- 締切済み
これってどうなの?
友人間で、ちょっと議論の的になっていることがあるので、みなさんの意見(回答)をお願いします。 ある商用WEBページにセキュリティホールがあり、ここから個人情報が外に流れでてしまいました。 最近の報道だとWEBページの管理者に責任があるように言われていますが、攻撃側はどうなんでしょう。 攻撃する人間こそトラブルの発端であり、一番の責任者だと思うのですが。 もちろん、WEBページ管理者の責任もあるとは思いますが、そもそもセキュリティホールの 多くは目的外使用(想定外の使用方法)で発覚することがほとんどですし、管理者や開発者は 目的外使用にまで責任を負わなければならないのでしょうか。 #極論を言ってしまうと刺身を切る包丁で人を切ったら、包丁の製造会社も訴えられてしまう?? 個人的な感覚だと、目的外使用での欠陥で補償要求というのは、アンフェアでは?と思います。
- みんなの回答 (8)
- 専門家の回答
みんなの回答
- JOYBOX
- ベストアンサー率52% (75/143)
これは、サーバー上に履歴が残るものをその商用WEBページが使用している場合でしょう! 例えば、メール送信した時にその送信者のメールの履歴をサーバー上に残すものや自分のHPを登録出来るサイトなどでCGIを使って管理しているサイトなどではインターネット上に個人情報が格納されています。 いづれもCGI等のコンテンツを使っている場合で、ハッカーにかかれば100%安全とは言えません。 セキュリティを強化するといっても100%万全の対策を取ることは不可能です。 どういう対策を取ってもハッカーにとっては抜け道を探し出すことは可能です。 商用WEBページの管理者の責任を問うとしても、サーバーへのアクセスの際のIDやパスワードの管理を徹底して貰うとか、各ディレクトリにせいぜい空のindex.htmlファイルを置いて貰ってサーバー内の各ファイルを見えにくくする対策を取って貰うとかぐらいしかないでしょう。 パソコンならファイアウオールソフトを入れて防ぐとか複数のパソコンをルータで繋いでランを組むことで不正侵入を限りなく防ぐとか方法がありますが、ネット上のサーバーにアップしているファイルをそういったソフトで防ぐという事もなかなか難しい問題です。 それから他の方の回答でファイル名を替える事が有効とありましたが、サーバー上のファイルを全て把握されてしまったら例えファイル名を替えても同じ事です、すぐ分かってしまいます。 攻撃側の責任については、もちろん犯罪となり罰せられるべき事ですがその相手を調べる事は非常に難しいものです。 不正をしようとするものは身元をつかまれない為に、韓国や香港などのプロバイダー等を迂回する措置等をを取った上でアクセスして個人情報を盗み出すような事をしているのが当たり前の話です。 結論は、メール用のCGIはサーバー上に履歴を残さないものを使う他自分のHPを登録出来るサイトなどではCGIを使わずにあくまでパソコン上にしか個人情報等を残せない形にしファイアウオールソフトでガードする或いは複数のパソコンをルータを使ってランを組んだりすることで限りなく万全に近い対策となります。 CGIを使ってサーバー上に履歴が残ってしまうものが全盛の状態ですから、商用WEBページの管理者の責任を問うのも限界があるでしょう!
> 最近の報道だとWEBページの管理者に責任があるように言われていますが、 > 攻撃側はどうなんでしょう。 どのサイトの件なんでしょうか? 状況によって変わってくると思います。 誰もが知らなかったような手法を用いて、周到な準備のもとに狙い打ちされたというなら不可抗力に近いことはあるでしょうね。 でもそういうような「個人情報漏洩事件」は私は聞いたことが有りません。 「なにやってんだよ! ばっかじゃないの?」というものがほとんどです。 漏洩させてしまった方は「ハッキングされた! 100%完全な対策は不可能」なんてコメントをして、報道も何の分析もせずそれをそのまま紙面等に乗せる場合がけっこう多い様に思います。 我々は人ごとではないので、いったいどういう状況であったのかの報道を探しますが、 「ばっかじゃないの?」はその上での感想です。 もうひとつ、いろいろな公的HPのセキュリティチェックをしている人達がいますが、 そちらからの情報でも「あ~あ~(;^_^A 」が多いですね。 そういう情報は欠点を見つけた人が通常まずそのサイトに連絡して、にもかかわらずまともな対応を行わなかったときにセキュリティ関係のネットワークに流します。 そういう善意の連絡を受けて、連絡者にコンタクトをとってきてきちんと対応するところもあれば、何回指摘しても無視するところもあるようで、後者の常習犯サイト(だれもが知ってる大組織も)の場合には直に公表してしまうことも有るようです。 さて、本題に戻りますが、たいていは「セキュリティホール」以前の不始末なんですが > ある商用WEBページにセキュリティホールがあり、 ということにして。 