office 氏のほんとの罪

今さらですが。

おかしいなと思う。でも一方で罪がないとは言えないと思う。

不正アクセスなのかと問われたら変だなと思う。でも例えばこの取得した個人情報を単に開示ではなく、もっと直接的に自分あるいは第三者の利益に結びつけて利用したらやはりこれは犯罪だと思っただろう。

技術的にはこの程度のことが不正アクセスに当たるのか?というのが本音だけど、不正アクセスかどうかに強引に目をつぶったうえでなら、第四条の助長行為の禁止には該当すると思う。1ということはやはり不正アクセスの禁止等に関する法律でもって罰することは妥当ということだ。なぜか悔しい気持ちもしないではないけど。

ただ、外野だから大胆に言ってしまうけど、より深刻な問題はこの裁判の結果が一人歩きして、インジェクションなどの穴をつくのはすなわち不正アクセス2であり、今後善意による情報セキュリティの向上は望めなくなるのではないかという不安が広がることや、この程度のことを高度なクラッキングと同次元で捉えることが当たり前になってしまい得るという点だろう。

こんな言い方をすると元も子もないかもしれないけど、Web アプリ開発の現場はまだまだ幼稚だ。技術レベルの高いところなどかなり少ないと言ってもいいと思う。そんな中、低レベルのアタックを受けて大事な情報を漏らしてしまったという重大な過失を、つい見落としてしまいそうになる今回の事件の流れそのものがとてもまずいよなと思う。実は office 氏の罪は

  • 脆弱性の放置や情報漏洩から目をそらさせるスキを与えまくった
  • 不正アクセスに対する誤解を生ませた

ということなのかなと思ったりもする。無責任な言い方だけど。

  1. つまり何をもって不正アクセスとするか、という問いには答えないが罪に問えるところで罪とする。 

  2. 前後の文脈は一切抜き 

More