[2/29追記] 見出しを入れて解題付けて構成を直しました。
たとえ話
見学でテレビ局へ行った。見学通路沿いのドアが開いている。あれ? こっちも入っていいのかな? 「関係者以外立ち入り禁止」にもなってないなあ。トコトコ……あ、あっちにXXスタって書いてあるけど、この時間ならXXXXの収録があるからアイドルのXXXXXXXXがいるんじゃないかなー。うひょー。生で見れたりして。って、ほんとにXXスタまで来れちゃったよ。いいのかねえ、誰も止めなかったし、警備員もいなかったけどなあ。お、マジで収録やってんじゃん。ってスタジオに入るわけにもいけないしなあ、……ためしに訊いてみよう。えーっと、中には入るには……「どういう関係ですか?」えーっと中には入れないですかねえ……「スタッフに用ですか? 誰にですか?」誰って、えーっと、てゆかそこの壁にスタッフ一覧貼ってあんじゃん。試しにコレを読み上げてみよ「プロデューサー、田中さん」「田中さんに用ですね。じゃあ、これ付けてください。スタッフ証」あ、はい。って入れちゃったよ。おい。あー!! XXXXXXXXXちゃんがいるー!! うっわー、ケータイで写真撮っちゃおうっと。って、あんまり盛り上がってもいられないんだった。そろそろ見学コースに戻らないと友達待たしたままだしな。……おーい。「どこ行ってたんだよ?!」いやさ、そこの角から曲がって入るとさ、XXスタまで行けちゃうのよ。で、スタッフのチェックが甘々だから、それっぽい感じだしとけば入れてくれんの。「マジ?」マジマジ。ほら写真撮っちゃった。これ送るよ。チロリロリーン(受信音)「(独り言で)この写真グッド。アプロダにあげとこ」でもさ、入れるのやっぱヤバイから、そこにいる警備員に言っとくわ。すんませーん。そこんとこの角は施錠しとかないと奥まで入れちゃいますよ。「あ、これは、ありがとう。さっそく上に伝えます」いや、マジでヤバイですよ。オレ試しに行ってみたらスタジオ入れちゃいましたよ。いろんなテレビ局で見学通路の角をチェックしてますけど、ここの局はマジヤバイっすよ。ほら、写真撮れちゃったんですよ。「むむむ!! なにー。写真を撮ったのかー。それはいかーん! 犯罪だ! 逮捕だ。逮捕。不法侵入だ。みなさーん。ここに犯罪者がいますよー。ほかの局とも言ってたな。てことは余罪があるな、余罪が! え? ネットに上がってる? それはなおのこと重罪。アイドルさんの事務所と相談して損害賠償も起こします。われわれの信用が傷つけられました!」
なんのこと?
あくまでたとえ話なんで、いろいろ厳密に「そこはあれのアナロジーになってねえんじゃねえか」とか突っ込まないでいただけるとありがたい。
この事件を語るときに「鍵がかかってなかったからって、人の家を覗き見したらやっぱ泥棒だろ?」という喩えがよく聞かれたんだけど、公開サーバーっていろんな人がどんどんやってくる場所なんだから個人住宅とはちょっと違うよねえって言ってるひともいて、なるほどなあってことで自分で事件を理解するためにいろいろ考えてたですが。風呂に入ってるときにディテールまで思いついたんで勢いで書いちゃって勢いで上げてみたって代物。
万人にとって分かりやすい喩えかはわかりませんが、押さえ違えないように注意したのは以下のポイント。
- 現場は公開されている建物/個人の住宅ではない
- 上にも書いたけど、公開サーバーのセキュリティを個人宅に喩えちゃうとちょっとズレるように思う。ホテルでもデパートでも駅でもなんでもいいんだけど、人が誰でも入ってこれる場所を想定したかった。その同じ建物の中で、公開されているエリアと、非公開のエリアがある。はずなのだが、建物管理者が「非公開」だと思ってるエリアが実は十分に区切られてなくて、公開エリアの延長でどんどん入ってこれちゃったんだけど……ってハナシ。
- 「鍵」はかかってない/てゆか「鍵」の問題ではない
- ネットワークセキュリティの何かを物理的な「鍵」に喩えされるなら、それはやはり「認証」ってことになるんじゃないかと思う。だから物理世界の「ピッキング」ってのは仮想世界では「ブルートフォースなパスワード・クラッキング」にあたると想定するのが妥当かなと。で、今回の事件ではいわゆる「認証」はどこにも出てきてない。だから鍵がかかってる扉はどこにもなかった。というか、鍵がかかってたかどうかはぜんぜん問題にならないような経路だったってこと
- まったく最後まで素通しだったわけじゃない
- Officeが脆弱性を突いた手順は単にURLの引数を変えたわけじゃないかも(→ACCS不正アクセス事件のテンプレ)という指摘があるそうなので*1、そういう微妙な場面を入れてみた。ちょっと適当なので、実際の手法に即してもっとよい喩えを思いつく方は適宜読み替えてください*2
- 現場からなんか持って帰ってきちゃった
- これを持って帰らなければ面倒じゃなかったのにってものを持って帰っちゃった上に、人に見せちゃった。
「業務威力妨害」的なこととか、警備会社と警備員(派遣)と建物管理責任者がそれぞれ別会社で云々みたいなこととか、ディテール入れようと思えば入れれたのはありますが、ややこしくなりそうなんで、そのへんは割愛してます。
民事もキター
ACCS、同社Webサイトから個人情報を引き出した男性に損害賠償訴訟
これで不可解なのは、ACCSは市井のセキュリティヲタとは完全に絶縁するって道を選んだわけだけど、それでいいのかねえ。今後、ACCSのサイトに何かセキュリティホールがあったとして、たまたま外部の第三者がそれを見つけたとしても、ACCSに報告しようとはとうてい考えないと思うんだよなあ。いくら「インターネット技術のセキュリティ問題を指摘する行為を否定するものではない」ってっても、現実に逮捕されちゃって民事訴訟も起こされたヤツがいるんだから、そんな危ない橋を渡るこたぁない。
そもそもセキュリティホールを指摘してくるような「個人」が真っ白なわきゃないと思うんだよな。で、そういうグレーゾーンから報告に対して、「国がちゃんとした報告機関を設けて、法令によってサイトの担当者に圧力をかけて」とかいう議論もあるけど、元もとがグレーなひとたちの情報交換のはずなのに、それを国に任せて白日の下で清廉潔白にしようってのは、無理なんじゃないのかな?
