福井市、URLを推測し公開前の人事異動情報を閲覧した職員を戒告の懲戒処分 49
ストーリー by nagazou
あらら 部門より
あらら 部門より
福井市は28日、公開前の職員人事異動のファイルを不正に閲覧し、その閲覧方法を別の職員にも伝えたとして30歳代男性職員を戒告の懲戒処分にした。人事異動情報のファイルは職員専用の掲示板に保存されていたもので、ファイルは未公開の状態だったが、URLの一部を書き換えると閲覧できたという(読売新聞)。
犯人はmoriwaka -- Anonymous Coward
公開前に公開の場に置いてはならない (スコア:4, すばらしい洞察)
ハイパーリンクによる到達可能性と、リソースの公開可否は、別の次元の概念である。
隠しておいたつもりかもしれないが、そのような場に置いたことがそもそも誤り……。
Re: (スコア:0)
誰でも見られる場所に置いておいて、見たら懲戒っておかしいよね。
公開前ならパスワードでもかけとけと。
Re: (スコア:1)
この話題でOffice氏の事件に全く言及がないのは時代を感じるなぁ。
欠陥を指摘するはずが個人情報流出。セキュリティ専門家に捜査の手
https://srad.jp/story/04/01/04/1327206/ [srad.jp]
このCGIには外部からの侵入を防ぐ工夫がなく、全ての情報が公道に放置されているような状態だった。弁護士にも
相談したが、不正アクセスではないと思う。
ACCS事件でoffice氏に有罪判決
https://srad.jp/story/05/03/25/0423214/ [srad.jp]
Office氏は、「アクセス制御がなされておらず、不正アクセスではない」と主張したが、「アクセスはプログラムの脆弱(ぜいじゃく)性を利用したもので、管理者は想定もしていなかった。アクセス制御機能による『特定利用の制限』がかかっていたといえ、被告の行為は不正アクセスに当たる」とした。
つまり、リンクを張らないのはアクセス制御だし、パスを直接入力するのは犯罪。
Re: (スコア:0)
本件では脆弱性を利用したって事?
Re: (スコア:0)
office氏事件の「脆弱性」が何のことだか分かってる?
Re: (スコア:0)
技術的にどうのこうのは裁判所には通じないとはいえ、
管理者が「鍵をかけたと認識した」ら後は何があっても不正アクセス扱いなのもなぁ
Re: (スコア:0)
あの事件のURLを貼ってるのに、内容についてはあまり理解してないみたいですね…。
Re: (スコア:0)
office氏(全部小文字)の名前すら正しく覚えられてないもんな
Re: (スコア:0)
んだね人通りの少ない廊下に張り出してたのを見たら懲戒処分とか罠以外の何物でもない
# まぁ不用意に歩き回って探す方も探す方だが
Re: (スコア:0)
課長か部長の机の上に裏返して置いてあった資料覗き見て、一見して非公開情報なのは明らかなのにその内容を吹聴してまわったら怒られるのと同じかと
見てしまっても見なかったことにしておくべきだった。見たことが処分権のある人の耳にまで届いてしまったら、その人は知らないふりは出来ない
歴史は繰り返す (スコア:1)
20年以上前の話だが...
