定だよね。正当なアクセスの場合でも。


870 :名無しさん@お腹いっぱい。:04/02/06 03:12
>>861
そのまえにさ、index.htmlをindex2.htmlに書き換えるのは
アクセス制御機構を回避したかどうかを争ってほしいんだけど。

871 :名無しさん@お腹いっぱい。:04/02/06 03:12
ログについてはログフォーマット変えれば出力されるんじゃなかった?

>>862
そんなことは言ってない。
Unixのアクセス制御を回避したような書き方だったから、それは無いだろうと言いたかっただけ。

872 :名無しさん@お腹いっぱい。:04/02/06 03:13
>>867
わかりやすくいえば、2chのアドレスだね。

873 :名無しさん@お腹いっぱい。:04/02/06 03:13
>843

たとえ話に乗っちゃうと、話があらぬ方向に行きそうで嫌なんだけど、、。
基本的に傷害と不正アクセスは違う。

1 傷害罪は、その行為自体で被害が発生する(勘違いで殴っても怪我はする)が、
不正アクセスはかならずしも被害は発生しない(勘違いでアクセスしてあわてて退出する、なんてことあるよね)
2 HP管理者と顧客は別人。HP管理者の怠慢で彼自身が被害を被るのではない。
被害者は個人情報を引き出された顧客である。
顧客に安心してHPを利用してもらうのに努力することがHP管理者の仕事なのでは?

この例えに乗るなら、「ま、参加者にバットで殴りかかる奴がおっても、
傷害罪で捕まえられるから問題なし!」なんてうそぶくイベント会場の
警備担当者はおらんやろうけど、
「ま、不正アクセスするようなのは要するに悪人。禁止法違反で告発すれば
いいんだから、うちのHPのセキュリティ対策はこの程度でいいんじゃない?」
などとのたまうHP管理者なら、おるんじゃないの?

ってのが、837の言いたかったこと。

そういう怠慢って、ネット社会の発展を妨げるんじゃないの?
ってのが、おそらく河合氏のいいたかったことなんでないかなあ。

874 :名無しさん@お腹いっぱい。:04/02/06 03:13
人間の脳ってのは、
「同CGIを使用した経験があればファイル名
も知ることができた。」をみると、
ついつい
「同CGIを使用した経験があれば(だれでも)ファイル名
も知ることができた。」
と補完してしまいがちだが、それは意味が180度逆になるような誘導をうけているw

875 :名無しさん@お腹いっぱい。:04/02/06 03:14
>>869
だからあくまでも「怪しい」ものにアタリを付けるまでが限度だが、ユーザが極端に
巨大なデータを入力した場合以外は、データファイルのサイズは個別のデータ×1200ぐらいの
サイズがあるんだから、見分けは付くのでは?

876 :名無しさん@お腹いっぱい。:04/02/06 03:15
>>871
環境変数までロギングしているウェブサーバなんて、まずありえないよ。

877 :名無しさん@お腹いっぱい。:04/02/06 03:17
>>875
俺は裁判については知らないんだけど、その程度で「証明」っていえるのかな?

878 :名無しさん@お腹いっぱい。:04/02/06 03:17
>873
逆ですね。
自己武装みたいなものが必要とされている社会こそが非効率で
発展の望めない社会であって、安心して歩ける社会が効率の良い発展の望める社会。

まぁOfficeの望んだネット社会ってのはゴロ社会な訳だがw

879 :名無しさん@お腹いっぱい。:04/02/06 03:17
>>876
リファラーが残っていることはある

880 :名無しさん@お腹いっぱい。:04/02/06 03:18
リファラーは関係ないでしょ。出ないようにブラウザの設定しているユーザも多いし。

881 :名無しさん@お腹いっぱい。:04/02/06 03:19
同じ方法で違うサーバーから情報を引き出されたら困るので、これは犯罪と認定されなければ困る。

882 :名無しさん@お腹いっぱい。:04/02/06 03:19
多数のユ-ザ-から民事訴訟を受けるのがいやで、運用の失敗(プロとして
恥ずべき仕事)を、責任添加し、自分も被害者ですというふりをしたいA社。

883 :名無しさん@お腹いっぱい。:04/02/06 03:19
>873
すべての集会に警備員を大量導入しなければいけないような社会のどこがまともなのか。
いなくても参加者が安心できる治安の良い社会こそが発展した姿でしょう。



884 :テンプレの人(1):04/02/06 03:20
誰か引き継いでおくれよぅ…(´・ω・`)

885 :名無しさん@お腹いっぱい。:04/02/06 03:21
>>884
がんばれ。影で応援してる

886 :名無しさん@お腹いっぱい。:04/02/06 03:26
>878

もちろんそうですよ。だから、顧客が安心して歩けるように、
HP管理者は最大限努力する必要があるんじゃないですか?
HP管理者が武装強化するのは878氏のいう自己武装じゃないでしょ。
住民が安心して歩けるように行政側が夜道を明るくするとか交番を
設置するとかいう行為にあたると思うんだが。

