サイバーノーガード戦法についてツッコミが来た。
実はどうして私にその質問が来るのかやや疑問ではあるが、 たぶん5月29日のエントリに法的措置について書いたので、 そのことに関してであろう。 普段なら笑い飛ばすところだが、 「冗談を真面目に考察する」のもこの「にっき」の持ち味のひとつではないかと 感じているので、後ればせながら改めて考えてみたい。
まず、サイバーノーガード戦法とはなにか、というところからまとめたい。
サイバーノーガード戦法という単語の オリジナルと思われる文章では、以下のように解説されている。
その1 セキュリティへのコストを切り詰めて、脆弱性あってもいいやで安価に開発。サーバ管理者もセキュリティまでわかる人は単価高いので、安いサーバモンキー程度ですませる。予算があったら保険に入っておく。
その2 冒頭の文章=このサイトがメソッドAで運用されていることを掲示する。
その3 脆弱性の指摘があったら「うちはノーガード戦法だから、余計なことをいうな。」とつっぱねる。
その4 脆弱性をついた攻撃あるいは脆弱性の情報公開があったら、相手を不正アクセス法と威力業務妨害で告訴する。今回の事件でわかるように、脆弱性を放置し個人情報を漏洩させても運営者は全くおとがめなしで安全である。これは運営者からすると、訴えたもん勝ちといえる。警察のお墨付きというわけである。
その5 もし、本当に被害が発生したら、迅速にお詫びのメールを被害者に送付する。世間がうるさかったら、商品券でも送る。商品券のコストがセキュリティ投資のコストを上回る可能性はまずないので、これでも損ではない。
なお、タイトルにある「安全」というのは、運営者が安全という意味で利用者はきわめて危険な状態におかれる。
さて、この戦法にはいくつかの問題がある。
ということで、真面目に考察した結果、サイバーノーガード戦法は、 有効な局面が極めて限られるので採用できない、というのが結論だ。 そもそも我々は個人情報なんてほとんど持ってないし。
そういう観点からは、ACCSをはじめとする「サイバーノーガード派(なんてくくってよいのか?)」に対応は残念だ。
そういう観点からはサイバーノーガード戦法には賛成できない。
真に対抗すべき悪意ある存在に対しては無力で、 さほど悪意がない「警告者」を恫喝する結果を招くだけだから。
さて、この言葉の発端となったoffice氏の行為については、 その行為に問題があったとは私も思うが、 問題の所在はイベント会場で個人情報を漏洩してしまったことにあって(それがどのような罪に該当するのかは知らない)、ACCSから情報を入手できてしまったことではないと思う。 ACCSの脆弱性は、情報の入手に成功してしまって、 はじめて脆弱性の存在が分かるようなタイプである以上、 彼の行為の問題はそこにはない(はず)。 「被害者」としてのACCSの怒りは想像できるが、 だからといって自分の落ち度を棚に上げて、 一方的にofficeに責任を押しつけてよいわけではない。
今回のruby-lang.orgのクラックについてだが、 たとえばhelium(ホスト名)のCVS脆弱性を突いて、 本来保護されている領域に侵入して、ファイルシステムを「改竄」した行為は 不正アクセス以外の何者でもないと思う。 よって議論の余地はないはずだ。 もし、侵入者が特定できたならば(残念なことにかなり可能性は低いが)、 彼はそれを償う必要がある。 特定できなくても彼が犯罪者であることには変わりはない。 すくなくとも日本の法律の下では。
我々にも落ち度があるのは認めざるをえないが、 だからといって犯罪者が免責されるわけではない。 実際、この一連のコストは我々が(特に前田くんが)負担しているのだ。
では、思考実験として、CVS脆弱性を利用してheliumに侵入し、 それを悪用せずに、我々に 「heliumにはCVS脆弱性がありますよ」と警告してきたケースを考えてみよう。
我々は「警告者」が本当に警告だけだったのか、 実際に侵入し、踏み台としての仕掛けを行っている「ほんとは悪いやつ」なのか 区別がつけられない以上、結局は今回行ったのと同じような ホストの再構築を行う必要に迫られたであろう。
が、「警告者」がCVS脆弱性を利用したとしても、 本当に警告のためにしか用いていなかったならば、 我々はその警告者を刑事罰の対象とは考えないだろう。
すごい手間なんで「余計なことをしないでくれ」と激しい怒りを覚えるだろうけど。
追記
KLさんからの指摘にあるように、 ACCSを一方的に「サイバーノーガード派」に分類するのは不適切だ。 ここに謹んで謝罪するとともに訂正する。
元の文章を修正してしまうのは簡単だがフェアでないので、 証拠として残すためにもstrike outだけにしておく。