- 締切済み
これってどうなの?
友人間で、ちょっと議論の的になっていることがあるので、みなさんの意見(回答)をお願いします。 ある商用WEBページにセキュリティホールがあり、ここから個人情報が外に流れでてしまいました。 最近の報道だとWEBページの管理者に責任があるように言われていますが、攻撃側はどうなんでしょう。 攻撃する人間こそトラブルの発端であり、一番の責任者だと思うのですが。 もちろん、WEBページ管理者の責任もあるとは思いますが、そもそもセキュリティホールの 多くは目的外使用(想定外の使用方法)で発覚することがほとんどですし、管理者や開発者は 目的外使用にまで責任を負わなければならないのでしょうか。 #極論を言ってしまうと刺身を切る包丁で人を切ったら、包丁の製造会社も訴えられてしまう?? 個人的な感覚だと、目的外使用での欠陥で補償要求というのは、アンフェアでは?と思います。
- apnea
- お礼率80% (72/89)
- ネットワーク
- 回答数8
- ありがとう数7
- みんなの回答 (8)
- 専門家の回答
みんなの回答
- JOYBOX
- ベストアンサー率52% (75/143)
これは、サーバー上に履歴が残るものをその商用WEBページが使用している場合でしょう! 例えば、メール送信した時にその送信者のメールの履歴をサーバー上に残すものや自分のHPを登録出来るサイトなどでCGIを使って管理しているサイトなどではインターネット上に個人情報が格納されています。 いづれもCGI等のコンテンツを使っている場合で、ハッカーにかかれば100%安全とは言えません。 セキュリティを強化するといっても100%万全の対策を取ることは不可能です。 どういう対策を取ってもハッカーにとっては抜け道を探し出すことは可能です。 商用WEBページの管理者の責任を問うとしても、サーバーへのアクセスの際のIDやパスワードの管理を徹底して貰うとか、各ディレクトリにせいぜい空のindex.htmlファイルを置いて貰ってサーバー内の各ファイルを見えにくくする対策を取って貰うとかぐらいしかないでしょう。 パソコンならファイアウオールソフトを入れて防ぐとか複数のパソコンをルータで繋いでランを組むことで不正侵入を限りなく防ぐとか方法がありますが、ネット上のサーバーにアップしているファイルをそういったソフトで防ぐという事もなかなか難しい問題です。 それから他の方の回答でファイル名を替える事が有効とありましたが、サーバー上のファイルを全て把握されてしまったら例えファイル名を替えても同じ事です、すぐ分かってしまいます。 攻撃側の責任については、もちろん犯罪となり罰せられるべき事ですがその相手を調べる事は非常に難しいものです。 不正をしようとするものは身元をつかまれない為に、韓国や香港などのプロバイダー等を迂回する措置等をを取った上でアクセスして個人情報を盗み出すような事をしているのが当たり前の話です。 結論は、メール用のCGIはサーバー上に履歴を残さないものを使う他自分のHPを登録出来るサイトなどではCGIを使わずにあくまでパソコン上にしか個人情報等を残せない形にしファイアウオールソフトでガードする或いは複数のパソコンをルータを使ってランを組んだりすることで限りなく万全に近い対策となります。 CGIを使ってサーバー上に履歴が残ってしまうものが全盛の状態ですから、商用WEBページの管理者の責任を問うのも限界があるでしょう!
