【社会】「ネットの脆弱さに警鐘」 国立大研究員が個人情報を公表
文化庁所管の著作権保護団体のインターネットサイトから利用者約1200人の個人情報が昨年11月、
国立大学の男性研究員(40)に引き出され、一部公表されていた。
研究員は「インターネットの安全性の脆弱(ぜいじゃく)さに警鐘を鳴らそうとした」と話すが、
警視庁は不正アクセス禁止法違反の可能性があるとして情報収集している。
研究員は、一般に広く使われているCGIプログラムの「欠陥」を、官庁などのサイトについて公表してきた。
今回もその欠陥を突いた形で、CGIの安全対策が問い直されそうだ。
個人情報を引き出されたのは、社団法人コンピュータソフトウェア著作権協会(東京都文京区)。
ソフトなどの著作権者の団体で、著作権についての質問などをサイトで受けつけていた。
研究員と協会の説明によると、研究員は11月8日、インターネットから協会サイトのサーバーに、
運営側が想定しない指示を送って入った。非公開の領域に保存されたファイルから、
サイトへ相談を寄せた約1200人の名前、住所、電話番号、相談内容などの記録を引き出したという。
同日夜、都内で開かれたインターネットの安全対策担当者やハッカーを集めた集会で、参加者約300人に体験を披露。
「証拠」として、持ち出した個人情報の一部を公表した。持参したパソコンにこの情報を保存した参加者もいたという。
研究員は集会後、協会と、プログラムを開発したサーバー提供会社にCGIの欠陥を電子メールで指摘した。
協会はサイトを閉鎖し、個人情報がネット上に広まるなどの事態にはなっていないという。
サーバー提供会社は約2万の顧客を抱えており、同じCGIを使う他のサイトの修正作業を始めたという。
研究員は「警鐘を鳴らそうとしたが、今回は消費者の味方とは言い切れず、反省している」と語る。
(以下略)
朝日新聞
http://www.asahi.com/national/update/0104/003.html
( ´_ゝ`)フーン
3 :
名無しさん@4周年:04/01/04 03:28 ID:oAZHC2SS
3げと
んでうpまだ?
5 :
名無しさん@4周年:04/01/04 03:30 ID:4YMx6gV2
office のことか。
6 :
名無しさん@4周年:04/01/04 03:32 ID:zVoW3S9F
漏れの手にかかれば どんな鯖でも
クラックできる
7 :
名無しさん@4周年:04/01/04 03:32 ID:WVd1ioH+
おれよく考えたら、2年連続姫はじめしてないや。
8 :
名無しさん@4周年:04/01/04 03:34 ID:e7YKuOEC
9 :
名無しさん@4周年:04/01/04 03:36 ID:PeLi9Rch
良く考えなくてもセックスした事ないや
10 :
名無しさん@4周年:04/01/04 03:38 ID:p+lOOLh2
ACCSって言う略称だっけこの協会?
Mxとかnyとかのダウソ厨と仲悪いんだよな。
12 :
名無しさん@4周年:04/01/04 03:39 ID:JC2a5Kh1
ここはキジャクなケイカネですね。
13 :
名無しさん@4周年:04/01/04 03:40 ID:EFj0LiR5
(以下略)の続き
協会は「警鐘を鳴らすために個人情報を流出させたのは本末転倒で許し難い」
と話す。サーバー提供会社も「欠陥が事前通告なしに公開され、他のサイトま
で危険にさらされた」と批判している。警視庁は、研究員の行為が、外部から
の利用を制御したサイトへの侵入になる疑いがあるとみている。
研究員は「office」と名乗るハッカーで、01年ごろから専門誌など
に、安全対策が進んでいるはずのサイトの「欠陥」を公表してきた。
欠陥があると指摘されたサイトには首相官邸や総務省、日本郵政公社関連の財団法人、大手銀行が含まれる。口座番号などが第三者に送られる危険性もあったと研究員は指摘し、対策をとった官庁、団体もある。
14 :
名無しさん@4周年:04/01/04 03:40 ID:KpH15WdL
流石に早いな。2ちゃんねる魂ココに有り!
ACCS ACCS
ACCS ACCS
16 :
名無しさん@4周年:04/01/04 03:41 ID:MGiUF5s8
きじゃく!きじゃく!
,ィ⊃ , -- 、
,r─-、 ,. ' / ,/ }
{ ヽ / ∠ 、___/ | お
署 ヽ. V-─- 、 , ',_ヽ / ,'
ヽ ヾ、 ',ニ、 ヽ_/ rュ、 ゙、 /
ま \ l トこ,! {`-'} Y 前
ヽj 'ー'' ⊆) '⌒` !
で , 、 l ヘ‐--‐ケ }
ヽ ヽ. _ .ヽ. ゙<‐y′ /
来 } >'´.-!、 ゝ、_ ~ ___,ノ
| −! \` ー一'´丿 \
い ノ ,二!\ \___/ /`丶、
/\ / \ /~ト、 / l \
19 :
名無しさん@4周年:04/01/04 03:45 ID:KpH15WdL
エムエークスかnyで流通しる!
20 :
名無しさん@4周年:04/01/04 03:45 ID:/t0xGFZK
くじゃく
21 :
名無しさん@4周年:04/01/04 03:51 ID:cJWuvpLo
,ィ⊃ , -- 、
,r─-、 ,. ' / ,/ }
{ ヽ / ∠ 、___/ | お
曙 ヽ. V-─- 、 , ',_ヽ / ,'
ヽ ヾ、 ',ニ、 ヽ_/ rュ、 ゙、 /
ま \ l トこ,! {`-'} Y 前
ヽj 'ー'' ⊆) '⌒` !
で , 、 l ヘ‐--‐ケ }
ヽ ヽ. _ .ヽ. ゙<‐y′ /
来 } >'´.-!、 ゝ、_ ~ ___,ノ
| −! \` ー一'´丿 \
い ノ ,二!\ \___/ /`丶、
/\ / \ /~ト、 / l \
22 :
((=゚Д゚=)ノ宮司 ◆zPS2mz9BTo :04/01/04 03:51 ID:qLncoy2v
趣味を仕事にしたパターンでの悪例ですな。
23 :
名無しさん@4周年:04/01/04 03:53 ID:EFj0LiR5
>>22 仕事じゃなかろう。
国立大学の研究員って、何の研究だろ?
24 :
名無しさん@4周年:04/01/04 03:55 ID:PZnl/u6/
この研究員は良くやったのでは?サイト管理者もはっきり言って面子潰されたから
文句言ってる様に見えるぞ。個人情報を悪用しなかったのだから感謝の一言位言えよ。
研究員がここまでしなかったら絶対管理者も腰を上げなかったろうに。(w
25 :
名無しさん@4周年:04/01/04 03:57 ID:LMoxHHxO
スーパーハカー!
この問題は、どう解釈できるのかな。たとえば外に面した窓にカーテンが張ってない場合。
見ても罪にはならないよね。カーテンが閉まっているのにそれを開けてみたら罪かもしれない
けどさ。家の人がカーテンが閉まってるように錯覚していたとすると、見たこと事態に違法
性はないよね。セキュリティをかけていると言うことがどのような意思表示になるのかな。
金庫のカギのようなものをバールで壊したとしたら犯罪だけど、もともと開くようにできてる
ものを開けただけ、あるいは開いているものに、現物のカギのような解釈ができるだろうか?
なんかよくわからんが、パソコンのセキュリティを突破しても実は犯罪ではない可能性はない。
なんて解釈できないの? カーテン覗きの微罪の話は無視するとしてさ。
こうでもしなければ事の重大さはわかってもらえないし、
話題にもならなかっただろう。研究員は偉い。
公僕が個人情報に対して持ってる感覚が何らか異常なのは感じてたが
案の定やりやがったか。
曙 ,.-'''"-─ `ー,--─'''''''''''i-、,, お
,.-,/ /::::::::::::::::::::::!,, \
ま ( ,' i:::::::::::::::::::::;ノ ヽ-、,,/''ー'''"7 前
`''| |:::::::::::::::::::::} ``ー''"
で ! '、:::::::::::::::::::i
'、 `-=''''フ'ー''ヽ、::::::::::/ヽ、-─-、,,-'''ヽ
来 \_/ ヽ--く _,,,..--┴-、 ヽ
``" \>
い
31 :
((=゚Д゚=)ノ宮司 ◆zPS2mz9BTo :04/01/04 04:06 ID:qLncoy2v
>>23 情報工学関連の研究やってる研究員と踏んでるんだが。
33 :
名無しさん@4周年:04/01/04 04:11 ID:0S2IxF+P
34 :
名無しさん@4周年:04/01/04 04:15 ID:tWL0ldgh
>>24 >>27 馬鹿か、おまえらは。ソースをよく読んだのか?
>持参したパソコンにこの情報を保存した参加者もいたという。
個人情報は流れてしまったのだぞ。
ホールがあるのであれば、直接連絡すればいいのだろうが。
A.D.でわざわざ方法をさらして、さらに危険性を増長させただけだろうが
人間をマインドコントロールするとは!
ACCS、許さん!!
36 :
名無しさん@4周年:04/01/04 04:15 ID:BYZwDbkc
これって去年の話だよね?
なぜ今頃?
37 :
名無しさん@4周年:04/01/04 04:16 ID:MOFoI4Br
ACCS?こんな団体いらねえよ。潰せや!!!
不正アクセス法防止ざたにしようとしたけど失敗したんじゃないの?
プ ツール厨がハクして手柄を見せたかったんだろ?
40 :
名無しさん@4周年:04/01/04 04:18 ID:sQOQSD0W
目的のためには手段を選ばないって奴か。
>>32 その分野の国立大の研究員だけでも結構居るでしょ。
つか、集会に出てるんだから面割れてるでしょ。
42 :
名無しさん@4周年:04/01/04 04:22 ID:MIbBYIyY
個人情報くらいだったら、セキュリティ板でいっぱい見つかるが
43 :
名無しさん@4周年:04/01/04 04:24 ID:DTG2EwZt
はぁー
そこ掘れ ワッショイ
ワッショイ
ワッショイ
事件は会議室で起きてるんじゃな〜い
おれのためだし きみのためだし あなたのためでも
う〜ん‥すごい。
44 :
名無しさん@4周年:04/01/04 04:26 ID:tWL0ldgh
面はすでに割れているよん。
セキュリティ板のA.D.スレに行けばHPのアドレスもわかるよ。
>同日夜、都内で開かれたインターネットの安全対策担当者やハッカーを集めた集会で
データをノーパソに入れて持ち帰ったヤツというのが安全対策担当者なのかハカーなのか・・・
公開するアフォもアフォだがわざわざ持ってくヴァカもヴァカだなぁ、と・・・
46 :
名無しさん@4周年:04/01/04 04:28 ID:EFj0LiR5
>>45 この席に居た連中を全員死刑か終身刑にしちまえば
当分このサイトに進入可能な椰子は出てこないな
48 :
名無しさん@4周年:04/01/04 04:34 ID:tWL0ldgh
51 :
名無しさん@4周年:04/01/04 04:38 ID:DTG2EwZt
ザ ニュー チャレンジャー
52 :
名無しさん@4周年:04/01/04 04:38 ID:z73f39IV
兵庫県川西市の学校で刃物振り回したタクマとそっくりな思考回路。
友人はスーパーハカーのコピペ↓
54 :
名無しさん@4周年:04/01/04 04:41 ID:DTG2EwZt
恐喝未遂
>>21 イヤクマー!
〈〈〈〈 ヽ ,ィ⊃ , -- 、
〈⊃ } ,r─-、 ,. ' / ,/ }
∩___∩ | | { ヽ / ∠ 、___/ |
| ノ ヽ ! ! ヽ ヾ、 ' ヽ_/ rュ、 ゙、 /
/ ● ● | / \ l , _;:;::;:;)、! {`-'} Y
| ( _●_) ミ/ ,,・_ ヽj ,;:;:;ノ' ⊆) '⌒` !
彡、 |∪| / ’,∴ ・ ¨ l ;::)-‐ケ }
/ __ ヽノ / 、・∵ ’ ヽ. ;:丿‐y /
(___) / (ヽ、__,.ゝ、 ~___,ノ ,-、
56 :
名無しさん@4周年:04/01/04 04:44 ID:DTG2EwZt
おまえ怠慢なんだよ もっと働けよ ボコッ
57 :
名無しさん@4周年:04/01/04 04:44 ID:LF+9BKP2
この研究員の行為は法律に違反しないのか?
58 :
( ゚д゚)ポカンー:04/01/04 04:45 ID:d8WRQHSB
何で今頃記事になるのよ。
アクセス可能にしてるほうが悪い
60 :
名無しさん@4周年:04/01/04 04:48 ID:hShWrXHj
上にリンクしてあった鯖スレ読んだけど、ここも酷いね。いまだにユーザーに
事件についての公式な釈明すらないんでしょ。親会社のクボタの監督責任も問われるな。
61 :
名無しさん@4周年:04/01/04 04:50 ID:SlrS7SrQ
>>57 モロ不正アクセス防止法違反。
告訴されそうなんで記事になった。
62 :
立候補@アイドル:04/01/04 04:51 ID:DTG2EwZt
わたしのモットーは顔パスなのよ、失礼ですわね。
63 :
Ё:04/01/04 04:51 ID:khIuN00W
>警鐘を鳴らそうとしたが、今回は消費者の味方とは言い切れず、反省している
「自動車事故の危険性についての警鐘を鳴らそうとして、集団登校に突っ込んで虐殺しました」
もOKなんだろうな、この頭のおかしい犯人の言い分だと。
64 :
名無しさん@4周年:04/01/04 04:53 ID:BfMgQVBS
>研究員は集会後、協会と、プログラムを開発したサーバー提供会社にCGIの欠陥を電子メールで指摘した。
集会の前にやっときゃよかったのに。
65 :
名無しさん@4周年:04/01/04 04:53 ID:OkkzqLZh
>>57 公開されている情報の受渡をしただけだからねー。
少なくとも不正アクセスには絶対にならない。
66 :
名無しさん@4周年:04/01/04 04:53 ID:+bdktL5c
セックス
68 :
立候補@アイドル:04/01/04 04:55 ID:DTG2EwZt
何をいっちゃってるのよ、私容姿もスタイルも美人なのですから。
test
ACCSを選んだのが最大の問題だな
71 :
名無しさん@4周年:04/01/04 04:59 ID:kxoYefg3
>>65 いや、公開されているというのは正しい表現ではないのでは?
普通アクセスでは見える状況ではなく、CGIのバグを利用した悪意のあるアクセスに
相当すると思うのだが。
72 :
名無しさん@4周年:04/01/04 05:02 ID:DTG2EwZt
実権女な訳だが
俺がいろいろ読んだ上での印象
office氏 … いろいろ運悪かったんだろうな。
ACCS … 今回の件に関してはあんまり悪くないな。
ファースト鯖 … 最悪。
>>63 自動車事故の危険性については誰もが認めていることだから適当な喩えになっていない。
たとえば「携帯電話が爆発する可能性があって危険」なときに、
いくら理屈を説明しても誰も信じてくれないような場合、
実際に爆発させてみるのと、誰かが爆発するのを待つのと、どっちがいいんだろう? 俺にはよくわからない。
74 :
名無しさん@4周年:04/01/04 05:04 ID:kioo9RLY
>>71 アビバも最初はそんなことを言っていた。
ユーザー情報流出のアビバ、「保存場所がハッキングされた」
http://www.zdnet.co.jp/news/0207/03/njbt_04.html >同社の説明では、「弊社の調査により、データの保存場所がハッキングされ、
>そのアドレスが某掲示板に投稿されていることが判明」。「弊社はそれを察知
>し、すぐにデータの消去と該当ページの閉鎖処置を行った」が、約2時間にわたっ
>てデータが閲覧可能な状態になった、という。
>実際には、「データの保存場所」はHTMLファイルのソースを参照することである
>程度は分かるようになっていた。
75 :
名無しさん@4周年:04/01/04 05:04 ID:Ex4L027h
76 :
office:04/01/04 05:04 ID:9xQrXv/z
/´:::::::::::::::::::::::::::::::::::::::::::`ヽ
/::::::::::::::::::::::::::::::::::::::::::::::::::::::::\
--------------------------ー)
|
http://www.office.ac/index-j.html |
(:----------------------------/
(::::::::::/ ヽ:::::::::::)
|:::::::/ ,,;;;;;;;;;;;;;;, ;;;;;;;;;;;;;,,, |:::::::::::|
|::::: :::::|
|:::: -=・=- -=・=- :::|
/|::: ~~~~ ノ ヽ ~~~~ |ヽ
.| |/ / ヽ ||
ヽ| ⌒ (. o⌒o .) ⌒ .|ノ
\ :::::::::::::U:::::::::::: プッ / AD2004で会いましょう
|\ ヾ─┬┬┬─ :::: /|
|. \. └┴┘ ./ .|
77 :
名無しさん@4周年:04/01/04 05:04 ID:wGK778lS
>>63 石頭
>>1文中の研究員みたいな愉快犯的存在がいなくなれば
残るのは悪意に満ちた犯罪者だけ。
78 :
名無しさん@4周年:04/01/04 05:05 ID:DTG2EwZt
田舎ものいやーん
気持ち一部情状‥
79 :
名無しさん@4周年:04/01/04 05:06 ID:kioo9RLY
>>71 TBSも最初は似たようなことをいっていた。
「お手数ですが削除いただけますよう」──個人情報大量流出のTBC
http://www.zdnet.co.jp/news/0205/27/njbt_06.html >エスティックサロン大手のTBC(東京ビューティーセンター)のWebサイトで
>約3万件の個人情報が閲覧可能な状態になっていたことが分かった。同社は現在
>Webサイトを実質的に閉鎖、「ホームページサーバーの深部へのアクセスがあった」
>として不正アクセスの可能性を示唆しているものの、単純な設定ミスを疑う見方もある。
深部へのアクセス
保存場所がハッキングされた
なんという素晴らしい発明語だろうか
高木タンの抑制のきいたコメントに萌え。
無防備なシステム晒してるほうが偉そうな口利いてるのは本末転倒ずら
82 :
Ё:04/01/04 05:10 ID:khIuN00W
>>73 実際に爆発させんのは構わんが、他人を巻き込むなよって。
安全な空き地でやりゃいいものを、わざわざ人身事故になるようにやってるじゃんこの犯人。
83 :
名無しさん@4周年:04/01/04 05:10 ID:DTG2EwZt
問題化する気ないから届け出そうかな。
84 :
名無しさん@4周年:04/01/04 05:13 ID:9xQrXv/z
,ィ⊃ , -- 、
,r─-、 ,. ' / ,/ }
{ ヽ / ∠ 、___/ |
ヽ. V-─- 、 , ',_ヽ / ,'
ヽ ヾ、 ',ニ、 ヽ_/ rュ、 ゙、 /
\ l トこ,! {`-'} Y
ヽj 'ー'' ⊆) '⌒` !
l ヘ‐--‐ケ }
ヽ. ゙<‐y′ / office情報はここ見るといいよ
(ヽ、__,.ゝ、_ ~ ___,ノ ,-、
A.D.200X@Random (12)
http://pc.2ch.net/test/read.cgi/sec/1068634932/l50 A.D.200X@Random (11)
ttp://pc.2ch.net/test/read.cgi/sec/1056460664/ A.D.200X@Random (10)
ttp://pc.2ch.net/test/read.cgi/sec/1053233093/ A.D.200X@Random (9)
ttp://pc.2ch.net/test/read.cgi/sec/1047506607/ A.D.200X@Random (8)
ttp://pc.2ch.net/test/read.cgi/sec/1038138944/ A.D.200X@Random (7)
ttp://pc.2ch.net/sec/kako/1037/10375/1037505269.html A.D.200X@Random (6)
ttp://pc.2ch.net/sec/kako/1024/10242/1024202843.html A.D 2001 (5)
ttp://pc.2ch.net/sec/kako/1018/10184/1018412521.html A.D.2001 (4)
ttp://pc.2ch.net/test/read.cgi/sec/1008926076/ A.D.2001 (3)
ttp://ton.2ch.net/sec/kako/1000/10002/1000226553.html A.D.2001 (2)
ttp://pc.2ch.net/sec/kako/997/997972466.html A.D.2001
ttp://pc.2ch.net/sec/kako/996/996966367.html
86 :
名無しさん@4周年:04/01/04 05:15 ID:DTG2EwZt
案ずる事はなかれ。恥ずかしながら証拠はない。ポカーン。
40のオッサンがこんなガキみたいなことする理由がわからん
88 :
Ё:04/01/04 05:21 ID:khIuN00W
>>86 >同日夜、都内で開かれたインターネットの安全対策担当者やハッカーを集めた集会で、参加者約300人に体験を披露。
>「証拠」として、持ち出した個人情報の一部を公表した。持参したパソコンにこの情報を保存した参加者もいたという。
これって証拠になるのでは?
あ、別にACCSのボケを擁護する気はサラサラないです。
こいつのスマートじゃないやり方のお陰で、
ACCSが調子づいてるから迷惑。
89 :
名無しさん@4周年:04/01/04 05:21 ID:9xQrXv/z
あれ、officeってあのセキュリティ掲示板のoffice?
言動からして普通じゃないと思ってたら
タイーポなんでつね
(・人・)おててとおててのしわを合わせて、ざまーみろ〜
>>88 は? それがなんの証拠に? 不正アクセス防止法読んだことあるのか?
92 :
名無しさん@4周年:04/01/04 05:23 ID:DTG2EwZt
相手の情報が降りてこないので
「不正アクセス【防止】法」なんて存在しないよ。
94 :
名無しさん@4周年:04/01/04 05:26 ID:9xQrXv/z
95 :
名無しさん@4周年:04/01/04 05:26 ID:DTG2EwZt
なんておまえは 馬鹿なんだ
馬鹿なんだ馬鹿なんだ
96 :
名無しさん@4周年:04/01/04 05:30 ID:DTG2EwZt
調子づいただってさ。やっちゃおうかな?
97 :
名無しさん@4周年:04/01/04 05:30 ID:wFcS9wx/
ACCSって著作権を保護管理してる団体でしょ?
つまり「他人のケツを拭くのが仕事」
それがなんと自分のケツを拭いてくれる人間の管理さえ、
まともに出来ないときた。
で、ハッカーから「貴方のケツを拭いている人は下手糞ですねw」と
指摘され逆切れ?
なんと恥ずかしいことでしょう。
98 :
名無しさん@4周年:04/01/04 05:33 ID:DTG2EwZt
不正は不正だろ
99 :
Ё:04/01/04 05:35 ID:khIuN00W
>91
>研究員は11月8日、インターネットから協会サイトのサーバーに、
>運営側が想定しない指示を送って入った。
三条三項に抵触。
>同日夜、都内で開かれたインターネットの安全対策担当者やハッカーを集めた集会で、参加者約300人に体験を披露。
四条に抵触
ではないの?
100 :
名無しさん@4周年:04/01/04 05:35 ID:wFcS9wx/
こんな団体に著作権の管理を任せている業界は考え直したほうがいいですよ。
そのうち業界自体が危うくなったりしてw
でも個人情報ひっこぬいて第3者に
公開することに大儀はまるでないなー
やりすぎはいけませんねー
プゲラウヒョー
102 :
名無しさん@4周年:04/01/04 05:38 ID:DTG2EwZt
いいとしして、はんずかしぃーですぅ〜。
うそも方便 好きこそもののなんとやら ヒャヒャ
圧力→おぬしもなかなか ワルよのう
>>99 四条は識別符号だけが対象だろ。識別符号の定義を見よ。
104 :
名無しさん@4周年:04/01/04 05:41 ID:DTG2EwZt
被害届だせ!
105 :
名無しさん@4周年:04/01/04 05:41 ID:wFcS9wx/
恥を知らない人間ほど、自らの恥をさらし続ける法則。
そんな彼らを観察したかったらダウンロード板へどうぞ。
啓蒙と脅迫でP2Pユーザーに噛み付いていますが
ねら達にキレイに隔離処理されています。
ぶひw
106 :
名無しさん@4周年:04/01/04 05:41 ID:okeLboXI
プクックック
ACCSってヤル気あんのかよ(プゲラウヒョー
さすが低教養の工学系はやることが斜め上だなw
ファーストサーバとやらも
よくもまぁファイル表示なんて
危なっかしい処理してましたねぇ
それとまだタイポって話しではないんですね
>>90は訂正します
109 :
名無しさん@4周年:04/01/04 05:47 ID:9xQrXv/z
素人は基本的に個人情報を正直に書くのは控えた方が良いということですな。
SSL使ってようが関係なし。
そもそも必要も無い個人情報を抱えることがリスクとなることを解ってないヴァカ大杉。
111 :
名無しさん@4周年:04/01/04 05:47 ID:wFcS9wx/
ACCSも負けず劣らず斜め上w
112 :
名無しさん@4周年:04/01/04 05:50 ID:wFcS9wx/
まとめ
ACCSは脆弱、officeは貧弱。
113 :
名無しさん@4周年:04/01/04 05:58 ID:tj4N2avJ
彼の行動は公益に沿った行動なので逮捕に踏み切らないでほしい。
115 :
名無しさん@4周年:04/01/04 06:09 ID:tj4N2avJ
彼はセキュリティーホールの指摘をしたのに
それを放置しもみ消したのは製造物責任でCGI作成者や
Web管理者が悪い。 彼の行動は毒を混ぜて売りつづけた
食品会社を告発したのと同じことで
公益に沿った行動だから
彼を逮捕に踏み切らないでほしい。
>研究員と協会の説明によると、研究員は11月8日、インターネットから協会サイトのサーバーに、
>運営側が想定しない指示を送って入った。非公開の領域に保存されたファイルから、
cgiへのアクセスだから入っちゃいないだろ。
それと何で想定しない指示で動作できるんだよ。
想定した指示でしか動かないようにしろよ葛。
117 :
名無しさん@4周年:04/01/04 06:16 ID:QKTOajoW
おれも通販サイトに個人情報だだ漏れだって指摘したことあるけど、礼のメールは
よこせど、対応に時間がすごいかかってた。
だから、2chに晒したことがあったな。
痛い目あわさなきゃダメだよ。通販サイト業者も、そこの利用者も。
研究員はエロい
118 :
名無しさん@4周年:04/01/04 06:16 ID:9xQrXv/z
>>115 じゃ巷のピッキング犯の皆さんも公益に沿った行動に日々いそしんで
いるですか、勉強になりますねぇ
119 :
名無しさん@4周年:04/01/04 06:20 ID:pGRo5CQ0
Tea Room for Conferenceにさっそく書き込まれていた
120 :
名無しさん@4周年:04/01/04 06:40 ID:bsuZaShK
このスレは118で終了
擁護してるやつらは自分に言い訳してるだけ。
「ネットの脆弱性」「研究員」と来たから、てっきり、ひろみちゅ先生かと思ったら、
なんだ、コメントする側か…。
122 :
名無しさん@五周年&rlo;人本日の粋生&lro;:04/01/04 06:56 ID:WnjW4Lwe
功名に逸る結果がこの様ということか。
欠陥が放置されたまま3年以上運営、って改善する意思無かったって事かな?
>>118 ピッキング?ピッキングは鍵をかけた状態を解除するんだろ?
治安の悪い地域で鍵もかけずに外出することの愚かさを思い知るがいい。
>>118 ピッキングどうこうより、鍵の閉め忘れだろ
入られたってしょうがない
126 :
名無しさん@4周年:04/01/04 07:01 ID:9xQrXv/z
127 :
124:04/01/04 07:03 ID:Rac3W767
>>126 犯罪かどうかについて文句を付けた覚えは無いが。
ただ、ピッキングと同列に扱うのは難があるということで。
128 :
名無しさん@4周年:04/01/04 07:06 ID:9xQrXv/z
>>127 それは
>>115の幼稚なたとえに応じて差し上げただけですわw
>Web管理者が悪い。 彼の行動は毒を混ぜて売りつづけた
>食品会社を告発したのと同じことで
>公益に沿った行動だから
>彼を逮捕に踏み切らないでほしい。
129 :
名無しさん@4周年:04/01/04 07:08 ID:vLf6f1bA
>>127 おなじだよ。
ピッキングはすでに知られてるんだから、それで開く鍵を開けて回っても問題ないとでも?
>>127 いや、ピッキングと同列でしょ
「カギの脆弱さに警鐘−国立大研究員が民家に不法侵入」って事とさほど変わらない
131 :
名無しさん@4周年:04/01/04 07:19 ID:DcfPHz84
私の会社もファーストサーバと契約してるんだけど、11月から慌ただ
しいメール(標準cgiのセキュリティに関する不具合)きまくってたのよ。
ファーストサーバってのは標準で(すごいショボい)cgiを提供して
たんだけど、これが、いわゆるサニタイズ処理されていないヤツ。
それなりの団体がこんなログラム使う時点でアウト。
これ、このofficeという輩がプロバイダに通知したんだろうね。
こんな内容。
========================
> 旧標準CGIの不具合についての重要なお知らせ(11月14日)
>
>平素よりファーストサーバをご利用頂き誠にありがとうございます。
>
>2003年11月12日早朝お知らせいたしました「【緊急告知】旧標準 CGI の不具合
>についての重要なお知らせ」の件につきまして、追加での報告がございますので
>お知らせいたします。
>
>先日より弊社においてセキュリティ上の問題が発見された旧標準CGIにおいて引
>き続き調査を行っておりましたが、前回の旧標準CGIの一部に、本日2003年11月
>14日早朝に新たな問題点を発見いたしました。
>セキュリティ上の重要な問題でございましたので、即座に問題箇所の修正を行
>い、下記該当するCGIに対し再度の置き換え作業を行いました。
>>130 その程度で入れるところに個人情報置いておくのは企業としていかがなものかと
133 :
名無しさん@4周年:04/01/04 07:23 ID:eEcyizlW
DEFCONとかやってるガキに感化されまくってんだろうな、この研究員w
理系のヲタって精神面が未熟なヤシが多いよね・・・
>>133 悔しかったらこれくらいの熱意見せてみろよ(w
135 :
名無しさん@4周年:04/01/04 07:26 ID:zpNwWgN7
方法はどうかと思うが、被害が出ないと馬鹿共は対処しないからな。
被害者面している管理者共は入手した全個人データをばらまかれなかっただけ
感謝すべきだろう。
136 :
名無しさん@4周年:04/01/04 07:27 ID:pl70l48l
住基ネットの場合、被害規模がシャレにならんワケだが・・・
137 :
名無しさん@4周年:04/01/04 07:32 ID:GNK5jy9x
>>135 それはいつものことでしょう。
でもどうしてそういう話になるの?
138 :
名無しさん@4周年:04/01/04 07:36 ID:IS4zlIVG
>>133 精神面が未熟っつうか、ソーシャルスキルが低いんでしょ
>>135 研究員も自分のおかした罪は償うべきだろうな
140 :
名無しさん@4周年:04/01/04 07:37 ID:9xQrXv/z
141 :
名無しさん@4周年:04/01/04 07:47 ID:UNbL2Tmh
Officeぅううう
バカやってんじゃねぇぇええ
142 :
名無しさん@4周年:04/01/04 07:50 ID:hG0FziQW
これのせいで新年早々
株式会社アルクから年賀DMが届いたの鴨。
しかしこのDMが漏れにとって唯一の年賀だった。_| ̄|○
143 :
名無しさん@4周年:04/01/04 07:50 ID:LPNhv/q8
またこの記事は無茶苦茶だな。アカピー
144 :
名無しさん@4周年:04/01/04 07:51 ID:zpNwWgN7
>>137 自分に被害が及ばないために。
管理者側に被害が及ぶようになればまともに対応するようになるから
結果的に自分がこのような個人情報ばらまきで被害に遭いづらくなる。
>>139 法律に違反する行為があるなら当然。
ただし放置したという罪でも作って放置しておいた側も罰して欲しい。
145 :
名無しさん@4周年:04/01/04 07:57 ID:EFj0LiR5
新聞買ってきた。
一面トップだな、これ。
あと、社会面にも続きが載ってる。
「騒ぎ起こして修正迫る」「門前払いされ過激に」という見出し。
国立大研究員(40)へのインタビューが載ってる。
147 :
名無しさん@4周年:04/01/04 07:59 ID:GNK5jy9x
>>144 >被害が出ないと馬鹿共は対処しないからな。
この部分の話ね。了解しますた。
ただ、漏れは
「同日夜、都内で開かれたインターネットの安全対策担当者や
ハッカーを集めた集会で、参加者約300人に体験を披露。」
という行為のほうに注目しているよ。
149 :
名無しさん@4周年:04/01/04 08:05 ID:EFj0LiR5
>>144 > ただし放置したという罪でも作って放置しておいた側も罰して欲しい。
不正アクセス行為の禁止等に関する法律 第五条 がある。
第五条
アクセス制御機能を特定電子計算機に付加したアクセス管理者は、当該アクセス制御機能に係る識別符号
又はこれを当該アクセス制御機能により確認するために用いる符号の適正な管理に努めるとともに、
常に当該アクセス制御機能の有効性を検証し、必要があると認めるときは速やかにその機能の高度化
その他当該特定電子計算機を不正アクセス行為から防御するため必要な措置を講ずるよう努めるものとする。
150 :
森の妖精さん:04/01/04 08:07 ID:k4nxu8zN
これクロスサイトスクリプティングの話ですか?
