« 地場IT企業はどう生き残るか――長野電算(e.Gov 2004年5月) | Main | Winny開発者ついに逮捕(iNTERNET magazine 2004年5月) »

May 07, 2004

事件簿「セキュリティ技術者がテロリストとなった顛末」(iNTERNET magazine 2004年5月)

今年2月、インターネットのセキュリティ業界に激震が走った。企業や官公庁の脆弱性を外部から指摘し、活発な活動を続けてきたoffice氏が不正アクセス禁止法違反などの容疑で逮捕されたのである。彼が脆弱性を指摘したコンピュータソフトウエア著作権協会との間で、いったい何があったのか。そしてなぜ、個人情報はネットに流出してしまったのか。事件の背後には、関係者たちの壮絶なぶつかりあいがあった。

 昨年11月9日。日曜日の昼だというのに、冬を間近に控えた東京の街には肌寒い曇り空が広がっていた。
 飯田橋の駅からほど近いビルの4階に、有限会社ヨセフアンドレオンはある。書籍や雑誌、ウエブ制作などを手がけている編集プロダクションである。駅から歩いて出勤してきた社長の中川文人氏は、メールボックスに見慣れない受信メールがあることに気づいた。
 「コンピュータセキュリティインシデント報告様式」と書かれたそのメールには、ネットワーク用語が散りばめられ、専門家ではない中川氏には一読して意味を図りかねた。だが二度、三度も読み返すうち、そのメールは重要な内容を含んでいることがわかってくる。ヨセフアンドレオンが制作を請け負っている財団法人コンピュータソフトウエア著作権協会(ACCS)のウエブサイト「ASKACCS」から、個人情報が漏れているという内容だったのだ。メールはセキュリティインシデントの対応組織として知られるJPCERTコーディネーションセンター(JPCERT/CC)と、ASKACCSのウエブサーバ運営会社であるファーストサーバ(本社・大阪市)、それに同社の親会社であるクボタに同報されていた。後に、メールの「コンピュータセキュリティインシデント報告様式」というのは、JPCERT/CCが公開しているインシデントの報告テンプレートであることが判明する。
 中川氏はあわててACCSの久保田裕専務理事に電話連絡を取り、そして同時に「office」と署名のあるメールの送信者に対し、ヨセフアンドレオン名で返信した。「どなたからこのメールをいただいたのでしょう?」。返事は、夜になって戻ってきた。「あなたは本当にACCSの人間ですか? それが確認されない以上、詳しいことはいっさい申し上げられません」。office氏は後にこう語っている。「ACCSの署名ではないメールが来て、いたずらではないかと思った」
 この日、夕方から降り出した雨は夜半になって徐々に冷たく、激しさを増した。そしてofficeと名乗るメール送信者を含め、関係者はこの日から事件に翻弄されることになった。