> 最近の報道だとWEBページの管理者に責任があるように言われていますが、 > 攻撃側はどうなんでしょう。 どのサイトの件なんでしょうか? 状況によって変わってくると思います。 誰もが知らなかったような手法を用いて、周到な準備のもとに狙い打ちされたというなら不可抗力に近いことはあるでしょうね。 でもそういうような「個人情報漏洩事件」は私は聞いたことが有りません。 「なにやってんだよ! ばっかじゃないの?」というものがほとんどです。 漏洩させてしまった方は「ハッキングされた! 100%完全な対策は不可能」なんてコメントをして、報道も何の分析もせずそれをそのまま紙面等に乗せる場合がけっこう多い様に思います。 我々は人ごとではないので、いったいどういう状況であったのかの報道を探しますが、 「ばっかじゃないの?」はその上での感想です。 もうひとつ、いろいろな公的HPのセキュリティチェックをしている人達がいますが、 そちらからの情報でも「あ~あ~(;^_^A 」が多いですね。 そういう情報は欠点を見つけた人が通常まずそのサイトに連絡して、にもかかわらずまともな対応を行わなかったときにセキュリティ関係のネットワークに流します。 そういう善意の連絡を受けて、連絡者にコンタクトをとってきてきちんと対応するところもあれば、何回指摘しても無視するところもあるようで、後者の常習犯サイト(だれもが知ってる大組織も)の場合には直に公表してしまうことも有るようです。 さて、本題に戻りますが、たいていは「セキュリティホール」以前の不始末なんですが > ある商用WEBページにセキュリティホールがあり、 ということにして。 そのセキュリティホールがほとんどのセキュリティ技術者が知らないようなものであったなら不可抗力と言えるでしょう。 確かに100%完全ということはあり得ないのです。 しかし、メーカーが警告しておりパッチも提供されており、それも相当昔もセキュリティホールであったとしたらあなたはどう思いますか? これは自動車の安全運転義務違反みたいなものです。 アメリカではそういう失態があれば最終被害者はそのサイトに損害賠償出来るとの見解があったと思います。 でも繰り返しますがほとんどの事例はセキュリティホール以前の失態ですよ。 ただのインターネット検索で個人の給与明細とかクレジットカード番号まで出てきちゃったとか。 こんなことであなたのクレジットカード番号が盗まれたとしたら、あなたはやはり「盗んだやつが悪い! 盗まれたサイトは被害者だ!」と言いますか? これは > 刺身を切る包丁で人を切ったら、包丁の製造会社も訴えられてしまう?? というのとは全く違います。 しかしこのような問題は具体的事例について議論しなければあまり生産的な議論にはならないと思いますよ。 別の例として、これまで感染したことが無いからと言ってウイルス対策を何もしないでいてウイルスに感染した途端に「ウイルスを送ったやつが悪い!」と騒ぎ立てる人を貴方ははどう思いますか?
- layer13
- ベストアンサー率47% (37/78)
セキュリティホールという言葉を勘違いされていませんか? a-kumaさんもおっしゃっているようなことで、例えば 1.実は、いつも使っている金庫の鍵が壊れていました(セキュリティホール) 2.でも、壊れているのに気が付いていませんでした 3.そこに、顧客情報をしまっておきました 4.ある時、従業員なり出入りの業者なりがそれに気が付いて情報を盗みました この場合、盗んだ人間が一番悪いですが、鍵の点検や修理を怠った管理者にも 簡単に壊れてしまうような鍵を作成した開発者にも問題が有るという事に なりますよね?知らなかったですまされると思いますか? >目的外使用での欠陥で補償要求というのは これはまた話が別ですよね。例えば、(こんな場合があるとはとうてい思えませんが) 1.電子レンジには金属を入れないでくださいと但し書きがありました 2.でも、そんなのは無視して鉄のかたまりを入れて加熱しました(目的外使用) 3.その結果、爆音と共に電子レンジがはじけ飛び負傷しました これは明らかにユーザーが悪いですよね? そういう事はしないでくださいって書いてあるのを無視したんですから。 これでは、補償要求など行えるわけがありません。 セキュリティホールは想定外の使用方法で発覚するかもしれませんが、 元を質せば開発あるいは管理で発生する欠陥に近いものです。 欠陥が発生しないようにすることはもちろん、発生した場合はそれ相応の 処置を必要とされることは明確ではないでしょうか? また、想定外の使用方法ではきちんと処理が停止するようにすることも必要です。 電子レンジに金属は入れないでください、って書くのと一緒です。 個人的見解としてはこんなところですが、ご参考になりますでしょうか?
