ふ。昨日書いたと思ったら早速今日のニュースになってるじゃない。女の勘だったとは思うんだけど…怒りを禁じえないわ。
事の発端は昨日の日記でも読んで頂戴。情報漏洩関係の下のほうに書いてあるわ。
とりあえず、いくつかの新聞記事をチェックしてみたの。
http://www.asahi.com/national/update/0204/020.html

都内で開かれたネットの安全対策担当者やハッカーの集会で、参加者約２００人に接続方法を公開し、協会にも接続したことをメールで通知した。そのうえで、サイトの一部の閉鎖を余儀なくさせ、協会の業務を妨げたとされる。

あんた脳みそある？
セキュリティホールがあるようなCGIを「修正も出来ないまま」使っててサイト存続させてるほうが明らかにおかしいわ。罪悪よ。そんなもの「外部のCGI使って」「セキュリティホールをふさげなかった」協会のほうに問題があるなんて当然じゃない。なにが「業務を妨げた」よ。寝ぼけた発言にもほどがあるってもんだわ。

「ＣＧＩプログラム」と呼ばれる汎用（はんよう）プログラムが使われていた。

こういう記事を書くんならもう少しお勉強してから出直してらっしゃい、ボウヤ。

サーバーには外部からの利用を制御する機能があり

その機能が「まともに動いてない」からやられたんでしょ？
もちろん「機能していないから破っていい」わけでは絶対に無いわ。でも、Officeさんは「こういう危険があるよ」ってのを実証するためにやってたんじゃなくって？ 本当に「個人情報を不正に入手したい」んなら、セキュリティホールを見つけた後黙ってるわよ。黙って、こっそり大量のデータを取得してるわ。
その辺の「悪人」と「悪人の手法を把握するための捜査官」の違いってまだわからないのかしら？ わからないんだとしたら、もう一度人生０からやり直しなさい。
次はここね。
http://www.yomiuri.co.jp/main/news/20040204i504.htm

東京都内で開催されたイベントで、入手した個人情報の一部や不正侵入の方法を公開し、同協会のＨＰを閉鎖に追い込むなど、業務を妨害した疑い。

ここも業務妨害なのね…。妨害されたのは「上のほうで何もせずにただ甘い汁だけ吸っていたい連中」のクソ温い考え方なんじゃないかしら？

、趣味として政府関係機関のＨＰなどのセキュリティー問題を調べ、インターネットの掲示板や自分のＨＰなどで問題点を指摘していた。

まぁこれを書いてあるだけよしとしなきゃいけないんだろうけど…どうかと思うわ。
お次。
http://www.mainichi.co.jp/news/flash/shakai/20040204k0000e040045000c.html
なんていうかとりあえず３つのうちじゃ最低だわ。

情報が漏れたことをメールで協会に知らせ、サイトの閉鎖に追い込んだ疑い。

なんかここまでそろって書かれると、きな臭いわよねぇ。まさに「何もしたくない」連中が「裏で手を回した」って感じがプンプンしないかしら？

掲示板サイトなどで一般的に使われているプログラム「ＣＧＩプログラム」の一部を書き換えて、利用者がパソコンからインターネットサイトに書き込んだ個人情報などを不正に取り込んでいた。

まぁ初耳だわ。あたしが耳にしてる限りでは「既存のCGIのセキュリティホールをつついて」っていう風にお話を聞いてるんですけれども。
これが事実ならそれはそれで「CGIが書き換えられるようなセキュリティホール」がある時点でやばすぎるわ。その辺わからないのかしら？
なんていうかいかにも「何も知らない一般人を一定方向に扇動するような」素敵な記事よねぇ。

河合容疑者のホームページには「過去、官公庁を含め約３０カ所にアクセスした」との記載があり

それって「セキュリティーチェック」だったんじゃなくってかしら？
なんか「上のほうのバカな老人達」の思惑通り動いてる感じがして、最低。
次。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040204/4/
まぁさすがに技術系サイトだけあって、ほかよりずいぶんましだわね。

ACCSによれば「男性はイベント終了後に，はじめて当協会宛にメールでCGIのぜい弱性を指摘し，個人情報を入手できることを通知してきた」という。

これは、もし事実であるならOfficeさんのミスだと思うわ。少し前にきちんと連絡しておくべきだと思うもの。
で、この問題の大本のACCSのいいぶんが…あたし的には「サイテー」って感じだわ。
http://www.askaccs.ne.jp/
なんかTop PageっぽいURLだから色々書き換わりそうだわ。しっかり引用していくわね。

この男性は、当協会に対して、今回の一連の行為についてCGIの脆弱性を指摘するために行ったと説明していました。

目的は多分嘘じゃないと思うわ。もっとも「だから」頭にくるんでしょうけど。

確かに、CGIの脆弱性を指摘することについては、セキュアなネットワーク社会を構築するために有用な側面もあると考えます。

「も」じゃなくってよ。有用で重要な側面だわ。特に、あんた達みたいに「出来の悪い」連中を相手にするときには特にね。

しかし、セキュリティとは本来、個人情報など重要な情報を保護するという目的のために存在する「手段」であり、

「しかし」じゃないわね。セキュリティってそういうもので、かつそれは「定期的に」叩かれて安全であることを確認する必要があるものだわ。なんのために防災訓練とかがあると思ってるのかしら？

