京都大学ポータルサイトサイトマップ問い合わせ

談話室

ホーム > 談話室 > 議論 > 京大研究員が不正アクセスでタイーホ 1200人の個人情報入手

京大研究員が不正アクセスでタイーホ 1200人の個人情報入手


1. 2004/02/04(水) 13:13:20
http://headlines.yahoo.co.jp/hl?a=20040204-00000104-kyodo-soci

2. リンク切れてない? 2004/02/04(水) 13:32:01
http://www.asahi.com/national/update/0204/020.html
>さらに同月8日、都内で開かれたネットの安全対策担当者やハッカーの集会で、
>参加者約200人に接続方法を公開し、
>協会にも接続したことをメールで通知した。
>そのうえで、サイトの一部の閉鎖を余儀なくさせ、
>協会の業務を妨げたとされる。

なんか善意でやった臭いな……

>河合容疑者は昨年12月、朝日新聞社の取材に
>「このプログラムにはもともと外部からの侵入を防ぐ仕組みがなく、
>不正アクセスに当たらない」と主張していた。
も気になる

3. とりあえず 2004/02/04(水) 15:13:55
αステーションでは、河合ハヤオ文化庁長官の甥で
京大の教官が、官庁への不正アクセスで捕まった、と
だけ伝えた。河合氏側にも言い分はあるだろうが、
そういった込み入った状況を伝えるだけの意義は
ここの視聴者にはないと判断した模様。
結局、有名教育学者の甥の京大関係者逮捕、と
解釈されたとさ。

4. 2004/02/04(水) 17:20:44
不正アクセス禁止法違反と威力業務妨害の疑いとあるが、
前者については、不正にアクセスしたわけでない。そもそも誰でもアクセスできた。
後者については、サーバ閉鎖目的ではない。
という主張が成立しそうなので、不当逮捕の予感



5. αステーションには 2004/02/04(水) 17:46:39
視聴者はいません。通常見ることはできないのだから。

6. NHK 2004/02/04(水) 19:01:11
ニュース7でトップ扱いの模様

7. でつ 2004/02/04(水) 19:13:45
たとえセキュリティホールを指摘するためだったとしても
個人情報を入手して、それを公開しちゃマズイ罠

8. まぁ 2004/02/04(水) 19:47:22
某サークルでのタイーホ者じゃなくてよかったな。

9. とりあえず 2004/02/04(水) 19:53:50
河合氏側の主張はきちんと報道されるのだろうか?
単に、
・ハッキング
・河合ハヤオ
・京大

で終わるんじゃないだろうか
>民放

公正中立平等のNHK様なら、、、、、、もしかして

10. (´Д`)y─┛~~ 2004/02/04(水) 20:58:47
甥っ子ならしょうがないですね

11. 2004/02/04(水) 21:01:48
以前朝日新聞で特集くまれてましたね。
http://slashdot.jp/security/04/02/04/0531248.shtml?topic=92

要はセキュリティーがざるで閲覧可能になってたわけだろ。
不正アクセス禁止法は「セキュリティを不正に解除して」
閲覧改変することを禁止しているわけだから、セキュリティが
ざるの場合適用するのはおかしいんだけどね。

京大のネームバリューから見せしめって感じがする。ちゃんと
裁判で争うべき。

12. やる気かな? 2004/02/04(水) 22:08:11
http://headlines.yahoo.co.jp/hl?a=20040204-00000286-kyodo-soci

「不正アクセスではない」 研究員逮捕で京都大が会見

 京都大研究員がインターネットの不正アクセスで個人情報を引き出したとして警視庁に逮捕された事件で、研究員が所属していた京都大国際融合創造センターの松重和美センター長が4日、学内で記者会見し「現時点では不正アクセスだったとは認識していない」と話した。
 松重センター長によると、京都大は1月初め、河合一穂容疑者(40)の自己申告を受けて学内に調査委員会を設置。本人から事情を聴き事実関係を調べていた。
 調査委はこれまで4回開かれたが、今回の事例はソフトプログラムの欠陥などを利用してサイトにアクセスしており、パスワードなどを盗むなどする「不正アクセス」には当たらないとの見方をしているという。
 松重センター長は「個人情報の公開は倫理上問題があり、逮捕容疑が事実であれば遺憾だ」としながらも「刑法に明確に違反しているとは思わない」と述べた。(共同通信)

