http://www.mainichi-msn.co.jp/it/coverstory/news/20041118org00m300051000c.html
ACCS関連のお話よ。
ちょっと…あたし的に流しにくい部分が少しあったので、かるぅく突っ込んでみるわ。

http://www.mainichi-msn.co.jp/it/coverstory/news/20041118org00m300051000c.html より
■■簡単だった情報取得
office氏はこのcsvmail.cgiに、入力した文字列ではなく、csvmail.cgiのプログラム自体を渡せば、プログラムのソースが表示されるのではないかと考えた。CGIプログラムは通常、テキストで書かれたスクリプト言語で作られているからだ。そして彼はASKACCSのHTMLソースを若干書き換えて送信し、予想通りの結果を得た。csvmail.cgiのソースを読み取ることができたのである。このソースの中にはcsvmail.logという記録ファイルのようなものの存在が書かれていたため、再びcsvmail.cgiにcsvmail.logを渡した。そうすると、csvmail.logの中身が見事に表示された。そしてその中には、ASKACCSに質問した1184人の個人情報が含まれていた。1）IPアドレス、2）氏名、3）年齢、4）住所、5）電話番号、6）メールアドレス、7）質問内容−−である。

詳細な、脆弱性への内容が書かれているんですけれども……いつ見てもすごいわぁ。
これって、簡単とか難しいとかアクセス制御機能がどうのとかっていう以前の問題よ？
どうみても「設計者の根本的な愚かさ」が原因の「危険なプログラム」だとしか思えないのはあたしだけかしら？

http://www.mainichi-msn.co.jp/it/coverstory/news/20041118org00m300051000c.html より
ACCS関係者のひとりは後に、「われわれがあわてふためいているのを、横目で見ながら楽しんでいるようにさえ見えた。個人情報さえ盗み読まれて、脅迫されているのではないかとも思った」と振り返っている。

なんていうのかしら？
いかにも「周りからちやほやされて大切に扱われて世間の荒波を全然知らないお坊ちゃまが現実の荒波を見たときに"世間が悪いんだ"って騒いで責任転嫁してる」ような内容だわ。
いいこと？ いい男ってのは、それなりに辛酸を舐め尽して泥から這い上がって磨かれていくものなの。そうして、そういういい男はこういう時にでも「冷静沈着に確実に的確な対応」ができるものなのよ？
つまり、関係者の一人、ってのは「一人でマスもかけないようなネンネなガキ」って事だわね。
やだ、なんかココナッツのインセンスの匂いが漂ってきそうだわ。本当の乳飲み子なら可愛いんですけれども、20代とか30代以降の乳飲み子なんて、あたしはまっぴらごめんだわ？

http://www.mainichi-msn.co.jp/it/coverstory/news/20041118org00m300051000c.html より
圧巻だったのは、10月20日に行われた被告人質問だった。検察官は「あなたはACCSが意図していない利用を行ったのではないか？」「ウェブサーバーにはFTPでアクセスするのが通常の方法なのに、あなたがHTTPでCGIにアクセスしたのはイレギュラーではないか？」といった質問を立て続けに繰り出した。つまりoffice氏の行為がACCSの意図していない方法で「勝手に利用した」ものであることを立証しようとしたのである。

そうねぇ。検察官の発言が、あたし的にはすっごく気に入らないの。あたしなりの一言を少し書いてみるわね。
検察官：「あなたはACCSが意図していない利用を行ったのではないか？」
あたし：「あら？ACCSが意図しているかしていないかって、どうやってあたしは知ることができるのかしら？ あたしは人の心を読むことなんてできなくってよ？ それとも"画面にクリックできるボタンがあって警告もなかったのでボタンをクリックしてみたらシステムがクラッシュ"。プログラムを作った会社は「それをクリックすることは意図していない利用法なのですが」って言ってきた時にあなたは「なるほど。では僕が悪かったです」って思うのかしら？」
検察官：「ウェブサーバーにはFTPでアクセスするのが通常の方法なのに、あなたがHTTPでCGIにアクセスしたのはイレギュラーではないか？」
あたし：「あら？ WebサーバならHTTPでのアクセスが通常ではなくってかしら？ FTPが必ずあるのはFTPサーバであって、WebサーバにFTPサーバが必須であるとはどこにも決められていないわ？ それに、なにを持ってレギュラー/イレギュラーを規定するのかしら？」


検察官の質問っていかにも「誘導してつまずきを狙ってる」ようにしか見えないのよね。あたし、そーゆーせこい男って大嫌い。
ついでに、office氏の発言から帰ってきた検察官の発言が、もっと愚かだわ。

http://www.mainichi-msn.co.jp/it/coverstory/news/20041118org00m300051000c.html より
検察官はさらに食い下がり、「ACCSはじゃあCGIプログラムにあなたのような方法でアクセスしてもいいと意図していたということになるんですか」と聞いた。「そう考えた人もいるかもしれません」とoffice氏。そして検察官が「もし意図していたんだったら、あなたがわざわざ脆弱性を指摘しなくてもいいじゃないですか」と畳みかけると、office氏は再びたとえ話を持ち出して反論した。

どう反論したかは元のURLでチェックして頂戴。
あたしが思うのは「じゃぁ脆弱性じゃないけど個人情報が見れる、ってあちこちで宣伝したほうがよろしかったのかしら？」
重要なのは「脆弱性という言葉を当てはめられるかどうか」ではなくて「起きた事象に問題がある、もしくは問題がある可能性があるのか？」じゃないかしら？
結局、ここでも物事の本質を見誤ってるのよねぇ。


で。小島先生のサイトにも書いてあるんですけれども。

http://www.st.ryukoku.ac.jp/~kjm/security/memo/2004/11.html#20041119__ACCS より
何度読んでも、私には、弁護団主張の方がまともに見えるんだよなあ。

そうねぇ。あたしも同感だわ。
ただ、後は気になるとすれば

http://www.mainichi-msn.co.jp/it/coverstory/news/20041118org00m300051000c.html より
もし、不正アクセスが行政法に近い性格を持っているなら、法律の保護する範囲については、実質的ではなく、形式的に示されていなければならない。

って部分かしら？
実際に形式的に示すのって、かなぁり難しいとあたしは思うの。
ただ、それでもチャレンジする価値はあるかもしれないわ？ 少なくとも、そういった事例の積み重ねが、法的云々以前に「エンジニア達の教育」に、とても有効に使えそうなんですもの。


まだまだ目が離せないこの裁判の今後がとても楽しみだわ。