パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に」記事へのコメント

  • 巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 [togetter.com]もどうぞ。

    http://twitter.com/#!/Yuzu_n/status/69004346381176832 [twitter.com]

    「Twitter見てて、なんか巫女さんの仕事先の会社のシステムは酷いんだなぁ、と思っていたら派遣にシステム止められて障害になってると専務が泣きついてきた」とか社長さんに言われまして。なんというかありがとうございました。

    http://twitter.com/#!/Yuzu_n/status/69048921279823872 [twitter.com]

    客先は

    --
    モデレータは基本役立たずなの気にしてないよ
    • Re: (スコア:5, すばらしい洞察)

      by Anonymous Coward
      普通、ペネトレーションテストを依頼している時点で、発見された脆弱性には
      対応する姿勢があったと考えられるにも関わらず、いくら脆弱性を発見したから
      といって、勝手に停止して壊すなんて行為は威力業務妨害だよね。

      情報漏えいを防いだとか言ってる割には、ツイッターに情報を漏えいさせてる
      ところとか、もうアホかと。

      ペネトレーションテストで深刻な脆弱性を発見したら、極秘(絶対に外部には
      知られてはならない)に関係上長に報告し、対策方法があるのならすぐに
      それを提示、無いならサービスの一時停止を提案するというのが正しいやり方。

      社長の脳裏には、岡崎市立図書館事件があったんじゃないだろうか?

      刑事告発することで、批判が集中し、誹謗中傷で評判を落とされたり、
      嫌がらせ電話もたくさん来たりして、業務にもっと支障がでるのを恐れた
      のではないだろうか。

      私には専務が正しくて社長は早まったとしか見えない。
      この巫女、今後も図に乗るかもよ。
      少なくとも自分が発注元なら、この巫女を使ってる会社には絶対に発注しない。
      • by Anonymous Coward on 2011年05月16日 17時27分 (#1953204)

        社長の脳裏には、岡崎市立図書館事件があったんじゃないだろうか?

        刑事告発することで、批判が集中し、誹謗中傷で評判を落とされたり、
        嫌がらせ電話もたくさん来たりして、業務にもっと支障がでるのを恐れた
        のではないだろうか。

        時期的に社長の脳裏にあったのは、ソニーなんでは?
        セキュリティに対しては対応を間違ってはイケない、と。
        しかもTwitterで呟くの知ってるんだから叩くと更なる被害をもたらしそう、だと。

        私には専務が正しくて社長は早まったとしか見えない。
        この巫女、今後も図に乗るかもよ。

        専務も社長も正しいと思うよ。
        ムチと飴で、この後社長から「こういうことは二度としないように」と言えばいいんだよ。
        もちろん、次からはこの会社に発注しないでしょう。
        経緯を知った別の会社も避けるでしょうね。
        しばらくすればTwitterに業務内容を呟くことが何を意味するか勉強ができるはずなので
        巫女にとってもいい事かと。

        親コメント
        • by Anonymous Coward on 2011年05月16日 18時44分 (#1953276)

          しばらくすればTwitterに業務内容を呟くことが何を意味するか

          この批判が結構多いみたいだけどさ、糞ソース見つけた!とか会社のシステムが脆弱性だらけで泣きたい!とか、その程度のことが業務内容の漏洩に該当するってどんだけ低レベルよ。
          (会社が特定できてしまうとか、見る人が見ればわかるビジネスロジックだとかならともかく。)

          そんなことを漏洩だと騒ぎ立てる前に、何が漏れては不味い情報なのか?どこをガードしなければならないのか?をちゃんと考えて線引きすべきだろ?
          これは個人情報、これは業務知識なので守らなくてはいけない。これは業界の一般話、とかさ。

          # Twitterだと、過去の発言と照らし合わせて特定できるのでは?という考えはあるだろうが、とりあえず今回の発言だけを見てレス。

          後、今回の話は確かに会社員としては問題がある行為だとは思うけど、「会社が生肉を雑に扱っているのを見つけてしまいました」というのと同じような事象として考えると、個人としては正しいと思う。
          会社員としては、上司に報告して対策してくれなかったらお手上げ、が正しいだろうけど、それって人として正しいことなのかと。
          この判断は、それはそれで立派なものだと考えますよ。

          # ただし、人として正しかろうが会社として正しくないので干される・・・という判断は否定できないが(--;
          # まあそれでも見過ごせなかったのでしょうね。

          親コメント
          • ジェットコースターの非破壊検査を受託してクラック見つけて「ああ、ソレ稼ぎどきだから来月会議してそれから決めるわ」って言われた時に、「判断は俺のペイのうちには入ってないから無視。友人にはあの遊園地は行かないように勧めるけど」ってのは、社会人としては問題なくても人でなしでしょう。
            んなもん、神代の時代から民草を導く神の仲介者である巫女さんが無視できるわけなかろう。
            データベースの中にクレジットカード情報と一緒に平文で書かれている名前は、タダのデータじゃなくて、その向こうに実在する人なわけだし。

            「あっぱれ!でも契約は契約だから罪に問われても仕方がないか。悪法も法だし」って感じられる人が少ないなら、内部告発が少ない社会なのもやむを得ないかなあと思う。
             # 社会人として正しければ他人が(会社ではない)被害を受けようが問題無いってのは、かなり訓練されてきてるよ。
             # まあ、アレをありのままを呟いているはずだというナイーブな人が多いのみると、2chの有名なセリフは真理だね:-P