 話はいったん、この前日の土曜日夜にさかのぼる。東京・渋谷のライブハウス「O-West」で、「A.D.2003」と題したセキュリティ関連イベントが開かれた。非営利で2001年度から計4回開かれていたこのイベントの目的について、A.D.200X実行委員代表の鵜飼裕司氏は「インターネット利用者のコンピュータ・セキュリティに対する意識の向上、およびソフトウエア開発者やネットワークサービス提供者の技術力の向上を目的としたイベント」と説明する。
 この中のショートプレゼンテーションで、ACCSのウエブサイトの脆弱性についての発表が行われた。スピーカーはoffice氏である。office氏の指摘した脆弱性は、かいつまんで言えば次のようなものだ。
 著作権とプライバシーに関する質問サイトであるASKACCSでは、相談や情報提供の質問フォームがCGI(Common Gateway Interface)によって提供されている。office氏はASKACCS上で動作しているCGIのひとつ「csvmail.cgi」に注目した。このcsvmailは入力確認のために用意されたデータ表示用CGIだったとみられる。データを渡すためのHTMLをダウンロードし、csvmail.cgiのデータ名を引数としてcsvmail.cgiに返してみたところ、CGI自体のソースが表示されてしまったのである。
 ソースの中には、ASKACCSの質問内容が記録されているらしいcsvmail.logというログファイル名があった。ビンゴ!というところだろうか。office氏はこのファイル名を再びcsvmail.cgiに返し、ログの中身を閲覧することができた。中には、①IPアドレス②氏名③年齢④住所⑤電話番号⑥メールアドレス⑦質問内容――を含む1184人分の個人情報があったのである。
 office氏がこの脆弱性に気づいたのは、約4カ月前の2003年夏のことだったという。彼はA.D.2003のプレゼンテーションでこの件を紹介するにあたって、当初は会場でノートパソコンとPHSを使ってネットに接続し、実演を行う予定だったという。ところが会場内でPHSの電波を受信できなかったため、その場で急いでパワーポイントファイルを作成。csvmail.cgiのソースや閲覧できた個人情報の一部を含む画面キャプチャーなどを上映した。
 当日、会場にいた参加者のひとりは話す。「office氏のプレゼンが始まると、会場から『おおっ』という声が上がった。かなりセンセーショナルな発表だったのは確かだ」
 イベントには、ネットワークエンジニアやセキュリティエンジニア、ソフトウエアエンジニアを中心に約250人の参加者がいた。終了後、office氏はこの脆弱性の報告書を用意し、JPCERT/CCに送信するとともに、ACCSやファーストサーバなどに同報した。午後8時23分。ACCS側がこのメールに気づく約16時間前のことである。

 11月9日以降、ACCS側とoffice氏で交わされたメールは、激しいやりとりに終始した。原因は、お互いの行動目的について当初の段階で大きな誤解があったことだった。
 ACCSは週が明けて月曜日朝、緊急の対策会議を開いた。最大の論点は、閲覧されてしまった1184人分の個人情報の漏洩をどのようにして防ぐか。ACCS関係者は「最初の段階ではわれわれはofficeという人物がどこの誰なのかも知らず、個人情報を閲覧した目的も図りかねた。メールの書き方も非常に高飛車で、しかも匿名とあって信用できなかった」と証言する。ヨセフアンドレオンの中川氏も話す。「ACCSあわてふためいてオロオロしているのを見て、楽しんでいるように見えた。おまけに1184人分の個人情報という“人質”を取られ、いつ流出するのかわからない状態で、これは脅迫ではないかと思った」
 対策会議では、記者会見による事態の公表を急ぐべきだという意見があった一方で、「officeという人物はどんな人間かわからない。下手に公表すれば相手を刺激してしまい、インターネットなどに個人情報を流出させられるのではないか」「まずどういう人物かを確認すべきだ」という声も出た。
 一方、office氏は、まさか自分が脅迫者のように思われているとは、夢にも思っていなかった。逆に、脆弱性をせっかく指摘しても、公表されないままもみ消されてしまうのではないかという不安につきまとわれていたのである。office氏には、大企業や公的機関などに対する抜きがたい不信感があった。実際、今年1月4日付の朝日新聞でも、office氏自らが取材に対してこう語っている。「個別に通告するよりも、騒ぎを起こして、全サイト運営者に手直しを迫る必要があった。それには『証拠』を見せることが必要だ。ネットのセキュリティー問題を扱う民間団体に、様々なサイトの欠陥を指摘しても、「証拠を出せ」と門前払いされるばかり。だから、だんだん指摘の仕方が過激になった」
 ACCSは、閲覧した個人情報を消去するよう要求した。だがoffice氏は「証拠隠滅のようなことはできない」と拒否。そしてメールの中で「私の行動の優先順位は、①自分の身を守る②自分自身の手による情報公開により、インターネット全体の安全性向上を図る③ACCSのユーザを守る、ということになります。わたしの身が守られ、情報公開が行われない限り、情報の削除はできません」と説明した。office氏は逮捕後、接見した弁護士にこう話している。「ASKACCSはとんでもないCGIを使っていて、目も当てられないひどい状況だった。それなのに個人情報を削除しろと執拗に迫られ、ACCSは自分の落ち度をごまかそうとしているように見えた」
 一方、A.D.200X実行委の側も10日になってACCSとoffice氏の間で起きている事態に気づき、ACCS側に即座に連絡を取った。

