アカウント名:
パスワード:
他の人にも教えてるから戒告くらったのかな。そもそもURL変えるくらいじゃ不正アクセスってわけでもないし。
処分受けるのはそんなURLにして事前公開したやつだよな。おかしいよ
残念ながら不正アクセス。やーいひっかかったー、不正アクセスー、と訴えられるとそういうことになる罠なので、注意が必要。
個人のブログだと思いますが、非公開URLで情報を守ることは出来ない話 [blog.apar.jp]がよくまとまっているように見えました。
議論になるのは、所謂「隠しURL(Uniform Resource Locator)」や「隠しフォルダ」といわれるものである。先述の如く、パスワードだけでも識別符号たり得る以上、暗号化URL等、例え単なるURLであってもパスワードと同様の機能を果たす場合もあるからである。しかし、原則として、こうした場合にはアクセス制御がかかっているとはいえない。何故なら先述の如く、アクセス制御機能とは、特定利用を自動的に制御するために「付加されている機能」であって、URLを入力しさえすればHPが表示されると言った場合、そこには付加された機能は存在しないからである。
田中規久雄. 不正アクセス禁止法における不正アクセス行為の概念. 阪大法学, 2011-03-31, 60, 6, p.53-81. より引用
②方式の場合には、問題となる URL はファイル等に付されたものであって利用権者等に付された符号ではないことが多いことに加え、問題となる URL において利用権者等の区別・識別を目的とする趣旨が表れているとはいえないことが多いことから、原則として、当該 URL は識別符号に該当せず、不正アクセス行為該当性は問題とならない。
岡部天俊. 非公開URLと不正アクセス行為概念 : いわゆるZoom-bombing問題を契機として. 北大法学論集, 2020年11月27日, 71, 4, p.109-125. より引用
今回の件とはだいぶ話が変わりますが、URL自体に認証情報がくっついているようなケースだとどうなるんでしょうか。AWS S3の署名付きURLとか。(トークンだけで1200文字ぐらいあります)https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/ShareObjec... [amazon.com]
第三者が同じURL踏んで通るなら公開情報扱いになるんじゃないかな。URLパラメタにIDとPASSが有るみたいなパターンでも、リンクをたどる前に全てを確認とかやってられないし。
BASIC認証のidとpassを埋め込んだURLの出番だな
URLの中に入っている認証情報が識別符号だとみなされるとすれば、不正アクセス禁止法の>アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る>他人の識別符号を入力して当該特定電子計算機を作動させに該当してしまって、不正アクセス行為に該当するような気がする。リンクとかの場合は>当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものに当たるかどうか依存ではないのかなあ。
推測したURLへのアクセスで有罪になるケースなんてあったっけ?パスワード掛けてなきゃ管理側が悪いってニュースなら見た記憶あるけど。
法的な不正アクセスには該当しないんじゃないかと思うけど、違法でなくても職場のルールに違反すれば処分を受けることはある。リンクされてない(でもアクセス制御もしていない)ファイルへのアクセスを禁じるルールがあるとは考えにくいけど、隠してあると推測できる内容を他者に漏らすことがアウトというのはあるんじゃないかな。
「推測したURL」がHTTPのGETだけじゃなくてPOSTも含むなら、それこそがACCSの個人情報漏洩事件(懲役8ヶ月執行猶予3年)。たしかに普通のブラウザのアドレスバーで足りないのは裁判で言われている通りだけど、そんなのいくらでも方法はある(被告はHTMLのソースを改変して推測したパラメーターを送るフォームを作成)。
https://internet.watch.impress.co.jp/cda/news/2005/03/25/6983.html [impress.co.jp]
スラドの感覚だとアクセス制御してないのダメだろって思うけど、シンプルな報道からは把握できない悪質な背景がある場合もあるから何とも言えない。まあ業務倫理的には偶々知ってしまったとしても安易に拡散しちゃいかんってものはある。
よくある個人情報流出事件を踏まえると、最も処分を受けるべきは、不適切な情報管理を行なった人事部とか、情報管理を適切に行えないシステムを放置してた情シスだと思うけどな。今回はたまたま内部に閉じた事件だったので、アクセスした人に全責任を押し付けた感じがする。
>不適切な情報管理を行なった人事部とか、情報管理を適切に行えないシステムを放置してた情シスだと思うけどな。
これですねパブリックに見せたくなければパーミッション600にでもしておいて、公開日時に644にすればいいのに
