「ずさんなコーディング」を発見して退学処分を受けた学生 85
ストーリー by reo
残念だったな、トリックだよ 部門より
残念だったな、トリックだよ 部門より
taraiok 曰く、
カナダのドーソン大学でコンピュータサイエンスを専攻していた Ahmed Al-Khabaz 氏は大学を追放された。彼は大学の情報管理システムが、社会保険番号、自宅住所、電話番号、クラスのスケジュールを含む個人情報に簡単にアクセスできる「ずさんなコーディング」であったことを発見した。このシステムはドーソン大学だけでなく、カナダの多くの大学で使用されているシステムだという (National Post の記事、本家 /. 記事より) 。
Al-Khabez 氏は、道義的な見地から問題点を指摘する義務を感じていたため、システム開発元の Skytech に連絡、Skytech の情報部門のディレクター François Paradi 氏は、すぐにセキュリティホールを修正することを約束した。二日後、問題が修正されていたことを確認するために検証用プログラムを走らせたところ、開発メーカー社長 Edouard Taza 氏から彼に電話があり、これはサイバー攻撃であり、カナダ連邦警察に連絡すると電話をしてきた。Al-Khabez 氏は状況を説明して謝罪したが話が通じなかったという。
このことがきっかけで、彼は大学を追放されることになったようだ。本家のコメントによれば、彼の学部の教授 15 人中 14 人の投票により追放が決まったとのこと。状況が分かった後も大学側は彼の復学を認めていないが、データセキュリティの問題を発見したという理由で奨学金が提供されているとしている。
退学で済んでよかったな (スコア:5, すばらしい洞察)
日本じゃ逮捕されてるところだ。それもコーディングを発見どころかブラックボックステストで。ていうかテストですらなくて普通にクローラー動かしただけで。 #librahack
日本ならIPAに通報 [Re:退学で済んでよかったな] (スコア:3)
日本国内なら、ここに通報すれば問題ないですよ。
http://www.ipa.go.jp/security/vuln/report/index.html [ipa.go.jp]
情報処理推進機構:情報セキュリティ:脆弱性関連情報の届出
--- de FTNS.
Re:日本ならIPAに通報 [Re:退学で済んでよかったな] (スコア:3, 興味深い)
通報しても半分近くは未修正、未公開のままになるけどね。
2012年に届け出のあった脆弱性のうち、44%は未修正です。
修正が終わらない限り原則として公開しないので、これらの44%近くの脆弱性が未公開になってます。
Re:日本ならIPAに通報 [Re:退学で済んでよかったな] (スコア:2)
まぁちゃんと修正されないのは問題ではありますが、少なくとも
通報者が逮捕されるという本末転倒な事は起きませんので。
--- de FTNS.
Re: (スコア:0)
図書館の蔵書管理システムだかにクローラー回したら逮捕された件についてじゃないですかね
Re:日本ならIPAに通報 [Re:退学で済んでよかったな] (スコア:1)
--- de FTNS.
Re:日本ならIPAに通報 [Re:退学で済んでよかったな] (スコア:2)
個々の事件を問題にしている訳ではなく、こうすれば逮捕されずに通報できますよ
というだけの事です。あなたの言っていることが正しいのはわかってます。
--- de FTNS.
Re: (スコア:0)
どこが批判なのかさっぱり判らない。
Re: (スコア:0)
そこらへんも日本人らしいよ
なにもしないがいちばん (スコア:5, おもしろおかしい)
ノーガード戦法「また勝ってしまった、敗北を知りたい」
Re: (スコア:0)
敗北の事例はないのかな?