151 :
名無しさん@4周年:04/01/04 08:10 ID:PDwIU6Ha
>>150 違うだろうなあ。クロスサイトで1200人の個人情報は取れんだろう。
>>148 見た上で言ってるんだけど、何ですか?
だからこそアドバイザリとしては好ましくないことをしたんじゃないのか
ってトコロに注目してるんだよ。
153 :
名無しさん@4周年:04/01/04 08:14 ID:BNiba+CQ
>国立大研究員(40)
大学名・実名公表しろよ。
人の個人情報晒したんだろ?
自分の主張が正しいと思うんだろ?
154 :
名無しさん@4周年:04/01/04 08:17 ID:9xQrXv/z
>>152 つまりは、アドバイザリ云々以前に、自分らが主催してる参加費8500円の
イベントで、面白おかしく発表するためのネタに、余所様の個人情報を選んで、
それを実際に取ってきて、面白おかしく手口と一緒に発表する行為が、40の
オサーンのすることだろうか、ということですなぁ
155 :
名無しさん@4周年:04/01/04 08:17 ID:Vm3f+DIn
ひろゆき重体
156 :
名無しさん@4周年:04/01/04 08:18 ID:dzDNtWyo
いまでもwinnyに大量の個人情報流れてるしなあ
TBCいまでも落とせるよ
どうなのかなあ
157 :
名無しさん@4周年:04/01/04 08:18 ID:zpNwWgN7
>>147 うん、その部分の話。
個人情報公開に関しては手段としてはさすがに駄目だろう。
>>149 サンクス。
でも不正アクセス行為の禁止等に関する法律を見ると
第五条に違反しても罰則は無いな。
どこまで責任を負わせれば良いかという線引きが難しいが、
侵入方法を明示されて対処を求められてすみやかに対処しない場合は
罰しても構わんと思う。
もし技術的に対処できなけりゃ、サイトを閉じてサーバ上のデータを
全部消せばそのサイトを起点とするそれ以上の被害の拡大は防げるし。
158 :
森の妖精さん:04/01/04 08:24 ID:k4nxu8zN
なんだ、こういうことか。。。初歩的な話じゃん。。
http://www.office.ac/tearoom/noframe.cgi#No.#1613-1 このcgiの問題を原理的に申し上げますと、「サーバの中のファイル表示をする機
能を持つcgiが、制限無くどのようなファイルをも表示できるようになっていた」
ということです。
従って、HTMLソースを見て「ファイル表示機能を持つcgiだ」と理解すれば、フ
ァイル名を指定するだけで、サーバ内のあらゆる情報を見ることができる可能性
を誰でも推測できたものと想像しております。特定のURLにアクセスすると個人
情報が表示されてしまうという情報漏えいのパターン(一例として2002.4のみず
ほ証券のサイト)がありますが、URLでのアクセス(GETコマンド)であるか、送
信ボタンを押す(POSTコマンド)であるかの違いだけで、その他は全く同一の内
容でした。私は確認していませんが、特定のURLでアクセスしただけでも、実際
には個人情報が表示できた可能性もあります。cgiの設置マニュアルなどには、
指定したファイルの表示をすると書いてあったはずでしょうから、cgiの設置者な
ら誰でも気づき得た問題だと思われます。
見れる方が悪い
160 :
名無しさん@4周年:04/01/04 08:37 ID:DHOwEevk
左巻きの大学の先生か!?
お馬鹿さんを逮捕しろ!!
162 :
名無しさん@4周年:04/01/04 08:41 ID:4zZk5Q/p
>>158 こんなのURL削りみたいなもんでハッキングじゃねえじゃん。
不正アクセスも糞もない。見れる情報を見ただけの話。
あとは道義的な問題だけ。
163 :
名無しさん@4周年:04/01/04 08:43 ID:B+wHG32c
スレタイを「個人情報守れぬサイト」にしたほうが面白いのに
165 :
名無しさん@4周年:04/01/04 08:48 ID:n4dmJXts
つーか、この研究員、いろんな意味で厨だな。
166 :
Ё:04/01/04 08:50 ID:khIuN00W
>>165 40才で「ギャハハハ」のカキコはないだろう、とは思った。
167 :
名無しさん@4周年:04/01/04 09:03 ID:9xQrXv/z
168 :
:04/01/04 09:06 ID:cHW7EwzV
>>7 > おれよく考えたら、2年連続姫はじめしてないや。
姫はじめって言うのは、1月1日にしなきゃだめなの???
169 :
名無しさん@4周年:04/01/04 09:12 ID:olmjLY3B
170 :
名無しさん@4周年:04/01/04 09:12 ID:fb0+erm2
不正アクセス防止法違反にはならんの?
171 :
名無しさん@4周年:04/01/04 09:18 ID:yeZtAmr1
ヘボいCGIと管理者が悪い
172 :
名無しさん@4周年:04/01/04 09:27 ID:4xWQZj1D
173 :
:04/01/04 09:28 ID:cHW7EwzV
「侵入」と「アクセス」の違いは何?
174 :
Ё:04/01/04 09:30 ID:khIuN00W
>>173 >2 前項に規定する不正アクセス行為とは、次の各号の一に該当する行為をいう。
>一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて
>当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、
>当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為
>(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
>二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて
>当該アクセス制御機能による特定利用の制限を免れることができる情報
>(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、
>その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を
>付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
>三 電気通信回線を介して接続された他の特定電子計算機が有する
>アクセス制御機能によりその特定利用を制限されている特定電子計算機に
>電気通信回線を通じてその制限を免れることができる情報又は指令を
>入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
らしい。
175 :
名無しさん@4周年:04/01/04 09:31 ID:X4tmbEpW
●就職率● 決定者÷(卒業者−進学者)
●2004.01.04 サンデー毎日 最新号●
東北大学 79.7% 東京大学 77.9% 名古屋大学 77.3%
大阪大学 76.7% 一橋大学 75.3% 北海道大学 75.0%
九州大学 75.0% 京都大学 70.8% 神戸大学 70.7%
慶応大学 68.5% 広島大学 66.4% 立命館大学64.4%
筑波大学 63.1% 法政大学 60.0% 早稲田大学 58.7%
明治大学 55.3% 上智大学 53.8% 以下哀れなので略
176 :
名無しさん@4周年:04/01/04 09:32 ID:Q5EFi9vk
177 :
名無しさん@4周年:04/01/04 09:33 ID:GVuckdbP
2ちゃんねるをみるともう少し詳しいことが載ってるかとおもたがそうでないなあ
2ちゃんの情報収集能力も落ちたものだね。
178 :
:04/01/04 09:36 ID:cHW7EwzV
>>174 うん、そうなんだよね。俺も不正アクセス防止法は読んだ。
なんだけど一番あいまいなのは「アクセス制御機能」なんだよな。
その気になればなんでもかんでもアクセス制御機能だって主張できるよなぁ。
アクセスされた側が「不正アクセス」だと主張する場合は、
そもそもアクセス制御機能が機能していないわけで。
じゃ、アクセス制御機能じゃないじゃん、っておもうんだが。
179 :
名無しさん@4周年:04/01/04 09:37 ID:FA9xDGLn
>>169 スゲエなこれ。
下級裁主要判決情報
高松地方裁判所丸亀支部 平成14年(わ)第62号,第107号 不正アクセス行為の禁止等に関する法律違反,電気通信事業法違反被告
http://courtdomino2.courts.go.jp/kshanrei.nsf/Listview01/FB3A4F499650F45249256CAE000A7508/?OpenDocument > 被告人は,パソコンでインターネットをしていて知り合った被害者gから会おうと誘われたが,内向的性格からこれに応
> じることができず苛立ちを募らせ,同女を困らせてこれを解消しようと,同女にわいせつなメール等が送信されるよう仕向
> けたが,その受信状況を確認しようなどと考え,また,その状況について同女に知らせようと同女のIDでメールを送信し
> て判示第1及び第2の各犯行に及び,不正アクセスが成功したことで味をしめ,病み付きになり,もっと性的な情報を得た
> いと考えて,女子中学生宛のメールを覗き見ようと判示第3の犯行に,また,乱交パーティ参加希望者のメールを覗き見よ
> うと判示第4の犯行に,それぞれ及んだもので,各犯行に至る経緯や犯行動機には倒錯した欲望,好奇心が窺われ,酌量の
> 余地はなく,執拗にパスワードを探索したり,頻繁に不正アクセスしていること,被害者のプライバシーを害するのみなら
> ず相当な迷惑をかけていること等からして,犯行態様も悪質である。余罪もかなり窺われる。
180 :
名無しさん@4周年:04/01/04 09:39 ID:jAFL6z9S
officeっていわゆるセキュリティ厨(セキュリティゴロ)に見えるんだが。
今回も単に晒しageしただけだし。手段と目的の区別がついてない奴。
俺は全角英数字を使う奴の気がしれん。
(・3・) アルェー つーか、オフスさんって雑魚キャラでSYO
183 :
Ё:04/01/04 09:43 ID:khIuN00W
>>178 生半可な知識での例えばなしになるけど、
柵も壁も無い、鍵もないし場所によっては窓や勝手口のドアが剥がれてる家でも、
勝手に入れば不法侵入になる。
って考え方でいいのでは?
もちろん、そんな管理してる主人も、注意や指導されてしかるべきだと思うが。
脇の甘い鯖にアクセスして個人情報を見たところまでと
そこから個人情報を抜き出してそのまま集会で第三者に晒した(おまけにピーコ可にした)のとは
そもそも別次元の問題だと思うのだが。
185 :
名無しさん@4周年:04/01/04 09:45 ID:zpNwWgN7
>>178 アクセス制御機能 は明確じゃないかい?
2条の3項を見ると、パス入れて照合する機能の事だと思われ。
186 :
名無しさん@4周年:04/01/04 09:46 ID:EFj0LiR5
>>183 それは、その家が個人の家だからで、お客さんも受け入れていないからだね。
ホームページのCGIの場合は、お客さんを受け入れている場所なわけで。
187 :
名無しさん@4周年:04/01/04 09:46 ID:eW+ooEhZ
自サイトの個人情報すら守れないのに、
他人の著作権を守れるとは思えない。
188 :
名無しさん@4周年:04/01/04 09:49 ID:Q5EFi9vk
189 :
:04/01/04 09:53 ID:cHW7EwzV
>>185 > アクセス制御機能 は明確じゃないかい?
> 2条の3項を見ると、パス入れて照合する機能の事だと思われ。
GETメソッドでCGIに渡されるパラメータについて、
それをパスワードだと解釈するかどうかはサーバに任されている。
PathInfo 経由だったりするとCGIにパラメータを渡しているかどうかさえわからない。
190 :
名無しさん@4周年:04/01/04 09:53 ID:3AdRnnht
脆へんの中のお魚さんも大変だな。
191 :
名無しさん@4周年:04/01/04 09:54 ID:zpNwWgN7
>>188 その形式で貼り付けたり公開した輩が罰せられると思う。
4条違反だろうな。
住居不法侵入罪と比べるってのはお門違いじゃないのかな。
194 :
:04/01/04 09:58 ID:cHW7EwzV
195 :
名無しさん@4周年:04/01/04 09:58 ID:es6Boo2d
真のスーパーハカーキタ━━━━━(・∀・)━━━━━ッ!
197 :
:04/01/04 10:00 ID:cHW7EwzV
>>193 ところで、あんた毎年しつこいね。
それやってて儲かるの?
198 :
Ё:04/01/04 10:01 ID:khIuN00W
>>186 インターネット上のデータは全て「お客さん」を受け入れる場所とも限らないでしょ。
住居の場合でも、出入り口はあるわけで、そこで認可された人物や物品のみが出入りされるわけで。
199 :
名無しさん@4周年:04/01/04 10:03 ID:A51qDwo0
A C C S 必 死 だ な w
200 :
名無しさん@4周年:04/01/04 10:05 ID:Fzi+WhmW
家の玄関の鍵を閉めていなかった
玄関から入って家の中を写真で収めた
その写真を近所に人に配る
その後、家の持ち主に玄関が開いてたと教える
201 :
名無しさん@4周年:04/01/04 10:05 ID:EFj0LiR5
>>198 ホームページサーバーが動いていたら、それだけで、「お客さんを受け入れている場所」でしょ。
柵がない家への住居侵入の例えが全くおかしいことは確かだと言いたいだけなんだけども。
初めにACCSに連絡していてACCSが対処しなかったんならACCSが悪い
203 :
Ё:04/01/04 10:09 ID:khIuN00W
>>201 基礎的なところで大勘違いしてるのかも知れないので確認なんですが、
HPサーバ上のデータは、全て公開されなければいけないの?
204 :
名無しさん@4周年:04/01/04 10:09 ID:cmn/yKd4
>>183 よくそういう例えを使う人がいるけど、住居等不法侵入は
公道と私有地を分け隔てる境界線ってのがはっきりしていて、
敷地内に誰でも自由に入っていける場所は無いから
ネットワークとはまったく別。
websiteってのはそもそも不特定多数の人間に訪問されることを
前提としているので、いわば敷地内に公共スペースがある状態。
そことプライベートスペースを仕切る腺が訪問者に見えなければ
それをまたいだことに気づけないのだから、不正アクセスとみなすのは困難。
ましてやURLをちょっと変えるだけで鯖缶が「プライベートスペース」だと
言い張る場所に飛べるのなら、それは逆にトラップを仕掛けたことになって
不正アクセスという犯罪を誘発した責任を問われることになるかもね。
(URLの改ざんが不正アクセスになると認められればの話だが)
まあそもそも不正アクセス防止法に頼ってばかりで、ロクに
管理しない鯖缶が一番悪いんだけどね。
法律なんてのは事が起こった後に有効になるのであって、
不正アクセスそのものを止めるパッチには変化しないしー。
apt-get update | apt-get upgradeくらいはしろよー。
ファイルシステム知らない奴にCGIなんて使わせるなよー。
205 :
名無しさん@4周年:04/01/04 10:10 ID:buPMze/n
名前出せばいいじゃないか。
Office氏にしてみれば仕事が増えるだけだし。
206 :
名無しさん@4周年:04/01/04 10:11 ID:zpNwWgN7
>>194 >漏れらには反論するすべがない、ということなんだ。
ここの部分は、つまりそのリンクを踏んだ際に踏んだ人間が不正アクセス防止法に
ひっかかるのではないかということだよね?
その際には、リンクが張られていたから踏んだで済むと思われ。
厳密にはアウトかもしれんが・・・
実際に罰せられるのは4条の適用でリンクを張った(掲示板なら書き込んだ)奴
ではないかと。
207 :
Ё:04/01/04 10:14 ID:khIuN00W
>>204 どうも。おおむね理解できたと思います。
で、この容疑者候補が個人情報を晒した件についてはどうなんでしょ。
208 :
名無しさん@4周年:04/01/04 10:16 ID:RGD5AnJf
わからんちんのオヤジたちの「わが社はどうなっとるのか」という質問に答えねばならず、明日が憂鬱
今回ご指摘の件は、新種のものでもなんでもなくて、
>158
にあるように要は、
#/bin/sh
cat $1
みたいなCGIがあるちゅうことでしょうか?
209 :
名無しさん@4周年:04/01/04 10:17 ID:EFj0LiR5
210 :
名無しさん@事情通:04/01/04 10:19 ID:/h3Q82tq
映画が見たくてレンタルビデオ店に来た しかし店員も客も居ない 防犯カメラもない でもウヒョヒョなお宝はイパーイ さてどうしよって感じ
211 :
名無しさん@4周年:04/01/04 10:21 ID:E9g/b05K
思うにaccsはまだ警鐘の意味がわかっていないと思うぞ。
212 :
名無しさん@4周年:04/01/04 10:21 ID:yeZtAmr1
所詮(ry
214 :
名無しさん@事情通:04/01/04 10:28 ID:/h3Q82tq
映画が見たくてレンタルビデオ店に来た
しかし店員も客も居ない
防犯カメラもない
でもウヒョヒョなお宝はイパーイ
さてどうしよって感じ
215 :
名無しさん@4周年:04/01/04 10:37 ID:FjfyWnky
今こんな馬鹿どもとは関係ない別系統のセキュリティ屋社長とまったりIMぶっこいてるんだが(w
「クズが消えるのは業界にとって喜ばしいことです」と喜んでる。
普段きちんと必要な手順踏んで仕事している身にとっては、業界からクズが淘汰されるのは
大変喜ばしいことだそうな。
これで大声出すしか能のない連中も一緒に淘汰されるともっと(・∀・)イイ!!
>>211 警鐘の鳴らし方も国際的な一種のルールが存在してる業界の話だぞ(w
ルールに則らなければどんどん告訴するのも当然。
216 :
名無しさん@4周年:04/01/04 10:40 ID:qUcXtOrC
217 :
名無しさん@4周年:04/01/04 10:42 ID:zpNwWgN7
>>215 その国際ルールをきぼん。
できれば日本語のやつを。
そんなの有るんだ・・・
不正アクセス禁止法のものすごく大雑把な禁止事項って
・他人のID/PASS使ってログインしちゃダメよん
・認証機能を迂回しちゃダメよん
・他人のID/PASSを教えたり売ったりしちゃダメよん
ってこと。
今回の例ではアクセス制御機能を迂回したかどうかが問題ね。
アクセス制御機能は不正アクセス禁止法第二条の3に定義されている通り、ここでは
ID/PASS に相当するもの。
秘密のURLはグレイゾーンだと思う。同様にファイル名を秘密にしてもグレー。
そもそもアクセスできる場所に配置していることで「秘密」ではないとも考えられる。
アクセス制御機構にあたるかどうかなんだけど、問題のCGIは
・ファイルを表示する機能を持っていた
・どのファイルを表示するか任意に選択できる機能を持っていた
・個人情報に相当する情報が記録されたファイルが WEB サーバ上にあった
ってことで、データファイルを読み出すよう指定すればOKだったってことだね。
つまり、アクセス制御機能は存在しなかったことになる。
「ふつうはそんなアクセスしないよね」っていう暗黙の了解しかしてなかったのよね。
アクセス制御っていってもそれは「正確なファイル名を知らなければ表示できない」
っていう程度のものでしかなかったわけで、認証機構とは違うもの。
つまり、不正アクセス禁止法では保護されない範囲。
www.kudpc.kyoto-u.ac.jp/~eba/souran-j.html
もしかしてこいつですか?
>>217 すごく大雑把だけど、確か
・まず問題の詳細を管理者に通知
・一定期間レスポンスを待つ
→レスがなければ行動
・レスがあれば対処まで待つ
→対処が無ければ行動
・対処済みを確認
みたいな流れ。
いきなり公開するのは少なくとも誰にも誉められない。
221 :
名無しさん@4周年:04/01/04 10:53 ID:Q5EFi9vk
なんか、Officeって論文も書いてないくらいなんだろ。
>>219の彼とは
違うと思う。
222 :
名無しさん@4周年:04/01/04 10:55 ID:I8D+xue8
女子高生のパンツと同じだな
パンツを見せたがっているように、短いスカートはいていて
ちょっと腰をかがめてみると、重大犯罪
普通の姿勢で見える分には無罪
223 :
名無しさん@4周年:04/01/04 10:57 ID:EFj0LiR5
>>220 続きの社会面に載ってる本人のインタビューコメントが興味深いぞ。読めれ。
224 :
名無しさん@4周年:04/01/04 10:58 ID:FjfyWnky
>>221 セキュ板の罵倒スレには「京都女子大」ってはっきり書いてあるから結構臭いかも。
>>223 朝日だっけ?おいらとってないのよね・・・
コンビニ売りのでも買ってくるよ。
226 :
名無しさん@4周年:04/01/04 11:01 ID:zpNwWgN7
>>220 サンクス。
妥当な手順だと思う。
個人的にはアクセス可能な状態になっていてもしらばっくれる企業や管理人が多いので
問題を大きくするためにもアクセス可能な事実をいきなり公開だな。
管理サイドが痛い目に遇わんと残念ながらまともに対応や予防がなされない事が多いし。
>>226 いきなり公開はマズいでしょ。
ユーザに被害が及ぶだろ?ユーザは騙されたようなもんだから被害を拡大しちゃダメ。
まず管理者にゴルァってから、それでもダメならユーザに対策つきで教えるために公開ならOKと思う。
管理者への連絡方法が無いとかそういうのは例外だと思うけど。
突然公開するのは法的に禁止されてなくてもマズいと思うよ。
228 :
名無しさん@4周年:04/01/04 11:05 ID:trN135h4
そういえば、こんなネタでもOfficeは 「0Day Exploit」だと主張していたな
この人のサイトここ数年全く見てないが、2CHができる前後時々見てたけど
セキュリティ問題とは別に
普段は普通で丁寧なのだけど問題があるなと思ってたよ。
何様だってスレが2CHにあるけど当時同じような感想だったな。
230 :
名無しさん@4周年:04/01/04 11:11 ID:FjfyWnky
>>226 最近は本気でアクションに出る前に、公的機関へ通告するって手順もある。
そのために
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
WWW:
http://www.jpcert.or.jp/ がある。
231 :
名無しさん@4周年:04/01/04 11:11 ID:zpNwWgN7
>>227 おっしゃる事は重々承知。
しかし正攻法ではなかなか事態が改善されないのもまた現実。
他者だけでなく自分の個人情報が晒される被害に遭う危険性も知った上で
それでもやはり違法でなければ即時公開を俺は選ぶ。
結果的に短期で改善され、この手の全体的な被害は少なく済むだろうから。
232 :
名無しさん@4周年:04/01/04 11:14 ID:S6qWyk+8
>>176 そこに書き込んだら当然IPブッコ抜かれるわけで
233 :
名無しさん@4周年:04/01/04 11:16 ID:9xQrXv/z
>>231 その暴露行為がなければ存在しなかった被害が出る以上損害賠償
請求されてもかまわないならそれでいいだろうね
234 :
名無しさん@4周年:04/01/04 11:18 ID:DFfgsvtF
>>231 違法じゃなければ、というのが微妙な言い訳けだが、現実に
無関係な人間が不利益を被るのはまずいんじゃない?
鍵をかけなくて不用心な家があるので、家人への警鐘のため
に扉を開け放した、っていうようなものだよ。結果として
泥棒にはいられたらどうすんのよ。
>>231 どうやら同業者(笑)の様子。
俺はいきなり公開は今のところ選んでいないな。
確かに相手によってはこっちを犯罪者と決め付けてきたり、全く誠意の無い対応を
してきたりする奴もいるのは確かだ。
虚しくなったり、なんでこんな奴に親切に教えてるんだろうと嫌になったりもする。
でも力技は反動も大きいんだよね。
雨雲より太陽でいこうよ。でも、時には厳しくいくのも必要だけどね。
例え相手が無知だろうと石頭だろうと、交渉事だってことは忘れないように。
世論を味方につけないと孤立するよ。
セキュリティ問題の調査は業務として請け負っていない限りグレーゾーンだから、
スケープゴートにされてしまうかもしれない。
プロに任せるところはセキュリティ意識あるからまだマシなのよ。
そうじゃないところには、アマチュアが出張るしかない。そしてそういう所にこそ問題が多い。
だからこそ慎重に行動しようや。
236 :
名無しさん@4周年:04/01/04 11:20 ID:S6qWyk+8
ACCS運営ホームページのセキュリティ問題について(2003/11/11)
本日までに(社)コンピュータソフトウェア著作権協会(ACCS)は、ACCSがいく
つか運営しているホームページの一つである、「著作権・プライバシー相談室
〜ASK ACCS」(
http://www.askaccs.ne.jp/)上の質問フォームから記入いた
だいた方の個人情報が、他のインターネットユーザーによって入手できる状態
に置かれていたことを確認致しました。
11月9日に、ある個人の方から、「ASK ACCSのホームページ上から個人情報を
入手できる」との指摘のメールをいただき、ACCSで確認したところ、この方が
メールに添付していた個人情報が、ACCSの保有している情報と同一であると判
明したことが発端です。この事実を確認した時点でACCSでは、問題のあった「
ASK ACCS」のCGI機能を停止するなど、技術面での緊急措置を実施したほか、
そのメールをいただいた方と連絡を取りながら、更に詳しい事実の調査を進め
ています。
これまでACCSは、情報の取り扱いについて注意を促す活動を行ってきており、
今回の事実につきましては、非常に遺憾であると同時に、事実を重く受け止め
ております。過去に「ASK ACCS」にご質問頂いた方々には、深くお詫びを申し
上げると共に、個人情報が拡散しないよう全力をあげて対応して参ります。
今後の「ASK ACCS」の運営につきましては、質問をいただく方々の個人情報の
記入の必要性も含めて再検討し、また、より強固なセキュリティを確立するた
めの対策を早急に実施致します。
なお、「ASK ACCS」以外の、ACCSのホームページ(
http://www.accsjp.or.jp/ )は、他のサーバ管理会社を利用して運営しており、物理的にも別のサーバで
管理されております。また、セキュリティ面についても問題がないことを既に
確認しております。
本件についてのお問い合わせ
(社)コンピュータソフトウェア著作権協会
セキュリティ問題担当: TEL 03-5976-5175
FAX 03-5976-5177
http://www.accsjp.or.jp/release/031111.html
237 :
名無しさん@4周年:04/01/04 11:20 ID:dpwrSMA/
問題になっている某研究員氏が某掲示板?の開発元に噛み付いていたのを
見たことありますが、熱血全力投球で猛烈に煽る有様に唖然とさせられました。
メールで即刻停止するように通告。
↓
掲示板上で煽りと暴言。
↓
無断で公開して実演。
どう考えても厨なんですよ。やり方が。どういう風に説明すれば理解が得られるのかという
ことについて一切配慮がない。俺が正しいんだからお前ら言うこと聞けみたいな論調。
セキュリティホールの存在が第三者のデータが流出したり損なわれたりすることよりも、
サイトの管理者が自分の言うことを聞かなかったということが許せないという風に見えました。
238 :
名無しさん@4周年:04/01/04 11:20 ID:zpNwWgN7
>>230 サンクス。
この様な組織がありましたか、これから見てみます。
このような組織を通じて適切に指導や公表が行われるならそれはそれで。
個人情報を晒される被害者が増えるのは本意ではなく、該当サイト等の晒し上げが
行われる等で管理側が何らかの形で痛い目を見て、その結果全体として個人情報漏れが
減れば良いので。
>>234 その例えはよく見かけるけど正確じゃない。
「誰でも見える店頭に名簿を放置していたことを指摘した」程度。
店舗内だからって誰にも見られないことを期待した店舗がマズい。
もちろん、だからといっていきなり名簿を手にとって通行人に
見せびらかすのも誉められたもんじゃないが。
240 :
名無しさん@4周年:04/01/04 11:23 ID:PgDAzhUF
庶民の敵 ACCS!!!
241 :
てゆうか、修正スクリプトが出てる時点で警告はされてると思うのだが:04/01/04 11:24 ID:lmF/Kt6H
>個人情報が流出可能な状態で3年間以上運用されていたことになる。
>
>脆弱性が修正されたスクリプトも配布していたというが、実際には適用されずに放置されていた。
ミ,,゚Д゚彡y━~~ 警告送ったら送ったで、こっそり修正して「そんな事実はなかった」と言いそうだしなぁ。
242 :
名無しさん@4周年:04/01/04 11:25 ID:FjfyWnky
Q: サイト運営者の依頼を受けて安全性を検証すれば良かったのでは?
A: 一度バイトで引き受けたがが楽しくなかった。脆弱さを指摘した相手の対応の仕方に興味がある。
(サイトに入るための)攻撃コマンドが決まったときはすかっとする。
上記朝日新聞からの引用(買ってきた)だが、とりあえず逝って良しだこの発言だけで。
>>238 JPCERTは現状ではあんまり動いてくれないらしいよ。
セキュリティホールmemoのログを読むと小島氏の嘆きが読める。
JPCERT自身も問題を認識していて改善の動きがあるらしいので
期待できるとは思うけど、すぐ役立つわけじゃないので一応ね。
>>237 以前の印象のまま変わらずだな。対応が大人ではない感じ。
245 :
名無しさん@4周年:04/01/04 11:26 ID:eW+ooEhZ
ACCSはウザいので今回のニュースは爽快ですね。
246 :
名無しさん@4周年:04/01/04 11:27 ID:9xQrXv/z
>>239 それは、過失相殺と言って民事訴訟では賠償額が減額される(0にはならない)
時に適用されるだけで、あるいは刑法犯については単に量刑について斟酌さ
れるに過ぎない事情なんだがね。
そもそもこういう
>>235 >どうやら同業者(笑)の様子。
>俺はいきなり公開は今のところ選んでいないな。
>確かに相手によってはこっちを犯罪者と決め付けてきたり、全く誠意の無い対応を
>してきたりする奴もいるのは確かだ。
>虚しくなったり、なんでこんな奴に親切に教えてるんだろうと嫌になったりもする。
自警団の熱い団員みたいな痛い発言は勘弁なw
247 :
名無しさん@4周年:04/01/04 11:27 ID:Q5EFi9vk
Officeはウザいので今回のニュースは爽快ですね。
>>241 >ミ,,゚Д゚彡y━~~ 警告送ったら送ったで、こっそり修正して「そんな事実はなかった」と言いそうだしなぁ。
それはそれでまだいいと思う。
俺は酷い仕打ちを受けたらやりとりを証拠にしたれと思うけど、幸い今のところそこまで
腹立たしい対応をされていない。
俺が悠長なだけかもしれないから、みんながみんなそうだとは思わないけど。
事後の情報公開はどんどんやってもいいと思うよ。
249 :
「面倒だったから」だろと:04/01/04 11:31 ID:lmF/Kt6H
>>248 >なぜ改良スクリプトが適用されなかったのかは「調査中」だとしている
ミ,,゚Д゚彡y━~~ こんなこと言ってる所だしなぁ
250 :
名無しさん@4周年:04/01/04 11:32 ID:FjfyWnky
>>235 だから商売な連中は、地味にやって関係者の信用積み上げてるわけで。
馬鹿が騒げば騒ぐほど、業界全体がいかがわしいモノとして見なされるのも事実。
実際、表に出てる連中って例外なく業界内での信用を持たない連中でそ。
盗聴器発見屋はいかがわしい代物だろうに(w
>>246 やあ、熱かったか(;^-^)
自分が利用したいサービスが安全かどうかあらかじめ見る程度なんだけどね。
便利そうなのに危ないなら使いたくないし。でも良くなったんなら使いたい。
だから知ったことは管理者に教えるよ。使いたいサービスだから直して欲しいし。
ネット関連とかセキュリティとかはほんと難しいね。
252 :
名無しさん@4周年:04/01/04 11:35 ID:zpNwWgN7
まずは皆さんの御忠告・アドバイスに感謝します。
>>233 そのような危惧が有るので、通報ルールが有るなら聞いておこうと思った次第で。
>>234 リスクは有るができるだけ短期的に継続してそれも大きく事を起こした方が
結果的に早く対処されるのではないかと考えているので。
現実問題、その手の情報を手に入れようとする人は今回と似たような方法で
調べるだろうから、他の人にとっても全体的に早く対処される方が結果的に
被害は小さいのではないかと思う。
>>235 危機管理という点で共通しているかと。
>世論を味方につけないと孤立するよ。
だからこそ、公開するなら匿名で。
この手法では個人名は出せない、確実に晒された人達から反感を買うので。
まあルールに従って対処して、対処後に晒し上げがベストかな?
