幾霜::残日録::2004/02/05 (木)

　essaさんの書かれていることが本当かどうか分かりませんし、(もうちょっと難しい)がどの程度なのか私には分かりませんからその程度によっては話が変わるかもしれませんが、ここに書かれていることを鵜呑みにするなら「アクセス制御機能は無かった」と言っていいんじゃないかと思います。
　これに関してはかつてのアビバやTBCの件が参考になるんじゃないでしょうか。
誰がそう思えるんでしょうか？
　いや全くで。

　そうかなぁ。不正アクセス防止法では「セキュリティホールを突いた」制限の突破は不正アクセスに含むとされているんですが。
　問題は「アクセス制御機能」かな。件のCGIはアクセス制御機能が無いも同然だった、という考え方はあり得るでしょうから、そういう場合には今回の情報を引き出した行為は不正アクセスには当たらないということになりますが・・・。実物を知らないので何とも言えませんね。アクセス制御機能があったか無かったかの認定次第で「不正アクセス行為を助長する行為の禁止」に当たるか否かも変わりそうですね。アクセス制御機能の回避方法の公開は上記の行為に当たるわけですが、アクセス制御機能が無いということを公開した場合には上記の行為に当たらないように思われますから。少なくとも法律の文面をそのまま受け取れば。
　ま、何にしろ威力業務妨害での立件は無理だと思いますけど。というか無理であって欲しい。そんなのが通ったらセキュリティホールの通知ができなくなる。それから、今回は違うようですが、通知しても無視、もしくは逆ギレで脅してきた場合、黙っていてくれと言ってきた場合に脆弱性の詳細はともかく脆弱性の存在を公開することぐらいはユーザー保護の観点から認めてもらいたいなぁ。
　セキュリティホールの存在確認行為は当然認める方向で。
　一応言っておきますが、彼が実際に個人情報を公開したことや、通知前に情報を公開したのは罰せられるべきだと思います。ま、今回の件が不起訴処分になったくらいでちょうどいいお灸になるかな、と思っています。

消費者が安全な商品・サービスや必要な情報を得ることなどを「権利」として新たに明記する一方、事業者には必要な情報をわかりやすく提供する責務を課す。
　スバラシイ。これで、金銭の授受が介在するような場合はサイトのセキュリティホールのチェックも消費者の権利になりますよね、当然。その辺全然考えてなかったりして(笑)。をっと、黙っておいた方が良いかな。
　とりあえず、産業界が大反対するのは明らかなので、絶対に骨抜きにされないように議員の皆さんには頑張っていただきたい。

　INAXから・・・・。アホすぎ(爆笑)。

　統計言語Rに関するTips集。