今回のこの男性の行為は、手段のために目的を犠牲としたもので、本末転倒と言わざるをえません。

この発言の根拠を伺ってみたいものだわ。

この男性の目的が本当に「CGIの脆弱性の指摘」であれば、実際に個人情報を入手し、不特定多数の人の前で公開することまでは必要なかったと考えます。

公開したのはミスだと思うけど。実際に入手しないとあなた達なにも動かないでしょ？
それに、そもそもあんた達ACCSが「セキュリティホールのあるCGIを」何も考えずに使っていたのが大本の原因よ？ つまりあんた達は基本的に加害者なの。わかってるかしら？
http://www.askaccs.ne.jp/houkoku3.html
を見てみると

１　技術的な原因について
　技術的な原因は、以下のとおり、ASKACCSにおいて、セキュリティの脆弱性が認められるCGIプログラムを使用していたことにある。
　すなわち、ASKACCSは、レンタルサーバー会社のサーバーで運営されており、ASKACCS上の質問フォームで入力された情報は、担当者に送信されるとともに、テキストファイル形式でサーバーに保存される仕組みになっていた。そして、この保存のために、ASKACCSの開設時に、レンタルサーバー会社から契約者に当時提供されていた標準CGIプログラムを利用していた。
　しかし、このCGIプログラムには、ある特別な操作をする事で、質問フォームで入力された情報をダウンロードできてしまうという脆弱性が存在していた。そのため、この操作を行うことにより、ASKACCS上の質問フォームで入力された情報を取得することが可能となってしまっていた。

とかいかにも「レンタルサーバ会社が悪い」みたいな書きかたしてるけど。そういうのを責任転換っていうの。まがりなりにもセキュリティ関連を扱う法人じゃないのかしら？ 職務怠慢にもほどがあるわ。

２　本質的な原因について
　上記のとおり、本件の技術的な原因は、当該CGIプログラムに脆弱性があった点にあるが、本質的には、次のような問題があると判断した。
(1)　ACCSは、ASKACCSのホームページについて、セキュリティチェック等の充分な検証を実施していなかった。また、当該CGIプログラムを採用するに際しても、特にセキュリティ上の検証を行っていなかった。
　ASKACCSは広く個人情報を収集・取得していたのであるから、そのセキュリティについては細心の注意を払うことが求められていたというべきである。第三者が作成したソフトウェアを利用する場合には、その選定に際して細心の注意を払う必要があると考えるし、採用した後においても、セキュリティ上の問題がないか否かを、継続的に自らの責任で検証する必要があると考える。さらに、ACCSは、これまで情報の取り扱いに関する啓発活動を自ら行ってきていることからすれば、自ら運営するホームページのセキュリティについては、通常の企業等以上に、充分なスキル、体制で臨む必要があると考える。
　しかし、ACCSは、レンタルサーバー会社の提供するCGIプログラムを採用する際に、セキュリティ上の検証について入念な検査をしたとは認められなかった。

バカかしら？ まともにチェックの一つもしてなかったのね？
一応反論を出しそうな、脳みその足りない子たちのためにかいておくわ。チェックして問題点が見つからず後で問題になっている以上、チェックしていないのと一緒なの。「努力しました」が認められるほどあまいものじゃなくってよ？ 現実って。

(2)　ASKACCSは、必要と認められる以上の個人情報を入力させていたと考えられる。
　ASKACCSは、不特定の第三者から広く質問を受け付け、それに回答することを目的としていた以上、回答を送付するために必要な最低限の個人情報（メールアドレス等）の入力を求めることはやむを得ないと考える。
　しかし、ASKACCSの質問フォームでは、さらに住所・氏名等の個人情報の入力まで要求していたところ、このような情報まで必要であったとは認めがたい。
　個人情報を扱う際には、その管理に万全を尽くすことはもちろんであるが、それと同時に、そもそも不必要な個人情報は取得しないことも求められているというべきである。

そうね。発言はとっても正当だわ。その発言を「ちゃんと理解して」今後に生かすことが出来れば、なんだけど。
でも、最終的に「業務妨害」って騒いでるようじゃ、結局中は腐りっぱなしなのね。チーズとか納豆とかクサヤとか発酵調味料とか、腐っておいしくなるものはたくさんあるんだけど。組織が腐っても、中の人間が腐りながら喜ぶだけ。周囲の人間にとっては多大なる迷惑以外の何者でもないわ。


もちろん。たとえ少ない人数だったとはしても、それが一瞬であったとしても、個人情報を公に出力してしまったofficeさんのミスは大きなものだわ。その辺の意識が多分緩んでいたのは確かだったんだと思うわ。そういう意味で、そのあたりを徹底的につつかれるのは、ある意味仕方がないと思うの。
でも、それでもなお「セキュリティをチェックする機構」はとても重要だと、あたしは思うの。少なくとも「セキュリティホールがあるよ」って連絡受けたのを「業務妨害だ」って騒ぐ連中よりよっぽど健全だわ。
これで「逮捕」されて「セキュリティチェックは法的に危険」だなんてことになって御覧なさい。業務とか利益とか知ってる一般企業はともかく、まともなチェック機構が働いてない公的なサイトが今以上に危なくなるわ。…まぁその辺を「期待して」るんでしょうけれども。海外のクラッカーたちのいい目標だわね。国の恥だわ。