　いや，合ってるよ - たぬきん貧乏日記　〜No Worry, No Hurry. Eat Curry!〜

　
　http://d.hatena.ne.jp/darkwood/20101026/1288098315
　外形的にはそう見えることは否定しないけれども。
　
　まず，AD200Xがチャレンジングな企画だったことは挙げておく必要があるかな。当時，日本で情報セキュリティを扱う勉強会は無く，もちろんカンファレンスやセミナーもほとんど無かった，そんな状況下で，DefCon Japan として立ち上がった企画が，AD200Xなのよね。
　つまり，blackHatやDefConのような，脆弱性情報や攻撃手法を直接的に扱う試みだった，ということが，まず一点目。
　次に，当時はIPAの脆弱性ハンドリングも無く，ようやくマイクロソフトがゼロデイが公表される前にパッチを提供するようになり始めた頃というのも重要。Windows95の頃散々叩かれ，Windows98でWindows Updateを搭載，Windows2000でそれが標準で動作するようになった。「セキュリティパッチを当てる」という行為が広まり始めた頃でもある。それでも，個人向けの9x，事業向けの2kという感覚で，一般の人にとっては（企業の中の人含む），情報セキュリティといえば問題を隠すことだった。これが，二点目。
　三点目は俺の実体験等から触れておこう。2002年ごろは，日立ソフトウェアのオンラインショッピングサイト（今はもう無い）や，NHKの公式サイトにクロスサイトスクリプティングの脆弱性があって，通知したけれども直らなかった。で，しびれを切らして画面全体を書き換える手法を公表したところ，やっと直った，という経験がある。企業によっては，俺ら指摘者の行動を脅迫や恐喝のように扱うところもあった。今のように「脆弱性は修正すればよいもの」ではなく，脆弱性は「あると知られなければよいもの」として扱われていた時期だ。有名な一例を挙げよう。2002年5月，TBC が WEB の公開領域に置いていた利用者個人情報のデータファイルに誰でもアクセスできることが公になり，２ちゃんねるなどで「祭り」となった。このとき TBC は「不正アクセスだ」として告発を試みている。当時の企業の対応なんてものは，そんなもんだった。
　同様の例がこちらに列記されていた。参照するといい。
　http://www.nikkeibp.co.jp/archives/356/356170.html
　
　これらの状況があって，当時アクティブだった指摘者は煙たがられていた。脆弱性を探し当てて直せ直せと強要してくる，そんな風に扱われていたと言っても，過言ではない。
　
　で。
　
　いくつか問題を混同してしまっているようなので，正しく扱えるように整理しよう。

そもそもは、
　脆弱性を利用してダウンロードした[ 個人情報 ]を、セキュリティ関連の発表会場で[ 勝手に公開 ]し、さらに参加者のコンピュータからLANで[ ファイルにアクセス可能 ]になっていた。
という事であり、[ 勝手に個人情報を公開 ]したのですから、その時点でアウトでしょう。

　違う。罪に問われたのは「不正アクセス」で，個人情報に関しては民事の扱い。不正アクセス禁止法の判例がなく，解釈が揺れていた時だっただけに議論を呼んだ。判例ができたので，今は議論されていない。
　不正アクセスとされたのは，TBCの例と違って，CGIを経由してアクセスした先のデータファイルが，FTP経由でアクセスする範囲にあったことが理由。CGIのセキュリティホールを使ってデータにアクセスした行為が，FTPの認証を回避して特定利用（つまり，情報を読み出す）ができる状態にしたことが，不正アクセスなどの禁止等に関する法律の第三条２の三に抵触すると判断されたから有罪になった。
　罪はACCSに告発されたのではなく，会場に入っていた警察官が罪を認識したことで捜査が行われた。
　
　不正アクセス禁止法に抵触したことで罪となったわけだ。個人情報を公表したことで罪となったわけではないことに注意。よく間違えられるんだけど，罪となった行為を取り違えると，その後の全ての立脚点がおかしくなる。
　

　再三記載しますが、[ 勝手に個人情報を公開 ]した事が問題視されたのであって[ 魔女狩りのような雰囲気など無かった ]ハズですし、[ 脆弱性を探し回る怪しい奴がいる，なんとかしないと ]などという雰囲気も有りませんでした。ましてや[ 見せしめ的なものもあったのかもしれない ]は事実無根でしょう。

　前述の通り，罪と問題視されたことを混同してはいけない。魔女狩りのような雰囲気云々ではなく，魔女狩りとして扱われた一面があることは確かだ。「言ってみれば魔女狩りだった」とは，当時あれを魔女狩りとして扱った人の声の代弁でもあるし，俺も当時そう思っていた。次は俺かもしれない，とも。
　/.Jのスレッドを見れば当時の雰囲気がわかるだろう。
　http://slashdot.jp/security/article.pl?sid=04/02/04/0531248
　セキュリティゴロ，なんて言葉もあった。
　ヨセフアンドレオンの「声明文」 http://www.josephandleon.co.jp/seimei.html を見れば，典型的な企業の対応がわかる。
　http://dw.diamond.ne.jp/yukoku_hodan/200406/
　逮捕から少し経った時点での対談でも，47氏とofficeは並べて「見せしめとしてやられた」等と触れられている。
　
　つまり，officeのミスがこれ幸いと検挙された，と言っても言い過ぎではないと考える。
　ミスとはつまり公表手順の誤り。先にACCSに通知していて，かつ，個人情報を伏せていれば，刑事・民事共に責任を問われることは無かっただろうと考える。そうしなかった理由は，想像がつく。彼でなければ俺もそうしていたかもしれないからだ。
　
　で。

