当サイトを作った目的の一つはマスコミなどの記事の伝え方に関する問題性が一つにある。すなわち言うまでもないことであるが、たとえネット上から削除したとしても多くの人の目に触れた事実は消えない。
だから資料・論評・批判の為に残すこととする。なお、「1.3■実名の記述について」に書いたような懸念があるので、実名記述(あるいは固定ハンドル)については後日、必要に応じて削除する。
ちなみに発表した者が後に以前の文を撤回することを明言し、その旨を同じ場所に掲載した場合、そしてその撤回の理由が批判する側にとって納得のいくものであれば残す必要はないように思う。
声明文を公表する際に連動してサイトトップの「きまぐれコラム」に載ったコメント。
●きまぐれコラム
2004年2月4日(マチルダ)
マチルダさんというのはこのサイトの制作者の方&社員のハンドルネームと思われる。
ASKACCS「著作権・プライバシー相談室」を閉鎖に追い込んだ憎っくきサイバーテロリスト、「officeこと、K」がついに逮捕されました!中川社長の声明文はこちらです。
なるほど、このような見解であるらしい。「憎っくきサイバーテロリスト」という言葉はなんとも強烈だが、まあ次の声明文でのようにoffice氏の行為を「脅迫」という形で捉えていれば仕方ないであろうか。
それにしても、私、どうしても納得がいきません。officeは「脆弱性を指摘するためにやった」と言っているみたいですが、社長と面会したときには全然違うことを言っていたし。だいたい「脆弱性を指摘するため」なんて、犯行の動機としてあまりにも脆弱です。そんなことのために一線を越える人なんているわけがありません。きっと、他にもっと切実な動機があったんだと思います。ただ、それを口にすることができないんで、「脆弱性」とか言っているんでしょう。
「犯行の動機としてあまりにも脆弱」と述べているが、office氏がネットセキュリティ啓発の為に活動していたこと、その為にしばしば各大手サイトのセキュリティ欠陥を見つけて警告していたことはネット上では周知のことであるが、ここでいう「犯行」というのはそのことなんだろうか?あるいは別な、それより一歩踏み込んだ「脅迫」「個人情報公開」を指しているんだろうか?「その一線」とはどこのことなんだろうか?
興味深い。
それから「全然違うことを言っていた」、これも実際にどんな内容であったのか興味深い。その後の「他にもっと切実な動機があったんだと思います」というのは推測であるから、判断のしようがないがマチルダさんがどのような「動機」を思い描いていて、それが「犯行」になったと考えているかも気になるところだ。
とにかく、裁判になったら社長も法廷に立つようですから、みんなでお弁当を持って傍聴に行きましょう。
マチルダさんの見解はきっと社長の中川氏とも見解とほぼ同一だろうから、上記の質問も裁判で明らかになるであろう。私・高崎は裁判になるのかすら疑問に思っているが、いずれにせよ、明らかにするのを待つことになる。
セキュリティ欠陥があったACCSのサイトのコンテンツ制作及び運営を行っていた会社がoffice氏逮捕に当たりした声明文。これに関して資料として挙げるとともにコメントしたい。引用部分であることを明示するために、色を変え、斜体にした。
officeこと、Kの逮捕にあたって
2004年2月4日
有限会社ヨセフアンドレオン
代表取締役 F.N.(高崎によりイニシャルにした)
社と社長(?)名で堂々と書いているわけだし、2004/02/09現在、これを取り消す声明も発表していないので、削除したとは言え、この見解が存続していると考えられよう。
●本日、警視庁より「officeこと、Kを逮捕した」との報告を受けました。
Kは、当社がコンテンツ制作及び運営を行っている「ASKACCS 著作権・プライバシー相談室」に寄せられたユーザの個人情報を不正な方法で入手し、それをイベントという不特定多数の人間の集まる場で公開し、さらにその情報をネット上に放置して流出、拡散を招いた人物です。また、この間、ユーザの個人情報を盾に、われわれを脅迫した人物でもあります。
われわれはKをこのように見ておりますので、捜査当局が逮捕に踏み切ったのは当然のことと受け止めております。
なるほど、ヨセフアンドレオン社はoffice氏が「脅迫」も行っていたという見解らしい。これは「偽計業務妨害」という罪状とも関係するのだろうか?
