CGIの欠陥突き情報引き出した京大研究員逮捕 警視庁
各地既報なんで、blogmapの該当コンテンツあたりから参照。
office氏が「不正アクセス禁止法不正アクセス防止法違反」「威力業務妨害」の罪に問われている。
「不正アクセス禁止法不正アクセス防止法違反」は、HTMLのform文をイジってアクセスしたという方法が一般的にどう見えるか?が問題かな。そりゃWebアプリを作ったことがある人にとってはアクセス制御機構が動いてないも同然だが、ソースをごにょごにょしてってのを見せれば「はっきんぐ」に見えるからねぇ。そこらへんはシリンダー錠と同じように啓蒙しなきゃだよな。一発で開くぜオラみたいな。
ただ、「威力業務妨害」はちょっと納得できない。
- 「ACCS運営ホームページのセキュリティ問題について」(11月11日)
- 「ACCS運営ホームページのセキュリティ問題について・続報」(12月26日)
- 「ASKACCS個人情報流出事故調査委員会による『事故調査報告書』」(1月22日)
- 「緊急のご報告」(1月29日)
あたりを見る限り、業務を停止したのは「威力」による圧力を受けてのことではないように見える。脆弱なCGIを使っていることと過剰に個人情報を収集していたことの問題をACCS自体が認識してサイトを閉鎖している。これが「威力業務妨害」になるのは痛いな。
ホスティング
場所貸しのプロバイダのカウンタや掲示板、企業用ホスティングのWebメールサービスやアクセス解析が安全かどうか、ユーザになってみないとまず判らない。実際、私が某所で借りてるところなんてApacheはガクガクブルブルなやつを長期間使ってたし*1。なんかスパムの踏み台にもなってる時期があったりね。おっと話がそれた。
で、そういうところのサービス使ってて脆弱性を見つけたとしようや。「これヤバイよ、直してよ」ってお願いするのが「威力業務妨害」になったり、種類に依っては「
で……
今回の逮捕劇でカジュアルクラックは防止できそうな気がするが、やる気も技術も十分な黒社会にヤバいWebサービスのリストと攻略法が蓄積されるってことだね。それはそれで暴力団みたいに管理しやすいってことなのか?>警察。そういえば、私も1200人の中に私が入っていたかも。ACCSには何通か報告を行っているんだがそのとき匿名で投稿したかどうか忘れちまったんだわ(笑)過剰に個人情報を入力させやがるなぁと思った記憶もあったりして。
とにかく、日本のインターネット史に残る事件になることは間違いない。
「車検」みたいな安全性確認ルーチンなしにWebサービスが立ち上げられている現状が変わらん限り、自分の身を守るためのペネトレーションは許してほしいと個人的には思う。脆弱なサービスの通報先も欲しいかなぁ。
*1:だから今は普通のバージョンですが、怖いので何も置いてません