ACCSのお話よ。まずはこちらから、だわ。
http://internet.watch.impress.co.jp/cda/special/2004/03/22/2500.html
そうねぇ。容赦なく切り込んでいくわ。

幼稚なセキュリティ研究者こそがネット社会で最も迷惑な存在

あら。「幼稚な公的機関」もとっても迷惑な存在だわ。「己を省みる」って単語を本当に知らないのねぇ。

もちろん、事故調査委員会の報告書については真摯に受け止めるが、実際にネットワークのセキュリティをどのように評価し、なおかつどの程度導入しなければならないかという点については、慎重に対応する必要がある。今後、我々のような規模の社団法人や中小零細企業が個人情報を扱う場合に、セキュリティに関する注意義務をどこまで果たさなければならないかという複雑な問題に絡んでくるだろう。

そうねぇ。事実を把握せずにこの文章だけを読んでいる限りでは、確かに難しい問題だわぁ、って思うの。実際の基準ラインってとっても引きにくいと思うし。もちろん、そこはきちんとした議論を重ねていかなければならない大切なポイントだわ。
でもね、少なくともセキュリティホールを年単位で放置してるってのは、議論の余地がないと思うの。違うかしら？
こういう、如何にも「字面のいい逃げ方」って、あたし大っ嫌いだわぁ。

ただ、研究員の男性にそういう場を与えた責任はあるだろう。イベントで脆弱性を公開し、それを（サーバーの運営者に）通知してあわてふためくところを見て楽しむという側面が絶対にあったはずだ。

二点ほど突っ込んでおくわ。一つ目。「なぜ彼らがそのようなことをするのか」ってところをきちんと考えているかしら？
無論「笑いものにする」ことが完全な白だとはいわないわ。でも、彼らがそういったことをやる側面の一つに「管理者側のあまりにもひどい怠慢」があるっていう話しもまたあちこちから出ていることなのを…きっとご存知ないのねぇ。
ここを読んでいるあなた達に少しだけ教えてあげるわ。多くの、特に大企業や公的機関、第三セクターなどにセキュリティホールを教えてあげると、大体反応は「無視」「逆切れ(お前が不正なアクセスをしなければ大丈夫なんだ、とか)」「こっそり修正したうえで"言いがかりをつけるな"的クレーム」に集約されることが多いわ。少なくとも第一報は善意である連絡に関して、よ？ そういったことが続いて「上っ面だけ飾り立てて偉そうにしている」連中がはびこるのを、その裏側を知っている彼らがどれくらい苦々しい思い出眺めていたのかしら？
そしてもう一つ。「絶対にあったはずだ」。はず、ってのは憶測だわね。こういうところで、ましてや組織を代表する発言として「思い込みから来る発言」っていうのはどんなものなのかしら？ よっぽど悪者にしたいみたいね。

──男性に対する損害賠償訴訟に発展したことで、セキュリティ上の問題などを指摘する活動が萎縮するという向きもある。実際、A.D.200Xも活動を停止している。
　それで萎縮してしまうということは、絶対にないと思う。通知の仕方が問題だ。ホワイトハッカー的な行為については、適切な方法で通知してくれれば、我々は必ず受け入れていたはずだ。

あら。っていうことは「通知の仕方がおかしい」から「業務威力妨害」や「不正アクセス法違反」になるのかしら？
例えば「通知の仕方が脅迫に近しい」から脅迫罪で訴えた、とかっていうのなら理解するんですけれども。きちんと考えればすぐに分かることなんですけれども、「(CGIのセキュリティホールをどうにもできないから)サイトの一部を停止せざるを得なかった、ための業務威力妨害」や「ガードされていたはずの情報に不正なアクセスを行ったための不正アクセス法違反」って、通知の仕方とは全然無関係なのよ？
まして「ないと思う」でしょ？ そんな言葉、誰が信用するのかしら？
現実に目を向ければ、少なくとも今回の件がまともに片付くまでの間、多くのハッカー達は「問題が起きても連絡はしない」ってのが共通見解だわ。一部の「たれこんでくれた方には、感謝はしますが訴訟は絶対にしません」って掲げている現状をよく把握しているところには連絡するかもしれないんですけれども。
そして、今回の件の片付き方によっては、少なくとも当面の間、場合によっては恒久的に「通知はしない」ってのが風潮として出てくるわ。


それにしても…「通知の仕方」云々って、接客業でのクレームを思い出すわぁ。この手の「通知の仕方」だの「口調や顔つき、目線」だのって、最終的に言いがかりをつけるのにとっても便利なの。だって「100%の正解」がないんですもの。例えどんな書き方、物言いの仕方をしても「俺が気に食わない」に適当な屁理屈をつけてしまえばどこまでもごねる事が出来るわ。もし本当に「あまりにも通知の仕方がひどくて、それを理由に告訴をせざるを得ない」ほど壮絶な告知で、さらに「告知の仕方を間違えなければ告訴されることはない」から「こういうことをやってはいけない」と知らしめるのであれば、Mailのやり取りの一部始終と「どこに問題があったのか」を提示するくらいのことはやって然るべきはずよ？
そういった行為をせずにただ漠然と「通知の仕方が問題」とか言っても、他の誰はともかくあたしには通用しないわ。

