それは違うでしょう。

セキュリティ

 岡崎図書館事件で、ACCS事件の話が出ているのですが、

# ACCS事件というのがあってだな。まあ,脆弱性を報告していた人が逮捕されて,最終的に有罪になってしまったわけだけど,そういうこともあって,自分で通知するんじゃなく第三者を通したほうが安全だと。で,IPA脆弱性ハンドリングを始めたとか。まあ,いろいろ。 #librahack 7:36 PM Oct 24th V2Cから


# あれも言ってみれば魔女狩りだったんだよ。脆弱性を探し回る怪しい奴がいる,なんとかしないと,みたいな,ね。不正アクセス禁止法の成立からしばらく経っていて,見せしめ的なものもあったのかもしれない。あの逮捕のせいで,いろいろ立ち遅れたのも事実。 #librahack 7:38 PM Oct 24th V2Cから


# あれが発端と言ってもいいくらいのインパクトだったんだよ。まあ,俺は当事者集団の中にいたからそう感じただけかもしれないけど。 #librahack 7:41 PM Oct 24th V2Cから


# あの頃の情報セキュリティ,特に脆弱性関連を扱う奴らは,本当に怪しい奴だと思われていたからね。アンダーグラウンドな空気を持っていたのは否定できないけど,まともに活動している奴らもいっぱいいて,そういう奴らの中から有罪に持ち込まれた。きつい事件だったよ。 #librahack 7:42 PM Oct 24th V2Cから


たりき (@Vipper_The_NEET) | Twitter

それは違うでしょう。まず以下の点ですが、

# ACCS事件というのがあってだな。まあ,脆弱性を報告していた人が逮捕されて,最終的に有罪になってしまったわけだけど,


たりき (@Vipper_The_NEET) | Twitter

そもそもは、

 脆弱性を利用してダウンロードした[ 個人情報 ]を、セキュリティ関連の発表会場で[ 勝手に公開 ]し、さらに参加者のコンピュータからLANで[ ファイルにアクセス可能 ]になっていた。
という事であり、[ 勝手に個人情報を公開 ]したのですから、その時点でアウトでしょう。しかもそのデータは[ 脆弱性を利用してダウンロードした ]のであり、[ 元々は公開されていたわけではない ]のですから。

あれも言ってみれば魔女狩りだったんだよ。脆弱性を探し回る怪しい奴がいる,なんとかしないと,みたいな,ね。不正アクセス禁止法の成立からしばらく経っていて,見せしめ的なものもあったのかもしれない。


たりき (@Vipper_The_NEET) | Twitter

 再三記載しますが、[ 勝手に個人情報を公開 ]した事が問題視されたのであって[ 魔女狩りのような雰囲気など無かった ]ハズですし、[ 脆弱性を探し回る怪しい奴がいる,なんとかしないと ]などという雰囲気も有りませんでした。ましてや[ 見せしめ的なものもあったのかもしれない ]は事実無根でしょう。

まともに活動している奴らもいっぱいいて,そういう奴らの中から有罪に持ち込まれた。


たりき (@Vipper_The_NEET) | Twitter

ですから、[ 勝手に個人情報を公開 ]するような輩は、まともとは言えないでしょう。

あの逮捕のせいで,いろいろ立ち遅れたのも事実。 #librahack 7:38 PM Oct 24th V2Cから


たりき (@Vipper_The_NEET) | Twitter

その[ 立ち遅れた ]のは、[ 勝手に個人情報を公開 ]した方の責任です。自分達に非が有ったのにも係わらず、人のせいにするのは、どうかしています。
 又、ACCS事件は、すぐに非を認めていれば、民事のみで刑事事件までには至らなかった可能性も有ります。

 それにしても、未だにこんな事を言っているとは... 。正直、事件を起こした本人よりも、回りのセキュリティ屋の方が、よっぽど罪深いと思いますね。いろんな意味で。個人的には、本人は回りのセキュリティ屋に踊らされたんじゃないかと。つまり、本人も被害者で、本当の意味で加害者だったのは、回りのセキュリティ屋だったんじゃないかと。

補足( 2010-10-27 )

 知らない方もいらっしゃるかもしれないので少々補足、記事へのリンク及び、問題の部分を引用。

2003年11月8日に東京都渋谷区で行われたセキュリティイベント「A.D.2003」の席上でASKACCSウェブサイトの攻撃手法を公開し、入手した個人情報を参加者に示したほか、電子メールで攻撃手法を送信。相談者の個人情報をこのイベントの配布資料に同梱してダウンロード可能な状態に置いていたことも判明した。
-- 中略 --
 ACCSでは、今回の逮捕に関して「CGI脆弱性を指摘することについては、セキュアなネットワーク社会を構築するために有用な側面もあると考えます。しかし、セキュリティとは本来、個人情報など重要な情報を保護するという目的のために存在する『手段』であり、今回のこの男性の行為は、手段のために目的を犠牲としたもので、本末転倒と言わざるをえません。この男性の目的が本当に『CGI脆弱性の指摘』であれば、実際に個人情報を入手し、不特定多数の人の前で公開することまでは必要なかったと考えます。」としている。


CGIの欠陥を突く不正アクセスで国立大学研究員逮捕 - CNET Japan

 ACCSの対応が悪かったのかも知れませんが(未確認)、いずれにしろ、個人情報の公開はマズイでしょう。が、この事件で問題とすべきは、事件を起こした本人よりも、むしろ以下の点です。

  • セキュリティの専門家が300人も参加者していながら、誰も問題行為として会場で指摘しなかったらしい点( *1 )。
  • この専門家達が問題の人物を擁護した事。
  • この専門家達が[ 個人情報を公開した事 ]に触れないようにしているように見受けられる点( *2 )。

 尚、事件そのものは以下の報道にみられるように、

以下のようになっています。

  • 2005-03-25 : 東京地方裁判所が懲役8カ月執行猶予3年(求刑懲役8カ月)の有罪判決。
  • 2005-07-05 : 被告が東京高等裁判所への控訴を取り下げ、一審に依る[ 懲役8カ月執行猶予3年 ]の判決が確定。
  • 2005-07-25 : ACCS及び被害者3名(個人)が提起していた民事訴訟について、東京地方裁判所で和解が成立。

補足( 2010-11-02 )

 トラックバックが来たので内容を読んでみた所、私自身が事実誤認している点も有るようなので、確認後、再度補足という形で後日追記する可能性が有ります。従いまして、上記内容につきましては、トラックバック先も読んでください。

*1:当然、イベント後も何も対応していない様子。

*2:実際、twitterでも触れられていません。一番肝心な部分なのに。