13. hoge 2004/02/04(水) 22:23:57
officeって京大にいたんだね。

>なんか善意でやった臭いな……
それはないな。

>さらに同月8日、都内で開かれたネットの安全対策担当者やハッカーの集会で、
>参加者約200人に接続方法を公開し、
>協会にも接続したことをメールで通知した。
善意ならこんな風に晒す前に当事者たちに連絡するはずだ。
この点については本人も反省しているというようなコメントがあったけどね。

これが不正アクセスかと言われると否定的な意見が
多いだろうけど、最終的には裁判官の判断で決まっ
てしまうわけで、なんだか頭が痛いなあ。URLを削っ
て上の階層にアクセスするのも不正アクセスになる
恐れがあるらしいしね。

>αステーションには 2004/02/04(水) 17:46:39
>視聴者はいません。通常見ることはできないのだから。
ラジオについても視聴者と言うのですよ。

14. みの 2004/02/04(水) 22:50:02
聴取者でファイナルアンサー?

15. これは 2004/02/05(木) 00:18:07
たぶん、不正逮捕だな。
まぁ、社会にいい人はいつもつかまるんだよ。

16. うーん 2004/02/05(木) 01:45:11
>善意ならこんな風に晒す前に当事者たちに連絡するはずだ。
>この点については本人も反省しているというようなコメントがあったけどね。


そうだねー。
不正アクセスが認められないにしても、業務妨害罪が成立する可能性は、まったくないとはいえない感じがする。
まあ、仮にこのまま起訴されて有罪になったとしても執行猶予が付きそうだけど。

17. 逮捕は当然だよ 2004/02/05(木) 10:57:56
officeがやった実際の手法
・ACCSの投稿フォームで投稿内容の最終確認のため投稿内容を表示するCGIを利用
・投稿内容を表示するCGIの引数にそのCGI自体を入れると、CGIのバグで
 CGIのソースが表示される
・そのソースを見て投稿内容が格納されるファイル名を確認する
・今度は投稿内容を表示するCGIの引数に投稿内容が格納されるファイル名を入れると、
 CGIのバグですべての投稿内容が表示される

これが不正アクセス禁止法第3条第2項第2号及び第3号の
アクセス制御機能による特定利用の制限を免れる情報又は指令を入力する行為にあたる。

18. (^―^)y─┛~~ 2004/02/05(木) 12:07:44
普通じゃない事をやるのが、さすがってカンジ☆

19. 素人的には 2004/02/05(木) 12:16:48
バグがあるシステム使ってるACCSが悪いだけに思えるのだが。

20. ↑↑↑ 2004/02/05(木) 12:33:45
こんなのその穴を教えれば中学生でも簡単にできる
酷いもんだな

21. うんこ太郎 2004/02/05(木) 12:34:58
      人 
     (__)
     (__)
ピュ.ー(  ・∀・) <これからもうんこ太郎を応援して下さいね
  =〔~∪ ̄ ̄〕
  = ◎――◎

22. うんこ 2004/02/05(木) 12:43:05
いやなこったヽ(*`Д´)ノ

23. 研究員って・・・ 2004/02/05(木) 12:57:35
ポスドクのこと?40歳で研究員ってどうなのよ?

24. >逮捕は当然だよ 2004/02/05(木) 14:30:11
不正アクセス禁止法では「アクセス制御機能」=パスワードによる保護が
必要とされているが、この場合、パスワードを入力していないのだから
アクセス制御機能をあたらないのではないか。

法律的な解釈は京大がシロだと主張していることだし、裁判所の判断が見もの。

25. 2004/02/05(木) 17:03:26
そういう問題かな?
バグを利用した侵入って、ほとんどパスワードをクラックして入ってるわけじゃないだろ?
そんな事いったらいままで逮捕された人間もかなりの数が無罪になってしまうと思われ。

「SMTPのバグを利用して侵入しましたが、
パスワードによる保護はなかったので、私は無罪です。」

ってかんじかねぇ。普通は通らんわな。

それに、個人情報を公開したってのが気に入らんね。

26. 2004/02/05(木) 17:11:17
>バグがあるシステム使ってるACCSが悪いだけに思えるのだが。

鍵のかかっていない家に侵入して、物を盗んだけど、
悪いのは泥棒ではなく、住人です。
っていってるようなもんだぞ。「ACCSが悪いだけ」には思えないけど。

27. 不正アクセス禁止法は 2004/02/05(木) 17:20:45
http://law.e-gov.go.jp/cgi-bin/idxsearch.cgi
とかで引くことができますが、
アクセス制御機能=パスワードによる保護機能
と見るかどうかで判断が変わってくるんじゃないでしょうか。