>>250 そうそう。
だからこそいきなり大声てのはマズいんよ。
でも業務外の奴がいないと意識の低い連中は動かないよ。
だからといってどんどんやれとは思ってないよ。
はやくサービス提供してる人がみんなそれなりになってくれればと思ってる。
そうすりゃアマチュアなんかそうそう出る幕無くなるでしょ。
254 :
名無しさん@4周年:04/01/04 11:41 ID:zpNwWgN7
>>243 そこのサイトも読んでみますわ。
危機管理はわからん人にはわからん事だから難しい面が多いしね。
事が起こるまでは単なる無駄扱い、そして気付いた時には遅すぎる。
255 :
名無しさん@4周年:04/01/04 11:41 ID:FjfyWnky
>>243 一番問題なのは、いかがわしい連中ほど声がでかいのが調査関連業界全般の傾向だってこと。
JPCERT以外にも公開されてない警告ルートは存在するんだが、そういうルートの対応は本当に
早い。
まぁそれでも先方の対応が酷い例はあるけどね。
ちなみにそういうルート開拓するには一に信用二に信用、だそうな。
そうやって積み上げた結果。
256 :
名無しさん@4周年:04/01/04 11:44 ID:z0xYnO+I
CGIに脆弱性があるかのごとく解説する朝陽はタコ
「ココは事故が起こるぞ!」
って言ったけど、誰も聞いてくれなくて、
キレてスクランブル交差点に突っ込んでいって、
「ほらみろ、事故ったらこうなるんだよ!」
つって捕まった人の話で盛り上がってるのはこのスレですか?
>>255 調査関連業界かあ。
特殊なルートでないと警告が届かないのはよくないね。
安全神話ってのが背後にあるせいか、ほんと危機管理難しいよな。
人脈や信用関係のあるルート通すと確かに対処早いケースが多い。
信用問題ってのは激しく同意。信頼を勝ち得る行動が必要。
>>257 そういう事態は悲しいので、今後減らすためにどうしようかというスレ。
失敗した人を笑い飛ばせば失敗が減るならいくらでもそうするさ。
260 :
森の妖精さん:04/01/04 11:50 ID:k4nxu8zN
>>研究員は、一般に広く使われているCGIプログラムの「欠陥」を、官庁などのサイトについて公表してきた。
>>今回もその欠陥を突いた形で、CGIの安全対策が問い直されそうだ。
CGIのプログラムに欠陥があるというよりは、
CGIでつくられた今回のプログラムに個別に瑕疵があったというだけの話なんだが。
相変わらずアサヒは話を大きくしようと勤めてますね。。。
261 :
名無しさん@4周年:04/01/04 11:51 ID:z3Qmeto9
朝日新聞の文面ヘンね。
httpでアクセスすることが
「サーバに侵入」か。
262 :
名無しさん@4周年:04/01/04 11:52 ID:FjfyWnky
>>260 別に日本語としては間違ってないと思うけど。
個別でなければperlかJavaかってことになりゃせんかね?
>>257 言いえて妙だね。259もそうだけど。
でもそれだけでなくかつての本人の言動が引き金になってる気がする。
264 :
名無しさん@4周年:04/01/04 11:55 ID:R0Iwsvjp
JPCERTは全然だめらしい.
> だから商売な連中は、地味にやって関係者の信用積み上げてるわけで。
自分とこのビジネス的にはそうなんだけどね.意識高いところの信用を勝ち取りたい.
だけど,意識低いところはどうともならんわけで,一消費者としてはどうしたもんかと思うことしばしば.
265 :
名無しさん@4周年:04/01/04 11:55 ID:FjfyWnky
>>258 一般ルートとプライオリティの違うルートが存在するのは当然かと。
一般に公開しているルートは当然ゴミも多くなるからね。
ゴミを振り落とす処理に時間が掛かるのもある意味当然。
安全神話とかそういう以前に、ハカーって連中がクラッカーと世間から
同一視されとれる現状考えれば、信頼関係が無ければまともに
相手すらしてもらえないのは当然だに。
266 :
名無しさん@4周年:04/01/04 11:56 ID:CwrHT+7x
大規模ネットワークテロの場合、NTT他通信会社、防衛・警察系通信セキュ
リティ会社の連絡網は通産省がネットセキュリティとか騒ぎ出す前からあったよ。
267 :
名無しさん@4周年:04/01/04 11:56 ID:ilA+Pw0T
268 :
名無しさん@4周年:04/01/04 12:00 ID:FjfyWnky
>>266 結局旧通産系の連中って、みんなハッタリ屋だろ?
269 :
名無しさん@4周年:04/01/04 12:01 ID:9xQrXv/z
プログラム上の欠陥はともかくとして
データファイルの名称を推論して実際に試す行為
=制限されている特定利用をし得る状態にさせる行為
が成り立つかどうかが不正アクセスかどうかの判断ということになりそうね
ま、ブルートフォースでパスワード盗る方法に比べてすら恐ろしく原始的
ではあるが原始的だからって見逃してくれる保証はないわけでw
>>260 >CGIでつくられた今回のプログラムに
何かおかしくないか?
CGI= Common Gateway Interface だよ?
>>265 ま、そりゃそうだわな。信頼性の高いチャンネルに参加できるよう努力し続けないと。
信頼関係。大事だよ。
個人でやるのはとても難しいけどね。
だからこそ、会社としてやってるとこに頑張って欲しい。
実態はまだまだ不安なサービスが多いと思うんだ。正規のまともな方法で
どんどん啓蒙してやってくれ。
それがセキュリティ業界を潤すことにもなるし、安全性を上げることにもなるし、
なにより大多数の一般ユーザが安心していろんなサービスの恩恵にあずかれる
ようになることに繋がるんだから。
>>269 でも下手にソレ認めちゃうとディレクトリも掘れないわけで。
一種のガイドラインとしてきっちり判例出してくれたほうがスッキリするだろうな。
273 :
名無しさん@4周年:04/01/04 12:06 ID:q9d+XuIb
officeうざいので逮捕しろ。
274 :
名無しさん@4周年:04/01/04 12:10 ID:CwrHT+7x
>>268 旧通算の場合セキュリティ会社はこれから育てる産業だろうし、
警察・防衛にとっては最初から信頼が必要だからそうなったのだろうね。
276 :
名無しさん@4周年:04/01/04 12:15 ID:mg2wUoM4
277 :
名無しさん@4周年:04/01/04 12:16 ID:9xQrXv/z
>>272 officeの謝罪文から、あるいは以前から他のCGIにAD200Xのメンツと一緒に
仕掛けてきた手法から、officeに個人情報を抜くという目的についての故意
があったことは明白なので、単にApacheが用意するディレクトリ
リスティングのハイパーリンクをたどった/ディレクトリのURIを直打ち
した、などというのからは飛躍しており同視はできない、筈
278 :
名無しさん@4周年:04/01/04 12:17 ID:RGD5AnJf
京都女子大?
京大御用達女子大だが、国立じゃねえだろw
消費者の味方?
長野県の住基ネットの侵入実験見て、「俺も」とか思った勘違い似非ハッカーだろうが。
やっていることは犯罪以外の何者でもない。
首吊って死ねよ。
正義振りかざして、やっていることは盗みか?ワラワセテクレル
280 :
名無しさん@4周年:04/01/04 12:19 ID:CwrHT+7x
元々旧痛産がマッチポンプになり易い業種育てようと軽はずみなこと考えたのが
間違いだと思う、軽札監督官庁になって探偵業界で困ってるわけだから。
こと、犯罪相手となると道路公団のように天下りは難しいようで。
281 :
名無しさん@4周年:04/01/04 12:23 ID:ctWKuX+F
こんなの明らかに不正アクセスじゃん!
勝手に住基ネットに侵入した長野県と併せてタイホしなさい!
282 :
名無しさん@4周年:04/01/04 12:24 ID:JSgcH4F1
283 :
名無しさん@4周年:04/01/04 12:28 ID:q9d+XuIb
こんなセキュリティテロリストを認めたら高木さんのように
真面目にやっている人まで同じに見られてしまう。
officeは氏ね。
>>283 Officeは高木の取り巻きでしょw
高木をおだてつつネタを分けて貰って実行部隊として率先して実践
これで逮捕されたらかなり笑えるので是非とも摘発して欲しい
285 :
名無しさん@4周年:04/01/04 12:34 ID:vidIhyc6
>>283 高木氏のコメントは微妙だな。迷惑がっているようにも見えるが、擁護しているようにも見える。
286 :
名無しさん@4周年:04/01/04 12:34 ID:eW+ooEhZ
ACCS工作員が暴れてるな
287 :
名無しさん@4周年:04/01/04 12:37 ID:BFHqgQSI
>>286 ファーストサーバー工作員の間違いでは?
ACCSは既にこの件に関しては記者会見を開いているから慌てる必要は無いだろ
288 :
名無しさん@4周年:04/01/04 12:38 ID:AeKIdQRK
LΛC工作員Uzeeee
289 :
名無しさん@4周年:04/01/04 12:39 ID:CwrHT+7x
>>255 そう思って安心してもらっては困る。
警察無線納入業者が、過激派の色気女スパイに暗号化アルゴリズムを盗ま
れてしまった事実もあるし、暗号鍵長がアメリカの国歌標準暗号より長かった
のに解読されて、警察庁警備局・警視庁公安部が困ったこともあるから。
グリコ・森永事件より後だから最近の話だろ。
>持参したパソコンにこの情報を保存した参加者もいたという。
こいつら、ただの好奇心だろ。何をする訳でもないんだろうが、
面白いっつーだけで他人のデータを気軽に扱うなんて、クズだな。
ハッカーなんて、テクはあっても頭の螺子がどっか緩んでて
モラルに欠けるんだよなァ・・・ 一発ぶん殴ってリアルな痛み
で目を覚まさせてやりたいね。
291 :
名無しさん@4周年:04/01/04 12:42 ID:BFHqgQSI
>>290 >ハッカーなんて、テクはあっても頭の螺子がどっか緩んでて
>モラルに欠けるんだよなァ・・・ 一発ぶん殴ってリアルな痛み
>で目を覚まさせてやりたいね。
暴力に訴えるヤツがモラルを語るなよ(w
>>246 >それは、過失相殺と言って民事訴訟では賠償額が減額される(0にはならない)
>時に適用されるだけで、あるいは刑法犯については単に量刑について斟酌さ
>れるに過ぎない事情なんだがね。
(´,_ゝ`)プッ
構成要件段階から問題になるわさ。
ちなみに、ちなみに実体法である民法で(ry
293 :
名無しさん@4周年:04/01/04 12:46 ID:eW+ooEhZ
ドキュモといいア糞といい大所帯が問題起こしても
すんなり謝罪するってことはまずないな。
必ず北朝鮮みたいに開き直りやがる。実に分かりやすい。
294 :
名無しさん@4周年:04/01/04 12:47 ID:rJ0AJkiA
うんで、集会を主催したADにはお咎めはなしなの?おふぃすの管理責任は問われないの?
295 :
名無しさん@4周年:04/01/04 12:47 ID:CwrHT+7x
判例からいうと北海道銀行事件だろ。
電電公社職員が公社の金融機関システムが甘いと、交換機のTWSでCDのデータ
盗聴しかけて、キャッシュカードを偽造して、他人の預金を引き下ろした事件。
電算機利用詐欺も電磁記録不正作出もなかった時代に窃盗になっている。
296 :
名無しさん@4周年:04/01/04 12:49 ID:AeKIdQRK
>>289 もしそれが本当としたら、アルゴリズムが盗まれたくらいで解読されるような脆弱な暗号を使う方が悪い
アルゴリズムが公開されてても解読できない暗号はたくさんある
aes,3des,rc4,cameria,mistyなんかがそうだね
>>291 文盲かなんか知らんが、つまらん誤読のツッコミさんきゅ。
こういう風にテクストとかデータばっか扱ってると、相手の
言いたいことも分からなくなって人格歪んでくるんだよね。
もっと現実を知れっつーこった。
298 :
名無しさん@4周年:04/01/04 12:50 ID:hGvMeEFd
ACCS面子丸つぶれ
299 :
名無しさん@4周年:04/01/04 12:51 ID:CwrHT+7x
>>296 敵方のCPUパワーにもよるから一概にはいえない。
ハカーコワイコワイヒー ガクガクブルブル
301 :
名無しさん@4周年:04/01/04 12:55 ID:AeKIdQRK
>>299 すくなくとも、過激派ごときでは64ビット暗号の解読も無理だと思うけどね
何万台もPC集めるのか?
NSAが暗号解読専用ハードウェアを作って128ビット暗号でも余裕で解読できる可能性は否定しないけどね
302 :
名無しさん@4周年:04/01/04 12:56 ID:iE2Ixxm+
東大大好きヽ(´▽`)ノ
303 :
名無しさん@4周年:04/01/04 12:58 ID:M5pMECnM
警鐘を鳴らしていると言うのは言い訳
本当は「俺はこんなこともできるぞ」と他人に見せつけて優越感を得るため
>>302 Domain Details
==============
OFFICE.AC (DOM-5354)
Naohira TAKEDA 7-3-1 Hongo Bunkyo-ku Tokyo Tokyo Tokyo 113-8656 Japan
305 :
名無しさん@4周年:04/01/04 12:59 ID:XvZ/dzqi
なんにせよ、クラッキング歴を得意げにご披露するとは、40歳の大人のすること
とも思えませんな。
逮捕されてキツーいお灸を据えられた方がいいねw
306 :
名無しさん@4周年:04/01/04 13:00 ID:4rZmkPtN
見せしめとして、執行猶予1年、禁固6ヶ月ってとこですか。
データ流出の罪としては無罪。
307 :
名無しさん@4周年:04/01/04 13:01 ID:CwrHT+7x
>>296 バイナリ(2進)にした時にSボックスの差分か差分の平均値に弱くて、パトカー
盗まれて音声的な既知平分喰らったのだろう。
その時に線形解読法知ってるヤシいたら自衛隊納入業者も危ないんでないかい?
308 :
名無しさん@4周年:04/01/04 13:01 ID:aj9PU18o
>>303 物事をどう捉えるかというのは、
鏡に向かい合うようなものだ
309 :
名無しさん@4周年:04/01/04 13:08 ID:aa7tqRiv
>>296 >>299 AES,CAMERIA,MISTYは、未解読のはず。
3DESはどこかで破られたかも知れない
RC4も鍵長が短いものだけ解読済み。
(スパコン1年分くらい使って)
米国政府と同盟国以外には破られていないと思う。
警察無線が破られたのは、無線機自体を盗まれてROMを読まれたからだと思う。
これなら何億ビットあっても、どんな暗号方式でもムダ。
(RSAを各通話毎に使えば、全部を盗聴しなければいけない。簡単なタイプだと、WEPのように2日くらい張り付いて聞いていれば解読可能だが)
相談するだけで個人情報を書きこまなければならないACCSのシステムがおかしいのでは?
311 :
名無しさん@4周年:04/01/04 13:17 ID:CwrHT+7x
>>309 日本の警察の暗号鍵長は110bitなんだったけどそれが破られたのですよ。
DESにしたって破られたのはEBCモードだけだったのでは?
ただ警察無線で破りやすかったとすれば、「突撃」と言えば同時にその無線
を聞いた人全員に伝わらなくてはならないので(鍵のパリティ、電文のパリティ)
で秘匿性より電文の正確性を重んじた為にそのような結果になるのではない
かと思っている。
312 :
名無しさん@4周年:04/01/04 13:19 ID:aa7tqRiv
>>307 暗号について会話できる人がいてウレピー
自衛隊も既知平文攻撃で破られるほどヤワでは無いだろう。
(既知平文攻撃・・暗号文と平文hirabunの両方を入手して、中味を解析する)
線形解読法は米政府は1970年以前に、一般には松井充氏が1993年に完成。
可変S-BOXで防げる。(簡単なタイプは警察無線にも入っていたそうです・・ラジオライフに過激派が発表)
313 :
名無しさん@4周年:04/01/04 13:21 ID:rhkH20vP
なんで相談するだけで個人情報を書きこまなければならないんや?
え、ア糞!
314 :
名無しさん@4周年:04/01/04 13:29 ID:9lleCuq/
>>313 というかそれ以前に、著作権管理団体なのに、どうしてプライバシー相談を受け付けていたのかわからん。
どういう理屈なの? 誰か教えて。
315 :
名無しさん@4周年:04/01/04 13:33 ID:aa7tqRiv
>>311 ここは暗号スレでないと思うが(ウザイと言われたら止めます)・・
(雑誌に載っていた過激派の発表から推測)
実際は300ビット位と記憶する。それは基本変換を行い、それに別のビットを加え、単純なS-BOXで変換して完成だったと思う。
ROMを逆アッセンブルしてアルゴリズムを解析し、基本鍵はROMから読み出す。系により定期的に交換される鍵は鍵長が短いので、鍵ビットをローテートして、音声認識をかければ、割れるだろう。
家宅侵入、ピッキング、協力者、脅迫、買収などによって、定期的に交換される鍵を読み出していたかも知れない。
解読記事が絶対インチキと警察が信じていたのは、理由が無いわけではない。
316 :
名無しさん@4周年:04/01/04 13:37 ID:CwrHT+7x
SATや部隊活動系が使う暗号通信は、非同期通信で復号(復元性)が高い
暗号の方が良いように思います。
それこそ、公安やSPが使う「おい、首相がこれから靖国神社に行くそうだ。し
っかり警備しろや。(゚Д゚)ゴルァ!!」なんて通信は、正確性が高い方がよいように
思います。
ただ、この話はグリコ森永事件の頃のCPU速度の話だから。技術の進歩に
よっては知りません。でも最新鋭のデジタル携帯電話の遅延考えるとやはり
そうかと思います。
317 :
名無しさん@4周年:04/01/04 13:44 ID:CwrHT+7x
>>315 それ、ネットで解読器売っていて、最初に警視庁公安部だけで300bitくらいに
暗号鍵変えただけで、実際は公安以外のネタをあるときまでマスコミも110bit
鍵で聞いていた時代があるのですよ。
318 :
名無しさん@4周年:04/01/04 13:49 ID:yKtWpUnH
「CGIの安全対策」って、あんた・・なんか違うんじゃないか?>asahi.com
もっとASAHIパソコン読んで勉強すれ。
319 :
名無しさん@4周年:04/01/04 13:51 ID:vOww3i71
やはり、「祭り」にすべきだろうな。
320 :
名無しさん@4周年:04/01/04 13:53 ID:BFHqgQSI
321 :
名無しさん@4周年:04/01/04 14:00 ID:7rdpGZk/
こういうので一番ありがちな犯罪動機だな。
一度職を失って自分が侵した罪を反省させるのが効果的。
ACCS得意のおとり捜査(蜜壷?)だが実データを用いるのやりすぎの面もあり。
322 :
名無しさん@4周年:04/01/04 14:03 ID:vQYIyAcj
>>314 もちろん、プライバシー情報を無断共有するためです。
323 :
名無しさん@4周年:04/01/04 14:06 ID:gIm2va9L
馬鹿だなこいつは
324 :
名無しさん@4周年:04/01/04 14:08 ID:bmYtc02O
>>313 書き込みの信頼性を上げるため。荒らし対策には有効だと思うが。
325 :
名無しさん@4周年:04/01/04 14:09 ID:v5xPnOhx
326 :
名無しさん@4周年:04/01/04 14:11 ID:uOous3qm
つまるところ、自分が見つけた脆弱性を「見て見て〜」ってやるのに必死で、
情報晒された相手のことを考える余裕がなかった、と。
327 :
名無しさん@4周年:04/01/04 14:12 ID:ZtglLKWH
ところで個人情報が公開されると何がいけないの?
328 :
名無しさん@4周年:04/01/04 14:13 ID:CwrHT+7x
>>315 当時の警察無線の平分の1ブロック長は64bitですが、平分より長い暗号鍵な
らいくらでも絶対に解読不能な暗号は作れます。バーナル暗号以来の大発明
ですね(w
貴殿はその警察のコメントらしき話聞いて妄想電波だと思わなかったのでしょう
か?
329 :
名無しさん@4周年:04/01/04 14:14 ID:rhkH20vP
>>324 荒しさんが本当の住所や電番をカキコするものなんでつか?
330 :
名無しさん@4周年:04/01/04 14:18 ID:zB6TXHw1
対策ちゃんとしてないACCSも馬鹿だが、それを指摘するために第三者の個人情報を
利用して迷惑掛けたこいつはもっと馬鹿だな。
結局、こいつが一番、何のためにセキュリティーを強化しなきゃいけないか分かってないんじゃないのか?
331 :
名無しさん@4周年:04/01/04 14:21 ID:aa7tqRiv
>>328 よく分かりません
・平文より長い暗号鍵でも、重複使用すると簡単に破れます
・警察(暗号専門家を除く)は上記の理由で、絶対解読不能と思ったのでしょう。
(私は+7xさんの思うとおり、音声暗号の接続性と冗長性から考えて破れるとは思いましたが、中味を知って普通の解析では無理だと思いました。本当に普通に解読したら、○○電機か多分防衛庁が三顧の礼で迎えてくれるでしょう。)
・バーナム暗号を勘違いなさっているのでは?
「相手の対応の仕方に興味があった」
やれやれだ。
333 :
名無しさん@4周年:04/01/04 14:23 ID:/K5PYh3T
>同日夜、都内で開かれたインターネットの安全対策担当者やハッカーを集めた集会で、参加者約300人に体験を披露。
>「証拠」として、持ち出した個人情報の一部を公表した。持参したパソコンにこの情報を保存した参加者もいたという。
結局、ここが問題なんだろ。
あとはショボいプロテクトしかかけてなかったところが悪い。
334 :
名無しさん@4周年:04/01/04 14:24 ID:BFHqgQSI
>対策ちゃんとしてないACCSも馬鹿だが、それを指摘するために第三者の個人情報を
>利用して迷惑掛けたこいつはもっと馬鹿だな。
そんなCGIを提供していた上場企業のクボタの子会社のファーストサーバーは最低ということでよろしいか?
335 :
名無しさん@4周年:04/01/04 14:30 ID:JfB2NLdx
officeさんて、そういう人だったんだ……
336 :
名無しさん@4周年:04/01/04 14:32 ID:zB6TXHw1
ACCSは居丈高な態度の割には足元見てなさすぎ、国立大研究院は警鐘の鳴らし方が下手すぎ、
ACCSに相談した人はこんなところ信用した人が悪いという事で。
337 :
名無しさん@4周年:04/01/04 14:34 ID:bkGBLLML
研究員よくやった!
338 :
名無しさん@4周年:04/01/04 14:36 ID:JfB2NLdx
しかし
>>1の引用記事で、「ハッカー」の使い方が微妙だな。
マスコミ用語の犯罪者としてのハッカーと、本来の意味のハッカーが入り交じっていて、
目が点になった読者も多いのではないだろうか。
339 :
やっしー:04/01/04 14:40 ID:vlIL4ACd
住基ネット潜入まだー?
340 :
名無しさん@4周年:04/01/04 14:41 ID:FjfyWnky
なんか出かけて帰ってきたら旧通産系の鳥さんが必死かも(w
341 :
名無しさん@4周年:04/01/04 14:42 ID:CwrHT+7x
>>331 色気で釣られてアルゴリズム破られたのが横浜で鎌倉じゃなくって(w
数学的にはバーナル暗号は私の言ってることで同じだと思いますよ。
実際には使えない暗号となりますから
バーナル暗号 平文長=暗号長(2進10進他進の変換の時の細かな桁数の違いはいは言わない)
それはそれでいいです。
「平文長<鍵長」
「平文長(ブロック)<鍵長(全ブロックで300bit)
暗号アルゴリズムにもよりますが、
暗号鍵の他の約束事を先に渡したりしなければなりませんか?
結局暗号アルゴリズムが知られた場合全部隊の暗号アルゴリズムを
変えなくてはならないことになりませんか?
攪乱鍵を何に使うかにもよりますが、音声通信ではないと思います。
342 :
井尻 ◆2bWXZoSE7M :04/01/04 14:42 ID:dp+aYUk5
SGIのほうが怖い
343 :
名無しさん@4周年:04/01/04 14:42 ID:dAmoGYk7
僕の肛門もセキュリティホールです。
344 :
名無しさん@4周年:04/01/04 14:44 ID:+a6/fcVM
>>329 逆。本当の住所、名前以外は扱わなければいいだけのこと。
>>278 セキュ板とかの罵倒レス見てると、バイトで非常勤ってとこじゃないかな>京都女子大。
小間使いとか言われてるし。
346 :
名無しさん@4周年:04/01/04 14:53 ID:eW+ooEhZ
>>334 そんなサーバーを利用していたACCSは最低ということでよろしいか?
罪をクボタになすりつけて逃げようとするとはさすがア糞。
ちゃんとリサーチしていい鯖を選ぶ義務がACCSにはあったはず。
ACCSは相談者に対しての責任を果たしていないばかりか。
全部クボタのせいにしようとしてるねw
347 :
名無しさん@4周年:04/01/04 14:56 ID:CwrHT+7x
>>341 ごめん訂正
誤>バーナル暗号 平文長=暗号長(2進10進他進の変換の時の細かな桁数の違いはいは言わない)
正>バーナル暗号 平文長=暗号鍵長(2進10進他進の変換の時の細かな桁数の違いはいは言わない)
348 :
名無しさん@4周年:04/01/04 14:59 ID:+a6/fcVM
349 :
名無しさん@4周年:04/01/04 15:02 ID:amRd0ubG
40歳ってことは助教授か教授?
350 :
名無しさん@4周年:04/01/04 15:06 ID:liwCNhew
351 :
名無しさん@4周年:04/01/04 15:10 ID:zB6TXHw1
>>348 責任押し付けられて切り捨てられそうな側からすれば、そりゃ必死にもなるだろうて。
352 :
名無しさん@4周年:04/01/04 15:12 ID:oRK9uhfR
例えば、
www.hoge.jp/cgi-bin/hoge.cgi?xxx
のような使い方をするcgiを
www.hoge.jp/cgi-bin/hoge.cgi?../
にしたら上のディレクトリ構造丸見えになるとか
この場合index.htmlやパーミッション制限してても見えるよね。
cgiが返すデータがディレクトリ構造そのものだから。
よーしパパ、ディレクトリ全部ぶっこ抜いちゃうぞ!とかいって、
hoge.cgi?../../../とかされた日にゃ。。。。。
>>352 立花書房の逐条解説どこ逝った〜〜〜
事例がかなり細かく列記されてたんだが〜〜〜
>>349 助教授か教授だったらそう書くだろ、こういう場合は。
形式上、時間雇用か日雇いになっている非常勤研究者かと
そういう漏れも某国立大の研究員(´・ω・`)
もっと若いけどな
警鐘を鳴らすだ?
何様のつもりだよ、たかが研究員ごときのくせに。
ちゃんと社会人やって、現場で経験をつめ
356 :
名無しさん@4周年:04/01/04 15:41 ID:FjfyWnky
357 :
名無しさん@4周年:04/01/04 15:42 ID:czVKGk+H
>>355 たぶんACCSはそういうセリフをグチりながら
「俺たちは悪くないんだ〜」と泣いているのですね。
自分のケツを拭いてくれてる業者さえ管理できない者が
他人の著作権を管理している現実に、自分達の無能さに
目を背ける為に。
なんて恥ずかしいことなんでしょう。
358 :
名無しさん@4周年:04/01/04 15:45 ID:liwCNhew
社会塵 = 飼い慣らされたヘタレ
359 :
名無しさん@4周年:04/01/04 15:46 ID:FjfyWnky
>>357 単なる愉快犯をどうしてそう弁護するの?
360 :
名無しさん@4周年:04/01/04 15:51 ID:WzX/G7fv
首になったとしても、どっかのセキュリティ会社が雇ってやれよ
イイ奴に違いない
361 :
CM:04/01/04 15:52 ID:EAFdUuKH
不正アクセスではないな.これはサーバーの上のWEB制御プログラムの動作が
不良設定されていたというだけのことだからさ.
もしも人間社会の例に例えて云えば,間抜けな電話番がいたというような
ことに例えられるだろう.
例えばA社が銀行だとして,A社にこのような電話をかけたとする.
『もしもし,A社ですか』
『はいそうです』
『貴支店の預金者の口座番号のリストをFAXしてください』
『はいかしこまりました,直ちに送ります』
FAXが送られて来る.それをみながら
『もしもし,A社ですか』
『はいそうです』
『口座番号1234567番の預金者の氏名を教えて下さい』
『ヤマモト ハジメです』
『口座番号1234567番の預金者の住所を教えて下さい』
『東京都太田区XX町のYY番地ZZ合です』
『口座番号1234567番の電話番号を教えて下さい』
『03ー123ー4567番です』
『口座番号1234567番の暗証番号を教えて下さい』
『1234番です』
....
さて,電話をかけた方が悪いのか,それともお客の質問に熱心に答えようと
する店員と,どちらが悪いのでしょうか?
362 :
名無しさん@4周年:04/01/04 15:53 ID:59K6xElz
てかさ、店のレジにある現金を隙を見て盗んで、(本屋で本を盗むのでもいいけど)
「店の安全性の脆弱(ぜいじゃく)さに警鐘を鳴らそうとした」
と言えば済むのか?
そういう脆弱性があってもやってはいけないってのがあるから社会が保ってるんであって
すべて安全性が完璧で無いとなにもしてはいけないなんてのはおかしいだろ。
で、罰則強化しようとすると個人情報保護法反対!とか言うんだろ。
363 :
名無しさん@4周年:04/01/04 15:53 ID:czVKGk+H
>>359 たぶんACCSはそういうセリフをグチりながら
「俺たちは悪くないんだ〜」と泣いているのですね。
自分のケツを拭いてくれてる業者さえ管理できない者が
他人の著作権を管理している現実に、自分達の無能さに
目を背ける為に。
なんて恥ずかしいことなんでしょう。
>>361 ずれた例え話はいいからさ。
セキュリティの警鐘をしたいのならOfficeが逮捕されるのが話題性としても一番効果的。
366 :
名無しさん@4周年:04/01/04 15:55 ID:amRd0ubG
セキュリティ関係で騒がしい人って何で変な偽名を使うの?
Officeとか他力本願堂とかUNYUNとかさ。
堂々と本名名乗れないものなの?
367 :
名無しさん@4周年:04/01/04 15:59 ID:DKnMr8Mw
>>364 まぁ漏れてる所はだまって漏れたままにしておいてくれたほうが
役に立つしねぇ。
368 :
名無しさん@4周年:04/01/04 16:00 ID:4L4It1Vq
>>296 仕様が盗まれたくらいで、ピッキングできるような脆弱な鍵を使う方が悪い。
仕様が公開されてもピッキングされていない鍵はたくさんある
とピッキング犯がいおうものなら、ぼこぼこにしたいものですね
>>366 扇千景のように国政を預かる大臣だって本名を名乗らないケースもあるし
実名主義を持ち出してくるのは筋違いだとは思うが
せめて経歴ぐらいは体裁を整えておかないと信頼して貰えないのは当然だろうな。
370 :
名無しさん@4周年:04/01/04 16:06 ID:czVKGk+H
>>365 たぶんACCSはそういうセリフをグチりながら
「俺たちは悪くないんだ〜」と泣いているのですね。
自分のケツを拭いてくれてる業者さえ管理できない者が
他人の著作権を管理している現実に、自分達の無能さに
目を背ける為に。
なんて恥ずかしいことなんでしょう。
>>366 本名で仕事してるガチンコさんも居ますよ。
ただ、普通の人に名が知れるような席にそうと判るようには出てこないけど。
372 :
名無しさん@4周年:04/01/04 16:09 ID:oRK9uhfR
>>356 そうなんだよね。明らかな違法行為。
余談になるんだけど、俺もやったことあるんだよ。某レンタルカート屋で(w。
あるcgiに欠損があって、ぶっこ抜きから、書き換えまで出来る欠損だった。
メールで教えてやったらすぐに直したけどね。
ユーザーディレクトリぶっこ抜いたら、10万を超える個人情報があったよ。
で、結局ユーザーにも謝罪してないみたいだし、メールの返信もなかった。
んで、数ヶ月後に別のcgiの欠損も発見したよ。これもぶっこ抜き可能。
まぁ、仕事が仕事だけに公にはしたくないんだろうけど。
やっぱこういう香具師は、2c ゲッフ、ゲッフン、オェー。
373 :
名無しさん@4周年:04/01/04 16:09 ID:4L4It1Vq
アメリカの軍のセキュリティを破って、暗号を解読してその内容をペンタゴンに
送りつけた人がいたとしよう。その人はどういう結末を迎えるだろうか?