今回は地方公務員だけど、国家公務員の場合の指針はこうだ。 https://www.jinji.go.jp/kisoku/tsuuchi/12_choukai/1202000_H12shokushok... [jinji.go.jp] (8) 秘密漏えいア 職務上知ることのできた秘密を故意に漏らし、公務の運営に重大な支障を生じさせた職員は、免職又は停職とする。この場合において、自己の不正な利益を図る目的で秘密を漏らした職員は、免職とする。イ 具体的に命令され、又は注意喚起された情報セキュリティ対策を怠ったことにより、職務上の秘
>シンプルな報道からは把握できない悪質な背景がある場合もあるから何とも言えない。そんな蓋然性に乏しい仮定(想像)をさも普遍的な前提であるかのように言われましても・・・個別の事情に照らして「何とも言えない」ことの証左が必要な話ですよ
23日当日に3時間早く見たということですが、もし、22日朝に見ていたら大変なことになっていました。なぜなら、福井市議会への人事異動案の説明と承認を得るのが、22日だったからです。
過去に、議会説明前に人事異動案が流出し、人事異動を急遽変更した自治体の例があります。もちろん、市役所側は上から下まで議会から怒られて、何人も処分されます。それぐらい、議会による人事案の承認というのはとても重要な儀式だとされています。
東京だと違うの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
処分受けるほどのものか? (スコア:0, 興味深い)
他の人にも教えてるから戒告くらったのかな。
そもそもURL変えるくらいじゃ不正アクセスってわけでもないし。
Re:処分受けるほどのものか? (スコア:2, すばらしい洞察)
処分受けるのはそんなURLにして事前公開したやつだよな。おかしいよ
Re: (スコア:0)
残念ながら不正アクセス。やーいひっかかったー、不正アクセスー、と訴えられるとそういうことになる罠なので、注意が必要。
Re:処分受けるほどのものか? (スコア:5, 参考になる)
個人のブログだと思いますが、非公開URLで情報を守ることは出来ない話 [blog.apar.jp]がよくまとまっているように見えました。
議論になるのは、所謂「隠しURL(Uniform Resource Locator)」や「隠しフォルダ」といわれるものである。先述の如く、パスワードだけでも識別符号たり得る以上、暗号化URL等、例え単なるURLであってもパスワードと同様の機能を果たす場合もあるからである。しかし、原則として、こうした場合にはアクセス制御がかかっているとはいえない。何故なら先述の如く、アクセス制御機能とは、特定利用を自動的に制御するために「付加されている機能」であって、URLを入力しさえすればHPが表示されると言った場合、そこには付加された機能は存在しないからである。
田中規久雄. 不正アクセス禁止法における不正アクセス行為の概念. 阪大法学, 2011-03-31, 60, 6, p.53-81. より引用
②方式の場合には、問題となる URL はファイル等に付されたものであって利用権者等に付された符号ではないことが多いことに加え、問題となる URL において利用権者等の区別・識別を目的とする趣旨が表れているとはいえないことが多いことから、原則として、当該 URL は識別符号に該当せず、不正アクセス行為該当性は問題とならない。
岡部天俊. 非公開URLと不正アクセス行為概念 : いわゆるZoom-bombing問題を契機として. 北大法学論集, 2020年11月27日, 71, 4, p.109-125. より引用
Re: (スコア:0)
今回の件とはだいぶ話が変わりますが、URL自体に認証情報がくっついているようなケースだとどうなるんでしょうか。
AWS S3の署名付きURLとか。(トークンだけで1200文字ぐらいあります)
https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/ShareObjec... [amazon.com]
Re: (スコア:0)
第三者が同じURL踏んで通るなら公開情報扱いになるんじゃないかな。
URLパラメタにIDとPASSが有るみたいなパターンでも、リンクをたどる前に全てを確認とかやってられないし。
Re: (スコア:0)
BASIC認証のidとpassを埋め込んだURLの出番だな
Re: (スコア:0)
URLの中に入っている認証情報が識別符号だとみなされるとすれば、不正アクセス禁止法の
>アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る
>他人の識別符号を入力して当該特定電子計算機を作動させ
に該当してしまって、不正アクセス行為に該当するような気がする。
リンクとかの場合は
>当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするもの
に当たるかどうか依存ではないのかなあ。
Re: (スコア:0)
推測したURLへのアクセスで有罪になるケースなんてあったっけ?
