【社会】「ネットの脆弱さに警鐘」 国立大研究員が個人情報を公表

このエントリーをはてなブックマークに追加
1ヒラリφ ★
文化庁所管の著作権保護団体のインターネットサイトから利用者約1200人の個人情報が昨年11月、
国立大学の男性研究員(40)に引き出され、一部公表されていた。
研究員は「インターネットの安全性の脆弱(ぜいじゃく)さに警鐘を鳴らそうとした」と話すが、
警視庁は不正アクセス禁止法違反の可能性があるとして情報収集している。
研究員は、一般に広く使われているCGIプログラムの「欠陥」を、官庁などのサイトについて公表してきた。
今回もその欠陥を突いた形で、CGIの安全対策が問い直されそうだ。

個人情報を引き出されたのは、社団法人コンピュータソフトウェア著作権協会(東京都文京区)。
ソフトなどの著作権者の団体で、著作権についての質問などをサイトで受けつけていた。

研究員と協会の説明によると、研究員は11月8日、インターネットから協会サイトのサーバーに、
運営側が想定しない指示を送って入った。非公開の領域に保存されたファイルから、
サイトへ相談を寄せた約1200人の名前、住所、電話番号、相談内容などの記録を引き出したという。

同日夜、都内で開かれたインターネットの安全対策担当者やハッカーを集めた集会で、参加者約300人に体験を披露。
「証拠」として、持ち出した個人情報の一部を公表した。持参したパソコンにこの情報を保存した参加者もいたという。

研究員は集会後、協会と、プログラムを開発したサーバー提供会社にCGIの欠陥を電子メールで指摘した。
協会はサイトを閉鎖し、個人情報がネット上に広まるなどの事態にはなっていないという。
サーバー提供会社は約2万の顧客を抱えており、同じCGIを使う他のサイトの修正作業を始めたという。

研究員は「警鐘を鳴らそうとしたが、今回は消費者の味方とは言い切れず、反省している」と語る。
(以下略)

朝日新聞 http://www.asahi.com/national/update/0104/003.html
2名無しさん@4周年:04/01/04 03:28 ID:k70k/bmx

( ´_ゝ`)フーン
3名無しさん@4周年:04/01/04 03:28 ID:oAZHC2SS
3げと
4名無しさん@4周年:04/01/04 03:30 ID:BFHqgQSI
んでうpまだ?
5名無しさん@4周年:04/01/04 03:30 ID:4YMx6gV2
office のことか。
6名無しさん@4周年:04/01/04 03:32 ID:zVoW3S9F
漏れの手にかかれば どんな鯖でも
クラックできる
7名無しさん@4周年:04/01/04 03:32 ID:WVd1ioH+
おれよく考えたら、2年連続姫はじめしてないや。
8名無しさん@4周年:04/01/04 03:34 ID:e7YKuOEC
( ゚Д゚)c<`Д´)←>>7
9名無しさん@4周年:04/01/04 03:36 ID:PeLi9Rch
良く考えなくてもセックスした事ないや
10名無しさん@4周年:04/01/04 03:38 ID:p+lOOLh2
ACCSって言う略称だっけこの協会?
Mxとかnyとかのダウソ厨と仲悪いんだよな。
11名無しさん@4周年:04/01/04 03:38 ID:STgiN2Gx
>>9
( ´,_ゝ`)プッ
12名無しさん@4周年:04/01/04 03:39 ID:JC2a5Kh1
ここはキジャクなケイカネですね。
13名無しさん@4周年:04/01/04 03:40 ID:EFj0LiR5
(以下略)の続き

 協会は「警鐘を鳴らすために個人情報を流出させたのは本末転倒で許し難い」
と話す。サーバー提供会社も「欠陥が事前通告なしに公開され、他のサイトま
で危険にさらされた」と批判している。警視庁は、研究員の行為が、外部から
の利用を制御したサイトへの侵入になる疑いがあるとみている。

 研究員は「office」と名乗るハッカーで、01年ごろから専門誌など
に、安全対策が進んでいるはずのサイトの「欠陥」を公表してきた。

 欠陥があると指摘されたサイトには首相官邸や総務省、日本郵政公社関連の財団法人、大手銀行が含まれる。口座番号などが第三者に送られる危険性もあったと研究員は指摘し、対策をとった官庁、団体もある。
14名無しさん@4周年:04/01/04 03:40 ID:KpH15WdL
流石に早いな。2ちゃんねる魂ココに有り!
15名無しさん@4周年:04/01/04 03:41 ID:E7Ftn6aN
ACCS ACCS

ACCS ACCS
16名無しさん@4周年:04/01/04 03:41 ID:MGiUF5s8
>>5
早!
17名無しさん@4周年:04/01/04 03:43 ID:demTnXgd
きじゃく!きじゃく!
18名無しさん@4周年:04/01/04 03:43 ID:g9Ky0bbb
                   ,ィ⊃  , -- 、
          ,r─-、      ,. ' /   ,/     }
          {     ヽ  / ∠ 、___/    |      お
   署     ヽ.      V-─- 、  , ',_ヽ /  ,'
           ヽ  ヾ、  ',ニ、 ヽ_/ rュ、 ゙、 /
   ま        \  l  トこ,!   {`-'}  Y       前
             ヽj   'ー'' ⊆) '⌒`  !
   で    , 、      l     ヘ‐--‐ケ   }
        ヽ ヽ.  _ .ヽ.     ゙<‐y′   /
   来     }  >'´.-!、 ゝ、_  ~  ___,ノ
         |    −!   \` ー一'´丿 \
   い    ノ    ,二!\   \___/   /`丶、
        /\  /    \   /~ト、   /    l \
19名無しさん@4周年:04/01/04 03:45 ID:KpH15WdL
エムエークスかnyで流通しる!
20名無しさん@4周年:04/01/04 03:45 ID:/t0xGFZK
くじゃく
21名無しさん@4周年:04/01/04 03:51 ID:cJWuvpLo
                   ,ィ⊃  , -- 、
          ,r─-、      ,. ' /   ,/     }
          {     ヽ  / ∠ 、___/    |      お
   曙     ヽ.      V-─- 、  , ',_ヽ /  ,'
           ヽ  ヾ、  ',ニ、 ヽ_/ rュ、 ゙、 /
   ま        \  l  トこ,!   {`-'}  Y       前
             ヽj   'ー'' ⊆) '⌒`  !
   で    , 、      l     ヘ‐--‐ケ   }
        ヽ ヽ.  _ .ヽ.     ゙<‐y′   /
   来     }  >'´.-!、 ゝ、_  ~  ___,ノ
         |    −!   \` ー一'´丿 \
   い    ノ    ,二!\   \___/   /`丶、
        /\  /    \   /~ト、   /    l \
22((=゚Д゚=)ノ宮司 ◆zPS2mz9BTo :04/01/04 03:51 ID:qLncoy2v
趣味を仕事にしたパターンでの悪例ですな。
23名無しさん@4周年:04/01/04 03:53 ID:EFj0LiR5
>>22
仕事じゃなかろう。

国立大学の研究員って、何の研究だろ?
24名無しさん@4周年:04/01/04 03:55 ID:PZnl/u6/
この研究員は良くやったのでは?サイト管理者もはっきり言って面子潰されたから
文句言ってる様に見えるぞ。個人情報を悪用しなかったのだから感謝の一言位言えよ。
研究員がここまでしなかったら絶対管理者も腰を上げなかったろうに。(w
25名無しさん@4周年:04/01/04 03:57 ID:LMoxHHxO
スーパーハカー!
26とおりすがり ◆PaaSYgVvtw :04/01/04 03:57 ID:bpHZLIUd
この問題は、どう解釈できるのかな。たとえば外に面した窓にカーテンが張ってない場合。
見ても罪にはならないよね。カーテンが閉まっているのにそれを開けてみたら罪かもしれない
けどさ。家の人がカーテンが閉まってるように錯覚していたとすると、見たこと事態に違法
性はないよね。セキュリティをかけていると言うことがどのような意思表示になるのかな。
金庫のカギのようなものをバールで壊したとしたら犯罪だけど、もともと開くようにできてる
ものを開けただけ、あるいは開いているものに、現物のカギのような解釈ができるだろうか?
なんかよくわからんが、パソコンのセキュリティを突破しても実は犯罪ではない可能性はない。
なんて解釈できないの? カーテン覗きの微罪の話は無視するとしてさ。
27名無しさん@4周年:04/01/04 03:58 ID:E7Ftn6aN
こうでもしなければ事の重大さはわかってもらえないし、
話題にもならなかっただろう。研究員は偉い。
28名無しさん@4周年:04/01/04 03:59 ID:RAE8mq17
公僕が個人情報に対して持ってる感覚が何らか異常なのは感じてたが
案の定やりやがったか。
29名無しさん@4周年:04/01/04 03:59 ID:7eBbDvzt

 曙        ,.-'''"-─ `ー,--─'''''''''''i-、,,         お
        ,.-,/        /::::::::::::::::::::::!,,  \
 ま     (  ,'          i:::::::::::::::::::::;ノ ヽ-、,,/''ー'''"7   前
        `''|          |:::::::::::::::::::::}     ``ー''"
 で        !       '、:::::::::::::::::::i
          '、 `-=''''フ'ー''ヽ、::::::::::/ヽ、-─-、,,-'''ヽ                         
 来         \_/     ヽ--く   _,,,..--┴-、 ヽ
                       ``"      \>
 い
30名無しさん@4周年:04/01/04 04:01 ID:IbOBstQW

>>29
曙?
31((=゚Д゚=)ノ宮司 ◆zPS2mz9BTo :04/01/04 04:06 ID:qLncoy2v
>>23
情報工学関連の研究やってる研究員と踏んでるんだが。
32名無しさん@4周年:04/01/04 04:09 ID:EFj0LiR5
>>31
それだと面が割れてそうな気がするんだが
33名無しさん@4周年:04/01/04 04:11 ID:0S2IxF+P
> 協会は「警鐘を鳴らすために個人情報を流出させたのは本末転倒で許し難い」

メンツ潰されて逆キレw

↓謝ってる画像だけど全然悪いとおもっている風にみえない
http://www.zdnet.co.jp/news/0311/12/nj00_accs.html
34名無しさん@4周年:04/01/04 04:15 ID:tWL0ldgh
>>24
>>27

馬鹿か、おまえらは。ソースをよく読んだのか?

>持参したパソコンにこの情報を保存した参加者もいたという。

個人情報は流れてしまったのだぞ。
ホールがあるのであれば、直接連絡すればいいのだろうが。
A.D.でわざわざ方法をさらして、さらに危険性を増長させただけだろうが
35名無しさん@4周年:04/01/04 04:15 ID:E7Ftn6aN
人間をマインドコントロールするとは!
ACCS、許さん!!
36名無しさん@4周年:04/01/04 04:15 ID:BYZwDbkc
これって去年の話だよね?
なぜ今頃?
37名無しさん@4周年:04/01/04 04:16 ID:MOFoI4Br
ACCS?こんな団体いらねえよ。潰せや!!!
38名無しさん@4周年:04/01/04 04:17 ID:8H8kEO7H
不正アクセス法防止ざたにしようとしたけど失敗したんじゃないの?
39名無しさん@4周年:04/01/04 04:17 ID:dchFAb1p
プ ツール厨がハクして手柄を見せたかったんだろ?
40名無しさん@4周年:04/01/04 04:18 ID:sQOQSD0W
目的のためには手段を選ばないって奴か。
41((=゚Д゚=)ノ宮司 ◆zPS2mz9BTo :04/01/04 04:18 ID:qLncoy2v
>>32
その分野の国立大の研究員だけでも結構居るでしょ。
つか、集会に出てるんだから面割れてるでしょ。
42名無しさん@4周年:04/01/04 04:22 ID:MIbBYIyY
個人情報くらいだったら、セキュリティ板でいっぱい見つかるが
43名無しさん@4周年:04/01/04 04:24 ID:DTG2EwZt
はぁー
そこ掘れ ワッショイ
ワッショイ
ワッショイ

事件は会議室で起きてるんじゃな〜い

おれのためだし きみのためだし あなたのためでも

う〜ん‥すごい。
44名無しさん@4周年:04/01/04 04:26 ID:tWL0ldgh
面はすでに割れているよん。
セキュリティ板のA.D.スレに行けばHPのアドレスもわかるよ。
45名無しさん@4周年:04/01/04 04:26 ID:FMEE5bJt
>同日夜、都内で開かれたインターネットの安全対策担当者やハッカーを集めた集会で

データをノーパソに入れて持ち帰ったヤツというのが安全対策担当者なのかハカーなのか・・・
公開するアフォもアフォだがわざわざ持ってくヴァカもヴァカだなぁ、と・・・
46名無しさん@4周年:04/01/04 04:28 ID:EFj0LiR5
>>44
HP て、どこよ?
47名無しさん@4周年:04/01/04 04:29 ID:RAE8mq17
>>45
この席に居た連中を全員死刑か終身刑にしちまえば
当分このサイトに進入可能な椰子は出てこないな
48名無しさん@4周年:04/01/04 04:34 ID:tWL0ldgh
49名無しさん@4周年:04/01/04 04:35 ID:ZTeKIy41
古いネタだな。俺はここで知ったが
ttp://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2003/11.html#20031112_ACCS

あとはこことか
http://pc2.2ch.net/test/read.cgi/hosting/997111619/144-

さすがに公開しちゃうのはまずいんじゃないの。一部を隠すとかしないと
50名無しさん@4周年:04/01/04 04:36 ID:EFj0LiR5
>>48
それ、面が割れてるとは言わない。
51名無しさん@4周年:04/01/04 04:38 ID:DTG2EwZt
ザ ニュー チャレンジャー
52名無しさん@4周年:04/01/04 04:38 ID:z73f39IV
兵庫県川西市の学校で刃物振り回したタクマとそっくりな思考回路。
53名無しさん@4周年:04/01/04 04:41 ID:+xzADuV+
友人はスーパーハカーのコピペ↓
54名無しさん@4周年:04/01/04 04:41 ID:DTG2EwZt
恐喝未遂
55名無しさん@4周年:04/01/04 04:42 ID:GrtoywhT
>>21

イヤクマー!

          〈〈〈〈 ヽ               ,ィ⊃  , -- 、
          〈⊃  }    ,r─-、      ,. ' /   ,/     }
   ∩___∩  |   |    {     ヽ  / ∠ 、___/    |
   | ノ      ヽ !   !    ヽ  ヾ、  '    ヽ_/ rュ、 ゙、 /
  /  ●   ● |  /     \  l , _;:;::;:;)、!  {`-'} Y
  |    ( _●_)  ミ/   ,,・_   ヽj  ,;:;:;ノ' ⊆) '⌒` !
 彡、   |∪|  /    ’,∴ ・ ¨  l     ;::)-‐ケ  }
/ __  ヽノ /    、・∵ ’     ヽ.    ;:丿‐y  /
(___)   /         (ヽ、__,.ゝ、     ~___,ノ ,-、
56名無しさん@4周年:04/01/04 04:44 ID:DTG2EwZt
おまえ怠慢なんだよ もっと働けよ ボコッ
57名無しさん@4周年:04/01/04 04:44 ID:LF+9BKP2
この研究員の行為は法律に違反しないのか?
58( ゚д゚)ポカンー:04/01/04 04:45 ID:d8WRQHSB
何で今頃記事になるのよ。
59名無しさん@4周年:04/01/04 04:45 ID:8H8kEO7H
アクセス可能にしてるほうが悪い
60名無しさん@4周年:04/01/04 04:48 ID:hShWrXHj
上にリンクしてあった鯖スレ読んだけど、ここも酷いね。いまだにユーザーに
事件についての公式な釈明すらないんでしょ。親会社のクボタの監督責任も問われるな。
61名無しさん@4周年:04/01/04 04:50 ID:SlrS7SrQ
>>57
モロ不正アクセス防止法違反。
告訴されそうなんで記事になった。
62立候補@アイドル:04/01/04 04:51 ID:DTG2EwZt
わたしのモットーは顔パスなのよ、失礼ですわね。
63Ё:04/01/04 04:51 ID:khIuN00W
>警鐘を鳴らそうとしたが、今回は消費者の味方とは言い切れず、反省している

「自動車事故の危険性についての警鐘を鳴らそうとして、集団登校に突っ込んで虐殺しました」
もOKなんだろうな、この頭のおかしい犯人の言い分だと。
64名無しさん@4周年:04/01/04 04:53 ID:BfMgQVBS
>研究員は集会後、協会と、プログラムを開発したサーバー提供会社にCGIの欠陥を電子メールで指摘した。

集会の前にやっときゃよかったのに。
65名無しさん@4周年:04/01/04 04:53 ID:OkkzqLZh
>>57
公開されている情報の受渡をしただけだからねー。
少なくとも不正アクセスには絶対にならない。
66名無しさん@4周年:04/01/04 04:53 ID:+bdktL5c
セックス
67名無しさん@4周年:04/01/04 04:54 ID:9xQrXv/z
68立候補@アイドル:04/01/04 04:55 ID:DTG2EwZt
何をいっちゃってるのよ、私容姿もスタイルも美人なのですから。
69名無しさん@4周年:04/01/04 04:57 ID:bTLp+sfj
test
70名無しさん@4周年:04/01/04 04:58 ID:8H8kEO7H
ACCSを選んだのが最大の問題だな
71名無しさん@4周年:04/01/04 04:59 ID:kxoYefg3
>>65
いや、公開されているというのは正しい表現ではないのでは?
普通アクセスでは見える状況ではなく、CGIのバグを利用した悪意のあるアクセスに
相当すると思うのだが。
72名無しさん@4周年:04/01/04 05:02 ID:DTG2EwZt
実権女な訳だが
73名無しさん@4周年:04/01/04 05:03 ID:X916Gagb
俺がいろいろ読んだ上での印象

office氏 … いろいろ運悪かったんだろうな。
ACCS … 今回の件に関してはあんまり悪くないな。
ファースト鯖 … 最悪。

>>63
自動車事故の危険性については誰もが認めていることだから適当な喩えになっていない。

たとえば「携帯電話が爆発する可能性があって危険」なときに、
いくら理屈を説明しても誰も信じてくれないような場合、
実際に爆発させてみるのと、誰かが爆発するのを待つのと、どっちがいいんだろう? 俺にはよくわからない。
74名無しさん@4周年:04/01/04 05:04 ID:kioo9RLY
>>71
アビバも最初はそんなことを言っていた。

ユーザー情報流出のアビバ、「保存場所がハッキングされた」
http://www.zdnet.co.jp/news/0207/03/njbt_04.html

>同社の説明では、「弊社の調査により、データの保存場所がハッキングされ、
>そのアドレスが某掲示板に投稿されていることが判明」。「弊社はそれを察知
>し、すぐにデータの消去と該当ページの閉鎖処置を行った」が、約2時間にわたっ
>てデータが閲覧可能な状態になった、という。
>実際には、「データの保存場所」はHTMLファイルのソースを参照することである
>程度は分かるようになっていた。
75名無しさん@4周年:04/01/04 05:04 ID:Ex4L027h
>>71
普通アクセスって何よw
76office:04/01/04 05:04 ID:9xQrXv/z
         /´:::::::::::::::::::::::::::::::::::::::::::`ヽ
       /::::::::::::::::::::::::::::::::::::::::::::::::::::::::\
       --------------------------ー)
      |http://www.office.ac/index-j.html |    
      (:----------------------------/
     (::::::::::/              ヽ:::::::::::)
     |:::::::/ ,,;;;;;;;;;;;;;;,     ;;;;;;;;;;;;;,,, |:::::::::::|
     |:::::                     :::::|
     |::::    -=・=-        -=・=-  :::|
     /|:::     ~~~~  ノ  ヽ  ~~~~    |ヽ
    .| |/        /    ヽ       ||  
    ヽ|     ⌒   (. o⌒o .)  ⌒   .|ノ
      \       :::::::::::::U::::::::::::   プッ /   AD2004で会いましょう
       |\    ヾ─┬┬┬─ ::::  /|    
       |. \.     └┴┘    ./ .|  
77名無しさん@4周年:04/01/04 05:04 ID:wGK778lS
>>63
石頭

>>1文中の研究員みたいな愉快犯的存在がいなくなれば
残るのは悪意に満ちた犯罪者だけ。
78名無しさん@4周年:04/01/04 05:05 ID:DTG2EwZt
田舎ものいやーん

気持ち一部情状‥
79名無しさん@4周年:04/01/04 05:06 ID:kioo9RLY
>>71
TBSも最初は似たようなことをいっていた。

「お手数ですが削除いただけますよう」──個人情報大量流出のTBC
http://www.zdnet.co.jp/news/0205/27/njbt_06.html
>エスティックサロン大手のTBC(東京ビューティーセンター)のWebサイトで
>約3万件の個人情報が閲覧可能な状態になっていたことが分かった。同社は現在
>Webサイトを実質的に閉鎖、「ホームページサーバーの深部へのアクセスがあった」
>として不正アクセスの可能性を示唆しているものの、単純な設定ミスを疑う見方もある。


深部へのアクセス
保存場所がハッキングされた

なんという素晴らしい発明語だろうか
80名無しさん@4周年:04/01/04 05:08 ID:tvZu8d6D
高木タンの抑制のきいたコメントに萌え。
81名無しさん@4周年:04/01/04 05:09 ID:qLUZAQXH
無防備なシステム晒してるほうが偉そうな口利いてるのは本末転倒ずら
82Ё:04/01/04 05:10 ID:khIuN00W
>>73
実際に爆発させんのは構わんが、他人を巻き込むなよって。
安全な空き地でやりゃいいものを、わざわざ人身事故になるようにやってるじゃんこの犯人。
83名無しさん@4周年:04/01/04 05:10 ID:DTG2EwZt
問題化する気ないから届け出そうかな。
84名無しさん@4周年:04/01/04 05:13 ID:9xQrXv/z
             ,ィ⊃  , -- 、
    ,r─-、      ,. ' /   ,/     }
   {     ヽ  / ∠ 、___/    |
   ヽ.      V-─- 、  , ',_ヽ /  ,'
     ヽ  ヾ、  ',ニ、 ヽ_/ rュ、 ゙、 /
     \  l  トこ,!   {`-'}  Y
       ヽj   'ー'' ⊆) '⌒`  !
         l     ヘ‐--‐ケ   }
         ヽ.     ゙<‐y′   /    office情報はここ見るといいよ
      (ヽ、__,.ゝ、_  ~  ___,ノ ,-、
A.D.200X@Random (12) http://pc.2ch.net/test/read.cgi/sec/1068634932/l50
A.D.200X@Random (11) ttp://pc.2ch.net/test/read.cgi/sec/1056460664/
A.D.200X@Random (10) ttp://pc.2ch.net/test/read.cgi/sec/1053233093/
A.D.200X@Random (9) ttp://pc.2ch.net/test/read.cgi/sec/1047506607/
A.D.200X@Random (8) ttp://pc.2ch.net/test/read.cgi/sec/1038138944/
A.D.200X@Random (7) ttp://pc.2ch.net/sec/kako/1037/10375/1037505269.html
A.D.200X@Random (6) ttp://pc.2ch.net/sec/kako/1024/10242/1024202843.html
A.D 2001 (5) ttp://pc.2ch.net/sec/kako/1018/10184/1018412521.html
A.D.2001 (4) ttp://pc.2ch.net/test/read.cgi/sec/1008926076/
A.D.2001 (3) ttp://ton.2ch.net/sec/kako/1000/10002/1000226553.html
A.D.2001 (2) ttp://pc.2ch.net/sec/kako/997/997972466.html
A.D.2001 ttp://pc.2ch.net/sec/kako/996/996966367.html
85名無しさん@4周年:04/01/04 05:13 ID:tvZu8d6D
>>82
犯人かどうかはまだわからないわけだが。
86名無しさん@4周年:04/01/04 05:15 ID:DTG2EwZt
案ずる事はなかれ。恥ずかしながら証拠はない。ポカーン。
87名無しさん@4周年:04/01/04 05:16 ID:FgXodFhE
40のオッサンがこんなガキみたいなことする理由がわからん
88Ё:04/01/04 05:21 ID:khIuN00W
>>86
>同日夜、都内で開かれたインターネットの安全対策担当者やハッカーを集めた集会で、参加者約300人に体験を披露。
>「証拠」として、持ち出した個人情報の一部を公表した。持参したパソコンにこの情報を保存した参加者もいたという。
これって証拠になるのでは?

あ、別にACCSのボケを擁護する気はサラサラないです。
こいつのスマートじゃないやり方のお陰で、
ACCSが調子づいてるから迷惑。
89名無しさん@4周年:04/01/04 05:21 ID:9xQrXv/z
90名無しさん@4周年:04/01/04 05:23 ID:GrtoywhT
あれ、officeってあのセキュリティ掲示板のoffice?
言動からして普通じゃないと思ってたら
タイーポなんでつね
(・人・)おててとおててのしわを合わせて、ざまーみろ〜
91名無しさん@4周年:04/01/04 05:23 ID:tvZu8d6D
>>88
は? それがなんの証拠に? 不正アクセス防止法読んだことあるのか?
92名無しさん@4周年:04/01/04 05:23 ID:DTG2EwZt
相手の情報が降りてこないので
93名無しさん@4周年:04/01/04 05:25 ID:EFj0LiR5
「不正アクセス【防止】法」なんて存在しないよ。
94名無しさん@4周年:04/01/04 05:26 ID:9xQrXv/z
95名無しさん@4周年:04/01/04 05:26 ID:DTG2EwZt
なんておまえは 馬鹿なんだ
馬鹿なんだ馬鹿なんだ
96名無しさん@4周年:04/01/04 05:30 ID:DTG2EwZt
調子づいただってさ。やっちゃおうかな?
97名無しさん@4周年:04/01/04 05:30 ID:wFcS9wx/
ACCSって著作権を保護管理してる団体でしょ?
つまり「他人のケツを拭くのが仕事」
それがなんと自分のケツを拭いてくれる人間の管理さえ、
まともに出来ないときた。

で、ハッカーから「貴方のケツを拭いている人は下手糞ですねw」と
指摘され逆切れ?

なんと恥ずかしいことでしょう。
98名無しさん@4周年:04/01/04 05:33 ID:DTG2EwZt
不正は不正だろ
99Ё:04/01/04 05:35 ID:khIuN00W
>91

>研究員は11月8日、インターネットから協会サイトのサーバーに、
>運営側が想定しない指示を送って入った。
三条三項に抵触。

>同日夜、都内で開かれたインターネットの安全対策担当者やハッカーを集めた集会で、参加者約300人に体験を披露。
四条に抵触

ではないの?
100名無しさん@4周年:04/01/04 05:35 ID:wFcS9wx/
こんな団体に著作権の管理を任せている業界は考え直したほうがいいですよ。
そのうち業界自体が危うくなったりしてw

101名無しさん@4周年:04/01/04 05:37 ID:GrtoywhT
でも個人情報ひっこぬいて第3者に
公開することに大儀はまるでないなー
やりすぎはいけませんねー
プゲラウヒョー
102名無しさん@4周年:04/01/04 05:38 ID:DTG2EwZt
いいとしして、はんずかしぃーですぅ〜。

うそも方便 好きこそもののなんとやら ヒャヒャ

圧力→おぬしもなかなか ワルよのう
103名無しさん@4周年:04/01/04 05:38 ID:EFj0LiR5
>>99
四条は識別符号だけが対象だろ。識別符号の定義を見よ。
104名無しさん@4周年:04/01/04 05:41 ID:DTG2EwZt
被害届だせ!
105名無しさん@4周年:04/01/04 05:41 ID:wFcS9wx/
恥を知らない人間ほど、自らの恥をさらし続ける法則。
そんな彼らを観察したかったらダウンロード板へどうぞ。
啓蒙と脅迫でP2Pユーザーに噛み付いていますが
ねら達にキレイに隔離処理されています。

ぶひw
106名無しさん@4周年:04/01/04 05:41 ID:okeLboXI
プクックック
ACCSってヤル気あんのかよ(プゲラウヒョー
107名無しさん@4周年:04/01/04 05:45 ID:71MgSAng
さすが低教養の工学系はやることが斜め上だなw
108名無しさん@4周年:04/01/04 05:46 ID:GrtoywhT
ファーストサーバとやらも
よくもまぁファイル表示なんて
危なっかしい処理してましたねぇ
それとまだタイポって話しではないんですね
>>90は訂正します
109名無しさん@4周年:04/01/04 05:47 ID:9xQrXv/z
/.JPでのofficeのコメントの数々
http://slashdot.jp/~office
110名無しさん@4周年:04/01/04 05:47 ID:ypxVwtc5
素人は基本的に個人情報を正直に書くのは控えた方が良いということですな。
SSL使ってようが関係なし。
そもそも必要も無い個人情報を抱えることがリスクとなることを解ってないヴァカ大杉。
111名無しさん@4周年:04/01/04 05:47 ID:wFcS9wx/
ACCSも負けず劣らず斜め上w

112名無しさん@4周年:04/01/04 05:50 ID:wFcS9wx/
まとめ

ACCSは脆弱、officeは貧弱。
113名無しさん@4周年:04/01/04 05:58 ID:tj4N2avJ
彼の行動は公益に沿った行動なので逮捕に踏み切らないでほしい。
114名無しさん@4周年:04/01/04 06:03 ID:tvZu8d6D
>>112
ふぁーすと鯖は意志薄弱
115名無しさん@4周年:04/01/04 06:09 ID:tj4N2avJ
彼はセキュリティーホールの指摘をしたのに
それを放置しもみ消したのは製造物責任でCGI作成者や
Web管理者が悪い。 彼の行動は毒を混ぜて売りつづけた
食品会社を告発したのと同じことで
公益に沿った行動だから
彼を逮捕に踏み切らないでほしい。
116名無しさん@4周年:04/01/04 06:15 ID:zQvR/Qxn
>研究員と協会の説明によると、研究員は11月8日、インターネットから協会サイトのサーバーに、
>運営側が想定しない指示を送って入った。非公開の領域に保存されたファイルから、

cgiへのアクセスだから入っちゃいないだろ。
それと何で想定しない指示で動作できるんだよ。
想定した指示でしか動かないようにしろよ葛。
117名無しさん@4周年:04/01/04 06:16 ID:QKTOajoW
おれも通販サイトに個人情報だだ漏れだって指摘したことあるけど、礼のメールは
よこせど、対応に時間がすごいかかってた。
だから、2chに晒したことがあったな。

痛い目あわさなきゃダメだよ。通販サイト業者も、そこの利用者も。
研究員はエロい
118名無しさん@4周年:04/01/04 06:16 ID:9xQrXv/z
>>115
じゃ巷のピッキング犯の皆さんも公益に沿った行動に日々いそしんで
いるですか、勉強になりますねぇ
119名無しさん@4周年:04/01/04 06:20 ID:pGRo5CQ0
Tea Room for Conferenceにさっそく書き込まれていた
120名無しさん@4周年:04/01/04 06:40 ID:bsuZaShK
このスレは118で終了
擁護してるやつらは自分に言い訳してるだけ。
121名無しさん@4周年:04/01/04 06:52 ID:Ydp+G+NH
「ネットの脆弱性」「研究員」と来たから、てっきり、ひろみちゅ先生かと思ったら、
なんだ、コメントする側か…。
122名無しさん@五周年&rlo;人本日の粋生&lro;:04/01/04 06:56 ID:WnjW4Lwe
功名に逸る結果がこの様ということか。
123名無しさん@4周年:04/01/04 06:58 ID:AMRoDzb1
欠陥が放置されたまま3年以上運営、って改善する意思無かったって事かな?
124名無しさん@4周年:04/01/04 06:58 ID:Rac3W767
>>118

ピッキング?ピッキングは鍵をかけた状態を解除するんだろ?
治安の悪い地域で鍵もかけずに外出することの愚かさを思い知るがいい。
125名無しさん@4周年:04/01/04 06:59 ID:zQvR/Qxn
>>118
ピッキングどうこうより、鍵の閉め忘れだろ
入られたってしょうがない
126名無しさん@4周年:04/01/04 07:01 ID:9xQrXv/z
>>124
思い知っても犯罪ですが何か?
>>125
鍵を閉め忘れたとしても犯罪は犯罪ですが何か?
127124:04/01/04 07:03 ID:Rac3W767
>>126

犯罪かどうかについて文句を付けた覚えは無いが。
ただ、ピッキングと同列に扱うのは難があるということで。
128名無しさん@4周年:04/01/04 07:06 ID:9xQrXv/z
>>127
それは>>115の幼稚なたとえに応じて差し上げただけですわw

>Web管理者が悪い。 彼の行動は毒を混ぜて売りつづけた
>食品会社を告発したのと同じことで
>公益に沿った行動だから
>彼を逮捕に踏み切らないでほしい。
129名無しさん@4周年:04/01/04 07:08 ID:vLf6f1bA
>>127
おなじだよ。
ピッキングはすでに知られてるんだから、それで開く鍵を開けて回っても問題ないとでも?
130名無しさん@4周年:04/01/04 07:12 ID:62suZAmN
>>127
いや、ピッキングと同列でしょ

「カギの脆弱さに警鐘−国立大研究員が民家に不法侵入」って事とさほど変わらない
131名無しさん@4周年:04/01/04 07:19 ID:DcfPHz84
私の会社もファーストサーバと契約してるんだけど、11月から慌ただ
しいメール(標準cgiのセキュリティに関する不具合)きまくってたのよ。
ファーストサーバってのは標準で(すごいショボい)cgiを提供して
たんだけど、これが、いわゆるサニタイズ処理されていないヤツ。
それなりの団体がこんなログラム使う時点でアウト。

これ、このofficeという輩がプロバイダに通知したんだろうね。

こんな内容。
========================

> 旧標準CGIの不具合についての重要なお知らせ(11月14日)
>
>平素よりファーストサーバをご利用頂き誠にありがとうございます。
>
>2003年11月12日早朝お知らせいたしました「【緊急告知】旧標準 CGI の不具合
>についての重要なお知らせ」の件につきまして、追加での報告がございますので
>お知らせいたします。
>
>先日より弊社においてセキュリティ上の問題が発見された旧標準CGIにおいて引
>き続き調査を行っておりましたが、前回の旧標準CGIの一部に、本日2003年11月
>14日早朝に新たな問題点を発見いたしました。
>セキュリティ上の重要な問題でございましたので、即座に問題箇所の修正を行
>い、下記該当するCGIに対し再度の置き換え作業を行いました。
132名無しさん@4周年:04/01/04 07:22 ID:zQvR/Qxn
>>130
その程度で入れるところに個人情報置いておくのは企業としていかがなものかと
133名無しさん@4周年:04/01/04 07:23 ID:eEcyizlW
DEFCONとかやってるガキに感化されまくってんだろうな、この研究員w

理系のヲタって精神面が未熟なヤシが多いよね・・・
134名無しさん@4周年:04/01/04 07:25 ID:zQvR/Qxn
>>133
悔しかったらこれくらいの熱意見せてみろよ(w
135名無しさん@4周年:04/01/04 07:26 ID:zpNwWgN7
方法はどうかと思うが、被害が出ないと馬鹿共は対処しないからな。
被害者面している管理者共は入手した全個人データをばらまかれなかっただけ
感謝すべきだろう。
136名無しさん@4周年:04/01/04 07:27 ID:pl70l48l
住基ネットの場合、被害規模がシャレにならんワケだが・・・
137名無しさん@4周年:04/01/04 07:32 ID:GNK5jy9x
>>135
それはいつものことでしょう。
でもどうしてそういう話になるの?
138名無しさん@4周年:04/01/04 07:36 ID:IS4zlIVG
>>133
精神面が未熟っつうか、ソーシャルスキルが低いんでしょ
139名無しさん@4周年:04/01/04 07:37 ID:62suZAmN
>>135
研究員も自分のおかした罪は償うべきだろうな
140名無しさん@4周年:04/01/04 07:37 ID:9xQrXv/z
>>133
研究員というか、日雇い助手かなんからしいけどな、
http://pc.2ch.net/test/read.cgi/sec/1068634932/
によると
141名無しさん@4周年:04/01/04 07:47 ID:UNbL2Tmh
Officeぅううう

バカやってんじゃねぇぇええ
142名無しさん@4周年:04/01/04 07:50 ID:hG0FziQW
これのせいで新年早々

株式会社アルクから年賀DMが届いたの鴨。





しかしこのDMが漏れにとって唯一の年賀だった。_| ̄|○
143名無しさん@4周年:04/01/04 07:50 ID:LPNhv/q8
またこの記事は無茶苦茶だな。アカピー
144名無しさん@4周年:04/01/04 07:51 ID:zpNwWgN7
>>137
自分に被害が及ばないために。
管理者側に被害が及ぶようになればまともに対応するようになるから
結果的に自分がこのような個人情報ばらまきで被害に遭いづらくなる。

>>139
法律に違反する行為があるなら当然。
ただし放置したという罪でも作って放置しておいた側も罰して欲しい。
145名無しさん@4周年:04/01/04 07:57 ID:EFj0LiR5
新聞買ってきた。
一面トップだな、これ。
あと、社会面にも続きが載ってる。
「騒ぎ起こして修正迫る」「門前払いされ過激に」という見出し。
国立大研究員(40)へのインタビューが載ってる。
146名無しさん@4周年:04/01/04 07:59 ID:BfMgQVBS
>>145
ちなみに何新聞?
147名無しさん@4周年:04/01/04 07:59 ID:GNK5jy9x
>>144
>被害が出ないと馬鹿共は対処しないからな。
この部分の話ね。了解しますた。

ただ、漏れは
「同日夜、都内で開かれたインターネットの安全対策担当者や
ハッカーを集めた集会で、参加者約300人に体験を披露。」
という行為のほうに注目しているよ。
148名無しさん@4周年:04/01/04 08:04 ID:sp0cjTDh
>>147
そういうことは、世の中の何よりも>>140のスレが一番詳しいので、勝手に見て来いや
149名無しさん@4周年:04/01/04 08:05 ID:EFj0LiR5
>>144
> ただし放置したという罪でも作って放置しておいた側も罰して欲しい。