他者の人権や社会的環境のことは視野になく、単純に“セキュリティ”のことしか考えることのできない幼稚な研究者こそ、ネットワーク社会で最も迷惑な存在ではないだろうか。

ここに本音が見て取れるわね。こういう「瑣末なところ」に、人間の本音が出てくるんだわ。
まず「他者の人権」を視野に入れるのは大切なことなの。これに議論の余地はないわ。でも「他者の人権への配慮」って「セキュリティ」と切り離せないものだわ。少なくとも「個人情報が流出するのを防ごう」って考え方は「他者の人権」を考慮したうえでの「セキュリティ」の追求なんですもの。
だとすると「他者の人権」を無視した「セキュリティ」ってなんなのかしら？ これを読んでるあなたはピンときたかしら？ ヒントは、もう一つの単語である「社会的環境」だわ。
結局これって「脆弱なものが見つかったっていわれてもこっちだって面倒くさかったりなんだり事情があるんだから気にしてくれるな」って言っているの。こういう「組織とかしがらみとか無駄なものに縛られるのが好きなマゾ連中」って、そういうのを理解してくれない人たちをさして「幼稚」って叫んで如何にも「自分は大人だから頑張って耐えてるんだ」みないなところに自分を持っていって自己満足に浸ろうとしてるわね。
愚かもここに極わまれり、だわ。
自分達が「セキュリティをきちんと出来ていない」ことに言い訳してるだけなんですもの。これじゃ思春期の「みんな社会が悪いんだ」って喚いているバカガキどもとなんにも変わらないわ。ううん、ガキどもはまだこれから成長するかもしれないってことを考えると、それよりもたちが悪いわ。


で。ACCSのサイトに今回の経緯みたいなのが書いてあるPageを発見したの。
http://www.askaccs.ne.jp/security_2003.html
なんていうか…笑わせてくれるわぁ。稚拙な情報操作っていうかイメージ誘導を見ている気分よ。

officeがメールに添付した個人情報は、ホームページ開設当初から直近までに質問コーナーに入力された（１）IPアドレス　（２）氏名　（３）年齢　（４）住所　（５）電話番号　（６）eメールアドレス　（７）質問内容　などでした。ACCS側では、ユーザーがCGIに入力した内容については適時削除しており、web上にこのようにホームページ開設当初から直近の情報がすべて記録されているファイルが存在することはないと認識しておりましたが、フォルダ内を調べたところ該当するファイルを確認し、officeが入手した個人情報が真性のものと確認しました。

素敵だわぁ。どこが素敵って「web上にこのようにホームページ開設当初から直近の情報がすべて記録されているファイルが存在することはないと認識しておりましたが」って部分。なにをどうやって「ファイルが存在しない」と認識するに至ったのかしら？ 是非腰をすえて伺ってみたいものだわ。しかも「フォルダ内を調べたところ該当するファイルを確認」ってことは少なくとも「ftpかtelnetかそういった類のもので見れば即座に分かる」ものだった、ってことだわ。つまり「その程度のことすらも、年単位で何もやってなかった」ってことなのよね？ それって物凄いことなんじゃないかしら？

そこでレンタルサーバ側に、このようなファイルの存在とアクセス方法についての報告を求め

ここが微妙なのよね。レンタルサーバって言っても色々あるわ。CGIって本当に「レンタルサーバ側がメンテナンスをすべきもの」だったのかしら？

11月10日（月）以降、officeとメールでやりとりし、個人情報の削除を要求したところ、officeはこれを拒否。

書き方がうまいわねぇ。これを見ている限りだと「個人情報をもてあそぶクラッカー」に見えるわ。でも実際のところ「どんな経緯で」「どんな会話が」行われたのかしら？
あたしははっきり言ってACCSの連中の発言なんて信用していないわ。こういう発言をするならきちんとやりとりのMailも公開すべきよ。双方がどのような意図でやり取りをしていたのか、って部分の考察はある程度読み手であるあたしたちに任せていただきたいものだわ。もちろん「それじゃ情報の恣意的な操作なんで出来ないじゃないか」って言われそうですけれども。

さらに、自分が手法を公開しているので、誰かが同様の方法で個人情報を入手している可能性がある、といった内容のメールを送ってくるなど、個人情報をもて遊ぶようにも取れる発言を行っていました。