(まったく無知で、スマソ)
Re: (スコア:0)
不正侵入で情報が流出したとか、ホームページが改ざんされたとかいう事件なら、山ほどあると思いますが
Re: (スコア:0)
謝罪をする=ただ=勝利
よほど機密情報を抱えていない限り、追及する側(被害者、間接的な被害者)も利益(賠償金)に合わない努力を強いられるから、結局ノーガードが勝利なのでは、と真面目に思ってしまう。
Re: (スコア:0)
ニュースとして取り上げられにくいんじゃなかろうか。
空目 (スコア:4, おもしろおかしい)
アクセス元を特定されるような生徒は (スコア:4, おもしろおかしい)
我が校のコンピュータサイエンス専攻には不要
Re: (スコア:0)
Re: (スコア:0)
元記事を読もう (スコア:3, 参考になる)
taraiok系のは特にそうだけど元記事は読んだ方がいい。印象が変わるかもしれない。
少なくとも私は変わった。
例えば元記事からはこの脆弱性を発見したのは彼一人だけだったのでないことがわかる。
アクセスも1度でなく複数回やったらしいこともわかる。
Re:元記事を読もう (スコア:5, 興味深い)
"Mr. Al-Khabaz and colleague Ovidiu Mija"とあるから、この人と仲間のMijaさんですな。
なんかここは大学とAl-Khabazさんの言い分が食い違っているようで
大学は「Al-Khabazさんは脆弱性を報告する前にドーソンのシステムへのアクセスで警告を受けており、検証に関する制約を説明した後もアクセスしてきた」
Al-Khabazさんは「脆弱性を報告した後、最初の検証でSkytechから警告を受け、NDAに署名することになった」
あと、
・ストーリーの「Skytech の情報部門のディレクター Francois Paradi 氏」はたぶん間違い。Paradisさんはドーソン大のディレクター。
・「Al-Khabez 氏は状況を説明して謝罪したが話が通じなかったという。」は元記事に無さそうな記述。上に書いたようにNDAを結んでその場は済んだように書いてある。実際、Tazaさんは「彼の発見はありがたいよ無断でツールを走らせるのはダメだけど悪意がなかったことはわかってるよ」と言ってる。さらに、退学になってからはAl-Khabezさんを雇うとオファーしてる。話しが通じなかったのはドーソン大。
・ストーリーには書いてないけど、Al-Khabazさんは「proxy等で身元を隠すのは簡単だったが、悪い事をするつもりはないので隠さなかった」と言ってる。確かにそうだろうと思う。
・Al-Khabazさんが使ったのはAcunetixというツール。ぐぐる限りはかなり怪しげ…
Re:元記事を読もう (スコア:1)
話の流れからすると、フランソワはSkytechの人だと思う。
これは彼の証言、「I apologized, repeatedly, and explained~」の部分。
あと、Skytechの発表 [skytech.com]を読むと、イメージが結構違う。
Re:元記事を読もう (スコア:1)
そう書いてあるなら、その通りでしょう。
それは表現と解釈の問題ですね。 「謝罪」や「説明」と違って「話が通じなかった」と受け取るかどうかは、人それぞれでしょう。私はこれで十分だと思います。
ありがとうございます。元記事を読みました。 (スコア:1)
最初の発見、開発会社への通報までとその後のアクセスとを別扱いにしていると読めました。
会社との最初のやり取りまでは感謝されているようですが、その後の検証などについて
どういう話になっていたのかは書かれていません。おそらく学生に検証作業まで依頼しては
いないでしょう(憶測です)。
だからこそ「なおったかな?」という気持で確かめただけにせよ、不正アクセスとみなされて
しまったということでしょうか。
脆弱性があることを知っている人がアクセスした行為についてだからこその厳しい対応だった
とはいえるでしょうが、悪意があったとまでは見なされていないように感じます。
もしそこに悪意があるとみなされたらただちに逮捕→裁判という流れになっていたのでは、
思います。
---- sinbo
Re: (スコア:0)
reoだしな。
Re: (スコア:0)
感謝する。思いっきり誤解するところだった。
報復 (スコア:2)
どうもこういうネタを見るたびに大枚はたいたシス
テムの穴を学生ごときに暴かれた当局側が侮辱
と受け取って報復したような気がしてならない。
Re:報復 (スコア:2)
放置して今度は悪意を持った人が穴に気付き、情報漏洩やそれ以上の被害が起こることに比べたら安いものだと思います。
本来やっておかなくてはならない対処を怠っていた、その分の作業なわけですし。
無くした信用も漏洩した情報も、いくら出費しても戻らないわけで、単なる損得では計れません。
今は亡き (スコア:1)
巫女SEェ…
Re:今は亡き (スコア:1)
巫女SEは死なず ただお隠れになるのみ
Re: (スコア:0)
若さゆえの
Re: (スコア:0)
彼女は非実在巫女っていうことになったんじゃありませんでしたっけ?