- master-3rd
- ベストアンサー率35% (582/1641)
クラッカーが悪いのは当たり前。 でも、その当事者がいないというか姿を見せないのならその責任は管理者などに降りかかるもの。 ちょっと違うかもしれないけど、以前バタフライナイフが町からいっせいに消えたことがあるのをご存知だろうか?バタフライナイフ自体が悪いわけではないが、それを使って若者が人を刺したためバタフライナイフが悪者になってしまったという話。 関係ないじゃないかと言いたいが、どこかに責任追及はしないといけないからめぐりめぐって悪人(?)が決まるって所ですかね。
- a-kuma
- ベストアンサー率50% (1122/2211)
> a-kumaさんの例をとれば > 銀行はきちんと金庫にあずけていました。ガードマンは24時間で監視していました > しかし、銀行に10tダンプが2台つっこんで、金庫を壊し、お金が盗まれましたとさ。 > これって、金庫メーカーや銀行に問題あるの?(想定外の使用とはそういうことです) セキュリティホールを、こういう例えをすること自体がまずい。 隣に住んでる、ちょっと手の器用なおじさんが作ったお手製の鍵をかけて買い物に出かける ようなもんです。 作った人にも、それを、使う人にも責任がある。 > 責任はトラブルに関係した人間たち(開発者・管理者・クラッカー・ユーザ)に均等にあるはずなのに、 > 開発者と管理者が一番悪いの?というのが僕の疑問です。 一番悪いのは、悪さをする人なのは当然。 あくまでも、私の感覚ですが、責任の重さは、開発者:管理者:クラッカー:ユーザで 2:5:10:1かな。いや、数値化すると何か違うな。責任が悪い順番に書くと クラッカー ≫ 管理者 > 開発者 ≫ ユーザ の順かな。 また、質問にある > 目的外使用での欠陥で補償要求というのは、アンフェアでは?と思います。 これもおかしい。PL法って何故できたか考えたことあります?
- a-kuma
- ベストアンサー率50% (1122/2211)
あなたが銀行にお金を預けるとして、その銀行は、預かったお金を机の上に置きっぱなしにしているは、 終業時間が過ぎて、みんなが帰ってもドアに鍵はかかってないは、ガードマンも居ないは、って状況で、 銀行に泥棒が入って、お金が盗まれてしまいましたとさ。 銀行は全く悪くないんだっけ? # 泥棒は全く悪くないのだ、ということではないんですが 商用Webページで個人情報を扱っている、というのは、個人が持っているただの住所録とは 違うのだ、という認識が欠けているのでしょう。
- honiyon
- ベストアンサー率37% (331/872)
こんにちは、honiyonです。 個人的な意見を書きます。 勿論クラック行為は違法なものであり、してはいけないものではありますが、WEB管理者はいざ攻撃を仕掛けられた時に、WEBサーバーやデータを保護する義務があります。 その保護責任を怠った、というのは立派な怠慢行為でしょう。しっかりとした防御を行っていたにも関わらず突破され、個人情報が流れてしまったのとはワケが違います。 セキュリティホールはあってはならないものです。特にネットワークサーバーは不特定多数の人が参照するものですから、中には当然悪意をもったユーザーもいるわけですから、そのようなユーザーの攻撃に耐えなければなりません。 勿論、「全人類が善良で悪い行動をしない」という前提が出来るのであれば、セキュリティホールなんて気にしなくても良いんですけどね。それが出来ない以上、サービスを提供するものはしっかりとした防御が必要になります。 参考になれば幸いです(..
お礼
回答ありがとうございます。 保護責任というのは理解でき、かつ管理者がおうべき責務と思います。 ただ、クラッカーが玄人、厨房なんかではないとなると話は違ってきますよね 友人間では、そこが百家争鳴になるところです。僕は責任はないと思う派です。 結局、攻撃と防御の追いかけっこになってしまうので、不毛な気がしますし。 httpのページで平気で個人情報を入力している人って盗まれてもいいと思っているのか、 たんに知らないだけか、それによっても差がある気もします。 実際は法律は追いついてないので、賛否両論なんでもありありですね。 #まあhttpsだから安全ってわけじゃないですし。ネットサーフにアンパイはないと思ってます。
- master-3rd
- ベストアンサー率35% (582/1641)
webページのセキュリティーホールといってもこんなのですよ。 例えば、CGIでユーザーのメールアドレスと名前・住所なんかを整理しているとしましょう。もしかしたら、それはフリーのCGIソフトで、ユーザー情報が保存されるファイル名が「user.dat」というファイルだとします。もちろんそのファイルを見ればユーザーの情報・メールアドレスは丸わかりです。CGI作者はそうならないようにするため、「必ずuser.datの名前を書き換えてください。」とCGIのリードミーなどで注意します。 しかし、ページ作者も会社の誰かが上から作れといわれた初心者。そうなるとuser.datの名前変更の仕方もわからなければ、そんな注意書きを見落とすかもしれません。 あとは、google等で「user.dat」で検索したらユーザー情報丸わかりです。 これじゃあ管理者とか開発者・見つけた人云々ではないってのがわかりませんか? 作る側が素人過ぎるってのが問題だと思いますよ。
補足
回答ありがとうございます。質問が言葉たらずだったようです(^^; 目的外使用というとこに重きがあったのですが、文が悪くてすみません。 user.datを読めば、平文で丸分かりなんていうのは、想定できる欠陥だと思います。 ファイル名は変えました、パスワードもつけました、クラックされました。 これって管理者や開発者のせいですか?ちょっと疑問です。
関連するQ&A
- フリーのCGIって会社で使用してもいいのでしょうか?