 ACCSは11月11日夜、個人情報が流出した人に対して事実の説明とお詫びを記したメールを送信した。ほぼ同時に、ACCSが「ACCS運営ホームページのセキュリティ問題について」と題する文書を公式サイトで公開し、12日夕に記者会見を開くことをメディアに通知した。
 文書は「ASKACCS上の質問フォームから記入いただいた方の個人情報が、他のインターネットユーザーによって入手できる状態に置かれていたことを確認いたしました」とある。この時点では、ACCSはoffice氏だけが漏洩した個人情報を見ている思いこんでいた。だがこの後のメールのやりとりの中で、office氏が「方法はA.D.2003で公開しました。他の人も同じようなことをやっているかもしれないので、他の人も個人情報を入手している可能性があります」と説明し、初めてA.D.2003のショートプレゼンテーションで個人情報が公開されていた事実を知ることになる。
 ACCS関係者の証言。「office氏のメールの中にA.D.200X実行委のメンバー名があり、その人が偶然ACCS会員企業の社員だった。このためすぐに連絡を取り、仲介に入ってもらった」。この直後、office氏は「個人情報を削除しました」というメールをACCSに送ってきている。この関係者は「仲介してもらったことでoffice氏が態度を軟化させたのかもしれない」と推測している。
 この一連のやりとりで、双方の誤解は若干は解消する。office氏も後にACCSに送ったメールの中で、「ACCSが、わたしが情報を流すと疑っているとは想像もしていなかった。私自身の自信が肥大していたのかもしれない。そんなことは露とも思わなかった」と書いているのである。

 office氏とは、どんな人物なのだろうか。
 40歳、京都大工学部卒。文化庁長官で京都大名誉教授の河合隼雄氏の甥でもある。事件当時、京都大学国際融合創造センターの非常勤研究員だった。だが彼の実名や肩書きよりも、セキュリティ業界では「office」の名前の方が通りは良かった。官公庁や大企業などのウエブの脆弱性を次々と指摘し、イベントで公表したり、雑誌に寄稿するなどの活発な活動を長く続けてきたからである。
 彼の行動が注目されてきた背景には、日本独自のセキュリティ事情がある。日本の組織はセキュリティに関する意識が低く、監査を受けたがらず、発見された脆弱性を隠そうとする体質は依然として蔓延している。公にされている数倍のセキュリティインシデント(事故)が起き、しかしひそかにもみ消されているのではないかともささやかれている。そんな状況の中で、office氏の活動は日本の「隠蔽風土」に風穴を開ける存在として脚光を浴びてきた。
 そしてその活動の一環として、A.D.2003におけるショートプレゼンテーションがあったのである。office氏は後に、弁護団のひとりである若槻絵美弁護士にこう語っている。「ASKACCSの脆弱性を指摘することになったのは、セキュリティとプライバシーというキーワードで検索し、検索結果を順に見ているうちにたまたまぶつかっただけだった」

 11月20日、office氏は謝罪のために東京・護国寺にあるACCS事務局を訪れた。応対に出たのは、久保田裕専務理事。だがこの会談は、双方の誤解を解消するどころか、結果的に逆効果だったようだ。
 久保田氏は少年ラグビーの指導も行っているスポーツマンで、非常に精力的な人物である。技術者気質のoffice氏とは、お互いに分かり合える部分は少なかったのだろうか。久保田氏は後に、ニュースサイト「INTERNET watch」のインタビューにこう答えている。
 「警察からはできれば応じないでほしいと言われたが、謝罪したいのなら人として会おうと判断した。しかし残念ながら、そのときの彼の言動からは謝罪の意志がまったく感じられなかった」
 この場には、ヨセフアンドレオンの中川氏も同席していた。中川氏が「脆弱性の指摘なら、ほかにも方法はあったんじゃないですか?」と聞くと、office氏は「事件を起こさないといけないと思ったんです」と答えた。
 「私は『犠牲になる人のことを考えたんですか? それじゃあテロリストの考え方じゃないですか』と反論した。それに対して、office氏はこう言ったんです。『前から私はテロリストでした。これまでもそういうやり方をしてきたんです』と。私には開き直りに思えた」