不正アクセス行為の禁止等に関する法律 第五条 がある。

第五条
アクセス制御機能を特定電子計算機に付加したアクセス管理者は、当該アクセス制御機能に係る識別符号
又はこれを当該アクセス制御機能により確認するために用いる符号の適正な管理に努めるとともに、
常に当該アクセス制御機能の有効性を検証し、必要があると認めるときは速やかにその機能の高度化
その他当該特定電子計算機を不正アクセス行為から防御するため必要な措置を講ずるよう努めるものとする。
150森の妖精さん:04/01/04 08:07 ID:k4nxu8zN
これクロスサイトスクリプティングの話ですか?
151名無しさん@4周年:04/01/04 08:10 ID:PDwIU6Ha
>>150
違うだろうなあ。クロスサイトで1200人の個人情報は取れんだろう。
152名無しさん@4周年:04/01/04 08:11 ID:GNK5jy9x
>>148
見た上で言ってるんだけど、何ですか?
だからこそアドバイザリとしては好ましくないことをしたんじゃないのか
ってトコロに注目してるんだよ。
153名無しさん@4周年:04/01/04 08:14 ID:BNiba+CQ
>国立大研究員(40)

大学名・実名公表しろよ。
人の個人情報晒したんだろ?
自分の主張が正しいと思うんだろ?
154名無しさん@4周年:04/01/04 08:17 ID:9xQrXv/z
>>152

つまりは、アドバイザリ云々以前に、自分らが主催してる参加費8500円の
イベントで、面白おかしく発表するためのネタに、余所様の個人情報を選んで、
それを実際に取ってきて、面白おかしく手口と一緒に発表する行為が、40の
オサーンのすることだろうか、ということですなぁ
155名無しさん@4周年:04/01/04 08:17 ID:Vm3f+DIn
ひろゆき重体
156名無しさん@4周年:04/01/04 08:18 ID:dzDNtWyo
いまでもwinnyに大量の個人情報流れてるしなあ
TBCいまでも落とせるよ
どうなのかなあ
157名無しさん@4周年:04/01/04 08:18 ID:zpNwWgN7
>>147
うん、その部分の話。
個人情報公開に関しては手段としてはさすがに駄目だろう。

>>149
サンクス。
でも不正アクセス行為の禁止等に関する法律を見ると
第五条に違反しても罰則は無いな。
どこまで責任を負わせれば良いかという線引きが難しいが、
侵入方法を明示されて対処を求められてすみやかに対処しない場合は
罰しても構わんと思う。
もし技術的に対処できなけりゃ、サイトを閉じてサーバ上のデータを
全部消せばそのサイトを起点とするそれ以上の被害の拡大は防げるし。
158森の妖精さん:04/01/04 08:24 ID:k4nxu8zN
なんだ、こういうことか。。。初歩的な話じゃん。。
http://www.office.ac/tearoom/noframe.cgi#No.#1613-1

このcgiの問題を原理的に申し上げますと、「サーバの中のファイル表示をする機
能を持つcgiが、制限無くどのようなファイルをも表示できるようになっていた」
ということです。
従って、HTMLソースを見て「ファイル表示機能を持つcgiだ」と理解すれば、フ
ァイル名を指定するだけで、サーバ内のあらゆる情報を見ることができる可能性
を誰でも推測できたものと想像しております。特定のURLにアクセスすると個人
情報が表示されてしまうという情報漏えいのパターン(一例として2002.4のみず
ほ証券のサイト)がありますが、URLでのアクセス(GETコマンド)であるか、送
信ボタンを押す(POSTコマンド)であるかの違いだけで、その他は全く同一の内
容でした。私は確認していませんが、特定のURLでアクセスしただけでも、実際
には個人情報が表示できた可能性もあります。cgiの設置マニュアルなどには、
指定したファイルの表示をすると書いてあったはずでしょうから、cgiの設置者な
ら誰でも気づき得た問題だと思われます。
159名無しさん@4周年:04/01/04 08:35 ID:OFPR0OXP
見れる方が悪い
160名無しさん@4周年:04/01/04 08:37 ID:DHOwEevk

左巻きの大学の先生か!?
161アナル神 ◆ANALPC/uZQ :04/01/04 08:40 ID:zfUY1dB0
お馬鹿さんを逮捕しろ!!
162名無しさん@4周年:04/01/04 08:41 ID:4zZk5Q/p
>>158
こんなのURL削りみたいなもんでハッキングじゃねえじゃん。
不正アクセスも糞もない。見れる情報を見ただけの話。
あとは道義的な問題だけ。
163名無しさん@4周年:04/01/04 08:43 ID:B+wHG32c
スレタイを「個人情報守れぬサイト」にしたほうが面白いのに
164名無しさん@4周年:04/01/04 08:45 ID:oJNmkR2W
今頃?去年のニュースだろ。
http://slashdot.jp/article.pl?sid=03/11/12/0724258
165名無しさん@4周年:04/01/04 08:48 ID:n4dmJXts
つーか、この研究員、いろんな意味で厨だな。
166Ё:04/01/04 08:50 ID:khIuN00W
>>165
40才で「ギャハハハ」のカキコはないだろう、とは思った。
167名無しさん@4周年:04/01/04 09:03 ID:9xQrXv/z
168 :04/01/04 09:06 ID:cHW7EwzV
>>7
> おれよく考えたら、2年連続姫はじめしてないや。

姫はじめって言うのは、1月1日にしなきゃだめなの???
169名無しさん@4周年:04/01/04 09:12 ID:olmjLY3B
不正アクセス法の論文ってとぼしいな。

http://www.okumura-tanaka-law.com/www/okumura/access/access.htm
http://www.okumura-tanaka-law.com/www/okumura/access/030908access.htm
不正アクセスの禁止等に関する法律の運用(罪数判断を中心に)
奥 村  徹
 不正アクセス行為の禁止等に関する法律(平成11年8月13日法律第128号)は平成12年2月13日に施行されて3年を経過した。
 同法初の上告事件の弁護人となったことを契機に、刑事確定訴訟記録法によって、
報道・文献で紹介された事例について判決例を収集・分析を試みた。
 その結果、ひとたび他人のID・パスワードを入手すると多数回の不正アクセスを行う犯人が多いこと、
私怨による動機であったり知人に対するものなど概して犯罪規模が小さいこと、
保護法益や罪数の理解にバラツキがあること、保護法益は社会的法益とされているものの
判決理由では具体的被害の大小や被害感情が重視されていることが判明した。
 本稿では、検挙事例を概観して、刑罰による規制の限界を明らかにしたい。
170名無しさん@4周年:04/01/04 09:12 ID:fb0+erm2
不正アクセス防止法違反にはならんの?
171名無しさん@4周年:04/01/04 09:18 ID:yeZtAmr1
ヘボいCGIと管理者が悪い
172名無しさん@4周年:04/01/04 09:27 ID:4xWQZj1D
>>7
カキ初めは済ませたか?
173 :04/01/04 09:28 ID:cHW7EwzV
「侵入」と「アクセス」の違いは何?
174Ё:04/01/04 09:30 ID:khIuN00W
>>173
>2 前項に規定する不正アクセス行為とは、次の各号の一に該当する行為をいう。  

>一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて
>当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、
>当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為
>(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)  

>二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて
>当該アクセス制御機能による特定利用の制限を免れることができる情報
>(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、
>その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を
>付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)

>三 電気通信回線を介して接続された他の特定電子計算機が有する
>アクセス制御機能によりその特定利用を制限されている特定電子計算機に
>電気通信回線を通じてその制限を免れることができる情報又は指令を
>入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為

らしい。
175名無しさん@4周年:04/01/04 09:31 ID:X4tmbEpW
●就職率● 決定者÷(卒業者−進学者) 
●2004.01.04 サンデー毎日 最新号●
東北大学 79.7% 東京大学 77.9% 名古屋大学 77.3%
大阪大学 76.7% 一橋大学 75.3% 北海道大学 75.0%
九州大学 75.0% 京都大学 70.8% 神戸大学 70.7%
慶応大学 68.5% 広島大学 66.4% 立命館大学64.4%
筑波大学 63.1% 法政大学 60.0% 早稲田大学 58.7%
明治大学 55.3% 上智大学 53.8% 以下哀れなので略
176名無しさん@4周年:04/01/04 09:32 ID:Q5EFi9vk
おまいら、2chでコソコソやってるよりも
http://www.office.ac/tearoom/noframe.cgi?
で直接逝ってやれよ。
ただし、
ここへの投稿は記事に対する著作財産権
(自動公衆送信権、出版権、領布権等)に関する権限を
officeに委譲することを許諾したものとします。
なんだけどな。
177名無しさん@4周年:04/01/04 09:33 ID:GVuckdbP
2ちゃんねるをみるともう少し詳しいことが載ってるかとおもたがそうでないなあ
2ちゃんの情報収集能力も落ちたものだね。
178 :04/01/04 09:36 ID:cHW7EwzV
>>174
うん、そうなんだよね。俺も不正アクセス防止法は読んだ。
なんだけど一番あいまいなのは「アクセス制御機能」なんだよな。
その気になればなんでもかんでもアクセス制御機能だって主張できるよなぁ。

アクセスされた側が「不正アクセス」だと主張する場合は、
そもそもアクセス制御機能が機能していないわけで。
じゃ、アクセス制御機能じゃないじゃん、っておもうんだが。
179名無しさん@4周年:04/01/04 09:37 ID:FA9xDGLn
>>169
スゲエなこれ。

下級裁主要判決情報
高松地方裁判所丸亀支部 平成14年(わ)第62号,第107号 不正アクセス行為の禁止等に関する法律違反,電気通信事業法違反被告
http://courtdomino2.courts.go.jp/kshanrei.nsf/Listview01/FB3A4F499650F45249256CAE000A7508/?OpenDocument
> 被告人は,パソコンでインターネットをしていて知り合った被害者gから会おうと誘われたが,内向的性格からこれに応
> じることができず苛立ちを募らせ,同女を困らせてこれを解消しようと,同女にわいせつなメール等が送信されるよう仕向
> けたが,その受信状況を確認しようなどと考え,また,その状況について同女に知らせようと同女のIDでメールを送信し
> て判示第1及び第2の各犯行に及び,不正アクセスが成功したことで味をしめ,病み付きになり,もっと性的な情報を得た
> いと考えて,女子中学生宛のメールを覗き見ようと判示第3の犯行に,また,乱交パーティ参加希望者のメールを覗き見よ
> うと判示第4の犯行に,それぞれ及んだもので,各犯行に至る経緯や犯行動機には倒錯した欲望,好奇心が窺われ,酌量の
> 余地はなく,執拗にパスワードを探索したり,頻繁に不正アクセスしていること,被害者のプライバシーを害するのみなら
> ず相当な迷惑をかけていること等からして,犯行態様も悪質である。余罪もかなり窺われる。
180名無しさん@4周年:04/01/04 09:39 ID:jAFL6z9S
officeっていわゆるセキュリティ厨(セキュリティゴロ)に見えるんだが。
今回も単に晒しageしただけだし。手段と目的の区別がついてない奴。
181名無しさん@4周年:04/01/04 09:39 ID:ztPdJ4tI
俺は全角英数字を使う奴の気がしれん。
182ぼるじょあ ◆yEbBEcuFOU :04/01/04 09:42 ID:dnyuwSjR
(・3・) アルェー つーか、オフスさんって雑魚キャラでSYO
183Ё:04/01/04 09:43 ID:khIuN00W
>>178
生半可な知識での例えばなしになるけど、
柵も壁も無い、鍵もないし場所によっては窓や勝手口のドアが剥がれてる家でも、
勝手に入れば不法侵入になる。
って考え方でいいのでは?

もちろん、そんな管理してる主人も、注意や指導されてしかるべきだと思うが。
184名無しさん@4周年:04/01/04 09:44 ID:FMEE5bJt
脇の甘い鯖にアクセスして個人情報を見たところまでと
そこから個人情報を抜き出してそのまま集会で第三者に晒した(おまけにピーコ可にした)のとは
そもそも別次元の問題だと思うのだが。
185名無しさん@4周年:04/01/04 09:45 ID:zpNwWgN7
>>178
アクセス制御機能 は明確じゃないかい?
2条の3項を見ると、パス入れて照合する機能の事だと思われ。
186名無しさん@4周年:04/01/04 09:46 ID:EFj0LiR5
>>183
それは、その家が個人の家だからで、お客さんも受け入れていないからだね。
ホームページのCGIの場合は、お客さんを受け入れている場所なわけで。
187名無しさん@4周年:04/01/04 09:46 ID:eW+ooEhZ
自サイトの個人情報すら守れないのに、
他人の著作権を守れるとは思えない。
188名無しさん@4周年:04/01/04 09:49 ID:Q5EFi9vk
>>185
「パスを入れて」ってのが明確じゃ無い事もある。
http://moemoe:[email protected]/
これってパット見てパスを入れているって気付く?
189 :04/01/04 09:53 ID:cHW7EwzV
>>185
> アクセス制御機能 は明確じゃないかい?
> 2条の3項を見ると、パス入れて照合する機能の事だと思われ。

GETメソッドでCGIに渡されるパラメータについて、
それをパスワードだと解釈するかどうかはサーバに任されている。
PathInfo 経由だったりするとCGIにパラメータを渡しているかどうかさえわからない。
190名無しさん@4周年:04/01/04 09:53 ID:3AdRnnht
脆へんの中のお魚さんも大変だな。
191名無しさん@4周年:04/01/04 09:54 ID:zpNwWgN7
>>188
その形式で貼り付けたり公開した輩が罰せられると思う。
4条違反だろうな。
192名無しさん@4周年:04/01/04 09:55 ID:ztPdJ4tI
住居不法侵入罪と比べるってのはお門違いじゃないのかな。
当方はこの問題は難しいですが。
当方のhttp://www.as-k.netは自由にご覧下さい
今年は話題に成るでしょう。
194 :04/01/04 09:58 ID:cHW7EwzV
>>191
いや、そういうことを言っているんじゃなくて、
たとえばこのスレッドのURL
http://news5.2ch.net/test/read.cgi/newsplus/1073154471/
がいきなり ID=newsplus PW=1073154471 を PathInfo でCGIに渡しているんだ、
と主張されても漏れらには反論するすべがない、ということなんだ。

たとえば無料レンタルスペースなんかだと、
ホスト部の news5 が ID になっていたりするし。
195名無しさん@4周年:04/01/04 09:58 ID:es6Boo2d
真のスーパーハカーキタ━━━━━(・∀・)━━━━━ッ!
196名無しさん@4周年:04/01/04 09:59 ID:qWcgiyY3
>>153
兄弟さっさとこんなやつ首にしる!
197 :04/01/04 10:00 ID:cHW7EwzV
>>193 ところで、あんた毎年しつこいね。
それやってて儲かるの?
198Ё:04/01/04 10:01 ID:khIuN00W
>>186
インターネット上のデータは全て「お客さん」を受け入れる場所とも限らないでしょ。
住居の場合でも、出入り口はあるわけで、そこで認可された人物や物品のみが出入りされるわけで。
199名無しさん@4周年:04/01/04 10:03 ID:A51qDwo0
A C C S 必 死 だ な w
200名無しさん@4周年:04/01/04 10:05 ID:Fzi+WhmW
家の玄関の鍵を閉めていなかった
玄関から入って家の中を写真で収めた
その写真を近所に人に配る
その後、家の持ち主に玄関が開いてたと教える
201名無しさん@4周年:04/01/04 10:05 ID:EFj0LiR5
>>198
ホームページサーバーが動いていたら、それだけで、「お客さんを受け入れている場所」でしょ。
柵がない家への住居侵入の例えが全くおかしいことは確かだと言いたいだけなんだけども。
202名無しさん@4周年:04/01/04 10:07 ID:2h4nWRD7
初めにACCSに連絡していてACCSが対処しなかったんならACCSが悪い
203Ё:04/01/04 10:09 ID:khIuN00W
>>201
基礎的なところで大勘違いしてるのかも知れないので確認なんですが、
HPサーバ上のデータは、全て公開されなければいけないの?
204名無しさん@4周年:04/01/04 10:09 ID:cmn/yKd4
>>183
よくそういう例えを使う人がいるけど、住居等不法侵入は
公道と私有地を分け隔てる境界線ってのがはっきりしていて、
敷地内に誰でも自由に入っていける場所は無いから
ネットワークとはまったく別。
websiteってのはそもそも不特定多数の人間に訪問されることを
前提としているので、いわば敷地内に公共スペースがある状態。
そことプライベートスペースを仕切る腺が訪問者に見えなければ
それをまたいだことに気づけないのだから、不正アクセスとみなすのは困難。
ましてやURLをちょっと変えるだけで鯖缶が「プライベートスペース」だと
言い張る場所に飛べるのなら、それは逆にトラップを仕掛けたことになって
不正アクセスという犯罪を誘発した責任を問われることになるかもね。
(URLの改ざんが不正アクセスになると認められればの話だが)

まあそもそも不正アクセス防止法に頼ってばかりで、ロクに
管理しない鯖缶が一番悪いんだけどね。
法律なんてのは事が起こった後に有効になるのであって、
不正アクセスそのものを止めるパッチには変化しないしー。
apt-get update | apt-get upgradeくらいはしろよー。
ファイルシステム知らない奴にCGIなんて使わせるなよー。
205名無しさん@4周年:04/01/04 10:10 ID:buPMze/n
名前出せばいいじゃないか。
Office氏にしてみれば仕事が増えるだけだし。
206名無しさん@4周年:04/01/04 10:11 ID:zpNwWgN7
>>194
>漏れらには反論するすべがない、ということなんだ。
ここの部分は、つまりそのリンクを踏んだ際に踏んだ人間が不正アクセス防止法に
ひっかかるのではないかということだよね?
その際には、リンクが張られていたから踏んだで済むと思われ。
厳密にはアウトかもしれんが・・・
実際に罰せられるのは4条の適用でリンクを張った(掲示板なら書き込んだ)奴
ではないかと。
207Ё:04/01/04 10:14 ID:khIuN00W
>>204
どうも。おおむね理解できたと思います。

で、この容疑者候補が個人情報を晒した件についてはどうなんでしょ。
208名無しさん@4周年:04/01/04 10:16 ID:RGD5AnJf
わからんちんのオヤジたちの「わが社はどうなっとるのか」という質問に答えねばならず、明日が憂鬱
今回ご指摘の件は、新種のものでもなんでもなくて、
>158
にあるように要は、
#/bin/sh
cat $1
みたいなCGIがあるちゅうことでしょうか?
209名無しさん@4周年:04/01/04 10:17 ID:EFj0LiR5
>>203
「サーバー」の定義をまず示してくれ。
210名無しさん@事情通:04/01/04 10:19 ID:/h3Q82tq
映画が見たくてレンタルビデオ店に来た しかし店員も客も居ない 防犯カメラもない でもウヒョヒョなお宝はイパーイ さてどうしよって感じ
211名無しさん@4周年:04/01/04 10:21 ID:E9g/b05K
思うにaccsはまだ警鐘の意味がわかっていないと思うぞ。
212名無しさん@4周年:04/01/04 10:21 ID:yeZtAmr1
所詮(ry
213名無しさん@4周年:04/01/04 10:21 ID:vWpwEdMe
 
214名無しさん@事情通:04/01/04 10:28 ID:/h3Q82tq
映画が見たくてレンタルビデオ店に来た

しかし店員も客も居ない
防犯カメラもない

でもウヒョヒョなお宝はイパーイ


さてどうしよって感じ
215名無しさん@4周年:04/01/04 10:37 ID:FjfyWnky
今こんな馬鹿どもとは関係ない別系統のセキュリティ屋社長とまったりIMぶっこいてるんだが(w
「クズが消えるのは業界にとって喜ばしいことです」と喜んでる。
普段きちんと必要な手順踏んで仕事している身にとっては、業界からクズが淘汰されるのは
大変喜ばしいことだそうな。
これで大声出すしか能のない連中も一緒に淘汰されるともっと(・∀・)イイ!!

>>211
警鐘の鳴らし方も国際的な一種のルールが存在してる業界の話だぞ(w
ルールに則らなければどんどん告訴するのも当然。
216名無しさん@4周年:04/01/04 10:40 ID:qUcXtOrC
>>211
その前に「警鐘」を嫁ないとオモワレ
217名無しさん@4周年:04/01/04 10:42 ID:zpNwWgN7
>>215
その国際ルールをきぼん。
できれば日本語のやつを。
そんなの有るんだ・・・
218名無しさん@4周年:04/01/04 10:49 ID:MPWIf8eu
不正アクセス禁止法のものすごく大雑把な禁止事項って
・他人のID/PASS使ってログインしちゃダメよん
・認証機能を迂回しちゃダメよん
・他人のID/PASSを教えたり売ったりしちゃダメよん
ってこと。
今回の例ではアクセス制御機能を迂回したかどうかが問題ね。
アクセス制御機能は不正アクセス禁止法第二条の3に定義されている通り、ここでは
ID/PASS に相当するもの。
秘密のURLはグレイゾーンだと思う。同様にファイル名を秘密にしてもグレー。
そもそもアクセスできる場所に配置していることで「秘密」ではないとも考えられる。

アクセス制御機構にあたるかどうかなんだけど、問題のCGIは
・ファイルを表示する機能を持っていた
・どのファイルを表示するか任意に選択できる機能を持っていた
・個人情報に相当する情報が記録されたファイルが WEB サーバ上にあった
ってことで、データファイルを読み出すよう指定すればOKだったってことだね。
つまり、アクセス制御機能は存在しなかったことになる。

「ふつうはそんなアクセスしないよね」っていう暗黙の了解しかしてなかったのよね。
アクセス制御っていってもそれは「正確なファイル名を知らなければ表示できない」
っていう程度のものでしかなかったわけで、認証機構とは違うもの。

つまり、不正アクセス禁止法では保護されない範囲。
219名無しさん@4周年:04/01/04 10:50 ID:4FHqY0HN
www.kudpc.kyoto-u.ac.jp/~eba/souran-j.html

もしかしてこいつですか?
220名無しさん@4周年:04/01/04 10:52 ID:MPWIf8eu
>>217

すごく大雑把だけど、確か

・まず問題の詳細を管理者に通知
・一定期間レスポンスを待つ
→レスがなければ行動
・レスがあれば対処まで待つ
→対処が無ければ行動
・対処済みを確認

みたいな流れ。
いきなり公開するのは少なくとも誰にも誉められない。
221名無しさん@4周年:04/01/04 10:53 ID:Q5EFi9vk
なんか、Officeって論文も書いてないくらいなんだろ。>>219の彼とは
違うと思う。
222名無しさん@4周年:04/01/04 10:55 ID:I8D+xue8
女子高生のパンツと同じだな
パンツを見せたがっているように、短いスカートはいていて
ちょっと腰をかがめてみると、重大犯罪
普通の姿勢で見える分には無罪
223名無しさん@4周年:04/01/04 10:57 ID:EFj0LiR5
>>220
続きの社会面に載ってる本人のインタビューコメントが興味深いぞ。読めれ。
224名無しさん@4周年:04/01/04 10:58 ID:FjfyWnky
>>221
セキュ板の罵倒スレには「京都女子大」ってはっきり書いてあるから結構臭いかも。
225名無しさん@4周年:04/01/04 10:59 ID:MPWIf8eu
>>223

朝日だっけ?おいらとってないのよね・・・
コンビニ売りのでも買ってくるよ。
226名無しさん@4周年:04/01/04 11:01 ID:zpNwWgN7
>>220
サンクス。
妥当な手順だと思う。

個人的にはアクセス可能な状態になっていてもしらばっくれる企業や管理人が多いので
問題を大きくするためにもアクセス可能な事実をいきなり公開だな。
管理サイドが痛い目に遇わんと残念ながらまともに対応や予防がなされない事が多いし。
227名無しさん@4周年:04/01/04 11:03 ID:MPWIf8eu
>>226

いきなり公開はマズいでしょ。
ユーザに被害が及ぶだろ?ユーザは騙されたようなもんだから被害を拡大しちゃダメ。
まず管理者にゴルァってから、それでもダメならユーザに対策つきで教えるために公開ならOKと思う。
管理者への連絡方法が無いとかそういうのは例外だと思うけど。

突然公開するのは法的に禁止されてなくてもマズいと思うよ。
228名無しさん@4周年:04/01/04 11:05 ID:trN135h4
そういえば、こんなネタでもOfficeは 「0Day Exploit」だと主張していたな
229名無しさん@4周年:04/01/04 11:11 ID:c9fFMHxz

この人のサイトここ数年全く見てないが、2CHができる前後時々見てたけど
セキュリティ問題とは別に
普段は普通で丁寧なのだけど問題があるなと思ってたよ。
何様だってスレが2CHにあるけど当時同じような感想だったな。
230名無しさん@4周年:04/01/04 11:11 ID:FjfyWnky
>>226
最近は本気でアクションに出る前に、公的機関へ通告するって手順もある。
そのために

JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
WWW: http://www.jpcert.or.jp/

がある。
231名無しさん@4周年:04/01/04 11:11 ID:zpNwWgN7
>>227
おっしゃる事は重々承知。
しかし正攻法ではなかなか事態が改善されないのもまた現実。
他者だけでなく自分の個人情報が晒される被害に遭う危険性も知った上で
それでもやはり違法でなければ即時公開を俺は選ぶ。
結果的に短期で改善され、この手の全体的な被害は少なく済むだろうから。
232名無しさん@4周年:04/01/04 11:14 ID:S6qWyk+8
>>176
そこに書き込んだら当然IPブッコ抜かれるわけで
233名無しさん@4周年:04/01/04 11:16 ID:9xQrXv/z
>>231 その暴露行為がなければ存在しなかった被害が出る以上損害賠償
請求されてもかまわないならそれでいいだろうね
234名無しさん@4周年:04/01/04 11:18 ID:DFfgsvtF
>>231
違法じゃなければ、というのが微妙な言い訳けだが、現実に
無関係な人間が不利益を被るのはまずいんじゃない?

鍵をかけなくて不用心な家があるので、家人への警鐘のため
に扉を開け放した、っていうようなものだよ。結果として
泥棒にはいられたらどうすんのよ。
235名無しさん@4周年:04/01/04 11:18 ID:MPWIf8eu
>>231

どうやら同業者(笑)の様子。
俺はいきなり公開は今のところ選んでいないな。
確かに相手によってはこっちを犯罪者と決め付けてきたり、全く誠意の無い対応を
してきたりする奴もいるのは確かだ。
虚しくなったり、なんでこんな奴に親切に教えてるんだろうと嫌になったりもする。

でも力技は反動も大きいんだよね。
雨雲より太陽でいこうよ。でも、時には厳しくいくのも必要だけどね。
例え相手が無知だろうと石頭だろうと、交渉事だってことは忘れないように。
世論を味方につけないと孤立するよ。
セキュリティ問題の調査は業務として請け負っていない限りグレーゾーンだから、
スケープゴートにされてしまうかもしれない。
プロに任せるところはセキュリティ意識あるからまだマシなのよ。
そうじゃないところには、アマチュアが出張るしかない。そしてそういう所にこそ問題が多い。

だからこそ慎重に行動しようや。
236名無しさん@4周年:04/01/04 11:20 ID:S6qWyk+8
ACCS運営ホームページのセキュリティ問題について(2003/11/11)

本日までに(社)コンピュータソフトウェア著作権協会(ACCS)は、ACCSがいく
つか運営しているホームページの一つである、「著作権・プライバシー相談室
〜ASK ACCS」(http://www.askaccs.ne.jp/)上の質問フォームから記入いた
だいた方の個人情報が、他のインターネットユーザーによって入手できる状態
に置かれていたことを確認致しました。
11月9日に、ある個人の方から、「ASK ACCSのホームページ上から個人情報を
入手できる」との指摘のメールをいただき、ACCSで確認したところ、この方が
メールに添付していた個人情報が、ACCSの保有している情報と同一であると判
明したことが発端です。この事実を確認した時点でACCSでは、問題のあった「
ASK ACCS」のCGI機能を停止するなど、技術面での緊急措置を実施したほか、
そのメールをいただいた方と連絡を取りながら、更に詳しい事実の調査を進め
ています。
これまでACCSは、情報の取り扱いについて注意を促す活動を行ってきており、
今回の事実につきましては、非常に遺憾であると同時に、事実を重く受け止め
ております。過去に「ASK ACCS」にご質問頂いた方々には、深くお詫びを申し
上げると共に、個人情報が拡散しないよう全力をあげて対応して参ります。
今後の「ASK ACCS」の運営につきましては、質問をいただく方々の個人情報の
記入の必要性も含めて再検討し、また、より強固なセキュリティを確立するた
めの対策を早急に実施致します。
なお、「ASK ACCS」以外の、ACCSのホームページ(http://www.accsjp.or.jp/
)は、他のサーバ管理会社を利用して運営しており、物理的にも別のサーバで
管理されております。また、セキュリティ面についても問題がないことを既に
確認しております。
本件についてのお問い合わせ
(社)コンピュータソフトウェア著作権協会
セキュリティ問題担当: TEL 03-5976-5175
FAX 03-5976-5177
http://www.accsjp.or.jp/release/031111.html
237名無しさん@4周年:04/01/04 11:20 ID:dpwrSMA/
 問題になっている某研究員氏が某掲示板?の開発元に噛み付いていたのを
見たことありますが、熱血全力投球で猛烈に煽る有様に唖然とさせられました。

メールで即刻停止するように通告。
 ↓
掲示板上で煽りと暴言。
 ↓
無断で公開して実演。

どう考えても厨なんですよ。やり方が。どういう風に説明すれば理解が得られるのかという
ことについて一切配慮がない。俺が正しいんだからお前ら言うこと聞けみたいな論調。

 セキュリティホールの存在が第三者のデータが流出したり損なわれたりすることよりも、
サイトの管理者が自分の言うことを聞かなかったということが許せないという風に見えました。
238名無しさん@4周年:04/01/04 11:20 ID:zpNwWgN7
>>230
サンクス。
この様な組織がありましたか、これから見てみます。

このような組織を通じて適切に指導や公表が行われるならそれはそれで。
個人情報を晒される被害者が増えるのは本意ではなく、該当サイト等の晒し上げが
行われる等で管理側が何らかの形で痛い目を見て、その結果全体として個人情報漏れが
減れば良いので。
239名無しさん@4周年:04/01/04 11:21 ID:MPWIf8eu
>>234

その例えはよく見かけるけど正確じゃない。
「誰でも見える店頭に名簿を放置していたことを指摘した」程度。
店舗内だからって誰にも見られないことを期待した店舗がマズい。

もちろん、だからといっていきなり名簿を手にとって通行人に
見せびらかすのも誉められたもんじゃないが。
240名無しさん@4周年:04/01/04 11:23 ID:PgDAzhUF
庶民の敵 ACCS!!!
241てゆうか、修正スクリプトが出てる時点で警告はされてると思うのだが:04/01/04 11:24 ID:lmF/Kt6H
>個人情報が流出可能な状態で3年間以上運用されていたことになる。

>脆弱性が修正されたスクリプトも配布していたというが、実際には適用されずに放置されていた。

ミ,,゚Д゚彡y━~~ 警告送ったら送ったで、こっそり修正して「そんな事実はなかった」と言いそうだしなぁ。
242名無しさん@4周年:04/01/04 11:25 ID:FjfyWnky
Q: サイト運営者の依頼を受けて安全性を検証すれば良かったのでは?
A: 一度バイトで引き受けたがが楽しくなかった。脆弱さを指摘した相手の対応の仕方に興味がある。
 (サイトに入るための)攻撃コマンドが決まったときはすかっとする。

上記朝日新聞からの引用(買ってきた)だが、とりあえず逝って良しだこの発言だけで。

243名無しさん@4周年:04/01/04 11:25 ID:MPWIf8eu
>>238

JPCERTは現状ではあんまり動いてくれないらしいよ。
セキュリティホールmemoのログを読むと小島氏の嘆きが読める。

JPCERT自身も問題を認識していて改善の動きがあるらしいので
期待できるとは思うけど、すぐ役立つわけじゃないので一応ね。
244名無しさん@4周年:04/01/04 11:25 ID:c9fFMHxz
>>237
以前の印象のまま変わらずだな。対応が大人ではない感じ。
245名無しさん@4周年:04/01/04 11:26 ID:eW+ooEhZ
ACCSはウザいので今回のニュースは爽快ですね。
246名無しさん@4周年:04/01/04 11:27 ID:9xQrXv/z
>>239

それは、過失相殺と言って民事訴訟では賠償額が減額される(0にはならない)
時に適用されるだけで、あるいは刑法犯については単に量刑について斟酌さ
れるに過ぎない事情なんだがね。

そもそもこういう

>>235
>どうやら同業者(笑)の様子。
>俺はいきなり公開は今のところ選んでいないな。
>確かに相手によってはこっちを犯罪者と決め付けてきたり、全く誠意の無い対応を
>してきたりする奴もいるのは確かだ。
>虚しくなったり、なんでこんな奴に親切に教えてるんだろうと嫌になったりもする。

自警団の熱い団員みたいな痛い発言は勘弁なw
247名無しさん@4周年:04/01/04 11:27 ID:Q5EFi9vk
Officeはウザいので今回のニュースは爽快ですね。
248名無しさん@4周年:04/01/04 11:28 ID:MPWIf8eu
>>241

>ミ,,゚Д゚彡y━~~ 警告送ったら送ったで、こっそり修正して「そんな事実はなかった」と言いそうだしなぁ。

それはそれでまだいいと思う。
俺は酷い仕打ちを受けたらやりとりを証拠にしたれと思うけど、幸い今のところそこまで
腹立たしい対応をされていない。

俺が悠長なだけかもしれないから、みんながみんなそうだとは思わないけど。
事後の情報公開はどんどんやってもいいと思うよ。
249「面倒だったから」だろと:04/01/04 11:31 ID:lmF/Kt6H
>>248
>なぜ改良スクリプトが適用されなかったのかは「調査中」だとしている

ミ,,゚Д゚彡y━~~ こんなこと言ってる所だしなぁ
250名無しさん@4周年:04/01/04 11:32 ID:FjfyWnky
>>235
だから商売な連中は、地味にやって関係者の信用積み上げてるわけで。
馬鹿が騒げば騒ぐほど、業界全体がいかがわしいモノとして見なされるのも事実。

実際、表に出てる連中って例外なく業界内での信用を持たない連中でそ。
盗聴器発見屋はいかがわしい代物だろうに(w
251名無しさん@4周年:04/01/04 11:34 ID:MPWIf8eu
>>246

やあ、熱かったか(;^-^)
自分が利用したいサービスが安全かどうかあらかじめ見る程度なんだけどね。
便利そうなのに危ないなら使いたくないし。でも良くなったんなら使いたい。
だから知ったことは管理者に教えるよ。使いたいサービスだから直して欲しいし。

ネット関連とかセキュリティとかはほんと難しいね。
252名無しさん@4周年:04/01/04 11:35 ID:zpNwWgN7
まずは皆さんの御忠告・アドバイスに感謝します。
>>233
そのような危惧が有るので、通報ルールが有るなら聞いておこうと思った次第で。

>>234
リスクは有るができるだけ短期的に継続してそれも大きく事を起こした方が
結果的に早く対処されるのではないかと考えているので。
現実問題、その手の情報を手に入れようとする人は今回と似たような方法で
調べるだろうから、他の人にとっても全体的に早く対処される方が結果的に
被害は小さいのではないかと思う。

>>235
危機管理という点で共通しているかと。
>世論を味方につけないと孤立するよ。
だからこそ、公開するなら匿名で。
この手法では個人名は出せない、確実に晒された人達から反感を買うので。
まあルールに従って対処して、対処後に晒し上げがベストかな?
253名無しさん@4周年:04/01/04 11:37 ID:MPWIf8eu
>>250

そうそう。
だからこそいきなり大声てのはマズいんよ。
でも業務外の奴がいないと意識の低い連中は動かないよ。

だからといってどんどんやれとは思ってないよ。
はやくサービス提供してる人がみんなそれなりになってくれればと思ってる。
そうすりゃアマチュアなんかそうそう出る幕無くなるでしょ。
254名無しさん@4周年:04/01/04 11:41 ID:zpNwWgN7
>>243
そこのサイトも読んでみますわ。
危機管理はわからん人にはわからん事だから難しい面が多いしね。
事が起こるまでは単なる無駄扱い、そして気付いた時には遅すぎる。
255名無しさん@4周年:04/01/04 11:41 ID:FjfyWnky
>>243
一番問題なのは、いかがわしい連中ほど声がでかいのが調査関連業界全般の傾向だってこと。
JPCERT以外にも公開されてない警告ルートは存在するんだが、そういうルートの対応は本当に
早い。
まぁそれでも先方の対応が酷い例はあるけどね。

ちなみにそういうルート開拓するには一に信用二に信用、だそうな。
そうやって積み上げた結果。
256名無しさん@4周年:04/01/04 11:44 ID:z0xYnO+I
CGIに脆弱性があるかのごとく解説する朝陽はタコ
257名無しさん@4周年:04/01/04 11:45 ID:Dvvyt0pR
「ココは事故が起こるぞ!」
って言ったけど、誰も聞いてくれなくて、
キレてスクランブル交差点に突っ込んでいって、
「ほらみろ、事故ったらこうなるんだよ!」

つって捕まった人の話で盛り上がってるのはこのスレですか?
258名無しさん@4周年:04/01/04 11:47 ID:MPWIf8eu
>>255

調査関連業界かあ。
特殊なルートでないと警告が届かないのはよくないね。
安全神話ってのが背後にあるせいか、ほんと危機管理難しいよな。
人脈や信用関係のあるルート通すと確かに対処早いケースが多い。

信用問題ってのは激しく同意。信頼を勝ち得る行動が必要。
259名無しさん@4周年:04/01/04 11:49 ID:zpNwWgN7
>>257
そういう事態は悲しいので、今後減らすためにどうしようかというスレ。
失敗した人を笑い飛ばせば失敗が減るならいくらでもそうするさ。
260森の妖精さん:04/01/04 11:50 ID:k4nxu8zN
>>研究員は、一般に広く使われているCGIプログラムの「欠陥」を、官庁などのサイトについて公表してきた。
>>今回もその欠陥を突いた形で、CGIの安全対策が問い直されそうだ。
CGIのプログラムに欠陥があるというよりは、
CGIでつくられた今回のプログラムに個別に瑕疵があったというだけの話なんだが。
相変わらずアサヒは話を大きくしようと勤めてますね。。。
261名無しさん@4周年:04/01/04 11:51 ID:z3Qmeto9
朝日新聞の文面ヘンね。
httpでアクセスすることが
「サーバに侵入」か。
262名無しさん@4周年:04/01/04 11:52 ID:FjfyWnky
>>260
別に日本語としては間違ってないと思うけど。
個別でなければperlかJavaかってことになりゃせんかね?
263名無しさん@4周年:04/01/04 11:54 ID:c9fFMHxz
>>257
言いえて妙だね。259もそうだけど。
でもそれだけでなくかつての本人の言動が引き金になってる気がする。
264名無しさん@4周年:04/01/04 11:55 ID:R0Iwsvjp
JPCERTは全然だめらしい.