ロイターがURL推測で不正アクセスとして告訴される
https://srad.jp/story/02/10/29/114219/ [srad.jp]
> このレポート、実はIntentiaのウェブサイトにアクセス制限無しに置かれていたのだ。ただし、どこからもリンクされずに。ロイターは過去の財務レポートのURLから今期のレポートのURLを推測してアクセスしたとのことだが
関連リンク (スコア:1)
「ウェブページのソース閲覧はハッキング」、情報漏洩を指摘した人物をミズーリ州知事が起訴する意向 [security.srad.jp]
役人が技術に明るくないのは別に罪じゃないけど、手落ちを認められず居直るのは罪であるべきだよなあ。
特に地位が上であればあるほど重罪。
どーせ (スコア:0)
fukui.jp/idou?id=xxxx
みたいなしょぼいURLだったんでしょ。
Re:どーせ (スコア:2, おもしろおかしい)
idou2023.htmlに一票。
Re: (スコア:0)
idou2023.pdfに一票。
Re:どーせ (スコア:4, おもしろおかしい)
idou2023 (最新版).xlsx だろ。
Re: (スコア:0)
fukui.jp/idou2022.htmlぐらいしょぼくないと面白みがない(マテ
Re: (スコア:0)
fukui.jp/idou?id=xxxx
みたいなしょぼいURLだったんでしょ。
見たことがバレているのでfusianasanかも
処分受けるほどのものか? (スコア:0, 興味深い)
他の人にも教えてるから戒告くらったのかな。
そもそもURL変えるくらいじゃ不正アクセスってわけでもないし。
Re:処分受けるほどのものか? (スコア:2, すばらしい洞察)
処分受けるのはそんなURLにして事前公開したやつだよな。おかしいよ
Re: (スコア:0)
残念ながら不正アクセス。やーいひっかかったー、不正アクセスー、と訴えられるとそういうことになる罠なので、注意が必要。
Re:処分受けるほどのものか? (スコア:5, 参考になる)
個人のブログだと思いますが、非公開URLで情報を守ることは出来ない話 [blog.apar.jp]がよくまとまっているように見えました。
議論になるのは、所謂「隠しURL(Uniform Resource Locator)」や「隠しフォルダ」といわれるものである。先述の如く、パスワードだけでも識別符号たり得る以上、暗号化URL等、例え単なるURLであってもパスワードと同様の機能を果たす場合もあるからである。しかし、原則として、こうした場合にはアクセス制御がかかっているとはいえない。何故なら先述の如く、アクセス制御機能とは、特定利用を自動的に制御するために「付加されている機能」であって、URLを入力しさえすればHPが表示されると言った場合、そこには付加された機能は存在しないからである。
田中規久雄. 不正アクセス禁止法における不正アクセス行為の概念. 阪大法学, 2011-03-31, 60, 6, p.53-81. より引用
②方式の場合には、問題となる URL はファイル等に付されたものであって利用権者等に付された符号ではないことが多いことに加え、問題となる URL において利用権者等の区別・識別を目的とする趣旨が表れているとはいえないことが多いことから、原則として、当該 URL は識別符号に該当せず、不正アクセス行為該当性は問題とならない。
岡部天俊. 非公開URLと不正アクセス行為概念 : いわゆるZoom-bombing問題を契機として. 北大法学論集, 2020年11月27日, 71, 4, p.109-125. より引用
Re: (スコア:0)
今回の件とはだいぶ話が変わりますが、URL自体に認証情報がくっついているようなケースだとどうなるんでしょうか。
AWS S3の署名付きURLとか。(トークンだけで1200文字ぐらいあります)
https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/ShareObjec... [amazon.com]
Re: (スコア:0)
第三者が同じURL踏んで通るなら公開情報扱いになるんじゃないかな。
URLパラメタにIDとPASSが有るみたいなパターンでも、リンクをたどる前に全てを確認とかやってられないし。
Re: (スコア:0)
BASIC認証のidとpassを埋め込んだURLの出番だな
Re: (スコア:0)
URLの中に入っている認証情報が識別符号だとみなされるとすれば、不正アクセス禁止法の
>アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る
>他人の識別符号を入力して当該特定電子計算機を作動させ
に該当してしまって、不正アクセス行為に該当するような気がする。
リンクとかの場合は
>当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするもの
に当たるかどうか依存ではないのかなあ。
Re: (スコア:0)
推測したURLへのアクセスで有罪になるケースなんてあったっけ?
