不正アクセス: 個人データ引き出す 京大の研究員を逮捕
CGIの欠陥突き情報引き出した京大研究員逮捕 警視庁
ある法人がサーバ会社に依頼して作ったページのCGIに穴があってそれを研究員が発見≒実践→通告してからその手のイベントで発表→その際に個人情報ごと発表する暴挙まぁ、今回のは個人情報を漏らしたことが大きかったんですが、逮捕された罪状は不正アクセス禁止法違反と威力業務妨害・・・
って、そっちかよ_| ̄|○
個人情報を公開してしまったのは言い訳しようもない落ち度ですが、罪状を見る限り問題にされているのはそれではなく、進入したこととその手段を公開したこと。
そもそも相談ページという場所で必要のない個人情報を集めていた法人がその個人情報を適当に管理していたことが一番悪いはずなのに、今や論点は個人情報への鍵があったのか無かったのはとか、公開が威力業務妨害になるのかならないのかとか、かなりピントのずれたところになっています。
今回の事件でもっとも被害を受けたのは情報を公開された個人で、その原因を作ったのは法人と研究員であること考えれば自ずと事件の正しい方向が見えてくるはずですが、現状では研究員がまるで法人(ぶっちゃけACCS)に被害を与えたかのように問題がすり替えられています。
こんな状態では住基ネットで個人情報へのアクセス方法が発見されても、セキュリティ研究者は逮捕をおそれて何も言えず、結局やり方をしった悪人だけが特をする世界になります。
確か法は国民の平等を守るためにあったような気がするんですが、どうも大義名分に過ぎないようで、実際は強者の都合を守るモノなので気をつけましょう・・・
まぁ、もっとぶっちゃけると、今回のケースは不正アクセス禁止法にすら抵触するか怪しい感じです<まともなWEBアプリ開発をやっていれば塞いでおいて当たり前の欠陥をついただけなので
というか、そもそも不正アクセス禁止法自体アレで何という話もありますが・・・
それに威力業務妨害もどう考えても当てはまらないケースで、陰謀でも働いたんじゃないかと勘ぐりたくなります。
(実際研究員は政治家に連なる人物だったようですし)
参考URL:
ACCSでは、「CGIの脆弱性を指摘することについては、セキュアなネットワーク社会を構築するために有用な側面もあると考えます。しかし、この男性の目的が本当に『CGIの脆弱性の指摘』であれば、実際に個人情報を入手し、不特定多数の人の前で公開することまでは必要なかったと考えます」
追記 2004年2月6日(金)
ここがよくまとまってます。