コメントの状態で長々と意見交換するのも、他から見づらいと考え、本日の日記に移しました。

ささき様、ご意見ありがとうございます、

まず、私に誤解を招く表現があったことをお詫びし、訂正させていただきます。

ACCS、ファーストサーバ、ヨセフが具体的に手を組んでいる事実はありません。

この3者に被害者を加えて、被告陣営側にいるということを指そうとしたのですが、表現が不適切でした。

更に、ヨセフ中川氏に対しては、InternetMagazineを以って、考えを改めねばならないと認識いたしました。
事件後のWebサイトが余りに痛かったので、先入観が強すぎました。

ささき様の指摘の通り、黙して同じ陣営にいた３者は別れ始めました。
事件から半年以上が過ぎ、ようやくそれぞれの「現在の」認識を語り始めたと思います。

括ってしまう私の考え方を改め、情報は少ないながらも総合して追っていきたいと思います。

office氏をテロと呼ぶかは、私にとっては難しいですね。脆弱性の指摘は技術の枠を越えて政治的な意味合いがあります。
好意的に取れば消費者保護の市民運動に近く、煽るような姿勢を闘争的に捉えればテロに近づきます。

InternetMagazineに事件を見直すきっかけを貰った感じですが、office氏の思想がここに表されているかといえば、彼自身を知る人物からさえ窺うことが今となっては困難です。

そこで、今は消えてしまっている、office氏のTeaRoomConferenceから、事件直後の彼自身のコメントを引用したい。
無論、解釈は一人歩きしてしまっているし、今の視点と当時の視点とでは、先入観も違うでしょう。
（個人名を一部伏字）

11月10日 13時55分 ( No.1613 )
office
A.D.2003での私の発表についてのその後

・発表直後に前触れなしのExploitが可能であることが確認されました。
このことをよく認識してください。＞＊＊さん

・発表直後にJPCERT/CC, ACCS, FirstServer, KUBOTAにまとめて報告しました。

・情報モラルとかいってますが、security@accsjp.or.jp というメールアドレスは存在しませんでした。
accsjp.or.jpドメインには報告先が発見できず、askaccs.ne.jpレベルにしか報告できていません。

＜＜中略＞＞

・ACCSは未だに公式見解を出しません。
「現在、サーバメンテナンスのため質問を受け付けておりません。
いま、しばらくお待ちください。」
となって、該当cgiが削除されただけです。

＜＜中略＞＞

・ファーストサーバの担当者は真摯に対応してくださっています

「 該当のCGIにつきましては、弊社でも脆弱性(洗浄不足)を認識しており、昨年末にお客樣へ通知の上、対応版をリリースし、また、今年には構造をまったくかえたCGIを新規にリリースして、該当のCGIの使用をやめるように指導しておりました。

今回、お客樣に 確認したところ、どうもコンテンツ製作会社にその情報が通知されておらず、古いバージョンをそのまま使用して
いたとの事がわかりました。現在、お客樣にて削除していただきました。

今後の対策として、再度お客樣に徹底していただくように準備しております。」

「明日中（11月10日のこと）に再度顧客通知(警告)をする予定です。」

とのこと。

11月18日 18時01分 ( No.#1613-1 )
office
【ファーストサーバが配布した、不適切な情報公開をしてしまうcgi問題について】

上記の件ですが、その後様々な情報を頂きました。それらの情報を総合して、私は多くの事実誤認をしていたこと、また誤解を与える表現をしていたと結論づけました。ここに訂正してお詫びしたいと思います。

最初に、私のいくつかの事実誤認等、いくつかの誤りについて、訂正とお詫びをしたいと思います。

●ファーストサーバについて

http://www.office.ac/tearoom/noframe.cgi#No.1613
の
「・ファーストサーバの担当者は真摯に対応してくださっています」
という記述についてはまず撤回させていただきます。

「該当のCGIにつきましては、弊社でも脆弱性(洗浄不足)を認識しており、昨年末にお客樣へ通知の上、対応版をリリースし、また、今年には構造をまったくかえたCGIを新規にリリースして、該当のCGIの使用をやめるように指導しておりました。

今回、お客樣に 確認したところ、どうもコンテンツ製作会社にその情報が通知されておらず、古いバージョンをそのまま使用して
いたとの事がわかりました。」

というファーストサーバ側の主張については、この表現通りであるとの裏が全くとれませんでした。むしろ、CGIのセキュリティ問題を認知しながら、それを顧客に知らせず、なんとなくバージョンアップしたというような表現しかしていな
かったということのようです。

例えば

http://slashdot.jp/comments.pl?sid=133390&cid=435775
http://tmp2.2ch.net/test/read.cgi/download/1068564689/90