しかし業務妨害はACCSに対するもののはずだが、サイト作りをこの社が請け負っていたのだから「ACCS=ヨセフアンドレオン社」とみて良いのだろうか。法律に疎いのでよく分からない。
いずれにせよ、どのような形の「脅迫」であったか、是非知りたいものである。
●本日、河合の身柄が拘束されたことで、河合の手から個人情報が流出する可能性は小さくなりましたが、個人情報の安全が完全に保障されたというわけではありません。われわれは今後とも個人情報の保全を第一の課題とし、情報の流出、拡散の防止に努めてまいります。また、捜査当局に対しては事件の全容解明とともに、Kの入手した個人情報が流出、拡散しないよう、その保全を強く求めるものです。
「河合の手から個人情報が流出する可能性は小さくなりました」と述べているが、office氏は反省文を掲げていたそうで(現在不明)、office氏によるこれ以上の個人情報行為流出は考えにくかったであろう。
しかし最初の記述の様子を見ても、ヨセフアンドレオン社としてはoffice氏を信用していなかった様子が見られるので、上のような書き方となるのもまあ無理はない。
●また、当社といたしましては、今回の事件の犯人がセキュリティの専門家を自任する人物で、その犯行の現場がセキュリティ関係者によるイベントだったという事実を重く受け止めています。
現在、ASKACCSの再開に向けた作業を進めていますが、 セキュリティの専門家やセキュリティ技術に依存しないセキュリティのあり方、セキュリティに依存しない情報社会のあり方を模索していかなければならないと考えております。
雰囲気は理解できるが「キュリティの専門家やセキュリティ技術に依存しないセキュリティのあり方、セキュリティに依存しない情報社会のあり方」というのは今ひとつピンと来ないが...
まあヨセフアンドレオン社がセキュリティ欠陥のサイトを作らないで済んだような社会、office氏がヨセフアンドレオン社の作ったセキュリティ欠陥サイトを指摘せず、その結果、逮捕もされなかったであろう、そのようなネット社会を目指したいということなのだろう。それは全くもって頷ける。
●また、現在、一部マスコミの間でKと河合隼雄文化庁長官の関係が取り立たされておりますが、Kと長官の関係については事件発生の直後より承知しておりました。これまで特にその件を問題にしてこなかったのは、40歳を過ぎた人間のしたことを「おじさんのせいにする」「おじさんに言いつける」というのは適当ではないと判断したからで、政府から圧力があったわけではありません。
おお〜、文化庁長官が圧力をかけた可能性などというのは考えもしなかった。
私としても、この事件が文化庁長官とすぐに関連づけられることに非常に違和感を感じるが、なるほど、第三者が見ればあのニュースを見た場合には「行政からの圧力の可能性があったのに、それに対してヨセフアンドレオン社や警察が屈しなかったなあ」というようなことを考えるのであろうか。
私としてはたまたま文化庁長官在任で、もともとあの(それなりに)著名な「河合隼雄」氏(私は現在文化庁長官をしていたことを知らなかった)が圧力をかける可能性というのは全く考えもしなかったが....
ちなみに「40歳を過ぎた人間のしたことを『おじさんのせいにする』『おじさんに言いつける』というのは適当ではないと判断」と書き、そこが「政府から圧力があったわけではありません」という文章に繋がっているが、どうもその繋がりは「?」であり、私だったならば
「政府からの圧力を避ける意味もあったが、そもそも著名人で現在の文化庁長官である人物と同じ一族であることは今回の事件と無関係であると考え、連絡はしなかった。結果的に当然のことながら政府からの圧力もなかった」
とでも発表するであろうが...