1.暗殺される
2.FBIに逮捕される
3.ペンタゴンの研究所に雇われる。
4.宇宙最強の超男(スーパーマン)になる
374 :
_:04/01/04 16:11 ID:6Eh/VmB5
ACCSのおかげでwinnyがかえって広まっちゃって今大変な状況だぞ。
逮捕騒ぎの前よりも検索hit数増えてるし。
376 :
名無しさん@4周年:04/01/04 16:14 ID:amRd0ubG
高木さんは普通に本名で仕事して論文も書いているじゃないですか。
履歴も所属も明確にしてるしね。(jbeefというのもバレバレだし。:-))
なんでわざわざ怪しいフリする人がいるのかなと思って。
>>373 米国人なら米国法に従って拘束されるかと。
スパイ扱いになるので通常とは手続がちがうんだよなぁ。
日本人だったらかなり面倒なことになるかと。
引渡し要求出すのかなぁ?
>>375 あ、
>>366に「騒がしい」って属性があったな。
なら漏れの知り合いとかあてはまらんわ(w
379 :
名無しさん@4周年:04/01/04 16:21 ID:KZCoIB9t
officeはこのスレみてるんだろうか?
ACCSの認識が甘かったのは確かだが、そこから得た個人情報を公開して
よいかどうかは別問題。
己れがどれほど蔑まれているか、このスレ見て学習するがいいさ。
380 :
名無しさん@4周年:04/01/04 16:36 ID:ISVjx2rz
>>158 こりゃ、そんな状態のまま使っている方が悪いな。
ピッキングに例えていた奴がいたけど、これだと
サイトの方が個人情報掲示板に張り出している様
なもんじゃん。
>>373 1か3の何方か。
>>379 指摘うけてんのに改善していない方が異常。
いや、その間情報ダダ漏れ。
ネットワーク管理ではあってはならない事。
381 :
名無しさん@4周年:04/01/04 16:37 ID:rhkH20vP
つーか阿糞が個人情報収集保存する必要ってあったのか?
382 :
名無しさん@4周年:04/01/04 16:42 ID:GNK5jy9x
研究員は個人情報をわざわざ晒すのは浅はか。
ACCSは公道にものを置いていくような真似をしてしまった。
どちらも不正アクセス禁止法に触れることはないんだろうけど。
社会的信用をなくしそう。
で、某新聞社なぜ今ごろこれを記事にするのか?
なにが新聞社にそうさせたのか?
それもよくわかんない。
383 :
名無しさん@4周年:04/01/04 16:42 ID:UMQA3Q8A
ACCSもofficeもどっちもどっちだろ。
ACCSは道義的責任として世間から裁かれるべきだし、
officeのは犯罪として司法の手で裁かれるべきだ。
>>381 俺は当初から「個人情報を書かせる必要はない」と2chで警鐘を鳴らしていたのだが・・・
>>361 悪意と不注意を比べてどうしようというのですか?
いや、ホント不思議なんです。
それって何か意味あるのかなあ
387 :
名無しさん@4周年:04/01/04 17:10 ID:amRd0ubG
仮にも国立大学に勤めているような人がこんな偽名で活動しているのはどうなんでしょう?
388 :
386:04/01/04 17:21 ID:dpwrSMA/
>>361 そもそも、このような事例は「どちらの運転が悪い」といった
交通事故みたいな相殺はなじまないのではないですか。
あなたが例としてあげた事例でも
経営者が口の軽い電話番をそのまま放置していた事と
第三者がそれに付け込み情報収集を行った事は
それぞれ別個の問題として責任の有無が問われるはずです。
>>359 単なる愉快犯になんでここまで必死なんだろね。
390 :
名無しさん@4周年:04/01/04 17:51 ID:UMQA3Q8A
なんか2ちゃんで合意をみたな
1)ACCSは安易に個人情報を集め、また十分な管理をしていなかった
ことで社会的責任を問われる
2)officeは不正アクセス防止法の罪状で逮捕される
よろしか?
391 :
名無しさん@4周年:04/01/04 17:56 ID:GNK5jy9x
>>390 うーん、「研究員」とやらを弁護する気はないけど法自体がザルっぽいので
2)はできないんじゃないでしょうか?
できるんであれば今回の場合どのへんが法に抵触してるんだろうかと。
>>391 cgiに不正な引数投げ込んだ段階でアウト>不正アクセス禁止法
393 :
名無しさん@4周年:04/01/04 18:01 ID:UMQA3Q8A
素朴な疑問だが研究員と名乗っているようだが、研究職として雇われているの
だろうか?誰か知ってる?
394 :
名無しさん@4周年:04/01/04 18:05 ID:BFHqgQSI
>>390 1)と2)に関してはほぼ合意
3)ファーストサーバーはCGIの脆弱性を認知していながら、その事実を隠して利用者に対して何の危険も無いような伝え方をしていたので民法の不法行為にあたる
これを付け加えたほうが良い(というか面白い)
395 :
名無しさん@4周年:04/01/04 18:09 ID:q9d+XuIb
>>360 > 首になったとしても、どっかのセキュリティ会社が雇ってやれよ
> イイ奴に違いない
(゚Д゚)ハァ?
396 :
名無しさん@4周年:04/01/04 18:11 ID:GNK5jy9x
>>392 本当に不正アクセス禁止法でいう「アクセス制御機能」と言えるのかな?
そのCGIで何を制限していたのか。
漏れもこの手のメールを送るCGIを作って会社の後輩に引き継いだけどさ。
よっっぽど勉強して注意して作らないと、この手のCGIは「社外から情報を
引き出される余地」を作ってしまう。「誰にでも公開して」「システムの他の
プログラムを呼び出す必要がある」ってあたりに、そういう余地が生まれる。
時刻表示・カウンタとは比較にならないぐらい注意深く作らないとダメ。
朝日の記事にあるようなことを誰にでもされてしまいます。
その上でこの件を一言でいうと、
「おっさん、俺よりはるかに詳しいはずなのに、
何でそういうつけ込まれることするの?」
です。
1.ACCSの想定外の方法でアクセスをした
2.この1.の方法でアクセス可能なことを、ACCSに事前通告せず第三者に開示した
本来はダメなことだってのを、この方は完璧に忘れていたでしょうがこれは!
ACCSはアホだが、ACCSを信用したユーザに罪はないもん。
# しかし、研究員が39歳にもなって人の掲示板を
# さらし者にしてたわけね・・・ひゃっひゃっひゃとか言ってたけど。
399 :
名無しさん@4周年:04/01/04 18:13 ID:6Lo0g0t2
1)ACCSは安易に個人情報を集め、また十分な管理をしていなかった
ことで社会的責任を問われる
2)officeは不正アクセス防止法の罪状で逮捕される
3)ファーストサーバーはCGIの脆弱性を認知していながら、
その事実を隠して利用者に対して何の危険も無いような伝え方を
していたので民法の不法行為にあたる
だとしても傍目にはACCSの失態が一番笑える。
「警察官の夫が、その妻を泥棒に寝取られたようなものw」
400 :
名無しさん@4周年:04/01/04 18:15 ID:UMQA3Q8A
>>392 俺はおもうんだが、一発でファイルを参照できたとは思えないので、
何度も繰り返し色々なファイルパスを探しているはず。
この時点で「システムの脆弱性を狙う意図が明白であり悪質」と
判断されるだろう。
>>390 そもそも100%安全なシステムなぞ世の中に存在しない。瑕疵は
存在するという前提において、その瑕疵を悪用することによって
システムにアクセスするというのは既に不正アクセス防止法には
織り込みづみだ。
ACCSが「アクセスされてもかまわないと考えていた」といなら
別だが。「アクセスされないように考えていたが、プログラムに
瑕疵がありそこを突かれた。」というだろう、一応、立場上。
401 :
名無しさん@4周年:04/01/04 18:18 ID:UMQA3Q8A
>>394 ファーストサーバーの件は合意。あと「...不法行為にあたり、
利用者から損害賠償を請求される」とした方がいいんじゃないか?
402 :
名無しさん@4周年:04/01/04 18:20 ID:BFHqgQSI
403 :
テンプレ:04/01/04 18:20 ID:6Lo0g0t2
ACCSの失態は
「警察官の夫が、その妻を泥棒に寝取られたようなものw」
∧_∧ ミ ギャーッハッハッハッ!
o/⌒(. ;´∀`)つ
と_)__つノ ☆ バンバン
404 :
名無しさん@4周年:04/01/04 18:23 ID:BFHqgQSI
>>401 >利用者から損害賠償を請求される」とした方がいいんじゃないか?
利用者をどう取るかによって規模感が変わります
・ファーストサーバーのユーザー
・ファーストサーバーでホスティングされているサイトを利用した人間
一番面白いのはファーストサーバーを利用しているサイトを使ったことのある人間が集団訴訟(w
法律違反が立証されれば大学名、研究員の氏名共々晒されますね
ガンバレ検察
406 :
名無しさん@4周年:04/01/04 18:25 ID:UMQA3Q8A
あと1つ大事なことを忘れていた。
ACCSはofficeに対し民事訴訟をおこせるな。
ちゃんと訴訟やっとけよ。ACCSよ。
407 :
名無しさん@4周年:04/01/04 18:27 ID:6Lo0g0t2
事件が長引けば長引くほどACCSの失態は
世間にさらされ続けるワケだ。
これは愉快。
∧_∧ ミ ギャーッハッハッハッ!
o/⌒(. ;´∀`)つ
と_)__つノ ☆ バンバン
officeは裁判になっても思いっきり長引かせてくれ。
408 :
名無しさん@4周年:04/01/04 18:32 ID:FjfyWnky
ID換えつつ同じことばかり書いてるダウソ厨らしき生き物が居るな(w
409 :
名無しさん@4周年:04/01/04 18:34 ID:UMQA3Q8A
>>404 2番目のは利用者確定がむずかしいだろ。札幌のスーパーの
返金騒動じゃないんだから。
ファストサーバーと契約関係になきゃだめ。その上でcgiを利用した
ということだろ。もし集団訴訟をしたければ、ACCSから流れ出た
責任はACCSにあるので、流れ出たという人間が集団でACCSに
損害賠償を請求する。
そうなるとACCSは、「技術的問題はファストサーバーにあり
ACCSへの訴えは無効」と主張する方向になると思われ、
ACCSはファストサーバーを訴えざるえない。技術的な瑕疵を
作ったのはファストサーバであるという主張のためにな。
どうじにofficeも訴えるだろう。実際に情報を流したのは
officeであってACCSではないからな。
410 :
名無しさん@4周年:04/01/04 18:34 ID:6Lo0g0t2
411 :
名無しさん@4周年:04/01/04 18:34 ID:DFfgsvtF
あまり、突っ込みがないようだけど、
「国立大学の男性研究員(40)」
という身分がイタいね。
いわゆる博士研究員(PD)だと、年齢制限があって36歳くらい
が上限なので、40歳で研究員(基本的に1年契約)というと
もう後がない、って感じ。無給で席を置いてるだけの研究「生」
だったりしたら目もあてられない。具体的な身分が気になる。
常勤ポストについてない焦りが、異常行動に走らせたのかも。
あるいは、異常行動に走りやすい人だったから、今に到ってる
のかも。
412 :
名無しさん@4周年:04/01/04 18:40 ID:UMQA3Q8A
さらにACCSから訴えられたファストサーバーはofficeを訴える。なぜなら
この瑕疵を実際に使って個人情報を流したのはofficeだからな。民事では
責任が相殺されるので、officeはファストサーバーに関しては比較的低い
金額で済むだろう。しかし裁判費用や裁判に浪費されるなど負担は相当
なものだ。まあ自分の蒔いた種だ。自分で刈り取れや > office
413 :
名無しさん@4周年:04/01/04 18:40 ID:FjfyWnky
>>411 朝日新聞との受け答え見てると後者のように思いますが?
414 :
名無しさん@4周年:04/01/04 18:44 ID:jThMzIRu
不正アクセス禁止法に触れなくても
偽計業務妨害などでタイーホされるから
偽名使います。
415 :
名無しさん@4周年:04/01/04 18:45 ID:GNK5jy9x
えと、この研究員は刑事的にもアウトなんですか?
416 :
名無しさん@4周年:04/01/04 18:54 ID:liwCNhew
ACCSの失態は
「警察官の夫が、その妻のマソコを泥棒に写真取られたようなものw」
∧_∧ ミ ギャーッハッハッハッ!
o/⌒(. ;´∀`)つ
と_)__つノ ☆ バンバン
417 :
名無しさん@4周年:04/01/04 18:55 ID:QZ7aMnpp
ピッキングと同列なんてほざいてる香具師が未だにいるとはな。
セキュリティに対する意識を改善するには、
これ以上なにすればいいんだろうか?
418 :
名無しさん@4周年:04/01/04 18:57 ID:9xQrXv/z
,ィ⊃ , -- 、
,r─-、 ,. ' / ,/ }
{ ヽ / ∠ 、___/ |
ヽ. V-─- 、 , ',_ヽ / ,'
ヽ ヾ、 ',ニ、 ヽ_/ rュ、 ゙、 /
\ l トこ,! {`-'} Y
ヽj 'ー'' ⊆) '⌒` !
l ヘ‐--‐ケ }
ヽ. ゙<‐y′ /
>>417 K札で聞くといいよ
(ヽ、__,.ゝ、_ ~ ___,ノ ,-、
) ノ/`'ー-' <
r'/, _.. // l、、、ヽ_)
ゝ(_/_ノ´ /ヽ_ノ/ __,l ヽ)_)‐'
{` ーニ[二]‐ク′
〉 / /_
/ ´ ̄`ヽ )
(____ノ--'
419 :
Ё:04/01/04 19:00 ID:177CBpCp
>>417 事例紹介はまだしも、個人情報晒す必要性はあったのか?
420 :
名無しさん@4周年:04/01/04 19:00 ID:FB6iCFbs
脆弱性なんて承知の上ですよ。
421 :
386:04/01/04 19:02 ID:zQe3ktZF
>>417 まずは啓蒙者が実名で責任ある行動を取ることだと思います。
422 :
名無しさん@4周年:04/01/04 19:02 ID:6Lo0g0t2
423 :
名無しさん@4周年:04/01/04 19:04 ID:FB6iCFbs
情報を盗まれたって、盗まれた事に気付くまでに時間がかかるわな・・
一生気づかないかもしれんなあ。
424 :
名無しさん@4周年:04/01/04 19:05 ID:biKOeJ6m
韓国のネチズンに通報すれば代わりに警鐘してくれただろう。
>>411 最近は産学連携とかいろいろあるから、
年齢と「研究員」という呼称だけでは一概に言えない罠
とはいえ、マジメな話、国立大学にしがみついているよりは
コンサルタントの会社起こして勝負したほうが将来開けるんじゃないか?
日本の企業(特に大きいところ)の場合、「論より証拠」でクラックしてみせるよりも、
スーツにネクタイで話をする方が信用されそうだしな
426 :
名無しさん@4周年:04/01/04 19:13 ID:9xQrXv/z
>>425 それは本人にそれなりの技術が有れば、の話なわけで
なんで同じニュースを二回も報道するんですか?しかも立場を変えて。
428 :
名無しさん@4周年:04/01/04 19:43 ID:P+qm6EQp
ファースト鯖のユーザーだが、今回の記事で一番むかついたのは、鯖側が偉そうに被害者
面してコメントしていること。さまざまな隠蔽工作をして、さらにユーザーに対して
なにも事後説明がない。詳しい内容は鯖スレにすべて書いてあるが取材を受ける前に
やるべきことがあるだろう。馬鹿鯖。
429 :
名無しさん@4周年:04/01/04 19:47 ID:rIVLoJVS
http://pc2.2ch.net/test/read.cgi/hosting/1072630070/l50 【訴えてやる】Joe's Web Hosting 12【逆転敗訴】
1 :名無しさん@お腹いっぱい。 :03/12/29 01:47
会社設立以来、鯖をハクられた上に鯖全滅させられたと言う華やかな歴史を持ち、
会員の個人情報を鯖の上においてた挙句、そこもハクられMXやnyで流され放題。
ついに掲示板にまでうpされる惨劇にまで発展。鯖落ちした時は三日近くも放置し
た結果、会員への被害が拡大。その間連絡を一切せず逃亡していた無責任感。
仕事の為にはrootパスワードすらひょいひょい渡す所はセキュリティ管理もずさん。
自分で該当スレで宣伝しておきながら都合が悪ければにわかな法知識で削除依頼を
した挙句削除板でもレンタル鯖板でもジサクジエンのオンパレード。ここを自分の
サポート板として利用しときながらずうずうしいとはこの事である。
そしてついに法律通の情報により2004/01/09(金)にジョエが大阪地裁に提訴すると
言う衝撃情報が入って来た。ついにひろゆきと全面対決か?良く考えればサポート
板として利用していたぶん、ひろゆきにとっては金を分捕れる良いカモである。
さあ、思う存分叩かれて、ひろゆきの財政難解決に向けて貢献してもらおうではな
いか
※法律通からの情報ですので何かあった場合は法律通を訴えて下さい。
こんなDQN鯖缶、鈴木貞子が運営している鯖をじっくりマターリ語るスレです。
430 :
名無しさん@4周年:04/01/04 19:59 ID:UMQA3Q8A
1)ACCSは安易に個人情報を集め、また十分な管理をしていなかったことで
社会的責任を問われる
2)officeは不正アクセス防止法の罪状で逮捕される
3)ファーストサーバーはCGIの脆弱性を認知していながら、その事実を隠して
利用者に対して何の危険も無いような伝え方をしていたので民法の不法
行為にあたり、利用者から損害賠償請求の訴えを起こされる
ACCSの失態は
「警察官の夫が、その妻のマソコを泥棒に写真取られたようなものw」
∧_∧ ミ ギャーッハッハッハッ!
o/⌒(. ;´∀`)つ
と_)__つノ ☆ バンバン
これでまとめはよろしか?
431 :
名無しさん@4周年:04/01/04 20:02 ID:FjfyWnky
厨がACCS殴りたくて必死なんだね(w
432 :
名無しさん@4周年:04/01/04 20:06 ID:a1C58+Di
ファミリーマートの事件も
433 :
名無しさん@4周年:04/01/04 20:10 ID:GNK5jy9x
434 :
名無しさん@4周年:04/01/04 20:11 ID:9xQrXv/z
>>430 ACCSは文化庁所管とはいえ単なる業界団体であって警察でもなんでも
ないんだけどな。雇い主のACCSと出入り業者のファーストサーバの区別を
付けてから出直しておいで。
>>432 それはofficeと同じ団体(@random)に所属する園田という奴の会社の
失態。
>>434 なんか本当にこうやってみると経産省が組織した連中って悲惨かも・・・。
信用信頼積み上げるよりも声のでかいヤシばかり集まったからこうなったの?
436 :
名無しさん@4周年:04/01/04 20:47 ID:UMQA3Q8A
>>430 なんかおまえの読解力には悲惨なものがあるな。
437 :
名無しさん@4周年:04/01/04 20:56 ID:UMQA3Q8A
>>434 誤爆した(w
まず警察というのは、例えであって、誰も警察だとは思っていないが?
次に、ACCSの道義的責任と、ファストサーバーの運用上の責任をきちんと
分割しているのだが、そうは読めないか?
そうか、読めないか。それじゃ仕方がないな。
438 :
名無しさん@4周年:04/01/04 21:03 ID:liwCNhew
ID見ると本当におもろいな(w
手下ぐらいきちんと教育しとかないと>高木先生
440 :
名無しさん@4周年:04/01/04 21:06 ID:qSraC7tU
>>430 イイヨ、イイヨ〜♪
このACCSの失態は未来永劫物笑いのネタとして語り継がれるであろう!!!
___ .┌i「゙il
/,,/,rf,,,、ー\ ! :l i
,;ノべ/ \, \ r‐、. ゙i ヽヽ
ij 、 i / ,ミ l i.__,>-┴-゙ l!
〈'-=j";'==・=' ヾr=、! r'_,.--、__ l!
l .ノ  ゙̄ ,リy.,! レ'"二:、 !
l ヾ゙> , / .ト-'" ノ ,! .!
ヽ. [ ̄ヽ ,「! rヽ. く ./ i!
ヽ└=-' _/! l 人(ト、 ヾy ,!
,ト.二._/__,┴i _ノ. \ト、 j_ヲi)
「r=t;T゙Ff 二! ] li _,.-―-、_ 「トー' \_/,リ
_,..:-r-‐j=ミ- l __ヲ_,.-‐<)ニニf =、\\\ 入ヽ i、_フ[/
,r=―‐ッ==‐‐'",.ニ‐‐≧十'゙ >-、 ,r゙ー-ニ、_\\>、_,.-/ \\ し ,r'
,レタ__/ \ i' ,r‐‐i l ! f"「 ̄>゙i /  ̄ ̄ \ー' :ダ
V// r.、」 .l  ̄!L.j l .L」 i" i しr ゙ーr'
レレ' i .L_ l .l ./ _ .l i -=;' ,/
ジークダウソ!!ジークダウソ!!ジークダウソ!!ジークダウソ!!ジークダウソ!!
441 :
名無しさん@4周年:04/01/04 21:17 ID:4jvdZfKi
>>328 >>331 >>341 >>347 バーナム暗号
いわゆる「バーナム暗号」は(当時のテレタイプ用のテープで)
(あ)暗号用のキーを用意して暗号文と加算して暗号化する
(い)互いに素である数の2種類のキーをずらして使う
(う)(い)の変形で数種類のテープを使う
(え)いわゆるone time padを使い、一度使ったテープは破棄する。
の4種類がある。基本は(あ)、第1変形は(い)です
バーナム式は(あ)〜(う)を指し、(え)はバーナム式といわない。
(かなり権威ある書物が誤用したので、サイトの多くは誤り)
(発明者ギルバート・バーナム・・1917年12月発明・・当時27歳・・AT&T(ベル・システム)電信部社員)
「バーナムVernam暗号プログラム」というのがあります
『バーナム暗号は、メッセージと乱数列との排他的論理和Exclusive ORをとる単純なアルゴリズムですが、
暗号文のみの情報からは解読不可能な暗号です。
本プログラム・ソースでは、乱数ライブラリにあるM系列乱数を用いています。』
これは(あ)ですね。基本です。(暗号解読はM乱数を引き算して、度数分布を調べる入門コース)
http://www5.airnet.ne.jp/tomy/cpro/etc9.htm
442 :
名無しさん@4周年:04/01/04 21:21 ID:9xQrXv/z
>>440 >ジークダウソ!!ジークダウソ!!ジークダウソ!!ジークダウソ!!ジークダウソ!!
馬脚を現すって奴ですかw むしろ今回ACCSは結構得したと思うが?
>>437 ACCSはCGIの専門家じゃないしなあ、しかもACCSがどんなヘボ業者雇おうが
税金で養われてる団体と違って国民にあれこれ言われる筋合いは無いわけだ。
文句言えるとすれば今回officeによって個人情報をばらまかれたことによって
職場内で睨まれるかもしれない密告者予備軍の方々なんだがね。
443 :
名無しさん@4周年:04/01/04 21:28 ID:qSraC7tU
>むしろ今回ACCSは結構得したと思うが?
??
自分のケツを拭かせている人間を管理できないような会社が
他人の著作権を「管理」していることを暗に伝えるニュースが
再び掘り起こされて得?
∧_∧ ミ ギャーッハッハッハッ!
o/⌒(. ;´∀`)つ
と_)__つノ ☆ バンバン
>>442 >>440は厨揶揄しとるのでは。ギレンだし(w
システム監査は大事だね、ということなんだろうが、出来るヤシがいない。不幸なことです。
445 :
名無しさん@4周年:04/01/04 21:30 ID:liwCNhew
>>442 >むしろ今回ACCSは結構得したと思うが?
たしかに知名度はあがったよね。アサシの一面トップだもんね。ただし
「警察官の夫が、その妻のマソコを泥棒に写真取られたような珍事件としてねw」
∧_∧ ミ ギャーッハッハッハッ!
o/⌒(. ;´∀`)つ
と_)__つノ ☆ バンバン
447 :
名無しさん@4周年:04/01/04 21:45 ID:UMQA3Q8A
>>442 「あれこれ言われる筋合いは無いわけだ」だと、はぁ?
それを個人情報晒されたヤツにいってやれ。殴られるから。
どんな組織だろうと個人情報を扱う以上、それなりの道義的責任はある。
だからこそ、ACCSは記者会見で頭を下げてるんだってことがわからんのか?
だが、その程度ではすまんぞ、といっているんだが、それもわからんと?
おまえ本当に頭腐ってんじゃないか?
448 :
名無しさん@4周年:04/01/04 21:47 ID:GNK5jy9x
…ACCSロックオンされてますねぇ。
>>430 漏れは相変わらず2)で具体的になにがまずくてそんな予想になっているのか
分からんのだけど。刑事的にはセーフではないのか。
どのヘンが決め手で逮捕になるんだ?
なんでそんな総括になるのかよくわからん。
449 :
名無しさん@4周年:04/01/04 21:49 ID:UMQA3Q8A
それからID:liwCNhewよ。今回のまとめと、一連の議論を
どこかに取っておけ。そのうち、また役に立つだろうから。
officeは毎度のことだが、ACCSにしろ、ファストサーバーにしろ、
一度だけですむとは思わんから(w
450 :
名無しさん@4周年:04/01/04 21:51 ID:9xQrXv/z
>>447 まあそうカッカしなさんな、落ち着いて
>>442読め( ´,_ゝ`)プッ
>国民にあれこれ言われる筋合いは無いわけだ
451 :
名無しさん@4周年:04/01/04 21:53 ID:933+oqGY
あいたー
ここの鯖使ってるよ
急にCGI使うなってメールが来たけど、すでに曝されてたのかぁ・・
452 :
名無しさん@4周年:04/01/04 21:54 ID:FjfyWnky
>>448 不正アクセス禁止法の解釈?
>>356でも書いたんだけど、パーミッション指定とかで通常なら読み出しが不可能なファイルを
別のCGIプログラム使って呼び出す行為は「アクセス制御機能による特定利用の制限を
免れることができる情報又は指令を入力する行為」で括られるの。
まぁ、身元はっきりしてれば逮捕はないかも知れないけど、その辺は警察の判断かな?
453 :
名無しさん@4周年:04/01/04 21:58 ID:8lECPTEk
あひゃひゃひゃひゃ ACCS!ACCS!
454 :
名無しさん@4周年:04/01/04 22:02 ID:qSraC7tU
>>450 ねーねー、お兄ちゃんのいう「こくみん」って
どこのくに?
お兄ちゃんの
>>442の文章の「国民」ってトコに以下のような言葉を当てはめても
文章の意味が変わらないのはナゼ?
「日本人」 「消費者」 「個人情報晒されたヤツ」
あーわかった、お兄ちゃん話をごまかしてるんだぁ。
∧_∧ ミ ギャーッハッハッハッ!
o/⌒(. ;´∀`)つ
と_)__つノ ☆ バンバン
456 :
名無しさん@4周年:04/01/04 22:14 ID:hN9f4veG
もろよわさキタ━━━━━━(゚∀゚)━━━━━━!!
457 :
名無しさん@4周年:04/01/04 22:16 ID:3dJyTg9M
458 :
名無しさん@4周年:04/01/04 22:18 ID:9xQrXv/z
>>455 いや微妙に違うだろ、だって先に警告してないしw
459 :
名無しさん@4周年:04/01/04 22:22 ID:qSraC7tU
officeは我々の神である。ACCSは未来永劫officeに恐れ慄くがいい!!
___ .┌i「゙il
/,,/,rf,,,、ー\ ! :l i
,;ノべ/ \, \ r‐、. ゙i ヽヽ
ij 、 i / ,ミ l i.__,>-┴-゙ l!
〈'-=j";'==・=' ヾr=、! r'_,.--、__ l!
l .ノ  ゙̄ ,リy.,! レ'"二:、 !
l ヾ゙> , / .ト-'" ノ ,! .!
ヽ. [ ̄ヽ ,「! rヽ. く ./ i!
ヽ└=-' _/! l 人(ト、 ヾy ,!
,ト.二._/__,┴i _ノ. \ト、 j_ヲi)
「r=t;T゙Ff 二! ] li _,.-―-、_ 「トー' \_/,リ
_,..:-r-‐j=ミ- l __ヲ_,.-‐<)ニニf =、\\\ 入ヽ i、_フ[/
,r=―‐ッ==‐‐'",.ニ‐‐≧十'゙ >-、 ,r゙ー-ニ、_\\>、_,.-/ \\ し ,r'
,レタ__/ \ i' ,r‐‐i l ! f"「 ̄>゙i /  ̄ ̄ \ー' :ダ
V// r.、」 .l  ̄!L.j l .L」 i" i しr ゙ーr'
レレ' i .L_ l .l ./ _ .l i -=;' ,/
ジークダウソ!!ジークダウソ!!ジークダウソ!!ジークダウソ!!ジークダウソ!!
460 :
名無しさん@4周年:04/01/04 22:23 ID:UyHkQMtc
ACCSが穴だらけじゃどうしようもねーな
>>452 なるほど。
「特定利用の制限」してるかどうかっていうのが良く分からんですが、
それ以外了解しますた。どもです。
「特定利用の制限」がどういう解釈されるのか、興味があるなぁ。
462 :
名無しさん@4周年:04/01/04 22:28 ID:FjfyWnky
>>459 つまり、ACCSが叩かれれば摘発もやりにくくなって
れんキュー入れ放題のダウソ厨にとっちゃ天国ってなわけですか。
まあいいんだけど。
すっかり寒い状態になってきちゃったね。
かりにでもいいからまともな議論がしたいかも(w
ACCSって中古ゲームソフト裁判で一審判決も出てないうちに中古ゲームソフト屋を利用している消費者を泥棒呼ばわりした所でしたっけ?
464 :
名無しさん@4周年:04/01/04 22:37 ID:amRd0ubG
/.-Jにも出たね。
466 :
名無しさん@4周年:04/01/04 23:05 ID:FjfyWnky
>>465 警視庁が動いたから記事にしただけかと>朝日
>>466 それにしても朝日の文体には悪意を感じるんだな
>>467 悪意と言うより警察の意向のような気がしないでもない。
明日から一般企業が大抵お仕事の日に持ってきた話題だし。
悪意があるならとっくに毎日とかが書いた段階でネタにしてるかと。
まがりなりにも所属が京大なんだし(w
このすれからリンクされている条文や解説を読むとこんかいの件は、不正アクセス防止法で有罪にできるッぽいね。
でもそれってかなり問題あると思う。
防止法では、情報をまったく利用しなくても、その名の通りアクセスしただけで罪に問われてしまう。
それって、サーバの管理者とは直接関係ない第三者がサーバーにセキュリティホールがあるんじゃないかと
疑ってなにか実験を行えば罪になってしまうということ。
たとえば今回の件では、個人情報をさらしたことが罪ではなくて、単にcgiにURLを送ったこと自体が罪に
問われてしまう。
これでは、善意の研究者がセキュリティーホールを指摘しても、怠慢な管理者が無視し続けた場合に
研究者が次に打つ手がなくなってしまうよ。
つまり、管理者は気が向いたらセキュリティホールを修正するし、なんか都合が悪ければそのまま放置。
それで研究者がセキュリティ関係のメーリングリストなどで告発すれば不正アクセス防止方で
タイーホするぞ!と脅せるわけ。これじゃダメだよね。
引き出した情報を開示したり、業務に利用したりしない限りは罪にならないようにする必要があると思う。
(それでも今回の件は有罪になるけど)
旭があんな記事書いたのは圧力でしょ。
0fficeは官公庁やその周辺ばかり狙ってたからなあ。
ダイレクトメールが来てる時点で個人情報なんてだだ漏れなんだから
今更プライバシーとか気にするなよって気がするんだけどなぁ
Officeがパクられてもjbeef高木や経産省はダメージを受けない。
むしろ暴れてくれてありがとうといったところ。
474 :
名無しさん@4周年:04/01/04 23:37 ID:NqMWXfDU
パスワード
カード番号
残高
自動車のナンバー
電話番号
住所
病歴
通院歴
家族構成
学歴
学校での成績
通販で注文した商品
クレーム付けた回数と企業名
信仰している宗教
支持政党
いつも利用しているサイト
応募した懸賞
趣味
等・・・
475 :
名無しさん@4周年:04/01/04 23:46 ID:AJtpMB3B
40って。いい年してなにやってんだこいつ
476 :
名無しさん@4周年:04/01/04 23:53 ID:9xQrXv/z
>>472 そういう個人情報の問題とちょっと違う。ACCSに相談した人々の個人
情報が漏れると、その人々の職場での立場が内通者として危うくなる。
今回のようなことがあると、誰も相談をしなくなってしまう。
ACCSを揶揄する意見も実にもっともだが、実際ACCSは情報収集の大きな
チャンネルを不本意な形で失う事態に追い込まれた以上、自分らの失敗を
収めてから全力を結集してofficeに迫るというのは想像に難くない。
会員企業も喜んで手助けするだろう。
フィーネ萌えマダー?