HP管理者はプロフェッショナルたれってことですよ。少なくともaccsとか
カード会社とか銀行とかのHP管理者ならね。


887 :名無しさん@お腹いっぱい。:04/02/06 03:27
>>872
それそれ

たとえばこのスレは
http://pc.2ch.net/test/read.cgi/sec/1075861177/l50
こうなってるけど、
http://sample.com/login.cgi/cafed32b0122f33adfc/
というのと形式的に違いは無いよね?
上(2ch)はいじってもいいけど下(セッションID)はダメという事になると
形式でいじっても良い/悪いって決められないじゃん

888 :名無しさん@お腹いっぱい。:04/02/06 03:27
>>881
それはおかしい。同じ方法で抜かれないように対策しなければならない
対策しないなら抜かれるという状況に変わりはない

889 :773:04/02/06 03:30
>>887
あの…そろそろ私解放してもらっていいですか

890 :名無しさん@お腹いっぱい。:04/02/06 03:32
あーわかった

ようは、telnetdやsshdという「アクセス制御機能」で
id,pass,秘密鍵という「識別符号」を使って
shellを使ったり(そのうえでログを見たり)する「特定利用」をするわけだ
2-2と2-3

アクセス制御ってCGI上でのid,pass云々の話だとおもったよ

で、そういう方法でないと使えない「特定利用の制限」を
CGIのセキュリティ・ホールを突くような
「免れることができる情報(識別符号であるものを除く。)又は指令を入力」
することによりログファイルゲトで逮捕
3-2-2

あれ?
そしたらftpでパスIDで上げたファイルを
HTTPで見たらアウト?
いや、そのファイルを公開する意思はあったわけだし、わけわからんぞ

891 :名無しさん@お腹いっぱい。:04/02/06 03:32
>>883
状況を良く考えなければ。将来の理想ととりあえずの目標を混同してはいけない。
現在バグダッドにアメリカ人が丸腰で乗り込んでいって殺されたら、
それは不用意だったと責められる。
治安が回復するまでは、武装しないことこそ責められる。
ウォールストリートを歩くのとは違う。

892 :名無しさん@お腹いっぱい。:04/02/06 03:32
>>889
あ、いゃ逮捕拘禁するつもりは無いんで(w
お疲れ様でした

893 :名無しさん@お腹いっぱい。:04/02/06 03:35
>>887
>>812は2chのアドレスをいじるのも駄目だっていってるんだよ。
index.htmlをindex2.htmlに書き換えるのも駄目。

つまり、警察の恣意でどうにでもなると言ってるの。

894 :名無しさん@お腹いっぱい。:04/02/06 03:36
>>890
公開を目的としたファイルであれば「httpで読み出す」という「特定利用の制限」
範囲内での利用であって、その利用許可対象はhttpdへアクセスできる人全員
と考えられるので、パス付きでFTPでアップロードしたファイルだろうとWebで
アクセスするのは問題無いと思う

895 :773:04/02/06 03:37
>>892 おつかれさまでした。。。

896 :名無しさん@お腹いっぱい。:04/02/06 03:42
>>890
ftpのパスワードを破ったんなら不正アクセスだね。

897 :名無しさん@お腹いっぱい。:04/02/06 03:45
うちのサーバでは、非公開ディレクトリの下に会員情報を置いていますが、
公開していないものであり、アクセスすれば不正アクセスとなります。

  http://test.server/secret/memberlist.dat

なんていう、アホなサイトがあっても、不正アクセスになるわけないよね。

ところが、今回のOffice→ACCSの場合も構図は全く一緒。

  http://accs.server/disp.cgi?secret/memberlist.dat

公開していないものであり、アクセスすれば不正アクセスとなります。だそうだ。
ACCSの主張が通れば、前者のアホな主張も通ってしまう。冤罪いぱーい。

898 :名無しさん@お腹いっぱい。:04/02/06 03:47
>>883
>すべての集会に警備員を大量導入しなければいけないような社会のどこがまともなのか。
>いなくても参加者が安心できる治安の良い社会こそが発展した姿でしょう。

ヨセフアンドレオンの中川さんですか?

http://www.josephandleon.co.jp/seimei.html

899 :名無しさん@お腹いっぱい。:04/02/06 03:52
ftpの認証でhttpdで公開するディレクトリにファイルを上げた段階で
「識別符号(id,pass)であることを確認して、当該特定利用(ftpdでファイルをウプ)の制限の全部又は一部を解除する」
あれ、httpdで公開することの意味はどうなるんだ?
ウプすることそのものがhttpdでの公開させることになってるわけだから問題ないのかな?
あれ、さっきと疑問点が同じだ、同じところをぐるぐる回ってる気分だ(藁

900 :名無しさん@お腹いっぱい。:04/02/06 03:52
>>897
おまえチンコ持ってるだろ。マムコかもしれんが
おまえのパンツを無理矢理脱がせてチンコ見りゃ犯罪
逆にオマエが勝手にパンツ脱いでも、見た香具師は犯罪じゃない

同じオマエのチンコ見てもおまえが見せようと思ってたのか、隠そうと思ってたのを
無理矢理見たかで犯罪かどうかは変わって来るんだよ

901 :名無しさん@お腹いっぱい。:04/02/06 03:56
878=883=中川文人?

