ACCSネタ
- 個人情報を盗まれた人たちの不安を被告はわかっていない
http://internet.watch.impress.co.jp/cda/special/2004/03/18/2477.html
法的責任を負うほどの注意義務違反がACCSにあったことにつながるのかはわからない。少なくとも、私はそこまでの注意義務違反はないのではないかと思ってる。
個人情報保護法を守ると注意責任ではなくて義務になるのかな。
理想論をいえば、注意責任を追わないのでなければ、個人情報を集める資格はない。
侵入された後なのにこの程度の意識だと、次も同じような手口でやられんじゃないの?今回の事件でセキュリティマネージメントとして何を学んだのか聞きたい。
その程度の意識で個人情報を集めるな!!もし注意義務違反だというような認定が下って、(ACCSの被害者に対する)損害賠償が成立するというようなことになれば、ガチガチのセキュリティをかけているごく一部の上場企業以外は、どこも個人情報を扱うことが困難になるのではないかとも思う。
内部犯ならまだしも、運用をしっかりしていれば、インターネット経由からの攻撃を防ぐのくらいそんなにお金はかからないと思う。
しっかりしているところは上場していないところはいくらでもある。
一番の問題は、そのイベントが開かれたあとにしか侵入したことに気付かなかったこと。
このイベントがなければ、侵入されたことも情報を盗まれたことに気付かなかったのではないの?
定期的にログ見てないのかな・・・・とはいってみたもののちゃんと運用しているところはセキュリティホールを修正したCGIに入れ替えてるよね。そんなところがまともにログの監査なんぞやるとは思えない。
それにこれは私自身未確認な情報だけど、セキュリティホールを修正したプログラムは1年以上前に出ていたらしいではないですか。セキュリティホールの入ったプログラムを1年以上ほったらかしにしておいたら、注意義務違反じゃないのだろうか。
- 幼稚なセキュリティ研究者こそがネット社会で最も迷惑な存在
http://internet.watch.impress.co.jp/cda/special/2004/03/22/2500.html
ホワイトハッカー的な行為でも通知の仕方が問題だった
この意見には賛成
男性に対する損害賠償訴訟に発展したことで、セキュリティ上の問題などを指摘する活動が萎縮するという向きもある。それで萎縮してしまうということは、絶対にないと思う。
いや、実際はいろんなコミュニティでは萎縮しているように見えます。
実際にIPAが出すガイドラインが出るまで、みんな待とうってね。
でも、一番怖いのは見つけても報告せずに裏のコミュニティだけで情報交換されて、情報を取られていくのが一番怖い。
今回のはそれなりの表?のコミュニティだったから表ざたになっただけだと思う。他者の人権や社会的環境のことは視野になく、単純に“セキュリティ”のことしか考えることのできない幼稚な研究者こそ、ネットワーク社会で最も迷惑な存在ではないだろうか。
いえ、脅威の分析もできず、情報収集の問題も認識できずに適当に余計な情報も収集しているACCSも迷惑な行為です。ACCSがITという中での社会的環境を理解していないのでは?
ただし、人権に関しては同意。
とはいえ、セキュリティって難しい。
ソフトウェアにセキュリティホールがなければいいけど、それが難しい。
セキュリティを勉強している私からみても、今回のステップは間違っていると思うし、やはりACCSに一報を入れて塞ぐまでの猶予は与えたほうがよかったのではないの?って正直思う。
何よりデモで移した個人情報は本物だったようだしね。
ちなみに私は参加者ではないです。