 11月下旬、事件は再び転回点を迎える。office氏が入手した個人情報が、実は不特定多数に対して公開されていたことが明らかになったのである。
 きっかけは、ACCSに届いた1通のメールだった。A.D.2003の参加者だったと名乗るそのメールには、こう書かれていた。「会場では、office氏の上映したパワーポイントファイルが無線LAN経由でダウンロードできました。私もダウンロードしたひとりです。たいへん申し訳ないことをしたと思っています。ファイルはハードディスクから削除しました」
 データはoffice氏しか持っていないと信じ込んでいたACCS側は、驚いてA.D.200X実行委に問いただした。実行委からは「パワーポイントファイルは確かに会場のファイルサーバに入っていたが、スタッフがダウンロードしただけで、不特定多数には公開していない。すでに削除してある」と返事が来た。
 しかしこの後、ACCSは警視庁から「当日、捜査員が会場に内偵に入っていて、無線LANでダウンロード可能な状態にあったことを認識していた」と知らされる。このころから、A.D.200X実行委とACCSの関係もぎくしゃくし始めた。ACCS関係者は「この時期から、A.D.200X実行委をどこまで信用していいのかわからなくなり、積極的にはこちらから連絡を取らなくなった」と証言する。
 この件は、事件を収拾しようと動いていたA.D.200X実行委にとっても後々悔やまれる結果となった。実行委の鵜飼氏は「ダウンロードの状態の把握に誤りがあった。だが実行委としてACCSへの報告を怠り、これが後日、愉快犯による意図的な情報流出を引き起こした要因となったと思う」と話すのである。
 いずれにせよ、データは外部に流出していた可能性が浮上した。最悪のケースも想定しなければならない。年末が押し迫っていた。12月3日、ACCSは弁護士やセキュリティ専門家などを集めた「事故調査委員会」を設置し、事件の原因や問題点についての本格的な調査を開始した。