そのセキュリティホールがほとんどのセキュリティ技術者が知らないようなものであったなら不可抗力と言えるでしょう。 確かに100%完全ということはあり得ないのです。 しかし、メーカーが警告しておりパッチも提供されており、それも相当昔もセキュリティホールであったとしたらあなたはどう思いますか? これは自動車の安全運転義務違反みたいなものです。 アメリカではそういう失態があれば最終被害者はそのサイトに損害賠償出来るとの見解があったと思います。 でも繰り返しますがほとんどの事例はセキュリティホール以前の失態ですよ。 ただのインターネット検索で個人の給与明細とかクレジットカード番号まで出てきちゃったとか。 こんなことであなたのクレジットカード番号が盗まれたとしたら、あなたはやはり「盗んだやつが悪い! 盗まれたサイトは被害者だ!」と言いますか? これは > 刺身を切る包丁で人を切ったら、包丁の製造会社も訴えられてしまう?? というのとは全く違います。 しかしこのような問題は具体的事例について議論しなければあまり生産的な議論にはならないと思いますよ。 別の例として、これまで感染したことが無いからと言ってウイルス対策を何もしないでいてウイルスに感染した途端に「ウイルスを送ったやつが悪い!」と騒ぎ立てる人を貴方ははどう思いますか?
- layer13
- ベストアンサー率47% (37/78)
セキュリティホールという言葉を勘違いされていませんか? a-kumaさんもおっしゃっているようなことで、例えば 1.実は、いつも使っている金庫の鍵が壊れていました(セキュリティホール) 2.でも、壊れているのに気が付いていませんでした 3.そこに、顧客情報をしまっておきました 4.ある時、従業員なり出入りの業者なりがそれに気が付いて情報を盗みました この場合、盗んだ人間が一番悪いですが、鍵の点検や修理を怠った管理者にも 簡単に壊れてしまうような鍵を作成した開発者にも問題が有るという事に なりますよね?知らなかったですまされると思いますか? >目的外使用での欠陥で補償要求というのは これはまた話が別ですよね。例えば、(こんな場合があるとはとうてい思えませんが) 1.電子レンジには金属を入れないでくださいと但し書きがありました 2.でも、そんなのは無視して鉄のかたまりを入れて加熱しました(目的外使用) 3.その結果、爆音と共に電子レンジがはじけ飛び負傷しました これは明らかにユーザーが悪いですよね? そういう事はしないでくださいって書いてあるのを無視したんですから。 これでは、補償要求など行えるわけがありません。 セキュリティホールは想定外の使用方法で発覚するかもしれませんが、 元を質せば開発あるいは管理で発生する欠陥に近いものです。 欠陥が発生しないようにすることはもちろん、発生した場合はそれ相応の 処置を必要とされることは明確ではないでしょうか? また、想定外の使用方法ではきちんと処理が停止するようにすることも必要です。 電子レンジに金属は入れないでください、って書くのと一緒です。 個人的見解としてはこんなところですが、ご参考になりますでしょうか?
- master-3rd
- ベストアンサー率35% (582/1641)
クラッカーが悪いのは当たり前。 でも、その当事者がいないというか姿を見せないのならその責任は管理者などに降りかかるもの。 ちょっと違うかもしれないけど、以前バタフライナイフが町からいっせいに消えたことがあるのをご存知だろうか?バタフライナイフ自体が悪いわけではないが、それを使って若者が人を刺したためバタフライナイフが悪者になってしまったという話。 関係ないじゃないかと言いたいが、どこかに責任追及はしないといけないからめぐりめぐって悪人(?)が決まるって所ですかね。
- a-kuma
- ベストアンサー率50% (1122/2211)
> a-kumaさんの例をとれば > 銀行はきちんと金庫にあずけていました。ガードマンは24時間で監視していました > しかし、銀行に10tダンプが2台つっこんで、金庫を壊し、お金が盗まれましたとさ。 > これって、金庫メーカーや銀行に問題あるの?(想定外の使用とはそういうことです) セキュリティホールを、こういう例えをすること自体がまずい。 隣に住んでる、ちょっと手の器用なおじさんが作ったお手製の鍵をかけて買い物に出かける ようなもんです。 作った人にも、それを、使う人にも責任がある。 > 責任はトラブルに関係した人間たち(開発者・管理者・クラッカー・ユーザ)に均等にあるはずなのに、 > 開発者と管理者が一番悪いの?というのが僕の疑問です。 一番悪いのは、悪さをする人なのは当然。 あくまでも、私の感覚ですが、責任の重さは、開発者:管理者:クラッカー:ユーザで 2:5:10:1かな。いや、数値化すると何か違うな。責任が悪い順番に書くと クラッカー ≫ 管理者 > 開発者 ≫ ユーザ の順かな。 また、質問にある > 目的外使用での欠陥で補償要求というのは、アンフェアでは?と思います。 これもおかしい。PL法って何故できたか考えたことあります?
