受けつけりゃいいってもんじゃなくってよ？

http://itpro.nikkeibp.co.jp/free/SI/NEWS/20040406/142498/
http://internet.watch.impress.co.jp/cda/news/2004/04/06/2689.html
http://japan.cnet.com/news/sec/story/0,2000050480,20065309,00.htm
とりあえずサイトを読んで頂戴。なんていうか…あたし的には突っ込みどころ満載だわ。

http://itpro.nikkeibp.co.jp/free/SI/NEWS/20040406/142498/より
独立行政法人情報処理推進機構（IPA）は4月6日，ソフトウエアやWebサイトの脆弱性情報の届け出窓口を7月に設置することを発表した。報告された脆弱性情報は，有限責任中間法人 JPCERT コーディネーションセンター（JPCERT/CC）とIPAが中心となり，脆弱性の内容を調査し，対策を講じるよう関係者に通知する。

まぁこのあたりは褒めて差し上げてもよろしくってよ。今まで「連絡しても個人だから無視されたり挙句には逆切れされたりしていた」状況が緩和できるってのは、それはとても重要なことだと思うの。

http://itpro.nikkeibp.co.jp/free/SI/NEWS/20040406/142498/より
2003年11月からIPAで「情報システム等の脆弱性情報の取扱いに関する研究会」で議論され，今年3月末に検討結果がまとめられた（報告書）。

報告書が、 http://www.ipa.go.jp/security/fy15/reports/vuln_handling/documents/vuln_handling_2004.pdf にあるからダウンロードしてみたわ。…どうでもいいんですけれども、もう少しサイズ軽くしてもらいたいものだわねぇ。ちょっと気になるわ。
内容を軽く切り込んでみるわ。

報告書より
さらに、脆弱性の公表から攻撃方法の出現までの期間が短縮。

なんか順番おかしくないかしら？攻撃方法が判明して(出現して？)から脆弱性の公表があるのよ？それとも「攻撃方法の出現」っていう言葉は「広く一般に公開される」って意味合いなのかしら？もう一つ言葉の選び方がなってないわね。

報告書より
我が国の問題は、脆弱性の公表に関する調整が不十分であること、情報システム等の脆弱性に関する研究・発見・対策策定は海外に依存しており日本のソフトウエアは脆弱性検証が不十分であること、ウェブアプリケーションの脆弱性は対処が進みにくいことが挙げられる。

あら？脆弱性の研究は、ちゃんと日本でも行われていてよ？あんた達がしらないだけじゃないかしら？
根本的に「その辺がまったく見えていない偽善者体質」なのが最大のガンよねぇ。

報告書より
慎重に扱うべき脆弱性関連情報（脆弱性、検証方法、攻撃方法）と、周知徹底すべき対策方法（回避方法、修正方法）は分けて取り扱うのが適当。

ばかねぇ。「回避方法」と「修正方法」が分かれば、ある程度(場合によってはもろに)攻撃方法も判断がつこうってものだわ。そのくらいのことも分からないのかしら？

報告書より
脆弱性関連情報の発見に際して、発見者は、以下の法令に関する配慮が必要。
　(a) 不正アクセス禁止法
　(b) 刑法
　(c) 電波法
　(d) 著作権法
　　著作権法に関しては、留意は必要であるが、結果的にはガイドラインに留意事項として明記していない。
　(e) その他関連する法規
　　1) 憲法２１条２項後段「表現の自由」
　　2) 電気通信事業法４条「秘密の保護」
　　3) 有線電気通信法９条「有線電気通信の秘密の保護」

まぁ…あたし、読み違えたのかと思って何度も目を通してしまったわ。法令に対する配慮は発見者がしなきゃいけないのね？
はっきり書いて差し上げるわ。「不正アクセス禁止法に引っかからずに脆弱性を見つけろ」と。それはつまり「攻撃をせずに脆弱性を見つけろ」ってことなのね？どうやってやるのかしら？

報告書より
脆弱性関連情報の開示
憲法第２１条第１項において、「集会、結社、および言論、出版その他一切の表現の自由は、これを保障する」と記されている。しかし、以下への配慮が必要。
(a) 刑法の名誉毀損罪
(b) 刑法の信用毀損罪
(c) 損害賠償責任などの民事責任

これも大笑いだわ。ろくでもないことをやっておいてなにが「信用毀損」なのかしら？そのまえにきちんと「義務を果たして頂戴」!!