ACCSとかこういう怪しい連中に、営業禁止命令みたいのは出せないのかね

902 :名無しさん@お腹いっぱい。:04/02/06 03:57
>>897
頭悪いですね

903 :名無しさん@お腹いっぱい。:04/02/06 03:59
>>900
公開する意図があるかどうかなんて、どうやったらわかるんだよ。

904 :名無しさん@お腹いっぱい。:04/02/06 03:59
あ、httpdでダウソするんは
ftpdでウプ、ダウソ(特定利用)するのとは違うからいいのか

905 :名無しさん@お腹いっぱい。:04/02/06 03:59
>900

だよねー。行為は同じでもその意図するところで罪状は変わる。
だいたい、殺人罪と傷害致死罪の違いなんて、殺意があったかどうか
なんていう、あいまいな基準なんですよ。

そういう意味でも不正アクセス禁止法はやっぱザル法。
盗聴行為だって、その内容を他に漏らすかどうかが違法かそうでないかが
わかれるのに、なんだって電子情報だけ、アクセスするだけで違法なの?
整合性とれてないよねえ。


906 :名無しさん@お腹いっぱい。:04/02/06 04:02
>>905
ザルならいいんだけど、恣意的に運用されたら困る。

907 :名無しさん@お腹いっぱい。:04/02/06 04:06
で、サーバ運営者が、「公開していなかった」とさえ事後に主張すれば、

  http://test.server/secret/memberlist.dat

でも、

  http://accs.server/disp.cgi?secret/memberlist.dat

でも、これらをアクセスしたひとは、犯罪者として逮捕ですか?

908 :名無しさん@お腹いっぱい。:04/02/06 04:07
>>903
チンコ丸出しで「隠そうと思ってたんだ」と言っても通らないだろ?
だけど、いくら容易に脱がせる事ができるからと言ってもパンツ履いてりゃ
隠そうと思っていたとみなせるだろう

おおっぴらにURLまで書いて「これは見ちゃいけません」というのは全然隠してない
CGIのセキュリティホール突いてファイル名を調べて、CGIのセキュリティホールを
突いてそのファイルをダウンロードするのと全く違う

相手のスキルレベルによって「容易さ」は変わってくるのだから
「容易だから公開してるのと一緒」ではない

909 :名無しさん@お腹いっぱい。:04/02/06 04:08
>>907
>>812をよく読めば、cgiなんか関係なく、
管理者が公開を意図しないurlにアクセスしただけで不正アクセス。

910 :名無しさん@お腹いっぱい。:04/02/06 04:11
>>908
CGIのセキュリティーホールとCGIの仕様を管理者以外が区別するにはどうすればいいんだよ。
index.htmlだけをどこかに書いておいて、index2.htmlを管理者だけの秘密にしていた場合は、
index2.htmlにアクセスしたら違法か?

911 :名無しさん@お腹いっぱい。:04/02/06 04:14
>>909
んでは、以下の/secret/以下を、管理者が公開を意図しない、としていれば、

  http://test.server/secret/memberlist.dat

URLさえ入れればノーパスワードでアクセスできちゃう場所に、
個人情報を置いた管理者さんは、処罰されるどころか、被害者になるのね。

そして、『管理者が公開を意図しない』のを当然知らない一般人は、犯罪者なのね。

912 :名無しさん@お腹いっぱい。:04/02/06 04:15
>>909
少なくともそれはない
TBCの時に不正アクセスが成立しなかったわけだから
消極的な証拠だが

913 :名無しさん@お腹いっぱい。:04/02/06 04:16
>909
そういうことですよね。
だから、隠しページとかやりにくくなるよなあ。
うっかりアクセスして、家族写真見せられるくらいなら苦笑いですむけど、
うっかりアクセスして、顧客データ見せられた日にゃあ、、。


914 :名無しさん@お腹いっぱい。:04/02/06 04:18
>>905
それじゃ過失犯を除くほとんどの刑法がザル法になってまうような

http://hoge/bbs.cgihttp://hoge/を見たらディレクトリ中身が丸見えで
そのログファイルを見た場合それは
「アクセス制御機能による」「制限された特定利用」
ではない、てことか?
じゃ、http://hoge/bbs.cgi?cmd=nakamigamitaindana&file=logfile.txt
でログを見た場合どうなるんだ?
これは「アクセス制御機能による」「制限された特定利用」
てことになる?
bbs.cgiの中身が問題かな?
それぞれの場合のURLが
「特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令」
にあたるかどうかも問題かな

915 :名無しさん@お腹いっぱい。:04/02/06 04:19
上と下は同じじゃないでしょ

916 :名無しさん@お腹いっぱい。:04/02/06 04:20
>>912
それは警察の恣意。>>812に従うとそうなる。

917 :名無しさん@お腹いっぱい。:04/02/06 04:21
別に>>812に従う必要はないと思うが
単に1個人の意見であって、判例でもなんでもないんだし

918 :名無しさん@お腹いっぱい。:04/02/06 04:23
>>917
いや、>>812がしつこかったから

919 :名無しさん@お腹いっぱい。:04/02/06 04:24
>911

その辺の適用基準があいまいだから、不正アクセス禁止法は
バカ法だって話なんじゃないでしょうか。
もう、不正アクセス禁止法は廃止にした方がいい。
で、犯罪防止に実効性のある法を新たに作ればいい。(無理かもしれんが)

我々が真剣に議論できるようなしろものじゃないんですよ。現行法は。
なんたって、河合氏の行為について京大で検討して「違法性はない」って判断した、その同じ行為について警察は違法だといってるわけでしょ。 んなええかげんな法律、真剣に議論するにあたらん。
河合氏もたぶん不起訴だろうし。