よかった、勝手にサーバーを止めた巫女はいなかったんだ。
こっそりやるから問題なのだ (スコア:1)
テストの実施は事前に通知しておくべき。
予告無しは駄目でしょ (スコア:1)
先にひとこと言っておけばいいのに、独断でいきなりやっちゃうのが駄目だって判らない
#良いように解釈したら、ですが
Re:予告無しは駄目でしょ (スコア:1)
学内で情報セキュリティに関するエスカレーションルールが無かったのか、あったとしてそれに従っていなかったのかが問題なのかも。
学生(下っ端)が頭(教授)を飛び越えて勝手なことしたのでメンツ潰されて制裁(見せしめ)食らったと邪推してしまう。
会社だとまず上司に報告(連絡)して、職制を通じて関係部署を巻き込んで外部の担当者に連絡するというのが筋ですかね。
#こういうしがらみに縛らた考え方をしてしまうのは社畜だけか
Re: (スコア:0)
元記事を見るとシステム開発元も大学も隠蔽体質なところがあったようで、退学にされた方の告発に近い内容に感じました。
氏の使った検証用プログラムはAcunetixという市販されているツールのようですね。
日本でこれと同じ状況になったらどうなんだろうと思いwikipediaで不正アクセス禁止法を調べると、認証系を回避して「本来制限されている機能を利用可能な状態にする」ことがそのまま罪になるみたいです。ACCS裁判ではCGIにファイル名の引数を直接指定することでFTPの認証を回避したというだけで逮捕、有罪になったということで、他人事ではなさそうです。ずいぶん世知辛い世の中になったと思うんですが、仕方ないんでしょうか。
対策としては皆さんが仰るように事前に通知しておくのが良いんでしょうね。
#Librahackは業務妨害で捕まったんでしたっけ。
Re:予告無しは駄目でしょ (スコア:1)
図書館のあれはIT関連の人ならあれでアタック判定されるとは誰も思わないだろう・・・
いつかどっかで (スコア:1)
聞いたような話だな。
京大の研究員が文部省管轄の団体のセキュリティ上の欠陥を指摘したところ、ほめられるどころかクラッキング犯として立件、処罰されたっけ。いずこの国も経済活動を妨害する学者は悪人として処罰されるわけだ。
だったら、企業サイトのセキュリティ不足を指摘したものは禁固三年の実刑に処すとかの法律を作れよ!
プロを目指してるのなら (スコア:0)
コードが見れる立場であればコード上の欠陥を指摘するのは問題ない。
人が管理しているサーバーのセキュリティーホールを事前通告なくつつくのは
アタックと言っていいんじゃないの。
情報関連の専門家を目指しているのならより慎重にしなきゃ。一般人より
罪が重いと教授達は考えたのかもね。
Re:プロを目指してるのなら (スコア:1)
名前がなんだかアラブ系っぽいから、そっちの線で警戒されたのかなぁ。
Re: (スコア:0)
だけどまあ気になるよね。
自分の個人情報が駄々漏れのまま放置されてるかもしれないんだから。
Re: (スコア:0)
自分のがダダモレなのが問題だという思考が有ればこういう行動自体が問題になるのは判る気がするんだけどなぁ。
大抵の人は判って居るから突かないで、判ってか判らずか突く人間がこういうニュースになるのだろうけど。
発見した罪 (スコア:0)
じゃあなくて、
検証と称してサーバーアタックプログラムを実行したことが罪でしょう。
Re: (スコア:0)
称してというのは本意が別にある場合のことですが、どこにそんなものが?
攻撃が目的だったとでも?
Re: (スコア:0)
優越感やら面白半分やら興味やらいろんなものが混じってても
おかしくないって思ったんじゃないの
Re: (スコア:0)
本意は教育で何十発も殴るとか
どこかで聞いた事のある話 (スコア:0)
なーんだ。図書館のシステムのことか。
Ahmed Al-Khabaz氏 (スコア:0)
完全に中東系の名前だよね。
元々謂れの無いやっかみの対象だったんじゃないの?
んで、今回の件でこれ幸いと追い払ったと。
藪蛇とか、触らぬ神に~とか、 (スコア:0)
そういう先人の知恵が凝縮されたsayingは
カナダにはないのかね?
おいおい (スコア:0)
通報までは良かったのに
>問題が修正されていたことを確認するために検証用プログラムを走らせたところ
これがいかん
追い払われるのは当たり前。
Re: (スコア:0)
おっと、ご指摘 thx です。修正しました。
Hiroki (REO) Kashiwazaki