報告書より
IPA の対応と発見者の法的責任
IPA は、脆弱性関連情報の入手方法に関して関知しない。ただし、不法な手段で入手されたことが明白な脆弱性関連情報に関しては、処理しないことがある。また、IPA が脆弱性関連情報を受け付けた場合でも、IPA は脆弱性関連情報の入手手段に関して合法であると判断したわけではなく、発見者の脆弱性関連情報の発見に係る法的責任が免責されるわけでもない。

ここもすごいわね。発見者の保護を「何もしない」っていっているのと同意よ？

報告書より
脆弱性の発見者は、脆弱性の存在を製品開発者やウェブサイト運営者に通知する際、脆弱性を顕在化させるための条件設定や操作手順など詳細な説明が要求されることが多い。こうした要求への対応は脆弱性の情報の発見者にとって負担が大きいため、通知をあきらめてしまう可能性もある。

本質が楽しいくらいに見えてないわね。まぁ確かに「脆弱性を顕在化させるための条件設定や操作手順など詳細な説明」は「負担が大きい」わ。でも、多分これを書いている人たちが思っているような負担じゃないと、あたしは思うの。だって、報告したために「逮捕される」なんて負担をこの文章から誰が連想できるのかしら？

報告書より
一方で、ソフトウエアの脆弱性の公表からexploit コード7やコンピュータウイルス等攻撃方法8の出現までの期間が急速に短縮しつつある。例えば、2003 年２月に韓国のネットワークをダウンさせた「SQL Slammer」の場合、脆弱性の対策方法の公表からワームの発生までに約半年の期間を要したが、2003 年8 月に国内で猛威を振るった「MS Blaster」の場合、脆弱性の対策方法が公表されてからわずか3 週間強でワームが発生した。

認識が大甘よねぇ。「表立った攻撃が大量に発生する」まえに、どれくらいの数の「見えてこない危険な攻撃がこっそりと」発生していると思っているのかしら？

報告書より
例えば、プリンタに搭載されたOS について、メーカーが対策実施の必要性に気づかずパッチの適用が遅れた結果、ワームの感染を招いたという事例がある。

そういえばそんなのもあったわねぇ。code redだったかしら？
でも、パッチは「出たらあてればいい」ってほど簡単じゃなくってよ？特に愚かなMS製品を使っている場合には。そのへん、きちんと分かっているのかしら？
それとも「体外的な着手の前にいいから住基ネットにパッチあてろよ」って騒いだほうがよろしいかしら？

報告書より
ウェブアプリケーションの場合、検査を経なければ脆弱性の存在が判明しにくいため、ウェブサイト運営者が気づかないケースが多い。

そんなテストは納品前にするのが普通よ？それすらやらずに「動いてるからいいやぁ」って根性で個人情報を扱われたらたまんないわ。そうじゃなくってかしら？

報告書より
脆弱性検査の必要性についても認識が十分でなく、第三者から脆弱性の指摘がなされても前向きに捉えることができない傾向にあると考えられる。

これが本当だとしたら、とっても怖い話だわ。

報告書より
なお、第三者がウェブサイト運営者の許可なく脆弱性検査を行うことは、運営者に危険性を伝える目的であっても、脆弱性の種類によっては不正アクセス禁止法等に抵触する可能性もあり、奨励できる行為ではない。その一方、ユーザが適法にウェブサイトを利用している最中に、偶然に脆弱性を見つけてしまった場合には、運営者に事実関係を伝えることが望ましいが、不正アクセス禁止法等への抵触を疑われることを恐れて放置してしまうことが起きやすいと考えられる。