> だから商売な連中は、地味にやって関係者の信用積み上げてるわけで。

自分とこのビジネス的にはそうなんだけどね.意識高いところの信用を勝ち取りたい.
だけど,意識低いところはどうともならんわけで,一消費者としてはどうしたもんかと思うことしばしば.

265名無しさん@4周年:04/01/04 11:55 ID:FjfyWnky
>>258
一般ルートとプライオリティの違うルートが存在するのは当然かと。
一般に公開しているルートは当然ゴミも多くなるからね。
ゴミを振り落とす処理に時間が掛かるのもある意味当然。

安全神話とかそういう以前に、ハカーって連中がクラッカーと世間から
同一視されとれる現状考えれば、信頼関係が無ければまともに
相手すらしてもらえないのは当然だに。
266名無しさん@4周年:04/01/04 11:56 ID:CwrHT+7x
大規模ネットワークテロの場合、NTT他通信会社、防衛・警察系通信セキュ
リティ会社の連絡網は通産省がネットセキュリティとか騒ぎ出す前からあったよ。
267名無しさん@4周年:04/01/04 11:56 ID:ilA+Pw0T
実名が割れるのを恐れて削除しているようだねえ

>   投稿者:   投稿日:2004/01/04(日)11時53分29秒  ■  ◆

> > 折角俺が指摘してやったのにメールでの返事一つ寄越さないとは何事だと
> > いちゃもんをつけてくる香具師は泡沫個人サイトに出さえ食ってかかってくるが
> > office様は名の知れた企業や官庁だけを狙う正義のハカー様だからな
> http://www.google.co.jp/search?q=cache:fHCFZfjwutAJ:www.office.ac/+&hl=ja&ie=UTF-8&inlang=ja
> 前まえから同じような問題を起してたみたいだな

つか、その件について朝日が2ヶ月過ぎた今になって掘り返してるんだよ
ヤシの職場とかのサイトから名前が見当たらなくなってるのは何かあったのかも
わからんね (´ー`)
268名無しさん@4周年:04/01/04 12:00 ID:FjfyWnky
>>266
結局旧通産系の連中って、みんなハッタリ屋だろ?
269名無しさん@4周年:04/01/04 12:01 ID:9xQrXv/z
プログラム上の欠陥はともかくとして

データファイルの名称を推論して実際に試す行為
=制限されている特定利用をし得る状態にさせる行為

が成り立つかどうかが不正アクセスかどうかの判断ということになりそうね
ま、ブルートフォースでパスワード盗る方法に比べてすら恐ろしく原始的
ではあるが原始的だからって見逃してくれる保証はないわけでw
270名無しさん@4周年:04/01/04 12:01 ID:YTwVkn23
>>260
>CGIでつくられた今回のプログラムに
何かおかしくないか?
CGI= Common Gateway Interface だよ?
271名無しさん@4周年:04/01/04 12:03 ID:MPWIf8eu
>>265

ま、そりゃそうだわな。信頼性の高いチャンネルに参加できるよう努力し続けないと。
信頼関係。大事だよ。

個人でやるのはとても難しいけどね。
だからこそ、会社としてやってるとこに頑張って欲しい。
実態はまだまだ不安なサービスが多いと思うんだ。正規のまともな方法で
どんどん啓蒙してやってくれ。
それがセキュリティ業界を潤すことにもなるし、安全性を上げることにもなるし、
なにより大多数の一般ユーザが安心していろんなサービスの恩恵にあずかれる
ようになることに繋がるんだから。
272名無しさん@4周年:04/01/04 12:05 ID:MPWIf8eu
>>269

でも下手にソレ認めちゃうとディレクトリも掘れないわけで。

一種のガイドラインとしてきっちり判例出してくれたほうがスッキリするだろうな。
273名無しさん@4周年:04/01/04 12:06 ID:q9d+XuIb
officeうざいので逮捕しろ。
274名無しさん@4周年:04/01/04 12:10 ID:CwrHT+7x
>>268
旧通算の場合セキュリティ会社はこれから育てる産業だろうし、
警察・防衛にとっては最初から信頼が必要だからそうなったのだろうね。
275名無しさん@4周年:04/01/04 12:12 ID:qWcgiyY3
>>273
不正アクセス元の京大も家宅捜査しれ!
276名無しさん@4周年:04/01/04 12:15 ID:mg2wUoM4
>>275
京大なの?
277名無しさん@4周年:04/01/04 12:16 ID:9xQrXv/z
>>272
officeの謝罪文から、あるいは以前から他のCGIにAD200Xのメンツと一緒に
仕掛けてきた手法から、officeに個人情報を抜くという目的についての故意
があったことは明白なので、単にApacheが用意するディレクトリ
リスティングのハイパーリンクをたどった/ディレクトリのURIを直打ち
した、などというのからは飛躍しており同視はできない、筈
278名無しさん@4周年:04/01/04 12:17 ID:RGD5AnJf
京都女子大?
京大御用達女子大だが、国立じゃねえだろw
279名無しさん@4周年:04/01/04 12:18 ID:+sGWnGni
消費者の味方?

長野県の住基ネットの侵入実験見て、「俺も」とか思った勘違い似非ハッカーだろうが。

やっていることは犯罪以外の何者でもない。
首吊って死ねよ。

正義振りかざして、やっていることは盗みか?ワラワセテクレル
280名無しさん@4周年:04/01/04 12:19 ID:CwrHT+7x
元々旧痛産がマッチポンプになり易い業種育てようと軽はずみなこと考えたのが
間違いだと思う、軽札監督官庁になって探偵業界で困ってるわけだから。
こと、犯罪相手となると道路公団のように天下りは難しいようで。
281名無しさん@4周年:04/01/04 12:23 ID:ctWKuX+F
こんなの明らかに不正アクセスじゃん!
勝手に住基ネットに侵入した長野県と併せてタイホしなさい!
282名無しさん@4周年:04/01/04 12:24 ID:JSgcH4F1
ファーストサーバの対応http://pc2.2ch.net/test/read.cgi/hosting/997111619/152-154しかし「フォームデータでファイル名を指定する」ような CGI プログラムに、問題がある (可能性が高い) ことくらいもっと早く気付くべきたと思う。
283名無しさん@4周年:04/01/04 12:28 ID:q9d+XuIb
こんなセキュリティテロリストを認めたら高木さんのように
真面目にやっている人まで同じに見られてしまう。

officeは氏ね。
284名無しさん@4周年:04/01/04 12:32 ID:ilA+Pw0T
>>283
Officeは高木の取り巻きでしょw
高木をおだてつつネタを分けて貰って実行部隊として率先して実践
これで逮捕されたらかなり笑えるので是非とも摘発して欲しい
285名無しさん@4周年:04/01/04 12:34 ID:vidIhyc6
>>283
高木氏のコメントは微妙だな。迷惑がっているようにも見えるが、擁護しているようにも見える。
286名無しさん@4周年:04/01/04 12:34 ID:eW+ooEhZ
ACCS工作員が暴れてるな
287名無しさん@4周年:04/01/04 12:37 ID:BFHqgQSI
>>286

ファーストサーバー工作員の間違いでは?
ACCSは既にこの件に関しては記者会見を開いているから慌てる必要は無いだろ
288名無しさん@4周年:04/01/04 12:38 ID:AeKIdQRK
LΛC工作員Uzeeee
289名無しさん@4周年:04/01/04 12:39 ID:CwrHT+7x
>>255
そう思って安心してもらっては困る。
警察無線納入業者が、過激派の色気女スパイに暗号化アルゴリズムを盗ま
れてしまった事実もあるし、暗号鍵長がアメリカの国歌標準暗号より長かった
のに解読されて、警察庁警備局・警視庁公安部が困ったこともあるから。
グリコ・森永事件より後だから最近の話だろ。
290名無しさん@4周年:04/01/04 12:40 ID:aX6CTOJ3
>持参したパソコンにこの情報を保存した参加者もいたという。

こいつら、ただの好奇心だろ。何をする訳でもないんだろうが、
面白いっつーだけで他人のデータを気軽に扱うなんて、クズだな。
ハッカーなんて、テクはあっても頭の螺子がどっか緩んでて
モラルに欠けるんだよなァ・・・ 一発ぶん殴ってリアルな痛み
で目を覚まさせてやりたいね。
291名無しさん@4周年:04/01/04 12:42 ID:BFHqgQSI
>>290

>ハッカーなんて、テクはあっても頭の螺子がどっか緩んでて
>モラルに欠けるんだよなァ・・・ 一発ぶん殴ってリアルな痛み
>で目を覚まさせてやりたいね。

暴力に訴えるヤツがモラルを語るなよ(w
292名無しさん@4周年:04/01/04 12:42 ID:qUcXtOrC
>>246
>それは、過失相殺と言って民事訴訟では賠償額が減額される(0にはならない)
>時に適用されるだけで、あるいは刑法犯については単に量刑について斟酌さ
>れるに過ぎない事情なんだがね。

(´,_ゝ`)プッ
構成要件段階から問題になるわさ。
ちなみに、ちなみに実体法である民法で(ry
293名無しさん@4周年:04/01/04 12:46 ID:eW+ooEhZ
ドキュモといいア糞といい大所帯が問題起こしても
すんなり謝罪するってことはまずないな。
必ず北朝鮮みたいに開き直りやがる。実に分かりやすい。
294名無しさん@4周年:04/01/04 12:47 ID:rJ0AJkiA
うんで、集会を主催したADにはお咎めはなしなの?おふぃすの管理責任は問われないの?
295名無しさん@4周年:04/01/04 12:47 ID:CwrHT+7x
判例からいうと北海道銀行事件だろ。
電電公社職員が公社の金融機関システムが甘いと、交換機のTWSでCDのデータ
盗聴しかけて、キャッシュカードを偽造して、他人の預金を引き下ろした事件。
電算機利用詐欺も電磁記録不正作出もなかった時代に窃盗になっている。
296名無しさん@4周年:04/01/04 12:49 ID:AeKIdQRK
>>289
もしそれが本当としたら、アルゴリズムが盗まれたくらいで解読されるような脆弱な暗号を使う方が悪い
アルゴリズムが公開されてても解読できない暗号はたくさんある
aes,3des,rc4,cameria,mistyなんかがそうだね
297名無しさん@4周年:04/01/04 12:50 ID:aX6CTOJ3
>>291
文盲かなんか知らんが、つまらん誤読のツッコミさんきゅ。
こういう風にテクストとかデータばっか扱ってると、相手の
言いたいことも分からなくなって人格歪んでくるんだよね。
もっと現実を知れっつーこった。
298名無しさん@4周年:04/01/04 12:50 ID:hGvMeEFd

ACCS面子丸つぶれ

299名無しさん@4周年:04/01/04 12:51 ID:CwrHT+7x
>>296
敵方のCPUパワーにもよるから一概にはいえない。
300名無しさん@4周年:04/01/04 12:54 ID:PADOSU1z
ハカーコワイコワイヒー ガクガクブルブル
301名無しさん@4周年:04/01/04 12:55 ID:AeKIdQRK
>>299
すくなくとも、過激派ごときでは64ビット暗号の解読も無理だと思うけどね
何万台もPC集めるのか?

NSAが暗号解読専用ハードウェアを作って128ビット暗号でも余裕で解読できる可能性は否定しないけどね
302名無しさん@4周年:04/01/04 12:56 ID:iE2Ixxm+
東大大好きヽ(´▽`)ノ
303名無しさん@4周年:04/01/04 12:58 ID:M5pMECnM
警鐘を鳴らしていると言うのは言い訳
本当は「俺はこんなこともできるぞ」と他人に見せつけて優越感を得るため
304名無しさん@4周年:04/01/04 12:58 ID:ilA+Pw0T
>>302
Domain Details
==============
OFFICE.AC (DOM-5354)
Naohira TAKEDA 7-3-1 Hongo Bunkyo-ku Tokyo Tokyo Tokyo 113-8656 Japan
305名無しさん@4周年:04/01/04 12:59 ID:XvZ/dzqi
なんにせよ、クラッキング歴を得意げにご披露するとは、40歳の大人のすること
とも思えませんな。
逮捕されてキツーいお灸を据えられた方がいいねw
306名無しさん@4周年:04/01/04 13:00 ID:4rZmkPtN
見せしめとして、執行猶予1年、禁固6ヶ月ってとこですか。
データ流出の罪としては無罪。
307名無しさん@4周年:04/01/04 13:01 ID:CwrHT+7x
>>296
バイナリ(2進)にした時にSボックスの差分か差分の平均値に弱くて、パトカー
盗まれて音声的な既知平分喰らったのだろう。
その時に線形解読法知ってるヤシいたら自衛隊納入業者も危ないんでないかい?
308名無しさん@4周年:04/01/04 13:01 ID:aj9PU18o
>>303

物事をどう捉えるかというのは、
鏡に向かい合うようなものだ
309名無しさん@4周年:04/01/04 13:08 ID:aa7tqRiv
>>296 >>299
AES,CAMERIA,MISTYは、未解読のはず。
3DESはどこかで破られたかも知れない
RC4も鍵長が短いものだけ解読済み。
(スパコン1年分くらい使って)
米国政府と同盟国以外には破られていないと思う。

警察無線が破られたのは、無線機自体を盗まれてROMを読まれたからだと思う。
これなら何億ビットあっても、どんな暗号方式でもムダ。
(RSAを各通話毎に使えば、全部を盗聴しなければいけない。簡単なタイプだと、WEPのように2日くらい張り付いて聞いていれば解読可能だが)
310名無しさん@4周年:04/01/04 13:12 ID:1l/7YdRK
相談するだけで個人情報を書きこまなければならないACCSのシステムがおかしいのでは?
311名無しさん@4周年:04/01/04 13:17 ID:CwrHT+7x
>>309
日本の警察の暗号鍵長は110bitなんだったけどそれが破られたのですよ。
DESにしたって破られたのはEBCモードだけだったのでは?

ただ警察無線で破りやすかったとすれば、「突撃」と言えば同時にその無線
を聞いた人全員に伝わらなくてはならないので(鍵のパリティ、電文のパリティ)
で秘匿性より電文の正確性を重んじた為にそのような結果になるのではない
かと思っている。
312名無しさん@4周年:04/01/04 13:19 ID:aa7tqRiv
>>307
暗号について会話できる人がいてウレピー

自衛隊も既知平文攻撃で破られるほどヤワでは無いだろう。
(既知平文攻撃・・暗号文と平文hirabunの両方を入手して、中味を解析する)
線形解読法は米政府は1970年以前に、一般には松井充氏が1993年に完成。
可変S-BOXで防げる。(簡単なタイプは警察無線にも入っていたそうです・・ラジオライフに過激派が発表)
313名無しさん@4周年:04/01/04 13:21 ID:rhkH20vP
なんで相談するだけで個人情報を書きこまなければならないんや?

え、ア糞!
314名無しさん@4周年:04/01/04 13:29 ID:9lleCuq/
>>313
というかそれ以前に、著作権管理団体なのに、どうしてプライバシー相談を受け付けていたのかわからん。
どういう理屈なの? 誰か教えて。
315名無しさん@4周年:04/01/04 13:33 ID:aa7tqRiv
>>311 ここは暗号スレでないと思うが(ウザイと言われたら止めます)・・
(雑誌に載っていた過激派の発表から推測)

実際は300ビット位と記憶する。それは基本変換を行い、それに別のビットを加え、単純なS-BOXで変換して完成だったと思う。
ROMを逆アッセンブルしてアルゴリズムを解析し、基本鍵はROMから読み出す。系により定期的に交換される鍵は鍵長が短いので、鍵ビットをローテートして、音声認識をかければ、割れるだろう。
家宅侵入、ピッキング、協力者、脅迫、買収などによって、定期的に交換される鍵を読み出していたかも知れない。

解読記事が絶対インチキと警察が信じていたのは、理由が無いわけではない。
316名無しさん@4周年:04/01/04 13:37 ID:CwrHT+7x
SATや部隊活動系が使う暗号通信は、非同期通信で復号(復元性)が高い
暗号の方が良いように思います。
それこそ、公安やSPが使う「おい、首相がこれから靖国神社に行くそうだ。し
っかり警備しろや。(゚Д゚)ゴルァ!!」なんて通信は、正確性が高い方がよいように
思います。

ただ、この話はグリコ森永事件の頃のCPU速度の話だから。技術の進歩に
よっては知りません。でも最新鋭のデジタル携帯電話の遅延考えるとやはり
そうかと思います。
317名無しさん@4周年:04/01/04 13:44 ID:CwrHT+7x
>>315
それ、ネットで解読器売っていて、最初に警視庁公安部だけで300bitくらいに
暗号鍵変えただけで、実際は公安以外のネタをあるときまでマスコミも110bit
鍵で聞いていた時代があるのですよ。

318名無しさん@4周年:04/01/04 13:49 ID:yKtWpUnH
「CGIの安全対策」って、あんた・・なんか違うんじゃないか?>asahi.com

もっとASAHIパソコン読んで勉強すれ。
319名無しさん@4周年:04/01/04 13:51 ID:vOww3i71
やはり、「祭り」にすべきだろうな。
320名無しさん@4周年:04/01/04 13:53 ID:BFHqgQSI
>>319
>やはり、「祭り」にすべきだろうな。

こっちも盛り上げないといかんな
http://pc2.2ch.net/test/read.cgi/hosting/997111619/
321名無しさん@4周年:04/01/04 14:00 ID:7rdpGZk/
こういうので一番ありがちな犯罪動機だな。
一度職を失って自分が侵した罪を反省させるのが効果的。
ACCS得意のおとり捜査(蜜壷?)だが実データを用いるのやりすぎの面もあり。
322名無しさん@4周年:04/01/04 14:03 ID:vQYIyAcj
>>314
もちろん、プライバシー情報を無断共有するためです。
323名無しさん@4周年:04/01/04 14:06 ID:gIm2va9L
馬鹿だなこいつは
324名無しさん@4周年:04/01/04 14:08 ID:bmYtc02O
>>313
書き込みの信頼性を上げるため。荒らし対策には有効だと思うが。
325名無しさん@4周年:04/01/04 14:09 ID:v5xPnOhx
ACCSの会員企業システムソフトアルファー社は著作権侵害をしております。

左:三國志VII   2000/7/28
右:三国志英雄伝  2003/11/28
http://www.geocities.co.jp/MotorCity-Pit/4344/1072897838.jpg
326名無しさん@4周年:04/01/04 14:11 ID:uOous3qm
つまるところ、自分が見つけた脆弱性を「見て見て〜」ってやるのに必死で、
情報晒された相手のことを考える余裕がなかった、と。
327名無しさん@4周年:04/01/04 14:12 ID:ZtglLKWH
ところで個人情報が公開されると何がいけないの?
328名無しさん@4周年:04/01/04 14:13 ID:CwrHT+7x
>>315
当時の警察無線の平分の1ブロック長は64bitですが、平分より長い暗号鍵な
らいくらでも絶対に解読不能な暗号は作れます。バーナル暗号以来の大発明
ですね(w
貴殿はその警察のコメントらしき話聞いて妄想電波だと思わなかったのでしょう
か?
329名無しさん@4周年:04/01/04 14:14 ID:rhkH20vP
>>324
荒しさんが本当の住所や電番をカキコするものなんでつか?
330名無しさん@4周年:04/01/04 14:18 ID:zB6TXHw1
対策ちゃんとしてないACCSも馬鹿だが、それを指摘するために第三者の個人情報を
利用して迷惑掛けたこいつはもっと馬鹿だな。
結局、こいつが一番、何のためにセキュリティーを強化しなきゃいけないか分かってないんじゃないのか?
331名無しさん@4周年:04/01/04 14:21 ID:aa7tqRiv
>>328 よく分かりません
・平文より長い暗号鍵でも、重複使用すると簡単に破れます
・警察(暗号専門家を除く)は上記の理由で、絶対解読不能と思ったのでしょう。
(私は+7xさんの思うとおり、音声暗号の接続性と冗長性から考えて破れるとは思いましたが、中味を知って普通の解析では無理だと思いました。本当に普通に解読したら、○○電機か多分防衛庁が三顧の礼で迎えてくれるでしょう。)
・バーナム暗号を勘違いなさっているのでは?
332名無しさん@4周年:04/01/04 14:22 ID:QhJQTcTE
「相手の対応の仕方に興味があった」

やれやれだ。
333名無しさん@4周年:04/01/04 14:23 ID:/K5PYh3T
>同日夜、都内で開かれたインターネットの安全対策担当者やハッカーを集めた集会で、参加者約300人に体験を披露。
>「証拠」として、持ち出した個人情報の一部を公表した。持参したパソコンにこの情報を保存した参加者もいたという。

結局、ここが問題なんだろ。
あとはショボいプロテクトしかかけてなかったところが悪い。
334名無しさん@4周年:04/01/04 14:24 ID:BFHqgQSI
>対策ちゃんとしてないACCSも馬鹿だが、それを指摘するために第三者の個人情報を
>利用して迷惑掛けたこいつはもっと馬鹿だな。

そんなCGIを提供していた上場企業のクボタの子会社のファーストサーバーは最低ということでよろしいか?
335名無しさん@4周年:04/01/04 14:30 ID:JfB2NLdx
officeさんて、そういう人だったんだ……
336名無しさん@4周年:04/01/04 14:32 ID:zB6TXHw1
ACCSは居丈高な態度の割には足元見てなさすぎ、国立大研究院は警鐘の鳴らし方が下手すぎ、
ACCSに相談した人はこんなところ信用した人が悪いという事で。
337名無しさん@4周年:04/01/04 14:34 ID:bkGBLLML
研究員よくやった!
338名無しさん@4周年:04/01/04 14:36 ID:JfB2NLdx
しかし>>1の引用記事で、「ハッカー」の使い方が微妙だな。
マスコミ用語の犯罪者としてのハッカーと、本来の意味のハッカーが入り交じっていて、
目が点になった読者も多いのではないだろうか。
339やっしー:04/01/04 14:40 ID:vlIL4ACd
住基ネット潜入まだー?
340名無しさん@4周年:04/01/04 14:41 ID:FjfyWnky
なんか出かけて帰ってきたら旧通産系の鳥さんが必死かも(w
341名無しさん@4周年:04/01/04 14:42 ID:CwrHT+7x
>>331
 
色気で釣られてアルゴリズム破られたのが横浜で鎌倉じゃなくって(w

数学的にはバーナル暗号は私の言ってることで同じだと思いますよ。
実際には使えない暗号となりますから

バーナル暗号 平文長=暗号長(2進10進他進の変換の時の細かな桁数の違いはいは言わない)

それはそれでいいです。

「平文長<鍵長」

「平文長(ブロック)<鍵長(全ブロックで300bit)

暗号アルゴリズムにもよりますが、
暗号鍵の他の約束事を先に渡したりしなければなりませんか?
結局暗号アルゴリズムが知られた場合全部隊の暗号アルゴリズムを
変えなくてはならないことになりませんか?




攪乱鍵を何に使うかにもよりますが、音声通信ではないと思います。
342井尻 ◆2bWXZoSE7M :04/01/04 14:42 ID:dp+aYUk5
SGIのほうが怖い
343名無しさん@4周年:04/01/04 14:42 ID:dAmoGYk7
僕の肛門もセキュリティホールです。
344名無しさん@4周年:04/01/04 14:44 ID:+a6/fcVM
>>329
逆。本当の住所、名前以外は扱わなければいいだけのこと。
345名無しさん@4周年:04/01/04 14:50 ID:FjfyWnky
>>278
セキュ板とかの罵倒レス見てると、バイトで非常勤ってとこじゃないかな>京都女子大。
小間使いとか言われてるし。
346名無しさん@4周年:04/01/04 14:53 ID:eW+ooEhZ
>>334
そんなサーバーを利用していたACCSは最低ということでよろしいか?

罪をクボタになすりつけて逃げようとするとはさすがア糞。
ちゃんとリサーチしていい鯖を選ぶ義務がACCSにはあったはず。
ACCSは相談者に対しての責任を果たしていないばかりか。
全部クボタのせいにしようとしてるねw
347名無しさん@4周年:04/01/04 14:56 ID:CwrHT+7x
>>341
ごめん訂正

誤>バーナル暗号 平文長=暗号長(2進10進他進の変換の時の細かな桁数の違いはいは言わない)

正>バーナル暗号 平文長=暗号鍵長(2進10進他進の変換の時の細かな桁数の違いはいは言わない)
348名無しさん@4周年:04/01/04 14:59 ID:+a6/fcVM
>>346
ファースト鯖関係者必死だな。
349名無しさん@4周年:04/01/04 15:02 ID:amRd0ubG
40歳ってことは助教授か教授?
350名無しさん@4周年:04/01/04 15:06 ID:liwCNhew
>>344
本当の住所と偽の住所の見分け方は?
351名無しさん@4周年:04/01/04 15:10 ID:zB6TXHw1
>>348
責任押し付けられて切り捨てられそうな側からすれば、そりゃ必死にもなるだろうて。
352名無しさん@4周年:04/01/04 15:12 ID:oRK9uhfR
例えば、
www.hoge.jp/cgi-bin/hoge.cgi?xxx
のような使い方をするcgiを
www.hoge.jp/cgi-bin/hoge.cgi?../
にしたら上のディレクトリ構造丸見えになるとか
この場合index.htmlやパーミッション制限してても見えるよね。
cgiが返すデータがディレクトリ構造そのものだから。
よーしパパ、ディレクトリ全部ぶっこ抜いちゃうぞ!とかいって、
hoge.cgi?../../../とかされた日にゃ。。。。。
353名無しさん@4周年:04/01/04 15:16 ID:FjfyWnky
>>352
立花書房の逐条解説どこ逝った〜〜〜
事例がかなり細かく列記されてたんだが〜〜〜
354名無しさん@4周年:04/01/04 15:20 ID:W4QzzzRA
>>349
助教授か教授だったらそう書くだろ、こういう場合は。
形式上、時間雇用か日雇いになっている非常勤研究者かと

そういう漏れも某国立大の研究員(´・ω・`)
もっと若いけどな
355名無しさん@4周年:04/01/04 15:29 ID:XJ/Lydzl
警鐘を鳴らすだ?
何様のつもりだよ、たかが研究員ごときのくせに。
ちゃんと社会人やって、現場で経験をつめ
356名無しさん@4周年:04/01/04 15:41 ID:FjfyWnky
>>352
本見つからないけど資料あった(法総研研究部資料48とかでてきてもな・・・)。

アクセス制御機能による特定利用の制限を免れることができる情報又は指令を入力する行為として
その種の行為は括られてます。
http://www.npa.go.jp/hightech/fusei_ac1/gaiyou.htm

357名無しさん@4周年:04/01/04 15:42 ID:czVKGk+H
>>355
たぶんACCSはそういうセリフをグチりながら
「俺たちは悪くないんだ〜」と泣いているのですね。

自分のケツを拭いてくれてる業者さえ管理できない者が
他人の著作権を管理している現実に、自分達の無能さに
目を背ける為に。


なんて恥ずかしいことなんでしょう。
358名無しさん@4周年:04/01/04 15:45 ID:liwCNhew
社会塵 = 飼い慣らされたヘタレ
359名無しさん@4周年:04/01/04 15:46 ID:FjfyWnky
>>357
単なる愉快犯をどうしてそう弁護するの?
360名無しさん@4周年:04/01/04 15:51 ID:WzX/G7fv
首になったとしても、どっかのセキュリティ会社が雇ってやれよ
イイ奴に違いない
361CM:04/01/04 15:52 ID:EAFdUuKH
不正アクセスではないな.これはサーバーの上のWEB制御プログラムの動作が
不良設定されていたというだけのことだからさ.
もしも人間社会の例に例えて云えば,間抜けな電話番がいたというような
ことに例えられるだろう.

例えばA社が銀行だとして,A社にこのような電話をかけたとする.
『もしもし,A社ですか』
『はいそうです』
『貴支店の預金者の口座番号のリストをFAXしてください』
『はいかしこまりました,直ちに送ります』
FAXが送られて来る.それをみながら
『もしもし,A社ですか』
『はいそうです』
『口座番号1234567番の預金者の氏名を教えて下さい』
『ヤマモト ハジメです』
『口座番号1234567番の預金者の住所を教えて下さい』
『東京都太田区XX町のYY番地ZZ合です』
『口座番号1234567番の電話番号を教えて下さい』
『03ー123ー4567番です』
『口座番号1234567番の暗証番号を教えて下さい』
『1234番です』
....

さて,電話をかけた方が悪いのか,それともお客の質問に熱心に答えようと
する店員と,どちらが悪いのでしょうか?
362名無しさん@4周年:04/01/04 15:53 ID:59K6xElz
てかさ、店のレジにある現金を隙を見て盗んで、(本屋で本を盗むのでもいいけど)
「店の安全性の脆弱(ぜいじゃく)さに警鐘を鳴らそうとした」
と言えば済むのか?

そういう脆弱性があってもやってはいけないってのがあるから社会が保ってるんであって
すべて安全性が完璧で無いとなにもしてはいけないなんてのはおかしいだろ。

で、罰則強化しようとすると個人情報保護法反対!とか言うんだろ。
363名無しさん@4周年:04/01/04 15:53 ID:czVKGk+H
>>359
たぶんACCSはそういうセリフをグチりながら
「俺たちは悪くないんだ〜」と泣いているのですね。

自分のケツを拭いてくれてる業者さえ管理できない者が
他人の著作権を管理している現実に、自分達の無能さに
目を背ける為に。


なんて恥ずかしいことなんでしょう。
364名無しさん@4周年:04/01/04 15:53 ID:ilA+Pw0T
>>361
ずれた例え話はいいからさ。
セキュリティの警鐘をしたいのならOfficeが逮捕されるのが話題性としても一番効果的。
365名無しさん@4周年:04/01/04 15:54 ID:FjfyWnky
>>363
なんだ、ただの厨か(w
366名無しさん@4周年:04/01/04 15:55 ID:amRd0ubG
セキュリティ関係で騒がしい人って何で変な偽名を使うの?
Officeとか他力本願堂とかUNYUNとかさ。
堂々と本名名乗れないものなの?
367名無しさん@4周年:04/01/04 15:59 ID:DKnMr8Mw
>>364
まぁ漏れてる所はだまって漏れたままにしておいてくれたほうが
役に立つしねぇ。
368名無しさん@4周年:04/01/04 16:00 ID:4L4It1Vq
>>296

仕様が盗まれたくらいで、ピッキングできるような脆弱な鍵を使う方が悪い。
仕様が公開されてもピッキングされていない鍵はたくさんある

とピッキング犯がいおうものなら、ぼこぼこにしたいものですね
369名無しさん@4周年:04/01/04 16:02 ID:ilA+Pw0T
>>366
扇千景のように国政を預かる大臣だって本名を名乗らないケースもあるし
実名主義を持ち出してくるのは筋違いだとは思うが
せめて経歴ぐらいは体裁を整えておかないと信頼して貰えないのは当然だろうな。
370名無しさん@4周年:04/01/04 16:06 ID:czVKGk+H
>>365
たぶんACCSはそういうセリフをグチりながら
「俺たちは悪くないんだ〜」と泣いているのですね。

自分のケツを拭いてくれてる業者さえ管理できない者が
他人の著作権を管理している現実に、自分達の無能さに
目を背ける為に。


なんて恥ずかしいことなんでしょう。


371名無しさん@4周年:04/01/04 16:07 ID:FjfyWnky
>>366
本名で仕事してるガチンコさんも居ますよ。
ただ、普通の人に名が知れるような席にそうと判るようには出てこないけど。
372名無しさん@4周年:04/01/04 16:09 ID:oRK9uhfR
>>356
そうなんだよね。明らかな違法行為。
余談になるんだけど、俺もやったことあるんだよ。某レンタルカート屋で(w。
あるcgiに欠損があって、ぶっこ抜きから、書き換えまで出来る欠損だった。
メールで教えてやったらすぐに直したけどね。
ユーザーディレクトリぶっこ抜いたら、10万を超える個人情報があったよ。
で、結局ユーザーにも謝罪してないみたいだし、メールの返信もなかった。
んで、数ヶ月後に別のcgiの欠損も発見したよ。これもぶっこ抜き可能。
まぁ、仕事が仕事だけに公にはしたくないんだろうけど。
やっぱこういう香具師は、2c ゲッフ、ゲッフン、オェー。
373名無しさん@4周年:04/01/04 16:09 ID:4L4It1Vq
アメリカの軍のセキュリティを破って、暗号を解読してその内容をペンタゴンに
送りつけた人がいたとしよう。その人はどういう結末を迎えるだろうか?

1.暗殺される
2.FBIに逮捕される
3.ペンタゴンの研究所に雇われる。
4.宇宙最強の超男(スーパーマン)になる
374_:04/01/04 16:11 ID:6Eh/VmB5
ACCSのおかげでwinnyがかえって広まっちゃって今大変な状況だぞ。
逮捕騒ぎの前よりも検索hit数増えてるし。
375名無しさん@4周年:04/01/04 16:11 ID:3y6QzO9W
>>371
jbeefじゃあるまいな。
376名無しさん@4周年:04/01/04 16:14 ID:amRd0ubG
高木さんは普通に本名で仕事して論文も書いているじゃないですか。
履歴も所属も明確にしてるしね。(jbeefというのもバレバレだし。:-))
なんでわざわざ怪しいフリする人がいるのかなと思って。
377名無しさん@4周年:04/01/04 16:14 ID:FjfyWnky
>>373
米国人なら米国法に従って拘束されるかと。
スパイ扱いになるので通常とは手続がちがうんだよなぁ。

日本人だったらかなり面倒なことになるかと。
引渡し要求出すのかなぁ?
378名無しさん@4周年:04/01/04 16:18 ID:FjfyWnky
>>375
あ、>>366に「騒がしい」って属性があったな。
なら漏れの知り合いとかあてはまらんわ(w
379名無しさん@4周年:04/01/04 16:21 ID:KZCoIB9t
officeはこのスレみてるんだろうか?
ACCSの認識が甘かったのは確かだが、そこから得た個人情報を公開して
よいかどうかは別問題。
己れがどれほど蔑まれているか、このスレ見て学習するがいいさ。
380名無しさん@4周年:04/01/04 16:36 ID:ISVjx2rz
>>158
こりゃ、そんな状態のまま使っている方が悪いな。
ピッキングに例えていた奴がいたけど、これだと
サイトの方が個人情報掲示板に張り出している様
なもんじゃん。

>>373
1か3の何方か。

>>379
指摘うけてんのに改善していない方が異常。
いや、その間情報ダダ漏れ。
ネットワーク管理ではあってはならない事。
381名無しさん@4周年:04/01/04 16:37 ID:rhkH20vP
つーか阿糞が個人情報収集保存する必要ってあったのか?
382名無しさん@4周年:04/01/04 16:42 ID:GNK5jy9x
研究員は個人情報をわざわざ晒すのは浅はか。
ACCSは公道にものを置いていくような真似をしてしまった。
どちらも不正アクセス禁止法に触れることはないんだろうけど。
社会的信用をなくしそう。

で、某新聞社なぜ今ごろこれを記事にするのか?
なにが新聞社にそうさせたのか?
それもよくわかんない。
383名無しさん@4周年:04/01/04 16:42 ID:UMQA3Q8A
ACCSもofficeもどっちもどっちだろ。
ACCSは道義的責任として世間から裁かれるべきだし、
officeのは犯罪として司法の手で裁かれるべきだ。
384名無しさん@4周年:04/01/04 16:51 ID:1l/7YdRK
>>381
俺は当初から「個人情報を書かせる必要はない」と2chで警鐘を鳴らしていたのだが・・・
385名無しさん@4周年:04/01/04 16:58 ID:rhkH20vP
>>384
そのカキコのログある?
386名無しさん@4周年:04/01/04 17:00 ID:dpwrSMA/
>>361
悪意と不注意を比べてどうしようというのですか?
いや、ホント不思議なんです。
それって何か意味あるのかなあ
387名無しさん@4周年:04/01/04 17:10 ID:amRd0ubG
仮にも国立大学に勤めているような人がこんな偽名で活動しているのはどうなんでしょう?
388386:04/01/04 17:21 ID:dpwrSMA/
>>361
そもそも、このような事例は「どちらの運転が悪い」といった
交通事故みたいな相殺はなじまないのではないですか。

あなたが例としてあげた事例でも
経営者が口の軽い電話番をそのまま放置していた事と
第三者がそれに付け込み情報収集を行った事は
それぞれ別個の問題として責任の有無が問われるはずです。
389名無しさん@4周年:04/01/04 17:32 ID:nOIjOVJx
>>359
単なる愉快犯になんでここまで必死なんだろね。
390名無しさん@4周年:04/01/04 17:51 ID:UMQA3Q8A
なんか2ちゃんで合意をみたな

1)ACCSは安易に個人情報を集め、また十分な管理をしていなかった
ことで社会的責任を問われる

2)officeは不正アクセス防止法の罪状で逮捕される

よろしか?
391名無しさん@4周年:04/01/04 17:56 ID:GNK5jy9x
>>390
うーん、「研究員」とやらを弁護する気はないけど法自体がザルっぽいので
2)はできないんじゃないでしょうか?
できるんであれば今回の場合どのへんが法に抵触してるんだろうかと。
392名無しさん@4周年:04/01/04 17:58 ID:FjfyWnky
>>391
cgiに不正な引数投げ込んだ段階でアウト>不正アクセス禁止法
393名無しさん@4周年:04/01/04 18:01 ID:UMQA3Q8A
素朴な疑問だが研究員と名乗っているようだが、研究職として雇われているの
だろうか?誰か知ってる?
394名無しさん@4周年:04/01/04 18:05 ID:BFHqgQSI
>>390

1)と2)に関してはほぼ合意

3)ファーストサーバーはCGIの脆弱性を認知していながら、その事実を隠して利用者に対して何の危険も無いような伝え方をしていたので民法の不法行為にあたる

これを付け加えたほうが良い(というか面白い)
395名無しさん@4周年:04/01/04 18:09 ID:q9d+XuIb
>>360
> 首になったとしても、どっかのセキュリティ会社が雇ってやれよ
> イイ奴に違いない
(゚Д゚)ハァ?
396名無しさん@4周年:04/01/04 18:11 ID:GNK5jy9x
>>392
本当に不正アクセス禁止法でいう「アクセス制御機能」と言えるのかな?
そのCGIで何を制限していたのか。
397名無しさん@4周年:04/01/04 18:12 ID:DPDxiFDd
>>392
「不正な引数」って何よ?
398名無しさん@4周年:04/01/04 18:12 ID:krarfFTL
漏れもこの手のメールを送るCGIを作って会社の後輩に引き継いだけどさ。

よっっぽど勉強して注意して作らないと、この手のCGIは「社外から情報を
引き出される余地」を作ってしまう。「誰にでも公開して」「システムの他の
プログラムを呼び出す必要がある」ってあたりに、そういう余地が生まれる。

時刻表示・カウンタとは比較にならないぐらい注意深く作らないとダメ。
朝日の記事にあるようなことを誰にでもされてしまいます。

その上でこの件を一言でいうと、
「おっさん、俺よりはるかに詳しいはずなのに、
 何でそういうつけ込まれることするの?」
です。

 1.ACCSの想定外の方法でアクセスをした
 2.この1.の方法でアクセス可能なことを、ACCSに事前通告せず第三者に開示した

本来はダメなことだってのを、この方は完璧に忘れていたでしょうがこれは!
ACCSはアホだが、ACCSを信用したユーザに罪はないもん。

# しかし、研究員が39歳にもなって人の掲示板を
# さらし者にしてたわけね・・・ひゃっひゃっひゃとか言ってたけど。
399名無しさん@4周年:04/01/04 18:13 ID:6Lo0g0t2
1)ACCSは安易に個人情報を集め、また十分な管理をしていなかった
ことで社会的責任を問われる

2)officeは不正アクセス防止法の罪状で逮捕される

3)ファーストサーバーはCGIの脆弱性を認知していながら、
その事実を隠して利用者に対して何の危険も無いような伝え方を
していたので民法の不法行為にあたる

だとしても傍目にはACCSの失態が一番笑える。




「警察官の夫が、その妻を泥棒に寝取られたようなものw」

400名無しさん@4周年:04/01/04 18:15 ID:UMQA3Q8A

>>392
俺はおもうんだが、一発でファイルを参照できたとは思えないので、
何度も繰り返し色々なファイルパスを探しているはず。
この時点で「システムの脆弱性を狙う意図が明白であり悪質」と
判断されるだろう。

>>390
そもそも100%安全なシステムなぞ世の中に存在しない。瑕疵は
存在するという前提において、その瑕疵を悪用することによって
システムにアクセスするというのは既に不正アクセス防止法には
織り込みづみだ。

ACCSが「アクセスされてもかまわないと考えていた」といなら
別だが。「アクセスされないように考えていたが、プログラムに
瑕疵がありそこを突かれた。」というだろう、一応、立場上。
401名無しさん@4周年:04/01/04 18:18 ID:UMQA3Q8A
>>394
ファーストサーバーの件は合意。あと「...不法行為にあたり、
利用者から損害賠償を請求される」とした方がいいんじゃないか?
402名無しさん@4周年:04/01/04 18:20 ID:BFHqgQSI
>>399

たとえが下手糞なオマエのほうが笑える
403テンプレ:04/01/04 18:20 ID:6Lo0g0t2
ACCSの失態は
「警察官の夫が、その妻を泥棒に寝取られたようなものw」

     ∧_∧ ミ ギャーッハッハッハッ!
 o/⌒(. ;´∀`)つ 
  と_)__つノ  ☆ バンバン
404名無しさん@4周年:04/01/04 18:23 ID:BFHqgQSI
>>401
>利用者から損害賠償を請求される」とした方がいいんじゃないか?

