「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表 その2

捕捉されていたのでリンクしておきましょう。反応リンク集(羊堂本舗さん)[1. 余談:絶対に羊堂本舗さんに反応リンク集ができると思ってました。自分のところも捕捉されるとは思わなかったけど]
Slashdotへの投稿を含めると相当量の言及がなされていますので重なる部分しかないのですが、意見を明確化しておくと以下となります。

  1. 今回のOffice氏の行動は非難されてしかるべきのものだった
    当事者たるACCSへの報告がAD200Xでの公表後であったというのは弁護の余地がないと思います。脆弱性の報告・公表に関して確固たる基準がないことは既に言及されておりますが、何度か議論が行われており、Office氏も参加しているのはセキュリティホールmemoMLのアーカイブを見ても明らかです。Office氏自身も攻撃者とみなされる危険性について言及しており、経験からもどのような目で見られるかはご存じだったでしょう。
    それにもかかわらず公開を報告より優先したのでは悪い方に自ら踏み込んでいるようなものだったのではないでしょうか。
    ただし、俺が上で述べたようなことはOffice氏も理解されていると思われ、11月25日の時点で謝罪文を掲載されています。今更俺が言及するのは尻馬に乗っただけに過ぎませんが、どう捉えているのか明確にするためにあえて記述しました。
  2. 11月25日に謝罪文を掲載しているのに何故今更記事になったのか
    朝日新聞社のストック記事だったのではないかという推測も多く流れていますが、俺は唯一の新着情報「警視庁が不正アクセス禁止法違反の可能性を見て情報収集中」に触発されたものではないかと思っています。その意味では「今更の話」などではありませんね。ACCSは指摘には感謝しつつも公開には憤っていたということでしょうか。不正アクセス禁止法違反って親告罪でしたっけ?
    ところでOffice氏が「心外」と感じたのはどの部分なんだろう。やはり社会面のインタビューなのかな
  3. 今回の話は不正アクセス禁止法違反に問われるのか
    不正アクセス禁止法はそもそもの「不正アクセス」の定義が曖昧なため恣意的に解釈可能だと考えています。従って注目してはいますが、判断不能です。検察官の判断によってしまうのではないでしょうか。俺がより懸念しているのは、他の多くの方と同様に、今後個人的にペネトレーションテストを行った方まで不正アクセスと見なされるような先例が出来ることです。
  4. 個人のペネトレーションテストは認められるべきか
    個人情報を収集しているサイトの安全性は今のところ第三者機関による保証がありません。[2. サイト側で調査済としても疑い出せばきりがありませんしね]このため、その安全性を調査したいorしてもらいたいという希望はあります。しかし、各々が無秩序に行うのはサイトにとって有害ではないかとも思います。また、その調査報告に対する信用度もまちまちでしょう。[3. だからこそOffice氏のように実績のある方は貴重なのです が。けちが付いてしまったのは実に残念です]
    やはり明確な基準で検査を行う第三者機関の登場を期待したいところです。当然IPAの様な公的機関に期待しているわけですが、車の車検のような制度は作成出来ないものでしょうか?
    一方で現状はそのような機関がないのも事実ですので、当面はサイトの管理者の方々には個人によるテストを認めて欲しいなと思います。この部分はまだ考えがまとまっておらず、また立場にもよって意見が当然違うと思います。俺は業務的に検査する側に近いのです。同時に管理者ではありませんのでその苦労も体感として持っていませんし、ユーザとして脆弱なサイトに情報を与えたくないという思いもあります。
    …管理者の苦労も想像してみたんですが、結局脆弱性を最初から潰しておくのが万人にとって一番幸福ですね。