脆弱性の指摘あるいは不正アクセス事件の先にあるもの
- CGIの欠陥突き情報引き出した京大研究員逮捕警視庁(asahi.com)
- 不正アクセス:個人データ引き出す京大の研究員を逮捕(毎日インタラクティブ)
- HPから個人情報を不正入手、京大研究員を逮捕(YOL)
- ACCS個人情報流出で京大研究員逮捕(ITmedia)
- ACCSの個人情報漏えい問題、京大研究員を不正アクセス禁止法違反で逮捕(INTERNET Watch)
- ACCS事件でoffice氏逮捕(Slashdot Japan)
- ASKACCS個人情報流出事故問題に関して
結局こういう結果が出てしまったわけですか。ふーむ。(追記:「見せしめ」なのではないかという指摘もある)
この件に関しては目的はともかく手段を誤った、と私は考えているし、さまざまな意見を見てもこれが一般的なところだと見ていいと思う。
ただ、議論の過程で脆弱性の指摘がどうなされるべきかという指摘があったことを忘れてはならない。なんらかのガイドラインが策定されてしかるべきでは、というところまでは進んでいたと思うが、では誰がそれをなすべきかというあたりで話が止まってしまった気がしている。IPAないしはJPCERT/CCがその役割を果たすのだろうかと思っていたのだが、現時点で具体的な話は聞こえてこない。脆弱性報告を行うのが「個人」である場合が少なからずあることが障壁になっているのだろうか。
うーん、個人的にはA.D.200Xの実行委員会に期待したいところなんだけれどもなあ。個人情報の開示に深く関わってしまったがゆえに、今はトップページに
(前略)本問題を重く受け止め、今後は事前査読を行い、発表中の内容に注意することで、倫理を逸脱した発表が行われる事のないよう注意して行く所存です。また、そのような発表がなされることが無いような徹底した体制作りが完了するまで、A.D.200Xでは、カンファレンスの開催に関する活動を休止致します。
という謝罪文、そして調査報告が掲載されているのみである。ガイドラインの作成という作業はカンファレンスの主催を主目的とした実行委員会にはそぐわないかもしれないし、そもそもそこまでの人的/時間的リソースもないのかもしれない。けれども、負の面ばかりが強調されてしまっているこの事件を払拭するには、なんらかの教訓を引き出して形に残すことが必要なのではないか。そしてそこでリーダーシップを発揮できるのは、様々な意味においてもっとも現場の技術者に近い立場にあったA.D.200x実行委員会がふさわしいのではないか。と思うのである。