920 :名無しさん@お腹いっぱい。:04/02/06 04:24
結局さ、
http://sample.com/ から辿れるリンク先=真っ白
http://sample.com/login.cgi?ID=user&Pass=passのユーザ/パス書き換え=真っ黒
というのがはっきりしているだけで、それ以外は全部グレーなんだよ

921 :名無しさん@お腹いっぱい。:04/02/06 04:26
>>919
河合のやったのは違法だろ
京大がバカなコメント出しただけ

922 :名無しさん@お腹いっぱい。:04/02/06 04:28
>>919
そういうことが困るんだよな。
いいかげんな法律ならいいけど、恣意的に運用できる法律だと困る。

923 :名無しさん@お腹いっぱい。:04/02/06 04:30
>>920
sample.com は実在しますよ
例示するときは example.com example.net example.org で

参考 http://example.com/

924 :名無しさん@お腹いっぱい。:04/02/06 04:32
これが$home/cgi-data/csvmail.logじゃなくて、
/etc/passwdだったらどうなの?

925 :名無しさん@お腹いっぱい。:04/02/06 04:33
>>924
どっちでも一緒

926 :名無しさん@お腹いっぱい。:04/02/06 04:35
>>922
恣意的に運用できない法律というのがあったらお目にかかりたいもんですが

927 :名無しさん@お腹いっぱい。:04/02/06 04:35
あのー、刑法を適用して処罰するのが免除される場合ってのが
あるのご存じでしょうか。

「該当行為が違法であることを行為人が知らなかった場合」
(すんません、「該当行為が違法であると行為人が判断できなかった場合」
だったかも。)
適用除外の用件として、「知らない」(判断できない)責が行為人に帰する場合を除く。

心神喪失状態だったからうんぬんかんぬん、で有罪にならずに
病院に送られたりするのは、上述の用件にあたるからだそうですが。
ちなみに、酔っぱらってたからやっちゃったなんてのは、判断できなくなった責任が本人にあるので、免除されないわけです。
ええ大人が、「そんな法律あるの、知らんかったもん」ってのも、勉強不足の責任が本人にあるので、免責されません。

928 :名無しさん@お腹いっぱい。:04/02/06 04:38
>>927
だから?

929 :名無しさん@お腹いっぱい。:04/02/06 04:42
>>919
誰もが全てのケースで明確に違法性を判断できる法律が作れるなら
裁判所は必要ないと思われ

930 :名無しさん@お腹いっぱい。:04/02/06 04:44
>>927
第38条に
3 法律を知らなかったとしても、そのことによって、罪を犯す意思がなかった
  とすることはできない。ただし、情状により、その刑を減軽することができる。

とはっきり書かれてるんだが
心神喪失が罪に問われないのは
第39条 心神喪失者の行為は、罰しない。
というのがあるから。

で、何が言いたかったの?

931 :名無しさん@お腹いっぱい。:04/02/06 04:45
>>929
でもあいまいな法律で違法かどうかを誰も判断できないのを違法にするのはよくない

932 :名無しさん@お腹いっぱい。:04/02/06 04:46
違法じゃないとする人のほうが圧倒的に少数でしょ

933 :名無しさん@お腹いっぱい。:04/02/06 04:48
>928

ああ、すんません。
>909-911とかで述べられてる、ちょっとしたurlの細工で
意図しないページに入ってしまうのは違法なのか?
に対する答えのつもりだったんですが。
ちょっとしたurlの細工って、すでに周知の行為で、それ自体に
違法性はないですよね。
だから、入るくらいでは違法ではないと思うんですわ。
ただ、「これってやばいんじゃないの?違法だよねえ」って思いながら
どんどん辿っていくのは、もはや免責ではないと。

934 :名無しさん@お腹いっぱい。:04/02/06 04:49
判例を積み重ねて徐々に線引きが明確化されていく
それでもまったく新しい事例が出てくればまた議論になる

本来法律とはそういうもの

935 :名無しさん@お腹いっぱい。:04/02/06 04:49
http://hoge/bbs.cgiが示された段階で
http://hoge/と打つことも当然の帰結として
制限されてない特定利用になる
dir丸見えであれば
いわばそこのdirでlsすることが制限されていない特定利用になる
んでlogfile.txtが見えればそれも制限されていない特定利用
てことはやっぱdirが見えなかったりindex.htmlが出た場合
そこでlogfile.txtとかindex2.htmlとやるのは制限された特定利用(を免れる情報又は指令)

あーあーあーあ
脳みそスポンジだわさ

936 :名無しさん@お腹いっぱい。:04/02/06 04:50
logfile.txtとかindex2.htmlとやる
(たとえそのまま見えちゃっても)

厳しいなぁ

937 :名無しさん@お腹いっぱい。:04/02/06 04:54
>>934
アメリカあたりではそうなってるけど、日本ではそうとはいえない。

938 :名無しさん@お腹いっぱい。:04/02/06 04:55
とりあえず
/default.ida とか /scripts/nsiislog.dll とか /scripts/..%255c%255c../winnt/system32/cmd.exe
とかを読み出そうとする行為は違法にしてほしいな
Linux+Apacheだからそんなファイルね〜って

