Follow

非常に悪質な行為である(対策を講じなかった不備を棚に上げて)

「Webアプリケーションを経由して、不正に情報を入手された」って話をよく聞くけど、それって本当に「不正」なのかどうか検討してほしいんだよね
例えば、HTTPサーバーアプリケーションのApacheなんかは、4月1日に複数の重大な脆弱性を修正している( httpd.apache.org/security/vuln )し、これらの脆弱性の情報はCVEやApacheのリリースノートにも掲載されている。クラッカーにとっては「どこを突けばシステムを侵害できるか」というヒントを与えられたも同然で、これらの脆弱性の修正パッチを当てなければ、当然ながら脆弱性の穴は開きっぱなしになっている
修正パッチを当てるという、「当たり前に行うべき、常識的な」対策を講じずに、システム侵害を行った相手方を「非常に悪質な行為である」と非難するのは簡単だけど、「やるべきことをやってないんだから、侵害されても仕方ないよね」としか言いようがない

ちなみに、「脆弱性があったら侵害していいよ!」って訳じゃないですからね。当然情報倫理に明確に反する行為ですし、システム侵害はれっきとした犯罪なので、絶対にやっちゃ駄目ですよ

@nieein56 門に外側から閂をかけたのを戸締まりとは言わないというようなこと?

@tsainiao どちらかというと、「建物の壁に穴が空いている」といった感じですかね
「塞がれてない、特定の方法で開けられる抜け穴」がほったらかしにされているので、アクセス制御等で、正規の入り方についてはきちんと防御しており、内側から閂をかけて門番を立たせているのにも関わらず、抜け穴があるからクラッカーは侵害ができる、って感じですね

@nieein56 それが倉庫業かなんかだとすれば倉庫の責任問題ですよね

@tsainiao GIGAZINEの倉庫の一件で、当初警察が動かなかった理由に、「倉庫の明確な領域が示されておらず、立ち入りを禁止するような文言もなかった」っていうのがありましたけど、それと同じですね
情報を扱う側がきちんと対策を講じないといけないし、講じずに起きたインシデントなんかは、扱う側の問題なんですよね。侵害してきた側を悪者にするのは簡単ですが

Sign in to participate in the conversation
玉子丼 :Tamagodon:

Tamago Gadgetが運営する汎用インスタンスです。