などにもファーストサーバ側が行った対応が記述されていますが、私の入手した情報もこれに一致しています。このような情報しか得られない状況では、サーバの借り手が、cgiを新しいバージョンに入れ替える必然性は見いだしようがありません。

確かにcgiのセキュリティ問題報告の後での私(office)へのレスポンスは素早かったものの、そこにあった記述は単なる責任逃れのためのものばかりとしか思えない状況です。なお、今現在ファーストサーバが具体的にどのようなアクションを取っているかは、私には全く見えません。従って「真摯な対応」があったというのは、少なくとも事実とは言えません。

●ACCSについて

次にACCSの対応について大きな事実誤認があり、ACCSには大変ご迷惑をおかけしてしまったことと思われます。ここに訂正して謝罪したいと思います。

私はACCSの関係者から、非常に素早いレスポンスのメールを受け取っています。そのレスポンスメールの発信において、どうやらACCSの環境からは、ACCSからの発信であると示されるヘッダがつけようのない状況だったようなのですが、私はメールのヘッダを見て、発信元がよくわからないことを必要以上に畏れ、そのことを理由に、本文の方をも悪意あるものと大きく曲解してしまいました。

個人情報が漏洩した可能性があるというインシデントにおいては、その技術的な漏洩メカニズムの側面の問題もさることながら、漏洩した可能性のあるデータの所在確認や、更にその拡散を未然に防ぎデータ保全を最優先することが必要です。従ってACCSから頂いた「個人情報データを削除して欲しい」という要請は当然のことだったのです。その後、私が入手した個人情報に関しては過去の検証時点からのデータを含め、全て削除いたしました。

掲示板では、私は「個人情報データを削除しろ」と表現していますが、このような高圧的な文書ではもちろんありませんでした。かつて色々な組織から理不尽な要求、時には脅迫を受けた私が、今回も同様のものであると勝手に描いた幻影に対しての怯えから、（ACCSが事態の隠蔽を図るために）「高圧的な要求を行っている」と勝手に思いこんだものです。

実際にはACCSは素早く行動して、漏洩した可能性のある情報の所在の調査や拡散する可能性防止すべく各方面に連絡し、全力を尽くされましたし、そして記者会見も開いて、事態を公表されました。ACCSの立場であれば、全てをファーストサーバの責任としたとしても、理不尽とは言えない状況であったにもかかわらず、委託しているはずのサーバの管理責任までをも重く見て、今回の対応となったものと判断されます。

私の聞き及ぶ範囲では、ACCSの記者会見では、ACCSのコメントにおいて誰か他に責任を押しつけたり、誰か他を責めようよする部分は無く、自組織の責任部分をきちんと認め、何をしてきたか、何をしているかをきちんと述べたと聞いています。

ACCSの対応については、素早く、的確なインシデント対応がなされたと高く評価すべきものと考えられます。上記のACCSの対応についての批判的な記述については当方の不明をお詫びするものです。

●最後に。

私が最も言いたかったのは、情報漏洩する可能性がある特定のcgiがそここにあって、それは特定サイトの問題ではないということです。
これほど問題あるcgiが拡散しているのは何故なのか、それを問いたかったのです。私が例示したのが、クリティカルな個人情報を蓄積したサイトの事例であったため、その特定サイトの管理問題ととられてしまっていますが、それは私の本意ではありません。その点改めて強調させて頂きます。

以上、「ファーストサーバが配布した、不適切な情報公開をしてしまうcgi問題について」、私の過ちについて述べし、私の負うべき責任を明らかにさせていただきました。

彼がやりたかったのは、伏字にした方を意識した、その場で注目を集めるパフォーマンスでした。ゼロディ・アタックもどきとでも言いましょうか。そして問題が多くのサイトに広く存在することを印象付けようと、彼の演出の条件が揃ったACCSを利用したのでしょう。

彼の雑誌連載やプレゼンを攻撃的と取る人も多いでしょう。
しかし、脅威を具体的に示さねば他人の理解を得られない世界であること、これが全てでは無いけれど、選択肢は少なかったことは彼の行動を読み解く上で、理解しておいていただきたい。

未だに一部上場や、一部上場に勤めている事が社会的信用だったりする風潮の中、「余計なことするなよ、個人情報なんてこの程度の管理で十分じゃないか」と衆愚に走るサイト管理者達、それを信じる個人利用者達に警鐘を鳴らすはず・・・が、踏み外した。ミイラ取りがミイラになった。

深淵を見入るとき、深淵もまたなんじを見入るのである。（ニーチェ）

擁護、同情するつもりはありません。責められるべき部分は、彼の行為の重さ以上に責められて致し方ないでしょう。代表してしまったのですから。

その上で、未だ正確な情報が流れない現状の中、彼の言動を、周囲を追っていきたいと思います。