パスワードを忘れた? アカウント作成
16576314 story
情報漏洩

福井市、URLを推測し公開前の人事異動情報を閲覧した職員を戒告の懲戒処分 49

ストーリー by nagazou
あらら 部門より
福井市は28日、公開前の職員人事異動のファイルを不正に閲覧し、その閲覧方法を別の職員にも伝えたとして30歳代男性職員を戒告の懲戒処分にした。人事異動情報のファイルは職員専用の掲示板に保存されていたもので、ファイルは未公開の状態だったが、URLの一部を書き換えると閲覧できたという(読売新聞)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年05月02日 14時42分 (#4453529)

    ハイパーリンクによる到達可能性と、リソースの公開可否は、別の次元の概念である。

    隠しておいたつもりかもしれないが、そのような場に置いたことがそもそも誤り……。

    • by Anonymous Coward

      誰でも見られる場所に置いておいて、見たら懲戒っておかしいよね。
      公開前ならパスワードでもかけとけと。

      • by Anonymous Coward on 2023年05月02日 22時28分 (#4453779)

        この話題でOffice氏の事件に全く言及がないのは時代を感じるなぁ。

        欠陥を指摘するはずが個人情報流出。セキュリティ専門家に捜査の手
        https://srad.jp/story/04/01/04/1327206/ [srad.jp]

        このCGIには外部からの侵入を防ぐ工夫がなく、全ての情報が公道に放置されているような状態だった。弁護士にも
        相談したが、不正アクセスではないと思う。

        ACCS事件でoffice氏に有罪判決
        https://srad.jp/story/05/03/25/0423214/ [srad.jp]

        Office氏は、「アクセス制御がなされておらず、不正アクセスではない」と主張したが、「アクセスはプログラムの脆弱(ぜいじゃく)性を利用したもので、管理者は想定もしていなかった。アクセス制御機能による『特定利用の制限』がかかっていたといえ、被告の行為は不正アクセスに当たる」とした。

        つまり、リンクを張らないのはアクセス制御だし、パスを直接入力するのは犯罪。

        親コメント
        • by Anonymous Coward

          本件では脆弱性を利用したって事?

          • by Anonymous Coward

            office氏事件の「脆弱性」が何のことだか分かってる?

        • by Anonymous Coward

          技術的にどうのこうのは裁判所には通じないとはいえ、
          管理者が「鍵をかけたと認識した」ら後は何があっても不正アクセス扱いなのもなぁ

        • by Anonymous Coward

          あの事件のURLを貼ってるのに、内容についてはあまり理解してないみたいですね…。

        • by Anonymous Coward

          office氏(全部小文字)の名前すら正しく覚えられてないもんな

    • by Anonymous Coward

      んだね人通りの少ない廊下に張り出してたのを見たら懲戒処分とか罠以外の何物でもない

      # まぁ不用意に歩き回って探す方も探す方だが

      • by Anonymous Coward

        課長か部長の机の上に裏返して置いてあった資料覗き見て、一見して非公開情報なのは明らかなのにその内容を吹聴してまわったら怒られるのと同じかと

        見てしまっても見なかったことにしておくべきだった。見たことが処分権のある人の耳にまで届いてしまったら、その人は知らないふりは出来ない

  • by Anonymous Coward on 2023年05月02日 16時32分 (#4453573)

    20年以上前の話だが...

    ロイターがURL推測で不正アクセスとして告訴される
    https://srad.jp/story/02/10/29/114219/ [srad.jp]
    > このレポート、実はIntentiaのウェブサイトにアクセス制限無しに置かれていたのだ。ただし、どこからもリンクされずに。ロイターは過去の財務レポートのURLから今期のレポートのURLを推測してアクセスしたとのことだが

  • by Anonymous Coward on 2023年05月02日 17時33分 (#4453600)

    「ウェブページのソース閲覧はハッキング」、情報漏洩を指摘した人物をミズーリ州知事が起訴する意向 [security.srad.jp]

    役人が技術に明るくないのは別に罪じゃないけど、手落ちを認められず居直るのは罪であるべきだよなあ。
    特に地位が上であればあるほど重罪。

  • by Anonymous Coward on 2023年05月02日 14時14分 (#4453501)

    fukui.jp/idou?id=xxxx
    みたいなしょぼいURLだったんでしょ。

    • Re:どーせ (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2023年05月02日 14時18分 (#4453505)

      idou2023.htmlに一票。

      親コメント
    • by Anonymous Coward

      fukui.jp/idou2022.htmlぐらいしょぼくないと面白みがない(マテ

    • by Anonymous Coward

      fukui.jp/idou?id=xxxx
      みたいなしょぼいURLだったんでしょ。

      見たことがバレているのでfusianasanかも

  • by Anonymous Coward on 2023年05月02日 14時33分 (#4453523)