そうねぇ。現状では結局「誰も怖くて指摘できない」ってのが現状だわ。

結局のところ「脆弱性をどうやって見つけるか」が一番初めのスタートラインになるんですけれども…どこにもそれに対する「有効な発言」が存在していないわ。

報告書より
ウェブアプリケーションの場合の脆弱性関連情報流通の基本方針は、以下の通りである。
発見者から受付機関に脆弱性関連情報の届出がなされ、受付機関が当該ウェブサイト運営者に通知する。

これはよろしくってよ。で、発見者がどうやって「発見するか」ってあたりを基準に読んでみたいんですけれども。

報告書より
違法な手段で発見又は取得された届出であることが明白な場合は原則として処理しない（不正アクセス禁止法等との関係についての考察を4.4.3に示す）

一つ聞いてみたいわ。現状で「合法な手段で発見された」脆弱性ってどんなものがあるのかしら？
通常、脆弱性なんてものは「それっぽい雰囲気を見つけて」「アタックをかけてみて」「アタックが成功して」初めて「まぁ、脆弱性があるわ」って分かるものよ。そうして、アタックは現時点において違法とみなされる可能性が高いわ。
とりあえず、4.4.3を見てみましょ。

報告書より
4.4.3.脆弱性関連情報の発見者に係わる論点
脆弱性関連情報の発見者に係わる論点は、脆弱性関連情報の発見と、脆弱性関連情報の開示に係わる論点に分けて論ずることが可能である。
(1) 脆弱性関連情報の発見
脆弱性関連情報の発見に際して、発見者は、以下の法令に関する配慮が必要である。
① 不正アクセス禁止法
 ウェブアプリケーションの脆弱性の発見は、不正アクセス禁止法に抵触しないような形で実施する必要がある。以下に不正アクセス禁止法に抵触する行為と抵触しない行為を例示する。
(ア) 不正アクセス禁止法の条文
発見者の行為に関連が深い不正アクセス禁止法の条文（第二条および第三条）は以下の通りである。

まぁ建前なんてどうでもいいわ。本音の部分を切り出してみるわね。

報告書より
(イ) 抵触する行為
不正アクセス禁止法第三条に抵触する行為の例を以下に列挙する。
1) 脆弱性関連情報を利用して、アクセス制御機能を回避し、インターネットなどを介してシステムにアクセスした場合には、不正アクセス禁止法に抵触する
上記のアクセス制御機能の定義は、第二条第３項にあるが、具体的な技術に関して判例は示されていない。しかし、特定のウェブサイトにアクセスする場合、現時点において法律的判断が困難な行為は、不正アクセス禁止法第三条に抵触すると推察すべきである。

この時点で事実上「あらゆる(調査目的を含めた)アタックは違法」って言い切っているわ。どうやって「攻撃せずに脆弱性を発見する」ことが可能なのか、是非伺ってみたいものだわね。

報告書より
2) 例えば、管理者やユーザ本人の了解無く、他人のパスワードを取得し、
それを用いて権限なしで、インターネットなどを介してシステムにアクセスした場合には、不正アクセス禁止法に抵触する社会通念上、パスワードの設定はアクセス制御機能の設定に該当することは当然であると推察されるため、上記は明確に不正アクセス禁止法第三条に抵触する。

これも書き方が甘いわねぇ。「類推されうるパスワードを設定してある場合に、パスワードを取得せずに類推してアクセスした」らどうなるのかしら？

報告書より
(ウ) 抵触しないと推察される行為
不正アクセス禁止法に抵触しないと推察される行為を以下に列挙する。
1) 当該ウェブアプリケーションの利用権者が、正規の手順でログインするなどして通常のアクセスをした際に、ブラウザとサーバとの通信の内容を観察したところ、それだけで脆弱性の存在を推定できた場合には抵触しないと推察される