個人的にはCGIを使っていること自体がどうアクセスすべきものなのか
規定されていると見做してよい気がしますが。

↑の方の喩えはごもっとも。
多くの人は感覚的にこう感じてるんじゃないでしょうか。

28. ↑↑ 2004/02/05(木) 17:38:16
まず法律をよんでみるといいよ。比較的短いから。
不正アクセス禁止法の保護対象はパスワードにより
保護されているコンピュータ(2、3条)。

>「SMTPのバグを利用して侵入しましたが、
>パスワードによる保護はなかったので、私は無罪です。」

この場合は、通常のSMTPサーバはパスワードで保護されてる。
しかし、バグが判明して、そのバグにパッチをあてないで放置してあれば
パスワードなしで侵入可能かもしれない。
忘れちゃいけないのが、この法律はコンピュータ管理者に
>「常に当該アクセス制御機能の有効性を検証し、必要があると
>認めるときは速やかにその機能の高度化その他当該特定電子計算機を
>不正アクセス行為から防御するため必要な措置を講ずるよう」
というようにちゃんとバグが見つかったら対処しなさいと指導している(5条)。
パスワード無しで入れる状態を放置したら法律では保護されないでしょ。
大前提として、「パスワードで保護されたコンピュータ」じゃないといけないわけだから。

>いままで逮捕された人
Yahooオークションの場合だと、2ちゃんねるで(推測されやすいとはいえ)パスワードが
晒された。で、この「パスワードを使って(これ重要)」侵入したのだから
法律の保護対象として問題ない。

29. ss 2004/02/05(木) 17:43:34
>通常のSMTPサーバはパスワードで保護されてる。

そうなのか?

30. ss 2004/02/05(木) 17:45:07
おれんとこのSMTPサーバはパスワード不要なのだが。

31. うんこ 2004/02/05(木) 18:25:26
それはspamの温床ですね。

32. ss 2004/02/05(木) 18:47:51
pop before smtpってやつ。

33. うんこ 2004/02/06(金) 10:24:01
微妙

34. これ以上大学の恥を晒さないで 2004/02/06(金) 14:06:16
今回の事例はソフトプログラムの欠陥などを利用して
サイトにアクセスしており、パスワードなどを盗むなどする
「不正アクセス」には当たらないという
大学当局の見解はかなり恥ずかしい代物だよ。

だってバッファオーバーフローで管理者権限奪取しても
それはパスワード使ってログインいたわけではないから
不正アクセスではない、と主張しているのだからね。
大学公認でクラッキング三昧だなんて羨ましい限りだよ。

35. 2004/02/06(金) 14:32:53
調査委員会には法学部の教授も加わってんだから、もうちょっと慎重に発言しよう。
そもそもその法律の条文すら読んでないだろ、お前は。

36. 家に例えるのは間違い 2004/02/06(金) 16:43:44
普通の家は他人がいつでも表から入れるように扉を開けてたりしないでしょ。
CGIは少なくとも表から入るには入り放題なものだから、全然違う。
安易なたとえ話は話を混乱させるからやめれ。

37. 2004/02/06(金) 18:19:34
「入る」の意味によるでしょ。
おうちを訪ねたら、住人がちゃんと相手してくれる。
CGIもちゃんとした手続きを踏めば、許されたサービスは受けられる。
あなたの言う「表から入る」ってのはそういう意味でしょ。
「鍵がかかってないから勝手口から許可なく入る」って意味じゃないでしょ。

38. 2004/02/06(金) 19:51:10
そういう理論でいくとディレクトリ削るのもダメかw

39. hoge 2004/02/07(土) 15:38:57
たとえば自動販売機にバグがあってボタンを一定の
順序で押すことでジュース取り放題になるとする。
今回の事件は、たまたまボタンを適当に押していた
ら変わった動作をしたので、いろいろやってみたら
取り放題モードになったってことじゃないのかな。
問題は出てきたジュースを管理者に返さないで、仲
間と一緒に飲んでしまった点にあるかと。
別にジュースじゃなくてお金取り放題でもいいのだ
けど。

