れですも色々

フリーページ

SF講和条約後の「A級戦犯」

< 新しい記事

新着記事一覧(全10696件)

過去の記事 >

全て | カテゴリ未分類 Vine | セキュリティ雑記 | ゴソゴソ | (`Д´)ノ | ぼそぼそ | *UNIX | NorthAD | (´･ω･`) | メモ | セキュリティｰ特亜 | インスパイア | 政治 | Tool | にゃんこ | 左巻き | ヽ(´ー｀)ノ | 経済 | J-NSC

2004.02.05

まずここをお読み下さっている方々へお詫びをしなければ今日の日記は書き始められない。

以前、ここのBBSで「今後一切AD，もしくはACCSの件で公開Webでは議論はしない」と書きました。

日記は議論ではないと屁理屈はつけられるものの、内心忸怩たるものがありますのでね。

http://www.asahi.com/national/update/0204/020.html
京大研究員逮捕。

NHKでは顔も出ていますなあ。
確認分では正午のニュースでは全身動画、19時のニュースでは丸抜き顔写真だった。
http://www.askaccs.ne.jp/
関連

http://www.hokkaido-np.co.jp/Php/kiji.php3?&d=20040204&j=0022&k=200402042810
親戚の名前まで出すのか。

AD2003に私は参加していた。

そしてここの過去日記にも当該プレゼンに触れている。
ノートPCを持ち込まなかったので、どういう状態で資料がダウンロードできたのかは不明だけれど。

一部報道にあったようにサーバーに侵入したとかcgiを書き換えたとかいう類のプレゼンではなかったのは事実だ。

過去日記にもあるように投稿フォームにカーソルが合った状態で猫がキーボードを踏んづけるとか、はたまたキーボードがjp106ではなく何か違う言語仕様だとしたら誰にでも個人情報が目の前に現れるという程度のもの。

確かに当該個人は非常に安易に他人の個人情報を不特定ではないが多数と言える人間の前で公開した。

その事についてはセキュリティに関して日頃から発言している人間として、やってはならない事をしてしまっている。

いくら対象サーバー会社が再三再四の注意にも耳を貸さず、脆弱性のあるcgiで商売をし続けていてもだ。

抜いて見せてしまうというのは功名心からなのか、それともやはり物事を安易に考えていたのかは判らないが。

そしてもう一つ。
必要があるのかどうか明確ではない個人情報をいくら金を払っているからといっても、チェックもせずに入力させている団体もある。

そしてADに関してだが。

査読はしないと確かに事前のショートプレゼン募集での告知はあった。

それはやはり性善説に基づいたものなのかどうかは判らないが。
プレゼンをする者のモラルを信用し過ぎたのも過失と言われればそれがそう。

但し。
私の個人的な感触と経験から言えば。

実は最初のAD参加の際（AD2001)、参加費振込みに関して私は重大なミスをした。
銀行振り込みなのだが、あろう事かキャッシュカード経由で振込みしてしまったのだ。

せっかくHNで振込みしても本名、口座番号バレバレである。

いくらPC触り始めて半年といっても本当にひどい過ちであった。

引き落とし専用口座なので残高自体は非常に少ないがどう考えてもそういう問題ではない。

実際、しばらくはこまめに注意していた。

が。

当たり前であるが現在に至るまで何も起こっていない。
何度も何度も本名であちらこちら検索もかけたが何もなかった。

当たり前でしょとここで思った方々。

今、そうじゃあないことが多すぎませんか。

住基カードは偽名で取れるわ、高校では承諾なしに謝礼貰って生徒の個人情報流すわ。

国税局も他人の納税証明垂れ流すわ。

さて。
話を戻して見解を述べますが。

当該個人については同情はできない。
できないが不正アクセスとかサーバー侵入などという高級な技を披露した訳ではない。

正直いうとうっかりなら私でもやらかしそうなレベルでしかないプレゼン内容だった。
だが。
やはり個人情報を公開したのは間違いでもあった。

ADについては。
見通しが甘かったというのは間違いない。
大丈夫だろう+知り合いだから=安易ではあった。

だがADが個人情報を積極的に漏らしたなどというのは曲解だろう。
渡された資料をまんまアップしちゃったのは間抜けではあるが、ただそれだけだ。

サーバー会社に関しては。
これは弁解の余地はないだろう。
何せ商用サーバーで脆弱性のあるcgiを使い続けていたのだから。
保存されていた個人情報の持ち主とそれから利用していた団体への2重の背信がある。

当該団体については。
本当に必要な個人情報を収集していたのかという疑念はある。
そして個人情報を収集するのであればいくら金を払っているとはいっても万全の注意を払うべきではあった。

実際、セキュリティ関連コミュニティでも高邁な議論と実際にしている行動が乖離している場合が多いのは事実だ。

難しい技術論も必要なのだが、何よりも「意識」が何事にも敏感でなければとてもとてもセキュリティなど語れるものではない。

そういう点では今回の騒動も「鈍感」が招いたと私は思う。

何よりも怖いのは鈍感なのだよ。

それらが理解できていない人間は必ず過失という名の根本的で壊滅的な間違いを犯す。

できるならば。
せめてセキュリティ関連の方々は鋭敏であって欲しいと心から願っている。

追記分、ここから

例えば何かのカンファレンスに参加したいとする。
申し込みをwebで行う場合が多いのだが。

この時に場合によっては非常に細かく個人情報を入力しなければならない場合もある訳で。

注意を払って記入しているが、やはり中にはあれっと思うサイトもある訳で。

それこそ自分の個人情報なのであれっと思った時点で止めてしまう場合も多い。

ここで私がどうしてもおかしいとは思うものの、安全性の確認が取れない場合、一体どこの誰に聞けばいいのだろう。

該当サーバーに問い合わせるのは論外。
当事者確認は碌なことがない。

そして何らかの申し込みというのは人数制限や日にちがないことも多いのだ。

いくらたかが私の個人情報とはいっても、そういう場合に客観的に判定してくれるか、もしくはサイトのuriだけで判定してくれるものはないのだろうか。

そして判定してくれる団体なりができたとしても、それらは構成している人間も含めて本当に公平なのだろうか。

お気に入りの記事を「いいね！」で応援しよう