利用者をどう取るかによって規模感が変わります

・ファーストサーバーのユーザー
・ファーストサーバーでホスティングされているサイトを利用した人間

一番面白いのはファーストサーバーを利用しているサイトを使ったことのある人間が集団訴訟(w
405名無しさん@4周年:04/01/04 18:23 ID:068g3bth
法律違反が立証されれば大学名、研究員の氏名共々晒されますね
ガンバレ検察
406名無しさん@4周年:04/01/04 18:25 ID:UMQA3Q8A
あと1つ大事なことを忘れていた。
ACCSはofficeに対し民事訴訟をおこせるな。
ちゃんと訴訟やっとけよ。ACCSよ。
407名無しさん@4周年:04/01/04 18:27 ID:6Lo0g0t2
事件が長引けば長引くほどACCSの失態は
世間にさらされ続けるワケだ。
これは愉快。
     ∧_∧ ミ ギャーッハッハッハッ!
 o/⌒(. ;´∀`)つ 
  と_)__つノ  ☆ バンバン

officeは裁判になっても思いっきり長引かせてくれ。
408名無しさん@4周年:04/01/04 18:32 ID:FjfyWnky
ID換えつつ同じことばかり書いてるダウソ厨らしき生き物が居るな(w
409名無しさん@4周年:04/01/04 18:34 ID:UMQA3Q8A
>>404
2番目のは利用者確定がむずかしいだろ。札幌のスーパーの
返金騒動じゃないんだから。
ファストサーバーと契約関係になきゃだめ。その上でcgiを利用した
ということだろ。もし集団訴訟をしたければ、ACCSから流れ出た
責任はACCSにあるので、流れ出たという人間が集団でACCSに
損害賠償を請求する。
そうなるとACCSは、「技術的問題はファストサーバーにあり
ACCSへの訴えは無効」と主張する方向になると思われ、
ACCSはファストサーバーを訴えざるえない。技術的な瑕疵を
作ったのはファストサーバであるという主張のためにな。
どうじにofficeも訴えるだろう。実際に情報を流したのは
officeであってACCSではないからな。
410名無しさん@4周年:04/01/04 18:34 ID:6Lo0g0t2
>>408
IDがまるでnyのようだ。
411名無しさん@4周年:04/01/04 18:34 ID:DFfgsvtF
あまり、突っ込みがないようだけど、
「国立大学の男性研究員(40)」
という身分がイタいね。
いわゆる博士研究員(PD)だと、年齢制限があって36歳くらい
が上限なので、40歳で研究員(基本的に1年契約)というと
もう後がない、って感じ。無給で席を置いてるだけの研究「生」
だったりしたら目もあてられない。具体的な身分が気になる。

常勤ポストについてない焦りが、異常行動に走らせたのかも。
あるいは、異常行動に走りやすい人だったから、今に到ってる
のかも。

412名無しさん@4周年:04/01/04 18:40 ID:UMQA3Q8A
さらにACCSから訴えられたファストサーバーはofficeを訴える。なぜなら
この瑕疵を実際に使って個人情報を流したのはofficeだからな。民事では
責任が相殺されるので、officeはファストサーバーに関しては比較的低い
金額で済むだろう。しかし裁判費用や裁判に浪費されるなど負担は相当
なものだ。まあ自分の蒔いた種だ。自分で刈り取れや > office
413名無しさん@4周年:04/01/04 18:40 ID:FjfyWnky
>>411
朝日新聞との受け答え見てると後者のように思いますが?
414名無しさん@4周年:04/01/04 18:44 ID:jThMzIRu
不正アクセス禁止法に触れなくても
偽計業務妨害などでタイーホされるから
偽名使います。
415名無しさん@4周年:04/01/04 18:45 ID:GNK5jy9x
えと、この研究員は刑事的にもアウトなんですか?
416名無しさん@4周年:04/01/04 18:54 ID:liwCNhew
ACCSの失態は
「警察官の夫が、その妻のマソコを泥棒に写真取られたようなものw」

     ∧_∧ ミ ギャーッハッハッハッ!
 o/⌒(. ;´∀`)つ 
  と_)__つノ  ☆ バンバン
417名無しさん@4周年:04/01/04 18:55 ID:QZ7aMnpp
ピッキングと同列なんてほざいてる香具師が未だにいるとはな。
セキュリティに対する意識を改善するには、
これ以上なにすればいいんだろうか?
418名無しさん@4周年:04/01/04 18:57 ID:9xQrXv/z
             ,ィ⊃  , -- 、
    ,r─-、      ,. ' /   ,/     }
   {     ヽ  / ∠ 、___/    |
   ヽ.      V-─- 、  , ',_ヽ /  ,'
     ヽ  ヾ、  ',ニ、 ヽ_/ rュ、 ゙、 /
     \  l  トこ,!   {`-'}  Y
       ヽj   'ー'' ⊆) '⌒`  !
         l     ヘ‐--‐ケ   }
         ヽ.     ゙<‐y′   /    >>417 K札で聞くといいよ
      (ヽ、__,.ゝ、_  ~  ___,ノ ,-、
      )           ノ/`'ー-' <
    r'/,   _..   //  l、、、ヽ_)
      ゝ(_/_ノ´ /ヽ_ノ/  __,l ヽ)_)‐'
         {` ーニ[二]‐ク′
           〉   /  /_
         /   ´ ̄`ヽ  )
          (____ノ--'
419Ё:04/01/04 19:00 ID:177CBpCp
>>417
事例紹介はまだしも、個人情報晒す必要性はあったのか?
420名無しさん@4周年:04/01/04 19:00 ID:FB6iCFbs
脆弱性なんて承知の上ですよ。
421386:04/01/04 19:02 ID:zQe3ktZF
>>417
まずは啓蒙者が実名で責任ある行動を取ることだと思います。
422名無しさん@4周年:04/01/04 19:02 ID:6Lo0g0t2
>>416
むむむ。
いい例えだ。
423名無しさん@4周年:04/01/04 19:04 ID:FB6iCFbs
情報を盗まれたって、盗まれた事に気付くまでに時間がかかるわな・・
一生気づかないかもしれんなあ。
424名無しさん@4周年:04/01/04 19:05 ID:biKOeJ6m
韓国のネチズンに通報すれば代わりに警鐘してくれただろう。
425名無しさん@4周年:04/01/04 19:08 ID:W4QzzzRA
>>411
最近は産学連携とかいろいろあるから、
年齢と「研究員」という呼称だけでは一概に言えない罠

とはいえ、マジメな話、国立大学にしがみついているよりは
コンサルタントの会社起こして勝負したほうが将来開けるんじゃないか?

日本の企業(特に大きいところ)の場合、「論より証拠」でクラックしてみせるよりも、
スーツにネクタイで話をする方が信用されそうだしな
426名無しさん@4周年:04/01/04 19:13 ID:9xQrXv/z
>>425 それは本人にそれなりの技術が有れば、の話なわけで
427名無しさん@4周年:04/01/04 19:40 ID:YWxMAas1
なんで同じニュースを二回も報道するんですか?しかも立場を変えて。
428名無しさん@4周年:04/01/04 19:43 ID:P+qm6EQp
ファースト鯖のユーザーだが、今回の記事で一番むかついたのは、鯖側が偉そうに被害者
面してコメントしていること。さまざまな隠蔽工作をして、さらにユーザーに対して
なにも事後説明がない。詳しい内容は鯖スレにすべて書いてあるが取材を受ける前に
やるべきことがあるだろう。馬鹿鯖。
429名無しさん@4周年:04/01/04 19:47 ID:rIVLoJVS
http://pc2.2ch.net/test/read.cgi/hosting/1072630070/l50
【訴えてやる】Joe's Web Hosting 12【逆転敗訴】

1 :名無しさん@お腹いっぱい。 :03/12/29 01:47
会社設立以来、鯖をハクられた上に鯖全滅させられたと言う華やかな歴史を持ち、
会員の個人情報を鯖の上においてた挙句、そこもハクられMXやnyで流され放題。
ついに掲示板にまでうpされる惨劇にまで発展。鯖落ちした時は三日近くも放置し
た結果、会員への被害が拡大。その間連絡を一切せず逃亡していた無責任感。
仕事の為にはrootパスワードすらひょいひょい渡す所はセキュリティ管理もずさん。

自分で該当スレで宣伝しておきながら都合が悪ければにわかな法知識で削除依頼を
した挙句削除板でもレンタル鯖板でもジサクジエンのオンパレード。ここを自分の
サポート板として利用しときながらずうずうしいとはこの事である。

そしてついに法律通の情報により2004/01/09(金)にジョエが大阪地裁に提訴すると
言う衝撃情報が入って来た。ついにひろゆきと全面対決か?良く考えればサポート
板として利用していたぶん、ひろゆきにとっては金を分捕れる良いカモである。
さあ、思う存分叩かれて、ひろゆきの財政難解決に向けて貢献してもらおうではな
いか
※法律通からの情報ですので何かあった場合は法律通を訴えて下さい。

こんなDQN鯖缶、鈴木貞子が運営している鯖をじっくりマターリ語るスレです。
430名無しさん@4周年:04/01/04 19:59 ID:UMQA3Q8A
1)ACCSは安易に個人情報を集め、また十分な管理をしていなかったことで
社会的責任を問われる

2)officeは不正アクセス防止法の罪状で逮捕される

3)ファーストサーバーはCGIの脆弱性を認知していながら、その事実を隠して
  利用者に対して何の危険も無いような伝え方をしていたので民法の不法
  行為にあたり、利用者から損害賠償請求の訴えを起こされる

ACCSの失態は
「警察官の夫が、その妻のマソコを泥棒に写真取られたようなものw」
     ∧_∧ ミ ギャーッハッハッハッ!
 o/⌒(. ;´∀`)つ 
  と_)__つノ  ☆ バンバン

これでまとめはよろしか?
431名無しさん@4周年:04/01/04 20:02 ID:FjfyWnky
厨がACCS殴りたくて必死なんだね(w
432名無しさん@4周年:04/01/04 20:06 ID:a1C58+Di
ファミリーマートの事件も
433名無しさん@4周年:04/01/04 20:10 ID:GNK5jy9x
>>431
なんかそんな感じに見えるね。
434名無しさん@4周年:04/01/04 20:11 ID:9xQrXv/z
>>430 ACCSは文化庁所管とはいえ単なる業界団体であって警察でもなんでも
ないんだけどな。雇い主のACCSと出入り業者のファーストサーバの区別を
付けてから出直しておいで。

>>432 それはofficeと同じ団体(@random)に所属する園田という奴の会社の
失態。
435名無しさん@4周年:04/01/04 20:35 ID:FjfyWnky
>>434
なんか本当にこうやってみると経産省が組織した連中って悲惨かも・・・。
信用信頼積み上げるよりも声のでかいヤシばかり集まったからこうなったの?
436名無しさん@4周年:04/01/04 20:47 ID:UMQA3Q8A
>>430
なんかおまえの読解力には悲惨なものがあるな。
437名無しさん@4周年:04/01/04 20:56 ID:UMQA3Q8A
>>434
誤爆した(w

まず警察というのは、例えであって、誰も警察だとは思っていないが?
次に、ACCSの道義的責任と、ファストサーバーの運用上の責任をきちんと
分割しているのだが、そうは読めないか?
そうか、読めないか。それじゃ仕方がないな。
438名無しさん@4周年:04/01/04 21:03 ID:liwCNhew
>>430
ほぼ同位
439名無しさん@4周年:04/01/04 21:05 ID:FjfyWnky
ID見ると本当におもろいな(w
手下ぐらいきちんと教育しとかないと>高木先生
440名無しさん@4周年:04/01/04 21:06 ID:qSraC7tU
>>430
イイヨ、イイヨ〜♪

このACCSの失態は未来永劫物笑いのネタとして語り継がれるであろう!!!
              ___                           .┌i「゙il
             /,,/,rf,,,、ー\                         ! :l i
               ,;ノべ/   \, \                    r‐、.  ゙i ヽヽ
            ij 、 i /   ,ミ  l                    i.__,>-┴-゙ l!
           〈'-=j";'==・=' ヾr=、!                   r'_,.--、__ l!
            l .ノ   ゙̄   ,リy.,!                    レ'"二:、  !
            l ヾ゙>      , /                    .ト-'" ノ ,! .!
            ヽ. [ ̄ヽ   ,「!                     rヽ. く ./  i!
             ヽ└=-' _/! l                     人(ト、 ヾy ,!
             ,ト.二._/__,┴i                   _ノ. \ト、 j_ヲi)
             「r=t;T゙Ff 二! ] li     _,.-―-、_        「トー'  \_/,リ
        _,..:-r-‐j=ミ- l __ヲ_,.-‐<)ニニf =、\\\      入ヽ   i、_フ[/
  ,r=―‐ッ==‐‐'",.ニ‐‐≧十'゙ >-、     ,r゙ー-ニ、_\\>、_,.-/  \\  し ,r'
 ,レタ__/ \   i' ,r‐‐i l ! f"「 ̄>゙i   /      ̄ ̄         \ー' :ダ
 V//  r.、」  .l  ̄!L.j l .L」 i"  i   しr                  ゙ーr'
 レレ' i  .L_   l  .l  ./ _ .l  i   -=;'                  ,/
ジークダウソ!!ジークダウソ!!ジークダウソ!!ジークダウソ!!ジークダウソ!!
441名無しさん@4周年:04/01/04 21:17 ID:4jvdZfKi
>>328 >>331 >>341 >>347 バーナム暗号
 いわゆる「バーナム暗号」は(当時のテレタイプ用のテープで)
(あ)暗号用のキーを用意して暗号文と加算して暗号化する
(い)互いに素である数の2種類のキーをずらして使う
(う)(い)の変形で数種類のテープを使う
(え)いわゆるone time padを使い、一度使ったテープは破棄する。
の4種類がある。基本は(あ)、第1変形は(い)です
バーナム式は(あ)〜(う)を指し、(え)はバーナム式といわない。
(かなり権威ある書物が誤用したので、サイトの多くは誤り)
(発明者ギルバート・バーナム・・1917年12月発明・・当時27歳・・AT&T(ベル・システム)電信部社員)

「バーナムVernam暗号プログラム」というのがあります
『バーナム暗号は、メッセージと乱数列との排他的論理和Exclusive ORをとる単純なアルゴリズムですが、
暗号文のみの情報からは解読不可能な暗号です。
本プログラム・ソースでは、乱数ライブラリにあるM系列乱数を用いています。』
これは(あ)ですね。基本です。(暗号解読はM乱数を引き算して、度数分布を調べる入門コース)
http://www5.airnet.ne.jp/tomy/cpro/etc9.htm
442名無しさん@4周年:04/01/04 21:21 ID:9xQrXv/z
>>440
>ジークダウソ!!ジークダウソ!!ジークダウソ!!ジークダウソ!!ジークダウソ!!

馬脚を現すって奴ですかw むしろ今回ACCSは結構得したと思うが?

>>437
ACCSはCGIの専門家じゃないしなあ、しかもACCSがどんなヘボ業者雇おうが
税金で養われてる団体と違って国民にあれこれ言われる筋合いは無いわけだ。
文句言えるとすれば今回officeによって個人情報をばらまかれたことによって
職場内で睨まれるかもしれない密告者予備軍の方々なんだがね。
443名無しさん@4周年:04/01/04 21:28 ID:qSraC7tU
>むしろ今回ACCSは結構得したと思うが?


??
自分のケツを拭かせている人間を管理できないような会社が
他人の著作権を「管理」していることを暗に伝えるニュースが
再び掘り起こされて得?

     ∧_∧ ミ ギャーッハッハッハッ!
 o/⌒(. ;´∀`)つ 
  と_)__つノ  ☆ バンバン
444名無しさん@4周年:04/01/04 21:29 ID:FjfyWnky
>>442
>>440は厨揶揄しとるのでは。ギレンだし(w

システム監査は大事だね、ということなんだろうが、出来るヤシがいない。不幸なことです。
445名無しさん@4周年:04/01/04 21:30 ID:liwCNhew
>>442
>むしろ今回ACCSは結構得したと思うが?

たしかに知名度はあがったよね。アサシの一面トップだもんね。ただし

「警察官の夫が、その妻のマソコを泥棒に写真取られたような珍事件としてねw」

     ∧_∧ ミ ギャーッハッハッハッ!
 o/⌒(. ;´∀`)つ 
  と_)__つノ  ☆ バンバン
446名無しさん@4周年:04/01/04 21:31 ID:FjfyWnky
>>442
スマソ。こいつマジ厨だったわ。
447名無しさん@4周年:04/01/04 21:45 ID:UMQA3Q8A
>>442
「あれこれ言われる筋合いは無いわけだ」だと、はぁ?
それを個人情報晒されたヤツにいってやれ。殴られるから。
どんな組織だろうと個人情報を扱う以上、それなりの道義的責任はある。
だからこそ、ACCSは記者会見で頭を下げてるんだってことがわからんのか?
だが、その程度ではすまんぞ、といっているんだが、それもわからんと?
おまえ本当に頭腐ってんじゃないか?
448名無しさん@4周年:04/01/04 21:47 ID:GNK5jy9x
…ACCSロックオンされてますねぇ。

>>430
漏れは相変わらず2)で具体的になにがまずくてそんな予想になっているのか
分からんのだけど。刑事的にはセーフではないのか。
どのヘンが決め手で逮捕になるんだ?
なんでそんな総括になるのかよくわからん。
449名無しさん@4周年:04/01/04 21:49 ID:UMQA3Q8A
それからID:liwCNhewよ。今回のまとめと、一連の議論を
どこかに取っておけ。そのうち、また役に立つだろうから。
officeは毎度のことだが、ACCSにしろ、ファストサーバーにしろ、
一度だけですむとは思わんから(w
450名無しさん@4周年:04/01/04 21:51 ID:9xQrXv/z
>>447
まあそうカッカしなさんな、落ち着いて>>442読め( ´,_ゝ`)プッ

>国民にあれこれ言われる筋合いは無いわけだ
451名無しさん@4周年:04/01/04 21:53 ID:933+oqGY
あいたー
ここの鯖使ってるよ
急にCGI使うなってメールが来たけど、すでに曝されてたのかぁ・・
452名無しさん@4周年:04/01/04 21:54 ID:FjfyWnky
>>448
不正アクセス禁止法の解釈?
>>356でも書いたんだけど、パーミッション指定とかで通常なら読み出しが不可能なファイルを
別のCGIプログラム使って呼び出す行為は「アクセス制御機能による特定利用の制限を
免れることができる情報又は指令を入力する行為」で括られるの。

まぁ、身元はっきりしてれば逮捕はないかも知れないけど、その辺は警察の判断かな?
453名無しさん@4周年:04/01/04 21:58 ID:8lECPTEk
あひゃひゃひゃひゃ ACCS!ACCS!
454名無しさん@4周年:04/01/04 22:02 ID:qSraC7tU
>>450
ねーねー、お兄ちゃんのいう「こくみん」って
どこのくに?
お兄ちゃんの>>442の文章の「国民」ってトコに以下のような言葉を当てはめても
文章の意味が変わらないのはナゼ?
「日本人」  「消費者」  「個人情報晒されたヤツ」

あーわかった、お兄ちゃん話をごまかしてるんだぁ。
     ∧_∧ ミ ギャーッハッハッハッ!
 o/⌒(. ;´∀`)つ 
  と_)__つノ  ☆ バンバン
455名無しさん@4周年:04/01/04 22:06 ID:QDMskUrd
http://www.mainichi.co.jp/eye/feature/details/hijack/0727-1.html

もしかしてこの人と同類ですか?
456名無しさん@4周年:04/01/04 22:14 ID:hN9f4veG
もろよわさキタ━━━━━━(゚∀゚)━━━━━━!!
457名無しさん@4周年:04/01/04 22:16 ID:3dJyTg9M
>>454
おまえは晒されたやつなのか?
458名無しさん@4周年:04/01/04 22:18 ID:9xQrXv/z
>>455 いや微妙に違うだろ、だって先に警告してないしw
459名無しさん@4周年:04/01/04 22:22 ID:qSraC7tU
officeは我々の神である。ACCSは未来永劫officeに恐れ慄くがいい!!

              ___                           .┌i「゙il
             /,,/,rf,,,、ー\                         ! :l i
               ,;ノべ/   \, \                    r‐、.  ゙i ヽヽ
            ij 、 i /   ,ミ  l                    i.__,>-┴-゙ l!
           〈'-=j";'==・=' ヾr=、!                   r'_,.--、__ l!
            l .ノ   ゙̄   ,リy.,!                    レ'"二:、  !
            l ヾ゙>      , /                    .ト-'" ノ ,! .!
            ヽ. [ ̄ヽ   ,「!                     rヽ. く ./  i!
             ヽ└=-' _/! l                     人(ト、 ヾy ,!
             ,ト.二._/__,┴i                   _ノ. \ト、 j_ヲi)
             「r=t;T゙Ff 二! ] li     _,.-―-、_        「トー'  \_/,リ
        _,..:-r-‐j=ミ- l __ヲ_,.-‐<)ニニf =、\\\      入ヽ   i、_フ[/
  ,r=―‐ッ==‐‐'",.ニ‐‐≧十'゙ >-、     ,r゙ー-ニ、_\\>、_,.-/  \\  し ,r'
 ,レタ__/ \   i' ,r‐‐i l ! f"「 ̄>゙i   /      ̄ ̄         \ー' :ダ
 V//  r.、」  .l  ̄!L.j l .L」 i"  i   しr                  ゙ーr'
 レレ' i  .L_   l  .l  ./ _ .l  i   -=;'                  ,/
ジークダウソ!!ジークダウソ!!ジークダウソ!!ジークダウソ!!ジークダウソ!!
460名無しさん@4周年:04/01/04 22:23 ID:UyHkQMtc
ACCSが穴だらけじゃどうしようもねーな
461名無しさん@4周年:04/01/04 22:27 ID:GNK5jy9x
>>452
なるほど。
「特定利用の制限」してるかどうかっていうのが良く分からんですが、
それ以外了解しますた。どもです。

「特定利用の制限」がどういう解釈されるのか、興味があるなぁ。
462名無しさん@4周年:04/01/04 22:28 ID:FjfyWnky
>>459
つまり、ACCSが叩かれれば摘発もやりにくくなって
れんキュー入れ放題のダウソ厨にとっちゃ天国ってなわけですか。
まあいいんだけど。
すっかり寒い状態になってきちゃったね。
かりにでもいいからまともな議論がしたいかも(w
463名無しさん@4周年:04/01/04 22:30 ID:jrV/LXRx
ACCSって中古ゲームソフト裁判で一審判決も出てないうちに中古ゲームソフト屋を利用している消費者を泥棒呼ばわりした所でしたっけ?
464名無しさん@4周年:04/01/04 22:37 ID:amRd0ubG
/.-Jにも出たね。
465名無しさん@4周年:04/01/04 23:00 ID:g3eWHEje
朝日は話大きくしてるだけだろ?

毎日11/11
http://www.mainichi.co.jp/digital/network/archive/200311/11/3.html
ACCS 経過報告
http://www.askaccs.ne.jp/
466名無しさん@4周年:04/01/04 23:05 ID:FjfyWnky
>>465
警視庁が動いたから記事にしただけかと>朝日
467名無しさん@4周年:04/01/04 23:07 ID:g3eWHEje
>>466
それにしても朝日の文体には悪意を感じるんだな
468名無しさん@4周年:04/01/04 23:10 ID:FjfyWnky
>>467
悪意と言うより警察の意向のような気がしないでもない。
明日から一般企業が大抵お仕事の日に持ってきた話題だし。
悪意があるならとっくに毎日とかが書いた段階でネタにしてるかと。
まがりなりにも所属が京大なんだし(w
469名無しさん@4周年:04/01/04 23:17 ID:ilA+Pw0T
470名無しさん@4周年:04/01/04 23:23 ID:5dGG5Cjt
このすれからリンクされている条文や解説を読むとこんかいの件は、不正アクセス防止法で有罪にできるッぽいね。
でもそれってかなり問題あると思う。
防止法では、情報をまったく利用しなくても、その名の通りアクセスしただけで罪に問われてしまう。
それって、サーバの管理者とは直接関係ない第三者がサーバーにセキュリティホールがあるんじゃないかと
疑ってなにか実験を行えば罪になってしまうということ。
たとえば今回の件では、個人情報をさらしたことが罪ではなくて、単にcgiにURLを送ったこと自体が罪に
問われてしまう。
これでは、善意の研究者がセキュリティーホールを指摘しても、怠慢な管理者が無視し続けた場合に
研究者が次に打つ手がなくなってしまうよ。
つまり、管理者は気が向いたらセキュリティホールを修正するし、なんか都合が悪ければそのまま放置。
それで研究者がセキュリティ関係のメーリングリストなどで告発すれば不正アクセス防止方で
タイーホするぞ!と脅せるわけ。これじゃダメだよね。

引き出した情報を開示したり、業務に利用したりしない限りは罪にならないようにする必要があると思う。
(それでも今回の件は有罪になるけど)
471名無しさん@4周年:04/01/04 23:28 ID:v5UQdEFl
旭があんな記事書いたのは圧力でしょ。
0fficeは官公庁やその周辺ばかり狙ってたからなあ。
472名無しさん@4周年:04/01/04 23:30 ID:xk5LsoXh
ダイレクトメールが来てる時点で個人情報なんてだだ漏れなんだから
今更プライバシーとか気にするなよって気がするんだけどなぁ
473名無しさん@4周年:04/01/04 23:36 ID:ilA+Pw0T
Officeがパクられてもjbeef高木や経産省はダメージを受けない。
むしろ暴れてくれてありがとうといったところ。
474名無しさん@4周年:04/01/04 23:37 ID:NqMWXfDU
パスワード
カード番号
残高
自動車のナンバー
電話番号
住所
病歴
通院歴
家族構成
学歴
学校での成績
通販で注文した商品
クレーム付けた回数と企業名
信仰している宗教
支持政党
いつも利用しているサイト
応募した懸賞
趣味
等・・・
475名無しさん@4周年:04/01/04 23:46 ID:AJtpMB3B
40って。いい年してなにやってんだこいつ
476名無しさん@4周年:04/01/04 23:53 ID:9xQrXv/z
>>472
そういう個人情報の問題とちょっと違う。ACCSに相談した人々の個人
情報が漏れると、その人々の職場での立場が内通者として危うくなる。
今回のようなことがあると、誰も相談をしなくなってしまう。

ACCSを揶揄する意見も実にもっともだが、実際ACCSは情報収集の大きな
チャンネルを不本意な形で失う事態に追い込まれた以上、自分らの失敗を
収めてから全力を結集してofficeに迫るというのは想像に難くない。
会員企業も喜んで手助けするだろう。
477名無しさん@4周年:04/01/04 23:58 ID:ATesrmoa
フィーネ萌えマダー?
478名無しさん@4周年:04/01/05 00:01 ID:FFhd1MM5
>>475
まったくもってその通り。
いい年こいて法のバランス感覚もねぇのかよってね。

セキュの啓発活動したいのなら、いい年なんだし、もう少し慎重にやれってことですな。

ついでに、偽名使うのはいいとして、ハカーの偽名ってのは派手な活動しても
その偽名の匿名性を維持できるスキルの高さをアピールすることに栄誉がある
ワケで。かっこよく笑い男したいのなら、HPなんか立ち上げてんじゃねーよボケってな
ワケでw

しかしだ、そんなチューと半端なハカーに、いいようにやられちゃったACCSってなに?
そんなんで他人の著作権なんて守れるのかよ?啓発活動?まずACCS自身を啓発汁!!
(なんだかんだいいながら結局ここに話を持っていく漏れw)
そんな漏れって・・・・
     ∧_∧ ミ ギャーッハッハッハッ!
 o/⌒(. ;´∀`)つ 
  と_)__つノ  ☆ バンバン
そしてそんな漏れに馬鹿にされてるACCSに・・・
     ∧_∧ ミ ギャーッハッハッハッ!
 o/⌒(. ;´∀`)つ 
  と_)__つノ  ☆ バンバン
479名無しさん@4周年:04/01/05 00:04 ID:W6EuBL2o
荒し厨房も年貢の納め時だな
480名無しさん@4周年:04/01/05 00:07 ID:IY9zR8hg
>>479
OfficeはPerkdukeを絶賛し、ゲスッの増子にへこへこしていたな
http://www.office.ac/log2/office2nd_98_2.htm
481名無しさん@4周年:04/01/05 00:08 ID:FFhd1MM5
泣くなよACCS。
君達の未来には夢も希望も無い。
だって君達は人々の夢や希望を管理する能力がないのだもの。
     ∧_∧ ミ ギャーッハッハッハッ!
 o/⌒(. ;´∀`)つ 
  と_)__つノ  ☆ バンバン
482名無しさん@4周年:04/01/05 00:20 ID:8Uc+mFz6
このofficeってのは、ヲレルールペネトレーションテストをするので
いつかこうなるんじゃねーかとは思ってたよ
ヲレルールをわかるようにガイドライン広報してから活動するとか
もっと上手に外堀うめりゃいいのに、ちょうしこいてやるからこうなるんだよな
ただの間抜け

あと、0120ふさふさの会社のweb serverから
くさるほどblasterなアタックがくるんですが
これまた連絡先をwebに書いてなくてこまったちゃんですね
483名無しさん@4周年:04/01/05 00:28 ID:FFhd1MM5
>>482
跳び箱踏み台情報乙。
484名無しさん@4周年:04/01/05 00:30 ID:FIQjq6q1
>>482
そのパケットの送信元IPアドレスが偽られていないと調べた上での発言?
485名無しさん@4周年:04/01/05 00:35 ID:hU5Bi7n2
>>484
TCPコネクションなのに偽れるの?
486名無しさん@4周年:04/01/05 00:45 ID:FIQjq6q1
そか、>>485 >>482 すまん。脳内でUDPと勘違いしていた。

厳密にはTCPコネクションも偽れなくもないけど、ちょっと考えづらいね。
487名無しさん@4周年:04/01/05 01:20 ID:uXuZEa5e
いわゆる技官は「研究員」とはいわないの?
488名無しさん@4周年:04/01/05 01:31 ID:VKTYW6Qm
記事中の大手都市銀行って、たしか、みずほ銀行だよね、統合直後の。
XSSの件だったっけ。
アカヒもやっぱり大広告主だと伏せるんだよな。
489名無しさん@4周年:04/01/05 01:35 ID:3PhcnSKI
>>478
> しかしだ、そんなチューと半端なハカーに、いいようにやられちゃったACCSってなに?
> そんなんで他人の著作権なんて守れるのかよ?

著作権の侵害が起こってから動く組織だからね
これからが見物だろ
490名無しさん@4周年:04/01/05 01:41 ID:mn33bNaG
>>488 これだろ?みずほだけじゃないよ。

金融業界のWebシステム管理の惨状 第1回
ttp://www.netsecurity.ne.jp/article/11/5644.html
「disp.cgi」にまつわるセキュリティ問題 第2回
ttp://www.netsecurity.ne.jp/article/11/5984.html
金融業界のWebシステム管理の惨状(3) 第3回
ttp://www.netsecurity.ne.jp/article/11/7254.html

どうせXSSだしなあ。XSSは一般的には引っ掛かる方が悪いな。わかり
やすい例はhotmailとかのアドレスのメールで「このページにアクセス
してパスワードを確認入力してくれ」みたいなのが来るという奴。
鬼の首を取ったように書いてあるのが微笑ましい。
491名無しさん@4周年:04/01/05 02:18 ID:hU5Bi7n2
>>490
> XSSは一般的には引っ掛かる方が悪いな。

2番目の「disp.cgi」は XSS じゃない。

君は CGI を作らないほうがいい。
492代打名無し:04/01/05 02:19 ID:Hjq6trGt
493名無しさん@4周年:04/01/05 02:49 ID:zg7uLqxV
>>489
え?別に動くのは勝手に動けばいいのですw

その前に他人の著作物を守る団体が、自分達が管理している他人の
個人情報すらまともに扱えないという恐ろしく馬鹿馬鹿しい話がありますよね?

