■この事件、メディアではどんな感じに報道されてるの?
2ちゃんねるの「オヒスタイーホ3!」スレの>>436さんが各種報道のリンクをまとめてくれました。ありがとう! 新聞報道では、警視庁の発表をそのまま記事に起こしたものと独自取材を行ってているものとでかなりニュアンスに違いがあるようです。
●読売新聞 YOMIURI ON-LINE
HPから個人情報を不正入手、京大研究員を逮捕 (2004/02/04)
…さらに同容疑者は、同月8日に東京都内で開催されたイベントで、入手した個人情報の一部や不正侵入の方法を公開し、同協会のHPを閉鎖に追い込むなど、業務を妨害した疑い。河合容疑者は容疑を認めているという。
かなり厳しいスタンスです。事後報道は特にないようです。
●毎日新聞 Mainichi INTERACTIVE
ネット界も困惑? ACCS不正アクセス事件 (2004/02/04)
…ネット界では、セキュリティーの欠陥を外部からの指摘で修正するケースはよくある。マイクロソフト社は3日、セキュリティー・パッチを公表したが、その中で欠陥を指摘したと思われる人に対する謝辞が含まれている。
セキュリティコミュニティの慣例などにも踏み込んで報道されています。blogコミュニティではしばしば「バランスの取れた記事」という感じで肯定的に引用されていました。
不正アクセスで調査委員会を設置 京大センター長 (2004/02/05)
京大研究員、イベント終了直後に侵入7件 不正アクセス (2004/02/06)
●朝日新聞 asahi.com
サイト危険性指摘の研究員が個人情報引き出す 1200人分 (2004/01/04)
個人情報、標的に 本物サイトに潜むワナ
(2004/01/09)
「サイトへ警鐘」 不正アクセス容疑、京大研究員を逮捕
(2004/02/04)
ネット欠陥、次々指摘 対策促す役割も 不正アクセスの河合容疑者
(2004/02/04)
…個人情報を扱うサイト運営者に定期的なサイト安全性監査を義務づける法律が日本にはない。監査業者らでつくる日本セキュリティ監査協会の土居範久会長(中央大教授)は、「企業のサイトでも、費用負担を嫌って、監査を受けない運営者がまだ圧倒的に多い」と嘆く。
河合容疑者のような外部の「指摘者」は、その穴を埋める役割も果たしてきた。ネットの安全問題に詳しく、同容疑者を知る専門家は、「現状では、外部からの欠陥指摘が減ると、危険なまま放置されるサイトが続出する。安全性を調査、公表する公的な仕組みが必要だ」と提言する。しかし、そうした取り組みは始まったばかりだ。
外部者によるセキュリティホール指摘行為のプラス面にも言及されています。
著作権協サイト、別の2人も京大研究員と同手法で侵入か
(2004/02/05)
京大を家宅捜索 不正アクセス事件で警視庁
(2004/02/06)
●産経新聞 Sankei Web
不正アクセスの京大研究員逮捕 イベントで手法公開 (2004/02/04)
…調べでは、河合容疑者は昨年11月6−8日、「コンピュータソフトウェア著作権協会」=東京都文京区=が運営するホームページ(HP)を管理するコンピューターに、プログラムを書き換えて侵入し、約1200人分の氏名、住所などの個人情報を入手。
さらに不正アクセスの手法を同月8日、渋谷区内で開かれたイベントで公開。協会にも「HPから個人情報を入手できる」とメールを送り、協会にHPを閉鎖させるなど業務を妨害した疑い。
だいたい読売と同じで「悪者ハッカー、お縄頂戴」という切り口です。
京都大を家宅捜索 研究員の不正アクセス事件 (2004/02/06)
●中日新聞 Chunichi Web Press
…きっかけは決して悪意ではなかったようだ。同HPから簡単な操作で部外秘の個人情報が読みとれる状態になっていたのに気付いた研究員は、協会に情報が漏れやすい状態になっていることを通報する一方、都内で開かれたネットの専門家向けイベントで、入手した個人情報を公開してしまった。
…逮捕された研究員は、以前から、さまざまなHPの欠陥を匿名で指摘してきたらしい。それなのに無視されたり、秘密裏に対策が取られるだけで、HPの利用者に情報流出の恐れがあった事実が公開されないということが度重なり、広く警告する意味でイベントでの公開という挙に出たという。
…ネットの情報管理者は、利用者から指摘を受けたら、迅速に防止策を取るのはもちろん、事実を公開して報告者の労に報いるべきだろう。
法律違反という一線を越える前に、利用者と管理者が協力して情報流出を防ぐ、よい関係を築きたい。
社説ではoffice氏の行為が比較的好意的に扱われています。
●京都新聞 京都新聞News
京大研究員が1200人の個人情報入手 不正アクセスで逮捕 (2004/02/04)