939 :名無しさん@お腹いっぱい。:04/02/06 04:55
ディレクトリリスティングとは違う話

940 :名無しさん@お腹いっぱい。:04/02/06 04:57
>>933
>ちょっとしたurlの細工って、すでに周知の行為で、それ自体に
>違法性はないですよね。
そんなのわからない。
警察が逮捕状請求したら簡単に発行されて君も逮捕されるかもしれない。
基準がはっきりしてないんだから。

941 :名無しさん@お腹いっぱい。:04/02/06 05:00
index.htmlが出た、と思っていたら実際にはindex.cgiで
index.htmlと打ってみたらそれがログファイルですた、とか
あ、過失か

942 :名無しさん@お腹いっぱい。:04/02/06 05:27
ソースを読んで、本来とは違うパラメーターを試行したんでしょ。犯罪だよ

943 :名無しさん@お腹いっぱい。:04/02/06 06:03
ソースを読んで、本来とは違うパラメーターを試行した。
でもソースを読み違えて見ようと思ったファイルが見えなかった。犯罪ですか?

あるいは、ソースを見ようと思って本来とは違うパラメータを試行した。
でもソースは見えなかった。犯罪ですか?

944 :名無しさん@お腹いっぱい。:04/02/06 06:19
すいません、お願いですから立花書房の逐条解説買ってきて読んでください。
議論になってる内容について一通り書いてあるので。

http://product.esbooks.co.jp/product/keyword/keyword?accd=30930997

ループというかあまりに当然のことを議論するの(・A・)イクナイ

945 :名無しさん@お腹いっぱい。:04/02/06 06:27
>>944
たぶんみんな過去ログ読まんから、そうときどき書いてくれ。
結局のところ、これで起訴ができるのか?
裁判になったらどういう判決がでるのか?
実際に結果が出ないと何も分からん。

946 :名無しさん@お腹いっぱい。:04/02/06 06:39
>>944
あなたが一通り書いてください。

947 :名無しさん@お腹いっぱい。:04/02/06 06:49
>>946
警察も検察もこれに基づいて事案の可罰性を判断する。
それが修正されるとすれば裁判所においてであるが、これまでの事案で当該
法令について逐条解説の内容が否定された例はない。

つまり「何故そう必死に弁護するの?」ということだが。

948 :名無しさん@お腹いっぱい。:04/02/06 06:55
>>947
それが逐条解説の中身ですか?

949 :名無しさん@お腹いっぱい。:04/02/06 06:57
>>947
行間読めないアフォは消えていいよ。

950 :名無しさん@お腹いっぱい。:04/02/06 06:59
内容読んでないので知らんが、つまり、抵触するということだな。

抵触しないというのがこのあたりの住人の期待であり、多数意見だから、
みんな弁護するんでは?
俺もそう。

951 :名無しさん@お腹いっぱい。:04/02/06 07:01
もう一つ、法律板でスレ建たない理由を考えてみようね。

952 :名無しさん@お腹いっぱい。:04/02/06 07:02
素人なのでよく判らない→ウオッチ用のリンクに作りました

ACCS不正アクセス京大研究員逮捕リンク
http://perape.hp.infoseek.co.jp/column/e00/colm_e98.htm

953 :名無しさん@お腹いっぱい。:04/02/06 07:02
>>951
それで、逐条解説の中身は?

954 :名無しさん@お腹いっぱい。:04/02/06 07:05
弁護する理由と思われ(テンプレにもあるが)

https://www.netsecurity.ne.jp/article/1/12226.html

955 :名無しさん@お腹いっぱい。:04/02/06 08:35
なんかいろいろ事実の歪曲があるな。
まず、htmlとhttpの区別がついてない。
どっかのヴァカが普通にhtmlからはアクセスできないというようなこと書いてたが、
アクセスはhttpでやるんでgetでもpostでもアクセスできたらそりゃ同じ。
それから、公知のファイル名や公開されたファイルから得たファイル名は秘密でもなんでもない。
公開されたソースの中のファイル名を使ってあるファイルをアクセスし、さらにそのファイルの中にあるファイル名を使って別のファイルをアクセスしても、なんら秘密は侵されてない。
管理者が秘密にした情報を使ったわけでもない。
このへん誤解したまま逐条解説とやら読んでもイミネー。


956 :名無しさん@お腹いっぱい。:04/02/06 08:42
ソースは公開されていない
だから不正アクセスでソースを引き出した

957 :テンプレの人(1):04/02/06 08:46
>>952
わーすごい。リンクさせてください。

>>955
よければ一部テンプレに反映させてくださいまし。

958 :テンプレの人(1):04/02/06 08:47
>>956
ファーストサーバが提供する汎用CGIで、同CGIを使ってる人なら
みんなデフォルトのログファイル名はわかったみたいです。

959 :名無しさん@お腹いっぱい。:04/02/06 08:57
(´_ゝ`)フーン
今回の話はみんな逐条解説に出てるのか
当然警察もそれ読んでるだろうし
有罪確定ってことか
(´_ゝ`)フーン