コレを大笑いせずして、何が正月初笑いだと。
     ∧_∧ ミ ギャーッハッハッハッ!
 o/⌒(. ;´∀`)つ 
  と_)__つノ  ☆ バンバン
しかも、同じニュースを二度掘り起こされて恥じも二倍とくれば
これはもう・・・・
     ∧_∧ ミ ギャーッハッハッハッ!
 o/⌒(. ;´∀`)つ 
  と_)__つノ  ☆ バンバン

494名無しさん@4周年:04/01/05 02:53 ID:VKTYW6Qm
>>490
さんくす。
495490:04/01/05 03:05 ID:mn33bNaG
>>491

スマソ、引用間違い。しかもSSLじゃないと弾くし頭悪そうな設定だ(藁)

金融業界のWebシステム管理の惨状 第1回
https://www.netsecurity.ne.jp/article/11/5644.html
金融業界のWebシステム管理の惨状 ■第2回■
https://www.netsecurity.ne.jp/article/11/5984.html
金融業界のWebシステム管理の惨状(3) 第3回
https://www.netsecurity.ne.jp/article/11/7254.html
496名無しさん@4周年:04/01/05 03:12 ID:2hztObiI
問.個人情報をゲトしたら。。。

1.管理者にメールで教えてあげる。
2.さらし者にして、警鐘を鳴らす。
3.2chで公開し、祭にする。
4.管理者にメールで脅迫し、金をせびる。
497名無しさん@4周年:04/01/05 03:16 ID:zg7uLqxV
>>496
5・沢山貯めて名簿業者に売る

これが基本では?
498名無しさん@4周年:04/01/05 03:27 ID:hU5Bi7n2
> しかもSSLじゃないと弾くし頭悪そうな設定だ(藁)

賢い設定ですね。
499名無しさん@4周年:04/01/05 03:28 ID:1jn+WSxv
アホみたいなハンドルで、こそこそやってても評価されないのに、なんで本名で活動しないの?
関係ないですが、技術系といわれてるメーリングリストで、別に読みにくくもない漢字の
名字を、わざわざひらがなで書いてるオッサンが多いんですが、流行りでしょうか?
500名無しさん@4周年:04/01/05 04:45 ID:nzUeWFAr
>>496
正しい方法としては、管理者にメールで教えてあげる。
これで対応しないなら、3日以内に対策か閉鎖しないと晒すと警告。
それでもダメなら管理者の対応も含めて晒す。
こうやれば悪者にならないと思われる。
501名無しさん@4周年:04/01/05 05:10 ID:nFm58BqU
ACCS工作員必死だな
502名無しさん@4周年:04/01/05 06:19 ID:Ask7QKLT
何かのイベントで個人情報を晒して
それを保存して持ち帰った人がいる
そこが問題やろ
503つーか:04/01/05 06:22 ID:/qkwWa5F
>個人情報がネット上に広まるなどの事態にはなっていないという

思いっきり流れてる訳だが、、、最初から(w
504名無しさん@4周年:04/01/05 06:23 ID:eayu69Fd
しかもその場にいたんだろ? 経産省系セキュリティー匠合、
事実上の元締め高木ことjbeefが(w それでいけしゃぁしゃぁとコメント出す
あたりあのおぢさんも厚顔無恥だが、それによって馬鹿の行為が免罪される
わけもであるまい。
505名無しさん@4周年:04/01/05 07:32 ID:NQLfaf0Y
きじゃくって変換できねーよ。
IMEクソだな。
506名無しさん@4周年:04/01/05 07:41 ID:nFm58BqU
つーかいい加減ふいんきネタ秋田
長くてウゼーんだよ
507名無しさん@4周年:04/01/05 08:12 ID:IY9zR8hg
厨房Officeを擁護している香具師が意外に多いので呆れるな。
一般論とオフィスの馬鹿ぶりを区別できていないからだろうが。
http://slashdot.jp/article.pl?sid=04/01/04/1327206&topic=92&mode=thread&threshold=-1
508goin:04/01/05 09:19 ID:rc7IhuVK
>505
脆弱?これって「脆弱」って読むんだよ
新年早々、釣られてみるデス
509名無しさん@4周年:04/01/05 09:29 ID:ZjBUZKyf
「きよわ」と読むんだ。
510名無しさん@4周年:04/01/05 09:45 ID:gmlYCk06
>>507
左翼仲間だからな。
そのうちテロリストofficeの返還要求のために誘拐するんじゃない?
511名無しさん@4周年:04/01/05 09:52 ID:9TtHShek
officeってセキュリティゴロ?
512福島県必死だな:04/01/05 09:54 ID:uVDPdeY+
>>510

ザ・ワールド・イズ・マイン
513名無しさん@4周年:04/01/05 10:50 ID:2rBSKI0z
>>511

セキュリティをビジネスチャンスだと思ってる連中なんて全部そうだよ。
514名無しさん@4周年:04/01/05 10:54 ID:IY9zR8hg
>>513
とはいえセキュリティゴロという言葉は実質officeのことしか指していないんだわこれが。http://www.google.com/search?q=%83Z%83L%83%85%83%8A%83e%83B%83S%83%8D
515名無しさん@4周年:04/01/05 10:59 ID:2rBSKI0z
>>514

うわ。ほんとだ。ありがとう。

でも
声高に叫ぶか叫ばないかの差ぐらいにしか感じないんだけどなぁ・・・・
516名無しさん@4周年:04/01/05 11:00 ID:Z5lJ/+hq
>>507
当事者が事について全面謝罪しているのに、なぜか赤の他人が擁護するからな。
517名無しさん@4周年:04/01/05 11:27 ID:IY9zR8hg
>>516
本当に謝っているのなら掲示板にしゃしゃり出てこないでしょ。
http://www.office.ac/tearoom/frame.cgi
518名無しさん@4周年:04/01/05 11:35 ID:E7rnG6TY
>>517
どこにしゃしゃり出てるんですか?
519名無しさん@4周年:04/01/05 11:43 ID:IY9zR8hg
全面謝罪というわりには連絡手段がメールしか公開されていないのはどういうことだろう
ペンネームではない本名と住所などの連絡先を公表するのが当然
大学の雇われ研究員だけあって社会常識に欠けている
520名無しさん@4周年:04/01/05 11:53 ID:CCNiIQ9q
ACCSは組織としてもっとも失ってはいけないものを失ってしまったわけだが
521名無しさん@4周年:04/01/05 12:12 ID:QhdpILZs
>プログラムを開発したサーバー提供会社

面子丸潰れのサーバー提供会社名は既出ですか?
522名無しさん@4周年:04/01/05 12:30 ID:maOSvwHR
523名無しさん@4周年:04/01/05 12:59 ID:IY9zR8hg
524名無しさん@4周年:04/01/05 13:02 ID:IY9zR8hg
もしOfficeが捕まりデータが押収されれば
ここの無修正裏本収集を趣味とする同好の士達にも捜査が及ぶだろうな
http://www.ukky.net/bbs/frame.cgi
525名無しさん@4周年:04/01/05 14:08 ID:onJknMwe
>>504
"事実上の元締め高木ことjbeefが(w それでいけしゃぁしゃぁとコメント出す"

やっぱりお前もそう思ったか。おれもあれを見てすごいむかついた。
526名無しさん@4周年:04/01/05 15:30 ID:0fJ8MD6M
>>514
> とはいえセキュリティゴロという言葉は実質officeのことしか指していないんだわこれが。

意外だったよ。
527名無しさん@4周年:04/01/05 17:09 ID:d27l+OG6
>>521
>面子丸潰れのサーバー提供会社名は既出ですか?

クン♪クン♪クボタの子会社のファーストサーバーです
詳しくはこちらへどうぞ

http://pc2.2ch.net/test/read.cgi/hosting/997111619/
528名無しさん@4周年:04/01/05 17:16 ID:YHBv1n8U
警察無線は、定期的に鍵を交換していれば、本来ならば鍵さえ盗まれなければ盗聴できないはず
鍵を盗まれても、鍵が交信されるまでしか使えない
それが破られるって事は、アルゴリズムそのものが糞だったか、アルゴリズムの実装が糞だたかどちらかだな
529名無しさん@4周年:04/01/05 17:18 ID:sKuTBqFm
>>507
普通の人は officeなんて人を知らない。俺も知らなかった。
そんな人で netをやってて slash dotに書き込むような人なら、援護して当然と思うよ。
そりゃそうでしょ、逆ギレ同然だもん (俺の中の人に言わせれば)

パッと読んで気になった文書は、
制作者の作った目的以外の物を見たら駄目な法律にならないことを願う。
って点だね。
530年間10万人が喫煙死!:04/01/05 17:25 ID:ekactB+X
★先進国で唯一、ガン死トップが肺癌の煙草対策が欧米に30年遅れてる日本★

日本では1950年から1997年の約47年間に肺癌が急増しており
この間、35〜54歳での男性の肺癌死亡率は6.5倍 女性は4.8倍、
55〜74歳での男性の肺癌死亡率は10.5倍 女性は7.5倍をヒット!
また、中学生での喫煙経験は過去20年の間に2倍にもなり、
男子高校生では2割が毎日喫煙しているという調査結果がある。
タバコには依存性があり一度吸い始めたら禁煙することは非常に困難である。
現実に未成年者のニコチン中毒は急増し、深刻な社会問題 になっている。
また、最近若年層からの喫煙は4,50代における発ガン率を30倍近く伸し上げる事が証明された。
煙草煙中の2,000種の有害物質、60種近い発ガン性物資は副流煙となり吸わない人達へも
深刻な健康被害「喘息、肺癌、脳梗塞、心筋梗塞等」を齎すことが証明されている。
あなたの子供達を将来廃人にしないためにも最寄の自治体に学校の禁煙を呼びかけよう。
 
学校敷地内全面禁煙の自治体(決定順)
都道府県・・・和歌山県(2002年4月実施)、茨城県(2006年3月予定)、
青森県(今年度中予定)、愛知県(2004年4月予定)、愛媛県(2004年5月31日予定)
岐阜県(今年度中予定)、福井県(2004年4月予定)、三重県(2004年4月予定)、
静岡県(2004年4月予定?)、佐賀県(2004年4月予定)、秋田県(2005年度予定)、
東京都(2005年4月予定) 政令指定都市・・・仙台市(2003年10月14日実施)、
広島市(2003年9月1日実施)、神戸市(2005年8月末予定)、名古屋市(2004年4月予定)、
さいたま市(2004年9月予定)、京都市(2004年4月予定) 検討中・・・横浜市、福岡市 
未定・・・札幌市、千葉市、川崎市、大阪市、北九州市
新情報・・・さいたま市学校敷地内禁煙決定 京都市学校敷地内禁煙決定
佐賀県県立学校敷地内禁煙決定 秋田県学校敷地内禁煙決定
531名無しさん@4周年:04/01/05 17:39 ID:mn33bNaG
>>524

office(仮名:国立大学研究員:40歳)の裏本画像収集癖の記録

http://www.ukky.net/bbslog/index.html
http://www.ukky.net/bbslog/ukkylog01.html

>07月31日 12時49分 ( No.572 )
>office
>日本人専門「写真集図書館」 (←表紙だけ)
>http://www2.gol.com/users/ot0047/index.htm
>を見ると,知らないタイトルが結構ある。まだまだ素人だなぁ。
>皆さん知ってるかもしれないけど
>http://www.candy.co.jp/candys/sample/
>ちょっとだけ還元したい。
>動画は.exeなので試してません。こういうのは恐すぎる。
>最近味庵ばかりだけど,こういうのもいいんですよね。>ウッキーさん

officeは妻帯者
http://www.ukky.net/bbslog/ukkylog02.html
> 08月13日 14時29分 ( Comment<#856-583> for No.856 )
> らんち
> らりってる車ではありません(^_^;)>らんち号
> スピンターン....冬こっちに来れば簡単にできます。
> officeさんの奥さんの車、しってまぁす(^^)v
> 08月13日 15時15分 ( Comment<#856-922> for No.856 )
> office
> しっかりばれておったか。スターレットです。
532名無しさん@4周年:04/01/05 17:42 ID:1F3rum7E
で?結局クロススクリプト使えたとかそう言う馬鹿ななオチ?
533名無しさん@4周年:04/01/05 17:47 ID:tTJO6wq4
>>528
解読機80万円で買った人には、鍵変えられた時公安部除く方面波用鍵プレ
ゼントやってたぞ。
534名無しさん@4周年:04/01/05 17:52 ID:mcW0FQMS
>>71
実質パスワードもなくアクセスできるようなので、公開されているといえる。
535名無しさん@4周年:04/01/05 17:58 ID:mn33bNaG
>>534
ファイル名を類推してる以上そういう評価には成らないと思われ
配布されてないCGIなんでしょ?
536名無しさん@4周年:04/01/05 18:03 ID:glmyiFI3
537名無しさん@4周年:04/01/05 19:06 ID:CCNiIQ9q
>>535
ファイル名が識別符号かよ。世も末だな(w
538名無しさん@4周年:04/01/05 19:31 ID:eayu69Fd
>>507
セキュリティ業界で真面目にやってる非経産省系の連中にまで迷惑を掛けてくれるわけ。
あの馬鹿は。人のあら探しなんて、もともといかがわしいと認識されやすい業務なんだから、
一に信用二に信用、それが理解出来ないアフォどもは素人騙すだけにして、世間に迷惑
掛けるなと小一時間。

>>537
指摘しとく。この場合「識別符号」じゃなくて「認証を回避する行為」として不正アクセス
禁止法に於ける禁止行為になるの。
539名無しさん@4周年:04/01/05 19:45 ID:CCNiIQ9q
>>538
いくら真面目でも馬鹿な真面目じゃ、いないほうがいいね。

>一に信用二に信用

あんたのように商売でもするならね。

>「認証を回避する行為」

だからさ、情報提供者サイドがファイル名だけを認証にしてたわけでしょ?
このファイル名以外ではアクセス(プッ しないでねっててさ。
もしそんなことが常識なら「日本の世も末だね」っていってるだけですよ。
540名無しさん@4周年:04/01/05 19:47 ID:eayu69Fd
こうやってみると、「認証を回避する行為」を認識していないヤシが多いこと。
この規定ないとXSS脆弱性利用してのアタックも取り締まれなくなるんですけど。

「俺ルール」は法規定が整備された段階で終わったの。
541名無しさん@4周年:04/01/05 19:52 ID:nFm58BqU
法制定なんてどうでもいいさ
どうせ事後裁定なんだし、そもそも捕まらなけりゃ無問題
542名無しさん@4周年:04/01/05 20:00 ID:eayu69Fd
>>539
漏れ商売してませんが(w 大体技術者ですらないんだけど(w
それ以前にcgiで何故ファイルが見えたのか理解してないダウソ厨(・∀・)カエレ!!

>>541
企業相手には「アンモラル」は通用せんよ。
543名無しさん@4周年:04/01/05 20:06 ID:mn33bNaG
>>539
>だからさ、情報提供者サイドがファイル名だけを認証にしてたわけでしょ?

それは全然違うっしょ。個人情報ファイルの正当な所有者はそのサーバ上に
アカウント持ってる所有者ユーザで、認証はそのサーバに対するログ
イン名とパスワード。その部分とは全く別個に、officeはセキュリティホール
を突いて個人情報を入手した。officeは「公道にデータが放置されて
いた」なんて言ってるけど、一般人にブラウザ渡してそこまでたどり着ける
わけない。始めから犯行目的であれこれやらない限りね。
544名無しさん@4周年:04/01/05 20:06 ID:CCNiIQ9q
>>542
>それ以前にcgiで何故ファイルが見えたのか

見えるようにconfigしてたからだろ、ばーか(w
545名無しさん@4周年:04/01/05 20:08 ID:PeY1aC5u
>始めから犯行目的であれこれやらない限りね。

で、成功したときに「すかっと」したと思われ。
546名無しさん@4周年:04/01/05 20:12 ID:CCNiIQ9q
>>543
>一般人にブラウザ渡してそこまでたどり着けるわけない。

あなたは何人?
547名無しさん@4周年:04/01/05 20:12 ID:eayu69Fd
>>544
釣られておくけど(w
「見えるようにconfigしてたから」てか?
では、その文書はcgiを経由することなく呼び出せるファイルでしたか?

不正アクセス禁止法の運用は「俺ルール」ではないからね(w
548名無しさん@4周年:04/01/05 20:18 ID:MtEa7WNR
認証しなくても見えるファイルを見たら不正アクセスとは。
うかつにファイル公開も出来ないね。
まあ日本人らしい発想だね。国際的に通用するものではないと思う。
549名無しさん@4周年:04/01/05 20:31 ID:eayu69Fd
>>548
日本の法令はこれでも「甘い」と言われております。
大体に於いて、不正アクセス禁止法自体が国内の事情だけではなく、
情報犯罪特有の「国境が存在しない」状況による捜査上の隘路を
出来るだけ軽減するためにつくられたものですから、そこには当然
国際的な「規準」というものが存在するわけで。

サイバー犯罪条約って知ってる?
550名無しさん@4周年:04/01/05 20:35 ID:MtEa7WNR
>>549
公開している側が、公開するつもりはなかったといえば、アクセスした人が犯罪者になってしまうの?
それは別の問題を招くのでは?
うまく誘導してアクセスさせておいて、公開するつもりはないものだといえばそれで
551名無しさん@4周年:04/01/05 20:39 ID:mn33bNaG
>>548

>うまく誘導してアクセスさせておいて

それはそれで犯罪。誘導された側は故意がないので無罪。というか

>公開している側が、公開するつもりはなかった

とかいうすりかえは今回の件については成り立たないだろ。問題の
個人情報ファイルは「公開されていない」。
552名無しさん@4周年:04/01/05 20:42 ID:eayu69Fd
>>550
それがいわゆる「ハニーポッド」なんですけど(w
ただ、日本の場合は判例でおとり捜査を原則認めていませんし、
明らかなハニーポッドによる摘発は違法収集証拠排除の法則により
裁判における「証拠」を構成し得ないという解釈がありますよぉ。
553名無しさん@4周年:04/01/05 20:50 ID:CCNiIQ9q
ま、法律なんて自由競争をやったら不利になってしまう
(いつの時代においても大多数派であるところの)馬鹿を
保護するためのものなんだけどね、本来。

ofiiceも馬鹿だよね。
阿糞の馬鹿どもに普通の言葉が通じるとでも思ったのかね(w
554名無しさん@4周年:04/01/05 20:52 ID:/OfoRKt3
これからは、不正アクセスとがバレた時に、「警鐘を鳴らそうと思った」と言い逃れするやつが増えそうだな。
555名無しさん@4周年:04/01/05 20:54 ID:eayu69Fd
>>553
うん、だから君は俺ルールで海外旅行の出来ない身体になってくれ(w
556名無しさん@4周年:04/01/05 20:56 ID:y0SYy2a5
朝ぴんあげ
557名無しさん@4周年:04/01/05 20:57 ID:CCNiIQ9q
朝早くからお仕事ごくろーさん(w

http://stick.newsplus.jp/id.cgi?bbs=newsplus&word=ID%3Aeayu69Fd
558名無しさん@4周年:04/01/05 20:59 ID:mn33bNaG
不起訴になろうが失職免れようが早く本名明かして謝罪なりすべきだろうな。
まさか今後「office」のハンドルでセキュリティアドバイスをやろうなどと
いう厚顔野郎でもないだろうけどすぐハンドル変えて出現しそう。
559名無しさん@4周年:04/01/05 21:04 ID:2EYVFcLw
>>496
http://pc2.2ch.net/test/read.cgi/hosting/1072630070/l50
【訴えてやる】Joe's Web Hosting 12【逆転敗訴】

1 :名無しさん@お腹いっぱい。 :03/12/29 01:47
会社設立以来、鯖をハクられた上に鯖全滅させられたと言う華やかな歴史を持ち、
会員の個人情報を鯖の上においてた挙句、そこもハクられMXやnyで流され放題。
ついに掲示板にまでうpされる惨劇にまで発展。鯖落ちした時は三日近くも放置し
た結果、会員への被害が拡大。その間連絡を一切せず逃亡していた無責任感。
仕事の為にはrootパスワードすらひょいひょい渡す所はセキュリティ管理もずさん。

自分で該当スレで宣伝しておきながら都合が悪ければにわかな法知識で削除依頼を
した挙句削除板でもレンタル鯖板でもジサクジエンのオンパレード。ここを自分の
サポート板として利用しときながらずうずうしいとはこの事である。

そしてついに法律通の情報により2004/01/09(金)にジョエが大阪地裁に提訴すると
言う衝撃情報が入って来た。ついにひろゆきと全面対決か?良く考えればサポート
板として利用していたぶん、ひろゆきにとっては金を分捕れる良いカモである。
さあ、思う存分叩かれて、ひろゆきの財政難解決に向けて貢献してもらおうではな
いか
※法律通からの情報ですので何かあった場合は法律通を訴えて下さい。

こんなDQN鯖缶、鈴木貞子が運営している鯖をじっくりマターリ語るスレです。
560名無しさん@4周年:04/01/05 21:10 ID:eayu69Fd
>>557
ふむ(ワラ
http://stick.newsplus.jp/id.cgi?bbs=newsplus&word=CCNiIQ9q

不正アクセスを「何でもない」って考えるヤシ大杉なんだよね。
これで検挙歴あるとテロリスト扱いされるんだが。アメとかEC諸国だと。
561名無しさん@4周年:04/01/05 21:17 ID:lQHcS8jL
jark神父そんは早々トン面
http://dmnz.org/
562名無しさん@4周年:04/01/05 21:17 ID:CCNiIQ9q
>>560
さっそく猿真似か、予想どおりの低能だねぇ(w

だからぁ

158 :森の妖精さん :04/01/04 08:24 ID:k4nxu8zN
なんだ、こういうことか。。。初歩的な話じゃん。。
http://www.office.ac/tearoom/noframe.cgi#No.#1613-1

このcgiの問題を原理的に申し上げますと、「サーバの中のファイル表示をする機
能を持つcgiが、制限無くどのようなファイルをも表示できるようになっていた」
ということです。
従って、HTMLソースを見て「ファイル表示機能を持つcgiだ」と理解すれば、フ
ァイル名を指定するだけで、サーバ内のあらゆる情報を見ることができる可能性
を誰でも推測できたものと想像しております。特定のURLにアクセスすると個人
情報が表示されてしまうという情報漏えいのパターン(一例として2002.4のみず
ほ証券のサイト)がありますが、URLでのアクセス(GETコマンド)であるか、送
信ボタンを押す(POSTコマンド)であるかの違いだけで、その他は全く同一の内
容でした。私は確認していませんが、特定のURLでアクセスしただけでも、実際
には個人情報が表示できた可能性もあります。cgiの設置マニュアルなどには、
指定したファイルの表示をすると書いてあったはずでしょうから、cgiの設置者な
ら誰でも気づき得た問題だと思われます。




>不正アクセス

なのかっていっての!

アメは自分とこの大統領すら暗殺する国だってことをふまえてね(w
563名無しさん@4周年:04/01/05 21:21 ID:hVG3zQQ2
>>551
>とかいうすりかえは今回の件については成り立たないだろ。問題の
>個人情報ファイルは「公開されていない」。

じゃあ、何で、web serverのマシン上に存在してたの?
#たとえ、ごく限られた対象(ACCSのスタッフのみとか)でも、
#web経由でアクセスさせることを目的としてたわけじゃないの?

もし、本当にマシン上にただあっただけならいいけど、これが
例えば、たった一人がアクセスするためのものだったとしても
web経由でのアクセスを目的で置かれたファイルなら、すり替えは
成り立っちゃうよ。
564名無しさん@4周年:04/01/05 21:21 ID:eayu69Fd
>>562
「俺ルール」と「法律」は別物。
だから君は俺ルールで逝けばいい。その責任自分で取れるなら。

止めないから(w
565名無しさん@4周年:04/01/05 21:22 ID:CCNiIQ9q
ちなみにあんたのやったコレ



http://stick.newsplus.jp/id.cgi?bbs=newsplus&word=CCNiIQ9q


不正アクセスになるからね(w
566563:04/01/05 21:24 ID:hVG3zQQ2
しまった、「さげ」ってひらがなで入れちまったから
delete2回押そうと思ったら、間違って、Enter2回押しちまった...
ウツダシノウ...
567名無しさん@4周年:04/01/05 21:24 ID:2dItI8Xy
>>552
ハニーポットってコンピュータ用語ではおとり捜査のえさとちゃうよ。
外部から見て本物そっくりの環境を作って、クラックを誘って
フォレンシックに未知のクラック方法を知るために使うんだよ。
/etc/passwdとかが見える場合もあるけど、本物のユーザー情報が
入ってるわけじゃない。

本物のシステムに穴をあけて、本物の個人情報を置いといて、
犯罪者を捕まえるためにあるんじゃないってば(w

568名無しさん@4周年:04/01/05 21:26 ID:mn33bNaG
>じゃあ、何で、web serverのマシン上に存在してたの?
>#たとえ、ごく限られた対象(ACCSのスタッフのみとか)でも、
>#web経由でアクセスさせることを目的としてたわけじゃないの?

何言いたいのか全然わかんないっす。web上のフォームから個人情報入り
相談受け付けて、それをwebサーバ上のファイルに保存する。掲示板なんか
もやってることだな。
569名無しさん@4周年:04/01/05 21:26 ID:ULiJf+w/
お受験板にて厨房発見!削除依頼をださせよう。
http://school2.2ch.net/test/read.cgi/ojyuken/1073136468/l50
570Ё:04/01/05 21:27 ID:5e+33ozC
このスレで珍獣が出てくるとは。
571名無しさん@4周年:04/01/05 21:28 ID:MQnZSkSu
全国の40歳で男性の国立大学研究員を虱潰しに探せばそのうちOfficeさんに会えるということが分かりました。
572名無しさん@4周年:04/01/05 21:29 ID:mn33bNaG
>>562
ヴァカも休み休み言えよ。そのファイルを表示できるCGIで表示するための
対象ファイルの名称がweb上に表示されてたのか?
573名無しさん@4周年:04/01/05 21:30 ID:CCNiIQ9q
>>572
>対象ファイルの名称がweb上に表示されてたのか?

されてねーけどなにか?(w
574名無しさん@4周年:04/01/05 21:33 ID:LLQd042T
ACCSって必要あるのか?
K察よネット狩りばかりやっとらんで3国人犯罪取り締まれ
575名無しさん@4周年:04/01/05 21:34 ID:eayu69Fd
>>567
おとり捜査用のダミーシステムも「ハニーポッド」って言う場合があるんですよ。
技術用語と法的用語の狭間辺りに属するのではないかと思いますが。
アメリカでペドフィリアの一斉摘発のために構成された偽BBSも「ハニーポッド」って
言ってました>FBI
576名無しさん@4周年:04/01/05 21:35 ID:mn33bNaG
577名無しさん@4周年:04/01/05 21:39 ID:H3OeRd6W
>>168
去年の年頭からやってないと言うことだろう。

は、さておき、

ストリーキングしていた人が逆切れしたという感じだな。
578名無しさん@4周年:04/01/05 21:39 ID:2dItI8Xy
>>575
そーなのか、勉強になりますた。

>>563
これはサーバー管理者にその意図がなくても、Webディレクトリ以外の部分
(個人情報格納ディレクトリ)がcgiのセキュリティホールのせいで外部に公開されていた、
ってことじゃないの?


579名無しさん@4周年:04/01/05 22:21 ID:IY9zR8hg
そういえば昔PC Japanあたりの厨房雑誌でセキュリティ関連の話題の連載をしていた
SRAの奴が銀行にアタックを仕掛けて成功していたことを自分のサイトで自慢していたが
そいつは社内からやっていたそうで懲戒免職処分になったのを思い出したよ。
名前はなんと言ったかな。
580名無しさん@4周年:04/01/05 22:34 ID:pOpJmK+x
>>577
うまい表現。
こういう事件が有った後は逆切れするところが増えそうだから、踏み台になっている
サイトを見つけても暫く連絡するのは止めておこう。
581名無しさん@4周年:04/01/05 22:41 ID:eayu69Fd
>>579
あ、そうそう、>>514で言ってた『セキュリティゴロ』って表現、多分今経産省系の
話でしゃしゃり出てくる「自称専門家」のほぼ全部に当てはまるように思われ。
582名無しさん@4周年:04/01/05 23:26 ID:7RakNuIN
指導熱心な先生でしたが行き過ぎることがあるようです。
XSS脆弱性を指摘するときも「実演」してくれます。
しかも消すと怒る。


583名無しさん@4周年:04/01/06 01:22 ID:Dh9uUtVs
本人も心外だそうな。どの部分か知らないが。
584名無しさん@4周年:04/01/06 06:09 ID:JpTxCz9a
>>583
どうせ一問一答部分で誤解を招く書き方をされたって所でしょ。
あとは朝日の記事での用語の使われ方とか。

何をどう言おうが個人情報を晒した罪に変わりは無いんだがな。
585名無しさん@4周年:04/01/06 06:57 ID:/ZdAJqUD
>>584
了解無しのアタックテスト(アレがテストというならの話だが)やったってのも付け足しとけ。
とりあえずああいう俺ルールのゴロがゴーロゴロって時代は終わっている。
586名無しさん@4周年:04/01/06 06:58 ID:KTpDSGkI
公表された個人情報の一部
http://www.geocities.co.jp/SiliconValley-Sunnyvale/5684/
587名無しさん@4周年:04/01/06 07:00 ID:cZbS81IL
>>584
あれは自分のサイトで面白おかしく晒していたようにしか見えんぞ。
588名無しさん@4周年:04/01/06 08:22 ID:Rsrq+Qxj
ACCSが不用意に必要もない個人情報を集めた罪も大きいよね。

もっとも騙されるほうが馬鹿なんだけどね。
589名無しさん@4周年:04/01/06 11:59 ID:ly5IobCZ
全部M$が悪いんだよ
590名無しさん@4周年:04/01/06 12:34 ID:FVIiSDeQ
ACCS関係者にはOFFICEのような有能な技術者がいなかったんだね
591名無しさん@4周年:04/01/06 12:47 ID:xoVqxO1z
つまらん釣りイラネ。
592フサフサ:04/01/06 12:57 ID:lCmEQRni
それぞれがそれぞれでダメダメだから論点が絞れないぜ!
593名無しさん@4周年:04/01/06 13:18 ID:MlqgBGV1
ところでダダ漏れだったのは、ただの質問、不正使用のちくり情報。どっちなんだろうねぇ。
漏らした所の人はただの質問だったと言ってた様だけど。
不正使用のちくりで送信した人へはっきり報告しないと、ガクブルしてる人が多いんじゃない?

情報漏れてその後の生活に影響出たら一生補償します。
ぐらい書いてもらわないと、恐くてチクれ無いね。
594名無しさん@4周年:04/01/06 13:19 ID:cLrKNBX6
そもそも問題のイベント団体ttp://www.ad200x.net/からは個人情報流しに
ついて何らの謝罪もなく、しかも事件発覚後officeを含む責任者リスト
ttp://www.ad200x.net/members.htmlはあわただしく削除されている
(googleキャッシュで閲覧可能)
ttp://www.google.co.jp/search?q=cache:m2klpBRoGAAJ:www.ad200x.net/members.html+&hl=ja&ie=UTF-8
595名無しさん@4周年:04/01/06 13:28 ID:5JbP23GX
highwayblood を思い出すナァ、、、
596森の妖精さん:04/01/06 13:30 ID:R2tjn1DF
>>595
You is big fool ってか。
597名無しさん@4周年:04/01/06 13:32 ID:ENp0oKCp
そう言えば「はてな」でも変なおっさんが騒いでいるな
598名無しさん@4周年:04/01/06 13:32 ID:pt8RMwcD
ここでも言われているが松田達の無責任さが際立つんだよな。
http://pc.2ch.net/test/read.cgi/sec/1068634932/

松田の掲示板Exterminate BBSではイベント終了後
自画自賛のコメントを書き込んでいたが
掲示板を削除して証拠隠滅を図ったようだしな。
http://dmnz.org/bakaboku/
599名無しさん@4周年:04/01/06 13:35 ID:pt8RMwcD
600名無しさん@4周年:04/01/06 13:59 ID:FRK2Aygc
>>598
dmnz->under construction->under construction->・・・->page not found
口も達者のようですが、逃げ足も速いようですね
601名無しさん@4周年:04/01/06 14:22 ID:qN2pH0Ii
必死になってADだかACCSだかを煽ろうとしてる厨房うぜえな。
602名無しさん@4周年:04/01/06 14:27 ID:cLrKNBX6
     ,.ィ , - 、._     、
     ,イ/ l/       ̄ ̄`ヽ!__
  ト/ |' {              `ヽ.         ,ヘ  ,ヘ
N│ ヽ. `                 ヽ      /ヽ /  ∨
N.ヽ.ヽ、            ,        } l\/  `′朝日新聞とNHKと内閣官房と総務省と
 ヽヽ.\         ,.ィイハ     | _| IBMとみずほ銀行と伊藤忠とNTTとGNUと共同通信
ヾニー __ _ -=_彡ソノ u_\ヽ、  |\ と産経新聞と(ryと2chが裏で繋がっていてofficeを
     ゙̄r=<‐モミ、ニr;==ェ;ュ<_ゞ-=7´ヽ> 組織的に抹殺しようとしてるんだよ!!
      l    ̄リーh ` ー‐‐' l‐''´冫)'∠_ttp://www.office.ac/tearoom/noframe.cgi
     ゙iー- イ'__ ヽ、..___ノ   トr‐' /ttp://slashdot.jp/comments.pl?sid=146273&cid=466236
     l   `___,.、     u ./│ /_ttp://pc.2ch.net/test/read.cgi/sec/1068634932/
      ヽ.  }z‐r--|     /  ト,    |ttp://news5.2ch.net/test/read.cgi/newsplus/1073154471/
         >、`ー-- '  ./  / |ヽ  l/ttp://www.asahi.com/national/update/0104/003.html
    _,./| ヽ`ー--‐ _´.. ‐''´   ./  \、   \/ ヽ/\/ ヽ/
'''"  ̄ /  :|   ,ゝ=<      /    | `'''‐- 、.._
    /   !./l;';';';';';';\    ./    │   _
    _,> '´|l. ミ:ゝ、;';';_/,´\  ./|._ , --、 | i´!⌒!l  r:,=i   
    |     |:.l. /';';';';';|=  ヽ/:.| .|l⌒l lニ._ | ゙ー=':| |. L._」 ))
    l.    |:.:.l./';';';';';';'!    /:.:.| i´|.ー‐' | / |    |. !   l
    l.   |:.:.:.!';';';';';';';'|  /:.:.:.:!.|"'|.   l'  │-==:|. ! ==l   ,. -‐;
    l   |:.:.:.:l;';';';';';';';| /:.:.:.:.:| i=!ー=;: l   |    l. |   | /   //
      l  |:.:.:.:.:l;';';';';';';'|/:.:.:.:.:.:.!│ l    l、 :|    | } _|,.{::  7 ))
603名無しさん@4周年:04/01/06 14:34 ID:lsBGybpM
誰か教えて下さい
最近PCの電源落とそうとすると
[このコンピュータに接続しているユーザーがいます
電源落としてもいいですか]ってメッセージが出ることがある
なんか知らないユーザーが接続してるんだけど
これってなに?
フォルダの共有はしてないけど誰かにファイルをいじられたりする可能性あり?
これってやばいの?
ちなみにWin95です。
604名無しさん@4周年:04/01/06 14:35 ID:LfMBXUE3
605名無しさん@4周年:04/01/06 14:36 ID:6aDcvurI
これほど工作員がいるスレも珍しいな
606名無しさん@4周年:04/01/06 14:38 ID:8bj9qpj1
↑ しんぱいイラン そのまま電源をきってよか
  旧式では、接続関連のプログラムがハングアップしているんだろう
  おれのもよくあった。
  しかし、不便だね。毎回AC電源をきるのは!
WIN95なんて。。せめてWIN98にしたら
607名無しさん@4周年:04/01/06 14:42 ID:cLrKNBX6
>>604

どこが?