「不正アクセス」に困惑 京大、研究員逮捕で会見 (2004/02/04)
警視庁が不正アクセス禁止法違反などの容疑で京都大研究員の河合一穂容疑者(40)を逮捕した事件で、京大国際融合創造センター(IIC)長の松重和美教授らが4日夕、記者会見した。
松重教授は「パスワードなどは盗んでおらず、不正アクセスにはあたらないとみていた。警視庁の踏み込んだ判断に驚いている。今後の司法判断を見守りたい」と困惑した表情で語った。
他メディアでも報道されていた京大見解です。
京大を家宅捜索 警視庁 研究員、不正アクセス疑い (2004/02/06)
●ニッカンスポーツ nikkansports.com
京大研究員、不正アクセスで個人情報入手 (2004/02/04)
…調べでは、河合容疑者は昨年11月6〜8日、「コンピューターソフトウェア著作権協会」が運営するHPを管理するコンピューターに、プログラムを書き換えて侵入し、約1200人分の氏名、住所などの個人情報を入手。
さらに不正アクセスの手法を同月8日、渋谷区内で開かれたイベントで公開したことで、協会にHPを閉鎖させるなど業務を妨害した疑い。
かなりきつい印象の報道です。記者レクをそのまま記事にするとこうなるようです。
●週刊現代 Web現代
デジタル特捜隊::ITは人を幸せにするか 第19章 漂流するセキュリティ(1)(2004/02/11)
参加者のD氏は、あの会場であの行為を行ったことがそもそもの過ちだと指摘する。その理由は驚くほどシンプルだ。会場内の参加者に警察庁と警視庁の人間がおり、まさに目の前で見ていたからだと言うのだ。D氏は職務上詳細は述べられないとしたうえで、こう話す。
「ある知人から、会場内であの人が警察庁であの人が警視庁の人と知らされた。要するに河合氏は警察当局の目の前で、“不正アクセス”したことを披露したのであり、それがほぼ決定的な捜査の端緒になったのだと思う」
… officeこと河合氏の脆弱性指摘という一連の活動は(その過程は把握できないにせよ)結果的には当該機関に貢献したことも少なくない。だが、今回は明らかに一線を越えた――それが今回の逮捕の実際だろう。とはいえ、もしこの法律が今後拡大解釈して適用されることになった場合、脆弱性の指摘に関しては曖昧な危うさが残されることになる。
…どの程度なら脆弱性を指摘してもいいのか、その方法はどのように行えばいいのか、どうすれば信頼ある警鐘と判断されるのか。セキュリティ技術をもつ人たちの間には善意の警鐘に対して不安が広がっている。
独自取材による新情報が多く、参考になります。A.D.2003に警察庁・警視庁関係者も参加していたことなどは他の報道には出ていませんでした。総論としては「今回の逮捕はやむなし、しかし適用範囲が無際限に拡大されるようだと…」という扱いです。
●日経BP ITPro
ACCSのサイトで,Webアプリの欠陥から個人情報が閲覧可能に (2003/11/12)
【補足】
本文中に「また,問題がある古いバージョンのCGIプログラムは,ASK ACCS以外には稼働していないという。」とありますが,これは,サーバー業者が,12日0時30分頃から未明にかけ,ACCS以外のユーザーが使用している旧バージョンCGIのすべてを,緊急暫定対策版のCGIに置き換えるという措置を行ったことによります。
ファーストサーバのCGI強制差し替えについての確定ソースがここにありました。
ACCSから漏えいした個人情報データが掲示板にアップロードされる
(2004/01/29)
ソフト著作権協会からCGIの欠陥を突いて個人情報を引き出した男性,逮捕される
(2004/02/04)
●Softbank ITmedia
「足元から火がついた」──ACCSの個人情報流出は1184件、脆弱性を3年以上放置 (2003/11/12)
…サイトは欠陥が放置されたまま3年以上運営されていたことも分かり、プライバシー保護を呼び掛けてきたはずのACCSの失態に批判が集まっている。
…ACCSの久保田裕専務理事は「ACCSが呼びかけてきた個人情報の保護にACCS自身が失敗してしまった。まさに“足元から火がついた”状態で、非常に申し訳ない。原因を究明し、二度と起こらないようにしたい」と平謝りしている。
ACCSに対して非常に厳しいITmediaの第一報です。
ACCS、個人情報流出事件を総括した報告書を公開
(2004/01/23)
ACCS個人情報流出で京大研究員逮捕
(2004/02/04)
情報漏えいに揺れたACCS、「モラルに沿った脆弱性指摘を」(2004/02/06)
●CNET Japan
CGIの欠陥を突く不正アクセスで国立大学研究員逮捕 (2004/02/05)
特に捻りはありません。