            親コメント
            • 自分の保身のために、記録に残る形で、しかるべき人に報告する。すげー嫌がられるけどね。
              あーあー聞きたくない聞きたくない、そんな報告書は受け取りたくない~って言われるから、いかに相手が拒否できない方法で報告するかは、各人のスキルだな。
              上ってのは下に責任を押し付けられないと分かると、自らの保身のために動きが良くなるんですよ。
              一番大切なのは、決して勝手に外部に話を漏らさないこと。外圧がかかれば動くだろう、なんてのは下手な考えですよ。

              こういうのって上司は教えてくれないのか? 普通は勝手に何かやるのではなく、相談して許可を得るだろ? その過程で指導してもらえるじゃん。
              親コメント
            • 大丈夫、クラックがあるからと言って、直ちに事故る訳ではない

              --
              TomOne
              親コメント
            • > て「ああ、ソレ稼ぎどきだから来月会議してそれから決めるわ」って言われた時に

              本当に言われたならそうだけど、実際のところ疑わしいと思いませんか?正直自分のことを17歳や巫女と称してその時点で疑わしいのにtweetだけは真正とでも?

              親コメント
            • by Anonymous Coward

              人間誰しも間違えるもんですよ。
              今回の件が、もし銀行だったら止めたか、病院だったら止めたか、原発だったら止めたか、といったらきっと止めなかったでしょう。
              そこには判断があったはず。
              同じようにその会社の人だって判断するんですよ。
              当然判断が一致しないこともあるでしょう。
              その時どっちを優先するのか、どっちが正しいのかって必ずしも(今回のように)自明ではないですよね。
              だからこそステークホルダーなんて人たちがいて、責任を取る役の人がいて、フローがあったりするんではないでしょうか。
              俺が正しいといえる世界って案外狭いものなのではないかと思うのですがいかがでしょう。

            • by Anonymous Coward
              二分思考といいますか、事の軽重を理解していない人の典型ですね、あなた。
            • by Anonymous Coward
              内部告発は自分ではどうしようもないときに他人の手を借りるための手段で、どうしようもないときに実力行使に及ぶのはどうかと。
              • by Anonymous Coward

                どうしようもないときに実力行使に及ぶのがどうかと思う社会だから、
                実力行使のために裁判所や警察、公的機関に相談しても、門前払いするお国柄なんだな

                さらに行使しようとした人は私刑にさらされる

              • by Anonymous Coward
                これって形式的には威力業務妨害だよね。で、どうしようもないってのがホントなら緊急避難で違法性が棄却される。どうしようもないってのが勘違いなら緊急避難にはならないけど、錯誤によるものだから過失による威力業務妨害ってことになって、威力業務妨害罪は過失犯の規定はない。つことは、この社会はどうしようもないときの実力行使はそれなりに認めているんじゃないかなぁ。
              • 実力行使のために裁判所や警察、公的機関に相談しても、門前払いするお国柄なんだな

                裁判所は相談しに行くところではありません。相談するなら弁護士。また、ルールに反した実力行使をしても良いか、相談しに行ったら、「するな」と言うでしょう。法治国家なんだから、法を逸脱してはいけませんよ。

                基本的に、実力行使というのは自己中心的なんですよ。正当防衛のような一部の例外を除き、面倒臭くても、ルールに則った手続きを取ってください。

                法律的には、セキュリティホールを残すことは犯罪じゃないのに対し、承認を得ないでサーバを止めるのは威力業務妨害で犯罪なんです。現状においては、セキュリティホールが見つかっても何もしないというのは企業倫理の問題でしかありません。

                ACCS不正アクセス事件のようなことも考えると、セキュリティホールに対する何らかの法整備は必要でしょう。法を逸脱することに寛容になるのではなくて。

                親コメント
            • by Anonymous Coward
              だからといって運転中のジェットコースターを爆破しちゃいかんでしょう。
              ってレベルのたとえ話だね。
              • by Anonymous Coward

                おいおい、今回の事件をどう解釈すれば「運転中のジェットコースターを爆破」って喩えが出て来るんだよ
                「動力室の発電をぶっ千切った」あたりでしょ?

            • by Anonymous Coward
              こんなコメントに素晴らしい洞察なんてつけるの
              どんだけアホなんだ。
              普通、名前なんてのは平文でデータベースに入ってる
              もんだし、ツイッターの公開アカウントでばらすのと
              近しい友人に注意するのは全然違うだろ。
              • by Anonymous Coward

                > 普通、名前なんてのは平文でデータベースに入ってる

                それは,あなたの知っている狭い世界の「普通」でしょ。

          • by Anonymous Coward
            2chの祭りの個人特定や周辺の晒しっぷりからすれば、本人が会社名を言わずとも、バレる危険性はあると思います。
            • by Anonymous Coward

              >2chの祭りの個人特定や周辺の晒しっぷりからすれば
              舞台というか警察の対象がこっちに移るだけでは?

              ※いい加減警察も重い腰あげろよ。

          • by Anonymous Coward

            線引き云々の前に
            そういう些細なことも洩らさないのがまともな企業だと思うよ。
            この程度やあんなことと勝手な尺度を持ってこられても困ってしまう。

        • by Anonymous Coward on 2011年05月16日 18時03分 (#1953234)

          >専務も社長も正しいと思うよ。
          これに同感。
          職権が違うから判断は異なるのはこの場合仕方ない。

          中小のオーナー社長ってのは大会社と違って自己責任さえ認識すれば社の判断をほぼ何でもできる。
          そこが雇われの専務とは違う。

          親コメント

計算機科学者とは、壊れていないものを修理する人々のことである

処理中...