960 :テンプレの人(1):04/02/06 09:13
こんな風にしてみました。叩いてください。
http://www.geocities.jp/officeandaccs/index.html
----------------------------------------
■不正アクセスに関する争点は?
 office氏の行為を不正アクセス禁止法の定める「不正アクセス」と認定する上で、
ASKACCSのログファイル$home/cgi-data/csvmail.logが「アクセス制御」された
状態にあったかどうかが争点になりそう。想定される主張は以下の通り。

●検察側
 ASKACCSの管理者は、個人情報ファイルを通常の方法ではアクセス不可能な
状態に置いていた(=アクセス制御を行っていた)。一方容疑者はフォーム送信用
htmlを改竄してログファイル名を調査し、CGIの意図されざる挙動を意図的に
利用してアクセス制御を回避し、当該ログファイルの内容をCGIに表示させた。
すなわち容疑者は「通常の利用者にはアクセス方法を与えない」という管理者の
意図を明確に理解し、それを破るために主体的に行動した。これは不正アクセス
禁止法の定める不正アクセスにあたる。さらに容疑者はこの手段を特定聴衆に対して
公開しており、これが二次被害の原因となった(不正アクセス禁止法違反判例---
「有料掲示板「2ショットチャット」の認証機能が甘いことに乗じ、自作CGI
プログラムを使用してセキュリティホールを突き、パスワードを入力することなく
不正アクセスした。また、不特定多数の者が当該掲示板にアクセスできるような
リンクを自分の管理するホームページ上に作成した」(平成12年6月検挙。
北海道、富山)で「不特定多数への公開」が問題になっている?)



961 :テンプレの人(1):04/02/06 09:13
●弁護側
 当該CGIはフォーム送信用htmlを加工してCGIの引数にファイル名を渡すだけで
ファイルにアクセス可能な状態だった。サーバサイドでは引数の汚染チェックは
行われておらず、POSTされた引数データは全て受け入れるようになっていた。
CGIのリクエストメソッドのGET/POSTは、実際にはいずれもhttpプロトコルに
よって送信される平文httpリクエストで、「ブラウザのURI窓上でURIリクエストの
形で加工できるかどうか」というのは本質的な問題ではない(telnetでwebサーバに
アクセスする場合、前者は「GET /cgi-bin/test.cgi?var=hoge HTTP/1.0
Referer:..」となり、後者は「POST /cgi-bin/test.cgi HTTP 1.0 Referer:Lynx...
var=hoge」)。また、問題のログファイルはCGI自体の名前から容易に推測できる
ものであり、このCGIを利用したことのある経験者には既知であった。よって当該
CGIやファイルがアクセス制御されていたとは言い難い。

962 :名無しさん@お腹いっぱい。:04/02/06 09:14
ttp://www.josephandleon.co.jp/seimei.html

> セキュリティの専門家やセキュリティ技術に依存しないセキュリティのあり方、
> セキュリティに依存しない情報社会のあり方

なんだそりゃ

非常に好意的に読めば、高度な技術をもった人間のモラルハザードを
どうやったら社会全体で抑止できるか、という問題提起だとは思うが、
字面だけだと矛盾したことを言ってるように読めてしまう。


963 :名無しさん@お腹いっぱい。:04/02/06 09:14
不正アクセスしてないのに、不正アクセスか。

まあACCSなんて所詮政府の狗。

省庁と同じ、ザルセキュリティ。

964 :名無しさん@お腹いっぱい。:04/02/06 09:19
俺だったら、telnet使うよ。

「IEの調子が悪かったので、telnetを使いました。」

ってね。

これは犯罪かい? 笑っちゃうね。

965 :名無しさん@お腹いっぱい。:04/02/06 09:22
ACCSはHTTPプロトコルを利用してサービスを提供していた。
ユーザには、法律に抵触しない範囲で、HTTPプロトコルを
利用し、サービスを受ける自由があった。
O氏はHTTPプロトコルを利用し、既知の情報を元に
サービスを要求し、CGIがアクセス制御を怠ったために
本来適切でない情報にアクセスできてしまったものである。

不正アクセスにはあたらない。

966 :名無しさん@お腹いっぱい。:04/02/06 09:25
>>961
>また、問題のログファイルはCGI自体の名前から容易に推測できる
>ものであり、このCGIを利用したことのある経験者には既知であった。
じゃなくて、
<また、問題のログファイルの名前は一般的なものであり、このCGIを利用したことのある経験者には既知であるなど、公知でもあった。
それから、
サーバ管理者(ACCSにも管理責任はあるがACCSだけじゃないぞ)は、当該サーバでは誰もが自由に任意のファイルにアクセス可能であることを以前から認識していたが、
その状態を故意に維持していたものであり、管理者の意図するアクセス制限は「すべてのファイルにアクセス可能」というものでしかなかった。
もいれとけ。


967 :名無しさん@お腹いっぱい。:04/02/06 09:29
誰もが自由に

誰もが自由に、かつ合法的に
のほうが良いのでは。

968 :名無しさん@お腹いっぱい。:04/02/06 09:30
>>956
>ソースは公開されていない
ファースト鯖が独自に鯖プログラム作った?
オープンソースの鯖にちょろっとCGI(これも多分独自じゃない)足しただけじゃねーのか。
このへんも、警視庁あたりは事実誤認してそうだが、いまごろガクガクブルブルかな。


