汚し飯 -> OfficeLoveの日記 でハッケソ。

"IF" の話をしても仕方が無いことは分かっていますが、「もし」office さんが逮捕されていなかったら、私はおそらく SQL インジェクションができないかどうかチェックしていたでしょうから。

また議論が紛糾しそうな発言だなあ。

office氏逮捕事件はそもそも議論が紛糾してるのだが、問題の本質を突いてる人はあんまり見掛けないかもしれない。今だからこそ本質に気付けたのかもしれないが。

office氏糾弾派というのは、ある意味企業や団体を「セキュリティホールを公開しちゃうぞ」と脅してセキュリティ対策を実施させるという手法がよろしくないということだろう。無関係の第三者がクラックテストを無断で行うということに対する抵抗感もあろう。

逆に擁護派というのは、こういう手法をよしとしてる。むしろ他の方法では充分なセキュリティ対策が実施されないと考えているのだろう。office氏逮捕事件後、こうしてぽろぽろとクラック事件が出てきて、企業・団体が脅されなくなった、あるいは脅しに屈せずセキュリティ対策をしなくなったことを嘆いている。

今の俺の考えでは、これはどちらも間違いだ。脅さなくてはよい方向に行かないというのは、ルールが間違ってる証拠。システムの完成度が低いと言わざるを得ないだろう。で、そのルールというのが法律にあたるわけだ。

何が不正アクセスで、誰が加害者で、誰が被害者なのか。そして責任は誰が取るべきなのか。そういったことを法律がきちんと明示してない。だから欠陥を作った張本人が「悪いのは欠陥を突いた人間」「こちらに責任はない」などと言えてしまう。そういう状態だから、脅してでもセキュリティ対策をさせなくてはならない。

いびつすぎるとは思わないか? 本来なら欠陥を作った企業なりが責任をきちんと取る形が望ましかろう。その責任を取りたくないからこそセキュリティ対策に力をいれる。第三者のクラックテストなどに頼らなくてもいい。そんなものがあっても問題はない状態を作る。それこそがあるべき姿ではないか? 実際、個人情報保護法が施行されて、どの企業も懸命に対応するようになったではないか。不正アクセスやクラックもそうなるべきなのだ。

office氏逮捕事件では、 脆弱性を認識できなかったサイトオーナー も 脆弱性のあるCGIを提供したレンタルサーバ屋 も サイト管理を任されてた業者 も、 責任らしい責任を取らず、すべてoffice氏に押しつけて詰め腹を切らせようとしてる。 そしてそれを法律が後押ししてるのである。カカクコムやOZmailの無責任な対応もすべてそれが原因と言ってもいいだろう。

サイバーノーガード戦法もサイバークロスカウンターも、すべてはそれを許し、後押ししてる法律が悪い。そういうダメな法律を通してしまう国会がそもそもダメな機構といえよう。そしてそのダメな国会のダメな構成員たるダメな議員を選出してるのは、我々ダメな国民である。何も考えず義理で投票してる脳味噌腐ったジジイどもや、自分には関係無いと思い込んでる脳味噌つるつるの死票持ったクソガキどもを、血の池地獄に湯治に行かせて目覚めさせてやれ。こいつらを動かせるかどうかがすべての鍵だ。そのためにこういう糞どもを見下すだけ見下して何もしないてめえが針山地獄にハイキングに行って反省しろ。やれるだけのことはやらなきゃ、この国は終るんだ。

(@614)