A.D.200X実行委員会は12日、同委員会のWebサイト上にて、コンピュータソフトウェア著作権協会(ACCS)のWebサイト上から個人情報が漏洩した問題の総括を発表した。情報漏洩の発端となった同委員会主催のイベント「A.D.2003」会場における詳細などが報告されている。なお、この総括は発表時点での内容であり、今後も情報公開を継続すると掲載している。
● プレゼンテーション資料の事前チェックをしなかった点を反省
この問題は、2003年11月8日にA.D.200X実行委員会が主催するセキュリティ関連イベント「A.D.2003」において、A.D.200X実行委員でもある京大研究員(以下、office氏)が、プレゼンテーション内で個人情報を公開してしまったというもの。さらに、このイベント会場に設置されていたサーバー上にこのプレゼンテーション資料が公開されており、会場内からダウンロード可能な状態となっていたという。
A.D.200X実行委員会は、イベントの詳細を説明。office氏は、A.D.2003のショートプレゼンテーション枠(5分枠)でACCSの運営するWebサイト「ASKACCS」上のCGIプログラムの脆弱性を指摘。CGIの脆弱性を証明するために、実際にその脆弱性を利用し、サーバー上の個人情報が保存されているファイルにWebブラウザ経由でアクセスし、個人情報4名分が表示されているWebブラウザの画面キャプチャを、イベントスクリーン上に公開したという。
さらに、イベント会場内に設置されたサーバー上にプレゼンテーション資料が公開されたため、会場に訪れた一般客(約250名)に対してダウンロード可能な状態になっていたと説明。実際に2004年1月28日には、2ちゃんねるの「アップローダ」にイベント時の資料が、20時間にわたり公開されてしまった。
A.D.200X実行委員会では、2003年11月11日より2ちゃんねるやP2Pネットワークのほか、さまざまなブログや掲示板等を対象に監視活動を開始しており、「以後1日数時間程度ではあるが、毎日継続している」という。さらに、このような監視活動を行なっていながら、結果的に2ちゃんねるの「アップローダ」で、個人情報が公開されてしまった点を謝罪している。
これらを受けて、A.D.200X実行委員会は、office氏によるイベント内での個人情報公開を防げなかった点や、個人情報が会場内に設置されたサーバーで公開されてしまった点を謝罪した。
● ACCSなどに打診し、被害者4名へ直接謝罪する方法を模索中
A.D.200X実行委員会では、2ちゃんねるの「アップローダ」上で、個人情報が公開されてしまったことを受けて、外部に継続的な指導や協力を仰ぐ。指導や協力の内容は、「流出した個人情報の更なる拡散の防止」「被害者に対する直接謝罪の実現」「今後におけるA.D.200Xの適切な対応の実現」だという。
イベント会場で個人情報を公開してしまったoffice氏の行為に対しては、「コンピュータセキュリティに携わる者としての倫理観に欠けていると言わざるを得ない」と批判。「このようなプライバシーを著しく損なう行為に対して、結果的に発表の場を提供することになってしまったことを強く反省している。被害者に深く謝罪するとともに、被害の拡大防止に無期限で努める」とコメントした。
一方で、「office氏は、A.D.200X発足当初からA.D.200Xスタッフとして活動しており、積極的に参加していた経緯から『モラルを大幅に逸脱するような発表はしない』という、非常に甘い性善説的考えがあった」とコメント。さらに、A.D.200Xのカンファレンスにおいて、プレゼンテーション資料の事前検査・確認していなかった事実を発表し、「本来、今回の事件のような危機は、徹底した発表内容の事前検閲等で未然に回避して然るべきであった」と掲載している。
これらを受けてA.D.200X実行委員会では、被害者に対する直接謝罪を希望している旨を発表している。しかし、被害者に対する直接謝罪に関しては、ACCSの協力が不可欠であるため、ACCSに対して「被害者の方々に謝罪したい」との旨を連絡しているほか、被害者へ直接謝罪を実現するために、今後も活動を継続していくと表明した。
また、本誌に2004年3月18日と3月22日に掲載されたACCSの久保田裕専務理事の発言に対しては、A.D.200X実行委員会と見解が異なる点が数カ所存在すると指摘。現在、「ACCS側に確認を行なっている」とコメントしている。
なお、A.D.200Xの今後のカンファレンス活動については、「セキュリティに関するカンファレンスであるにも関わらず、このような事態を引き起こしてしまった事実を重く受け止め、今後のカンファレンス開催活動の一切を無期限で取り止める」と発表した。
関連情報
■URL
ニュースリリース
http://www.ad200x.net/20040412.html
■関連記事
・ 幼稚なセキュリティ研究者こそがネット社会で最も迷惑な存在(2004/03/22)
・ 個人情報を盗まれた人たちの不安を被告はわかっていない(2004/03/18)
・ ACCSの個人情報漏えい問題、京大研究員を不正アクセス禁止法違反で逮捕(2004/02/04)
( 大津 心 )
2004/04/12 19:30
- ページの先頭へ-
|