- a-kuma
- ベストアンサー率50% (1122/2211)
あなたが銀行にお金を預けるとして、その銀行は、預かったお金を机の上に置きっぱなしにしているは、 終業時間が過ぎて、みんなが帰ってもドアに鍵はかかってないは、ガードマンも居ないは、って状況で、 銀行に泥棒が入って、お金が盗まれてしまいましたとさ。 銀行は全く悪くないんだっけ? # 泥棒は全く悪くないのだ、ということではないんですが 商用Webページで個人情報を扱っている、というのは、個人が持っているただの住所録とは 違うのだ、という認識が欠けているのでしょう。
- honiyon
- ベストアンサー率37% (331/872)
こんにちは、honiyonです。 個人的な意見を書きます。 勿論クラック行為は違法なものであり、してはいけないものではありますが、WEB管理者はいざ攻撃を仕掛けられた時に、WEBサーバーやデータを保護する義務があります。 その保護責任を怠った、というのは立派な怠慢行為でしょう。しっかりとした防御を行っていたにも関わらず突破され、個人情報が流れてしまったのとはワケが違います。 セキュリティホールはあってはならないものです。特にネットワークサーバーは不特定多数の人が参照するものですから、中には当然悪意をもったユーザーもいるわけですから、そのようなユーザーの攻撃に耐えなければなりません。 勿論、「全人類が善良で悪い行動をしない」という前提が出来るのであれば、セキュリティホールなんて気にしなくても良いんですけどね。それが出来ない以上、サービスを提供するものはしっかりとした防御が必要になります。 参考になれば幸いです(..
お礼
回答ありがとうございます。 保護責任というのは理解でき、かつ管理者がおうべき責務と思います。 ただ、クラッカーが玄人、厨房なんかではないとなると話は違ってきますよね 友人間では、そこが百家争鳴になるところです。僕は責任はないと思う派です。 結局、攻撃と防御の追いかけっこになってしまうので、不毛な気がしますし。 httpのページで平気で個人情報を入力している人って盗まれてもいいと思っているのか、 たんに知らないだけか、それによっても差がある気もします。 実際は法律は追いついてないので、賛否両論なんでもありありですね。 #まあhttpsだから安全ってわけじゃないですし。ネットサーフにアンパイはないと思ってます。
- master-3rd
- ベストアンサー率35% (582/1641)
webページのセキュリティーホールといってもこんなのですよ。 例えば、CGIでユーザーのメールアドレスと名前・住所なんかを整理しているとしましょう。もしかしたら、それはフリーのCGIソフトで、ユーザー情報が保存されるファイル名が「user.dat」というファイルだとします。もちろんそのファイルを見ればユーザーの情報・メールアドレスは丸わかりです。CGI作者はそうならないようにするため、「必ずuser.datの名前を書き換えてください。」とCGIのリードミーなどで注意します。 しかし、ページ作者も会社の誰かが上から作れといわれた初心者。そうなるとuser.datの名前変更の仕方もわからなければ、そんな注意書きを見落とすかもしれません。 あとは、google等で「user.dat」で検索したらユーザー情報丸わかりです。 これじゃあ管理者とか開発者・見つけた人云々ではないってのがわかりませんか? 作る側が素人過ぎるってのが問題だと思いますよ。
補足
回答ありがとうございます。質問が言葉たらずだったようです(^^; 目的外使用というとこに重きがあったのですが、文が悪くてすみません。 user.datを読めば、平文で丸分かりなんていうのは、想定できる欠陥だと思います。 ファイル名は変えました、パスワードもつけました、クラックされました。 これって管理者や開発者のせいですか?ちょっと疑問です。
補足
回答ありがとうございます。しかしながら補足させていただきます。 想定外の使用をして発覚した時って作った人がいけないんですか? a-kumaさんの例をとれば 銀行はきちんと金庫にあずけていました。ガードマンは24時間で監視していました しかし、銀行に10tダンプが2台つっこんで、金庫を壊し、お金が盗まれましたとさ。 これって、金庫メーカーや銀行に問題あるの?(想定外の使用とはそういうことです) 責任はトラブルに関係した人間たち(開発者・管理者・クラッカー・ユーザ)に均等にあるはずなのに、 開発者と管理者が一番悪いの?というのが僕の疑問です。