推定、ねぇ。「こんな脆弱性の可能性があります」「それはテストしたけれども大丈夫です」って言われたら、その発言の真実性を誰が見抜けるのかしら？
きちんと攻撃をしてみるからこそ、そういう企業の建前発言に「大丈夫じゃないです。ほら、証拠がここに」っていえるんじゃなくってかしら？
結局のところ甘すぎるのよね、見解が。

報告書より
2) Web ページのデータ入力欄にHTML のタグを含む文字列を入力したところ、入力した文字列がそのまま表示された。この段階ではアクセス制御機能の制限を回避するに至らなかったが、悪意ある者に別の文字列を入力されれば、このサイトにセキュリティ上の問題が引き起こされかねないと予想できた場合には抵触しないと推察される
（ただし、悪質な結果を招くタグを人にアクセスさせることを意図して公衆が閲覧する場に書き込み放置した場合等には、刑法の不正指令電磁的記録作成罪に触れる可能性がある。不正指令電磁的記録作成罪は「犯罪の国際化及び組織化並びに情報処理の高度化に対処するための刑法等の一部を改正する法律案」にて規定（4.4.3(1)②3)参照））

…単純にこれって設計が論外なだけじゃないかしら？
いまどき、どこに「入力が＜＞のエスケープも何もなしに出力される」Pageがあるっていうのかしら？

報告書より
3) アクセス制御による制限を免れる目的ではなく、通常の自由なページ閲覧を目的として、日付やページ番号等を表すと推察されるURL 中の数字列を、別の数字に差し替えてアクセスしてみたところ、社会通念上、本来は利用できてはならないはずと推定される結果が、偶発的に起きてしまった場合には抵触しないと推察される（ただし、積極的に多数の数字列を変えて試す行為等は、制限を免れる目的とみなされ得る。）
3)については、不正アクセス行為に該当するが故意がないケース（この場合の「故意」とは、アクセス制御による制限を免れる目的であることをさす。故意が認められなければ罰せられることがない）であり、上記の枠の例としては適当でないとの意見もあった。本報告書では、発見者の届出が望まれるケースの例示として、本節で紹介することとした。ただし、上記のような形で、脆弱性の発見を目的とした検査を、ウェブサイト運営者の許可なく実施することを奨励するものではない。

つまり都合が悪ければ「それは故意である」と騒ぎ立てればいいのね？
企業側にとっては便利な条文だわ。

報告書より
刑法
刑法に関しては、発見者は、以下の点において留意すべきである。
1) 故意にサーバの機能や性能の異常を来たそうとして何らかの行為をなし、コンピュータの性能を低下させたりした場合、刑法上の偽計（もしくは威力）業務妨害罪に抵触する可能性がある
発見者が脆弱性の発見や確認等の目的のために、故意にサーバの機能や性能を低下させた場合、偽計業務妨害罪となる可能性がある。

イメージはDoSなんだと思うんですけれども…いくらでも都合のいい解釈ができそうだわねぇ。

報告書より
2) 上記1)の妨害の程度によっては、刑法の電子計算機損壊等業務妨害罪にも抵触すると解される可能性がある
上記1)の行為により、サーバのディスク上のデータが消去される等機能や性能に係わる被害が大きい場合、電子計算機損壊等業務妨害罪にも抵触する可能性がある。

つまり「気に食わなければ拡大解釈で罪を重くする」ってことかしら？

報告書より
(3) IPA の対応と発見者の法的責任
受付機関の受付に係わる論点に関しては、次の通りである。
IPA は、脆弱性関連情報の入手方法に関して関知しない。ただし、違法な手段で入手されたことが明白な脆弱性関連情報に関しては、処理しないことがある。
また、IPA が脆弱性関連情報を受け付けた場合でも、IPA は脆弱性関連情報の入手手段に関して合法であると判断したわけではない。
さらに、IPA が脆弱性関連情報を受け付けた場合、発見者の脆弱性関連情報の発見に係る法的責任が免責されるわけではない。これらを、民間ガイドラインに明記している。