でも、やっぱりたとえは限界があるな。
とりあえず家にたとえるのは間違い。

「不正アクセス」には当たらないという大学当局の
見解は、法律に沿ったまともな見解だと思う。かぎ
括弧で括られている意味を知るべし。バッファオー
バーフローで管理者権限奪取する場合は、「アクセ
ス制御機構」を突破しているから違法になるわけで、
今回の件では「アクセス制御機構」そのものがない
から「不正アクセス」になるわけがない。

40. 2004/02/07(土) 15:53:11
自動販売機から金を払わずに持ち出したら犯罪だよね?
でも公開されているサーバから情報を持ち出したら犯罪ではない。
ちょっとそのたとえはおかしい。
公開サーバの情報を持ち出すってのはインターネットの基本なわけだから。

後半は同意。

41. 要するに 2004/02/07(土) 15:58:23
以降喩え禁止
ということで、具体的に話していきましょう

42. はぁ 2004/02/08(日) 08:09:47
例え馬鹿がまた湧いてたのか
目の前の事実と法律だけ見ろよ

43. パスワード 2004/02/08(日) 19:17:27
パスワードとIDのクラックだけが不正アクセスなら、
こないだデフコンで発表されたルータのハッキングや
IPSpoofingは不正アクセスじゃないってことになるよ。

44. ↑↑ 2004/02/08(日) 20:47:50
まあ、ほめられることをしたわけじゃないからね。
非難されても仕方がないでしょ。
「法律上セーフだから、一切問題ない」というのもどうかと。
第一、なんで個人情報を公開したのかね。

45. ↑↑ 2004/02/08(日) 20:49:05
そのとおりだね。
穴だらけの法律ってことになっちゃうね。

46. パスワード 2004/02/09(月) 05:30:41
日本は何でも拡大解釈が出来る柔軟な司法を備えた
お国柄。ハッカーを捕まえてみたら裁く側も弁護する
側もまるで手口を理解できてない。とりあえずバグとか
どうでもいい単語で決着。怪しい=ハッキング=
有罪。これ定説。

47. 有罪無罪以前に 2004/02/14(土) 10:08:58
個人情報を盗んでしかも公開したのだから判決が下る前に
懲戒解雇処分を下せるはず。
それさえ怠るのは河合一族のコネの力が働いていると思われても仕方ないだろう。

48. 2004/02/14(土) 10:13:00
その個人情報を誰にも見えるように公開していた奴は不問か?
それにそういうデータを公開するも糞もない、公開されてるんだし。

49. 有罪無罪以前に 2004/02/16(月) 10:57:27
昔よくあったディレクトリ丸見えのように公開していた訳じゃない。
脆弱性を悪用して不正にアクセスしたことで初めて閲覧可能であって
公開されていた訳じゃない。だから逮捕。

50. pine 2004/02/16(月) 12:36:04
だから逮捕。 て簡単に言うけど、法に反してなければ何やっても
罪に問われないわけであって、んで具体的な容疑がかけられてない限り
警察が逮捕する権利がないんじゃないか?って所も大事な論点でしょう。。。

51. パスワード 2004/02/29(日) 00:30:55
http://www.geocities.jp/officeandaccs/

まぁ、テンプレで終わった段階の内容はこの際
言うなということで

52. ヤフーから 2004/02/29(日) 00:53:17
メールが来て、私の個人情報漏れはなかったと書いてあった。
全員にお詫びの商品券500円分を送るそうだ。

孫さん損したね。

53. まぁまぁ 2004/02/29(日) 23:57:36
500円、、、

54. 24日東京地検起訴 2004/03/02(火) 22:35:49
http://www.shihoujournal.co.jp/movement/040301.html

かわいそうに、起訴猶予にもならず、起訴されちゃったんだねぇ。

55. 関係ないけど 2004/03/12(金) 21:08:09
河合一族の河合雅雄さん
学士院エジンバラ公賞受賞おめでとうございます。

http://headlines.yahoo.co.jp/hl?a=20040313-00000041-mai-soci

追加発言
お名前
(ペンネーム可、全角15文字以内で入力)
固定HNパスワード
メールアドレス
(省略可、半角で入力)
cookie←ここまでの情報を保存するときはここをチェック。
発言
ホーム > 談話室 > 議論 > 京大研究員が不正アクセスでタイーホ 1200人の個人情報入手