* セキュリティの専門家が300人も参加者していながら、誰も問題行為として会場で指摘しなかったらしい点( *1 )。
* この専門家達が問題の人物を擁護した事。
* この専門家達が[ 個人情報を公開した事 ]に触れないようにしているように見受けられる点( *2 )。

　あらかた間違っている。
　第一点。当時，セキュリティ上の問題点の指摘はどんどん過激になっていっていた。Exploitの公表はパッチの公表前（つまり，修正前）でも平気で行われていた。そのような背景から，当時の参加者が止めなかったのは，それなりに頷ける。
　第二に，会場で問題視した人は，いた。（そして，その指摘を受けて，スタッフが資料公開用サーバを確認して，プレゼン資料を削除した）
　第三に，当時は不正アクセス禁止法の解釈が定まっておらず，擁護する意見もあったことは当然のこと。さらに第一点目で指摘した事情から，背景として「これで逮捕？」という意識があったことも指摘できる。
　第四に，個人情報を公開したことが罪に問われたのではないこと。つまり，「逮捕された」という事実を扱う際に，個人情報を公開したかどうかは関係しないこと。無関係なことに触れなかったことは何ら問題にならない。
　
　補足の点も誤りがある。(*1)の点。「当然、イベント後も何も対応していない様子。」は誤り。我々当時のAD200XスタッフはACCSおよび個人情報が開示された四名に対して面談に行き，謝罪を行っている。また，少なくとも私はネット上にその資料が流出していないかどうか，5年ほど追跡を行った。
　(*2)の点。「実際、twitterでも触れられていません。一番肝心な部分なのに。」前述の通り，全く重要な点ではない。逮捕され，有罪判決を受けたという点においては。
　
　もちろん，当時アクティブだった人の全てが俺と同じ感覚だとは言えない。人それぞれだろうから。しかし，実際に社会として脆弱性のハンドリングがうまく行われておらず，特にアクティブな報告者にとっては企業の対応は不誠実としか受け止められず，それを是正するためにどんどん刺激的な，過激な方向に走っていたのも事実だ。そして，企業側はそれを見て脆弱性の指摘者をどんどん疎ましく思っていただろうことも，今ならわかる。だがしかし，今の感覚で当時のことを判断するのはよくない。当時どうだったか，何があったのか，なぜそうなったのかを，事実に基づいて考えなければならない。
　
　当時はヨセフアンドレオンのように考える企業は少なくなかった。俺の経験でいえば，日立ソフトやNHKも似たようなものだった。おそらく俺は彼らにとって鬱陶しい存在だったろう。情報セキュリティが根付くほんの少し前，まだ俺たちが根無し草だった頃の話だ。
　当時，あの事件は魔女狩りの一面があった。それは確かなことだ。もちろん，俺たちスタッフが資料を事前に確認しなかったことも原因の一つにある。officeには実績があり，信頼していた。登壇する人を信頼していた。だから気を許してしまった。大きなカンファレンスではそのようなことをするべきではなかった。
　
　AD200Xのスタッフとしての責任は問われ続けるだろうし，それは受けなければならないだろう。が，現在の判断基準と，不正確な情報で過去を判断してしまうのは危険だ。
　俺は事実と記憶に基づいて話している。俺はあの日スタッフとして参加していて，あの時は楽屋に居た。あの後，スタッフとして謝罪に足を運び，怒られながら頭を下げた。長い間，２ちゃんねるやWinny，あちこちの掲示板を巡回して，資料が流出していないか探し回った。
　それでもなお言う。あの時，あの逮捕は，ある一面では見せしめの意味もあった，ある一面では魔女狩りの性格もあった逮捕だと。テレビカメラの前で，自宅からパトカーに乗せられる様子まで放映されたのは見せしめ以外になんと言えるだろうか。会場に警察官が潜り込む，それ自体が，あの当時俺たちが胡散臭がられていた，魔女だった証拠ではないのかと。
　
　あの事件で，逮捕，有罪判決が誤りだとまでは言わない。確かにやりすぎだった。しかし，世情を背景にしているとは言える。その意味で，「言ってみれば魔女狩りだった」と言っておく。俺も狩られる側だったとも，俺がミスしていたら逮捕されたのは俺だったとも。
　さらにそれを踏まえて，それでも，罪は罪であったと表明しておく。狩られる魔女はうかつだったのだと。あの当時，魔女は狩られてはならなかった。魔女は狩られず，その魔力を振るうべきだった。そして，軟着陸するべきだった。魔女と人とが共存するべきだった。
　
　しかし，魔女は狩られてしまった。だから魔女たちは森の奥深くに逃げ込んでしまった。そして，魔女であることを隠して人に紛れて暮らすようになった。もうあの頃のような魔女はいないし，居られる場所もない。
　今の判断基準では，もう許されることではない。だから，今後あのような事件は起こしてはならない。
　当時の判断基準では，ある意味，仕方が無かった。今とは違った。
　
　あの事件は当時，魔女狩りの一面があった。判決によって罪が確定した後，そうではなくなった。
　officeは最初に狩られた魔女で，最後に狩られた魔女だ。あの後魔女はいなくなった。それが事実だ。
　今の判断基準と当時の判断基準を混同してはならない。事実をもとに判断しなければならない。そうでなければ，誤った結論を導いてしまう。注意したほうがいい。
　