●本日の河合の逮捕によって事件は大きな進展を見たといえますが、当社の運営上の瑕疵が今回の事件の一因であることに変わりはありません。ASKACCSに情報を寄せられたユーザのみなさま、及びACCSのみなさまには重ねてお詫び申し上げます。
office氏が逮捕されて、何が「進展する」のであろう?
確かに逮捕された以上、「office氏がセキュリティの欠陥を突いた方法」「その方法により取り出した個人情報」がoffice氏からは漏れないというのは事実だろう。しかしそのようなこと(手法と個人情報が漏れること)が謝罪文を出していたoffice氏から発生するのは可能性として高くなかったのではなかろうか?そう考えると、客観的に見ても「事件が大きな進展を見た」というのはどこかしっくりこない。
この事件の「大きな進展」は
と言えるのでは無かろうか?
●なお、今回の事件に関して「河合やAD200Xとの交渉の経過も含めてジャーナリストとして明らかにせよ」との声を多数頂戴しております。この件につきましては、ユーザの個人情報の安全が確認されてからとしてきましたが、同様の事件の再発防止につながると思われる事実に関しては、今後、一つひとつ明らかにしていく所存であります。
以 上
上のように今後、経緯の情報の開示を明言してくれているので、楽しみにしたい。
CGIの欠陥突き情報引き出した京大研究員逮捕 警視庁
--------------------------------------------------------------------------------
文化庁所管の著作権保護団体のインターネットサイトから昨年11月、利用者約1200人分の個人情報が引き出され、一部が公表された問題で、警視庁は4日、京都大学の研究員K容疑者(40)=京都市南区唐橋赤金町=を不正アクセス禁止法違反と威力業務妨害の疑いで逮捕した。河合容疑者は調べに「サーバー内に侵入して情報を引き出した」と話しているが、不正行為と認識していたかについては供述していないという。
そういえば逮捕後のoffice氏の状況、言動を述べる記事は多くない。「黙秘」をしているという記事もあったが。
ハイテク犯罪対策総合センターの調べでは、河合容疑者は昨年11月6〜8日、社団法人コンピュータソフトウェア著作権協会(東京都文京区)のサイトのサーバーに不正に接続し、ネット上で同協会に相談を寄せた約1200人分の氏名や住所、相談内容などを引き出した疑い。
ハイテク犯罪対策総合センターは警視庁の内部のハイテク部署名のようだ。
さらに同月8日、都内で開かれたネットの安全対策担当者やハッカーの集会で、参加者約200人に接続方法を公開し、協会にも接続したことをメールで通知した。そのうえで、サイトの一部の閉鎖を余儀なくさせ、協会の業務を妨げたとされる。
最近は知られるようになっていることだが「ハッカー」には本来悪意あるイメージはなく、「コンピューター技術に長けた者」という雰囲気が強いという。日本では悪意あるイメージで取られるようになったため、それを是正しようと言う動きがあり、悪意ある場合には「クラッカー」、悪意ない場合には「ハッカー」を使うようになっている。上の「ハッカー」は本来の意味での「ハッカー」すなわち悪意ある者という意味は含んでいないが、さて、それをここで注釈なしに使うのは問題があるのではなかろうか?
まあしかし「ネットの安全対策担当者」とあるだけマシか?
このサイトは情報を読み出したり書き込んだりするために、「CGIプログラム」と呼ばれる汎用(はんよう)プログラムが使われていた。河合容疑者はこのプログラムの欠陥を突き、サーバー内の非公開の領域に保存されている情報を引き出したという。
河合容疑者は昨年12月、朝日新聞社の取材に「(サイトの安全性について)警鐘を鳴らそうとした。このプログラムにはもともと外部からの侵入を防ぐ仕組みがなく、不正アクセスに当たらない」と話していた。だが警視庁は、サーバーには外部からの利用を制御する機能があり、河合容疑者の行為は、指令を送ってこの制御を免れる不正なアクセス行為と判断した。
朝日新聞が独自の取材をしており、本人の認識を確認していること、警察がそれと異なる見解を取り、逮捕に至ったことを述べている。実際には朝日新聞がそのことを改めて取り上げた記事が警察が動くきっかけになったという話があるが...