パスワード掛けてなきゃ管理側が悪いってニュースなら見た記憶あるけど。
Re: (スコア:0)
法的な不正アクセスには該当しないんじゃないかと思うけど、違法でなくても職場のルールに違反すれば処分を受けることはある。
リンクされてない(でもアクセス制御もしていない)ファイルへのアクセスを禁じるルールがあるとは考えにくいけど、隠してあると推測できる内容を他者に漏らすことがアウトというのはあるんじゃないかな。
Re: (スコア:0)
「推測したURL」がHTTPのGETだけじゃなくてPOSTも含むなら、それこそがACCSの個人情報漏洩事件(懲役8ヶ月執行猶予3年)。たしかに普通のブラウザのアドレスバーで足りないのは裁判で言われている通りだけど、そんなのいくらでも方法はある(被告はHTMLのソースを改変して推測したパラメーターを送るフォームを作成)。
https://internet.watch.impress.co.jp/cda/news/2005/03/25/6983.html [impress.co.jp]
Re: (スコア:0)
スラドの感覚だとアクセス制御してないのダメだろって思うけど、
シンプルな報道からは把握できない悪質な背景がある場合もあるから何とも言えない。
まあ業務倫理的には偶々知ってしまったとしても安易に拡散しちゃいかんってものはある。
Re:処分受けるほどのものか? (スコア:3, すばらしい洞察)
よくある個人情報流出事件を踏まえると、最も処分を受けるべきは、
不適切な情報管理を行なった人事部とか、情報管理を適切に行えないシステムを放置してた情シスだと思うけどな。
今回はたまたま内部に閉じた事件だったので、アクセスした人に全責任を押し付けた感じがする。
Re:処分受けるほどのものか? (スコア:1)
>不適切な情報管理を行なった人事部とか、情報管理を適切に行えないシステムを放置してた情シスだと思うけどな。
これですね
パブリックに見せたくなければパーミッション600にでもしておいて、公開日時に644にすればいいのに
Re: (スコア:0)
今回は地方公務員だけど、国家公務員の場合の指針はこうだ。
https://www.jinji.go.jp/kisoku/tsuuchi/12_choukai/1202000_H12shokushok... [jinji.go.jp]
(8) 秘密漏えい
ア 職務上知ることのできた秘密を故意に漏らし、公務の運営に重大な支障を生じさせた職員は、免職又は停職とする。この場合において、自己の不正な利益を図る目的で秘密を漏らした職員は、免職とする。
イ 具体的に命令され、又は注意喚起された情報セキュリティ対策を怠ったことにより、職務上の秘
Re: (スコア:0)
>シンプルな報道からは把握できない悪質な背景がある場合もあるから何とも言えない。
そんな蓋然性に乏しい仮定(想像)をさも普遍的な前提であるかのように言われましても・・・
個別の事情に照らして「何とも言えない」ことの証左が必要な話ですよ
Re: (スコア:0)
23日当日に3時間早く見たということですが、もし、22日朝に見ていたら大変なことになっていました。
なぜなら、福井市議会への人事異動案の説明と承認を得るのが、22日だったからです。
過去に、議会説明前に人事異動案が流出し、人事異動を急遽変更した自治体の例があります。
もちろん、市役所側は上から下まで議会から怒られて、何人も処分されます。
それぐらい、議会による人事案の承認というのはとても重要な儀式だとされています。
Re: (スコア:0)
東京だと違うの?