969 :名無しさん@お腹いっぱい。:04/02/06 09:33
問題のCGIはファーストサーバが作った
ちゃんとCGIのソースにコピーライトがある

970 :名無しさん@お腹いっぱい。:04/02/06 09:34
検察側とか弁護側とか書いているけど公判が始まってみないことにはわからないよ
この板で書いてあるのはあくまでも勝手な推測であることを記しておかないと

971 :名無しさん@お腹いっぱい。:04/02/06 09:35
>>969
CGIのソースを覗き見した人がいるね
もうすぐ警察が出迎えにくるよ

972 :テンプレの人(1):04/02/06 09:37
>>966
ちょっと変更して反映させたよ〜 あとカウンタもつけてみた。

973 :名無しさん@お腹いっぱい。:04/02/06 09:37
そりゃ鯖借りてる人ならCGIのソースぐらい見れるでしょ

974 :名無しさん@お腹いっぱい。:04/02/06 09:39
>>967
>誰もが自由に、かつ合法的に
>のほうが良いのでは。
そこまで強い主張は(正しい主張だとは思うが、弁護側としては)する必要はない。
認識した瞬間に「誰もが自由に、かつ合法的に」とまで主張して「意図は別にあった」と反論されると、再反論が面倒。
一般的な仕様だから最初の瞬間からどーたらこーたらと話がもつれる。
しかし「誰もが自由に」の状態を認識しつつ継続したことにより「誰もが自由に」はもはや管理者の意図となるからなんの紛れもなく「合法的」となる。
起訴できねーって。

975 :名無しさん@お腹いっぱい。:04/02/06 09:48
>>972
合法違法と「社会的にどうか」とがぐちゃぐちゃで、しかも社会性については警察より。
個人情報の公開とか「暗黙のルール」(ですらなくて一部が勝手にそう主張してるだけ)を守らないことは犯罪でもなんでもないことを、ちゃんと最初に書いとけ。
あと「罪には問えないが個人情報を公開したのはACCS側。ACCSがこれを認めないと今後コンピュータプログラムは実質的に公開しほうだいになる。」ともな。


976 :テンプレの人(1):04/02/06 09:50
>>975
その説明じゃ全然意味わかんないよ…

977 :テンプレの人(1):04/02/06 09:51
あ、わかった。と思う。

978 :名無しさん@お腹いっぱい。:04/02/06 09:52
ごめん質問です。

個人情報が記録sれていたログファイルは、URLで直接して読み取れてたの?

ぶっちゃけ、ログファイルの属性がなんだったかという意味です


979 :名無しさん@お腹いっぱい。:04/02/06 09:56
せっかくまとめてもらって何だけど、「弁護側」って表現はやめた方が良いと思われ。
実際にoffice側の弁護士が発表したわけじゃないんだから、無用な誤解を招く恐れがある。
せめて「第三者側からの反論」とかにした方が。

980 :テンプレの人(1):04/02/06 09:56
>>978
URL文字列の書き換えだけじゃだめだったみたいです。参照↓
http://www.geocities.jp/officeandaccs/index.html#2-1

981 :テンプレの人(1):04/02/06 09:58
>>979
うーんそうか。それは「検察側」もそうなので、その上の部分で
「検察側・弁護側それぞれがどのような主張を展開するか、
上記スレ内で出た想定論点をまとめたのが以下のもの。」として
フォローしたつもりなんだけど、ダメかな。

982 :sage:04/02/06 10:04
>>978
読めない。テンプレにある通り、
1.CGI引数に指定したファイルを表示する仕様のCGIに、そのCGI自身を表示させる
2.表示させたCGIプログラムのソースから、本来のデータの保存パスとファイル
  構造を取得
3.取得したパスとファイル構造をCGI引数に指定して、保護されているべき個人
  情報を表示
という方法でないと読めない。

983 :名無しさん@お腹いっぱい。:04/02/06 10:04
>>981
ああ、その部分見落としてた。スマン。
そういう意味では、確かにどちらも憶測でしかないからねぇ…
言いたかったのは、「何が不正アクセスに当たるのか」ってのは結構デリケートな問題なんで、あまり憶測を交えないほうが良いかもってだけです。
でも、今までの議論をまとめるのは意味があると思うんで、このままでも良いのかなぁ。

984 :978:04/02/06 10:06
>>979
ありがとん
じゃ、直接アクセスしようとしても。403 Access Denied になるんだよね。
ということは、管理側のアクセス制御をしていたという主張は認められるんじゃと
単純に思います。

CGIに不正なパラメーターを与えて稼動させ、通常のアクセスでは参照できない
ファイルを見るのを禁止するのも不正アクセス禁止法には想定されているわけで
これが許されるのなら、各種セキュリティホールを使った不正アクセスも無罪に
なります。


985 :名無しさん@お腹いっぱい。:04/02/06 10:15
403じゃなくて404な

986 :名無しさん@お腹いっぱい。:04/02/06 10:16
>>972
威力業務妨害だが、検察はこんなまぬけな主張しないだろ。
技術的にサーバ復旧は一日でできる。
が、ACCSにしてみれば個人情報が公開状態なのを放置したファースト鯖に引き続き委託なんかできないのは当然。
社会的には、サービス復旧はACCSが事故調査委員会の報告を得てそれ
> 具体的には、ACCS内部におけるセキュリティ体制の強化、外部の第三者によるホームページのセキュリティチェック等の実施、ホームページの製作・運営等を外部に委託する際の基準の策定、委託先の再検討、取得すべき個人情報の再検討などを行うべきである。
に従った対策をしないとできないのは当然。
なぜ当然かというと、イベントでの二次流出や2CHでの三次流出は無関係で、事故調査委員報告にもある、
>ACCSは、これまで情報の取り扱いに関する啓発活動を自ら行ってきていることからすれば、自ら運営するホームページのセキュリティについては、通常の企業等以上に、充分なスキル、体制で臨む必要があると考える。
が理由のすべてだろ。