2003年11月8日 office侵入、個人情報取得
2003年11月8日夜 office、イベントAD200Xで侵入方法&個人情報発表
2003年11月9日 office、ACCSにはじめて問題を通知
2003年11月9日 ACCS、問題のページを閉鎖
608名無しさん@4周年:04/01/06 14:53 ID:u7r1Oy/t
>>598

Jarkの掲示板とサイトはイベント開催前から閉じてたろ
おまえあっちのスレで煽ってる黒川かえるとかいうアホウか?
609名無しさん@4周年:04/01/06 15:06 ID:cLrKNBX6
>>608

>http://pc.2ch.net/test/read.cgi/sec/1068634932/

イベント開催後に閉じたんですけど。というかなんで大事なイベント開催前
に閉じる必要があるのかサパーリ。松田誠司氏は上司に叱られるまで
全然事の重大さに気付かずイベントでもゲラゲラ笑いながらofficeの発表
見てたんですから。
610名無しさん@4周年:04/01/06 15:13 ID:nObpOVnC
みんなscript kiddiesと大差ないメンタリティなんだね。
611名無しさん@4周年:04/01/06 15:14 ID:DFaw1L9f
課長・・・あいかわらず




「インターネットって電器屋に売ってる?」って聞くンすね・・・
612名無しさん@4周年:04/01/06 15:59 ID:4a19azYR
>黒川かえる
そっちのスレは読んでないので近況はしらんが
昔TVのインタビューでトンチンカンな質問に対し
トンチンカンな回答をしてインタビュアーをいじめてたことだけ覚えてる

Q.日本の業界のファイアウォールのレベルはどんな状況なんですか?
 (セキュリティ体制のレベルという意味か)
A.クラッカーにとってはファイアウォールがあってもなくてもほとんど変わりません。
こんなかんじ
613名無しさん@4周年:04/01/06 16:58 ID:SOgLnXv2
614名無しさん@4周年:04/01/06 17:53 ID:cLrKNBX6
>>613
>>598は掲示板の話なんですが
    ~~~~~
615名無しさん@4周年:04/01/06 19:25 ID:/ZdAJqUD
>>610
本物のクラッカーはテロリストと同種だし、今回みたいな事件起こすヤシらは
script kiddiesと大差ない。

技術云々言う連中=煽り馬鹿ってのが昨今の現状かも。

金銭的な被害を伴うコンピュータ犯罪の相当数が内部犯行。
愉快犯≒テロリストな連中のやることは、するべき事してればアフォに
煽られなくても防御出来るかと。
プロの手を借りなければならないのは別の世界での話。
616名無しさん@4周年:04/01/06 23:14 ID:a94LhDE0
617名無しさん@4周年:04/01/06 23:20 ID:a94LhDE0
ACCS関連スレとかクローン携帯関連スレは、
毎回すごく似たような展開を見せるね。
まあ、どっちも仕事上2chで縄張りにしてる板があるから
しかたないのですがね。

でも、読んでていっつも思うのだけど、、、
「もうすこしうまく話を逸らせないの?」


露骨過ぎるとバレバレでかえって浮いちゃうよ?
618名無しさん@4周年:04/01/07 00:34 ID:T+5yLOCM
ひろみちゅマンセー
619名無しさん@4周年:04/01/07 02:30 ID:GdYD3ifw
バガボンドのお仲間が庇ってくれているよ
http://headlines.yahoo.co.jp/hl?a=20040106-00000011-vgb-sci
620名無しさん@4周年:04/01/07 06:50 ID:+Wx7XIhp
>>619
Scanは検証のツメが甘すぎるのでダメダメです。
セキュ板の書き込み転載して垂れ流したあげく自前の検証を怠って自爆してるぐらいだから。
621名無しさん@4周年:04/01/07 10:29 ID:GdYD3ifw
622名無しさん@4周年:04/01/07 10:52 ID:Isauze5E
エロ動画落とせよ
623名無しさん@4周年:04/01/07 14:27 ID:vZ7zw4sT
Officeの本名マダー?
624名無しさん@4周年:04/01/07 15:07 ID:lri88KeT
つうか、Jarkの謝罪まだー?
625名無しさん@4周年:04/01/07 15:10 ID:c43Z/O4M
>>623

http://pc.2ch.net/test/read.cgi/sec/1020821174/100-116
によると「たけだ なおひら」の可能性がある(nic.acには居住地を虚偽
登録してるのでチクられるとあぼーん。名前も虚偽?)
626名無しさん@4周年:04/01/07 23:14 ID:+Wx7XIhp
漏れとしては、このまま関係者全員あぼ〜んした方が良いように思うわけだ。
欧米じゃ表で騒ぐヤシと、実際に業務に従事するヤシは互いに互いの縄張り
荒らさないようになってるんだが、日本の場合は表で騒ぐヤシが実際に
業務に従事してるヤシが居ることを理解出来ないぐらいに社会的スキルが
低いので、こういう「馬鹿」としか言いようのない事態が起こる。

『技術馬鹿より、犯罪心理やり込んだ有能なヤツの方が欲しい』と話していた
ヤシもいたぞ>現場
627名無しさん@4周年:04/01/08 00:17 ID:jci3LPnx
ダンマリ決め込んでるふぁあすと鯖には間違いなくしんでほしいな。
628名無しさん@4周年:04/01/08 00:58 ID:CI2TZ8GG
>>627

というか今回の朝日新聞の記事ってファーストサーバーが目くらましのために仕組んだんじゃないかな?
記事の中にファーストサーバーのことに関してほとんど触れていなかったのはかなり妙な感じ
世論を盛り立ててoffice逮捕でこの件を終わりにしてそのままだんまりを決め込むつもりかも

まあ、officeは逮捕されてもしかたないと思うけどファーストサーバーが何も表明しないのはひどい話だよね
629名無しさん@4周年:04/01/08 01:48 ID:M6fjLPc2
>>628

陰謀説は「ネットアンドセキュリティ総研」の匿名仲間>>619や小島肇タン>>621
だけで結構
630名無しさん@4周年:04/01/08 01:49 ID:EmreHNRv
人間をマインドコントロールするとは!
ACCS、許さん!!
631名無しさん@4周年:04/01/08 02:05 ID:4fchUdvB
>>629

あながち陰謀説と言えない部分もあるな
確かに新聞の一面を飾るにはあまりにも記事として内容がお粗末だし
何らかのバイアスがかかった印象を受ける
しかも実質的なサービス(CGI)の提供者であるファーストサーバー
についてあまり触れられていないのは世論操作とも感じられるし
あの内容であればそこに言及されていてもおかしくない


>>630

わざと読み違えているのはわかるけどそこまで露骨なコントロールはどうよ?
まあ2chの醍醐味だが(w
632ま、お約束ですが:04/01/08 02:37 ID:M6fjLPc2
     ,.ィ , - 、._     、
     ,イ/ l/       ̄ ̄`ヽ!__
  ト/ |' {              `ヽ.         ,ヘ  ,ヘ
N│ ヽ. `                 ヽ      /ヽ /  ∨
N.ヽ.ヽ、            ,        } l\/  `′朝日新聞とNHKと内閣官房と総務省と
 ヽヽ.\         ,.ィイハ     | _| IBMとみずほ銀行と伊藤忠とNTTとGNUと共同通信
ヾニー __ _ -=_彡ソノ u_\ヽ、  |\ と産経新聞と(ryと2chが裏で繋がっていてofficeとネット
     ゙̄r=<‐モミ、ニr;==ェ;ュ<_ゞ-=7´> アンドセキュリティ総研を組織的に抹殺しようとしてるんだよ!!
      l    ̄リーh ` ー‐‐' l‐''´冫∠_ttp://www.office.ac/tearoom/noframe.cgi
     ゙iー- イ'__ ヽ、..___ノ   トr‐./ttp://slashdot.jp/comments.pl?sid=146273&cid=466236
     l   `___,.、     u ./│/_ttp://pc.2ch.net/test/read.cgi/sec/1068634932/
      ヽ.  }z‐r--|     /  ト,    |ttp://news5.2ch.net/test/read.cgi/newsplus/1073154471/
         >、`ー-- '  ./  / |ヽ  l/ttp://www.asahi.com/national/update/0104/003.html
    _,./| ヽ`ー--‐ _´.. ‐''´   ./  \、ttp://headlines.yahoo.co.jp/hl?a=20040106-00000011-vgb-sci
'''"  ̄ /  :|   ,ゝ=<      /    | `'''‐- 、.._
    /   !./l;';';';';';';\    ./    │   _
    _,> '´|l. ミ:ゝ、;';';_/,´\  ./|._ , --、 | i´!⌒!l  r:,=i   
    |     |:.l. /';';';';';|=  ヽ/:.| .|l⌒l lニ._ | ゙ー=':| |. L._」 ))
    l.    |:.:.l./';';';';';';'!    /:.:.| i´|.ー‐' | / |    |. !   l
    l.   |:.:.:.!';';';';';';';'|  /:.:.:.:!.|"'|.   l'  │-==:|. ! ==l   ,. -‐;
    l   |:.:.:.:l;';';';';';';';| /:.:.:.:.:| i=!ー=;: l   |    l. |   | /   //
      l  |:.:.:.:.:l;';';';';';';'|/:.:.:.:.:.:.!│ l    l、 :|    | } _|,.{::  7 ))
633& ◆R7PNoCmXUc :04/01/08 02:50 ID:M6fjLPc2
>>629
>あながち陰謀説と言えない部分もあるな
>確かに新聞の一面を飾るにはあまりにも記事として内容がお粗末だし
>何らかのバイアスがかかった印象を受ける
>しかも実質的なサービス(CGI)の提供者であるファーストサーバー
>についてあまり触れられていないのは世論操作とも感じられるし
>あの内容であればそこに言及されていてもおかしくない

一面の記事にふさわしいかどうかは、ネット経由の個人情報漏れがそれだけ
大きな問題だと言うだけだろう。しかも、TBCとかそういうのと違い、犯人は
明確でインタビューまである以上、記事としてのわかりやすさは申し分ない。

ファーストサーバについては、このスレに書き込んでる半数が誤解してる
ようだが、11月の最初のACCS記者会見ニュース時点で断罪されてしかる
べきで、あくまで今回の>>1の主役はoffice。ではなぜ今これが取り上げ
られるのかというと、11月のニュースの時点では、officeがACCSに通告
する前に自分で侵入して個人情報を入手しあまつさえ有料イベントの出し物
として手口とともに公開していたことが発覚していなかったから。今回は
そこがニュースなので、ACCS/ファーストサーバは問題の背景に過ぎない。
634名無しさん@4周年:04/01/08 02:57 ID:z4lOsHBl
俺が思うに非公開の領域にファイルとしてデータを保存しているから盗まれる。

つまり、ファイヤーウォール内のローカルIPのみを持つ別サーバー内に

データを保存しておいて、CGIはその別サーバとローカルIPによる通信でデータを取ってくるようにすれば

防げると思う。

635名無しさん@4周年:04/01/08 03:45 ID:joJtAScl
>>634
プ
そしてSQLインジェクションで漏れるという罠
しかも加えて改変消去可能に ワラ
636名無しさん@4周年:04/01/08 03:50 ID:pQpxC09Q
とりあえず、思うこと。
住基ネットも危険なのでは?
個人情報のかたまりが流出してはどう悪用されるかと思うと・・・
637名無しさん@4周年:04/01/08 04:01 ID:zRkTqxRW
役所の人間の個人情報の扱い方をみると、
コンピュータの方が安全。
痕跡も残るし、消しても消した形跡が残るし。
638名無しさん@4周年:04/01/08 04:05 ID:z4lOsHBl
>>635
誰もSQLデータベースを使えとは書いてないよ。
639名無しさん@4周年:04/01/08 04:06 ID:vyV/XlGZ
痕跡が残ろうが何だろうが、情報漏洩者をまともに処罰しないのだから無意味。
技術がどうこうなど関係者のオナニーでしかない。
640名無しさん@4周年:04/01/08 04:11 ID:zRkTqxRW
今でも、自由に市役所で本人に知られる事無く
簡単な手続きで業者が個人情報を漁っているのはどういうことか?
641名無しさん@4周年:04/01/08 04:15 ID:HVXkackX
642名無しさん@4周年:04/01/08 04:31 ID:zRkTqxRW
643名無しさん@4周年:04/01/08 04:38 ID:joJtAScl
> CGIはその別サーバとローカルIPによる通信でデータを取ってくるようにすれば

プゲラ
CGIのファイル目指定「機能」引数経由で別サーバからローカルIP経由で読み出してブラウザに応答する罠
644名無しさん@4周年:04/01/08 07:05 ID:fZjk1bic
>>629
しかしなぁ、「ネットアンドセキュリティ総研」って何よ?
調査一つまともに出来ないのに(w

表に出てる連中なんて、あの業界ではただのピエロなんだから
自己認識して当たり障りない、世間に迷惑掛けない記事だけにしとけ(w
645名無しさん@4周年:04/01/08 10:03 ID:5pkGikvH
裏にあこがれた厨のいるスレはここですかな?
646名無しさん@4周年:04/01/08 11:50 ID:cYHv0Ah4
>>645
表層しか見えない視野狭窄の厨もいますよ。
647名無しさん@4周年:04/01/08 11:58 ID:joJtAScl
>>631
> 確かに新聞の一面を飾るにはあまりにも記事として内容がお粗末だし

じゃあ、模範的な記事をここに書いてみて。
648名無しさん@4周年:04/01/08 12:02 ID:CI2TZ8GG
>>647

朝日新聞の方ですか?
ご苦労様です
649名無しさん@4周年:04/01/08 12:16 ID:joJtAScl
>>648
いいえ。陰謀論依存症の人を更生したいと願う者です。
650名無しさん@4周年:04/01/08 12:24 ID:EaG9w0yG
朝日新聞を購読しましょう

http://www.asahicom.com/
651名無しさん@4周年:04/01/08 12:42 ID:HReVqDv9
>>633の話でやっと話が掴めた。
JPCERT/CC, ACCS, FirstServer, KUBOTAへの連絡はA.D.2003での発表の後であって
連絡しても反応が返ってこなかったので実力行使に出たというよくある話とは違うのだね。
http://www.office.ac/tearoom/noframe.cgi#No.1613
652名無しさん@4周年:04/01/08 13:03 ID:APzCJItP
>>651
そう。

ただし、本当に個人情報ファイルが引き出せるかは、その場で初めて試したということらしい。
誰だったかの日記によると、PHSでプレゼン中に初めて試すつもりが、電波が届かない場所だたため
プレゼン直前に実行してパワポ画面に貼ってプレゼンしたらしい。
連絡した時刻がプレゼン終了の何分後かは不明。

しかし、個人情報ファイル以外のファイルで読めるかどうか試すのは、事前に行っていたのではないか。
653名無しさん@4周年:04/01/08 16:24 ID:kCkgShHd
★給料いくらくらいもらってんだろ?
★なんてったって24時間勤務だからなあ!

平日なのに徹夜して嫌煙の悪口言いながらJT産煙草の宣伝必死の洗脳低脳アルツ発見!
http://life.2ch.net/test/read.cgi/cigaret/1073402921/
654名無しさん@4周年:04/01/08 17:28 ID:QXc3QVtD
http://www.ad200x.net/

かなり遅い対応だったけど、A.D.の方は筋を通したね。
655名無しさん@4周年:04/01/08 18:43 ID:nO/OUQ+4
officeってadのメンバーじゃなかったの?
656名無しさん@4周年:04/01/08 19:10 ID:M6fjLPc2
>>654
自由な発表のため査読しなかったとか書いてるけど実際の所office
がAD200Xのコアメンバーだから査読も何も無かっただけだな。
http://www.google.co.jp/search?q=cache:m2klpBRoGAAJ:www.ad200x.net/members.html+&hl=ja&ie=UTF-8
やってることがいちいち小狡い。>AD200X トカゲの尻尾切りならぬ
首切りを敢行すべきなんだがね
657名無しさん@4周年:04/01/08 19:26 ID:fZjk1bic
>>654
アレが「筋」だと思える段階で|ι´Д`|っ < だめぽ
658名無しさん@4周年:04/01/08 20:06 ID:YC2PGXPl
>>657

でも少なくともファーストサーバーよりは筋が通ってるな(w
659名無しさん@4周年:04/01/08 21:34 ID:HceUdDpv
>>656
もともと査読なんかしないでしょ?
660名無しさん@4周年:04/01/08 21:49 ID:fZjk1bic
査読出来るヤシがいるのかと小一時間。
661名無しさん@4周年:04/01/08 22:44 ID:M6fjLPc2
.       ∧ ∧   | ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
.       ( ´∀`) <  office君これまでご苦労だった・・・。
     <⌒i。___!>.  |_____________
     /  ^ヽ ) /~i_!! ☆
     〉    /  ! E)/ カチッ
     /   /   || ̄
    i  /|    ||
    /   |.  |  ||
   /   /|  |. ||
   / /  / |.  |. ||          鵜飼さんミステナイデ〜
 / /  |  |  |. ||             | |  | | 
/  /.   ノ. | !| |ノ.            |  || | ||
|  rー─/、_/ |.| ''ー、.          |∩ | |(\ ||
`ー'    (__}.'ー―'          _| .|___.ヽヽ.___
.                      /:::::|∧::::∧ | .| :::::::::/
                     /:::::::(´Д` ) .|::::::::/
.                    /::::::::::/    /::::::/
662名無しさん@4周年:04/01/09 01:08 ID:dZfnNyxB
あれ?みんな急に静かになったでつね(藁
663名無しさん@4周年:04/01/09 01:11 ID:NN9VY+Lx
>>639
査読なんてしません。
Linux WeekとかBSDのなんちゃらとかと同じノリ。
664名無しさん@4周年:04/01/09 01:59 ID:pusU4Esn
>>662 もうすぐタイーポの発表があるからね
665名無しさん@4周年:04/01/09 09:40 ID:hLpfpGf6
ADも十分きな臭いと思うが、そんな小さい話より、
KO大学のT教授のとこが無許可で脆弱性検査スキャナー回しまくって
大目玉食らった事件のことは知ってるか?
あれの方がよっぽどヤバい話だが、朝日は嗅ぎつけてないのかな。
666名無しさん@4周年:04/01/09 11:03 ID:yJs4InJp
>>665
blog厨房どもの話のネタにはなっても一般へのアピール効果は薄い。
ADには適わないよ。
667名無しさん@4周年:04/01/09 19:11 ID:5jS9uOq8
>>665
一応大学の研究者の話だからねぇ。
「知らない」ことがある意味まだ当たり前なので、大目玉で済む。
完全に商売な連中への態度はまた別。
不正アクセス禁止法違反の摘発は生活安全部の仕事だから。
668名無しさん@4周年:04/01/09 21:28 ID:TEsZYh5v
>>667
不正アクセス禁止法って、親告罪じゃないの?
だいたい、不正アクセスかどうかなんて、不正アクセスされたと主張する人がいなければなり立たない
管理者によっては、cgiのパラメータを、パス入りの値を送るのを正常なアクセスだとするかもしれん
669名無しさん@4周年:04/01/09 21:33 ID:5jS9uOq8
>>668
議論のすり替えを図りたいならセキュ板でやれば?
670名無しさん@4周年:04/01/09 22:12 ID:+byK9VUJ
>>643
↑officeがこんな感じだったな
671名無しさん@4周年:04/01/09 22:28 ID:jLlJZVSZ
       lヽ ノ l        l l l ヽ   ヽ
  )'ーーノ(  | |  | 、      / l| l ハヽ  |ー‐''"l
 / 電  | | |/| ハ  / / ,/ /|ノ /l / l l l| l  電 ヽ
 l   ・  i´ | ヽ、| |r|| | //--‐'"   `'メ、_lノ| /  ・  /
 |  算  l  トー-トヽ| |ノ ''"´`   rー-/// |  算 |
 |  ・   |/     | l ||、 ''"""  j ""''/ | |ヽl  ・ |
 |  厨   |       | l | ヽ,   ―   / | | l  厨  |
 |   !!  |     / | | |   ` ー-‐ ' ´|| ,ノ| | |  !! |
ノー‐---、,|    / │l、l         |レ' ,ノノ ノハ、_ノヽ
 /        / ノ⌒ヾ、  ヽ    ノハ,      |
,/      ,イーf'´ /´  \ | ,/´ |ヽl      |
     /-ト、| ┼―- 、_ヽメr' , -=l''"ハ    |  l
   ,/   | ヽ  \  _,ノーf' ´  ノノ  ヽ   | |
、_    _ ‐''l  `ー‐―''" ⌒'ー--‐'´`ヽ、_   _,ノ ノ
   ̄ ̄   |           /       ̄
672名無しさん@4周年:04/01/09 22:28 ID:OWqWCl5i
>>668

法律のことなのでマジレスすると、アク禁法は親告罪じゃない。
嘘はダメヨ
673名無しさん@4周年:04/01/09 22:52 ID:TEsZYh5v
>>672
親告罪じゃなくても、実質的には親告罪だろ?
外部の人間には、正常なアクセスか不正なアクセスかはわからない
また、もし刑事裁判になれば、攻撃を受けた方が不正アクセスだと証言しなければ有罪にならなく、
実質的に親告罪にならざるをえない
674名無しさん@4周年:04/01/09 23:03 ID:pusU4Esn
>>673

で。証言しない理由が何かあるの?証言する方が関係者にとって明らか
に有利なこの状況で。
675名無しさん@4周年:04/01/09 23:04 ID:5jS9uOq8
>>673
なるほど、そういう論理で厨は野放図にポートスキャンをするんでつね(w
676名無しさん@4周年:04/01/09 23:14 ID:CaVmPF0u
677名無しさん@4周年:04/01/09 23:23 ID:pusU4Esn
だいたいこのAD200Xという団体も他に叩けば埃出そうだけどな。
自衛官時代にAD200X主催の武田圭史とか不正アクセスツール配布の
鵜飼裕司とかコピーソフト配布の上野宣とか
http://pc.2ch.net/test/read.cgi/sec/1068634932/
678名無しさん@4周年:04/01/09 23:26 ID:5jS9uOq8
>>677
そりゃでまくりでしょう。
軍事技術なんてものに関心のない経産省の役人にすり寄る連中なんだから(w
元自衛官のくせに業界状況を理解出来てないアフォもいるようだしな(w
679名無しさん@4周年:04/01/09 23:32 ID:afQAJNRg
>>676
職業:セキュリティコンサルタント→松田誠司
職業:大学教員 →小島肇
職業:OA全般 担当者(40)→Office

分かり易すぎるぞおい
680名無しさん@4周年:04/01/09 23:38 ID:OWqWCl5i
>>673

672です。
不正アクセス禁止法は、著作権法とは違います。

このあたりが参考になるかも。
http://www.keishicho.metro.tokyo.jp/jiken/kenkyo/jiken.htm
681名無しさん@4周年:04/01/09 23:38 ID:6O1L5VNP
>>669
668じゃないけど、これって TBCと似たり寄ったりだよね。
きのうきょう PC買ったもんでもなきゃ、cgi?pics=118とかなっててエラー
出たら、削って cgi?でアクセスするよなぁ。
TBCは、削ったら indexesになっていて一覧が出てきた。
cgiを知っていたからコマンド送ったら見えた。削って見たのと同じだよ。

この手の犯罪で親告罪ってのも、人それぞれ一般常識の程度が
異なるから成り立たないと思う。
682名無しさん@4周年:04/01/09 23:45 ID:5jS9uOq8
>>681
必死だな(w
683名無しさん@4周年:04/01/09 23:50 ID:pusU4Esn
>>681
>668じゃないけど、これって TBCと似たり寄ったりだよね。

全然違う、ってか>>1から目を皿のようにして全部読んでから出直せ
684名無しさん@4周年:04/01/09 23:53 ID:gqBI/tPG
不正アクセス防止法の容疑掛けておいて
強制的に家宅捜索して万一立件が無理そうなら
不正コピーみたいなもので起訴しちゃえば?
685名無しさん@4周年:04/01/10 00:02 ID:nO5vxEMp
>>684
それ以前に十分に営業妨害で起訴できそうだが。
686名無しさん@4周年:04/01/10 04:30 ID:qk4TP3RB
AD200Xメンバーの伊原秀明の投稿「個人情報の保護に関する法律施行令」が
1月5日にされてるくせに自分らの活動に何の言及もないのでこの時点では
AD200Xが何も考えてなかったと思われる
http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/port139/2004.01/msg00002.html
687名無しさん@4周年:04/01/10 05:38 ID:rW5CIj0K
>>675
ポートスキャンは法律で定められている「不正アクセス」にははいりませんが?
688名無しさん@4周年:04/01/10 05:44 ID:rW5CIj0K
>>680
そいつが逮捕されたのは、あるサイトが不正に改竄されたといったからだろ?
警察には、どこかの馬鹿が不正に改竄したのと、正当な権限を持つ管理者が改竄されたかのような
ページを作ったのかわからない

まあ、親告罪と違う事で、わざわざ告訴しようという意志のない被害者に警察側から話を持ち込んで
立件というパターンが多いだろうけどね
689名無しさん@4周年:04/01/10 05:48 ID:Dq5fU/0b
 国防の努力義務を怠っている。


            ごもっとも!
690名無しさん@4周年:04/01/10 06:28 ID:qk4TP3RB
>>676

ネットアンドセキュリティ総研の掛橋、office主催イベント@random支持
サイト「常時接続の宴」のMLでアンケート協力要請
http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect24h/2004.01/msg00019.html
691名無しさん@4周年:04/01/10 09:35 ID:ccQR5aty
まさか47氏じゃないだろうな
692名無しさん@4周年:04/01/10 09:54 ID:C+y2HKLi
>>158
これは・・・・・なあ。たしかにoffice氏は少しかわいそうだ
693名無しさん@4周年:04/01/10 10:07 ID:qk4TP3RB
694名無しさん@4周年:04/01/10 10:16 ID:9qBo4xcL
695名無しさん@4周年:04/01/10 10:19 ID:qk4TP3RB
696名無しさん@4周年:04/01/10 10:30 ID:9qBo4xcL
>>694
>>537
>この場合「識別符号」じゃなくて「認証を回避する行為」として不正アクセス
>禁止法に於ける禁止行為になるの。
697名無しさん@4周年:04/01/10 10:33 ID:9qBo4xcL
698名無しさん@4周年:04/01/10 10:39 ID:9qBo4xcL
>>697
>>540
> この規定ないとXSS脆弱性利用してのアタックも取り締まれなくなるんですけど。

それはクッキーが識別符号かな

....違うっぽいな...
699名無しさん@4周年:04/01/10 13:23 ID:909yPR0Y
700名無しさん@4周年:04/01/10 15:28 ID:OpSkhc8u
立花書房から解説書出てるからきちんと読めや《゚Д゚》ゴラァァァァァァァァァァァァア!!
http://tachibanashobo.co.jp/mokuroku/html/200110-1.html

不正アクセス禁止法語りたいならこれと警察学論集にいくつか評釈があった筈だが。
サイバー犯罪防止条約とか。

ハカー気取りの!厨がゆんゆん発生させる電波(゚听)イラネ
701681:04/01/10 18:55 ID:hHgbAmfp
>>683
>681の 1行目だけでなく、その下の方まで読んで >683を書いてくれた?

このスレ読んで、slash dot読んで出た結論なんだが、結局、cgiへどんな
コマンド送ったのか、どう突破したのか、漏れたのがそこへ置かれている
のは一般的なことなのか、はっきり報道されてないよね?

ただ単に、その cgiに組み込まれているコマンドを送ってみたら出てきた。
って俺は認識なんだけど、それも不正なのか?って思うな、やはり。
それだったら、ディレクトリー削ったら出てきた。も処罰対象の行為になるぞ。
702名無しさん@4周年:04/01/10 19:15 ID:OpSkhc8u
>>681
不正です(どきっぱり)。
ディレクトリ削ったのとどこが違うかはきちんと逐条解説嫁。
703名無しさん@4周年:04/01/10 19:17 ID:qk4TP3RB
>>701

ディレクトリをさかのぼるという行為と、類推したファイル名を含むコマンド
を送信することとの差異がどれほどであるかは、裁判所が決めることであって、
ここで断定する筋合いのことではないので君の意見も勿論一理ある。

だがしかし、ディレクトリを削ったURLを入力する行為は、一般的なweb
サーバの働きを知っていれば類推できる物であり、GETによる「一般のブラ
ウザによるアクセス」とみなされる可能性が大きい一方で、今回のoffice
の件は、特定CGIのセキュリティホールを利用する目的で、POSTによって、
コマンド(単なる組み込みではなく類推されたデータファイル名を含む)
を送信していると思われ、そこに差異があるという意見もある。
なぜなら、たとえバッファオーバーフロウのような深刻なセキュリティホ
ールであろうと、君の言い方ではそのコマンドがあらかじめ「組み込まれ
ていた」という言い方ができてしまい、そのようなセキュリティホールを
利用する行為も不正とは言えなくなってしまうからだ。

少なくとも、office本人が、弁護士のアドバイスがあったのかどうか知らない
が、正確な操作を一般に開示して弁明を図らない以上、君の意見と反対に考え
る人間が多数に上るのは仕方無いだろう。
704名無しさん@4周年:04/01/10 19:23 ID:HY4JT5Mu
>>701

とても大雑把に俺が思っていることを書くよ。
違うかもしれないから、鵜呑みにはしないでちょうだいね。

たぶんフォームのhidden属性とかで、ファイルを指定していたんじゃないかと思うんだ。
たとえばエラーページを出すためとかで、
<input type=hidden name="errorpage" value="./error.html">
とかいったことが書いてあったんじゃないかな。

そこで、たとえばこう書き換えたんじゃないかなと思うんだ。
<input type=hidden name="errorpage" value="../data/data.csv">
../data/data.csvは、スクリプトの標準的なデータ置き場と想像できる場所ね。

スクリプトの中で、単純に指定されたオプションを使ってopen()してたら、
そのままファイルを開いちゃう。

スクリプトの機能としてフォームから指定されたファイルを、
それがどんなファイルであっても開くことができたことが脆弱性だったんだろうと思ってる。
WEB の CGI からアクセスできる位置にデータファイル置いてたとか、そういう
単純なミスもあったのかも知れないね。

最終的に個人情報を流したのはまずいけど、チェックの方法自体は大して
問題じゃないだろうと思うよ。
705名無しさん@4周年:04/01/10 19:27 ID:w2MkLczQ
Exception in thread "main" java.lang.NullPointerException
706名無しさん@4周年:04/01/10 19:33 ID:OpSkhc8u
  ( ・∀・)   | | ガッ
 と    )    | |
   Y /ノ    人
    / )    <  >__Λ∩
  _/し' //. V`Д´)/
 (_フ彡        /  ←>>705

http://pc.2ch.net/test/read.cgi/sec/1068634932/
707名無しさん@4周年:04/01/10 19:51 ID:Xz6Rzrsg
参加者の感想
http://plaza.rakuten.co.jp/ladysmoker/diary/#2004-01-09
まあ高い金騙し取られて参加してしまう人だから割り引いて読むけどさ
708名無しさん@4周年:04/01/10 20:01 ID:OpSkhc8u
>>707
割り引いて、というか痛いよこの人。
709名無しさん@4周年:04/01/10 21:09 ID:Xz6Rzrsg
もっと痛い関係者の弁護
http://solaris.bluecoara.net/tdiary/?date=20040106#p01
710681:04/01/10 21:30 ID:hHgbAmfp
>>707
そのリンク先にあった netsecurityの記事が、私の一般常識に近かった。
711名無しさん@4周年:04/01/10 21:35 ID:Mx3W3rA7
>>703
>GETによる「一般のブラウザによるアクセス」とみなされる可能性が大きい一方で、今回のofficeの件は、
>POSTによって、コマンドを送信していると思われ、そこに差異があるという意見もある。

POST だって「ボタンを押す」という「一般のブラウザによるアクセス」とも言える。みんな使ってるよね。
こういうのはどうだ。
>>704 みたいに hidden なんていう一般人の理解を超えたものを使うんじゃなくて、
ただの普通のファイル名入力画面にする。

<html>
<form action="ttp://askaccs.jp/cgi-bin/xxxx" method="post">
表示するファイルのパス名を入力してください:<input name="errorpage" value="">
<input type="button" name="表示" value="表示">
</form>
</html>
712名無しさん@4周年:04/01/10 21:36 ID:OpSkhc8u
>>710
あの連中はすでに時代の変化から取り残されてるので注意した方が。
現状ああまで脳天気じゃない。
9.11以降あちこちでセキュリティというものに対する態度が変わっている。
日本も脳天気の見本とはいえ、脳天気にやってるのは経産省系の
テロとか軍事技術に関心のないお役人とそれに規制してるアホだけ。
713名無しさん@4周年:04/01/10 21:40 ID:OpSkhc8u
規制→寄生

スマソ。
714名無しさん@4周年:04/01/10 21:51 ID:qk4TP3RB
>>711 明らかにあり得ない仮定の話されても何を言いたいのかサパーリなんですけど?
715名無しさん@4周年:04/01/10 22:22 ID:9qBo4xcL
>>714
“あり得ない”の意味がわからぬ

>>703
>そこに差異があるという意見もある。
ここまではわかるけど

>なぜなら、たとえバッファオーバーフロウのような深刻なセキュリティホ
>ールであろうと、君の言い方ではそのコマンドがあらかじめ「組み込まれ
>ていた」という言い方ができてしまい、

そんなこと言えるか?

>そのようなセキュリティホールを
>利用する行為も不正とは言えなくなってしまうからだ。

飛躍がありすぎる
716名無しさん@4周年:04/01/10 22:37 ID:OpSkhc8u
>>715
基本的には、認証を必要とする状態で置かれているファイルをその認証を
回避出来る手段を使って引っこ抜いた場合問答無用でアウト>不正アクセス禁止法
717名無しさん@4周年:04/01/10 22:56 ID:hHgbAmfp
>>716
それは分かってるけど、今回の場合その例えとは
状況が異なってるから賛否両論あるんでしょ?
718名無しさん@4周年:04/01/10 23:02 ID:OpSkhc8u
>>717
異なってない。
http://〜 とかAnonymousFTPで閲覧可能なファイルだった?
719名無しさん@4周年:04/01/10 23:04 ID:Mx3W3rA7
>>716
>認証を必要とする状態で置かれているファイルをその認証を
>回避出来る手段を使って引っこ抜いた場合

だからさ、>>711 の HTML フォームだとどうなのよ。答えてよ。HTML が読めないわけじゃないよね。
720名無しさん@4周年:04/01/10 23:09 ID:Mx3W3rA7
>>718
http://〜 とかAnonymousFTPで閲覧可能なファイルだった?

そう、http://〜 で閲覧可能。ボタンを押すけど。
721名無しさん@4周年:04/01/10 23:13 ID:Xz6Rzrsg
>>720
会場で実際にやってみたわけじゃなく極めて限定的な仮定の話を持ちだして
一体何がやりたいんだ?
外部からのリクエストに対して直接の読み込みは不可能でも
穴のあるCGI経由で読み出せてしまうケースは結構あるぞ
722名無しさん@4周年:04/01/10 23:14 ID:qk4TP3RB
>>719-720

被害者が実際にやってもいない行為を仮定した話する利益がどこにある
のかわからんが釣られてみると、全然変わらないね。
というのは、ファイル名が明らかになっていない関係上、そのフォームを
経由して正確なファイル名を探索する行為は、パスワード入力プロンプト
に対してブルートフォースアタックを仕掛けるのと同様の行為だからだ。
723名無しさん@4周年:04/01/10 23:16 ID:zk8JUYeL
>>722
ミイラ取りがミイラになった瞬間を見た。
724名無しさん@4周年:04/01/10 23:17 ID:Mx3W3rA7
>>722
被害者じゃなくて攻撃者だろ。推敲しろよ。

>>721
>一体何がやりたいんだ?

頭悪すぎ。>>722 は頭が良い。
725名無しさん@4周年:04/01/10 23:18 ID:qk4TP3RB
ていうかこのパターン何回繰り返せば済むんだ、工作員君よ?
>>723
>>576
726名無しさん@4周年:04/01/10 23:23 ID:HY4JT5Mu
>>724

いいや、馬鹿だ。おまいも含めてな。
727名無しさん@4周年:04/01/10 23:24 ID:qk4TP3RB
>>724
いや、それは被害者。攻撃者が用意したなら、攻撃者が悪いという事は
必然の結論で一々論ずるまでもない。

ついでに
>>726
>>543
728名無しさん@4周年:04/01/10 23:26 ID:HY4JT5Mu
>>727

ああ、>>543 も馬鹿だから(笑
729名無しさん@4周年:04/01/10 23:27 ID:Mx3W3rA7
おれは単に偏らない議論がしたいだけ。どっちの味方でもない。

結局のところ結論はこうだと思う。
当該行為の通信内容や操作内容では白黒は付けられない。
「ファイル名を類推」した目的は何かといった行為者の意図を問うしかない。
だが不正アクセス禁止法の法文がそうなっているのかどうか。
730名無しさん@4周年:04/01/10 23:31 ID:HY4JT5Mu
>>729

なっていない。
長文になるんで引用を避けるが、法文を見ると識別符号を第三者が利用したか、
識別符号を漏洩したか、アクセス制御機構を迂回したかの三点についてのみ
規制されている。

CGI パラメータに指定されたファイルを出力するスクリプトにアクセス制御機構が
あったなら、もちろん不正アクセス禁止法にひっかかるだろう。
たとえば掲示板の管理者権限乗っ取りみたいなことでね。

でも、アクセス制御機構はあったのかな?
俺にはその有無はわからんけどね。
731名無しさん@4周年:04/01/10 23:32 ID:OpSkhc8u
>>720
ファイル名直打ちとcgi経由の呼出しの意味すら分かっていないヤシには
難しすぎる話だったか? つか判ってて揚げ足取りか(w

前にも書いたが、cgiに不正な引数投げ込んでデータファイルを読み込む行為は
禁止行為に該当します。>>711の形式に於いては引数部分を不特定多数の
人間が任意に指定することを想定してhtmlソースが書かれているので、ここに
任意の引数を入力することは当然問題ない。
まぁここで探索ってな事になってくると>>722って問題が出てくるんだが、その辺の
検討は資料探すの面倒なのであとまわし。
で、これがボタンに特定の引数を割り当ててあった場合に、cgiの引数に閲覧者が
任意の引数を投入して、認証が必要な領域にあるファイルを閲覧した場合には
不正アクセス禁止法に明確に違反する。

日本の不正アクセス禁止法ってやっぱザルだわ。それでも引っかかるような
行為自慢しまくるあの阿呆のアホぶりには脱帽だね。


732名無しさん@4周年:04/01/10 23:35 ID:HY4JT5Mu
>>731

まてまて。禁止行為に値するならその根拠示せよ。
CGI スクリプトのパラメータと GET/POST に与えるパラメータの差を示しながらな。
主体となるCGIなりHTTPdなりにアクセス制御機構があって、それを迂回したなら
文句なしに不正アクセス禁止法に抵触する。

おまいは法文を100回音読と書き取りが必要かもしれんぞ。
733名無しさん@4周年:04/01/10 23:35 ID:qk4TP3RB
>>729
http://www.npa.go.jp/hightech/fusei_ac1/gaiyou.htm
アクセス管理者又はその承諾を得た者については禁止対象から除外されて
いる。ということは、それ以外はお目こぼしがないと言うこと。意図云々
は、誰かに脅迫されてやった等の事情がない限り、関係ない。その行為が
成立したときに、犯罪が成立する。

>>730
>>543
734名無しさん@4周年:04/01/10 23:40 ID:OpSkhc8u
>>732
どうにでも勝手解釈可能な法文を脳内解釈で語る前に、
判例乏しい法規に関しては主務官庁監修の逐条解説書ぐらいは
目を通した方が良いのではと小一時間。
735名無しさん@4周年:04/01/10 23:42 ID:Mx3W3rA7
>>733
>意図云々は、関係ない。その行為が成立したときに、犯罪が成立する。

法律がそうあるべきだというのには同意する。だが、現実に
>>当該行為の通信内容や操作内容では白黒は付けられない。
わけよ。だからどうするかってこと。
736名無しさん@4周年:04/01/10 23:44 ID:HY4JT5Mu
>>733

おまいは話にならんな(笑
識別符号とアクセス制御について理解してから出直して来い。
737名無しさん@4周年:04/01/10 23:46 ID:HY4JT5Mu
>>734

おまいはまずHTTPを勉強したほうがいいぞ。
自分で考える能力を磨こうな。
738名無しさん@4周年:04/01/10 23:47 ID:Mx3W3rA7
>>722
>パスワード入力プロンプトに対してブルートフォースアタックを
>仕掛けるのと同様の行為だからだ。

それは関係ない。ブルートフォースを試行する行為が不正アクセス禁止法で直接禁止されているわけじゃない。
そうやって得られた識別符号でログインする行為が不正アクセス禁止法違反になる。
739名無しさん@4周年:04/01/10 23:47 ID:OpSkhc8u
法文が想定してる用語の意味と>>736の脳内用語は異なるようですが(w
740名無しさん@4周年:04/01/10 23:48 ID:5dZD5Hua
>判例乏しい法規に関しては

そう。判例に乏しいのだよ。
今回の件がどうなるか司法の判断ということになる。
ただ、そういう法律が多すぎるのは困ったもんだ。
特に形式犯とされていて未遂とか過失が定められていない
不正アクセスに関してはもっとちゃんとしててくれないと
うっかりCGIのフォームにミスタッチの入力が出来ない
ということになりかねない(w
741名無しさん@4周年:04/01/10 23:49 ID:qk4TP3RB
>>735
>当該行為の通信内容や操作内容では白黒は付けられない

白黒付く、というかほとんどそれだけなんですが。本人の思惑については、
officeは、ACCSのサイトで自分の連絡先とかなんとか個人情報を入力する
ページがあるのを見つけ、これは個人情報ファイルがゲットできそうだ
と目星を付け、7月に一生懸命トライした。(どっかのblogだかで、11月に
会場で初めてトライしたなんて書いてる阿呆がいたが、プレゼンみっちり
用意してきたくせに初めてはないだろ。)そして現実に個人情報をゲット
した。
742名無しさん@4周年:04/01/10 23:49 ID:HY4JT5Mu
一応、俺が書いてるときに参照してる法文はここにあるやつ。
http://www.ipa.go.jp/security/ciadr/law199908.html

もしその後改正されてたりしたら不正確な可能性がある。
最新版を知っていたら教えてくれ。
とりあえずは上記リンク先を参照してる。

officeを不正アクセス禁止法で引っ張るにはかなりの拡大解釈が必要だろう。
識別符号の定義を拡大するんじゃないかな。
たぶん警察は引っ張ってくと思うんで、判例には期待してるよ。
ただし、不正アクセス禁止法に関係なく個人情報を見せびらかしたのはクロだと思う。
743名無しさん@4周年:04/01/10 23:52 ID:bkxC25O6
>>741
>11月に会場で初めてトライしたなんて書いてる阿呆がいたが、プレゼンみっちり
>用意してきたくせに初めてはないだろ。

いや、たしか本人がどっかでそう書いてたぞ。
744名無しさん@4周年:04/01/10 23:55 ID:HY4JT5Mu
>>739

無知蒙昧を見破られたのがそんなに悔しかったのかな?

