Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

幼稚なセキュリティ研究者こそがネット社会で最も迷惑な存在

ACCSの久保田専務理事が語る個人情報流出訴訟の背景(後編)

 コンピュータソフトウェア著作権協会(ACCS)が運営するWebサイト「著作権・プライバシー相談室~ASKACCS」から、CGIプログラムの脆弱性を突いて個人情報約1,200件が引き出された事件では、事故の原因はどこにあったのか? 後編では、ACCSの久保田裕専務理事に、事故の責任問題などについて考えを聞いた。


セキュリティに関する注意義務をどこまで果たすべきか?

──1月23日に発表された事故調査委員会の報告書では、事故が起きた根本的な原因として、ACCS自身のセキュリティチェック体制の甘さが指摘されているが。


ACCSの久保田裕専務理事
 事故調査委員会では、個人情報を引き出した国立大学研究員の男性やA.D.200X、CGIを提供したレンタルサーバー会社などの責任には触れずに、ACCS自身の責任だけを考えたときにどういう見解を出せるかを検討してもらった。我々の当初の事実認識では、脆弱性を通知してきた研究員の男性は善意の第三者であり、彼が指摘するような問題がASKACCSにあるとするならば、それは我々自身に非があるからではないかという視点から事故の検証を開始したからだ。

 もちろん、事故調査委員会の報告書については真摯に受け止めるが、実際にネットワークのセキュリティをどのように評価し、なおかつどの程度導入しなければならないかという点については、慎重に対応する必要がある。今後、我々のような規模の社団法人や中小零細企業が個人情報を扱う場合に、セキュリティに関する注意義務をどこまで果たさなければならないかという複雑な問題に絡んでくるだろう。

 コストとの兼ね合いから、どこまでセキュリティをかければいいのかということを検証するには時間がかかる。訴訟の話にもつながるが、レンタルサーバー会社の管理責任がどうなるのかという問題もある。仮にレンタルサーバー会社に管理責任があるとすれば、逆に我々はレンタルサーバー会社を選ぶ際にセキュリティ面を詳細にチェックする必要が生まれる。我々自身が今後、訴訟などを通してレンタルサーバー会社の法的責任や個人情報を引き出した人物の責任を明確にしない限りは、この問題に対して安易に回答は出せないだろう。

 今回の事件では、まず個人情報を引き出した人物がいる。サーバー管理という視点から脆弱性についてある種の注意義務を持つレンタルサーバー会社がある。さらに、A.D.200Xという我々の預かり知らぬところでアクセスの手法が公開されている。それらが全部絡み合っている。

 ところが、レンタルサーバー会社からは、未だ報告書をもらっていない。こちらから弁護士を通じて内容証明を送り、3月に入って両社の代理人による話し合いがスタートしたばかりだ。A.D.200Xも、責任を回避するような声明をちょっと出しただけで沈黙を保っている。時系列に沿ってこれらの関連性を俯瞰し、事故の原因を解明しなければならない


ホワイトハッカー的な行為でも通知の仕方が問題だった

──訴訟を含めて、A.D.200Xの責任を追及する考えは?

 同好会に近い組織なので、そこに何か法的な責任を求めることが可能なのかどうか? 法的責任を求める対象がイベントの事務局の人だけなのか、約200名の参加者全員なのか? そういった法的な問題を考えると訴訟までの道のりは遠いため、我々は今のところ、訴訟までは考えていない。

 ただ、研究員の男性にそういう場を与えた責任はあるだろう。イベントで脆弱性を公開し、それを(サーバーの運営者に)通知してあわてふためくところを見て楽しむという側面が絶対にあったはずだ。しかも、男性がこのようなプレゼンテーションを行なったのは今年が初めてではない。彼だったら今年も同じやり方で脆弱性を公開する可能性あることはわかっていたはずだから、事前に止めてもらいたかった。

 また、(プレゼンテーション資料のファイルが)ダウンロード可能な状態で置かれていたサーバーを会場に設置したしたのは誰なのか? ファイルをアップロードさせたのは誰なのか? 中身までは知らなかったとしても、イベントを主催したA.D.200Xに責任がないとは言えない。

 しかも、A.D.200Xからは当初、「資料のファイルをダウンロードしている人はほとんどいない。いても身内だけであり、全部削除させた」という報告を受けたが、本当はそんな確認作業などやっていなかったのではないか? 公式にメール等で文書を受け取っていることもあり、我々はその言葉を信用した。しかし、後に漏れていたことが発覚すると、コロっと変わったメッセージを出してくる。我々は、一緒に個人情報の流出をくい止めようと思っていたのに、結果としてことごとく裏切られた。

 ホワイトハッカーの集まりと称して、自分たちは多少なりとも消費者の味方だとか、ネットワーク秩序の安全のために活動していると言うのだったら、我々から事件の経緯をきちんと教えて欲しいと連絡するまでもなく、これまでの経緯を全部紡ぎ上げて自ら総括するのが当然ではないだろうか。それで自己批判するもよし、提言していくもよし。そのための団体ではないのだろうか? このまま沈黙して終わらせようというなら、その時は訴訟もあり得るだろう。

──男性に対する損害賠償訴訟に発展したことで、セキュリティ上の問題などを指摘する活動が萎縮するという向きもある。実際、A.D.200Xも活動を停止している。

 それで萎縮してしまうということは、絶対にないと思う。通知の仕方が問題だ。ホワイトハッカー的な行為については、適切な方法で通知してくれれば、我々は必ず受け入れていたはずだ。他者の人権や社会的環境のことは視野になく、単純に“セキュリティ”のことしか考えることのできない幼稚な研究者こそ、ネットワーク社会で最も迷惑な存在ではないだろうか。


関連情報

URL
  2003年11月に発生した個人情報流出事件について
  http://www.askaccs.ne.jp/security_2003.html

関連記事
個人情報を盗まれた人たちの不安を被告はわかっていない(2004/03/18)
ACCS、Webサイトにおける個人情報漏えい問題で調査報告書(2004/01/23)


( 永沢 茂 )
2004/03/22 12:29

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.