478 :
名無しさん@4周年:04/01/05 00:01 ID:FFhd1MM5
>>475 まったくもってその通り。
いい年こいて法のバランス感覚もねぇのかよってね。
セキュの啓発活動したいのなら、いい年なんだし、もう少し慎重にやれってことですな。
ついでに、偽名使うのはいいとして、ハカーの偽名ってのは派手な活動しても
その偽名の匿名性を維持できるスキルの高さをアピールすることに栄誉がある
ワケで。かっこよく笑い男したいのなら、HPなんか立ち上げてんじゃねーよボケってな
ワケでw
しかしだ、そんなチューと半端なハカーに、いいようにやられちゃったACCSってなに?
そんなんで他人の著作権なんて守れるのかよ?啓発活動?まずACCS自身を啓発汁!!
(なんだかんだいいながら結局ここに話を持っていく漏れw)
そんな漏れって・・・・
∧_∧ ミ ギャーッハッハッハッ!
o/⌒(. ;´∀`)つ
と_)__つノ ☆ バンバン
そしてそんな漏れに馬鹿にされてるACCSに・・・
∧_∧ ミ ギャーッハッハッハッ!
o/⌒(. ;´∀`)つ
と_)__つノ ☆ バンバン
479 :
名無しさん@4周年:04/01/05 00:04 ID:W6EuBL2o
荒し厨房も年貢の納め時だな
481 :
名無しさん@4周年:04/01/05 00:08 ID:FFhd1MM5
泣くなよACCS。
君達の未来には夢も希望も無い。
だって君達は人々の夢や希望を管理する能力がないのだもの。
∧_∧ ミ ギャーッハッハッハッ!
o/⌒(. ;´∀`)つ
と_)__つノ ☆ バンバン
このofficeってのは、ヲレルールペネトレーションテストをするので
いつかこうなるんじゃねーかとは思ってたよ
ヲレルールをわかるようにガイドライン広報してから活動するとか
もっと上手に外堀うめりゃいいのに、ちょうしこいてやるからこうなるんだよな
ただの間抜け
あと、0120ふさふさの会社のweb serverから
くさるほどblasterなアタックがくるんですが
これまた連絡先をwebに書いてなくてこまったちゃんですね
483 :
名無しさん@4周年:04/01/05 00:28 ID:FFhd1MM5
>>482 そのパケットの送信元IPアドレスが偽られていないと調べた上での発言?
そか、
>>485 >>482 すまん。脳内でUDPと勘違いしていた。
厳密にはTCPコネクションも偽れなくもないけど、ちょっと考えづらいね。
487 :
名無しさん@4周年:04/01/05 01:20 ID:uXuZEa5e
いわゆる技官は「研究員」とはいわないの?
記事中の大手都市銀行って、たしか、みずほ銀行だよね、統合直後の。
XSSの件だったっけ。
アカヒもやっぱり大広告主だと伏せるんだよな。
>>478 > しかしだ、そんなチューと半端なハカーに、いいようにやられちゃったACCSってなに?
> そんなんで他人の著作権なんて守れるのかよ?
著作権の侵害が起こってから動く組織だからね
これからが見物だろ
490 :
名無しさん@4周年:04/01/05 01:41 ID:mn33bNaG
491 :
名無しさん@4周年:04/01/05 02:18 ID:hU5Bi7n2
>>490 > XSSは一般的には引っ掛かる方が悪いな。
2番目の「disp.cgi」は XSS じゃない。
君は CGI を作らないほうがいい。
492 :
代打名無し:04/01/05 02:19 ID:Hjq6trGt
493 :
名無しさん@4周年:04/01/05 02:49 ID:zg7uLqxV
>>489 え?別に動くのは勝手に動けばいいのですw
その前に他人の著作物を守る団体が、自分達が管理している他人の
個人情報すらまともに扱えないという恐ろしく馬鹿馬鹿しい話がありますよね?
コレを大笑いせずして、何が正月初笑いだと。
∧_∧ ミ ギャーッハッハッハッ!
o/⌒(. ;´∀`)つ
と_)__つノ ☆ バンバン
しかも、同じニュースを二度掘り起こされて恥じも二倍とくれば
これはもう・・・・
∧_∧ ミ ギャーッハッハッハッ!
o/⌒(. ;´∀`)つ
と_)__つノ ☆ バンバン
495 :
490:04/01/05 03:05 ID:mn33bNaG
496 :
名無しさん@4周年:04/01/05 03:12 ID:2hztObiI
問.個人情報をゲトしたら。。。
1.管理者にメールで教えてあげる。
2.さらし者にして、警鐘を鳴らす。
3.2chで公開し、祭にする。
4.管理者にメールで脅迫し、金をせびる。
497 :
名無しさん@4周年:04/01/05 03:16 ID:zg7uLqxV
>>496 5・沢山貯めて名簿業者に売る
これが基本では?
498 :
名無しさん@4周年:04/01/05 03:27 ID:hU5Bi7n2
> しかもSSLじゃないと弾くし頭悪そうな設定だ(藁)
賢い設定ですね。
499 :
名無しさん@4周年:04/01/05 03:28 ID:1jn+WSxv
アホみたいなハンドルで、こそこそやってても評価されないのに、なんで本名で活動しないの?
関係ないですが、技術系といわれてるメーリングリストで、別に読みにくくもない漢字の
名字を、わざわざひらがなで書いてるオッサンが多いんですが、流行りでしょうか?
500 :
名無しさん@4周年:04/01/05 04:45 ID:nzUeWFAr
>>496 正しい方法としては、管理者にメールで教えてあげる。
これで対応しないなら、3日以内に対策か閉鎖しないと晒すと警告。
それでもダメなら管理者の対応も含めて晒す。
こうやれば悪者にならないと思われる。
ACCS工作員必死だな
502 :
名無しさん@4周年:04/01/05 06:19 ID:Ask7QKLT
何かのイベントで個人情報を晒して
それを保存して持ち帰った人がいる
そこが問題やろ
503 :
つーか:04/01/05 06:22 ID:/qkwWa5F
>個人情報がネット上に広まるなどの事態にはなっていないという
思いっきり流れてる訳だが、、、最初から(w
しかもその場にいたんだろ? 経産省系セキュリティー匠合、
事実上の元締め高木ことjbeefが(w それでいけしゃぁしゃぁとコメント出す
あたりあのおぢさんも厚顔無恥だが、それによって馬鹿の行為が免罪される
わけもであるまい。
きじゃくって変換できねーよ。
IMEクソだな。
つーかいい加減ふいんきネタ秋田
長くてウゼーんだよ
508 :
goin:04/01/05 09:19 ID:rc7IhuVK
>505
脆弱?これって「脆弱」って読むんだよ
新年早々、釣られてみるデス
「きよわ」と読むんだ。
510 :
名無しさん@4周年:04/01/05 09:45 ID:gmlYCk06
>>507 左翼仲間だからな。
そのうちテロリストofficeの返還要求のために誘拐するんじゃない?
511 :
名無しさん@4周年:04/01/05 09:52 ID:9TtHShek
officeってセキュリティゴロ?
512 :
福島県必死だな:04/01/05 09:54 ID:uVDPdeY+
>>511 セキュリティをビジネスチャンスだと思ってる連中なんて全部そうだよ。
>>514 うわ。ほんとだ。ありがとう。
でも
声高に叫ぶか叫ばないかの差ぐらいにしか感じないんだけどなぁ・・・・
>>507 当事者が事について全面謝罪しているのに、なぜか赤の他人が擁護するからな。
全面謝罪というわりには連絡手段がメールしか公開されていないのはどういうことだろう
ペンネームではない本名と住所などの連絡先を公表するのが当然
大学の雇われ研究員だけあって社会常識に欠けている
520 :
名無しさん@4周年:04/01/05 11:53 ID:CCNiIQ9q
ACCSは組織としてもっとも失ってはいけないものを失ってしまったわけだが
521 :
名無しさん@4周年:04/01/05 12:12 ID:QhdpILZs
>プログラムを開発したサーバー提供会社
面子丸潰れのサーバー提供会社名は既出ですか?
522 :
名無しさん@4周年:04/01/05 12:30 ID:maOSvwHR
525 :
名無しさん@4周年:04/01/05 14:08 ID:onJknMwe
>>504 "事実上の元締め高木ことjbeefが(w それでいけしゃぁしゃぁとコメント出す"
やっぱりお前もそう思ったか。おれもあれを見てすごいむかついた。
>>514 > とはいえセキュリティゴロという言葉は実質officeのことしか指していないんだわこれが。
意外だったよ。
527 :
名無しさん@4周年:04/01/05 17:09 ID:d27l+OG6
528 :
名無しさん@4周年:04/01/05 17:16 ID:YHBv1n8U
警察無線は、定期的に鍵を交換していれば、本来ならば鍵さえ盗まれなければ盗聴できないはず
鍵を盗まれても、鍵が交信されるまでしか使えない
それが破られるって事は、アルゴリズムそのものが糞だったか、アルゴリズムの実装が糞だたかどちらかだな
>>507 普通の人は officeなんて人を知らない。俺も知らなかった。
そんな人で netをやってて slash dotに書き込むような人なら、援護して当然と思うよ。
そりゃそうでしょ、逆ギレ同然だもん (俺の中の人に言わせれば)
パッと読んで気になった文書は、
制作者の作った目的以外の物を見たら駄目な法律にならないことを願う。
って点だね。
★先進国で唯一、ガン死トップが肺癌の煙草対策が欧米に30年遅れてる日本★
日本では1950年から1997年の約47年間に肺癌が急増しており
この間、35〜54歳での男性の肺癌死亡率は6.5倍 女性は4.8倍、
55〜74歳での男性の肺癌死亡率は10.5倍 女性は7.5倍をヒット!
また、中学生での喫煙経験は過去20年の間に2倍にもなり、
男子高校生では2割が毎日喫煙しているという調査結果がある。
タバコには依存性があり一度吸い始めたら禁煙することは非常に困難である。
現実に未成年者のニコチン中毒は急増し、深刻な社会問題 になっている。
また、最近若年層からの喫煙は4,50代における発ガン率を30倍近く伸し上げる事が証明された。
煙草煙中の2,000種の有害物質、60種近い発ガン性物資は副流煙となり吸わない人達へも
深刻な健康被害「喘息、肺癌、脳梗塞、心筋梗塞等」を齎すことが証明されている。
あなたの子供達を将来廃人にしないためにも最寄の自治体に学校の禁煙を呼びかけよう。
学校敷地内全面禁煙の自治体(決定順)
都道府県・・・和歌山県(2002年4月実施)、茨城県(2006年3月予定)、
青森県(今年度中予定)、愛知県(2004年4月予定)、愛媛県(2004年5月31日予定)
岐阜県(今年度中予定)、福井県(2004年4月予定)、三重県(2004年4月予定)、
静岡県(2004年4月予定?)、佐賀県(2004年4月予定)、秋田県(2005年度予定)、
東京都(2005年4月予定) 政令指定都市・・・仙台市(2003年10月14日実施)、
広島市(2003年9月1日実施)、神戸市(2005年8月末予定)、名古屋市(2004年4月予定)、
さいたま市(2004年9月予定)、京都市(2004年4月予定) 検討中・・・横浜市、福岡市
未定・・・札幌市、千葉市、川崎市、大阪市、北九州市
新情報・・・さいたま市学校敷地内禁煙決定 京都市学校敷地内禁煙決定
佐賀県県立学校敷地内禁煙決定 秋田県学校敷地内禁煙決定
531 :
名無しさん@4周年:04/01/05 17:39 ID:mn33bNaG
532 :
名無しさん@4周年:04/01/05 17:42 ID:1F3rum7E
で?結局クロススクリプト使えたとかそう言う馬鹿ななオチ?
533 :
名無しさん@4周年:04/01/05 17:47 ID:tTJO6wq4
>>528 解読機80万円で買った人には、鍵変えられた時公安部除く方面波用鍵プレ
ゼントやってたぞ。
>>71 実質パスワードもなくアクセスできるようなので、公開されているといえる。
535 :
名無しさん@4周年:04/01/05 17:58 ID:mn33bNaG
>>534 ファイル名を類推してる以上そういう評価には成らないと思われ
配布されてないCGIなんでしょ?
536 :
名無しさん@4周年:04/01/05 18:03 ID:glmyiFI3
>>535 ファイル名が識別符号かよ。世も末だな(w
>>507 セキュリティ業界で真面目にやってる非経産省系の連中にまで迷惑を掛けてくれるわけ。
あの馬鹿は。人のあら探しなんて、もともといかがわしいと認識されやすい業務なんだから、
一に信用二に信用、それが理解出来ないアフォどもは素人騙すだけにして、世間に迷惑
掛けるなと小一時間。
>>537 指摘しとく。この場合「識別符号」じゃなくて「認証を回避する行為」として不正アクセス
禁止法に於ける禁止行為になるの。
>>538 いくら真面目でも馬鹿な真面目じゃ、いないほうがいいね。
>一に信用二に信用
あんたのように商売でもするならね。
>「認証を回避する行為」
だからさ、情報提供者サイドがファイル名だけを認証にしてたわけでしょ?
このファイル名以外ではアクセス(プッ しないでねっててさ。
もしそんなことが常識なら「日本の世も末だね」っていってるだけですよ。
540 :
名無しさん@4周年:04/01/05 19:47 ID:eayu69Fd
こうやってみると、「認証を回避する行為」を認識していないヤシが多いこと。
この規定ないとXSS脆弱性利用してのアタックも取り締まれなくなるんですけど。
「俺ルール」は法規定が整備された段階で終わったの。
法制定なんてどうでもいいさ
どうせ事後裁定なんだし、そもそも捕まらなけりゃ無問題
542 :
名無しさん@4周年:04/01/05 20:00 ID:eayu69Fd
>>539 漏れ商売してませんが(w 大体技術者ですらないんだけど(w
それ以前にcgiで何故ファイルが見えたのか理解してないダウソ厨(・∀・)カエレ!!
>>541 企業相手には「アンモラル」は通用せんよ。
543 :
名無しさん@4周年:04/01/05 20:06 ID:mn33bNaG
>>539 >だからさ、情報提供者サイドがファイル名だけを認証にしてたわけでしょ?
それは全然違うっしょ。個人情報ファイルの正当な所有者はそのサーバ上に
アカウント持ってる所有者ユーザで、認証はそのサーバに対するログ
イン名とパスワード。その部分とは全く別個に、officeはセキュリティホール
を突いて個人情報を入手した。officeは「公道にデータが放置されて
いた」なんて言ってるけど、一般人にブラウザ渡してそこまでたどり着ける
わけない。始めから犯行目的であれこれやらない限りね。
544 :
名無しさん@4周年:04/01/05 20:06 ID:CCNiIQ9q
>>542 >それ以前にcgiで何故ファイルが見えたのか
見えるようにconfigしてたからだろ、ばーか(w
>始めから犯行目的であれこれやらない限りね。
で、成功したときに「すかっと」したと思われ。
>>543 >一般人にブラウザ渡してそこまでたどり着けるわけない。
あなたは何人?
547 :
名無しさん@4周年:04/01/05 20:12 ID:eayu69Fd
>>544 釣られておくけど(w
「見えるようにconfigしてたから」てか?
では、その文書はcgiを経由することなく呼び出せるファイルでしたか?
不正アクセス禁止法の運用は「俺ルール」ではないからね(w
認証しなくても見えるファイルを見たら不正アクセスとは。
うかつにファイル公開も出来ないね。
まあ日本人らしい発想だね。国際的に通用するものではないと思う。
549 :
名無しさん@4周年:04/01/05 20:31 ID:eayu69Fd
>>548 日本の法令はこれでも「甘い」と言われております。
大体に於いて、不正アクセス禁止法自体が国内の事情だけではなく、
情報犯罪特有の「国境が存在しない」状況による捜査上の隘路を
出来るだけ軽減するためにつくられたものですから、そこには当然
国際的な「規準」というものが存在するわけで。
サイバー犯罪条約って知ってる?
>>549 公開している側が、公開するつもりはなかったといえば、アクセスした人が犯罪者になってしまうの?
それは別の問題を招くのでは?
うまく誘導してアクセスさせておいて、公開するつもりはないものだといえばそれで
551 :
名無しさん@4周年:04/01/05 20:39 ID:mn33bNaG
>>548 >うまく誘導してアクセスさせておいて
それはそれで犯罪。誘導された側は故意がないので無罪。というか
>公開している側が、公開するつもりはなかった
とかいうすりかえは今回の件については成り立たないだろ。問題の
個人情報ファイルは「公開されていない」。
552 :
名無しさん@4周年:04/01/05 20:42 ID:eayu69Fd
>>550 それがいわゆる「ハニーポッド」なんですけど(w
ただ、日本の場合は判例でおとり捜査を原則認めていませんし、
明らかなハニーポッドによる摘発は違法収集証拠排除の法則により
裁判における「証拠」を構成し得ないという解釈がありますよぉ。
553 :
名無しさん@4周年:04/01/05 20:50 ID:CCNiIQ9q
ま、法律なんて自由競争をやったら不利になってしまう
(いつの時代においても大多数派であるところの)馬鹿を
保護するためのものなんだけどね、本来。
ofiiceも馬鹿だよね。
阿糞の馬鹿どもに普通の言葉が通じるとでも思ったのかね(w
554 :
名無しさん@4周年:04/01/05 20:52 ID:/OfoRKt3
これからは、不正アクセスとがバレた時に、「警鐘を鳴らそうと思った」と言い逃れするやつが増えそうだな。
555 :
名無しさん@4周年:04/01/05 20:54 ID:eayu69Fd
>>553 うん、だから君は俺ルールで海外旅行の出来ない身体になってくれ(w
556 :
名無しさん@4周年:04/01/05 20:56 ID:y0SYy2a5
朝ぴんあげ
557 :
名無しさん@4周年:04/01/05 20:57 ID:CCNiIQ9q
558 :
名無しさん@4周年:04/01/05 20:59 ID:mn33bNaG
不起訴になろうが失職免れようが早く本名明かして謝罪なりすべきだろうな。
まさか今後「office」のハンドルでセキュリティアドバイスをやろうなどと
いう厚顔野郎でもないだろうけどすぐハンドル変えて出現しそう。
559 :
名無しさん@4周年:04/01/05 21:04 ID:2EYVFcLw
>>496 http://pc2.2ch.net/test/read.cgi/hosting/1072630070/l50 【訴えてやる】Joe's Web Hosting 12【逆転敗訴】
1 :名無しさん@お腹いっぱい。 :03/12/29 01:47
会社設立以来、鯖をハクられた上に鯖全滅させられたと言う華やかな歴史を持ち、
会員の個人情報を鯖の上においてた挙句、そこもハクられMXやnyで流され放題。
ついに掲示板にまでうpされる惨劇にまで発展。鯖落ちした時は三日近くも放置し
た結果、会員への被害が拡大。その間連絡を一切せず逃亡していた無責任感。
仕事の為にはrootパスワードすらひょいひょい渡す所はセキュリティ管理もずさん。
自分で該当スレで宣伝しておきながら都合が悪ければにわかな法知識で削除依頼を
した挙句削除板でもレンタル鯖板でもジサクジエンのオンパレード。ここを自分の
サポート板として利用しときながらずうずうしいとはこの事である。
そしてついに法律通の情報により2004/01/09(金)にジョエが大阪地裁に提訴すると
言う衝撃情報が入って来た。ついにひろゆきと全面対決か?良く考えればサポート
板として利用していたぶん、ひろゆきにとっては金を分捕れる良いカモである。
さあ、思う存分叩かれて、ひろゆきの財政難解決に向けて貢献してもらおうではな
いか
※法律通からの情報ですので何かあった場合は法律通を訴えて下さい。
こんなDQN鯖缶、鈴木貞子が運営している鯖をじっくりマターリ語るスレです。
560 :
名無しさん@4周年:04/01/05 21:10 ID:eayu69Fd
561 :
名無しさん@4周年:04/01/05 21:17 ID:lQHcS8jL
562 :
名無しさん@4周年:04/01/05 21:17 ID:CCNiIQ9q
>>560 さっそく猿真似か、予想どおりの低能だねぇ(w
だからぁ
158 :森の妖精さん :04/01/04 08:24 ID:k4nxu8zN
なんだ、こういうことか。。。初歩的な話じゃん。。
http://www.office.ac/tearoom/noframe.cgi#No.#1613-1 このcgiの問題を原理的に申し上げますと、「サーバの中のファイル表示をする機
能を持つcgiが、制限無くどのようなファイルをも表示できるようになっていた」
ということです。
従って、HTMLソースを見て「ファイル表示機能を持つcgiだ」と理解すれば、フ
ァイル名を指定するだけで、サーバ内のあらゆる情報を見ることができる可能性
を誰でも推測できたものと想像しております。特定のURLにアクセスすると個人
情報が表示されてしまうという情報漏えいのパターン(一例として2002.4のみず
ほ証券のサイト)がありますが、URLでのアクセス(GETコマンド)であるか、送
信ボタンを押す(POSTコマンド)であるかの違いだけで、その他は全く同一の内
容でした。私は確認していませんが、特定のURLでアクセスしただけでも、実際
には個人情報が表示できた可能性もあります。cgiの設置マニュアルなどには、
指定したファイルの表示をすると書いてあったはずでしょうから、cgiの設置者な
ら誰でも気づき得た問題だと思われます。
が
>不正アクセス
なのかっていっての!
アメは自分とこの大統領すら暗殺する国だってことをふまえてね(w
>>551 >とかいうすりかえは今回の件については成り立たないだろ。問題の
>個人情報ファイルは「公開されていない」。
じゃあ、何で、web serverのマシン上に存在してたの?
#たとえ、ごく限られた対象(ACCSのスタッフのみとか)でも、
#web経由でアクセスさせることを目的としてたわけじゃないの?
もし、本当にマシン上にただあっただけならいいけど、これが
例えば、たった一人がアクセスするためのものだったとしても
web経由でのアクセスを目的で置かれたファイルなら、すり替えは
成り立っちゃうよ。
564 :
名無しさん@4周年:04/01/05 21:21 ID:eayu69Fd
>>562 「俺ルール」と「法律」は別物。
だから君は俺ルールで逝けばいい。その責任自分で取れるなら。
止めないから(w
565 :
名無しさん@4周年:04/01/05 21:22 ID:CCNiIQ9q
566 :
563:04/01/05 21:24 ID:hVG3zQQ2
しまった、「さげ」ってひらがなで入れちまったから
delete2回押そうと思ったら、間違って、Enter2回押しちまった...
ウツダシノウ...
567 :
名無しさん@4周年:04/01/05 21:24 ID:2dItI8Xy
>>552 ハニーポットってコンピュータ用語ではおとり捜査のえさとちゃうよ。
外部から見て本物そっくりの環境を作って、クラックを誘って
フォレンシックに未知のクラック方法を知るために使うんだよ。
/etc/passwdとかが見える場合もあるけど、本物のユーザー情報が
入ってるわけじゃない。
本物のシステムに穴をあけて、本物の個人情報を置いといて、
犯罪者を捕まえるためにあるんじゃないってば(w
568 :
名無しさん@4周年:04/01/05 21:26 ID:mn33bNaG
>じゃあ、何で、web serverのマシン上に存在してたの?
>#たとえ、ごく限られた対象(ACCSのスタッフのみとか)でも、
>#web経由でアクセスさせることを目的としてたわけじゃないの?
何言いたいのか全然わかんないっす。web上のフォームから個人情報入り
相談受け付けて、それをwebサーバ上のファイルに保存する。掲示板なんか
もやってることだな。
569 :
名無しさん@4周年:04/01/05 21:26 ID:ULiJf+w/
570 :
Ё:04/01/05 21:27 ID:5e+33ozC
このスレで珍獣が出てくるとは。
571 :
名無しさん@4周年:04/01/05 21:28 ID:MQnZSkSu
全国の40歳で男性の国立大学研究員を虱潰しに探せばそのうちOfficeさんに会えるということが分かりました。
572 :
名無しさん@4周年:04/01/05 21:29 ID:mn33bNaG
>>562 ヴァカも休み休み言えよ。そのファイルを表示できるCGIで表示するための
対象ファイルの名称がweb上に表示されてたのか?
573 :
名無しさん@4周年:04/01/05 21:30 ID:CCNiIQ9q
>>572 >対象ファイルの名称がweb上に表示されてたのか?
されてねーけどなにか?(w
574 :
名無しさん@4周年:04/01/05 21:33 ID:LLQd042T
ACCSって必要あるのか?
K察よネット狩りばかりやっとらんで3国人犯罪取り締まれ
>>567 おとり捜査用のダミーシステムも「ハニーポッド」って言う場合があるんですよ。
技術用語と法的用語の狭間辺りに属するのではないかと思いますが。
アメリカでペドフィリアの一斉摘発のために構成された偽BBSも「ハニーポッド」って
言ってました>FBI
576 :
名無しさん@4周年:04/01/05 21:35 ID:mn33bNaG
>>168 去年の年頭からやってないと言うことだろう。
は、さておき、
ストリーキングしていた人が逆切れしたという感じだな。
578 :
名無しさん@4周年:04/01/05 21:39 ID:2dItI8Xy
>>575 そーなのか、勉強になりますた。
>>563 これはサーバー管理者にその意図がなくても、Webディレクトリ以外の部分
(個人情報格納ディレクトリ)がcgiのセキュリティホールのせいで外部に公開されていた、
ってことじゃないの?
579 :
名無しさん@4周年:04/01/05 22:21 ID:IY9zR8hg
そういえば昔PC Japanあたりの厨房雑誌でセキュリティ関連の話題の連載をしていた
SRAの奴が銀行にアタックを仕掛けて成功していたことを自分のサイトで自慢していたが
そいつは社内からやっていたそうで懲戒免職処分になったのを思い出したよ。
名前はなんと言ったかな。
580 :
名無しさん@4周年:04/01/05 22:34 ID:pOpJmK+x
>>577 うまい表現。
こういう事件が有った後は逆切れするところが増えそうだから、踏み台になっている
サイトを見つけても暫く連絡するのは止めておこう。
>>579 あ、そうそう、
>>514で言ってた『セキュリティゴロ』って表現、多分今経産省系の
話でしゃしゃり出てくる「自称専門家」のほぼ全部に当てはまるように思われ。
指導熱心な先生でしたが行き過ぎることがあるようです。
XSS脆弱性を指摘するときも「実演」してくれます。
しかも消すと怒る。
583 :
名無しさん@4周年:04/01/06 01:22 ID:Dh9uUtVs
本人も心外だそうな。どの部分か知らないが。
>>583 どうせ一問一答部分で誤解を招く書き方をされたって所でしょ。
あとは朝日の記事での用語の使われ方とか。
何をどう言おうが個人情報を晒した罪に変わりは無いんだがな。
585 :
名無しさん@4周年:04/01/06 06:57 ID:/ZdAJqUD
>>584 了解無しのアタックテスト(アレがテストというならの話だが)やったってのも付け足しとけ。
とりあえずああいう俺ルールのゴロがゴーロゴロって時代は終わっている。
586 :
名無しさん@4周年:04/01/06 06:58 ID:KTpDSGkI
>>584 あれは自分のサイトで面白おかしく晒していたようにしか見えんぞ。
ACCSが不用意に必要もない個人情報を集めた罪も大きいよね。
もっとも騙されるほうが馬鹿なんだけどね。
589 :
名無しさん@4周年:04/01/06 11:59 ID:ly5IobCZ
全部M$が悪いんだよ
590 :
名無しさん@4周年:04/01/06 12:34 ID:FVIiSDeQ
ACCS関係者にはOFFICEのような有能な技術者がいなかったんだね
591 :
名無しさん@4周年:04/01/06 12:47 ID:xoVqxO1z
つまらん釣りイラネ。
592 :
フサフサ:04/01/06 12:57 ID:lCmEQRni
それぞれがそれぞれでダメダメだから論点が絞れないぜ!
ところでダダ漏れだったのは、ただの質問、不正使用のちくり情報。どっちなんだろうねぇ。
漏らした所の人はただの質問だったと言ってた様だけど。
不正使用のちくりで送信した人へはっきり報告しないと、ガクブルしてる人が多いんじゃない?
情報漏れてその後の生活に影響出たら一生補償します。
ぐらい書いてもらわないと、恐くてチクれ無いね。
594 :
名無しさん@4周年:04/01/06 13:19 ID:cLrKNBX6
595 :
名無しさん@4周年:04/01/06 13:28 ID:5JbP23GX
highwayblood を思い出すナァ、、、
596 :
森の妖精さん:04/01/06 13:30 ID:R2tjn1DF
>>595 You is big fool ってか。
597 :
名無しさん@4周年:04/01/06 13:32 ID:ENp0oKCp
そう言えば「はてな」でも変なおっさんが騒いでいるな
600 :
名無しさん@4周年:04/01/06 13:59 ID:FRK2Aygc
>>598 dmnz->under construction->under construction->・・・->page not found
口も達者のようですが、逃げ足も速いようですね
601 :
名無しさん@4周年:04/01/06 14:22 ID:qN2pH0Ii
必死になってADだかACCSだかを煽ろうとしてる厨房うぜえな。
602 :
名無しさん@4周年:04/01/06 14:27 ID:cLrKNBX6
,.ィ , - 、._ 、
,イ/ l/  ̄ ̄`ヽ!__
ト/ |' { `ヽ. ,ヘ ,ヘ
N│ ヽ. ` ヽ /ヽ / ∨
N.ヽ.ヽ、 , } l\/ `′朝日新聞とNHKと内閣官房と総務省と
ヽヽ.\ ,.ィイハ | _| IBMとみずほ銀行と伊藤忠とNTTとGNUと共同通信
ヾニー __ _ -=_彡ソノ u_\ヽ、 |\ と産経新聞と(ryと2chが裏で繋がっていてofficeを
 ゙̄r=<‐モミ、ニr;==ェ;ュ<_ゞ-=7´ヽ> 組織的に抹殺しようとしてるんだよ!!
l  ̄リーh ` ー‐‐' l‐''´冫)'∠_
ttp://www.office.ac/tearoom/noframe.cgi ゙iー- イ'__ ヽ、..___ノ トr‐' /
ttp://slashdot.jp/comments.pl?sid=146273&cid=466236 l `___,.、 u ./│ /_
ttp://pc.2ch.net/test/read.cgi/sec/1068634932/ ヽ. }z‐r--| / ト, |
ttp://news5.2ch.net/test/read.cgi/newsplus/1073154471/ >、`ー-- ' ./ / |ヽ l/
ttp://www.asahi.com/national/update/0104/003.html _,./| ヽ`ー--‐ _´.. ‐''´ ./ \、 \/ ヽ/\/ ヽ/
'''"  ̄ / :| ,ゝ=< / | `'''‐- 、.._
/ !./l;';';';';';';\ ./ │ _
_,> '´|l. ミ:ゝ、;';';_/,´\ ./|._ , --、 | i´!⌒!l r:,=i
| |:.l. /';';';';';|= ヽ/:.| .|l⌒l lニ._ | ゙ー=':| |. L._」 ))
l. |:.:.l./';';';';';';'! /:.:.| i´|.ー‐' | / | |. ! l
l. |:.:.:.!';';';';';';';'| /:.:.:.:!.|"'|. l' │-==:|. ! ==l ,. -‐;
l |:.:.:.:l;';';';';';';';| /:.:.:.:.:| i=!ー=;: l | l. | | / //
l |:.:.:.:.:l;';';';';';';'|/:.:.:.:.:.:.!│ l l、 :| | } _|,.{:: 7 ))
603 :
名無しさん@4周年:04/01/06 14:34 ID:lsBGybpM
誰か教えて下さい
最近PCの電源落とそうとすると
[このコンピュータに接続しているユーザーがいます
電源落としてもいいですか]ってメッセージが出ることがある
なんか知らないユーザーが接続してるんだけど
これってなに?
フォルダの共有はしてないけど誰かにファイルをいじられたりする可能性あり?
これってやばいの?
ちなみにWin95です。
604 :
名無しさん@4周年:04/01/06 14:35 ID:LfMBXUE3
605 :
名無しさん@4周年:04/01/06 14:36 ID:6aDcvurI
これほど工作員がいるスレも珍しいな
606 :
名無しさん@4周年:04/01/06 14:38 ID:8bj9qpj1
↑ しんぱいイラン そのまま電源をきってよか
旧式では、接続関連のプログラムがハングアップしているんだろう
おれのもよくあった。
しかし、不便だね。毎回AC電源をきるのは!
