社団法人コンピュータソフトウェア著作権協会(ACCS)が運営するサイトから個人情報を引き出した男性が2月4日,不正アクセス禁止法違反および威力業務妨害の疑いで警視庁に逮捕された。
この男性は,セキュリティの専門家で,ACCSが運営するサイトASKACCSで使われていたCGIプログラムのセキュリティ・ホール(ぜい弱性)を発見した。セキュリティ・ホールを使って引き出した,同サイトにソフトの著作権関連の質問や意見を寄せた個人4名の情報を,2003年11月8日に行われたセキュリティ関連イベントの講演で,CGIのぜい弱性を示す具体例としてプレゼンテーション資料に掲示した。
セキュリティ・ホールは,エラー・メッセージを示すファイルの替わりに,個人情報を含んだログ・ファイルを指定して表示させることが可能になっていたというもの(関連記事1)。
同資料はイベントの間,会場からアクセスできた。2004年1月28日にはインターネットの掲示板にアップロードされ,インターネットから誰でもダウンロードできる状態に置かれていた(関連記事2)。ACCSによれば「男性はイベント終了後に,はじめて当協会宛にメールでCGIのぜい弱性を指摘し,個人情報を入手できることを通知してきた」という。
今回の逮捕を受けて、ACCSは「CGIのぜい弱性を指摘することは,セキュアなネットワーク社会を構築するために有用な側面もある。しかし,セキュリティとは本来,個人情報など重要な情報を保護するという目的のために存在する『手段』であり,今回のこの男性の行為は,手段のために目的を犠牲としたもので,本末転倒と言わざるを得ない」との談話を発表した。
(高橋 信頼=IT Pro編集)