 年が明けた。そしてお屠蘇気分も抜けない1月4日、朝日新聞が驚くべき記事を掲載した。1面トップに掲載されたその記事は、こんな見出しだった。
 「個人情報守れぬサイト 危険性指摘の研究員が1200人分引き出す」
 office氏の活動に焦点を絞ったその記事は、リードに「警視庁は不正アクセス禁止法違反の可能性があるとして情報収集している」とあり、警察の本格捜査が進んでいることが初めて明らかになったのである。
 この記事に関連し、社会面にはoffice氏のインタビューも掲載された。見出しはこうだ。「研究員のサイト侵入、警鐘逸脱し過激化 手直し迫ろうと騒ぎ」。その中にはoffice氏自身の言葉として、こんな発言も紹介されている。
 「(サイトに入るための)攻撃コマンドが決まったときはすかっとする」
 若槻弁護士が話す。「朝日の記事は、office氏が取材を受けた際に予想していた記事とはまったく違っていた。そもそも『すかっとする』というのは、『そういうことを言うクラッカーもいる』という意味で言っているだけで、自分がすかっとするとは言っていない。office氏は抗議の内容証明郵便を朝日の本社に送っている」
 しかしこの記事は、一般社会だけでなくセキュリティ業界にもたいへんな波紋を巻き起こした。「果たしてこうした方法による脆弱性指摘は是なのか」「office氏という一個人をバッシングすれば世の中の危険なCGIがなくなるわけではないだろう」。さまざまな議論が方々で行われた。
 一方、流出させてしまった個人情報に苦慮していたA.D.200X実行委も、苦渋の選択を迫られていた。鵜飼氏は「A.D.2003の参加者の中に、実行委に対してさまざまな嫌がらせを行っていた人物が一部混じっており、そうした人物に事態が知られれば、愉快犯的に個人情報を公開される可能性が非常に高いと考えていた。このため参加者全員に連絡を取ることを躊躇していた」と話す。だが朝日の記事によって、事態は公になってしまったのである。
 実行委は最終的に、個人情報の流出が懸念されているため、すみやかにパワーポ員とファイルを削除してほしいという内容のメールを参加者全員に送った。だがこれは、結果的には裏目に出たのかも知れなかった。インターネットの匿名掲示板に、office氏の作成したパワーポイントファイルがアップロードされてしまったのである。
 ファイルが「2ちゃんねるアップローダ」に出現したのは、1月27日午後8時43分。約1時間後には、2ちゃんねるのセキュリティ板にこの件についての書き込みが行われた。
 「あぷろだにあるファイルは本物でつか? ADに逝った人、確認きぼんぬ。怖いのでまだダウソしてないへたれでつ」
 ACCSもA.D.200X実行委もすぐにこの書き込みに気づいた。そして間もなく、アップロードされたファイルが個人情報を含む“本物”であることが確認された。かねてから恐れていた事態が、とうとう現実になってしまったのである。
 A.D.200X実行委の鵜飼氏は、すぐに2ちゃんねるの該当スレッドに「アップロードされた方、およびダウンロードされた方は至急削除願います」と書き込み、削除依頼版でも削除を要請した。だが情報は急速に広がる。午前11時過ぎには、2ちゃんねるのレンタルサーバ版にもアップロードされたファイルへの直接リンクが書き込まれた。2ちゃんねる側の対応によって、ファイルが削除されたのは午後4時になってからだった。約21時間あまりにわたり、4人の個人情報が掲載されたパワーポイントファイルが無防備に晒されてしまったのである。
 鵜飼氏は「一斉連絡による資料削除の要請が、逆に2ちゃんねるでの流出につながった可能性は否定できない。被害者の方々に対して非常に心苦しく思う」と苦渋の胸の内を打ち明ける。

 それにしても、なぜこのファイルはA.D.2003の会場でオープンにされてしまったのだろうか。
 officeが発表を行ったショートプレゼンテーションは、参加者が誰でも気軽にコンピュータ・セキュリティに対する話題を発表できるようにと用意されたコーナーだった。このため「内容の事前査読などは行わない」と事前に参加者に告知されていた。とはいえ、実際には発表資料については実行委スタッフが一度は目を通していた。しかしoffice氏が電波受信の不具合から現場でパワーポイントファイルを急きょ作成し、発表直前にプロジェクタ投影用のパソコンにファイルを転送したことなどから、時間的問題もあって査読は行われなかった。
 しかしプロジェクタによって上映された時間は、長くとも十数秒程度である。上映されただけでは、個人情報漏洩は大きな問題にはなっていなかっただろう。最大の問題は、このファイルが無線LANによって会場の誰にもダウンロード可能な状態になっていたことだった。
 これについてA.D.200X実行委の側はこう説明する。「プレゼンテーション資料を参加者用のサーバにアップロードすることは以前から話し合われていた。過去のイベントでも、同様の目的で参加者用サーバが設置され、office氏の資料もアップロードされていた。A.D.2003でも、当然彼は了解していると思ったし、彼からもその件に関する事前連絡はなかった」
 一方のoffice氏は、まったく逆の受け止め方をしていた。彼の供述。「資料を会場でダウンロードできるとは知らなかった。以前のイベントでは事前にダウンロードできるようにしていいかどうかを聞かれたので、今回もダウンロードできるようにする場合は問い合わせがあると思っていた。プロジェクタ投影用パソコンにデータを移すのも拒否したが、5分間で次々と発表するショートプレゼンテーションの効率上無理だと言われ、しかたなく了解した」
 不幸な行き違いだったというべきだろうか。しかしいったん流出した個人情報を、完全にサルベージするのは不可能に近い。A.D.200X実行委とACCSは、現在も問題のパワーポイントファイルがインターネット上に流出していないかどうかの監視活動を続けている。今のところ、これ以外にネット上に出現した形跡は見つかっていない。