なお、他の記事によると京大での検討会でも「不正アクセスにはあたらない」という判断をしたという。
河合容疑者は「office」と名乗り、首相官邸や総務省、都市銀行のサイトを調べては、安全対策の「欠陥」を専門誌などで公表してきた。同容疑者は河合隼雄・文化庁長官のおい。 (02/04 14:37)
他のサイトに行ってきた活動について、ここでは簡潔に述べ、特にその活動を悪意あるような形では紹介していない。他の社の記事ではあたかも犯罪を重ねてきたように書いている記事もある。
なおここでは、この人物(すなわち河合氏)が「office」を名乗っていたことを述べているが、それに言及しているマスコミ記事は必ずしも多くない。そういう点で貴重。
第一報としてはまあ無難といえる内容のような気はする。
不正アクセス:
個人データ引き出す 京大の研究員を逮捕
社団法人「コンピュータソフトウェア著作権協会」(東京都文京区)のサイトから不正に個人データを引き出し、協会の業務を妨害したとして、警視庁は4日、京都市南区唐橋赤金町8、京都大学知的財産企画室研究員、K容疑者(40)を不正アクセス行為禁止法違反と威力業務妨害の容疑で逮捕した。河合容疑者は盗んだデータをイベントで公表していた。
他社の記事でもしばしばあるが、この「イベント」というのが抽象的なために、読者に不正確な印象を与えた可能性がある。すなわちこのイベントは「第19章 漂流するセキュリティ(1)」で書かれているとおり、基本的には「真面目な」イベントであり、朝日の記事に依れば「ネットの安全対策担当者」なども参加している、セキュリティ問題を論じるイベントであった。そのイベントがどのようなものかを知る、あるいは間違って想像するかにより、読者の印象が大きく違ったであろう。
調べでは、河合容疑者は昨年11月6日〜8日の間、計7回にわたり自分のパソコンから協会のサイトに不正にアクセスし、協会に相談や情報提供した人の住所、氏名など約1200人分の個人情報データを入手。同月8日に渋谷区内で開かれたイベントでこのデータを公開したうえ、情報が漏れたことをメールで協会に知らせ、サイトの閉鎖に追い込んだ疑い。
これも不正確で、あたかも1200人文のデータを公開したかのように誤解を与えるものとなっている。
河合容疑者は、掲示板サイトなどで一般的に使われているプログラム「CGIプログラム」の一部を書き換えて、利用者がパソコンからインターネットサイトに書き込んだ個人情報などを不正に取り込んでいた。
しかもこの記事では上記のように「不正」であることを断言しており、今回の行為が「不正アクセス」であるかどうか議論を必要とするという余地を全く入れていない。
イベントでは、約200人の参加者に河合容疑者が不正アクセスの方法を公開し、その後、参加者がまねて不正アクセスしたケースも確認されている。河合容疑者はアクセスの事実を認めているが動機や目的については供述していないという。
河合容疑者のホームページには「過去、官公庁を含め約30カ所にアクセスした」との記載があり、同センターは余罪があるとみて調べている。【三木陽介】
これもひどいもので、office氏のそれまでの啓発活動が全て「犯罪」行為であったかと思わせる述べ方になっている(否、そもそも啓発行為であったことすら触れていない)。
河合容疑者は河合隼雄・文化庁長官のおい。
[毎日新聞2月4日] ( 2004-02-04-13:18 )
総じて見るに、第一報としては朝日の記事に比べると、極めて断定的で、間違った印象を与える記事内容になってしまっている。
その後、毎日ではこの逮捕に関する詳細を複数の記事、コラム等で述べており、他社に比べても多く、しかもoffice氏に理解を示す雰囲気になっている。他社は必ずしも追いかけていないことを考えると、雰囲気の変化した一連の追跡記事は上の記事に対する間接的な修正記事であるということだろうか?
最初の第一報を読んだ人々がそれらの後続の記事も読んだであろうことを願うばかりだ。