パスワード掛けてなきゃ管理側が悪いってニュースなら見た記憶あるけど。
Re: (スコア:0)
法的な不正アクセスには該当しないんじゃないかと思うけど、違法でなくても職場のルールに違反すれば処分を受けることはある。
リンクされてない(でもアクセス制御もしていない)ファイルへのアクセスを禁じるルールがあるとは考えにくいけど、隠してあると推測できる内容を他者に漏らすことがアウトというのはあるんじゃないかな。
Re: (スコア:0)
「推測したURL」がHTTPのGETだけじゃなくてPOSTも含むなら、それこそがACCSの個人情報漏洩事件(懲役8ヶ月執行猶予3年)。たしかに普通のブラウザのアドレスバーで足りないのは裁判で言われている通りだけど、そんなのいくらでも方法はある(被告はHTMLのソースを改変して推測したパラメーターを送るフォームを作成)。
https://internet.watch.impress.co.jp/cda/news/2005/03/25/6983.html [impress.co.jp]
Re: (スコア:0)
スラドの感覚だとアクセス制御してないのダメだろって思うけど、
シンプルな報道からは把握できない悪質な背景がある場合もあるから何とも言えない。
まあ業務倫理的には偶々知ってしまったとしても安易に拡散しちゃいかんってものはある。
Re:処分受けるほどのものか? (スコア:3, すばらしい洞察)
よくある個人情報流出事件を踏まえると、最も処分を受けるべきは、
不適切な情報管理を行なった人事部とか、情報管理を適切に行えないシステムを放置してた情シスだと思うけどな。
今回はたまたま内部に閉じた事件だったので、アクセスした人に全責任を押し付けた感じがする。
Re:処分受けるほどのものか? (スコア:1)
>不適切な情報管理を行なった人事部とか、情報管理を適切に行えないシステムを放置してた情シスだと思うけどな。
これですね
パブリックに見せたくなければパーミッション600にでもしておいて、公開日時に644にすればいいのに
Re: (スコア:0)
今回は地方公務員だけど、国家公務員の場合の指針はこうだ。
https://www.jinji.go.jp/kisoku/tsuuchi/12_choukai/1202000_H12shokushok... [jinji.go.jp]
(8) 秘密漏えい
ア 職務上知ることのできた秘密を故意に漏らし、公務の運営に重大な支障を生じさせた職員は、免職又は停職とする。この場合において、自己の不正な利益を図る目的で秘密を漏らした職員は、免職とする。
イ 具体的に命令され、又は注意喚起された情報セキュリティ対策を怠ったことにより、職務上の秘
Re: (スコア:0)
>シンプルな報道からは把握できない悪質な背景がある場合もあるから何とも言えない。
そんな蓋然性に乏しい仮定(想像)をさも普遍的な前提であるかのように言われましても・・・
個別の事情に照らして「何とも言えない」ことの証左が必要な話ですよ
Re: (スコア:0)
23日当日に3時間早く見たということですが、もし、22日朝に見ていたら大変なことになっていました。
なぜなら、福井市議会への人事異動案の説明と承認を得るのが、22日だったからです。
過去に、議会説明前に人事異動案が流出し、人事異動を急遽変更した自治体の例があります。
もちろん、市役所側は上から下まで議会から怒られて、何人も処分されます。
それぐらい、議会による人事案の承認というのはとても重要な儀式だとされています。
Re: (スコア:0)
東京だと違うの?
未公開の状態 (スコア:0)
未公表のURLとか言うならわかるが閲覧できるものを未公開と言うのだろうか。
Re: (スコア:0)
不服として裁判になって面倒なことになりそう。
Re: (スコア:0)
俺のやってるソシャゲがアプリだけどiphone用にsafariで出来るようになってて
公開前のステージを予測で開いてプレーした奴がいて、垢バンまでにはならなかったけど
ランクと特典は没収だった
Re: (スコア:0)
ブラウザのクッキーやキャッシュ全部削除して全く違うIPアドレスから見るべきだと思うけど、
本垢にログインしたまま見ちゃうのはオツムが弱すぎではないかと
Re: (スコア:0)
もう今の時代IPアドレス変えるの面倒で・・
前はルーターから切断したり、ルーター自体を再起動したら変わったんだけど
もう今は何しても変わらないから2chのIP表示スレに書き込めなくなった
Re: (スコア:0)
IPアドレスが変わるISPを探すしかないんじゃねーの。NuroとYahooBBは昔からダメ。
俺はIPアドレス変わるスマホの回線で凌いでるけど。
スラドも人のこと言えない (スコア:0)
https://srad.jp/poll/ [srad.jp]ここの数字/
を書き換えれば次の国民投票見れるし
https://srad.jp/tag/mainpage [srad.jp]
mainpageタグに数時間後や明日の公開予定のストーリーが題名と時間だけ表示されてる
Re: (スコア:0)
それ秘密にしないといけない奴なん?
Re: (スコア:0)
ストーリーのも秘密にしないといけない奴なん?てなるよね。
だから人に教えたんだろうし。
秘密にしないと不味いケースも有り得はするし、法的な制約もあるけれど、
概ねは別にだからどう?なケースが大半、むしろ見えた方が業務上円滑な事すらあり得る。
その辺の線引きを有象無象の職員に察しろと言う方が無茶。
結局、開示不可のを開示設定でアップしたオペレータとシステムが悪い。
CMSは使わないの? (スコア:0)
通常、CMSに、〇月〇日〇時更新、とか指定してアップしておくのではないの?
そうすれば、時間が来るまで見えない
Re: (スコア:0)
予算が出せない、構築運用のスキルが必要、担当者が異動となったら引き継がせないといけない
といった理由で日本のお役所では特に忌み嫌われてる