フリーのCGIスクリプトを使用して会社のウェブ販売のページを作成したのですが、個人の使用は認めているんですが、法人(?)→株式会社等々についての説明がよくわからないです。 決して、スクリプト自体を売ったり、レンタルするつもりはないのですが、個人の商用目的外だとやはり登録しないといけないのでしょうか? 作成に使用したのは、有名なKENT WEBさんのです。 どうか教えてください。
- 締切済み
- その他(ネットショッピング)
- 商用目的のホームページの作成について
質問させて下さい。 妻が個人事業(メイクアップアーティスト)をしていて、そのホームページを作成しようと思っています。 アートメイクについての宣伝や、出来ればWebでの予約なのど出来れば良いかと思います。 やはりこれは『商用目的』になると思いますので、YahooやGooが提供している場所には作成できません。 「教えて!goo」の履歴で商用目的OKのホームページ提供一覧を見つけましたが、 これっといったものは(ちょっと、怪しい・・・)ありませんでした。 聞くところによると使用料金を払ってホームページを作成する場所を提供している 所もあるらしいのです。 そこで、商用目的(特に個人事業主)のホームページを作成している方に アドバイスを頂けたら、と思っています。 こんな所が良い。Freeでもあんな場所が良い。等、 情報のご提供お願い致します。
- ベストアンサー
- その他(インターネット・Webサービス)
- セキュリティホールについての初歩的な質問
パソコンを使用していると「某ソフトに重大なセキュリティホールが見つかった」といった文言を時々目にします。 質問させて頂くのは、 「どのような状況でセキュリティホールを狙った攻撃がされるのか」 ということを教えて頂けないでしょうか。 私自身は、 怪しげなサイトを閲覧していなければ、 パソコンがネットに繋がっていても安心という認識でいます。 例えば、某ソフト (メディアプレーヤーなど)にセキュリティホールがあり、 定期的に更新ファイルなどのチェックが自動で行われる場合、 怪しげなサイトを閲覧していなくてもパソコンは危険にさらされるのでしょうか。 もし、この状態でも危険にさらされるのであれば、 攻撃を行う側はどのようにしてそのパソコンを攻撃するのでしょうか。 見当違いのことが書かれていれば申し訳ありませんが、 宜しくお願いいたします。
- ベストアンサー
- ネットワーク
- Restart on Crashの商用利用は可能?
アプリケーション監視のフリーソフト「Restart on Crash」は 商用目的で利用可能かわかりますでしょうか? いろいろ調べたのですが、商用利用可能かどうかが載っておらず。。。 以下は上記アプリケーションが紹介されているページです。 http://www.gigafree.net/security/process/restartoncrash.html よろしくお願いします。
- 締切済み
- その他([技術者向] コンピューター)
- RedHatLinux9での無料のセキュリティソフト
RedHatLinux9での無料のセキュリティソフトを ご存知でしたら、ぜひ教えてください。 (↑商用での利用が可能なソフト) もし、商用禁止でも何か情報を知っていましたら 教えてくださいませ。(URLも) 個人的にすぐ欲しいのは、対ウィルスソフトなんですが 他のも欲しいです。 ※ サーバーの勉強目的で使い始めたんですが もし、私なんかでも副収入が得られたら嬉しいな… なんて思いまして。それと、副収入や広告での収入って 商用にあたるのでしょうか? もし、わかる方がいましたら・・・ ぜひぜひ教えてくださいませ♪
- 締切済み
- Linux系OS
- ウイルスバスターが・・