2 この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて
当該特定利用に係るアクセス管理者の許諾を得た者(以下「利用権者」という。)及び
当該アクセス管理者(以下この項において「利用権者等」という。)に、当該アクセス管理者
において当該利用権者等を他の利用権者等と区別して識別することができるように
付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する
符号とその他の符号を組み合わせたものをいう。

他の利用権者と区別できるのかな?ファイル名で。
存在を知るか知らずかで区別することができるなら、index of な参照ができてしまうか
どうかに関係なくデータファイルを読み出せた者は有罪になってしまう。
つまりアクセス制御機構の有無に関わらず管理者の意向にのみ依存してしまうことになる。
アクセス制御機構の存在が必要になるのはその点が問題になるからだろ?
745名無しさん@4周年:04/01/10 23:55 ID:OpSkhc8u
>>740
ミスタッチの場合は素直に犯意の所在って問題があるけど。
刑法総則の方での問題。
>>729でいう「ファイル名を類推する」事とミスタッチの場合には
ゾウリムシとほ乳類ほどの違いがある。
>>742
「識別符号により保護されたデータ領域」と「認証を回避する行為」の
解釈に問題があるの。拡大解釈にもなにもならん。
746名無しさん@4周年:04/01/10 23:57 ID:qk4TP3RB
>>738
そうだね。で、結論に変化はあるか?ブルートフォースアタックという
のは、パスワードを試行して、それが実際に通ったらそれは正しいパスワード
というのが判明する。つまり、ブルートフォースアタック成功の時点で
不正アクセスは成立しており、ブルートフォースアタックを行ってから、
あらためてパスワードを使用していることが問題になるわけではない。
747名無しさん@4周年:04/01/10 23:58 ID:OpSkhc8u
>>744
適用を想定してる条文自体が違ってる。
ループさせるなうぜー。
748名無しさん@4周年:04/01/10 23:59 ID:zk8JUYeL
>>745
そうだね。以下2点の解釈でしょう。

(1) 今回のファイルが、アクセス制御機能によって守られていたのか
(2) officeの行為が「特定利用の制限を免れることができる情報または指令」であるかどうか
749名無しさん@4周年:04/01/10 23:59 ID:HY4JT5Mu
>>745

どこにどう問題があるのかな?
君の脳内での問題でないならぜひその問題を指摘してくれ。
俺が気づいていないだけかもしれないから。
750名無しさん@4周年:04/01/11 00:01 ID:S4rVq5pS
>>747

じゃあ君はどの条文を想定しているのかな?
存在するなら示して欲しいな。
751名無しさん@4周年:04/01/11 00:02 ID:NJO/MNBw
>>746
ファイル名を探索するのは識別符号の探索じゃない。
適用を想定してる条文自体が違ってる。
ループさせるなうぜー。
ってこと。
752名無しさん@4周年:04/01/11 00:02 ID:F5dxzsul
こいつらも匿名なのをいいことに、やりたい放題なんだろ?
逮捕しとけ。不審なやつらに、家の周りをうろつかれたらたまらんわ。
753名無しさん@4周年:04/01/11 00:03 ID:CBXym/f7
第三条
二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス
制御機能による特定利用の制限を免れることができる情報(識別符号であるものを
除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている
特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス
管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。
次号において同じ。)

三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス
制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線
を通じてその制限を免れることができる情報又は指令を入力して当該特定電子
計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
754名無しさん@4周年:04/01/11 00:03 ID:/B03D7vk
>>742
条文だけ見ててもダメよ、ということでしょ。国語的解釈と
技術分野の専門知識だけでは法文の解釈はできないのよ。
逐条解説とか「一問一答」とか読まないと。
755名無しさん@4周年:04/01/11 00:05 ID:kqPKnm5h
>>754
>逐条解説とか「一問一答」とか読まないと。

引用しろよ。
756office(仮名)(40):04/01/11 00:08 ID:CBXym/f7
         /´:::::::::::::::::::::::::::::::::::::::::::`ヽ
       /::::::::::::::::::::::::::::::::::::::::::::::::::::::::\
       --------------------------ー)
      |http://www.office.ac/index-j.html |    
      (:----------------------------/
     (::::::::::/              ヽ:::::::::::)
     |:::::::/ ,,;;;;;;;;;;;;;;,     ;;;;;;;;;;;;;,,, |:::::::::::|
     |:::::                     :::::|
     |::::    -=・=-        -=・=-  :::|
     /|:::     ~~~~  ノ  ヽ  ~~~~    |ヽ
    .| |/        /    ヽ       ||  
    ヽ|     ⌒   (. o⌒o .)  ⌒   .|ノ
      \       :::::::::::::U::::::::::::   プッ / >>755 がんばって よんで くださいね
       |\    ヾ─┬┬┬─ ::::  /|   http://www.npa.go.jp/hightech/fusei_ac1/gaiyou.htm
       |. \.     └┴┘    ./ .| 
757名無しさん@4周年:04/01/11 00:08 ID:/B03D7vk
>>755
持ってない。てか、既に出ているのかどうか知らないし。

言いたいのはね、技術の専門家がここで議論するレベル以前に、
刑法で言う故意とか目的とか言った概念の理解が必要なわけで、
そこをすっ飛ばして議論してもあまり意味ないということ。
758名無しさん@4周年:04/01/11 00:09 ID:S4rVq5pS
>>754

判例主義がある以上、参考文献をいくら読んでもソースに依存するよね。
ここでのソースは法文で、理解するためには技術知識が必要。

officeが引っ張られて判例が出ればシロクロはっきりすると思うよ。
だからこそ俺は判例に期待するわけだ。

ディレクトリ掘っただけで捕まる事になるのか?
CGI のhiddenパラメータは絶対手入力しちゃいけないのか?
つまり、安全なサービスなのかどうか自分のアカウントで試す事はクロなのか?

俺は自分が利用してるサービスが安心できるものかどうか知りたいからね。
今のところ自分で調べるしかないから、この事件の判例には興味津々だよ。
まだ捕まってないみたいだから裁判になるかどうかわかんないけどね。
759名無しさん@4周年:04/01/11 00:11 ID:hZjG0kRN
手口すら確定できないのに、刑法の適用まで推測するのは
意味ないだろ。
760名無しさん@4周年:04/01/11 00:12 ID:/B03D7vk
>>758
そうね。裁判例・判例が出ないと結論は出せないよね。
もちろん、逐条解説等の解釈を裁判所が否定する可能性もあるし。
761名無しさん@4周年:04/01/11 00:13 ID:S4rVq5pS
>>759

・・・それもそうだな。
フォームのhiddenなパラメータ書き換えだと決め付けてたよ。
すまんかった。

CGIにアクセス制御機構があったんだったら真っ黒だもんな。
俺の前提があやふやだった。
おとなしくしてるよ。
762名無しさん@4周年:04/01/11 00:14 ID:iKd0BYyf
>>755
買え。何ページあると思ってるんだ。確か貼った。
ちなみにたかだか9条ほどしかない法律の逐条解説なのに全232頁もある。
立花書房の書籍なら普通に本屋で注文すれば買える。

少なくとも警察庁の概要解説読んだだけでもずれてるのは判るが。
ここでは技術の話でなくて法律の話になっている。
http://www.npa.go.jp/hightech/fusei_ac1/gaiyou.htm
763名無しさん@4周年:04/01/11 00:16 ID:S4rVq5pS
>>762

どうズレてるのか示せないのかな?
実際にズレてるなら示せると思うが。
764名無しさん@4周年:04/01/11 00:19 ID:iKd0BYyf
765名無しさん@4周年:04/01/11 00:19 ID:jSXaH5bl
>>762
だから引用しろって。誰が転載しろと言った? 転載と引用の違いもわからん馬鹿かおまえは。
おまえが重要だと思う部分を引用して主張しろ。

警視庁のその概要解説は稚拙すぎて参考にならん。
766名無しさん@4周年:04/01/11 00:23 ID:iKd0BYyf
>>765
君に必要な解説を示すだけで半分以上貼る必要があるのだが(w
君の批判する稚拙な解説からも逸脱した主張にしか過ぎない主張を得意げに語るなよ。
767名無しさん@4周年:04/01/11 00:24 ID:hORU3cQ2
>>764

君は致命的に理解力が不足しているよ?
768名無しさん@4周年:04/01/11 00:28 ID:hORU3cQ2
>>766

どう逸脱しているかも書けないみたいだね。
それじゃ単なる言いがかりにすぎないことくらい理解しなさい。
君は議論できるだけの知能がなさそうだね。
769名無しさん@4周年:04/01/11 00:29 ID:NJO/MNBw
ここでのここまでの議論を整理するとこう。

>>711 のフォームはシロ。(>>731)
     ↓
ファイル名を探索するとクロ。(>>731)
     ↓
その根拠はそれがブルートフォースアタックだから。(>>722)
     ↓
ブルートフォースそのものはクロではない。(>>738)
     ↓
ブルートフォースアタックが成功した時点で第三条2一に違反。(>>746)
     ↓
ファイル名は識別符号じゃないので第三条2一は関係がない。(>>751)
     ↓
ファイル名の探索はシロ
770名無しさん@4周年:04/01/11 00:29 ID:CBXym/f7
http://www.soumu.go.jp/joho_tsusin/pressrelease/japanese/joho_tsusin/010209_2a.html

2ショットチャット掲示板に対する不正アクセス禁止法違反事件
  建設会社の会社員(32)が、被害者が開設した有料掲示板「2ショット
チャット」に対し、認証機能が甘いことに乗じ、CGIプログラムを使用
してセキュリティ・ホールを突き、識別符号を入力することなく接続した。
12年6月、不正アクセス禁止法違反で検挙した(北海道、富山)。
771名無しさん@4周年:04/01/11 00:33 ID:kQrSC1wU
「運営側が想定しない指示」って?
仮に、このプログラムではコマンドインジェクションが発生するので
それらしい文字列を入力しないでください、とか情けない断り書きがあったら
不正アクセスになるのでつか

ところで元記事の
>安全対策が進んでいるはずのサイトの「欠陥」
進めているだけなんですね
772名無しさん@4周年:04/01/11 00:33 ID:NJO/MNBw
>>770
それは CGI でアクセス制御機能が作られていたからでは。
773名無しさん@4周年:04/01/11 00:34 ID:iKd0BYyf
>>768
言いがかり以前に前提条件が理解出来てないでしょうと小一時間。

・本件の場合何故cgiを経由して閲覧する必要があったのか?

これが理解出来てないですよね。
ファイル直打ちで読み出せるファイルならいちいちcgi経由で呼び出したりしません。
774ねむ:04/01/11 00:34 ID:Xk8zmLNL
AD2003の直前のofficeの日記のログ(うまくいくかどうか心配だみたいなやつ)、はってくれ。
775名無しさん@4周年:04/01/11 00:36 ID:hORU3cQ2
>>773

ファイル直打ちとの差を示してみてよ。

・なぜhttpdを経由して閲覧する必要があったのか?

その差がないことも理解できないのかな?
CGIが何かくらい勉強したほうがいいよ。
単なるHTTPdへの追加機能にすぎないんだからね。

追加としてアクセス制御機構を追加していたならクロと何度か書いたとおり。
でもそれがあったかどうかはわからない。
776名無しさん@4周年:04/01/11 00:38 ID:WERMhUF6
>>773
>これが理解出来てないですよね。
>ファイル直打ちで読み出せるファイルならいちいちcgi経由で呼び出したりしません。

そんなことはない。ここの掲示板だって、ファイル直打ちでは読み出せないファイルを、いちいちcgi経由で呼び出して見ているわけで。
777名無しさん@4周年:04/01/11 00:39 ID:CBXym/f7
>>769
>ブルートフォースアタックが成功した時点で第三条2一に違反。(>>746)
>     ↓
>ファイル名は識別符号じゃないので第三条2一は関係がない。(>>751)

んなこと書かれてねーべ

>>772

これってさ、http://www.npa.go.jp/hightech/arrest_repo/kenkyo_2000.htmでは

>(2)有料掲示板「2ショットチャット」の認証機能が甘いことに乗じ、
>自作CGIプログラムを使用してセキュリティホールを突き、パスワード
>を入力することなく不正アクセスした。また、不特定多数の者が当該掲
>示板にアクセスできるようなリンクを自分の管理するホームページ上に
>作成した。(平成12年6月検挙。北海道、富山)

なんておまけもあるんだわ。オヒス無罪主張派によく読んでほしいんだけど
この「アクセスできるようなリンク」が重要。つまり、今回のofficeの件
より楽々な事例でもクロなわけですよ。
778名無しさん@4周年:04/01/11 00:41 ID:hORU3cQ2
>>773

>ファイル直打ちで読み出せるファイルならいちいちcgi経由で呼び出したりしません。
この一文で無知がよくわかる。
直打ちで読み出せるデータファイルをCGI経由で扱っている例はたくさんあるよ。
http://pc.2ch.net/test/read.cgi/sec/1023479232/l50
http://pc.2ch.net/test/read.cgi/sec/1067313673/l50
779名無しさん@4周年:04/01/11 00:43 ID:dmCqh9Eo
>>777
Office の件では、>>748 のとおり
認証機能があったかどうか、その認証機能を迂回する手段が使われたかどうか
が議論になっているのよ。
似ているようだけど、違いはあるのよ。
780名無しさん@4周年:04/01/11 00:45 ID:iKd0BYyf
>>775
故意にある要素を無視している詭弁野郎か( `д´) ケッ!
781名無しさん@4周年:04/01/11 00:46 ID:hORU3cQ2
>>780

どの要素か示せないのかな?
782名無しさん@4周年:04/01/11 00:47 ID:CBXym/f7
>>779
つかさ、認証機構無いUNIX鯖なんかないって(藁
ACCSの個人情報ファイルは、そのファイルの読み出しパーミッション
持ってる人間のもの。本来は、その人間がアカウントにログインしな
ければ、読み出し操作はできないのよ。
783名無しさん@4周年:04/01/11 00:49 ID:WJGh2nWl
>>776
>>778

そのプログラムの機能で見えてしまうということだしね
784名無しさん@4周年:04/01/11 00:50 ID:iKd0BYyf
本当に、何度ループすれば気が済むんだ・・・_| ̄|○
785名無しさん@4周年:04/01/11 00:51 ID:NJO/MNBw
>>777
>この「アクセスできるようなリンク」が重要。つまり、今回のofficeの件
>より楽々な事例でもクロなわけですよ。

比較としてはその件の方がクロ側では。何が理由で楽々な事例なのか。
786名無しさん@4周年:04/01/11 00:52 ID:hORU3cQ2
>>784

おまいみたいな論証できない馬鹿が消えればいいと思うよヽ(´ー`)ノ
787名無しさん@4周年:04/01/11 00:53 ID:dmCqh9Eo
>>782
そのファイルを閲覧するために、クライアントPCからサーバへ、
パスワードなどの識別符号を送信する必要があったかどうか
っていうことですよ。
788名無しさん@4周年:04/01/11 00:55 ID:hORU3cQ2
>>787

それについては舞台となったスクリプトの内容が不明なだけに
今となっては判別できないと思う。
もし、管理者ページとかそういうものがあったんなら真っ黒だろうね。

そうでなければ、不便なエクスプローラでフル共有のファイルサーバ
の中を一つ一つ探していったっていう感じになるのかな。

秘密のファイル名なんて紳士協定にすぎないと思うんだけどなあ。
789名無しさん@4周年:04/01/11 00:56 ID:CBXym/f7
>>785

今回のACCSの個人情報ファイルゲットよりさらに楽に侵入可能な事例

>>787

( ´,_ゝ`)プッ>>753
790名無しさん@4周年:04/01/11 00:56 ID:iKd0BYyf
>>786
論証以前に前提条件噛み合ってないんですが?
データファイルを吸い出すのが目的の場合、ファイル直打ちで表示できるものを
わざわざcgi経由で呼び出す理由はなんですかと(w
プログラムの機能で見えるというなら、そのプログラムは「認証機構を回避する
道具」であるわけで。
791名無しさん@4周年:04/01/11 01:00 ID:NJO/MNBw
>>790
>データファイルを吸い出すのが目的の場合、ファイル直打ちで表示できるものを
>わざわざcgi経由で呼び出す理由はなんですかと

そういうのはごく普通にあるよって。CGI 経由でしかアクセスできないサイトすら最近は多い。
792名無しさん@4周年:04/01/11 01:02 ID:hORU3cQ2
>>790

前提条件示してよ。
漏れはCGIに認証機構が無ければシロ、あればクロだと思ってる。
プログラムの機能、って一般化するのはやめたほうがいいよ。
httpdだってプログラムだ。
認証機構を回避する、という条件が成立するためには認証機構が必要だ。
その認証機構が存在したか?
そらは不明。
解っているのはcgiにパラメータを与えた結果、ファイルが取り出せた(らしい)ってこと。

cgiにパラメータを与えたうち、
・cgiの仕様(実装ではない)に従ったパラメータであればシロ
・cgiの実装にあるバグ、つまりバッファオーバーフローなどで特定利用に相当する
システムログインに近い状況を作ったのならクロ

だと思ってる。
実は、俺が想定している大部分のケースでクロだろうと思っているわけだ。
ただパラメータっていうだけならシロじゃないかな?と思っているけどね。
793ねむ:04/01/11 01:03 ID:Xk8zmLNL
さすがに、ファイル自身のパーミションは rw------- だっただろうから、もしそうだったら認証機能があったと言えるのではないだろうか。
ファイルのパーミッションが設定されててもなくても、されてればなおさらだが、CGIの瑕疵がなければ読み出せなかっただろう。

瑕疵をソースプログラムを読んで見つけたようだが、その瑕疵を突いて読み出したことが不正アクセスなのは明らかだろう?
まさかその瑕疵はCGIの機能だと思ったとか言う強弁なのかなあ?
瑕疵だと認識してたからこそカンファレンスで発表したんだろう。



794名無しさん@4周年:04/01/11 01:04 ID:CBXym/f7
>>792
>認証機構を回避する、という条件が成立するためには認証機構が必要だ。
>その認証機構が存在したか?
>そらは不明。

おいおい>>782を無視しないでくれや(藁
795名無しさん@4周年:04/01/11 01:04 ID:iKd0BYyf
>>791
今回の件の場合、パーミッションの設定ミスやファイル格納位置のミスではなく、
あくまで「cgiのバグ」に起因してファイルが見える、ということでプレゼンしたんでしょ?
あのアホは。
796名無しさん@4周年:04/01/11 01:04 ID:dmCqh9Eo
>>789
「認証機能無いUNIX鯖」(>>782)がどうのこうのっていうのは、
的外れであることはわかりましたか?
797名無しさん@4周年:04/01/11 01:07 ID:77rDf0wf
いや、これファイルを見たことより、それで得た個人情報を広めちゃったのがまずいんじゃないの?
798名無しさん@4周年:04/01/11 01:07 ID:hORU3cQ2
>>794

つまり君はhttpd経由でアクセスしている際にアクセス制御を受けていると
していることになるけど、それでいいのかな?

とすると、仕様上読み出しが可能な状態にあった
(いわゆるバッファオーバーフローなどのセキュリティホールを使わず)
システムに任意のパラメータを渡す事でアクセスできたファイルについて
正しくアクセス制御されていると言えるのかな?

君の考えだとこれはアクセス制御を迂回するための機能が提供されている
ことになってしまい、管理者がそれを(知っているかどうかは別にして)許可
していたと考える事もできてしまう。

つうか認証機構の範囲を勘違いしていないか?
799名無しさん@4周年:04/01/11 01:11 ID:iKd0BYyf
>>798
だから認証機構として想定されてるのはOSレベルでの認証を含むんだけど。
800名無しさん@4周年:04/01/11 01:13 ID:hORU3cQ2
あー、訂正。
httpdでアクセス制御は「ある」。

つまり、httpdでアクセスできる範囲にあるデータにしかアクセスさせないってこと。

で、CGI は httpd が呼び出す拡張インターフェイス。
そこで呼ばれたプログラムがさらに機能を追加したり、なんだかんだと処理するわけだ。
それがhttpdで読める範囲のデータをさらに細かくアクセス制御することもある。
逆に、httpdだけでは読めない範囲のデータを読み書きさせることもある。

で。そういったCGIで読めるデータが存在した。
もしそのCGIを使うのにアクセス制御があったら別だけど(つまりBBSの管理者権限とかは別)
単にパラメータ変えただけだったらシロじゃないかな?ってこと。
パラメータといっても識別符号のパラメータはもちろんクロだ。

ファイル名とかそういうもんを直接指定したようなもんだったら、シロだと思う。
それはアクセス制御じゃないだろ。
801名無しさん@4周年:04/01/11 01:13 ID:/yLWMjyo
>>797
確かにそれは完璧にアウトというかまずい。ただそれだけじゃない。
officeはACCSと共同解析して個人情報を手に入れたんじゃなくて、
ACCSに通報したのとほとんど同時に個人情報を入手した。

それが法律的にはどうよって話に今なっているんだ。

ここ100ぐらいのレスの流れを読んでくれないか。
その問題は、今の流れで議論することじゃないよ。
802ねむ:04/01/11 01:15 ID:Xk8zmLNL
798は、いわゆるバッファオーバーフローなどのセキュリティホールを突くのと、特定のパラメータを渡す事でアクセスできたということは(一定の)難易の差こそあれ、本質的には同じというのがわかってないな。
803名無しさん@4周年:04/01/11 01:15 ID:CBXym/f7
>>793
>瑕疵をソースプログラムを読んで見つけた

ソースは配布されてなかったんじゃないかなあ(・∀・)ニヤニヤ

>>796

根拠も示さず吠えるお前自身が的外れ( ´,_ゝ`)プッ

>>798

ヴァカだなあ、もちろんHTTPdもしくはcgiには読み出し権限が与えられている
わけで。それは包括的なものが意図されていたわけではなくて、どこまで
読み出し/書き込みが許可されていたかは、ACCSのページのパラメータを
見れば一目瞭然なんですよ(藁
認証は、保護の対象があるから認証なわけだよなあ?それすら理解できんのか?
で、今回の件の保護の対象は何だ?
そもそも、CGIチャットの例と違って、WEB相手に認証ゲートウェイを向けて
いなかったからといって、認証機構が「無い」わけじゃーない。

>>801
>officeはACCSと共同解析して個人情報を手に入れたんじゃなくて、
>ACCSに通報したのとほとんど同時に個人情報を入手した。

それは嘘で、侵入の次の日に通報が正しいのよ >>607
804名無しさん@4周年:04/01/11 01:16 ID:/yLWMjyo
>>802
それは法律的に同じとみなされているということですか?
それとも技術的な話?
805名無しさん@4周年:04/01/11 01:17 ID:hORU3cQ2
>>799

つまり君はあらゆるパラメータの変更は不正アクセスと言いたいのかな?
どうも言っていることがあやふやで困る。
OSレベルのアクセス制御を拡張するシステムのことを考えていないのかな?


君の知識は浅すぎてどうにも困るよ。
アクセス制御機構の存在だけでは問題外なんだ。
その機構によって制限されたデータにアクセスしたらクロ。
httpd→CGIの経路でアクセスできた。それはCGIが備えていた機能。
エクスプローラでシステムフォルダにアクセスできるだろ?
そういうことだ。

もしパスワードがかかっていたらアクセスできない。
それがアクセス制限だ。
もし無理矢理アクセスしたらダメ。

今回のCGIは認証がかかっていなかったならエクスプローラと同等。
かかっていたら言い逃れできないくらいクロ。

そんなに難しいことかなあ。
806名無しさん@4周年:04/01/11 01:19 ID:w+UTV8Kk

小難しいことでごまかそうとしても


 個 人 情 報 を 公 開 す る こ と に 大 儀 は な い
807名無しさん@4周年:04/01/11 01:21 ID:iKd0BYyf
>>805
技術馬鹿の規定する認証機構の意味と法文が想定する認証機構ってのは別物なの。
その差異の存在が理解出来ない限りどんなに説明しても無理。
刑法総論で言う「道具」の概念から説明せなあかん。
808名無しさん@4周年:04/01/11 01:22 ID:hORU3cQ2
>>803

うーん。
漏れの訂正前の書き込みへの突っ込みは仕方が無いとして。

君はちょっと冷静になったほうがいいよ。
CGIによってアクセス制御を超える機能が付与されていて、それを利用したわけだ。
どういえば馬鹿の壁に閉じこもった奴にもわかるのかなあ。

確かにOSレベルではアクセス制御機構は存在しているよ。
MS-DOSでもない限りはほぼ間違いなく存在しているはずだ。

だからといって認証が行われているとは限らない。
制限下のアクセス可能範囲において、さらに制限が行われていたかどうかだ。
アクセス制限が成されていたかどうかなんだよ。
809名無しさん@4周年:04/01/11 01:22 ID:pvGY+FNk
赤いリボンとフリフリフリルの可愛い服がトレードマークの学校一の人気者美少女小学生も、
明確なパスワード認証がなければ不法侵入と考えるのは無理があると考えています。
810名無しさん@4周年:04/01/11 01:22 ID:dmCqh9Eo
>>803
当該ファイルを閲覧するために、クライアントPCから
認証符号を送信する必要があったかどうかは、
明らかにはなっていないんですよ。
それは了解していますか?
811ねむ:04/01/11 01:22 ID:Xk8zmLNL
>>803
そっか、ソースを見たわけじゃないんだ。サンきゅ

>>804
技術的に。法律的には知らないよ。
どっちも認証機能を迂回する方便だとは思うけど。
812名無しさん@4周年:04/01/11 01:24 ID:CBXym/f7
>>810
いい加減ログ嫁
識別符号を送信していないことは明らかに「なっている」
今問題になってるのはセキュリティホール突いたかどーかなんだって
813名無しさん@4周年:04/01/11 01:26 ID:hORU3cQ2
>>807

説明できるもんならやってみろっての。
底抜けの馬鹿でなかったら、頼むから論拠を示してくれ。
思考や論拠が違うのは仕方が無いが、それを摺り寄せて先へ進もうや。
おまいは御託ばかりで一切証明も論拠の提示も無い。

頼むから議論のやりかた覚えてくれよ。
814名無しさん@4周年:04/01/11 01:29 ID:dmCqh9Eo
>>812
そういうことではありません。
正規アクセスとして、正しい認証符号を送信すれば
閲覧可能になる、というようなアクセス制御が設定
されていたかという、運用上の話です。
815名無しさん@4周年:04/01/11 01:31 ID:CBXym/f7
>>814
そんなに気になるならaccsのwww鯖にtelnetして確かめれば? 藁
816名無しさん@4周年:04/01/11 01:34 ID:iKd0BYyf
>>813
この場合cgiプログラムが「道具」になるわけなんだけど。
白痴のヤシに「あいつ殴ってこい」って殴らせた場合、殴った白痴のヤシは
責を負うことはないわけよ。殴らせたヤシが暴行の正犯になる。
cgiを使って本来読み出せないファイル読み出すのも同様なわけ。
817技術的にですか?:04/01/11 01:34 ID:tVy1J+NB
>>811
CGIに入力するパスワードやファイル名として
「;rm -rf /;」を使うと、CGI側で対策をしない限り
テロできてしまいます。

ソースを見る、あるいは見ることができる立場に
いる必要はありません。

http://www.att.or.jp/perl/faq/perl-cgi-faq5j.html

これはCGI以外の部分のセキュリティホールでは
ないし、ソフトウェア正規の機能としてテロや今回の
ファイル読み出しができてしまいます。

「本質的に同じ」は当てはまらないと思います。
>>816
あえて質問させてください。
この場合、「CGIが」道具とみなされる、ということなのですね。

うわぁぁぁ・・・
819名無しさん@4周年:04/01/11 01:36 ID:dmCqh9Eo
>>815
セキュリティーホールを付いたかどうかというのは、議論しないと
いけませんが、その前提として、このファイルがアクセス制御によって
正規ユーザのみがアクセスできるように設定されていたかどうか
を議論しないといけないのです。
820名無しさん@4周年:04/01/11 01:40 ID:iKd0BYyf
>>818
cgiスクリプトと言うべきでしたね。cgiそのものではなくて、個別の瑕疵のあるスクリプトを
「道具」として利用することが問題なんです。
821名無しさん@4周年:04/01/11 01:41 ID:hORU3cQ2
>>816

さんくす。参考にする。

この場合、ゲームの裏技に近いと思ってるんだけどな。
「説明書に書いてない操作したら意外な結果が出た」みたいな。
この場合でも道具の概念とやらに当てはまるのかな?

で、本来読み出せないファイルが何故読み出せたんだろう?
君の例では「本来殴れる相手を誰かに殴らせた」だけだ。
ちょっと不適当だと思う。
もちろん、認証を回避するような行為はクロだ。
タレント殴るのに近づけないからマネージャ買収した、ってのとは違うと思う。
822名無しさん@4周年:04/01/11 01:41 ID:G/Gsc6B1
>>815
>そんなに気になるならaccsのwww鯖にtelnetして確かめれば? 藁

wwwサーバでtelnetサーバ機能が提供されていません.
823名無しさん@4周年:04/01/11 01:42 ID:77rDf0wf
では
OSの認証機構の設定を正しくしていれば、それにバグがない限り、
CGIプログラムから見られたくないファイルを見ることは出来ません。
今回のように公開されたCGIプログラムでアクセス可能になっていたということは、
公開されていたといえるでしょう。
824ねむ:04/01/11 01:43 ID:Xk8zmLNL
なんだか議論が唐突でよくわかりませんが、付き合うと、
ご指摘の話は、CGIの部分としては、セキュリティホールなのでしょう??


ソフトウェア正規の機能って何ですか?
開発者が想定していなかった機能っていう意味なら、今回のファイル読み出しは
開発者は想定してなかったわけで、ソフトウェア正規の機能ではないですよね?
そうじゃなくて落ちずに動作するっていう意味なら、バッファオーバーフロー使っても
落ちずに動きますからセキュリティホール突いて動かしてもソフトウェア正規の
機能を使って動かしているっていえちゃうわけなんですが??
825ありがとうございました:04/01/11 01:44 ID:tVy1J+NB
>>820
すみません、私もCGIスクリプトと呼ぶべきでした。

しかし、よく理解できました。officeや(あえて)
取り巻きと呼ぶ人たちが、この問題にコメントしよ
うとしないのは、こういうことだったのですね。

まさにうわぁぁぁ・・・
826名無しさん@4周年:04/01/11 01:44 ID:CBXym/f7
>>814

議論も何も、設定されてたからこそACCSは今回のofficeのCGI経由のファイル
取得に慌てたわけで。

>>823

過失で一部穴があったからといって、そこにつけ込んだ人間を許して
差し上げるような事がどっかに書いてあるんですかねえ〜(・∀・)ニヤニヤ
公開の有無が影響するとか何とかは、法文のどこに書いてあるんだい?
827名無しさん@4周年:04/01/11 01:45 ID:/B03D7vk
>>816
間接正犯の「道具理論」はここでは全く関係ないと思うが、どうよ?
極端従属性説だと無能力者に対する教唆犯という構成ができないから
出てきた理論でしょ。cgiの話は完全に的外れだと思うぞ。
828名無しさん@4周年:04/01/11 01:45 ID:DEfo/pKH
人間をマインドコントロールするとは!
ACCS、許さん!!
829名無しさん@4周年:04/01/11 01:46 ID:77rDf0wf
>>826
だから、許す許さないではなく、アクセス自体は違法性はないでしょうということを言ってるのですが。
そこで得た個人情報を公開してしまったのが問題だと。
あなたは何が何でも違法アクセスにしたいようだ。
830名無しさん@4周年:04/01/11 01:46 ID:iKd0BYyf
>>921
んじゃ、「調教した猿を人間の入れない隙間から部屋に入れて泥棒させた」の
方がいい? この場合猿が道具。
831ねむ:04/01/11 01:46 ID:Xk8zmLNL
>>823

だからファイルを読み出すためにCGIの瑕疵を突いたって言っているわけですよ。
公開されてるファイルなら、わざわざofficeが脆弱性の例ということでカンファレンスで
発表するわけがない。
832名無しさん@4周年:04/01/11 01:47 ID:hORU3cQ2
>>824
NO。

スクリプトは(恐らく)与えられたパラメータを忠実に解釈実行した。
バグがあったとすれば仕様の段階だと思う。
大してバッファオーバーフローに代表されるセキュリティホールは
主に実装のミスによるものだ。
結果は似ているけれど発生段階も発生理由も違う。

正規の機能、ってのは仕様(のバグも含めて)で決められた通りの
動作で実現されている機能、と考えている。
だから、パラメータを変更してある程度任意のファイルにアクセス
できたのは、スクリプトが提供した機能を利用しただけと言える。
実装段階のバグをついて仕様とは違う動作をさせるのはマズいと
思うけどな。
833名無しさん@4周年:04/01/11 01:47 ID:NJO/MNBw
>cgiそのものではなくて、個別の瑕疵のあるスクリプトを
>「道具」として利用することが問題なんです。

この掲示板も道具を利用して見ているし書いています。

>cgiスクリプトと言うべきでしたね。

CGI はスクリプト言語で書かれているとは限らないです。
834名無しさん@4周年:04/01/11 01:51 ID:iKd0BYyf
>>827
判断不能なシステムという特性を説明するための法理構成としては
「道具」の概念を持ち出すしかないでしょう。曖昧になりやすいからこそ
電子計算機利用詐欺罪とかが明確に規定されたわけですが。
835名無しさん@4周年:04/01/11 01:52 ID:hORU3cQ2
>>830

だいたいわかった。わかったつもりかもしれないけど。

しかし、この場合はスクリプト自体がある程度の自由度を許してファイルに
アクセスさせる機能を有していたわけで、その自由度の範囲内にデータが
配置されてたわけよ。

道具っていう概念とはしっくりこないように思う。
牢屋の中にいる人の手が届くところにカギ置いてたようなもんか?
・・・これはちょっと違うかな。
836ねむ:04/01/11 01:53 ID:Xk8zmLNL
>>824

え?まさか、個人情報ファイルを読み出せるという仕様があったとでもおっしゃってる
わけですか?
837名無しさん@4周年:04/01/11 01:53 ID:77rDf0wf
>>831
いやいや
管理者は「公開する意図がなかったが、実際は公開していた」ということです。
これは管理者側の不手際といえます。

で今回の場合、個人情報が公開されていることをoffice氏が見つけたわけだが
どうやらそれを管理者に報告する前に取得して、情報を公表してしまったのは問題に思える。
838名無しさん@4周年:04/01/11 01:55 ID:CBXym/f7
>>822

じゃsshで 藁
「アクセス制御機能」をCGIのアクセス機構に限って考えてる阿呆もいるが、
例えば一時的に識別符号を受け付けるサービスが全部落ちて誰にも正規アク
セスができなくなったとき、あるいはその鯖がハードウェアキーによって
保護されていたときに、不正アクセス禁止法の定める「アクセス制御機能」
が無いから侵入し放題だ〜なんて考えてる阿呆と発想が同じだって事理解
してる?
839名無しさん@4周年:04/01/11 01:55 ID:tVy1J+NB
>>824
798さんがアクセス制御の話をされてますので、
確かにその部分は言われる通りです。
正しく設定していても結果的に読めてしまうという
意味では同じです。

しかし、アクセス制御を迂回するための機能が提供されている
ということにあなたが「それは違う、本質的には同じ」と言われているので、
それは違う、対策してCGIスクリプトを作れば防げるよ、
(今回は)perlやHTTPdaemonの責任ではないよと言いた
かったのです。

まあこれも、「セキュリティホール情報に耳を傾けず、対策を
取っていない」という一言でくくってしまえば、確かに同じなんですがね・・・
840名無しさん@4周年:04/01/11 01:56 ID:hORU3cQ2
>>836

いやいや、ある程度自由な範囲でファイルを読み出す機能があって、
かつ、その自由度の中にデータが配置されていたと。

ただし、その自由度を得るためにアクセス制限があったなら、
それを迂回した場合にはクロとなることは確実でしょうな。
841名無しさん@4周年:04/01/11 01:56 ID:/B03D7vk
>>830
いや、その場合でもあえて「道具」という必要はないでしょ。

cgiが道具かどうかではなくて、Officeの行為が、第3条2項2号の
「当該アクセス制御機能による特定利用の制限を免れることが
できる情報(識別符号であるものを除く。)又は指令を入力」
したことにあたるかどうかが議論されているものと理解してんだが。
842ねむ:04/01/11 01:58 ID:Xk8zmLNL
836は、>>832です。

>>837
の議論は別でやってください。
843ねむ:04/01/11 02:00 ID:Xk8zmLNL
>>839
perlとかhttpサーバのレベルの話してたんですか。。
844名無しさん@4周年:04/01/11 02:00 ID:hORU3cQ2
>>838

この場合問題になっているのがCGIだということも理解できないなら早く寝たほうがいいぞ。
おまいは事象を分離して考える事ができないのかな?
845名無しさん@4周年:04/01/11 02:00 ID:CBXym/f7
>>832
>スクリプトは(恐らく)与えられたパラメータを忠実に解釈実行した。
>バグがあったとすれば仕様の段階だと思う。
>大してバッファオーバーフローに代表されるセキュリティホールは
>主に実装のミスによるものだ。

そんな区別成立しないねぇ〜C/C++使ってること自体選択された仕様なんだから
バッファオーバーフローも仕様だろ〜 藁

繰り返すが仕様とか実装とか法律に根拠のない議論は不毛だってばさ
846名無しさん@4周年:04/01/11 02:03 ID:hORU3cQ2
>>845

おまいの無知さ加減に呆れ返るな。
C/C++の言語仕様は確かにアレな部分もあるがコーディングレベルで充分に
対策が取れる。だからこそパッチがリリースできるんだ。

根拠の無い発言を繰り返さずにガキは早く寝ろって(笑
847名無しさん@4周年:04/01/11 02:06 ID:iKd0BYyf
>>835
ん〜〜〜、手の届かない場所にある果物盗むのに、裏庭からはしごで屋根に登ったようなものなのね。
木の持ち主は屋根から果物に手が届くとは想定してなかった。

この場合、手が届くから持って行って良い?

>>841
それを理解してくれないのでこういう話になったんですわ。
認証回避行為に「なぜ」該当するのかが理解して貰えなかったので
徹底的に話を砕いた結果がこれ。
848名無しさん@4周年:04/01/11 02:06 ID:CBXym/f7
>>832
へぇ〜そーなんだ(プ で、スクリプトには実装のミスとやらはないんですかい? 藁
849名無しさん@4周年:04/01/11 02:08 ID:CBXym/f7
>>846

あと

>C/C++の言語仕様は確かにアレな部分もあるがコーディングレベルで充分に
対策が取れる。



>だからこそパッチがリリースできるんだ。

のつながり具合も失笑ものなんだけど 藁 プログラム書いたこと有るんでつか?
850名無しさん@4周年:04/01/11 02:08 ID:fPwb+eCz
おいらロビー
http://etc.2ch.net/bobby/
851名無しさん@4周年:04/01/11 02:10 ID:hORU3cQ2
>>847

アクセス制限が実現されているならはしごは許可された人間しか「持っていない」状態のはず。
はしごが近くに存在した場合は制限が成立してないんでは?