と、ここに終結してくるのね。

結論から言わせていただけるならないほうがよっぽどマシだわね。
すごく奇麗事で片付いてるんですけれども、特にWebの脆弱性に絞って考えた場合、最悪のシナリオが容易に思いつくわ。そうねぇ、いくつか即興劇をしてみようかしら？
道化たち、出てらっしゃい。あんたたちの辛らつな道化っぷりを皆様に見ていただくのよ

「門前払い」
道化１：もしもし、なんか脆弱性のような気がするのですが、危ないので攻撃はしていないので正確ではないのですが
道化２：ほほぉ。それは危険そうだ。では連絡を取ってみよう。
道化３：うむ。それなら調べてもいないし調べるつもりもないけれども、大丈夫、安全だ。安全の確認は取れていないけど取れている。心配しないでくれたまえ。ところで君ぃ、まさかアタックなどしていないだろうねぇ？（睨み）
道化２：大丈夫。問題はないよ。安心してくれたまえ。
道化１：はぁ。

「go to jail １」
道化１：もしもし、まえに連絡した脆弱性、念のためにアタックしてみたらやっぱりアタックできました。安全だっていうのは嘘じゃないですか。ちゃんと連絡したんだからちゃんとした対応をとってくださいよ
道化２：なにぃ？それは不正なアタックだからうちでは扱えない情報になるぞ。僕はな〜んにも見てないしな〜んにも聞いてないよ。耳と目をふさいじゃえ
道化３：ばかも〜ん、それは不正アクセスだ。とっととそいつを訴えて投獄せんかい!!
道化２：ははぁ、ご主人様、かしこまりましてございます。さぁ、お前を捕まえてやるから覚悟しろ!!
道化１：うひゃぁ、にげろ〜〜

「go to jail ２」
道化１：もしもし、いや実は日付の部分の文字列に変な文字を入れたらおかしな情報が偶然見えてしまったんでゲスが、どうしたらいいのでしょう？
道化２：ほほぉ。それは危険そうだ。では連絡を取ってみよう。
道化３：なにぃ？それはつまりそいつが不正なアクセスを故意にしたということだな。ゆるさ〜ん、不正アクセスだ、訴えてやるから覚悟しろ。さぁおとなしく名前と住所と連絡先をとっとと教えるのだ!!
道化２：君々、連絡先と住所を教えてくれたまえ。あと名前も。なるほどなるほど。ところで、君は不正なアクセスを故意にしているから牢屋にいくんだ。僕は知らないけどね〜。
道化１：うわ〜ん（大泣）

「とどめ」
道化１：（どうしよう…連絡してもロクな目にあわないし…。そうだ。危ないって事だけを広く叫んでみよう）「おーい、＊＊は危ないぞ〜」
道化３：おい、どこかのバカが連絡もせずに業務の邪魔をしてるじゃないか。私がねっころがったままお金儲けをしているのに邪魔なヤツだ、なんとかしろ
道化２：畏まりましてございます。おいそこのバカ、お前はお金儲けの邪魔をしているから、業務威力妨害で罪にしてやる。おとなしくお縄を頂戴しろぃ
道化１：え〜、だって僕は真実を話しているだけだし、攻撃方法も危ない情報もなにも話していない。ただ「危険がある」ってみんなに教えているだけじゃないか
道化２：ばかもの、大切なのは３様なのだ。３様の高尚な「なにもせずに金儲け」の邪魔をしているお前が悪いのだ
道化１：うわ〜ん（大泣）

うちの道化師たちの即興劇、いかがだったかしら？