« RSS Reader Panel ver.1.61 | トップページ | RSS Reader Panel ver.1.65 »

Webサイトにおける脆弱性指摘の難しさと今後の展開

Webサイトの欠陥を指摘するはずだったのが個人情報を流出させてしまったという事件について、1月4日付の朝日新聞一面で報道された。なお、事件自体はずいぶん前に他紙で報道されている。

朝日新聞:「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表
※新聞紙上の記事に載っていたコメントなどが一部省略されているので注意。

各所で今になって報道されたこの事件についてコメントされているわけだが、早速FeedBackBulkfeedsを使って検索してみた。ざっと見たところ、以下のようなblogがヒットした。

●goorooのステシテ♪
2つの本末転倒~研究員がACCSの個人情報を取得して公開→不正アクセス禁止法適用も…
※記事中での疑問については、hoshikuzu|stardustの書斎の記事が回答になるかもしれない。

●くまの世界観測
朝日新聞 個人情報漏洩報道の謎
※朝日新聞の執筆水準について。

●HSKI's
勇み足で不正アクセス

●名称未設定
ハッキング
※著作権を取り扱うコンピュータソフトウェア著作権協会(ACCS)への義憤。

●The Trembling of a Leaf
被害者?
※指摘された側であるコンピュータソフトウェア著作権協会(ACCS)の姿勢について。

●技術倫理ノート(志賀 格)
コンピュータシステム脆弱性指摘のあり方について

●初心者の部屋@ニュースログ
ACCSの個人情報流出


●hoshikuzu|stardustの書斎
朝日新聞一面の件について
追記

この他にスラッシュドット ジャパンなどでも話題になっている模様。
欠陥を指摘するはずが個人情報流出。セキュリティ専門家に捜査の手
※朝日新聞(紙面)に掲載されてasahi.comで省略されている部分の転載あり。

●羊堂本舗
ネットの脆弱さに警鐘
※「ACCSとofficeさんと朝日新聞の記事に関する反応リンク集。」との事。

blogの記事のうち、欠陥を指摘することの難しさについて触れている記事はいくつかあるが、hoshikuzu|stardustの書斎の記事は実態をよく把握している部類に入るかもしれない。記事中での「JPCERT/CCや警察にたれこんでも実際の効力が何もない」という実態はセキュリティ系のMLなどでも以前から話題になっていたことであり、「第三者機関に通報するにしても効力がないのでは意味がない」と通報者側ではかなり以前から指摘される側の姿勢を問題視していた(※記事中でコメントしている高木氏も問題を提起していたうちの一人だったように記憶している)。


さて、1月5日の日経新聞でこんな記事があった。

ソフトウエア・サイトの安全性、第三者機関で分析――経産省が新設

経済産業省はコンピューターの基本ソフト(OS)などソフトウエアに安全上の欠陥がないかどうかを分析する第三者機関を5日、新設する。利用者からの通報や内部告発なども受け付け、欠陥を見つけた場合はメーカーに改善を求める。利用者からの通報や内部告発なども受け付け、欠陥を見つけた場合はメーカーに改善を求める。情報提供者に謝礼を支払うことや改善要請に従わない企業名の公表なども検討し、コンピューターウイルスなどによる被害の未然防止をめざす。

もしかすると朝日新聞の記事はこの第三者機関の設置を受けてのことなのだろうか?おそらくはhoshikuzu|stardustの書斎で提案されている「ミシュラン」的な機関と考えればよいのだろう。遅きに失した感はあるが、政府の意向を受けた専門部署としての働きに期待したい。

ただ、気になるのは「メーカーに改善を求める」という点。Webサイト上で運用されているCGIなどにはオープンソースや個人が作成しているものなどもあり、そういった場合にどういった対処をするのか、記事からは読み取れない。また、hoshikuzu|stardustの書斎でも指摘されているように、管理者側の手落ちによりアクセス制御機能が働いていない場合の対処など、不正アクセスではないのに不正と混同される傾向にある現状をどう考えているのかがはっきりと見えない。

適正な手続きを取っている通報者が不正アクセス者と混同されないよう、まずは第三者機関による一般への確実な啓蒙が必要になるのではないだろうか。


関連:
コンピュータソフトウェア著作権協会(ACCS)
高木浩光@茨城県つくば市 の日記
office氏のWebサイト

|

« RSS Reader Panel ver.1.61 | トップページ | RSS Reader Panel ver.1.65 »

「ソフトウェア」カテゴリの記事

「ニュース」カテゴリの記事

「パソコン・インターネット」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/6679/75266

この記事へのトラックバック一覧です: Webサイトにおける脆弱性指摘の難しさと今後の展開:

» 勇み足で不正アクセス2 [HSKI's]
  データバックアップメモ - extended -さんからのトラックバックがあった。技術系の人たちの考えでは、問題のサイトは(技術者の)一般的な常識を逸脱した... [続きを読む]

受信: 2004/01/06 01:03

« RSS Reader Panel ver.1.61 | トップページ | RSS Reader Panel ver.1.65 »