 そして1週間後、office氏は逮捕された。逮捕したのは警視庁ハイテク犯罪対策総合センターと池袋署。容疑は不正アクセス禁止法違反と威力業務妨害である。officeのメールによってASKACCSが閉鎖を余儀なくされたことについて、ACCSの業務を妨げた業務妨害であると判断されたのである。
 朝日新聞の報道によって警察の捜査が進められていることが明らかになって以降、関係者たちにとっては予想通りの展開だった。
 しかしひとつ、水面下で一見小さな転回点があった。A.D.2003に始まる一連の事件は、流出してしまった個人情報の保護が焦点だった。しかしこの逮捕によって、事件の展開はすこしずつねじれ始めるのである。以降、office氏の行為が不正アクセスだったかどうかという論点へと、位相がずれていく。
 office氏は京都市の自宅から遠く、東京の池袋署で23日間にわたって拘留された。当初、office氏は黙秘し、住所氏名や経歴などしか明らかにしなかった。途中からは接見に日参していた若槻弁護士の薦めで、ASKACCSのCGIに対しての行為自体は認め、しかし不正アクセスであることは認めないという路線へと転換した。だが警察の取り調べは厳しかった。
 「あんたは妻も子もいるだろう。叔父さんも有名な人じゃないか。自分の問題じゃないんだぞ。家族に迷惑をかけていいのか」
 そんなことを言いながら執拗に迫る取調官に対し、office氏は「あれは絶対不正アクセスじゃない」と主張し続けた。
 若槻弁護士は「調べのきつさには本当に音を上げかけていた。だが検事とも不正アクセスについて議論し、最後まで何とか防ぎきった。供述調書は本人もそれなりに納得のいくものになった」と話す。
 拘留満期後の2月24日、office氏は東京地裁に起訴された。罪名は不正アクセス禁止法違反。起訴状は、次のように書かれている。
 「アクセス制御機能を有するサーバコンピュータに、アクセス制御機能による特定利用の制限を免れることができる指令を入力し、制限されている特定利用をしうる状態にさせ、もって不正アクセス行為をした」
 これから長い裁判を戦おうとしていたoffice氏と弁護団には、嬉しい誤算があった。起訴の罪名から、威力業務妨害が省かれていたのである。警察関係者によると「裁判を進めていく中で、罪名をひとつに絞った方がいいと検察は判断したようだ」という。
 再び若槻弁護士。「過去の刑事裁判を見れば、威力業務妨害で戦うのは難しく、被告側にとっては明らかに不利だった。だが検察が不正アクセス一本に絞ったことで、裁判を戦いやすくなったと思う」
 公判では、弁護側はセキュリティの専門家の意見書などを証拠として申請していく方針だ。HTMLを書き換えてCGIを操作したoffice氏の行為は、不正アクセスには当たらないということを全面的に主張していくという。

 ACCSは2月27日、パワーポイントファイルによって個人情報を流出された3人とともにoffice氏を相手取り、総額約750万円の損害賠償請求を東京地裁に起こした。久保田専務理事はINTERNET watchのインタビューに「賠償金が欲しいというのではなく、彼がやった行為の責任を法的に明確にしたい」とその動機を説明している。
 一方、A.D.200X 実行委員は、今後のカンファレンス活動のいっさいを無期限に取りやめると宣言している。代表の鵜飼裕司氏は話す。「今回の個人情報漏洩を引き起こしたoffice氏の発表を予測して防ぐ事ができなかったことを、被害に遭われた方々に深くお詫びしたい。また、カンファレンスでの河合氏の発表に注意を向けず、その結果、発表と資料配布の中止を実現できなかったということについても重ねてお詫びしたい。河合氏の行為は、該当者の方々のプライバシーを著しく損なうものであり、非常に遺憾に思う。また同時に、そのような発表の場を結果的に提供することになってしまったA.D.200Xは、被害の拡大を防ぐためにも、個人情報の漏洩拡大防止に全力で取り組むべきであると強く認識している」