WIN95なんて。。せめてWIN98にしたら
607 :
名無しさん@4周年:04/01/06 14:42 ID:cLrKNBX6
>>604 どこが?
2003年11月8日 office侵入、個人情報取得
2003年11月8日夜 office、イベントAD200Xで侵入方法&個人情報発表
2003年11月9日 office、ACCSにはじめて問題を通知
2003年11月9日 ACCS、問題のページを閉鎖
608 :
名無しさん@4周年:04/01/06 14:53 ID:u7r1Oy/t
>>598 Jarkの掲示板とサイトはイベント開催前から閉じてたろ
おまえあっちのスレで煽ってる黒川かえるとかいうアホウか?
609 :
名無しさん@4周年:04/01/06 15:06 ID:cLrKNBX6
610 :
名無しさん@4周年:04/01/06 15:13 ID:nObpOVnC
みんなscript kiddiesと大差ないメンタリティなんだね。
611 :
名無しさん@4周年:04/01/06 15:14 ID:DFaw1L9f
課長・・・あいかわらず
「インターネットって電器屋に売ってる?」って聞くンすね・・・
>黒川かえる
そっちのスレは読んでないので近況はしらんが
昔TVのインタビューでトンチンカンな質問に対し
トンチンカンな回答をしてインタビュアーをいじめてたことだけ覚えてる
Q.日本の業界のファイアウォールのレベルはどんな状況なんですか?
(セキュリティ体制のレベルという意味か)
A.クラッカーにとってはファイアウォールがあってもなくてもほとんど変わりません。
こんなかんじ
614 :
名無しさん@4周年:04/01/06 17:53 ID:cLrKNBX6
615 :
名無しさん@4周年:04/01/06 19:25 ID:/ZdAJqUD
>>610 本物のクラッカーはテロリストと同種だし、今回みたいな事件起こすヤシらは
script kiddiesと大差ない。
技術云々言う連中=煽り馬鹿ってのが昨今の現状かも。
金銭的な被害を伴うコンピュータ犯罪の相当数が内部犯行。
愉快犯≒テロリストな連中のやることは、するべき事してればアフォに
煽られなくても防御出来るかと。
プロの手を借りなければならないのは別の世界での話。
616 :
名無しさん@4周年:04/01/06 23:14 ID:a94LhDE0
617 :
名無しさん@4周年:04/01/06 23:20 ID:a94LhDE0
ACCS関連スレとかクローン携帯関連スレは、
毎回すごく似たような展開を見せるね。
まあ、どっちも仕事上2chで縄張りにしてる板があるから
しかたないのですがね。
でも、読んでていっつも思うのだけど、、、
「もうすこしうまく話を逸らせないの?」
露骨過ぎるとバレバレでかえって浮いちゃうよ?
ひろみちゅマンセー
619 :
名無しさん@4周年:04/01/07 02:30 ID:GdYD3ifw
620 :
名無しさん@4周年:04/01/07 06:50 ID:+Wx7XIhp
>>619 Scanは検証のツメが甘すぎるのでダメダメです。
セキュ板の書き込み転載して垂れ流したあげく自前の検証を怠って自爆してるぐらいだから。
621 :
名無しさん@4周年:04/01/07 10:29 ID:GdYD3ifw
622 :
名無しさん@4周年:04/01/07 10:52 ID:Isauze5E
エロ動画落とせよ
623 :
名無しさん@4周年:04/01/07 14:27 ID:vZ7zw4sT
Officeの本名マダー?
624 :
名無しさん@4周年:04/01/07 15:07 ID:lri88KeT
つうか、Jarkの謝罪まだー?
625 :
名無しさん@4周年:04/01/07 15:10 ID:c43Z/O4M
626 :
名無しさん@4周年:04/01/07 23:14 ID:+Wx7XIhp
漏れとしては、このまま関係者全員あぼ〜んした方が良いように思うわけだ。
欧米じゃ表で騒ぐヤシと、実際に業務に従事するヤシは互いに互いの縄張り
荒らさないようになってるんだが、日本の場合は表で騒ぐヤシが実際に
業務に従事してるヤシが居ることを理解出来ないぐらいに社会的スキルが
低いので、こういう「馬鹿」としか言いようのない事態が起こる。
『技術馬鹿より、犯罪心理やり込んだ有能なヤツの方が欲しい』と話していた
ヤシもいたぞ>現場
ダンマリ決め込んでるふぁあすと鯖には間違いなくしんでほしいな。
>>627 というか今回の朝日新聞の記事ってファーストサーバーが目くらましのために仕組んだんじゃないかな?
記事の中にファーストサーバーのことに関してほとんど触れていなかったのはかなり妙な感じ
世論を盛り立ててoffice逮捕でこの件を終わりにしてそのままだんまりを決め込むつもりかも
まあ、officeは逮捕されてもしかたないと思うけどファーストサーバーが何も表明しないのはひどい話だよね
629 :
名無しさん@4周年:04/01/08 01:48 ID:M6fjLPc2
630 :
名無しさん@4周年:04/01/08 01:49 ID:EmreHNRv
人間をマインドコントロールするとは!
ACCS、許さん!!
>>629 あながち陰謀説と言えない部分もあるな
確かに新聞の一面を飾るにはあまりにも記事として内容がお粗末だし
何らかのバイアスがかかった印象を受ける
しかも実質的なサービス(CGI)の提供者であるファーストサーバー
についてあまり触れられていないのは世論操作とも感じられるし
あの内容であればそこに言及されていてもおかしくない
>>630 わざと読み違えているのはわかるけどそこまで露骨なコントロールはどうよ?
まあ2chの醍醐味だが(w
632 :
ま、お約束ですが:04/01/08 02:37 ID:M6fjLPc2
,.ィ , - 、._ 、
,イ/ l/  ̄ ̄`ヽ!__
ト/ |' { `ヽ. ,ヘ ,ヘ
N│ ヽ. ` ヽ /ヽ / ∨
N.ヽ.ヽ、 , } l\/ `′朝日新聞とNHKと内閣官房と総務省と
ヽヽ.\ ,.ィイハ | _| IBMとみずほ銀行と伊藤忠とNTTとGNUと共同通信
ヾニー __ _ -=_彡ソノ u_\ヽ、 |\ と産経新聞と(ryと2chが裏で繋がっていてofficeとネット
 ゙̄r=<‐モミ、ニr;==ェ;ュ<_ゞ-=7´> アンドセキュリティ総研を組織的に抹殺しようとしてるんだよ!!
l  ̄リーh ` ー‐‐' l‐''´冫∠_
ttp://www.office.ac/tearoom/noframe.cgi ゙iー- イ'__ ヽ、..___ノ トr‐./
ttp://slashdot.jp/comments.pl?sid=146273&cid=466236 l `___,.、 u ./│/_
ttp://pc.2ch.net/test/read.cgi/sec/1068634932/ ヽ. }z‐r--| / ト, |
ttp://news5.2ch.net/test/read.cgi/newsplus/1073154471/ >、`ー-- ' ./ / |ヽ l/
ttp://www.asahi.com/national/update/0104/003.html _,./| ヽ`ー--‐ _´.. ‐''´ ./ \、
ttp://headlines.yahoo.co.jp/hl?a=20040106-00000011-vgb-sci '''"  ̄ / :| ,ゝ=< / | `'''‐- 、.._
/ !./l;';';';';';';\ ./ │ _
_,> '´|l. ミ:ゝ、;';';_/,´\ ./|._ , --、 | i´!⌒!l r:,=i
| |:.l. /';';';';';|= ヽ/:.| .|l⌒l lニ._ | ゙ー=':| |. L._」 ))
l. |:.:.l./';';';';';';'! /:.:.| i´|.ー‐' | / | |. ! l
l. |:.:.:.!';';';';';';';'| /:.:.:.:!.|"'|. l' │-==:|. ! ==l ,. -‐;
l |:.:.:.:l;';';';';';';';| /:.:.:.:.:| i=!ー=;: l | l. | | / //
l |:.:.:.:.:l;';';';';';';'|/:.:.:.:.:.:.!│ l l、 :| | } _|,.{:: 7 ))
633 :
& ◆R7PNoCmXUc :04/01/08 02:50 ID:M6fjLPc2
>>629 >あながち陰謀説と言えない部分もあるな
>確かに新聞の一面を飾るにはあまりにも記事として内容がお粗末だし
>何らかのバイアスがかかった印象を受ける
>しかも実質的なサービス(CGI)の提供者であるファーストサーバー
>についてあまり触れられていないのは世論操作とも感じられるし
>あの内容であればそこに言及されていてもおかしくない
一面の記事にふさわしいかどうかは、ネット経由の個人情報漏れがそれだけ
大きな問題だと言うだけだろう。しかも、TBCとかそういうのと違い、犯人は
明確でインタビューまである以上、記事としてのわかりやすさは申し分ない。
ファーストサーバについては、このスレに書き込んでる半数が誤解してる
ようだが、11月の最初のACCS記者会見ニュース時点で断罪されてしかる
べきで、あくまで今回の
>>1の主役はoffice。ではなぜ今これが取り上げ
られるのかというと、11月のニュースの時点では、officeがACCSに通告
する前に自分で侵入して個人情報を入手しあまつさえ有料イベントの出し物
として手口とともに公開していたことが発覚していなかったから。今回は
そこがニュースなので、ACCS/ファーストサーバは問題の背景に過ぎない。
634 :
名無しさん@4周年:04/01/08 02:57 ID:z4lOsHBl
俺が思うに非公開の領域にファイルとしてデータを保存しているから盗まれる。
つまり、ファイヤーウォール内のローカルIPのみを持つ別サーバー内に
データを保存しておいて、CGIはその別サーバとローカルIPによる通信でデータを取ってくるようにすれば
防げると思う。
635 :
名無しさん@4周年:04/01/08 03:45 ID:joJtAScl
>>634 プ
そしてSQLインジェクションで漏れるという罠
しかも加えて改変消去可能に ワラ
636 :
名無しさん@4周年:04/01/08 03:50 ID:pQpxC09Q
とりあえず、思うこと。
住基ネットも危険なのでは?
個人情報のかたまりが流出してはどう悪用されるかと思うと・・・
637 :
名無しさん@4周年:04/01/08 04:01 ID:zRkTqxRW
役所の人間の個人情報の扱い方をみると、
コンピュータの方が安全。
痕跡も残るし、消しても消した形跡が残るし。
638 :
名無しさん@4周年:04/01/08 04:05 ID:z4lOsHBl
>>635 誰もSQLデータベースを使えとは書いてないよ。
639 :
名無しさん@4周年:04/01/08 04:06 ID:vyV/XlGZ
痕跡が残ろうが何だろうが、情報漏洩者をまともに処罰しないのだから無意味。
技術がどうこうなど関係者のオナニーでしかない。
640 :
名無しさん@4周年:04/01/08 04:11 ID:zRkTqxRW
今でも、自由に市役所で本人に知られる事無く
簡単な手続きで業者が個人情報を漁っているのはどういうことか?
641 :
名無しさん@4周年:04/01/08 04:15 ID:HVXkackX
642 :
名無しさん@4周年:04/01/08 04:31 ID:zRkTqxRW
643 :
名無しさん@4周年:04/01/08 04:38 ID:joJtAScl
> CGIはその別サーバとローカルIPによる通信でデータを取ってくるようにすれば
プゲラ
CGIのファイル目指定「機能」引数経由で別サーバからローカルIP経由で読み出してブラウザに応答する罠
644 :
名無しさん@4周年:04/01/08 07:05 ID:fZjk1bic
>>629 しかしなぁ、「ネットアンドセキュリティ総研」って何よ?
調査一つまともに出来ないのに(w
表に出てる連中なんて、あの業界ではただのピエロなんだから
自己認識して当たり障りない、世間に迷惑掛けない記事だけにしとけ(w
裏にあこがれた厨のいるスレはここですかな?
>>645 表層しか見えない視野狭窄の厨もいますよ。
647 :
名無しさん@4周年:04/01/08 11:58 ID:joJtAScl
>>631 > 確かに新聞の一面を飾るにはあまりにも記事として内容がお粗末だし
じゃあ、模範的な記事をここに書いてみて。
>>648 いいえ。陰謀論依存症の人を更生したいと願う者です。
651 :
名無しさん@4周年:04/01/08 12:42 ID:HReVqDv9
652 :
名無しさん@4周年:04/01/08 13:03 ID:APzCJItP
>>651 そう。
ただし、本当に個人情報ファイルが引き出せるかは、その場で初めて試したということらしい。
誰だったかの日記によると、PHSでプレゼン中に初めて試すつもりが、電波が届かない場所だたため
プレゼン直前に実行してパワポ画面に貼ってプレゼンしたらしい。
連絡した時刻がプレゼン終了の何分後かは不明。
しかし、個人情報ファイル以外のファイルで読めるかどうか試すのは、事前に行っていたのではないか。
653 :
名無しさん@4周年:04/01/08 16:24 ID:kCkgShHd
654 :
名無しさん@4周年:04/01/08 17:28 ID:QXc3QVtD
officeってadのメンバーじゃなかったの?
656 :
名無しさん@4周年:04/01/08 19:10 ID:M6fjLPc2
657 :
名無しさん@4周年:04/01/08 19:26 ID:fZjk1bic
>>654 アレが「筋」だと思える段階で|ι´Д`|っ < だめぽ
>>657 でも少なくともファーストサーバーよりは筋が通ってるな(w
659 :
名無しさん@4周年:04/01/08 21:34 ID:HceUdDpv
660 :
名無しさん@4周年:04/01/08 21:49 ID:fZjk1bic
査読出来るヤシがいるのかと小一時間。
661 :
名無しさん@4周年:04/01/08 22:44 ID:M6fjLPc2
. ∧ ∧ | ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
. ( ´∀`) < office君これまでご苦労だった・・・。
<⌒i。___!>. |_____________
/ ^ヽ ) /~i_!! ☆
〉 / ! E)/ カチッ
/ / || ̄
i /| ||
/ |. | ||
/ /| |. ||
/ / / |. |. || 鵜飼さんミステナイデ〜
/ / | | |. || | | | |
/ /. ノ. | !| |ノ. | || | ||
| rー─/、_/ |.| ''ー、. |∩ | |(\ ||
`ー' (__}.'ー―' _| .|___.ヽヽ.___
. /:::::|∧::::∧ | .| :::::::::/
/:::::::(´Д` ) .|::::::::/
. /::::::::::/ /::::::/
662 :
名無しさん@4周年:04/01/09 01:08 ID:dZfnNyxB
あれ?みんな急に静かになったでつね(藁
663 :
名無しさん@4周年:04/01/09 01:11 ID:NN9VY+Lx
>>639 査読なんてしません。
Linux WeekとかBSDのなんちゃらとかと同じノリ。
664 :
名無しさん@4周年:04/01/09 01:59 ID:pusU4Esn
665 :
名無しさん@4周年:04/01/09 09:40 ID:hLpfpGf6
ADも十分きな臭いと思うが、そんな小さい話より、
KO大学のT教授のとこが無許可で脆弱性検査スキャナー回しまくって
大目玉食らった事件のことは知ってるか?
あれの方がよっぽどヤバい話だが、朝日は嗅ぎつけてないのかな。
>>665 blog厨房どもの話のネタにはなっても一般へのアピール効果は薄い。
ADには適わないよ。
>>665 一応大学の研究者の話だからねぇ。
「知らない」ことがある意味まだ当たり前なので、大目玉で済む。
完全に商売な連中への態度はまた別。
不正アクセス禁止法違反の摘発は生活安全部の仕事だから。
668 :
名無しさん@4周年:04/01/09 21:28 ID:TEsZYh5v
>>667 不正アクセス禁止法って、親告罪じゃないの?
だいたい、不正アクセスかどうかなんて、不正アクセスされたと主張する人がいなければなり立たない
管理者によっては、cgiのパラメータを、パス入りの値を送るのを正常なアクセスだとするかもしれん
>>668 議論のすり替えを図りたいならセキュ板でやれば?
670 :
名無しさん@4周年:04/01/09 22:12 ID:+byK9VUJ
lヽ ノ l l l l ヽ ヽ
)'ーーノ( | | | 、 / l| l ハヽ |ー‐''"l
/ 電 | | |/| ハ / / ,/ /|ノ /l / l l l| l 電 ヽ
l ・ i´ | ヽ、| |r|| | //--‐'" `'メ、_lノ| / ・ /
| 算 l トー-トヽ| |ノ ''"´` rー-/// | 算 |
| ・ |/ | l ||、 ''""" j ""''/ | |ヽl ・ |
| 厨 | | l | ヽ, ― / | | l 厨 |
| !! | / | | | ` ー-‐ ' ´|| ,ノ| | | !! |
ノー‐---、,| / │l、l |レ' ,ノノ ノハ、_ノヽ
/ / ノ⌒ヾ、 ヽ ノハ, |
,/ ,イーf'´ /´ \ | ,/´ |ヽl |
/-ト、| ┼―- 、_ヽメr' , -=l''"ハ | l
,/ | ヽ \ _,ノーf' ´ ノノ ヽ | |
、_ _ ‐''l `ー‐―''" ⌒'ー--‐'´`ヽ、_ _,ノ ノ
 ̄ ̄ | /  ̄
672 :
名無しさん@4周年:04/01/09 22:28 ID:OWqWCl5i
>>668 法律のことなのでマジレスすると、アク禁法は親告罪じゃない。
嘘はダメヨ
673 :
名無しさん@4周年:04/01/09 22:52 ID:TEsZYh5v
>>672 親告罪じゃなくても、実質的には親告罪だろ?
外部の人間には、正常なアクセスか不正なアクセスかはわからない
また、もし刑事裁判になれば、攻撃を受けた方が不正アクセスだと証言しなければ有罪にならなく、
実質的に親告罪にならざるをえない
674 :
名無しさん@4周年:04/01/09 23:03 ID:pusU4Esn
>>673 で。証言しない理由が何かあるの?証言する方が関係者にとって明らか
に有利なこの状況で。
675 :
名無しさん@4周年:04/01/09 23:04 ID:5jS9uOq8
>>673 なるほど、そういう論理で厨は野放図にポートスキャンをするんでつね(w
676 :
名無しさん@4周年:04/01/09 23:14 ID:CaVmPF0u
677 :
名無しさん@4周年:04/01/09 23:23 ID:pusU4Esn
678 :
名無しさん@4周年:04/01/09 23:26 ID:5jS9uOq8
>>677 そりゃでまくりでしょう。
軍事技術なんてものに関心のない経産省の役人にすり寄る連中なんだから(w
元自衛官のくせに業界状況を理解出来てないアフォもいるようだしな(w
679 :
名無しさん@4周年:04/01/09 23:32 ID:afQAJNRg
>>676 職業:セキュリティコンサルタント→松田誠司
職業:大学教員 →小島肇
職業:OA全般 担当者(40)→Office
分かり易すぎるぞおい
680 :
名無しさん@4周年:04/01/09 23:38 ID:OWqWCl5i
>>669 668じゃないけど、これって TBCと似たり寄ったりだよね。
きのうきょう PC買ったもんでもなきゃ、cgi?pics=118とかなっててエラー
出たら、削って cgi?でアクセスするよなぁ。
TBCは、削ったら indexesになっていて一覧が出てきた。
cgiを知っていたからコマンド送ったら見えた。削って見たのと同じだよ。
この手の犯罪で親告罪ってのも、人それぞれ一般常識の程度が
異なるから成り立たないと思う。
682 :
名無しさん@4周年:04/01/09 23:45 ID:5jS9uOq8
683 :
名無しさん@4周年:04/01/09 23:50 ID:pusU4Esn
>>681 >668じゃないけど、これって TBCと似たり寄ったりだよね。
全然違う、ってか
>>1から目を皿のようにして全部読んでから出直せ
684 :
名無しさん@4周年:04/01/09 23:53 ID:gqBI/tPG
不正アクセス防止法の容疑掛けておいて
強制的に家宅捜索して万一立件が無理そうなら
不正コピーみたいなもので起訴しちゃえば?
685 :
名無しさん@4周年:04/01/10 00:02 ID:nO5vxEMp
>>684 それ以前に十分に営業妨害で起訴できそうだが。
686 :
名無しさん@4周年:04/01/10 04:30 ID:qk4TP3RB
687 :
名無しさん@4周年:04/01/10 05:38 ID:rW5CIj0K
>>675 ポートスキャンは法律で定められている「不正アクセス」にははいりませんが?
688 :
名無しさん@4周年:04/01/10 05:44 ID:rW5CIj0K
>>680 そいつが逮捕されたのは、あるサイトが不正に改竄されたといったからだろ?
警察には、どこかの馬鹿が不正に改竄したのと、正当な権限を持つ管理者が改竄されたかのような
ページを作ったのかわからない
まあ、親告罪と違う事で、わざわざ告訴しようという意志のない被害者に警察側から話を持ち込んで
立件というパターンが多いだろうけどね
689 :
名無しさん@4周年:04/01/10 05:48 ID:Dq5fU/0b
国防の努力義務を怠っている。
ごもっとも!
690 :
名無しさん@4周年:04/01/10 06:28 ID:qk4TP3RB
691 :
名無しさん@4周年:04/01/10 09:35 ID:ccQR5aty
まさか47氏じゃないだろうな
>>158 これは・・・・・なあ。たしかにoffice氏は少しかわいそうだ
693 :
名無しさん@4周年:04/01/10 10:07 ID:qk4TP3RB
695 :
名無しさん@4周年:04/01/10 10:19 ID:qk4TP3RB
>>694 >>537 >この場合「識別符号」じゃなくて「認証を回避する行為」として不正アクセス
>禁止法に於ける禁止行為になるの。
>>697 >>540 > この規定ないとXSS脆弱性利用してのアタックも取り締まれなくなるんですけど。
それはクッキーが識別符号かな
....違うっぽいな...
699 :
名無しさん@4周年:04/01/10 13:23 ID:909yPR0Y
700 :
名無しさん@4周年:04/01/10 15:28 ID:OpSkhc8u
701 :
681:04/01/10 18:55 ID:hHgbAmfp
>>683 >681の 1行目だけでなく、その下の方まで読んで >683を書いてくれた?
このスレ読んで、slash dot読んで出た結論なんだが、結局、cgiへどんな
コマンド送ったのか、どう突破したのか、漏れたのがそこへ置かれている
のは一般的なことなのか、はっきり報道されてないよね?
ただ単に、その cgiに組み込まれているコマンドを送ってみたら出てきた。
って俺は認識なんだけど、それも不正なのか?って思うな、やはり。
それだったら、ディレクトリー削ったら出てきた。も処罰対象の行為になるぞ。
702 :
名無しさん@4周年:04/01/10 19:15 ID:OpSkhc8u
>>681 不正です(どきっぱり)。
ディレクトリ削ったのとどこが違うかはきちんと逐条解説嫁。
703 :
名無しさん@4周年:04/01/10 19:17 ID:qk4TP3RB
>>701 ディレクトリをさかのぼるという行為と、類推したファイル名を含むコマンド
を送信することとの差異がどれほどであるかは、裁判所が決めることであって、
ここで断定する筋合いのことではないので君の意見も勿論一理ある。
だがしかし、ディレクトリを削ったURLを入力する行為は、一般的なweb
サーバの働きを知っていれば類推できる物であり、GETによる「一般のブラ
ウザによるアクセス」とみなされる可能性が大きい一方で、今回のoffice
の件は、特定CGIのセキュリティホールを利用する目的で、POSTによって、
コマンド(単なる組み込みではなく類推されたデータファイル名を含む)
を送信していると思われ、そこに差異があるという意見もある。
なぜなら、たとえバッファオーバーフロウのような深刻なセキュリティホ
ールであろうと、君の言い方ではそのコマンドがあらかじめ「組み込まれ
ていた」という言い方ができてしまい、そのようなセキュリティホールを
利用する行為も不正とは言えなくなってしまうからだ。
少なくとも、office本人が、弁護士のアドバイスがあったのかどうか知らない
が、正確な操作を一般に開示して弁明を図らない以上、君の意見と反対に考え
る人間が多数に上るのは仕方無いだろう。
704 :
名無しさん@4周年:04/01/10 19:23 ID:HY4JT5Mu
>>701 とても大雑把に俺が思っていることを書くよ。
違うかもしれないから、鵜呑みにはしないでちょうだいね。
たぶんフォームのhidden属性とかで、ファイルを指定していたんじゃないかと思うんだ。
たとえばエラーページを出すためとかで、
<input type=hidden name="errorpage" value="./error.html">
とかいったことが書いてあったんじゃないかな。
そこで、たとえばこう書き換えたんじゃないかなと思うんだ。
<input type=hidden name="errorpage" value="../data/data.csv">
../data/data.csvは、スクリプトの標準的なデータ置き場と想像できる場所ね。
スクリプトの中で、単純に指定されたオプションを使ってopen()してたら、
そのままファイルを開いちゃう。
スクリプトの機能としてフォームから指定されたファイルを、
それがどんなファイルであっても開くことができたことが脆弱性だったんだろうと思ってる。
WEB の CGI からアクセスできる位置にデータファイル置いてたとか、そういう
単純なミスもあったのかも知れないね。
最終的に個人情報を流したのはまずいけど、チェックの方法自体は大して
問題じゃないだろうと思うよ。
705 :
名無しさん@4周年:04/01/10 19:27 ID:w2MkLczQ
Exception in thread "main" java.lang.NullPointerException
706 :
名無しさん@4周年:04/01/10 19:33 ID:OpSkhc8u
709 :
名無しさん@4周年:04/01/10 21:09 ID:Xz6Rzrsg
710 :
681:04/01/10 21:30 ID:hHgbAmfp
>>707 そのリンク先にあった netsecurityの記事が、私の一般常識に近かった。
711 :
名無しさん@4周年:04/01/10 21:35 ID:Mx3W3rA7
>>703 >GETによる「一般のブラウザによるアクセス」とみなされる可能性が大きい一方で、今回のofficeの件は、
>POSTによって、コマンドを送信していると思われ、そこに差異があるという意見もある。
POST だって「ボタンを押す」という「一般のブラウザによるアクセス」とも言える。みんな使ってるよね。
こういうのはどうだ。
>>704 みたいに hidden なんていう一般人の理解を超えたものを使うんじゃなくて、
ただの普通のファイル名入力画面にする。
<html>
<form action="
ttp://askaccs.jp/cgi-bin/xxxx" method="post">
表示するファイルのパス名を入力してください:<input name="errorpage" value="">
<input type="button" name="表示" value="表示">
</form>
</html>
712 :
名無しさん@4周年:04/01/10 21:36 ID:OpSkhc8u
>>710 あの連中はすでに時代の変化から取り残されてるので注意した方が。
現状ああまで脳天気じゃない。
9.11以降あちこちでセキュリティというものに対する態度が変わっている。
日本も脳天気の見本とはいえ、脳天気にやってるのは経産省系の
テロとか軍事技術に関心のないお役人とそれに規制してるアホだけ。
規制→寄生
スマソ。
714 :
名無しさん@4周年:04/01/10 21:51 ID:qk4TP3RB
>>711 明らかにあり得ない仮定の話されても何を言いたいのかサパーリなんですけど?
715 :
名無しさん@4周年:04/01/10 22:22 ID:9qBo4xcL
>>714 “あり得ない”の意味がわからぬ
>>703 >そこに差異があるという意見もある。
ここまではわかるけど
>なぜなら、たとえバッファオーバーフロウのような深刻なセキュリティホ
>ールであろうと、君の言い方ではそのコマンドがあらかじめ「組み込まれ
>ていた」という言い方ができてしまい、
そんなこと言えるか?
>そのようなセキュリティホールを
>利用する行為も不正とは言えなくなってしまうからだ。
飛躍がありすぎる
>>715 基本的には、認証を必要とする状態で置かれているファイルをその認証を
回避出来る手段を使って引っこ抜いた場合問答無用でアウト>不正アクセス禁止法
>>716 それは分かってるけど、今回の場合その例えとは
状況が異なってるから賛否両論あるんでしょ?
>>716 >認証を必要とする状態で置かれているファイルをその認証を
>回避出来る手段を使って引っこ抜いた場合
だからさ、
>>711 の HTML フォームだとどうなのよ。答えてよ。HTML が読めないわけじゃないよね。
>>720 会場で実際にやってみたわけじゃなく極めて限定的な仮定の話を持ちだして
一体何がやりたいんだ?
外部からのリクエストに対して直接の読み込みは不可能でも
穴のあるCGI経由で読み出せてしまうケースは結構あるぞ
722 :
名無しさん@4周年:04/01/10 23:14 ID:qk4TP3RB
>>719-720 被害者が実際にやってもいない行為を仮定した話する利益がどこにある
のかわからんが釣られてみると、全然変わらないね。
というのは、ファイル名が明らかになっていない関係上、そのフォームを
経由して正確なファイル名を探索する行為は、パスワード入力プロンプト
に対してブルートフォースアタックを仕掛けるのと同様の行為だからだ。
>>722 ミイラ取りがミイラになった瞬間を見た。
725 :
名無しさん@4周年:04/01/10 23:18 ID:qk4TP3RB
729 :
名無しさん@4周年:04/01/10 23:27 ID:Mx3W3rA7
おれは単に偏らない議論がしたいだけ。どっちの味方でもない。
結局のところ結論はこうだと思う。
当該行為の通信内容や操作内容では白黒は付けられない。
「ファイル名を類推」した目的は何かといった行為者の意図を問うしかない。
だが不正アクセス禁止法の法文がそうなっているのかどうか。
>>729 なっていない。
長文になるんで引用を避けるが、法文を見ると識別符号を第三者が利用したか、
識別符号を漏洩したか、アクセス制御機構を迂回したかの三点についてのみ
規制されている。
CGI パラメータに指定されたファイルを出力するスクリプトにアクセス制御機構が
あったなら、もちろん不正アクセス禁止法にひっかかるだろう。
たとえば掲示板の管理者権限乗っ取りみたいなことでね。
でも、アクセス制御機構はあったのかな?
俺にはその有無はわからんけどね。
>>720 ファイル名直打ちとcgi経由の呼出しの意味すら分かっていないヤシには
難しすぎる話だったか? つか判ってて揚げ足取りか(w
前にも書いたが、cgiに不正な引数投げ込んでデータファイルを読み込む行為は
禁止行為に該当します。
>>711の形式に於いては引数部分を不特定多数の
人間が任意に指定することを想定してhtmlソースが書かれているので、ここに
任意の引数を入力することは当然問題ない。
まぁここで探索ってな事になってくると
>>722って問題が出てくるんだが、その辺の
検討は資料探すの面倒なのであとまわし。
で、これがボタンに特定の引数を割り当ててあった場合に、cgiの引数に閲覧者が
任意の引数を投入して、認証が必要な領域にあるファイルを閲覧した場合には
不正アクセス禁止法に明確に違反する。
日本の不正アクセス禁止法ってやっぱザルだわ。それでも引っかかるような
行為自慢しまくるあの阿呆のアホぶりには脱帽だね。
>>731 まてまて。禁止行為に値するならその根拠示せよ。
CGI スクリプトのパラメータと GET/POST に与えるパラメータの差を示しながらな。
主体となるCGIなりHTTPdなりにアクセス制御機構があって、それを迂回したなら
文句なしに不正アクセス禁止法に抵触する。
おまいは法文を100回音読と書き取りが必要かもしれんぞ。
734 :
名無しさん@4周年:04/01/10 23:40 ID:OpSkhc8u
>>732 どうにでも勝手解釈可能な法文を脳内解釈で語る前に、
判例乏しい法規に関しては主務官庁監修の逐条解説書ぐらいは
目を通した方が良いのではと小一時間。
735 :
名無しさん@4周年:04/01/10 23:42 ID:Mx3W3rA7
>>733 >意図云々は、関係ない。その行為が成立したときに、犯罪が成立する。
法律がそうあるべきだというのには同意する。だが、現実に
>>当該行為の通信内容や操作内容では白黒は付けられない。
わけよ。だからどうするかってこと。
>>733 おまいは話にならんな(笑
識別符号とアクセス制御について理解してから出直して来い。
>>734 おまいはまずHTTPを勉強したほうがいいぞ。
自分で考える能力を磨こうな。
738 :
名無しさん@4周年:04/01/10 23:47 ID:Mx3W3rA7
>>722 >パスワード入力プロンプトに対してブルートフォースアタックを
>仕掛けるのと同様の行為だからだ。
それは関係ない。ブルートフォースを試行する行為が不正アクセス禁止法で直接禁止されているわけじゃない。
そうやって得られた識別符号でログインする行為が不正アクセス禁止法違反になる。
739 :
名無しさん@4周年:04/01/10 23:47 ID:OpSkhc8u
法文が想定してる用語の意味と
>>736の脳内用語は異なるようですが(w
>判例乏しい法規に関しては
そう。判例に乏しいのだよ。
今回の件がどうなるか司法の判断ということになる。
ただ、そういう法律が多すぎるのは困ったもんだ。
特に形式犯とされていて未遂とか過失が定められていない
不正アクセスに関してはもっとちゃんとしててくれないと
うっかりCGIのフォームにミスタッチの入力が出来ない
ということになりかねない(w
>>735 >当該行為の通信内容や操作内容では白黒は付けられない
白黒付く、というかほとんどそれだけなんですが。本人の思惑については、
officeは、ACCSのサイトで自分の連絡先とかなんとか個人情報を入力する
ページがあるのを見つけ、これは個人情報ファイルがゲットできそうだ
と目星を付け、7月に一生懸命トライした。(どっかのblogだかで、11月に
会場で初めてトライしたなんて書いてる阿呆がいたが、プレゼンみっちり
用意してきたくせに初めてはないだろ。)そして現実に個人情報をゲット
した。
一応、俺が書いてるときに参照してる法文はここにあるやつ。
http://www.ipa.go.jp/security/ciadr/law199908.html もしその後改正されてたりしたら不正確な可能性がある。
最新版を知っていたら教えてくれ。
とりあえずは上記リンク先を参照してる。
officeを不正アクセス禁止法で引っ張るにはかなりの拡大解釈が必要だろう。
識別符号の定義を拡大するんじゃないかな。
たぶん警察は引っ張ってくと思うんで、判例には期待してるよ。
ただし、不正アクセス禁止法に関係なく個人情報を見せびらかしたのはクロだと思う。
>>741 >11月に会場で初めてトライしたなんて書いてる阿呆がいたが、プレゼンみっちり
>用意してきたくせに初めてはないだろ。
いや、たしか本人がどっかでそう書いてたぞ。
>>739 無知蒙昧を見破られたのがそんなに悔しかったのかな?