なんか、うまくスキャンできませんでした と出てくるようになりました。。 他にも最も高い保護で守られていませんなど・・ どうすればいいのでしょうか。 アップデートしようとしても失敗してしまいます・・ 他にも 「Internet Explorer はどのようにしてクロスサイト スクリプト攻撃から保護しますか? Internet Explorer のクロスサイト スクリプト (XSS) フィルターは、ある Web サイトが別の Web サイトにスクリプト コードを追加するのを防ぐのに役立ちます。 XSS フィルターは Web サイトのやりとりを監視し、攻撃の可能性を認識すると、自動的にスクリプト コードの実行をブロックします。その場合は、プライバシーおよびセキュリティを保護するために Web ページが変更されたことを知らせるメッセージが情報バーに表示されます。 変更された Web ページが正しく動作しない場合、Web サイトのホーム ページへと移動を試み、そして Web ページへ直接移動を試みます。それでもページが正しく動作しない場合は、Web サイトの管理者に問い合わせてください。」 とでてきました。 どうすればいいのでしょうか・・
- ベストアンサー
- ウィルス・マルウェア
- Webサイトにアクセス出来ない.アドバイスください
パソコン初心者です。Win7(ADSL)を使用.Internet Explorer11を開き『管理者として実行(A)』とした後でなければ、目的とする全てのWebサイトにつながりません(そうしなければ、何時までも目的とするWebサイトの待ち状態が続く.しかたなく上記の Internet Explorer11を開き『管理者として実行(A)』を行い出てきたヤフーのWeb画面をタスクバーに固定した後に、デスクトップ画面から目的とするWebサイトにアクセスしています)。こうしなれれば、待ち状態となり目的とするWebサイトにつながらない。 デスクトップ画面からワンクリックで目的とするWebサイトに接続出来ない理由は何なのでしょうか?、また、どのようにすれば解消するのでしょうか? 参考となるかどうかは判りませんが、この状態は、セキュリーソフト(ソースネクストのスーパーセキュリティ)を組み込みした時から発生しているよう(?)に思えてなりません。このセキュリティソフトを外すと危ないので外すことも出来ずにいる状態です。
- 締切済み
- デスクトップPC
- IEのパッチについて
最近、IEのセキュリティホールが頻繁に発生し、修正プログラムが出ていますが、新しい修正プログラムは、以前のものを網羅しているのでしょうか?それとも、そのセキュリティホールに特化したものなのでしょうか? 例えば、 不正なドットなし IP アドレスにより Web ページがイントラネット ゾーンで処理されてしまう (2001/10/29)の問題は、クッキーのセキュリティホール(2001/11/13)の修正プログラムで対応できるのでしょうか?
- 締切済み
- ネットワーク
- スレッドとプロセスについて
こんにちわ。 Windowsにあるスレッドとプロセスという機能についてお聞きしたいと思います。 いろいろ調べてはみたんですが、いまいち具体性がなくてわからないのです。 両方とも抽象的な概念なのでしょうか?専門的かつわかりやすく教えていただけないでしょうか。 それと、調べていて疑問に思ったことがあります。 例えばWebサーバなどで、外部からの攻撃で落とすことができるようなセキュリティホールがあった場合、落ちる単位がプロセスなら、負荷攻撃で済み、スレッド化しているとサーバ自体がダウンしてしまうことになる。 というふうに書いてありました。なぜでしょうか。 よろしくお願い致します。
- ベストアンサー
- その他(プログラミング・開発)
- 個人サーバー公開の危険性について
個人サーバーを立てたのを機に、趣味的なWEBを仲間内だけに公開しようと思っています。 セキュリティーは、パスワードで入れるようにしようと思っていますが、その他にどのような危険があり、対策が必要でしょうか? 又、投稿者が非合法的なコンテンツをアップロードした場合、サーバー管理者は責任を問われるのでしょうか?
- ベストアンサー
- レンタルサーバ・ASP
補足
回答ありがとうございます。しかしながら補足させていただきます。 想定外の使用をして発覚した時って作った人がいけないんですか? a-kumaさんの例をとれば 銀行はきちんと金庫にあずけていました。ガードマンは24時間で監視していました しかし、銀行に10tダンプが2台つっこんで、金庫を壊し、お金が盗まれましたとさ。 これって、金庫メーカーや銀行に問題あるの?(想定外の使用とはそういうことです) 責任はトラブルに関係した人間たち(開発者・管理者・クラッカー・ユーザ)に均等にあるはずなのに、 開発者と管理者が一番悪いの?というのが僕の疑問です。