987 :名無しさん@お腹いっぱい。:04/02/06 10:23
>じゃ、直接アクセスしようとしても。403 Access Denied になるんだよね。
ならねーよ。
アクセス方法はhtmlじゃなくてhttpだ。
telnetなり適当なhttpクライアント使って直接アクセスしたら、なんでもとりほうだい。
相手のhtmlをブラウザ経由で使った間接アクセスならなるが、自作のhtmlなら間接アクセスでもならんしな。
ウェブアクセスするのにブラウザ使わなきゃいけないなんてこたあないし、実際そうでない例はいくらでもある。
サーチエンジンなんか考えると、そのほうが多いかもな。
相手のhtmlがこわれてるんでそれを修正して使うなんてのも、たまにやることだし。


988 :773:04/02/06 10:28
今起きた。テンプレの人がいい仕事してるのでノーベル賞を授与したい…。

>>812 は無視していいと思いますよ。
集合Sの中身は、単独では識別符号になりえないものを無理矢理くっつけてるだけだもん。
あれだったらどんなパラメータでも集合にすればいいってことになっちゃう。
http://www.google.com/」(url)
「不正アクセス」(文字列)
は、それぞれ識別符号ではないが
http://www.google.com/search?q=%E4%B8%8D%E6%AD%A3%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9&sourceid=opera&num=0&ie=utf-8&oe=utf-8
なら識別符号だ!とか…

989 :名無しさん@お腹いっぱい。:04/02/06 10:33
ヨセフ~の声明が404なんだけど、要約よろ

990 :名無しさん@お腹いっぱい。:04/02/06 10:33
とりあえず2ちゃんとかダウソ板には
ACCSゴルァ!の人が多いからねw
情報にバイアスかかるのもしょうがないよ

セキュ板でテンプレの人が作ってくれたまとめサイト
この事件に興味のある方はどぞ

http://www.geocities.jp/officeandaccs/index.html

991 :名無しさん@お腹いっぱい。:04/02/06 10:34
↑誤爆スマソ

992 :名無しさん@お腹いっぱい。:04/02/06 10:36
声明消されてるね。
Googleキャッシュに残ってるから各自保存しる!
http://216.239.57.104/search?q=cache:GMVUonNztOUJ:www.josephandleon.co.jp/seimei.html+&hl=ja&lr=lang_ja&ie=UTF-8

#目立つようになったらあわてて消すくらいだったら最初から書くなよ>アホ会社

993 :978:04/02/06 10:37
>>987
なに言ってるのか判りません。

>アクセス方法はhtmlじゃなくてhttpだ。
htmlはファイルの拡張子およびファイル形式だし、httpがアプリケーションプロトコルな
わけでしょう?
だから、通信形態としてはファイルがなんであろうと「http」になるはずですが、私がHTMLで
アクセスするとでもどっかに書いてますか?
telnetは問題外ですね、匿名アクセス出来ないでしょうから。

>ウェブアクセスするのにブラウザ使わなきゃいけないなんてこたあないし、実際そうでない例はいくらでもある。
たしかにそうですね、でもhttpでのアクセスですよ。

>相手のhtmlがこわれてるんでそれを修正して使うなんてのも、たまにやることだし。
意味不明です。
ファイルが壊れている(不正な記述という意味ですかね?)のを修正するって、
相手のサーバー上はしないでしょうw
あくまでも読み込んだファイルのソースを見て、ローカルに保存し修正して何を表示したかった
の確認はしますけどね。


994 :名無しさん@お腹いっぱい。:04/02/06 10:39
消されるから保存しろ、と最初に書いたのは多分、俺。
やっぱそうなったか。

995 :名無しさん@お腹いっぱい。:04/02/06 10:40
>989
本当だ、トップのコラムまで消えてるよw

http://pc.2ch.net/test/read.cgi/sec/1075915643/117-135
辺りを読んだら雰囲気はつかめるよ。

996 :名無しさん@お腹いっぱい。:04/02/06 10:41
>>992
d。保存しますた
名誉毀損で訴えてくれといわんばかりの文章だな(わらい

997 :773:04/02/06 10:43
中川社長ベタベタだったトップページの
きまぐれコラムも消えてるな

998 :名無しさん@お腹いっぱい。:04/02/06 10:43
>>993
おれは 987 ではないが、telnet で接続して http プロトコルを手動で入力してアクセスできるんだけど。

999 :773:04/02/06 10:44
http://news5.2ch.net/test/read.cgi/newsplus/1076000765/l50
次ココ?

1000 :名無しさん@お腹いっぱい。:04/02/06 10:45
>>995
こっちにはコラムがあったわ。
サイバー・エロ・テロリストの俺も爆笑

1001 :1001:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

285 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)