もちろん外部から持ち込む(=他人の識別符号を利用する)とか、
他人のはしごのありかを教える(=他人の識別符号を教える)とか、
はしごを使わないで上る(アクセス制限を迂回)しちゃダメでしょ。

認証回避行為に相当するなら認証が必要だったことを証明してよ。
この場合、ファイル名が識別符号に相当するとしなければいけないはず。
でもそうはならないって話になってるんじゃなかったっけ?
852名無しさん@4周年:04/01/11 02:10 ID:dmCqh9Eo
>>849
まあ、彼が勘違いしたのは、しょうがないと思うよ。
君の書き方が意地悪だからでしょう。

君は、バッファーオーバーロ−の対策をしていなかったら、
設計者は、バッファーオーバーフローを容認したことになるのか
ということを指摘しているんでしょう?
853ねむ:04/01/11 02:11 ID:Xk8zmLNL
>>837
あー、ごめんなさい。可能性としては管理者の不手際という議論もなりたちますね。そういう情報は知らなかった。
854名無しさん@4周年:04/01/11 02:13 ID:hORU3cQ2
必死だな>ID:CBXym/f7
そんなに悔しかったのか? いいからそろそろ寝なよ。
悔しくて寝付けないのか?(笑

煽りたいだけなら邪魔だよ。
855ねむ:04/01/11 02:17 ID:Xk8zmLNL
>>851

個人情報ファイルの読み出し許可はOSでのユーザ認証により制限されているつもりだったし、公開されているつもりはなかった。
ようするに識別符号は、当該計算機へのログイン名とパスワードということですよ。

856名無しさん@4周年:04/01/11 02:17 ID:/B03D7vk

>>847
ふーむ、そうだったのか。

ところで、果物のだけど、果物の場合は、手が届くからと言っても、
もちろん「持っていって良」くない。その行為自体が窃盗にあたるから。

一方、3条2項2号では、「裏庭からはしごで屋根に登る」行為自体が
禁止されているのであって、「窃盗」にあたる行為は問題にされていない。

とすると、ここで問題なのは、「はしご」が「道具」にあたるかどうか
ではなくて、「裏庭」とかback doorを通ったのかどうかということでは
ないのかな。
857名無しさん@4周年:04/01/11 02:17 ID:CBXym/f7
>>852

つかね、>>851

>認証回避行為に相当するなら認証が必要だったことを証明してよ。
>この場合、ファイル名が識別符号に相当するとしなければいけないはず。
>でもそうはならないって話になってるんじゃなかったっけ?

を見ると、「こいつ不正アクセス禁止法の法文読んでるのか?」という疑問が
湧かざるを得ないわけですよ。「ファイル名が識別符号に相当するとしなけれ
ばいけないはず」に至っては、過去ログも読んでないんだろうなあと。
858名無しさん@4周年:04/01/11 02:17 ID:hORU3cQ2
>>852

うそ!マジで!?
そんな低レベルなコーダーが前提になってるとは思わなかったよ。

ごめんね。俺が知らない世界にはとんでもなく程度の低いプログラマがいるんだね。
普通それくらい対策するもんだから、実装ミスでしかありえないと思ってたよ>BO

だから>>848みたいな素っ頓狂なことが書けたんだ。
やっとわかったよ。想像以上(以下?)だった。
859名無しさん@4周年:04/01/11 02:23 ID:WJGh2nWl
つーか、そんなCGIを恥ずかしくもなくユーザーに利用させていた
ファーストサーバーもある意味すごい会社だな(w
860名無しさん@4周年:04/01/11 02:23 ID:dmCqh9Eo
>>858
そうはいうけどね。Y2K問題も同じように、低レベルな問題ではあったんですよ。
世の中はそういうレベルで動いているのですから、そのレベルで議論
しないといけないと思いますよ。
861ねむ:04/01/11 02:25 ID:Xk8zmLNL
>>858
そのミスを突いてアクセスしていいかっつうこと。
難しいミスも簡単なミスも同じだっっつうことはまだわからないのか?

対策するとかしないとかでもないし、実装の難易度でもないんだって。
低レベルかどうかなんてそういう議論をしてもないし。858の知っている世界
だけで議論できないだろ?裁判官やら弁護士やら検察は。
862名無しさん@4周年:04/01/11 02:27 ID:hORU3cQ2
>>860

すまん。
俺の前提が違ってたんだな。想像以上の馬鹿を相手にしていたよ。
それに俺もさっきからまた「ファイル名を与えて」とか言ってるし。
上のほうでそうとは限らんよねって自分で書いてたよ。

つうかofficeが個人情報抜いたスクリプトの実体がよくわからんから
これ以上どうにもならんわ。
警察が動いてることを公表した以上、まず逮捕から起訴には行くだろうから
判決に期待するとしよう。
863名無しさん@4周年:04/01/11 02:28 ID:CBXym/f7
で、>>858はどこの国のお方ですか?見たところ日本語を解する能力にやや
難有りのようですが 藁
864名無しさん@4周年:04/01/11 02:30 ID:hORU3cQ2
>>861
>難しいミスも簡単なミスも同じだっっつうことはまだわからないのか?
んー。わかんないかなあ。
そもそもミスだったのか?ってことでもあるのよ。
何度か書いたけど、CGIによってある程度アクセスできる範囲が与えられてた。
このことに対して、それがミスだったか仕様だったかはわかんない。

論点が違ってんのよ。
認証を行うアクセス制御機構があったかどうかになるでしょ。
あったかどうか、それは俺には(そのスクリプト使ったこともないし)わかんない。

不確定要素が多すぎてどうにもならんよ。
865名無しさん@4周年:04/01/11 02:33 ID:hORU3cQ2
866名無しさん@4周年:04/01/11 02:33 ID:CBXym/f7
>>864
>そもそもミスだったのか?ってことでもあるのよ。
>何度か書いたけど、CGIによってある程度アクセスできる範囲が与えられてた。
>このことに対して、それがミスだったか仕様だったかはわかんない。

ほぉ〜、個人情報喜んで見せてたわけですか、意識大丈夫?(プゲラ
「わかんない」でお終いでつか?
867名無しさん@4周年:04/01/11 02:34 ID:yt9FoTOi
>>863
いや、私には>>864も何書いているのかさっぱりわかりません。
868名無しさん@4周年:04/01/11 02:35 ID:77rDf0wf
>>866
そもそもファイルを表示するCGIはそのファイルの中身が個人情報かどうかなんて感知しないと思われる。
どういったものなのか不明だからわからないが。
869名無しさん@4周年:04/01/11 02:37 ID:hORU3cQ2
>>866
>>854

いいからガキは寝れ(笑
870ねむ:04/01/11 02:38 ID:Xk8zmLNL
>>864
OK. わかった。確かにCGIプログラムの瑕疵なのか運用側のミスなのかは
わからないが、

officeは、プログラムの挙動を分析して、パラメータを推測して入力を行い、当該データを抜いたらしい。
という話から、運用側のミスというよりは、プログラムの瑕疵をついた可能性が高いという前提で
話していた。じゃ、おれは寝る。

871名無しさん@4周年:04/01/11 02:39 ID:CBXym/f7
>>868

そのCGIを類推した引数とともに起動したのは誰なんだろうな? いや〜
難しくてわかんないなぁ〜

>>869

オサーンも辛そうですよ?藁
872名無しさん@4周年:04/01/11 02:41 ID:hORU3cQ2
>>867

つまり、作った人達に訊いてみないと本当のところはわかんないってこと。
想像でミスだったとか仕様だったとか決め付けてもあんまり意味はなさげ。

ありがちなのは仕様決めるときにあんまりしっかり煮詰めてなかったってとこだろうけど、
意図的にそういう仕様にした可能性もある。
普通は表示させるファイルをパラメータで渡すような事はしないから、もしかしたら
スクリプトの実装がおかしくてコマンドインジェクションかSQLインジェクションみたいな
やりかたでデータ取り出したのかもしれない。

そのへんがわかんないと話になんないよねってこと。
873名無しさん@4周年:04/01/11 02:46 ID:hORU3cQ2
>>870

了解。
プログラムの瑕疵をついた可能性についてはほぼ同じ意見だ。
おつかれ。
874名無しさん@4周年:04/01/11 02:48 ID:hORU3cQ2
>>871
>>854

>そのCGIを類推した引数とともに起動したのは誰なんだろうな? いや〜
>難しくてわかんないなぁ〜

勉強不足ですね。

>オサーンも辛そうですよ?藁
そう思いこむと安心するのかな?
875名無しさん@4周年:04/01/11 02:59 ID:oXEwlD6u
牢獄の構造に問題あったとしても看守が見張っていれば脱走されない
脱走しても迅速に警察を配備できればすぐに解決する
876名無しさん@4周年:04/01/11 11:25 ID:7h0YDHPQ
予備校や大学の授業みたいだね

出席でウソの名前書けばまずいけど
廊下で聞いたり出欠取らないとこにもぐるのはグレーゾーンって
877名無しさん@4周年:04/01/11 18:57 ID:PGGyPBBC
被害を拡大、深刻化させる方向に運用されはじめた「不正アクセス禁止法」
http://www.google.co.jp/search?q=cache:F0Io0vetb4IJ:https://www.netsecurity.ne.jp/article/1/11949.html+&hl=ja&start=1&ie=UTF-8
被害を拡大、深刻化させる方向に運用されはじめた「刑法第261条」
http://kibutu.tripod.com/
やっぱりOfficeは逮捕されるべき。
878710:04/01/11 19:27 ID:FGyCfBIc
>>877
そう、そのリンク先よ。
私は hp設計してないし、個人情報を集める側でもない訳で、この不正アクセス防止法
に関して関係するんだったら被害者側になる人間だけど、今回のセキュリティがどうだった
のかは分からないけど、悪意を持ってハックしても、きちんとしていれば漏れない訳だし、
個人情報扱う企業は、悪意を持った人間にアタックされても漏れないようにしておいて欲しい。
又、そのぐらい責任持って取り扱って欲しいと願う。

少なくとも、漏れちゃったのはハック(としても)したヤツが悪い!とは言って欲しくないよなぁ。
信頼してあんたの所へ情報提供したんだからさ。とおもうな。
879名無しさん@4周年:04/01/11 19:59 ID:iKd0BYyf
>>878
それが不正アクセスを免罪するわけではない。
つかループうざ。
880名無しさん@4周年:04/01/11 20:54 ID:aebRsfPK
もしこれが個人情報保護法施行下であったなら、
犯罪社になっていたのはACCSの方だった罠
881名無しさん@4周年:04/01/11 21:45 ID:PasfORPe
>>880
来年4月ですよね。
今は個人情報の重さを知らない企業が蔓延してますからね。
施行されたらACCSのような企業は淘汰されるでしょう。

法整備がきちんとされるまでは、できるだけ本当のことは
かかないような自衛をする必要がありますよね。
882名無しさん@4周年:04/01/11 21:51 ID:PasfORPe
>>879
今回の事例を不正アクセスに分類するのはかなりの無理があるでしょうね。
個人情報の流出に関してはACCSとOFFICE双方に責任があることになります。
883名無しさん@4周年:04/01/11 21:58 ID:iKd0BYyf
ダウソ厨マジウゼー。
過去ログぐれー嫁。
884名無しさん@4周年:04/01/11 22:31 ID:9JVI6dM6
>>882
人の話を聞かず同じ主張の繰り返しの詭弁は聞き飽きた
コンピュータの仕組みを学んでから出直せ
885名無しさん@4周年:04/01/12 09:51 ID:sWPWD2Dt
ACCS側としては「CGI経由では個人データにアクセスできない」
と盲信していただけなんでは。>>158をよく読んでみてね。
もしこれがアクセス制御機構になるならシンプルでいいですな。
無知になればいいだけなんだから。

個人情報保護法の施行を前倒しすべきだと進言しておこう。
886名無しさん@4周年:04/01/12 10:18 ID:tfma60Un
>>158
では、誰でも推測できたとかなんとか言ってるが、
その簡単さでもってアクセス制御機構がなかったようなものだと述べるような議論は
不正アクセスを論じる上では全く無意味。

ACCSの責任はそれとは別で議論だろ。
887名無しさん@4周年:04/01/12 11:22 ID:tfma60Un
はてなの日記がなくなり、謝罪文がなくなり、着々と一次情報は失われていってます。
888名無しさん@4周年:04/01/12 11:30 ID:FCaTj4OF
               ∧        ∧  マチクタビレタ〜     マチクタビレタ〜
 マチクタビレタ〜      ./ ヽ      /  ヽ      マチクタビレタ〜
              /   ヽ―――/   ヽ   マチクタビレタ〜  マチクタビレタ〜
   マチクタビレタ〜  /        l___l   \        マチクタビレタ〜
            |      ●  |    |  ●  |  / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
       へ    |    へ    ヽ  ./     | < ねえ、馬鹿のタイーホまだぁー?
        \\  \  \\    ヽ/     /   \____________
チン       \\  .>  \\          ヽ
   チン     \\/     \\  _       |  マチクタビレタ〜
      \ ̄ ̄ ̄ ̄ ̄ ̄ ̄/  / ̄    ヽ    /   _
        \回回回回回/ ̄ ̄ヽ         / ̄ ̄/|    マチクタビレタ〜
         \___/      ヽ____/  /  .|         マチクタビレタ〜
                               /    |  マチクタビレタ〜
   __________________/     .|
                             |      |     マチクタビレタ〜
889名無しさん@4周年:04/01/12 11:59 ID:sWPWD2Dt
>>886
ファーストサーバーには当然アクセス制御機構があったわけです。

運用側が個人情報データにCGI経由で「アクセスできるように設定」
しておいたことが今回の事件の問題なのです。おわかりですか?

まぁ不正アクセスだということにして他人に罪をなすりつけたい気
持ちもわからないでもないですがね。

やはり個人情報保護法の早期施行を(r
890名無しさん@4周年:04/01/12 12:03 ID:sWPWD2Dt
ちなみに個人情報保護法とは「簡単に」個人情報が漏洩するような運用管理を
厳しく処罰するための法律といってもいいでしょうね。

やはり個人情報保護法の早期施行を(r
891名無しさん@4周年:04/01/12 12:04 ID:f20PY0jC
>>889
>ファーストサーバーには当然アクセス制御機構があったわけです。

もしそうだったとしたらファーストサーバーからそういう表明が出てるんじゃないかな?
ファーストーサーバーはいまだ何も表明せずにいるところを見ると制御機能なんてものは
そもそも存在しないCGIだったんじゃない?
892名無しさん@4周年:04/01/12 12:07 ID:sWPWD2Dt
>>891
逆でしょうね。ちょと考えればわかりそうなものですが。

ファーストサーバーには当然アクセス制御機構があったからこそ、
いまだに謝罪もせずにいられるところがその傍証になるでしょう。
893名無しさん@4周年:04/01/12 12:11 ID:4HvxtL1H
ファーストサーバーの人間が紛れ込んだか?(w

>逆でしょうね。ちょと考えればわかりそうなものですが。

>ファーストサーバーには当然アクセス制御機構があったからこそ、
>いまだに謝罪もせずにいられるところがその傍証になるでしょう。

何も公表せずに延々と叩き続けられることがメリットになるのであればな(w
894名無しさん@4周年:04/01/12 12:25 ID:sWPWD2Dt
>>893
>何も公表せずに延々と叩き続けられることがメリットになるのであればな(w

馬鹿ですねぇ。

ファーストサーバーが本当のことを発表したらどうなると思います?
顧客であるACCSの運用が糞であったことが白日の元にさらされること
になりますよね。

顧客が馬鹿うったおかげで自社の製品のブランドイメージが失墜した
わけですから、本来なら損害賠償請求したところでしょうけど。
悲しいかなファーストサーバーも所詮日本的ヘタレ企業、だんまり決
め込んで時間が解決してくれるのを待つということになるわけですね。
895名無しさん@4周年:04/01/12 12:29 ID:qZMM6n1D
単純にパーミッションの設定ミスとか。
896名無しさん@4周年:04/01/12 12:32 ID:pUAqKp6L
>>894
>顧客であるACCSの運用が糞であった

そういうことにしたいんですか?
897名無しさん@4周年:04/01/12 12:34 ID:GwbIN6t9
書き込んでるヤシの素性が容易に推察できる低レベルな煽り合いだなw
898名無しさん@4周年:04/01/12 12:36 ID:pUAqKp6L
>>897

そう思い込むと自分が低レベルであることを忘れられるんですか?
899名無しさん@4周年:04/01/12 12:50 ID:f20PY0jC
根拠の無い憶測と憶測で構成された理論で人を馬鹿扱いする大馬鹿がいるな(w
900名無しさん@4周年:04/01/12 12:50 ID:FCaTj4OF
バグにつけ込む阿呆を殴るのも不正アクセス禁止法の目的な訳だが(w
901名無しさん@4周年:04/01/12 12:54 ID:pUAqKp6L
>>899

自己紹介?
902名無しさん@4周年:04/01/12 12:56 ID:tfma60Un
>>889
>運用側が個人情報データにCGI経由で「アクセスできるように設定」
>しておいたことが今回の事件の問題なのです。おわかりですか?
あなたは中の人なのですか?

外見から言えることはその"間違い"を発見してアクセスしたことでしょ?


>まぁ不正アクセスだということにして他人に罪をなすりつけたい気
>持ちもわからないでもないですがね。
なすりつけたいって。。まさか無実の罪だとでも主張されたいのでしょうか?
903名無しさん@4周年:04/01/12 12:57 ID:f20PY0jC
>>901
君のことをさしてるわけじゃなくてID:sWPWD2Dtのことを言ったんだがな(w
被害妄想になるのはやめなさいよ

ところでID:sWPWD2Dtは
http://pc2.2ch.net/test/read.cgi/hosting/997111619/
で有名な190氏か?(w
904名無しさん@4周年:04/01/12 12:57 ID:pUAqKp6L
>>900

ずいぶん凶暴ですね(・∀・)
905名無しさん@4周年:04/01/12 12:57 ID:sWPWD2Dt
>>900
ファーストサーバーにバグがあるってことですか?
そりゃ〜大変ですね。JPCERTには連絡いれました?

一部の馬鹿な顧客がバグだというのなら、ごもっとも。
906名無しさん@4周年:04/01/12 12:58 ID:adytviOq
>>894
ファースト鯖はバグ付き糞cgiを放置しておいた責任は問われないわけてでつか?
907名無しさん@4周年:04/01/12 13:01 ID:pUAqKp6L
>>903

ごめんね。IDちゃんと見てなかった。

どうやらID:sWPWD2Dtは中の人みたいでつね(・∀・)
どんな電波飛ばしてくれるのか期待してまつよ!
908名無しさん@4周年:04/01/12 13:03 ID:sWPWD2Dt
>>906
ACCSとファースト鯖の契約内容によるでしょうね。
管理者は誰で、どちらサイドの人間だったんでしょうかね?


909名無しさん@4周年:04/01/12 13:04 ID:adytviOq
事件発覚後、cgi強制入れ替えをしたことを都合よく忘れているようでつね。
910名無しさん@4周年:04/01/12 13:04 ID:pUAqKp6L
>>905
>ファーストサーバーにバグがあるってことですか?
おや?違うとでも?

>そりゃ〜大変ですね。JPCERTには連絡いれました?
JPSERTは個別事案には対応しませんよ?それくらい常識。
ファーストサーバの森川には連絡が入ってコッソリ対応したけれど
顧客にまともに説明しなかったせいでACCSは乗り換えずにいて
最終的にofficeみてえな奴にいじくられたわけですが?

ファーストサーバスレ100回音読しておいで。

>一部の馬鹿な顧客がバグだというのなら、ごもっとも。
ずいぶん無茶を言いますな(・∀・)クスクス
911名無しさん@4周年:04/01/12 13:06 ID:4cupQS2a
>>895
たとえパーミッションの設定が適切であっても
スクリプトのセキュリティホールをついてユーザ権限で動作するCGIスクリプト経由なら
ファイルが読み出せてしまうのでは。
こいつらは無料サーバで各種ログやサーバの設定ファイルを勝手に覗いたりするのを
当たり前のようにやっていた連中だから、そのことも追求されると困るので
必死になって不正アクセスじゃないと言い張っているんじゃないかな。
912名無しさん@4周年:04/01/12 13:07 ID:pUAqKp6L
>>908

つまり、ファーストサーバみたいにスクリプトひとつまともに書けないほど
高度な技術力を誇るクソ鯖屋を選んだACCSに全ての責任があると?

素晴らしい言い分ですね(・∀・)クスクス

確かにまともなスクリプトも出せず顧客への説明もろくに行わず、
今になっても何らアナウンスすらしないクソ鯖屋なんかなかなかお目に
かかれませんからね(・∀・)クスクス
913名無しさん@4周年:04/01/12 13:09 ID:FCaTj4OF
なんか一定間隔でキチガイが湧いてくるんでつね(w
914名無しさん@4周年:04/01/12 13:09 ID:zGVKZSTz
スーパーハカーってこういう人のことを言うのか
915名無しさん@4周年:04/01/12 13:10 ID:pUAqKp6L
>>911

セキュリティホールだったのか、アクセス可能範囲の任意のファイルを読めるような仕様
だったのかは中の人にしかわからないから、あとは警察がちゃんとやってくれると思うよ。
今は結果待ちの段階でしょうな。

裁判になったらハッキリするんだけどなー。
俺らギャラリーにはスクリプトがどんなんだったかとかわかんないから、限りなくクロに近い
グレーとしか考えられんよ。
916名無しさん@4周年:04/01/12 13:12 ID:FCaTj4OF
>>915
阿呆の発表した文章見た限りではセキュリティホールだね。
だからこそ朝日が記事にしたと。
もっとも、記事内容には問題ありまくりだが(w

内輪に売られたってか?>おひす
917名無しさん@4周年:04/01/12 13:13 ID:sWPWD2Dt
>>910
そのCGI機能の説明が事前にまったく説明されていなかった&
マニュアルにのっていなかったのだとしたら
ファーストサーバーが糞だってことになりますね。

マニュアルにはのっていたんじゃないかと思っていたんだけどね。

>顧客にまともに説明しなかった

まともに説明ってどういうレベルだったんですか?


なんにせよこのスレには当事者がいぱーいみたいですね(クスクス
918名無しさん@4周年:04/01/12 13:13 ID:pUAqKp6L
>>915に追加。

普通はそんな腐った仕様でしたなんて言わないだろうから、
officeはまず起訴までは行くだろうね。
あとは裁判官が警察の出す証拠でバッチリ追い込んでくれるよ。
919名無しさん@4周年:04/01/12 13:16 ID:pUAqKp6L
>>917

>マニュアルにはのっていたんじゃないかと思っていたんだけどね。

ということはセキュリティホールじゃなかったのか。そういう機能だったのね。
じゃあofficeは不正アクセスしてないって主張になっちゃうね(・∀・)クスクス
中の人としてそれでもいいのかな?
920名無しさん@4周年:04/01/12 13:21 ID:FCaTj4OF
寒い自作自演もほどほどにしろや(・∀・)オチャノンデカエレ!!
921名無しさん@4周年:04/01/12 13:22 ID:sWPWD2Dt
>>915
>セキュリティホールだったのか、アクセス可能範囲の任意のファイルを読めるような仕様
>だったのかは中の人にしかわからないから、

なんだ、ただのお馬鹿さんでしたか。

質問して損しました。
922名無しさん@4周年:04/01/12 13:23 ID:pUAqKp6L
>>921

おや?きみにはわかるのかな?
作った人くらいしかわからないはずなんだけどなあ(・∀・)クスクス
923名無しさん@4周年:04/01/12 16:16 ID:NE1xKZQL
age
924名無しさん@4周年:04/01/12 18:26 ID:WCLXfj4k
AD200Xメンバー動向

http://www.office.ac/
謝罪文削除・逃亡
http://dmnz.org/
逃亡
http://shadowpenguin.org/
逃亡
http://d.hatena.ne.jp/Tariki/
AD200Xの名前を変えて続行予定
925名無しさん@4周年:04/01/12 19:00 ID:wwkGkQHs
>>924
> http://www.office.ac/
> 謝罪文削除・逃亡

とにかく、謝罪文削除というのは許しがたい。
強気に出てくるのか?

> http://dmnz.org/
> 逃亡

逃亡はしてない

> http://shadowpenguin.org/
> 逃亡

本当の意味で「正義感」を持ってるなら閉鎖はありえないよね。
自粛とか言う前に、自分の行ってきた行為に対して潔白が
あるんなら閉鎖なんてする必要無し。どこかやましいところが
ある証拠か

> http://d.hatena.ne.jp/Tariki/
>AD200Xの名前を変えて続行予定

はなからどうでもいい存在でした
926名無しさん@4周年:04/01/12 19:58 ID:FCaTj4OF
クズが減るのは良いことだ。
927名無しさん@4周年:04/01/12 21:10 ID:/25Vyq5a
>>926
新たな屑が出てくるだけだな
需要があるからネ・・
928名無しさん@4周年:04/01/12 21:19 ID:FCaTj4OF
>>927
数少ない非クズはお抱えで表に出てこないしね・・・。
もうすこししっかりしる!>監督官庁
929名無しさん@4周年:04/01/12 22:19 ID:dA5n4xCH
http://kibutu.tripod.com/
オヒスタイーホあんけーと過熱ちゅ。
930名無しさん@4周年:04/01/13 04:46 ID:zJwqOEGv
age
931名無しさん@4周年:04/01/13 08:03 ID:ZJS1E3n3
やっぱり一番の問題の根源は人材不足。
まともな人がちゃんと表に出てこないと駄目。
まともな仕事してるってだけじゃなくて、ちゃんとプレゼンテーションのできる人。
そういう人材が極端に少ないのが日本の悲しいところ。
932名無しさん@4周年:04/01/13 08:27 ID:I2OWuMAC
>>931

つまり馬鹿なファーストサーバの馬鹿な罠を得意げに晒したofficeが
馬鹿の中の馬鹿だったということですね。
933名無しさん@4周年:04/01/13 09:01 ID:zkPRP23y
まぁ、そんな馬鹿レベルにすら到達できなかったACCSとかいう集団もいるわけだが
934名無しさん@4周年:04/01/13 10:02 ID:LRj4kRfl
>>931
オンラインバンキングサイトに不正アクセスをして侵入成功を自慢していた厨房F川が
ISMS主任審査員となってKPMGで適合評価制度の講師をやっているぐらいだからな。
935名無しさん@4周年:04/01/13 10:19 ID:/DLW6EVw
今回に限ってはofficeを支持するよ(・∀・)
936名無しさん@4周年:04/01/13 10:22 ID:UczRoA14
それ初めて聞いた。どんな侵入?
937名無しさん@4周年:04/01/13 11:25 ID:LRj4kRfl
>>936
銀行じゃくて証券会社だった
記憶が曖昧でゴメン
これの2/25のところ
http://member.nifty.ne.jp/marineblue/log/2000_02.html
938名無しさん@4周年:04/01/13 13:54 ID:pPomJ+gf
>>937
懐かしスィ
“ウェブサイトをハッキングしてみる”
ってったって、どんなことなんだか。
“暗証番号が4文字のところが多い”てのがハキーング?
939名無しさん@4周年:04/01/13 16:32 ID:vfrKP2Bk
>>1
よくやった!偉い!
940名無しさん@4周年:04/01/13 17:27 ID:JqR2AQbb
外でも2ちゃんねら〜
2ちゃんねる直行パケ代節約ツール⇒ttp://www.eonet.ne.jp/~since031103/pokepake/index.htm
941名無しさん@4周年:04/01/13 17:28 ID:0R/4YF74
で、結局ACCSがマヌケなだけだったと。
942名無しさん@4周年:04/01/13 17:45 ID:d/ETr0Wt
ファーストサーバーの社員が情報を捻じ曲げているスレはこちらですか?
943名無しさん@4周年:04/01/13 17:49 ID:/DLW6EVw
>>940がそこらじゅうにコピペされてるんだが、本当にツールなのか?
それとも広告やウィルス?
944名無しさん@4周年:04/01/13 18:13 ID:I2OWuMAC
         /´:::::::::::::::::::::::::::::::::::::::::::`ヽ
       /::::::::::::::::::::::::::::::::::::::::::::::::::::::::\
       --------------------------ー)
      |    http://www.office.ac/    |    
      (:----------------------------/
     (::::::::::/              ヽ:::::::::::)
     |:::::::/ ,,;;;;;;;;;;;;;;,     ;;;;;;;;;;;;;,,, |:::::::::::|
     |:::::                     :::::|
     |::::    -=・=-        -=・=-  :::|
     /|:::     ~~~~  ノ  ヽ  ~~~~    |ヽ
    .| |/        /    ヽ       ||  
    ヽ|     ⌒   (. o⌒o .)  ⌒   .|ノ
      \       :::::::::::::U::::::::::::   プッ /   
       |\    ヾ─┬┬┬─ ::::  /|  タイーホなんてこわくない 
       |. \.     └┴┘    ./ .|  office(40歳)が944げっと
945名無しさん@4周年:04/01/13 19:28 ID:BFr8l2cW
>>931
人材の払底もそうなんだけど、日本の企業社会自体がみんなが妄想しているほど
安全ではない、という事の方が大きいんでないかね?
http://www.mainichi.co.jp/digital/solution/archive/200304/17/3.html
こういう事件が当たり前に起こっている現状もそうだし、日本って産業スパイ天国、
なんて事も言われてます。セキュリティの仕事をきちんとすればするほど、
結果的に企業の情報管理中核を知ることになるということ、あとは日本のIT産業が、
特にITバブル期に起業された会社の相当数に「エンジェル」の顔をしたヤクザ屋
さんが入り込んでいる、という現状。
真面目に仕事をすると言うことは、仕事自体をあまり知られないようにして、
信頼関係を中心にして仕事をしていくしかない。

本当はこういう防犯産業は、きちんと警察が積極的なバックアップ(とクズの
排除)をしてやらないかんのですが、「システム」という壁に阻まれて警備業の
ような仕組みが出来ていないのが現状。日本の場合「国家の存亡に関わる
機密事項」って概念がWWII以降存在しなくなった関係で、機密保持に関する
クライアント側の意識も問題外。故に官がある程度のクオリファイを保証する
システムが不可欠なんだけど・・・。お先真っ暗だな_| ̄|○
946名無しさん@4周年:04/01/13 19:52 ID:whQxvoHc
ぜいじゃく
947名無しさん@4周年:04/01/13 21:03 ID:w7wV8eWT
無駄さ…白痴化した連中に何を云っても、言葉は空しく響くだけ
948名無しさん@4周年:04/01/13 22:32 ID:zt8OqxcS
>>927

officeやAD200xの連中がいなくなっても第二第三の厨房ライターを養成する腹づもり

日本最大級のセキュリティ情報サービス Scan Security Wire と ネッ
トビジネス情報サービス BizMarketing を提供しているNS総研は、ネッ
ト媒体専門のライター養成を開始した。
この講座を受講することで同総研の媒体にライターとしてデビュ
ーする道が用意されている
https://www.netsecurity.ne.jp/article/1/11988.html
949名無しさん@4周年:04/01/13 22:37 ID:BFr8l2cW
>>948
連中マジで逝って欲しいわ。
950名無しさん@4周年:04/01/14 01:31 ID:p/L6BcnW
>>498

いや、これで厨房ライターの危険性が認識されたのではないかな?

951名無しさん@4周年:04/01/14 12:01 ID:YUdCKtO0
ガクガクブルブル?
952名無しさん@4周年:04/01/14 19:25 ID:n3699F5V
>>950
それで学習するならジャナ専卒のクソフリーライターは皆淘汰されている_| ̄|○
953名無しさん@4周年:04/01/14 19:52 ID:u8ZXSZa8
ボクもツーチャンネルやるまでの17年間、「造詣が深い」を「ゾウシが深い」って呼んで生きてきました。
954名無しさん@4周年:04/01/14 20:20 ID:wb/NsmPo
>>953
まず藻前の脳の脆弱性を(ry
955名無しさん@4周年:04/01/14 22:19 ID:CBaeeKcw
2003-11-07
■ 確認

まだネタが腐ってないらしいことだけは確認できた。それでも完全にぶっつけ本番の一発勝負の部分があるのだが、果たしてうまくいくでしょーか。(わらひ

時間が足りるかどうかもビミョー。

ま、JPCERT/CCに対するアテコスリだけはばっちり決めるつもりだけどネ。
956名無しさん@4周年:04/01/15 10:05 ID:duOmwQ4V
この人はもしかして・・・
957名無しさん@4周年:04/01/15 10:07 ID:WwqHSF+X
最終的には人間のモラルの問題だな。セキュリティがもろいから攻撃していいっていう
理屈をならべるやつはDQNだろ?
958名無しさん@4周年:04/01/15 12:08 ID:4UWCB7WM
最終的には人間のモラルの問題だな。悪いのは晒すヤシだから個人情報管理がいい加減でいいっていう
理屈をならべるやつはDQNだろ?
959名無しさん@4周年:04/01/15 12:29 ID:Y9z5v6Iv
最終的には人間のモラルの問題だな。技術的対策で解決するべきだから法律はなくていいとか、
法律で規制するから対策なんかなくていいっていう
理屈をならべるやつはDQNだろ?
960名無しさん@4周年:04/01/15 13:32 ID:4U/+INCx
>>957-959

ありがちな三大DQN
961名無しさん@4周年:04/01/15 16:41 ID:N5V1oF04
結局自分のやるべき事をやらなきゃDQN、踏み外してもDQN。
お後がよろしいようで。
962おまいら ◆NwiTTEYosI :04/01/15 18:10 ID:v/YWm8Cc
この研究員は人47氏だよ
963名無しさん@4周年:04/01/15 22:12 ID:looB5QOB
>>962 研究員 != 助手
964名無しさん@4周年:04/01/15 22:17 ID:looB5QOB
次スレまだー?
こっちは新スレいったぞ
http://pc.2ch.net/test/read.cgi/sec/1074115212/
965偽ぼる:04/01/16 05:58 ID:mBKLKGlE
(・3・) アルェ〜? http://www.office.ac/の
      中身がPGP署名だけになってるYO!

      BBSのリンクはともかく、悪平等どうたら
      まで消しちゃってるのはまずいNE!

      自分の弁明を取り下げたと取られて、
      対朝日新聞としてはめちゃめちゃ不利だYO!

      臭いものにとりあえずふたってのは、
      危機管理として一番やっちゃいけないことだし、
      こんな奴にセキュリティを語ってほしくないNE!
966名無しさん@4周年:04/01/16 06:00 ID:sqdLmKUb
だからこれは893系企業にハッククラックの業務を独占させるための法律だろ<不正アクセス禁止法
967名無しさん@4周年:04/01/16 06:34 ID:3DekqyIv
>>966
今表に出てる連中って(ピー)なんですけど。
つか日本のITベンチャーのほとんどが(ピー)。
特にビットバレー系なんかほとんど(ピー)。
968名無しさん@4周年:04/01/16 06:41 ID:DBCGw3jV
いまさらだけど、インターネットって、そもそもの思想がセキュアじゃないからなぁ・・・
脆弱と言ってもねぇ ┐(´〜`;)┌
969名無しさん@4周年:04/01/16 14:32 ID:v8WWYjGe
>>968
ワラタ!
970名無しさん@4周年:04/01/16 16:33 ID:Clfw7GZi
>>966
そういっちゃ身も蓋もない・・
971名無しさん@4周年:04/01/16 22:04 ID:3DekqyIv
まぁ、逆にヤクザのシノギになったら気持ちよく叩けて(・∀・)イイ!!
どうせ某社も某社も起業時に菱の字から金もらってるんだから(・∀・)イイ!!
972名無しさん@4周年:04/01/16 23:43 ID:x4Q/xDQY
http://www.google.co.jp/search?q=cache:5SxqCYq3FKcJ:d.hatena.ne.jp/trinisic/+ad200x+%E5%80%8B%E4%BA%BA%E6%83%85%E5%A0%B1&hl=ja&ie=UTF-8

ちなみに「都内で開かれた集会」は A.D.2003 であり、僕も参加して彼のプレゼン
テーションを聴きました。(中略)
ただ僕はこの方の行為に関し、不正アクセス禁止法に反するのではないかと疑問
を抱いたことがあります。それは雑誌ハッカージャパンの 2003 年 9 月号に彼の
記事で紹介されていた、コマンドインジェクションアタックです。具体的な方法
の記述はここではしませんが、この手段により本来氏名とメールアドレスの入力
によって動作するID、パスワード確認メールの送信を実行してしまいました。
これは不正アクセス禁止法第三条二項二号に該当すると思われます。ACCS の
ログ情報の公開よりこちらのほうが問題な気がするのですが・・・。
973名無しさん@4周年:04/01/17 10:54 ID:TdNw5ufJ
このまま繊維荒野
974名無しさん@4周年:04/01/17 11:11 ID:VGzfrUSF
>>972
多分この阿呆は不正アクセス禁止法の解釈や実際の捜査に関してきちんと法律屋向けの
公刊書籍があって、基本的解釈についてオレ解釈の余地がないってことも知らなかったんでしょ。

それで専門家云々騒ぐゴロどもまとめて逝ってね(・∀・)アマー
975名無しさん@4周年:04/01/17 19:08 ID:OwsxE81D
>>974
俺ルールと言えば・・・
http://pc.2ch.net/test/read.cgi/sec/1020821174/1
976名無しさん@4周年:04/01/17 19:26 ID:nHzTX2S5
25 more to 1000
wasshoi
977名無しさん@4周年:04/01/17 20:11 ID:VGzfrUSF
>>975
同一人物に関する論評だけど(w
978名無しさん@4周年:04/01/18 01:42 ID:C89z+cXT
考えろ,考えろ,考えろ。それはお前自身の言葉なのか?
979名無しさん@4周年:04/01/18 01:59 ID:8rr5Pl6G
確かにあやうじゃくだよな。
980名無しさん@4周年:04/01/18 04:38 ID:mPQVtqQ7
セキュリティ甲子園問題も絡まって、経済産業省も巻き込む波乱の予感。

ところで>>975のoffice発言中の「ハウス!」ってどういう意味?
981名無しさん@4周年:04/01/18 04:59 ID:IcEd4Okk
で、逮捕まだぁ?
982名無しさん@4周年
>>980
犬に対する命令の言葉でしょ。かっこつけ。
officeはここの研究員で間違いないだろうね。
http://www.npo-kgc.or.jp/
知的財産グループもあることだし。