2 この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて
当該特定利用に係るアクセス管理者の許諾を得た者(以下「利用権者」という。)及び
当該アクセス管理者(以下この項において「利用権者等」という。)に、当該アクセス管理者
において当該利用権者等を他の利用権者等と区別して識別することができるように
付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する
符号とその他の符号を組み合わせたものをいう。
他の利用権者と区別できるのかな?ファイル名で。
存在を知るか知らずかで区別することができるなら、index of な参照ができてしまうか
どうかに関係なくデータファイルを読み出せた者は有罪になってしまう。
つまりアクセス制御機構の有無に関わらず管理者の意向にのみ依存してしまうことになる。
アクセス制御機構の存在が必要になるのはその点が問題になるからだろ?
745 :
名無しさん@4周年:04/01/10 23:55 ID:OpSkhc8u
>>740 ミスタッチの場合は素直に犯意の所在って問題があるけど。
刑法総則の方での問題。
>>729でいう「ファイル名を類推する」事とミスタッチの場合には
ゾウリムシとほ乳類ほどの違いがある。
>>742 「識別符号により保護されたデータ領域」と「認証を回避する行為」の
解釈に問題があるの。拡大解釈にもなにもならん。
>>738 そうだね。で、結論に変化はあるか?ブルートフォースアタックという
のは、パスワードを試行して、それが実際に通ったらそれは正しいパスワード
というのが判明する。つまり、ブルートフォースアタック成功の時点で
不正アクセスは成立しており、ブルートフォースアタックを行ってから、
あらためてパスワードを使用していることが問題になるわけではない。
747 :
名無しさん@4周年:04/01/10 23:58 ID:OpSkhc8u
>>744 適用を想定してる条文自体が違ってる。
ループさせるなうぜー。
>>745 そうだね。以下2点の解釈でしょう。
(1) 今回のファイルが、アクセス制御機能によって守られていたのか
(2) officeの行為が「特定利用の制限を免れることができる情報または指令」であるかどうか
>>745 どこにどう問題があるのかな?
君の脳内での問題でないならぜひその問題を指摘してくれ。
俺が気づいていないだけかもしれないから。
>>747 じゃあ君はどの条文を想定しているのかな?
存在するなら示して欲しいな。
751 :
名無しさん@4周年:04/01/11 00:02 ID:NJO/MNBw
>>746 ファイル名を探索するのは識別符号の探索じゃない。
適用を想定してる条文自体が違ってる。
ループさせるなうぜー。
ってこと。
こいつらも匿名なのをいいことに、やりたい放題なんだろ?
逮捕しとけ。不審なやつらに、家の周りをうろつかれたらたまらんわ。
753 :
名無しさん@4周年:04/01/11 00:03 ID:CBXym/f7
第三条
二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス
制御機能による特定利用の制限を免れることができる情報(識別符号であるものを
除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている
特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス
管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。
次号において同じ。)
三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス
制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線
を通じてその制限を免れることができる情報又は指令を入力して当該特定電子
計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
754 :
名無しさん@4周年:04/01/11 00:03 ID:/B03D7vk
>>742 条文だけ見ててもダメよ、ということでしょ。国語的解釈と
技術分野の専門知識だけでは法文の解釈はできないのよ。
逐条解説とか「一問一答」とか読まないと。
755 :
名無しさん@4周年:04/01/11 00:05 ID:kqPKnm5h
>>754 >逐条解説とか「一問一答」とか読まないと。
引用しろよ。
756 :
office(仮名)(40):04/01/11 00:08 ID:CBXym/f7
/´:::::::::::::::::::::::::::::::::::::::::::`ヽ
/::::::::::::::::::::::::::::::::::::::::::::::::::::::::\
--------------------------ー)
|
http://www.office.ac/index-j.html |
(:----------------------------/
(::::::::::/ ヽ:::::::::::)
|:::::::/ ,,;;;;;;;;;;;;;;, ;;;;;;;;;;;;;,,, |:::::::::::|
|::::: :::::|
|:::: -=・=- -=・=- :::|
/|::: ~~~~ ノ ヽ ~~~~ |ヽ
.| |/ / ヽ ||
ヽ| ⌒ (. o⌒o .) ⌒ .|ノ
\ :::::::::::::U:::::::::::: プッ /
>>755 がんばって よんで くださいね
|\ ヾ─┬┬┬─ :::: /|
http://www.npa.go.jp/hightech/fusei_ac1/gaiyou.htm |. \. └┴┘ ./ .|
757 :
名無しさん@4周年:04/01/11 00:08 ID:/B03D7vk
>>755 持ってない。てか、既に出ているのかどうか知らないし。
言いたいのはね、技術の専門家がここで議論するレベル以前に、
刑法で言う故意とか目的とか言った概念の理解が必要なわけで、
そこをすっ飛ばして議論してもあまり意味ないということ。
>>754 判例主義がある以上、参考文献をいくら読んでもソースに依存するよね。
ここでのソースは法文で、理解するためには技術知識が必要。
officeが引っ張られて判例が出ればシロクロはっきりすると思うよ。
だからこそ俺は判例に期待するわけだ。
ディレクトリ掘っただけで捕まる事になるのか?
CGI のhiddenパラメータは絶対手入力しちゃいけないのか?
つまり、安全なサービスなのかどうか自分のアカウントで試す事はクロなのか?
俺は自分が利用してるサービスが安心できるものかどうか知りたいからね。
今のところ自分で調べるしかないから、この事件の判例には興味津々だよ。
まだ捕まってないみたいだから裁判になるかどうかわかんないけどね。
759 :
名無しさん@4周年:04/01/11 00:11 ID:hZjG0kRN
手口すら確定できないのに、刑法の適用まで推測するのは
意味ないだろ。
760 :
名無しさん@4周年:04/01/11 00:12 ID:/B03D7vk
>>758 そうね。裁判例・判例が出ないと結論は出せないよね。
もちろん、逐条解説等の解釈を裁判所が否定する可能性もあるし。
>>759 ・・・それもそうだな。
フォームのhiddenなパラメータ書き換えだと決め付けてたよ。
すまんかった。
CGIにアクセス制御機構があったんだったら真っ黒だもんな。
俺の前提があやふやだった。
おとなしくしてるよ。
762 :
名無しさん@4周年:04/01/11 00:14 ID:iKd0BYyf
>>762 どうズレてるのか示せないのかな?
実際にズレてるなら示せると思うが。
765 :
名無しさん@4周年:04/01/11 00:19 ID:jSXaH5bl
>>762 だから引用しろって。誰が転載しろと言った? 転載と引用の違いもわからん馬鹿かおまえは。
おまえが重要だと思う部分を引用して主張しろ。
警視庁のその概要解説は稚拙すぎて参考にならん。
>>765 君に必要な解説を示すだけで半分以上貼る必要があるのだが(w
君の批判する稚拙な解説からも逸脱した主張にしか過ぎない主張を得意げに語るなよ。
>>766 どう逸脱しているかも書けないみたいだね。
それじゃ単なる言いがかりにすぎないことくらい理解しなさい。
君は議論できるだけの知能がなさそうだね。
769 :
名無しさん@4周年:04/01/11 00:29 ID:NJO/MNBw
ここでのここまでの議論を整理するとこう。
>>711 のフォームはシロ。(
>>731)
↓
ファイル名を探索するとクロ。(
>>731)
↓
その根拠はそれがブルートフォースアタックだから。(
>>722)
↓
ブルートフォースそのものはクロではない。(
>>738)
↓
ブルートフォースアタックが成功した時点で第三条2一に違反。(
>>746)
↓
ファイル名は識別符号じゃないので第三条2一は関係がない。(
>>751)
↓
ファイル名の探索はシロ
770 :
名無しさん@4周年:04/01/11 00:29 ID:CBXym/f7
「運営側が想定しない指示」って?
仮に、このプログラムではコマンドインジェクションが発生するので
それらしい文字列を入力しないでください、とか情けない断り書きがあったら
不正アクセスになるのでつか
ところで元記事の
>安全対策が進んでいるはずのサイトの「欠陥」
進めているだけなんですね
772 :
名無しさん@4周年:04/01/11 00:33 ID:NJO/MNBw
>>770 それは CGI でアクセス制御機能が作られていたからでは。
773 :
名無しさん@4周年:04/01/11 00:34 ID:iKd0BYyf
>>768 言いがかり以前に前提条件が理解出来てないでしょうと小一時間。
・本件の場合何故cgiを経由して閲覧する必要があったのか?
これが理解出来てないですよね。
ファイル直打ちで読み出せるファイルならいちいちcgi経由で呼び出したりしません。
774 :
ねむ:04/01/11 00:34 ID:Xk8zmLNL
AD2003の直前のofficeの日記のログ(うまくいくかどうか心配だみたいなやつ)、はってくれ。
>>773 ファイル直打ちとの差を示してみてよ。
・なぜhttpdを経由して閲覧する必要があったのか?
その差がないことも理解できないのかな?
CGIが何かくらい勉強したほうがいいよ。
単なるHTTPdへの追加機能にすぎないんだからね。
追加としてアクセス制御機構を追加していたならクロと何度か書いたとおり。
でもそれがあったかどうかはわからない。
776 :
名無しさん@4周年:04/01/11 00:38 ID:WERMhUF6
>>773 >これが理解出来てないですよね。
>ファイル直打ちで読み出せるファイルならいちいちcgi経由で呼び出したりしません。
そんなことはない。ここの掲示板だって、ファイル直打ちでは読み出せないファイルを、いちいちcgi経由で呼び出して見ているわけで。
777 :
名無しさん@4周年:04/01/11 00:39 ID:CBXym/f7
>>769 >ブルートフォースアタックが成功した時点で第三条2一に違反。(
>>746)
> ↓
>ファイル名は識別符号じゃないので第三条2一は関係がない。(
>>751)
んなこと書かれてねーべ
>>772 これってさ、
http://www.npa.go.jp/hightech/arrest_repo/kenkyo_2000.htmでは >(2)有料掲示板「2ショットチャット」の認証機能が甘いことに乗じ、
>自作CGIプログラムを使用してセキュリティホールを突き、パスワード
>を入力することなく不正アクセスした。また、不特定多数の者が当該掲
>示板にアクセスできるようなリンクを自分の管理するホームページ上に
>作成した。(平成12年6月検挙。北海道、富山)
なんておまけもあるんだわ。オヒス無罪主張派によく読んでほしいんだけど
この「アクセスできるようなリンク」が重要。つまり、今回のofficeの件
より楽々な事例でもクロなわけですよ。
>>777 Office の件では、
>>748 のとおり
認証機能があったかどうか、その認証機能を迂回する手段が使われたかどうか
が議論になっているのよ。
似ているようだけど、違いはあるのよ。
780 :
名無しさん@4周年:04/01/11 00:45 ID:iKd0BYyf
>>775 故意にある要素を無視している詭弁野郎か( `д´) ケッ!
782 :
名無しさん@4周年:04/01/11 00:47 ID:CBXym/f7
>>779 つかさ、認証機構無いUNIX鯖なんかないって(藁
ACCSの個人情報ファイルは、そのファイルの読み出しパーミッション
持ってる人間のもの。本来は、その人間がアカウントにログインしな
ければ、読み出し操作はできないのよ。
784 :
名無しさん@4周年:04/01/11 00:50 ID:iKd0BYyf
本当に、何度ループすれば気が済むんだ・・・_| ̄|○
785 :
名無しさん@4周年:04/01/11 00:51 ID:NJO/MNBw
>>777 >この「アクセスできるようなリンク」が重要。つまり、今回のofficeの件
>より楽々な事例でもクロなわけですよ。
比較としてはその件の方がクロ側では。何が理由で楽々な事例なのか。
>>784 おまいみたいな論証できない馬鹿が消えればいいと思うよヽ(´ー`)ノ
>>782 そのファイルを閲覧するために、クライアントPCからサーバへ、
パスワードなどの識別符号を送信する必要があったかどうか
っていうことですよ。
>>787 それについては舞台となったスクリプトの内容が不明なだけに
今となっては判別できないと思う。
もし、管理者ページとかそういうものがあったんなら真っ黒だろうね。
そうでなければ、不便なエクスプローラでフル共有のファイルサーバ
の中を一つ一つ探していったっていう感じになるのかな。
秘密のファイル名なんて紳士協定にすぎないと思うんだけどなあ。
789 :
名無しさん@4周年:04/01/11 00:56 ID:CBXym/f7
790 :
名無しさん@4周年:04/01/11 00:56 ID:iKd0BYyf
>>786 論証以前に前提条件噛み合ってないんですが?
データファイルを吸い出すのが目的の場合、ファイル直打ちで表示できるものを
わざわざcgi経由で呼び出す理由はなんですかと(w
プログラムの機能で見えるというなら、そのプログラムは「認証機構を回避する
道具」であるわけで。
791 :
名無しさん@4周年:04/01/11 01:00 ID:NJO/MNBw
>>790 >データファイルを吸い出すのが目的の場合、ファイル直打ちで表示できるものを
>わざわざcgi経由で呼び出す理由はなんですかと
そういうのはごく普通にあるよって。CGI 経由でしかアクセスできないサイトすら最近は多い。
>>790 前提条件示してよ。
漏れはCGIに認証機構が無ければシロ、あればクロだと思ってる。
プログラムの機能、って一般化するのはやめたほうがいいよ。
httpdだってプログラムだ。
認証機構を回避する、という条件が成立するためには認証機構が必要だ。
その認証機構が存在したか?
そらは不明。
解っているのはcgiにパラメータを与えた結果、ファイルが取り出せた(らしい)ってこと。
cgiにパラメータを与えたうち、
・cgiの仕様(実装ではない)に従ったパラメータであればシロ
・cgiの実装にあるバグ、つまりバッファオーバーフローなどで特定利用に相当する
システムログインに近い状況を作ったのならクロ
だと思ってる。
実は、俺が想定している大部分のケースでクロだろうと思っているわけだ。
ただパラメータっていうだけならシロじゃないかな?と思っているけどね。
793 :
ねむ:04/01/11 01:03 ID:Xk8zmLNL
さすがに、ファイル自身のパーミションは rw------- だっただろうから、もしそうだったら認証機能があったと言えるのではないだろうか。
ファイルのパーミッションが設定されててもなくても、されてればなおさらだが、CGIの瑕疵がなければ読み出せなかっただろう。
瑕疵をソースプログラムを読んで見つけたようだが、その瑕疵を突いて読み出したことが不正アクセスなのは明らかだろう?
まさかその瑕疵はCGIの機能だと思ったとか言う強弁なのかなあ?
瑕疵だと認識してたからこそカンファレンスで発表したんだろう。
794 :
名無しさん@4周年:04/01/11 01:04 ID:CBXym/f7
>>792 >認証機構を回避する、という条件が成立するためには認証機構が必要だ。
>その認証機構が存在したか?
>そらは不明。
おいおい
>>782を無視しないでくれや(藁
795 :
名無しさん@4周年:04/01/11 01:04 ID:iKd0BYyf
>>791 今回の件の場合、パーミッションの設定ミスやファイル格納位置のミスではなく、
あくまで「cgiのバグ」に起因してファイルが見える、ということでプレゼンしたんでしょ?
あのアホは。
>>789 「認証機能無いUNIX鯖」(
>>782)がどうのこうのっていうのは、
的外れであることはわかりましたか?
いや、これファイルを見たことより、それで得た個人情報を広めちゃったのがまずいんじゃないの?
>>794 つまり君はhttpd経由でアクセスしている際にアクセス制御を受けていると
していることになるけど、それでいいのかな?
とすると、仕様上読み出しが可能な状態にあった
(いわゆるバッファオーバーフローなどのセキュリティホールを使わず)
システムに任意のパラメータを渡す事でアクセスできたファイルについて
正しくアクセス制御されていると言えるのかな?
君の考えだとこれはアクセス制御を迂回するための機能が提供されている
ことになってしまい、管理者がそれを(知っているかどうかは別にして)許可
していたと考える事もできてしまう。
つうか認証機構の範囲を勘違いしていないか?
799 :
名無しさん@4周年:04/01/11 01:11 ID:iKd0BYyf
>>798 だから認証機構として想定されてるのはOSレベルでの認証を含むんだけど。
あー、訂正。
httpdでアクセス制御は「ある」。
つまり、httpdでアクセスできる範囲にあるデータにしかアクセスさせないってこと。
で、CGI は httpd が呼び出す拡張インターフェイス。
そこで呼ばれたプログラムがさらに機能を追加したり、なんだかんだと処理するわけだ。
それがhttpdで読める範囲のデータをさらに細かくアクセス制御することもある。
逆に、httpdだけでは読めない範囲のデータを読み書きさせることもある。
で。そういったCGIで読めるデータが存在した。
もしそのCGIを使うのにアクセス制御があったら別だけど(つまりBBSの管理者権限とかは別)
単にパラメータ変えただけだったらシロじゃないかな?ってこと。
パラメータといっても識別符号のパラメータはもちろんクロだ。
ファイル名とかそういうもんを直接指定したようなもんだったら、シロだと思う。
それはアクセス制御じゃないだろ。
>>797 確かにそれは完璧にアウトというかまずい。ただそれだけじゃない。
officeはACCSと共同解析して個人情報を手に入れたんじゃなくて、
ACCSに通報したのとほとんど同時に個人情報を入手した。
それが法律的にはどうよって話に今なっているんだ。
ここ100ぐらいのレスの流れを読んでくれないか。
その問題は、今の流れで議論することじゃないよ。
802 :
ねむ:04/01/11 01:15 ID:Xk8zmLNL
798は、いわゆるバッファオーバーフローなどのセキュリティホールを突くのと、特定のパラメータを渡す事でアクセスできたということは(一定の)難易の差こそあれ、本質的には同じというのがわかってないな。
803 :
名無しさん@4周年:04/01/11 01:15 ID:CBXym/f7
>>793 >瑕疵をソースプログラムを読んで見つけた
ソースは配布されてなかったんじゃないかなあ(・∀・)ニヤニヤ
>>796 根拠も示さず吠えるお前自身が的外れ( ´,_ゝ`)プッ
>>798 ヴァカだなあ、もちろんHTTPdもしくはcgiには読み出し権限が与えられている
わけで。それは包括的なものが意図されていたわけではなくて、どこまで
読み出し/書き込みが許可されていたかは、ACCSのページのパラメータを
見れば一目瞭然なんですよ(藁
認証は、保護の対象があるから認証なわけだよなあ?それすら理解できんのか?
で、今回の件の保護の対象は何だ?
そもそも、CGIチャットの例と違って、WEB相手に認証ゲートウェイを向けて
いなかったからといって、認証機構が「無い」わけじゃーない。
>>801 >officeはACCSと共同解析して個人情報を手に入れたんじゃなくて、
>ACCSに通報したのとほとんど同時に個人情報を入手した。
それは嘘で、侵入の次の日に通報が正しいのよ
>>607
>>802 それは法律的に同じとみなされているということですか?
それとも技術的な話?
>>799 つまり君はあらゆるパラメータの変更は不正アクセスと言いたいのかな?
どうも言っていることがあやふやで困る。
OSレベルのアクセス制御を拡張するシステムのことを考えていないのかな?
君の知識は浅すぎてどうにも困るよ。
アクセス制御機構の存在だけでは問題外なんだ。
その機構によって制限されたデータにアクセスしたらクロ。
httpd→CGIの経路でアクセスできた。それはCGIが備えていた機能。
エクスプローラでシステムフォルダにアクセスできるだろ?
そういうことだ。
もしパスワードがかかっていたらアクセスできない。
それがアクセス制限だ。
もし無理矢理アクセスしたらダメ。
今回のCGIは認証がかかっていなかったならエクスプローラと同等。
かかっていたら言い逃れできないくらいクロ。
そんなに難しいことかなあ。
小難しいことでごまかそうとしても
個 人 情 報 を 公 開 す る こ と に 大 儀 は な い
807 :
名無しさん@4周年:04/01/11 01:21 ID:iKd0BYyf
>>805 技術馬鹿の規定する認証機構の意味と法文が想定する認証機構ってのは別物なの。
その差異の存在が理解出来ない限りどんなに説明しても無理。
刑法総論で言う「道具」の概念から説明せなあかん。
>>803 うーん。
漏れの訂正前の書き込みへの突っ込みは仕方が無いとして。
君はちょっと冷静になったほうがいいよ。
CGIによってアクセス制御を超える機能が付与されていて、それを利用したわけだ。
どういえば馬鹿の壁に閉じこもった奴にもわかるのかなあ。
確かにOSレベルではアクセス制御機構は存在しているよ。
MS-DOSでもない限りはほぼ間違いなく存在しているはずだ。
だからといって認証が行われているとは限らない。
制限下のアクセス可能範囲において、さらに制限が行われていたかどうかだ。
アクセス制限が成されていたかどうかなんだよ。
809 :
名無しさん@4周年:04/01/11 01:22 ID:pvGY+FNk
赤いリボンとフリフリフリルの可愛い服がトレードマークの学校一の人気者美少女小学生も、
明確なパスワード認証がなければ不法侵入と考えるのは無理があると考えています。
>>803 当該ファイルを閲覧するために、クライアントPCから
認証符号を送信する必要があったかどうかは、
明らかにはなっていないんですよ。
それは了解していますか?
811 :
ねむ:04/01/11 01:22 ID:Xk8zmLNL
>>803 そっか、ソースを見たわけじゃないんだ。サンきゅ
>>804 技術的に。法律的には知らないよ。
どっちも認証機能を迂回する方便だとは思うけど。
812 :
名無しさん@4周年:04/01/11 01:24 ID:CBXym/f7
>>810 いい加減ログ嫁
識別符号を送信していないことは明らかに「なっている」
今問題になってるのはセキュリティホール突いたかどーかなんだって
>>807 説明できるもんならやってみろっての。
底抜けの馬鹿でなかったら、頼むから論拠を示してくれ。
思考や論拠が違うのは仕方が無いが、それを摺り寄せて先へ進もうや。
おまいは御託ばかりで一切証明も論拠の提示も無い。
頼むから議論のやりかた覚えてくれよ。
>>812 そういうことではありません。
正規アクセスとして、正しい認証符号を送信すれば
閲覧可能になる、というようなアクセス制御が設定
されていたかという、運用上の話です。
815 :
名無しさん@4周年:04/01/11 01:31 ID:CBXym/f7
>>814 そんなに気になるならaccsのwww鯖にtelnetして確かめれば? 藁
816 :
名無しさん@4周年:04/01/11 01:34 ID:iKd0BYyf
>>813 この場合cgiプログラムが「道具」になるわけなんだけど。
白痴のヤシに「あいつ殴ってこい」って殴らせた場合、殴った白痴のヤシは
責を負うことはないわけよ。殴らせたヤシが暴行の正犯になる。
cgiを使って本来読み出せないファイル読み出すのも同様なわけ。
>>816 あえて質問させてください。
この場合、「CGIが」道具とみなされる、ということなのですね。
うわぁぁぁ・・・
>>815 セキュリティーホールを付いたかどうかというのは、議論しないと
いけませんが、その前提として、このファイルがアクセス制御によって
正規ユーザのみがアクセスできるように設定されていたかどうか
を議論しないといけないのです。
820 :
名無しさん@4周年:04/01/11 01:40 ID:iKd0BYyf
>>818 cgiスクリプトと言うべきでしたね。cgiそのものではなくて、個別の瑕疵のあるスクリプトを
「道具」として利用することが問題なんです。
>>816 さんくす。参考にする。
この場合、ゲームの裏技に近いと思ってるんだけどな。
「説明書に書いてない操作したら意外な結果が出た」みたいな。
この場合でも道具の概念とやらに当てはまるのかな?
で、本来読み出せないファイルが何故読み出せたんだろう?
君の例では「本来殴れる相手を誰かに殴らせた」だけだ。
ちょっと不適当だと思う。
もちろん、認証を回避するような行為はクロだ。
タレント殴るのに近づけないからマネージャ買収した、ってのとは違うと思う。
822 :
名無しさん@4周年:04/01/11 01:41 ID:G/Gsc6B1
>>815 >そんなに気になるならaccsのwww鯖にtelnetして確かめれば? 藁
wwwサーバでtelnetサーバ機能が提供されていません.
では
OSの認証機構の設定を正しくしていれば、それにバグがない限り、
CGIプログラムから見られたくないファイルを見ることは出来ません。
今回のように公開されたCGIプログラムでアクセス可能になっていたということは、
公開されていたといえるでしょう。
824 :
ねむ:04/01/11 01:43 ID:Xk8zmLNL
なんだか議論が唐突でよくわかりませんが、付き合うと、
ご指摘の話は、CGIの部分としては、セキュリティホールなのでしょう??
ソフトウェア正規の機能って何ですか?
開発者が想定していなかった機能っていう意味なら、今回のファイル読み出しは
開発者は想定してなかったわけで、ソフトウェア正規の機能ではないですよね?
そうじゃなくて落ちずに動作するっていう意味なら、バッファオーバーフロー使っても
落ちずに動きますからセキュリティホール突いて動かしてもソフトウェア正規の
機能を使って動かしているっていえちゃうわけなんですが??
>>820 すみません、私もCGIスクリプトと呼ぶべきでした。
しかし、よく理解できました。officeや(あえて)
取り巻きと呼ぶ人たちが、この問題にコメントしよ
うとしないのは、こういうことだったのですね。
まさにうわぁぁぁ・・・
826 :
名無しさん@4周年:04/01/11 01:44 ID:CBXym/f7
>>814 議論も何も、設定されてたからこそACCSは今回のofficeのCGI経由のファイル
取得に慌てたわけで。
>>823 過失で一部穴があったからといって、そこにつけ込んだ人間を許して
差し上げるような事がどっかに書いてあるんですかねえ〜(・∀・)ニヤニヤ
公開の有無が影響するとか何とかは、法文のどこに書いてあるんだい?
827 :
名無しさん@4周年:04/01/11 01:45 ID:/B03D7vk
>>816 間接正犯の「道具理論」はここでは全く関係ないと思うが、どうよ?
極端従属性説だと無能力者に対する教唆犯という構成ができないから
出てきた理論でしょ。cgiの話は完全に的外れだと思うぞ。
828 :
名無しさん@4周年:04/01/11 01:45 ID:DEfo/pKH
人間をマインドコントロールするとは!
ACCS、許さん!!
>>826 だから、許す許さないではなく、アクセス自体は違法性はないでしょうということを言ってるのですが。
そこで得た個人情報を公開してしまったのが問題だと。
あなたは何が何でも違法アクセスにしたいようだ。
830 :
名無しさん@4周年:04/01/11 01:46 ID:iKd0BYyf
>>921 んじゃ、「調教した猿を人間の入れない隙間から部屋に入れて泥棒させた」の
方がいい? この場合猿が道具。
831 :
ねむ:04/01/11 01:46 ID:Xk8zmLNL
>>823 だからファイルを読み出すためにCGIの瑕疵を突いたって言っているわけですよ。
公開されてるファイルなら、わざわざofficeが脆弱性の例ということでカンファレンスで
発表するわけがない。
>>824 NO。
スクリプトは(恐らく)与えられたパラメータを忠実に解釈実行した。
バグがあったとすれば仕様の段階だと思う。
大してバッファオーバーフローに代表されるセキュリティホールは
主に実装のミスによるものだ。
結果は似ているけれど発生段階も発生理由も違う。
正規の機能、ってのは仕様(のバグも含めて)で決められた通りの
動作で実現されている機能、と考えている。
だから、パラメータを変更してある程度任意のファイルにアクセス
できたのは、スクリプトが提供した機能を利用しただけと言える。
実装段階のバグをついて仕様とは違う動作をさせるのはマズいと
思うけどな。
833 :
名無しさん@4周年:04/01/11 01:47 ID:NJO/MNBw
>cgiそのものではなくて、個別の瑕疵のあるスクリプトを
>「道具」として利用することが問題なんです。
この掲示板も道具を利用して見ているし書いています。
>cgiスクリプトと言うべきでしたね。
CGI はスクリプト言語で書かれているとは限らないです。
834 :
名無しさん@4周年:04/01/11 01:51 ID:iKd0BYyf
>>827 判断不能なシステムという特性を説明するための法理構成としては
「道具」の概念を持ち出すしかないでしょう。曖昧になりやすいからこそ
電子計算機利用詐欺罪とかが明確に規定されたわけですが。
>>830 だいたいわかった。わかったつもりかもしれないけど。
しかし、この場合はスクリプト自体がある程度の自由度を許してファイルに
アクセスさせる機能を有していたわけで、その自由度の範囲内にデータが
配置されてたわけよ。
道具っていう概念とはしっくりこないように思う。
牢屋の中にいる人の手が届くところにカギ置いてたようなもんか?
・・・これはちょっと違うかな。
836 :
ねむ:04/01/11 01:53 ID:Xk8zmLNL
>>824 え?まさか、個人情報ファイルを読み出せるという仕様があったとでもおっしゃってる
わけですか?
>>831 いやいや
管理者は「公開する意図がなかったが、実際は公開していた」ということです。
これは管理者側の不手際といえます。
で今回の場合、個人情報が公開されていることをoffice氏が見つけたわけだが
どうやらそれを管理者に報告する前に取得して、情報を公表してしまったのは問題に思える。
838 :
名無しさん@4周年:04/01/11 01:55 ID:CBXym/f7
>>822 じゃsshで 藁
「アクセス制御機能」をCGIのアクセス機構に限って考えてる阿呆もいるが、
例えば一時的に識別符号を受け付けるサービスが全部落ちて誰にも正規アク
セスができなくなったとき、あるいはその鯖がハードウェアキーによって
保護されていたときに、不正アクセス禁止法の定める「アクセス制御機能」
が無いから侵入し放題だ〜なんて考えてる阿呆と発想が同じだって事理解
してる?
>>824 798さんがアクセス制御の話をされてますので、
確かにその部分は言われる通りです。
正しく設定していても結果的に読めてしまうという
意味では同じです。
しかし、アクセス制御を迂回するための機能が提供されている
ということにあなたが「それは違う、本質的には同じ」と言われているので、
それは違う、対策してCGIスクリプトを作れば防げるよ、
(今回は)perlやHTTPdaemonの責任ではないよと言いた
かったのです。
まあこれも、「セキュリティホール情報に耳を傾けず、対策を
取っていない」という一言でくくってしまえば、確かに同じなんですがね・・・
>>836 いやいや、ある程度自由な範囲でファイルを読み出す機能があって、
かつ、その自由度の中にデータが配置されていたと。
ただし、その自由度を得るためにアクセス制限があったなら、
それを迂回した場合にはクロとなることは確実でしょうな。
841 :
名無しさん@4周年:04/01/11 01:56 ID:/B03D7vk
>>830 いや、その場合でもあえて「道具」という必要はないでしょ。
cgiが道具かどうかではなくて、Officeの行為が、第3条2項2号の
「当該アクセス制御機能による特定利用の制限を免れることが
できる情報(識別符号であるものを除く。)又は指令を入力」
したことにあたるかどうかが議論されているものと理解してんだが。
842 :
ねむ:04/01/11 01:58 ID:Xk8zmLNL
843 :
ねむ:04/01/11 02:00 ID:Xk8zmLNL
>>839 perlとかhttpサーバのレベルの話してたんですか。。
>>838 この場合問題になっているのがCGIだということも理解できないなら早く寝たほうがいいぞ。
おまいは事象を分離して考える事ができないのかな?