 office氏の行為は、何をもたらしたのか。
 ヨセフアンドレオンの中川氏は「衝動に駆られてやったのか、本当に戦略があってやったのか、それとも引っ込みがつかなくなってやったのか。本当の真意を聞きたいと思う。公判ですべてを明らかにしてほしい」と話す。しかし若槻弁護士は、office氏の人柄をこう話す。「彼は一貫して、みずからの正しさを信じている。ただそれについて他人がどう思うのかとか、どう受け止められるのかといった点については、気持ちの上で後回しになってしまう傾向があるかもしれない。真実に対し、徹底的にこだわっていく気持ちがとても強い人だと思う」
 ACCS関係者のひとりは事件後、「彼はヒロイックで孤独なテロリストに見えた」と打ち明けた。
 初公判は、5月26日にスタートする。

CGIの脆弱性はなぜ放置されたか

 office氏の裁判で争点となるのは、CGIの脆弱性を突いて個人情報を含むログファイルを閲覧した行為が、果たして不正アクセスに当たるかどうかという点である。弁護団は「問題のCGIにはアクセス制御機能はなく、不正アクセスではない」として全面的に争う方針だ。
 このCGIは、大阪に本社のあるレンタルサーバ企業、ファーストサーバ社が顧客に「標準CGI」という名称で提供されていたものである。なぜ脆弱性が放置されていたのだろうか。
 ファーストサーバがACCSやヨセフアンドレオンなどに説明した内容によれば、同社は事件発覚1年前の2002年末、社内セキュリティ監査によって標準CGIの脆弱性を発見していたという。この時点で暫定対応版を作成し、年内にプログラムを置き換え作業を進めた。だが置き換えは一部の顧客に関しては行われていなかったという。
 ACCS関係者が説明する。「ファーストサーバは、標準CGIをカスタマイズしていた顧客のプログラムは置き換えを行っていなかったと説明している。しかしASKACCSで使われている標準CGIはカスタマイズされていなかった。ひょっとしたら置き換えは行われたが、その後何らかのタイミングでACCS側が古い標準CGIを上書きしてしまったのかもしれない。いずれにせよ、今となっては原因は突き止めようがない」
 年が明けて2003年3月、ファーストサーバは標準CGIの改良版をリリース。さらにoffice事件直前の同年8月には、旧標準CGIについてサポートを終了することを顧客にメールで通知した。そのメールには、こう書かれている。
 「8月18日をもって旧標準CGIの新規インストール機能のご提供を終了し、同時にサポートについても終了させていただきます。※インストールはできなくなりますが、セキュリティ上の問題が発見されない限り、そのまま継続してご利用いただくことは可能となっております」
 ヨセフアンドレオンの中川氏は「年内にASKACCSの質問コーナーをリニューアルする計画を進めており、その段階でまとめて更新を行った方がいいと考え、そのままにしていた」と話す。ACCS関係者も「こちら側のタイミングの問題に加え、ファーストサーバのメールに『セキュリティの問題が発見されなければ継続して利用できる』とあったので、問題なく使い続けられると思った。不適切な表現だったのではないか」と指摘する。
 いずれにせよ、重大な脆弱性を放置したまま標準CGIは使い続けられ、結果的にoffice氏の事件を引き起こす結果となった。
 この件について、ファーストサーバ社の広報担当は筆者の取材に対し、「現在、刑事裁判が進行中との事情から、残念ながら、コメントさせていただくことができません」とだけ答えている。

|

« 地場IT企業はどう生き残るか――長野電算(e.Gov 2004年5月) | Main | Winny開発者ついに逮捕(iNTERNET magazine 2004年5月) »

Comments

The comments to this entry are closed.

TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/46935/2501622

Listed below are links to weblogs that reference 事件簿「セキュリティ技術者がテロリストとなった顛末」(iNTERNET magazine 2004年5月):

« 地場IT企業はどう生き残るか――長野電算(e.Gov 2004年5月) | Main | Winny開発者ついに逮捕(iNTERNET magazine 2004年5月) »