まぁ今までの情報から「手法の公開」は事実だと思うわ。でも「公開しない」としても、同じような手法に気づいた人がいないとは限らないのよ？ まして「hiddenの情報を書き換えるだけ」だなんて…初歩の初歩だわ。

ASKACCSが利用していたレンタルサーバ会社が提供していた「標準CGI」に欠陥があり、officeはその欠陥を利用して個人情報が蓄積されたファイルを入手したものです。

どうもこの辺が、前に耳にしてた情報と食い違うのよねぇ。たしかに提供してたって話は聞いているんですけれども、かなり前にセキュリティホールが発覚して、その辺はすでに対応をした、って主旨の発言をどこかで見た記憶があるのよ。
大体「提供しているCGI」なら通常は一括でバージョンアップを行うものだわ。もっともレベルの低いレンタルサーバだとしたら怪しいものですけれども。

ACCSでは上記「標準CGI」の欠陥について、事故調査委員会の指摘にあるように、十分なセキュリティ上の検証を行っておらず、欠陥の存在について全く把握しておりませんでした。

まぁこの辺はきっちり問題視されるべきところだわね。っていうか十分も何も、こんなもの知識のある人間なら始めの５分で危険への可能性が予測できそうなものだわ。そのへんが出来ていないあたり「十分な検証」ってよりは「検証そのものを」やってなかったんじゃないかしら？

【個人情報を収集していた理由】
　ASKACCSでは質問を受け付ける際に、氏名、年齢、住所などの個人情報の記入を求めていましたが、これは、ひやかしやいたずらを避け、まじめな質問を送っていただくためでした。

よくあるわねぇ。脳みその干からびたジジィ連中たちの一部にこういった発言をする輩がいるわ。こないだも山崎なにがしってバカの掲示板に書いた時に、発言を削除されて「反論をしたいなら本名で連絡先を以下の弁護士に送って来い」とか愚かな発言をされたばかりですもの。
こんなものなんの意味も無いってのに、それすらも分からなかったのね？ 「氏名や住所を言えばきちんとしてる」って考え方、そろそろ改めたほうがいいわ。

【office以外の個人情報へのアクセスについて】
　ACCSでは保存されていた10月6日以降のログについて調査したところ、事故調査委員会の報告にもあるように合計4回、外部から個人情報にアクセスした形跡を認めました。これらのアクセスについては、いずれもoffice本人であると確認しています。

あら？ たしか「他にもアクセスがあった」んじゃなかったのかしら？ この「事故調査委員会」てのも大概いい加減だわねぇ。結局「事故にかこつけて」「利害関係だけで選択された連中を使って」無駄金を費やして私腹を肥やしていくだけなのね？

【国立大学研究員への民事訴訟】
当協会は、被告が不正入手し、拡散させた個人情報の被害者へ謝罪するとともに、イベント参加者への個人情報の削除要請、インターネット上に個人情報が拡散していないかどうかのチェック作業、レンタルサーバ会社への対応、事故調査委員会の設置と開催など、業務上多大な影響を受けています。

素敵ぃ。年単位で放置されていたセキュリティホールの「拡散させた個人情報の被害者へ謝罪」や「ンターネット上に個人情報が拡散していないかどうかのチェック作業」、「レンタルサーバ会社への対応」、「事故調査委員会の設置と開催」の全てが「officeさんに起因する」「業務上多大な影響」なのね？
自分達の発言が如何に「責任転嫁」に依存しているものなのか、理解できないのかしら？
きっと他の場面でも同じようなことをやっているんだわ、って想像しちゃうわね。


まぁ全体的にみて、ACCSが全ての責任を他者に転嫁して自分達は口先だけの謝罪で済ませようとしている雰囲気がとても明確に現れていて分かりやすいわ。これってつまり通常の業務においても同じようなことをやっている、っていうACCSの体質の表れだと、あたしは見て取っているの。まぁお役所ちっくではあるわね。
なんていうのかしら、こぉ「自分のケツを他人に拭かせる」のが好きな連中って、権力とか名声とかが好きなだけに、そっちには長けてるもんだから結構社会的に「いい」と言われている場所に現れてきやすいのよねぇ。そして残念なことに、結構な人たちが「そういう人たちの発言だからきっと間違いないんだろう」って思って、結果として簡単に情報操作されてしまって、それに気づかないのね。
まぁ幻想ってとっても素敵だわ。そこでは誰も傷つくこともなく、平和で幸せに心安らかに自分の思い通りに物事が進んでいくんですもの。
どうかしら？ いっそそんなあまやかな幻影だけをみて平和に過ごしてみるのもいいんじゃなくってかしら？ ACCSやほかの「大人な人たち」が望んでいるのって、そんな素敵な世界よ？


あたしとは寸分の狂いもなく異なる価値観だし、そんな唾棄すべき屑、あたしにはなんの興味もないんですけれども。