あと、もう一個わかんないのは、民事の原告と被告の関係で、個人情報漏らされたひとがOfficeを訴えた。これはわかる。わかんないのは、ACCSがなんで原告側にいるか?ってことで、元はといえばACCSが設置したCGIがダメだったことが原因なわけで、個人情報をちゃんと管理し切れていませんでしたってことになるんだから、個人情報保護法が有効なら有罪じゃないのでしょうか? むしろ情報漏れの共犯ってことで、Officeと並んで被告側に立たなきゃいけないはずなんじゃないでしょか?
追記
コレについては同じように「なんでACCSが原告側?」と考える人はけっこういるようで、典型的には某セキュリティ系マガジンの元なかの人(→頭悪くてごめんね)だが、そこで引用されてる方だってACCSに対して「『盗っ人猛々しい』というのに近い感情」だと言っている(→office氏に対する民事訴訟についての補足 [とやの日記])。
そういう「???」なACCSの動きに対して、「圏外からのひとこと」の中のひとは、単にACCSだけの動きを見るのでなく、検察との関係であるとか、お膳立ての全体を見渡してみれと示唆している(→promoted by 検察)。
確かにそういわれてみれば、ACCSはWinnyあたりの厨房狩りで検察サイドと仲良くしなくちゃいけないわけだし、一方の経済産業省は上で揶揄したけど脆弱性報告のガイドラインが必要と言ってる(→Mainichi INTERACTIVE)*3。組織なわけで、このセキュリティのグレイゾーンに対する好対照ぶりはいろいろ想像をかきたてますね*4
で、なにが言いたいの?
- 確かにOfficeは、やり方を間違った。完全にシロとは言えない
- 個人情報晒されたひとがOfficeを訴えるのは致し方ない、というか当然かも
- でも「アクセス禁止法」で起訴って、無理矢理感が多すぎさかえ
ということで、オレみたいに頭悪く「Office逮捕はわけがわからん、てゆか釈放したれよ」と感じてる方は、よかったらバナー使ってください(→ Free Office)ってことかな。
いじょ、勢いで書いちゃったから勢いで載せてみる。明日になったら気が変わって全削除してるかもしれない*5。そうなったらゴメンナサイ。
それにしても、わかんないことだらけだなぁ。とくに↑にも書いたけど、今回のACCSのようなケースは今後個人情報保護法に問われるのかどうなのか? ってあたりとか、あと脆弱性報告機関が出来たとして、国境を越える脆弱性報告はどうなるんだろう? 他国のサイトのセキュリティホール見つけたときや、他国のひとが見つけてくれたとき。なんか条約とかあるんだろうか? サイバー条約? うーん、この辺は不勉強すぎてよくわかりません。ケーキオフで扱っていただけるならホールのケーキもって参上いたします>伊原さん。
*1:例の発表資料を見てないし、あまり詳しくないので手法はよくわかってないのです。かといって「読めれ」とかって例の発表資料を送りつけてこられてもたいへん困りますので(たぶん双方が)、これは読めないから手法の詳細はわからんということで先に進みたい所存
*2:例えば、「犯罪者」くんはその番組のすごいファンでスタッフの名前も全部暗記してて特に1カメの山本カメラマンのカメラワークがすごい気に入ってて以前から山本さんに会いたい会いたいと願ってた、ので山本さんの名前を出したら入れちゃった、ってのも考えたけどそんなにディテールに凝っても仕方ないよなあ……おもろいんだけど
*3:ちょっとリンク先が正面ではないかもしれない。探し切れなかったので。すいまそん
*4:陳腐な対立構図を描くなら、厨房狩りを始める検察と、その前に囲い込もうとする経産省、みたいな。ライトノベル書けそう
*5:削除するどころか書き足しちゃいましたが、けっきょく削除するかもしんない(弱気)
