ACCSの久保田裕専務理事は、被害者への謝罪やサーバ管理会社への対応、
事故調査委員会の設置など業務に多大な影響を受けているとしたうえで、「被告の
行為は、当協会の信用を毀損し、個人のプライバシーを侵害する重大な違法行為」
と指摘する。「高度情報化社会では、一度流通してしまったものは戻せない。今後、
このような行為が二度となされないよう、被告に対して訴訟を提起することにした」
（久保田氏）。

被害者への謝罪・・・これは有り
サーバ管理会社への対応・・・教えてくれたんだからありがたいのでは?
事故調査委員会の設置・・・短期の対応を迫られたが、結局は脆弱性は直す必要があったんじゃない？
被告の行為は、当協会の信用を毀損し・・・(゜Д゜)ハァ? 信頼を失うような管理不行き届きは自業自得では？

脆弱性を利用された場合は、管理がずさんでも免責とされる日本である。

2005-07-26

ACCS不正アクセス事件、謝罪文公開と賠償で和解

http://www.itmedia.co.jp/news/articles/0507/26/news031.html

個人情報を晒された3人と、ACCSが損害賠償である。

サイバーノーガードは責任を負わないのである。

この和解は、脆弱性を放置しても責任を問われることは無いという、人類に大きな一歩をもたらしたと言えよう。

後にカカクメソッドに続く、歴史的偉業である。

2005-07-14

落合弁護士のBlogより

http://d.hatena.ne.jp/yjochi/20050708#1120782512

この事件でも、アクセス制御が十分だった、とは認定されていませんね。「アクセス制御がなかったとは言えない」として、「不十分」ながらアクセス制御があったという認定がされています。不十分ではあってもアクセス制御機能がある、それに対して「通常ではない」アクセスが行われる、それも「不正アクセス」であるというのが、先日の東京地裁判決でしょう。だからこそ、有罪認定になったはずです。

突き詰めていくと、FTPこそがアクセス制御で、最高のセキュリティを誇ってもFTPでメンテナンスしていなければ不十分なアクセス制御ってことになりそうです。

この矛盾をどう説明するのかと言いたいですが、控訴却下ですから、矛盾してようが

　office＝悪者、悪者は逮捕されるべし

最初からこういう図式しか無かったわけなのでしょう。

2005-07-07

SQLインジェクションで個人情報を不正に取得しても不正アクセス禁止法に当たらない

全くもって理解不能である。ま、朝日新聞の言うことは９割引で読まないといけないから、実際にこのような判断がなされたかは今ひとつ確証はないのだが。

DBのデータはFTPでメンテナンスされていないから、パスワードによるアクセス制御は無く、不正アクセス禁止法に当たらないということだろうか。

だとすると、「部外者の侵入を防ぐ」＝パスワードということだろうか。

一応、矛盾していないようにも取れる。

つまりこうだ。
サイバーノーガード戦法やるにゃ、FTPは欠かせないということだ。
DBを内部セグメントに設置しては、”パスワードによる”アクセス制御が不十分なわけだ。実に香ばしい理屈である。

2005-07-07

カカクコムのサイト攻撃、中国からも

2005年07月07日16時33分

一方、中国人留学生の郁華容疑者（２７）はカカクコムが集中攻撃される前の４月中旬と５月初旬に侵入していた。だが、少なくともこの時点では同社のサーバーは、利用者を特定の人に限り、部外者の侵入を防ぐ「アクセス制御機能」が不十分だった疑いが強いことが判明。不正アクセス禁止法の要件を満たさない可能性が高いと判断したという。