845 :
名無しさん@4周年:04/01/11 02:00 ID:CBXym/f7
>>832 >スクリプトは(恐らく)与えられたパラメータを忠実に解釈実行した。
>バグがあったとすれば仕様の段階だと思う。
>大してバッファオーバーフローに代表されるセキュリティホールは
>主に実装のミスによるものだ。
そんな区別成立しないねぇ〜C/C++使ってること自体選択された仕様なんだから
バッファオーバーフローも仕様だろ〜 藁
繰り返すが仕様とか実装とか法律に根拠のない議論は不毛だってばさ
>>845 おまいの無知さ加減に呆れ返るな。
C/C++の言語仕様は確かにアレな部分もあるがコーディングレベルで充分に
対策が取れる。だからこそパッチがリリースできるんだ。
根拠の無い発言を繰り返さずにガキは早く寝ろって(笑
847 :
名無しさん@4周年:04/01/11 02:06 ID:iKd0BYyf
>>835 ん〜〜〜、手の届かない場所にある果物盗むのに、裏庭からはしごで屋根に登ったようなものなのね。
木の持ち主は屋根から果物に手が届くとは想定してなかった。
この場合、手が届くから持って行って良い?
>>841 それを理解してくれないのでこういう話になったんですわ。
認証回避行為に「なぜ」該当するのかが理解して貰えなかったので
徹底的に話を砕いた結果がこれ。
848 :
名無しさん@4周年:04/01/11 02:06 ID:CBXym/f7
>>832 へぇ〜そーなんだ(プ で、スクリプトには実装のミスとやらはないんですかい? 藁
849 :
名無しさん@4周年:04/01/11 02:08 ID:CBXym/f7
>>846 あと
>C/C++の言語仕様は確かにアレな部分もあるがコーディングレベルで充分に
対策が取れる。
と
>だからこそパッチがリリースできるんだ。
のつながり具合も失笑ものなんだけど 藁 プログラム書いたこと有るんでつか?
850 :
名無しさん@4周年:04/01/11 02:08 ID:fPwb+eCz
>>847 アクセス制限が実現されているならはしごは許可された人間しか「持っていない」状態のはず。
はしごが近くに存在した場合は制限が成立してないんでは?
もちろん外部から持ち込む(=他人の識別符号を利用する)とか、
他人のはしごのありかを教える(=他人の識別符号を教える)とか、
はしごを使わないで上る(アクセス制限を迂回)しちゃダメでしょ。
認証回避行為に相当するなら認証が必要だったことを証明してよ。
この場合、ファイル名が識別符号に相当するとしなければいけないはず。
でもそうはならないって話になってるんじゃなかったっけ?
>>849 まあ、彼が勘違いしたのは、しょうがないと思うよ。
君の書き方が意地悪だからでしょう。
君は、バッファーオーバーロ−の対策をしていなかったら、
設計者は、バッファーオーバーフローを容認したことになるのか
ということを指摘しているんでしょう?
853 :
ねむ:04/01/11 02:11 ID:Xk8zmLNL
>>837 あー、ごめんなさい。可能性としては管理者の不手際という議論もなりたちますね。そういう情報は知らなかった。
必死だな>ID:CBXym/f7
そんなに悔しかったのか? いいからそろそろ寝なよ。
悔しくて寝付けないのか?(笑
煽りたいだけなら邪魔だよ。
855 :
ねむ:04/01/11 02:17 ID:Xk8zmLNL
>>851 個人情報ファイルの読み出し許可はOSでのユーザ認証により制限されているつもりだったし、公開されているつもりはなかった。
ようするに識別符号は、当該計算機へのログイン名とパスワードということですよ。
856 :
名無しさん@4周年:04/01/11 02:17 ID:/B03D7vk
>>847 ふーむ、そうだったのか。
ところで、果物のだけど、果物の場合は、手が届くからと言っても、
もちろん「持っていって良」くない。その行為自体が窃盗にあたるから。
一方、3条2項2号では、「裏庭からはしごで屋根に登る」行為自体が
禁止されているのであって、「窃盗」にあたる行為は問題にされていない。
とすると、ここで問題なのは、「はしご」が「道具」にあたるかどうか
ではなくて、「裏庭」とかback doorを通ったのかどうかということでは
ないのかな。
857 :
名無しさん@4周年:04/01/11 02:17 ID:CBXym/f7
>>852 つかね、
>>851の
>認証回避行為に相当するなら認証が必要だったことを証明してよ。
>この場合、ファイル名が識別符号に相当するとしなければいけないはず。
>でもそうはならないって話になってるんじゃなかったっけ?
を見ると、「こいつ不正アクセス禁止法の法文読んでるのか?」という疑問が
湧かざるを得ないわけですよ。「ファイル名が識別符号に相当するとしなけれ
ばいけないはず」に至っては、過去ログも読んでないんだろうなあと。
>>852 うそ!マジで!?
そんな低レベルなコーダーが前提になってるとは思わなかったよ。
ごめんね。俺が知らない世界にはとんでもなく程度の低いプログラマがいるんだね。
普通それくらい対策するもんだから、実装ミスでしかありえないと思ってたよ>BO
だから
>>848みたいな素っ頓狂なことが書けたんだ。
やっとわかったよ。想像以上(以下?)だった。
つーか、そんなCGIを恥ずかしくもなくユーザーに利用させていた
ファーストサーバーもある意味すごい会社だな(w
>>858 そうはいうけどね。Y2K問題も同じように、低レベルな問題ではあったんですよ。
世の中はそういうレベルで動いているのですから、そのレベルで議論
しないといけないと思いますよ。
861 :
ねむ:04/01/11 02:25 ID:Xk8zmLNL
>>858 そのミスを突いてアクセスしていいかっつうこと。
難しいミスも簡単なミスも同じだっっつうことはまだわからないのか?
対策するとかしないとかでもないし、実装の難易度でもないんだって。
低レベルかどうかなんてそういう議論をしてもないし。858の知っている世界
だけで議論できないだろ?裁判官やら弁護士やら検察は。
>>860 すまん。
俺の前提が違ってたんだな。想像以上の馬鹿を相手にしていたよ。
それに俺もさっきからまた「ファイル名を与えて」とか言ってるし。
上のほうでそうとは限らんよねって自分で書いてたよ。
つうかofficeが個人情報抜いたスクリプトの実体がよくわからんから
これ以上どうにもならんわ。
警察が動いてることを公表した以上、まず逮捕から起訴には行くだろうから
判決に期待するとしよう。
863 :
名無しさん@4周年:04/01/11 02:28 ID:CBXym/f7
で、
>>858はどこの国のお方ですか?見たところ日本語を解する能力にやや
難有りのようですが 藁
>>861 >難しいミスも簡単なミスも同じだっっつうことはまだわからないのか?
んー。わかんないかなあ。
そもそもミスだったのか?ってことでもあるのよ。
何度か書いたけど、CGIによってある程度アクセスできる範囲が与えられてた。
このことに対して、それがミスだったか仕様だったかはわかんない。
論点が違ってんのよ。
認証を行うアクセス制御機構があったかどうかになるでしょ。
あったかどうか、それは俺には(そのスクリプト使ったこともないし)わかんない。
不確定要素が多すぎてどうにもならんよ。
866 :
名無しさん@4周年:04/01/11 02:33 ID:CBXym/f7
>>864 >そもそもミスだったのか?ってことでもあるのよ。
>何度か書いたけど、CGIによってある程度アクセスできる範囲が与えられてた。
>このことに対して、それがミスだったか仕様だったかはわかんない。
ほぉ〜、個人情報喜んで見せてたわけですか、意識大丈夫?(プゲラ
「わかんない」でお終いでつか?
>>866 そもそもファイルを表示するCGIはそのファイルの中身が個人情報かどうかなんて感知しないと思われる。
どういったものなのか不明だからわからないが。
870 :
ねむ:04/01/11 02:38 ID:Xk8zmLNL
>>864 OK. わかった。確かにCGIプログラムの瑕疵なのか運用側のミスなのかは
わからないが、
officeは、プログラムの挙動を分析して、パラメータを推測して入力を行い、当該データを抜いたらしい。
という話から、運用側のミスというよりは、プログラムの瑕疵をついた可能性が高いという前提で
話していた。じゃ、おれは寝る。
871 :
名無しさん@4周年:04/01/11 02:39 ID:CBXym/f7
>>868 そのCGIを類推した引数とともに起動したのは誰なんだろうな? いや〜
難しくてわかんないなぁ〜
>>869 オサーンも辛そうですよ?藁
>>867 つまり、作った人達に訊いてみないと本当のところはわかんないってこと。
想像でミスだったとか仕様だったとか決め付けてもあんまり意味はなさげ。
ありがちなのは仕様決めるときにあんまりしっかり煮詰めてなかったってとこだろうけど、
意図的にそういう仕様にした可能性もある。
普通は表示させるファイルをパラメータで渡すような事はしないから、もしかしたら
スクリプトの実装がおかしくてコマンドインジェクションかSQLインジェクションみたいな
やりかたでデータ取り出したのかもしれない。
そのへんがわかんないと話になんないよねってこと。
>>870 了解。
プログラムの瑕疵をついた可能性についてはほぼ同じ意見だ。
おつかれ。
>>871 >>854 >そのCGIを類推した引数とともに起動したのは誰なんだろうな? いや〜
>難しくてわかんないなぁ〜
勉強不足ですね。
>オサーンも辛そうですよ?藁
そう思いこむと安心するのかな?
875 :
名無しさん@4周年:04/01/11 02:59 ID:oXEwlD6u
牢獄の構造に問題あったとしても看守が見張っていれば脱走されない
脱走しても迅速に警察を配備できればすぐに解決する
予備校や大学の授業みたいだね
出席でウソの名前書けばまずいけど
廊下で聞いたり出欠取らないとこにもぐるのはグレーゾーンって
877 :
名無しさん@4周年:04/01/11 18:57 ID:PGGyPBBC
878 :
710:04/01/11 19:27 ID:FGyCfBIc
>>877 そう、そのリンク先よ。
私は hp設計してないし、個人情報を集める側でもない訳で、この不正アクセス防止法
に関して関係するんだったら被害者側になる人間だけど、今回のセキュリティがどうだった
のかは分からないけど、悪意を持ってハックしても、きちんとしていれば漏れない訳だし、
個人情報扱う企業は、悪意を持った人間にアタックされても漏れないようにしておいて欲しい。
又、そのぐらい責任持って取り扱って欲しいと願う。
少なくとも、漏れちゃったのはハック(としても)したヤツが悪い!とは言って欲しくないよなぁ。
信頼してあんたの所へ情報提供したんだからさ。とおもうな。
879 :
名無しさん@4周年:04/01/11 19:59 ID:iKd0BYyf
>>878 それが不正アクセスを免罪するわけではない。
つかループうざ。
880 :
名無しさん@4周年:04/01/11 20:54 ID:aebRsfPK
もしこれが個人情報保護法施行下であったなら、
犯罪社になっていたのはACCSの方だった罠
>>880 来年4月ですよね。
今は個人情報の重さを知らない企業が蔓延してますからね。
施行されたらACCSのような企業は淘汰されるでしょう。
法整備がきちんとされるまでは、できるだけ本当のことは
かかないような自衛をする必要がありますよね。
>>879 今回の事例を不正アクセスに分類するのはかなりの無理があるでしょうね。
個人情報の流出に関してはACCSとOFFICE双方に責任があることになります。
ダウソ厨マジウゼー。
過去ログぐれー嫁。
>>882 人の話を聞かず同じ主張の繰り返しの詭弁は聞き飽きた
コンピュータの仕組みを学んでから出直せ
885 :
名無しさん@4周年:04/01/12 09:51 ID:sWPWD2Dt
ACCS側としては「CGI経由では個人データにアクセスできない」
と盲信していただけなんでは。
>>158をよく読んでみてね。
もしこれがアクセス制御機構になるならシンプルでいいですな。
無知になればいいだけなんだから。
個人情報保護法の施行を前倒しすべきだと進言しておこう。
>>158 では、誰でも推測できたとかなんとか言ってるが、
その簡単さでもってアクセス制御機構がなかったようなものだと述べるような議論は
不正アクセスを論じる上では全く無意味。
ACCSの責任はそれとは別で議論だろ。
はてなの日記がなくなり、謝罪文がなくなり、着々と一次情報は失われていってます。
888 :
名無しさん@4周年:04/01/12 11:30 ID:FCaTj4OF
∧ ∧ マチクタビレタ〜 マチクタビレタ〜
マチクタビレタ〜 ./ ヽ / ヽ マチクタビレタ〜
/ ヽ―――/ ヽ マチクタビレタ〜 マチクタビレタ〜
マチクタビレタ〜 / l___l \ マチクタビレタ〜
| ● | | ● | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
へ | へ ヽ ./ | < ねえ、馬鹿のタイーホまだぁー?
\\ \ \\ ヽ/ / \____________
チン \\ .> \\ ヽ
チン \\/ \\ _ | マチクタビレタ〜
\ ̄ ̄ ̄ ̄ ̄ ̄ ̄/ / ̄ ヽ / _
\回回回回回/ ̄ ̄ヽ / ̄ ̄/| マチクタビレタ〜
\___/ ヽ____/ / .| マチクタビレタ〜
/ | マチクタビレタ〜
__________________/ .|
| | マチクタビレタ〜
889 :
名無しさん@4周年:04/01/12 11:59 ID:sWPWD2Dt
>>886 ファーストサーバーには当然アクセス制御機構があったわけです。
運用側が個人情報データにCGI経由で「アクセスできるように設定」
しておいたことが今回の事件の問題なのです。おわかりですか?
まぁ不正アクセスだということにして他人に罪をなすりつけたい気
持ちもわからないでもないですがね。
やはり個人情報保護法の早期施行を(r
890 :
名無しさん@4周年:04/01/12 12:03 ID:sWPWD2Dt
ちなみに個人情報保護法とは「簡単に」個人情報が漏洩するような運用管理を
厳しく処罰するための法律といってもいいでしょうね。
やはり個人情報保護法の早期施行を(r
>>889 >ファーストサーバーには当然アクセス制御機構があったわけです。
もしそうだったとしたらファーストサーバーからそういう表明が出てるんじゃないかな?
ファーストーサーバーはいまだ何も表明せずにいるところを見ると制御機能なんてものは
そもそも存在しないCGIだったんじゃない?
892 :
名無しさん@4周年:04/01/12 12:07 ID:sWPWD2Dt
>>891 逆でしょうね。ちょと考えればわかりそうなものですが。
ファーストサーバーには当然アクセス制御機構があったからこそ、
いまだに謝罪もせずにいられるところがその傍証になるでしょう。
893 :
名無しさん@4周年:04/01/12 12:11 ID:4HvxtL1H
ファーストサーバーの人間が紛れ込んだか?(w
>逆でしょうね。ちょと考えればわかりそうなものですが。
>ファーストサーバーには当然アクセス制御機構があったからこそ、
>いまだに謝罪もせずにいられるところがその傍証になるでしょう。
何も公表せずに延々と叩き続けられることがメリットになるのであればな(w
894 :
名無しさん@4周年:04/01/12 12:25 ID:sWPWD2Dt
>>893 >何も公表せずに延々と叩き続けられることがメリットになるのであればな(w
馬鹿ですねぇ。
ファーストサーバーが本当のことを発表したらどうなると思います?
顧客であるACCSの運用が糞であったことが白日の元にさらされること
になりますよね。
顧客が馬鹿うったおかげで自社の製品のブランドイメージが失墜した
わけですから、本来なら損害賠償請求したところでしょうけど。
悲しいかなファーストサーバーも所詮日本的ヘタレ企業、だんまり決
め込んで時間が解決してくれるのを待つということになるわけですね。
895 :
名無しさん@4周年:04/01/12 12:29 ID:qZMM6n1D
単純にパーミッションの設定ミスとか。
>>894 >顧客であるACCSの運用が糞であった
そういうことにしたいんですか?
897 :
名無しさん@4周年:04/01/12 12:34 ID:GwbIN6t9
書き込んでるヤシの素性が容易に推察できる低レベルな煽り合いだなw
>>897 そう思い込むと自分が低レベルであることを忘れられるんですか?
899 :
名無しさん@4周年:04/01/12 12:50 ID:f20PY0jC
根拠の無い憶測と憶測で構成された理論で人を馬鹿扱いする大馬鹿がいるな(w
900 :
名無しさん@4周年:04/01/12 12:50 ID:FCaTj4OF
バグにつけ込む阿呆を殴るのも不正アクセス禁止法の目的な訳だが(w
>>889 >運用側が個人情報データにCGI経由で「アクセスできるように設定」
>しておいたことが今回の事件の問題なのです。おわかりですか?
あなたは中の人なのですか?
外見から言えることはその"間違い"を発見してアクセスしたことでしょ?
>まぁ不正アクセスだということにして他人に罪をなすりつけたい気
>持ちもわからないでもないですがね。
なすりつけたいって。。まさか無実の罪だとでも主張されたいのでしょうか?
903 :
名無しさん@4周年:04/01/12 12:57 ID:f20PY0jC
905 :
名無しさん@4周年:04/01/12 12:57 ID:sWPWD2Dt
>>900 ファーストサーバーにバグがあるってことですか?
そりゃ〜大変ですね。JPCERTには連絡いれました?
一部の馬鹿な顧客がバグだというのなら、ごもっとも。
906 :
名無しさん@4周年:04/01/12 12:58 ID:adytviOq
>>894 ファースト鯖はバグ付き糞cgiを放置しておいた責任は問われないわけてでつか?
>>903 ごめんね。IDちゃんと見てなかった。
どうやらID:sWPWD2Dtは中の人みたいでつね(・∀・)
どんな電波飛ばしてくれるのか期待してまつよ!
908 :
名無しさん@4周年:04/01/12 13:03 ID:sWPWD2Dt
>>906 ACCSとファースト鯖の契約内容によるでしょうね。
管理者は誰で、どちらサイドの人間だったんでしょうかね?
909 :
名無しさん@4周年:04/01/12 13:04 ID:adytviOq
事件発覚後、cgi強制入れ替えをしたことを都合よく忘れているようでつね。
>>905 >ファーストサーバーにバグがあるってことですか?
おや?違うとでも?
>そりゃ〜大変ですね。JPCERTには連絡いれました?
JPSERTは個別事案には対応しませんよ?それくらい常識。
ファーストサーバの森川には連絡が入ってコッソリ対応したけれど
顧客にまともに説明しなかったせいでACCSは乗り換えずにいて
最終的にofficeみてえな奴にいじくられたわけですが?
ファーストサーバスレ100回音読しておいで。
>一部の馬鹿な顧客がバグだというのなら、ごもっとも。
ずいぶん無茶を言いますな(・∀・)クスクス
>>895 たとえパーミッションの設定が適切であっても
スクリプトのセキュリティホールをついてユーザ権限で動作するCGIスクリプト経由なら
ファイルが読み出せてしまうのでは。
こいつらは無料サーバで各種ログやサーバの設定ファイルを勝手に覗いたりするのを
当たり前のようにやっていた連中だから、そのことも追求されると困るので
必死になって不正アクセスじゃないと言い張っているんじゃないかな。
>>908 つまり、ファーストサーバみたいにスクリプトひとつまともに書けないほど
高度な技術力を誇るクソ鯖屋を選んだACCSに全ての責任があると?
素晴らしい言い分ですね(・∀・)クスクス
確かにまともなスクリプトも出せず顧客への説明もろくに行わず、
今になっても何らアナウンスすらしないクソ鯖屋なんかなかなかお目に
かかれませんからね(・∀・)クスクス
なんか一定間隔でキチガイが湧いてくるんでつね(w
914 :
名無しさん@4周年:04/01/12 13:09 ID:zGVKZSTz
スーパーハカーってこういう人のことを言うのか
>>911 セキュリティホールだったのか、アクセス可能範囲の任意のファイルを読めるような仕様
だったのかは中の人にしかわからないから、あとは警察がちゃんとやってくれると思うよ。
今は結果待ちの段階でしょうな。
裁判になったらハッキリするんだけどなー。
俺らギャラリーにはスクリプトがどんなんだったかとかわかんないから、限りなくクロに近い
グレーとしか考えられんよ。
>>915 阿呆の発表した文章見た限りではセキュリティホールだね。
だからこそ朝日が記事にしたと。
もっとも、記事内容には問題ありまくりだが(w
内輪に売られたってか?>おひす
917 :
名無しさん@4周年:04/01/12 13:13 ID:sWPWD2Dt
>>910 そのCGI機能の説明が事前にまったく説明されていなかった&
マニュアルにのっていなかったのだとしたら
ファーストサーバーが糞だってことになりますね。
マニュアルにはのっていたんじゃないかと思っていたんだけどね。
>顧客にまともに説明しなかった
まともに説明ってどういうレベルだったんですか?
なんにせよこのスレには当事者がいぱーいみたいですね(クスクス
>>915に追加。
普通はそんな腐った仕様でしたなんて言わないだろうから、
officeはまず起訴までは行くだろうね。
あとは裁判官が警察の出す証拠でバッチリ追い込んでくれるよ。
>>917 >マニュアルにはのっていたんじゃないかと思っていたんだけどね。
ということはセキュリティホールじゃなかったのか。そういう機能だったのね。
じゃあofficeは不正アクセスしてないって主張になっちゃうね(・∀・)クスクス
中の人としてそれでもいいのかな?
寒い自作自演もほどほどにしろや(・∀・)オチャノンデカエレ!!
>>915 >セキュリティホールだったのか、アクセス可能範囲の任意のファイルを読めるような仕様
>だったのかは中の人にしかわからないから、
なんだ、ただのお馬鹿さんでしたか。
質問して損しました。
>>921 おや?きみにはわかるのかな?
作った人くらいしかわからないはずなんだけどなあ(・∀・)クスクス
923 :
名無しさん@4周年:04/01/12 16:16 ID:NE1xKZQL
age
924 :
名無しさん@4周年:04/01/12 18:26 ID:WCLXfj4k
926 :
名無しさん@4周年:04/01/12 19:58 ID:FCaTj4OF
クズが減るのは良いことだ。
>>926 新たな屑が出てくるだけだな
需要があるからネ・・
>>927 数少ない非クズはお抱えで表に出てこないしね・・・。
もうすこししっかりしる!>監督官庁
929 :
名無しさん@4周年:04/01/12 22:19 ID:dA5n4xCH
930 :
名無しさん@4周年:04/01/13 04:46 ID:zJwqOEGv
age
931 :
名無しさん@4周年:04/01/13 08:03 ID:ZJS1E3n3
やっぱり一番の問題の根源は人材不足。
まともな人がちゃんと表に出てこないと駄目。
まともな仕事してるってだけじゃなくて、ちゃんとプレゼンテーションのできる人。
そういう人材が極端に少ないのが日本の悲しいところ。
932 :
名無しさん@4周年:04/01/13 08:27 ID:I2OWuMAC
>>931 つまり馬鹿なファーストサーバの馬鹿な罠を得意げに晒したofficeが
馬鹿の中の馬鹿だったということですね。
933 :
名無しさん@4周年:04/01/13 09:01 ID:zkPRP23y
まぁ、そんな馬鹿レベルにすら到達できなかったACCSとかいう集団もいるわけだが
>>931 オンラインバンキングサイトに不正アクセスをして侵入成功を自慢していた厨房F川が
ISMS主任審査員となってKPMGで適合評価制度の講師をやっているぐらいだからな。
今回に限ってはofficeを支持するよ(・∀・)
それ初めて聞いた。どんな侵入?
>>937 懐かしスィ
“ウェブサイトをハッキングしてみる”
ってったって、どんなことなんだか。
“暗証番号が4文字のところが多い”てのがハキーング?
939 :
名無しさん@4周年:04/01/13 16:32 ID:vfrKP2Bk
940 :
名無しさん@4周年:04/01/13 17:27 ID:JqR2AQbb
で、結局ACCSがマヌケなだけだったと。
942 :
名無しさん@4周年:04/01/13 17:45 ID:d/ETr0Wt
ファーストサーバーの社員が情報を捻じ曲げているスレはこちらですか?
>>940がそこらじゅうにコピペされてるんだが、本当にツールなのか?
それとも広告やウィルス?
944 :
名無しさん@4周年:04/01/13 18:13 ID:I2OWuMAC
/´:::::::::::::::::::::::::::::::::::::::::::`ヽ
/::::::::::::::::::::::::::::::::::::::::::::::::::::::::\
--------------------------ー)
|
http://www.office.ac/ |
(:----------------------------/
(::::::::::/ ヽ:::::::::::)
|:::::::/ ,,;;;;;;;;;;;;;;, ;;;;;;;;;;;;;,,, |:::::::::::|
|::::: :::::|
|:::: -=・=- -=・=- :::|
/|::: ~~~~ ノ ヽ ~~~~ |ヽ
.| |/ / ヽ ||
ヽ| ⌒ (. o⌒o .) ⌒ .|ノ
\ :::::::::::::U:::::::::::: プッ /
|\ ヾ─┬┬┬─ :::: /| タイーホなんてこわくない
|. \. └┴┘ ./ .| office(40歳)が944げっと
945 :
名無しさん@4周年:04/01/13 19:28 ID:BFr8l2cW
>>931 人材の払底もそうなんだけど、日本の企業社会自体がみんなが妄想しているほど
安全ではない、という事の方が大きいんでないかね?
http://www.mainichi.co.jp/digital/solution/archive/200304/17/3.html こういう事件が当たり前に起こっている現状もそうだし、日本って産業スパイ天国、
なんて事も言われてます。セキュリティの仕事をきちんとすればするほど、
結果的に企業の情報管理中核を知ることになるということ、あとは日本のIT産業が、
特にITバブル期に起業された会社の相当数に「エンジェル」の顔をしたヤクザ屋
さんが入り込んでいる、という現状。
真面目に仕事をすると言うことは、仕事自体をあまり知られないようにして、
信頼関係を中心にして仕事をしていくしかない。
本当はこういう防犯産業は、きちんと警察が積極的なバックアップ(とクズの
排除)をしてやらないかんのですが、「システム」という壁に阻まれて警備業の
ような仕組みが出来ていないのが現状。日本の場合「国家の存亡に関わる
機密事項」って概念がWWII以降存在しなくなった関係で、機密保持に関する
クライアント側の意識も問題外。故に官がある程度のクオリファイを保証する
システムが不可欠なんだけど・・・。お先真っ暗だな_| ̄|○
ぜいじゃく
947 :
名無しさん@4周年:04/01/13 21:03 ID:w7wV8eWT
無駄さ…白痴化した連中に何を云っても、言葉は空しく響くだけ
948 :
名無しさん@4周年:04/01/13 22:32 ID:zt8OqxcS
949 :
名無しさん@4周年:04/01/13 22:37 ID:BFr8l2cW
950 :
名無しさん@4周年:04/01/14 01:31 ID:p/L6BcnW
>>498 いや、これで厨房ライターの危険性が認識されたのではないかな?
951 :
名無しさん@4周年:04/01/14 12:01 ID:YUdCKtO0
ガクガクブルブル?
952 :
名無しさん@4周年:04/01/14 19:25 ID:n3699F5V
>>950 それで学習するならジャナ専卒のクソフリーライターは皆淘汰されている_| ̄|○
ボクもツーチャンネルやるまでの17年間、「造詣が深い」を「ゾウシが深い」って呼んで生きてきました。
2003-11-07
■ 確認
まだネタが腐ってないらしいことだけは確認できた。それでも完全にぶっつけ本番の一発勝負の部分があるのだが、果たしてうまくいくでしょーか。(わらひ
時間が足りるかどうかもビミョー。
ま、JPCERT/CCに対するアテコスリだけはばっちり決めるつもりだけどネ。
956 :
名無しさん@4周年:04/01/15 10:05 ID:duOmwQ4V
この人はもしかして・・・
957 :
名無しさん@4周年:04/01/15 10:07 ID:WwqHSF+X
最終的には人間のモラルの問題だな。セキュリティがもろいから攻撃していいっていう
理屈をならべるやつはDQNだろ?
958 :
名無しさん@4周年:04/01/15 12:08 ID:4UWCB7WM
最終的には人間のモラルの問題だな。悪いのは晒すヤシだから個人情報管理がいい加減でいいっていう
理屈をならべるやつはDQNだろ?
959 :
名無しさん@4周年:04/01/15 12:29 ID:Y9z5v6Iv
最終的には人間のモラルの問題だな。技術的対策で解決するべきだから法律はなくていいとか、
法律で規制するから対策なんかなくていいっていう
理屈をならべるやつはDQNだろ?
結局自分のやるべき事をやらなきゃDQN、踏み外してもDQN。
お後がよろしいようで。
この研究員は人47氏だよ
964 :
名無しさん@4周年:04/01/15 22:17 ID:looB5QOB
965 :
偽ぼる:04/01/16 05:58 ID:mBKLKGlE
(・3・) アルェ〜?
http://www.office.ac/の 中身がPGP署名だけになってるYO!
BBSのリンクはともかく、悪平等どうたら
まで消しちゃってるのはまずいNE!
自分の弁明を取り下げたと取られて、
対朝日新聞としてはめちゃめちゃ不利だYO!
臭いものにとりあえずふたってのは、
危機管理として一番やっちゃいけないことだし、
こんな奴にセキュリティを語ってほしくないNE!
966 :
名無しさん@4周年:04/01/16 06:00 ID:sqdLmKUb
だからこれは893系企業にハッククラックの業務を独占させるための法律だろ<不正アクセス禁止法
967 :
名無しさん@4周年:04/01/16 06:34 ID:3DekqyIv
>>966 今表に出てる連中って(ピー)なんですけど。
つか日本のITベンチャーのほとんどが(ピー)。
特にビットバレー系なんかほとんど(ピー)。
968 :
名無しさん@4周年:04/01/16 06:41 ID:DBCGw3jV
いまさらだけど、インターネットって、そもそもの思想がセキュアじゃないからなぁ・・・
脆弱と言ってもねぇ ┐(´〜`;)┌
970 :
名無しさん@4周年:04/01/16 16:33 ID:Clfw7GZi
971 :
名無しさん@4周年:04/01/16 22:04 ID:3DekqyIv
まぁ、逆にヤクザのシノギになったら気持ちよく叩けて(・∀・)イイ!!
どうせ某社も某社も起業時に菱の字から金もらってるんだから(・∀・)イイ!!
972 :
名無しさん@4周年:04/01/16 23:43 ID:x4Q/xDQY
973 :
名無しさん@4周年:04/01/17 10:54 ID:TdNw5ufJ
このまま繊維荒野
974 :
名無しさん@4周年:04/01/17 11:11 ID:VGzfrUSF
>>972 多分この阿呆は不正アクセス禁止法の解釈や実際の捜査に関してきちんと法律屋向けの
公刊書籍があって、基本的解釈についてオレ解釈の余地がないってことも知らなかったんでしょ。
それで専門家云々騒ぐゴロどもまとめて逝ってね(・∀・)アマー
975 :
名無しさん@4周年:04/01/17 19:08 ID:OwsxE81D
976 :
名無しさん@4周年:04/01/17 19:26 ID:nHzTX2S5
25 more to 1000
wasshoi
978 :
名無しさん@4周年:04/01/18 01:42 ID:C89z+cXT
考えろ,考えろ,考えろ。それはお前自身の言葉なのか?
979 :
名無しさん@4周年:04/01/18 01:59 ID:8rr5Pl6G
確かにあやうじゃくだよな。
980 :
名無しさん@4周年:04/01/18 04:38 ID:mPQVtqQ7
セキュリティ甲子園問題も絡まって、経済産業省も巻き込む波乱の予感。
ところで
>>975のoffice発言中の「ハウス!」ってどういう意味?
981 :
名無しさん@4周年:04/01/18 04:59 ID:IcEd4Okk
で、逮捕まだぁ?
982 :
名無しさん@4周年: