独走中のカカクコムは、更に香ばしい発言が。
価格.com不正アクセス事件、IPAは「第一報のみで詳細は把握していない」
http://internet.watch.impress.co.jp/cda/news/2005/05/26/7766.html
会見で穐田社長は、「今回の不正アクセスについては情報処理推進機構(IPA)に事態の報告を行なっており、IPAの側で今後の類似犯罪の防止につながると判断したものについては積極的に内容を公開していくと伺っている。直接的ではないにしても、こうした形で尽力していきたい」とIPAに協力する姿勢を強調した。しかし、IPAでは「事件が起こった早い段階で、不正アクセスを受けたという第一報は受けているが、不正アクセスの詳細については連絡を受けていない」という。
IPAの宮川さんも、びっくり慌てて出てくるわけだ。
この矛盾をどう説明するかも、今後の動向が注目だな。
このITProの一文がスッゴイ不安を煽るよなぁ
女性向けポータル・サイト「OZmall」が不正アクセスで一時閉鎖
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050526/161587/
スターツ出版が運営する女性向けポータル・サイト「OZmall」は5月26日,不正アクセスを受けサイトを一時閉鎖したことを明らかにした。 OZmallの会員は約35万人。被害状況は調査中だが,26日時点では個人情報を含む情報流出の痕跡は認められていないという。
スターツ出版によれば,5月25日の16時頃,何者かによる同社のサイトへの外部からの不アクセスを認識し「即座にサイトを外部からシャットダウン」(スターツ出版)した。同時にOZmallと携帯電話向けサイト「モバイルオズ」「OZの恋愛占い」を閉鎖した。現在,OZmallのトップページには一時閉鎖を報告するメッセージが掲載されている。
だってさ、
「即座にサイトを外部からシャットダウン」
したけど
個人情報を含む情報流出の痕跡は認められていない
だもの。
外部からシャットダウンしたら、どういう不正アクセスだったか分からないんじゃないですか。
それでどうして、情報流出の痕跡が無いって言えるんですか。
即座に情報収集して切り離したとすれば、それは迅速な対応と言えるだろうけれど。
でも、せめて顧客の情報を預かる企業には説明責任があるんじゃないか?
少なくとも、Webには公開しなくても、自分の顧客には周知すべきであろう。
そうした務めを果たさない企業は、是非とも世にある他の非常識な企業達と同様に批判を浴びて業績を落としていってもらいたい。
【続報】OZmall不正アクセス,再開は30日目標,「過失はなかった,手口は公表しない」
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050527/161628/
OZmailのサイトを見るに手口の公表云々は無いため、日経ITProの記載からしか情報は無いが、事実だとしたら、凄いことである。
http://www.ozmall.co.jp/faq.html#q1
不正アクセスの手口については「ほぼ特定できているが,類似の不正アクセスを誘発しかねないため,侵入手口は公表しない」(スターツ出版)という。またセキュリティ対策については「過失はなかったと考えている」(同)としている。
不正アクセスされたってことは過失があったんじゃ無いですか。
も、も、もしかしてゼロディ・アタック??!
ゼロディならば不正アクセスを誘発し、ネット中のサイトは対策を行なえず、不正アクセスする側に有利となる。これなら公表を控える理由は分かる。
その代わり、セキュリティパッチが出てからゼロディであったと公表すればいい。
しかし、カカクコムはIPAに内容を報告していないし、OZmailもゼロディという感じではない。
認めたくないものだな、不正アクセスされた過ちというものは
絶賛漏洩中である。
判決が出たから、サイバーノーガード戦法は国家のお墨付きというわけだ。
不正アクセスされても過失を認めなければ、謝らなくても良いのである。
過失を確かめたかったら、NDA契約を結ばなければいけない、そんな新しい一歩を踏み出したカカクコムに続く会社が早速登場だ。
05月26日 大手サイトの「4つのやりません宣言」 サイバーノーガード戦法を超えた必殺のサイバークロスカウンター!
https://www.netsecurity.ne.jp/1_2937.html
書いていたら、同じクロスカウンターネタを本家様が書いていた。
今回の事件に対して某大手サイトでは「4つのやりません宣言」を発表した。
・過失は認めません
・サイトを見てウイルス感染した被害者へは補償しません
・サイトからメールアドレスを漏洩してしまった被害者へは補償しません
・原因については公表しません
これでも、こんなサイトでも、我々は確かめる術が無い。
一部の報道ではSQLインジェクションとも言われ、まさしくoffice氏が警鐘を鳴らしてきたWebの脆弱性である。
でも、でも、我々は、
最高のセキュリティで守っていたのだから、漏洩しても責任は取らない
最高のセキュリティがどういうものか説明するつもりは無い
と言われればお終いなのである。
一部MLでNDA結べばのNDAで議論が起きている。
NDAは、例年通りの雛形があれば1週間、初回契約で法務部チェックを行なえば1ヶ月かかるような代物である。
まして社会的に被害拡大の影響があるNDAである。簡単に結べると思えないし、簡単に結べたら問題大ありである。
まとめるとこういうことだ
・最高のセキュリティと自称する
・不正アクセスの事実関係を公表しない
・個人には補償は応じない
・企業への補償は個別に応じる
言い換えるとこうだろう。
・俺は最高、俺がやっていることは間違いないんだから責任は無い
・俺がやっていることに文句をいう奴が出ないよう説明しない
・俺も被害者だ、管理に不備は無い、不備がないことは説明しないが泣き寝入りしろ
・俺の客には、こっそり相談には応じてやろう
サイバーノーガード戦法をパワーアップさせた感じである。
何度も引き合いに出すが、PL法と同様である。
企業側が情報を出さず、許可無く利用者側が検査することが出来なかったらどうなる? という見本の最悪の一例かも知れない。
守秘義務を結んだら教えるというのでは、個々人に知る術は無いわけだ。
セキュメモMLの投稿から凄いことが判明した。
IPA 宮川です。
株式会社カカクコムからは、「不正アクセスを受けた」という被害の届出があり
ましたが、現時点ではその原因や対策については報告を受けておりません。
IPAへも報告が無いとは、我が道をまっしぐらである。
こうした事態にoffice氏の名前が上がるのは、
不正アクセス禁止法では企業は守れても個々人は守られないからである
無論、office氏への批判も上がっていて、危険を増した行為については批判は当然ではある。
自分たちの安全は自分達で確かめる、その術を不正アクセス禁止法で奪われているのである。
許可を得なければ勝手に検査するな
これは一見当然にも見えるが、価格comが許可すると、この記者会見の文面から思えるか?