    他の人にも教えてるから戒告くらったのかな。
    そもそもURL変えるくらいじゃ不正アクセスってわけでもないし。

    • by Anonymous Coward on 2023年05月02日 16時53分 (#4453579)

      処分受けるのはそんなURLにして事前公開したやつだよな。おかしいよ

      親コメント
    • by Anonymous Coward

      残念ながら不正アクセス。やーいひっかかったー、不正アクセスー、と訴えられるとそういうことになる罠なので、注意が必要。

      • by ogino (1668) on 2023年05月02日 15時39分 (#4453554) 日記

        個人のブログだと思いますが、非公開URLで情報を守ることは出来ない話 [blog.apar.jp]がよくまとまっているように見えました。

        議論になるのは、所謂「隠しURL(Uniform Resource Locator)」や「隠しフォルダ」といわれるものである。先述の如く、パスワードだけでも識別符号たり得る以上、暗号化URL等、例え単なるURLであってもパスワードと同様の機能を果たす場合もあるからである。しかし、原則として、こうした場合にはアクセス制御がかかっているとはいえない。何故なら先述の如く、アクセス制御機能とは、特定利用を自動的に制御するために「付加されている機能」であって、URLを入力しさえすればHPが表示されると言った場合、そこには付加された機能は存在しないからである。

        田中規久雄. 不正アクセス禁止法における不正アクセス行為の概念. 阪大法学, 2011-03-31, 60, 6, p.53-81. より引用

        ②方式の場合には、問題となる URL はファイル等に付されたものであって利用権者等に付された符号ではないことが多いことに加え、問題となる URL において利用権者等の区別・識別を目的とする趣旨が表れているとはいえないことが多いことから、原則として、当該 URL は識別符号に該当せず、不正アクセス行為該当性は問題とならない。

        岡部天俊. 非公開URLと不正アクセス行為概念 : いわゆるZoom-bombing問題を契機として. 北大法学論集, 2020年11月27日, 71, 4, p.109-125. より引用

        親コメント
        • by Anonymous Coward

          今回の件とはだいぶ話が変わりますが、URL自体に認証情報がくっついているようなケースだとどうなるんでしょうか。
          AWS S3の署名付きURLとか。(トークンだけで1200文字ぐらいあります)
          https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/ShareObjec... [amazon.com]

          • by Anonymous Coward

            第三者が同じURL踏んで通るなら公開情報扱いになるんじゃないかな。
            URLパラメタにIDとPASSが有るみたいなパターンでも、リンクをたどる前に全てを確認とかやってられないし。

            • by Anonymous Coward

              BASIC認証のidとpassを埋め込んだURLの出番だな

          • by Anonymous Coward

            URLの中に入っている認証情報が識別符号だとみなされるとすれば、不正アクセス禁止法の
            >アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る
            >他人の識別符号を入力して当該特定電子計算機を作動させ
            に該当してしまって、不正アクセス行為に該当するような気がする。
            リンクとかの場合は
            >当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするもの
            に当たるかどうか依存ではないのかなあ。

      • by Anonymous Coward

        推測したURLへのアクセスで有罪になるケースなんてあったっけ?
        パスワード掛けてなきゃ管理側が悪いってニュースなら見た記憶あるけど。

        • by Anonymous Coward

          法的な不正アクセスには該当しないんじゃないかと思うけど、違法でなくても職場のルールに違反すれば処分を受けることはある。
          リンクされてない(でもアクセス制御もしていない)ファイルへのアクセスを禁じるルールがあるとは考えにくいけど、隠してあると推測できる内容を他者に漏らすことがアウトというのはあるんじゃないかな。

        • by Anonymous Coward

          「推測したURL」がHTTPのGETだけじゃなくてPOSTも含むなら、それこそがACCSの個人情報漏洩事件(懲役8ヶ月執行猶予3年)。たしかに普通のブラウザのアドレスバーで足りないのは裁判で言われている通りだけど、そんなのいくらでも方法はある(被告はHTMLのソースを改変して推測したパラメーターを送るフォームを作成)。

          https://internet.watch.impress.co.jp/cda/news/2005/03/25/6983.html [impress.co.jp]

    • by Anonymous Coward

      スラドの感覚だとアクセス制御してないのダメだろって思うけど、
      シンプルな報道からは把握できない悪質な背景がある場合もあるから何とも言えない。
      まあ業務倫理的には偶々知ってしまったとしても安易に拡散しちゃいかんってものはある。

      • by Anonymous Coward on 2023年05月02日 15時59分 (#4453563)

        よくある個人情報流出事件を踏まえると、最も処分を受けるべきは、
        不適切な情報管理を行なった人事部とか、情報管理を適切に行えないシステムを放置してた情シスだと思うけどな。
        今回はたまたま内部に閉じた事件だったので、アクセスした人に全責任を押し付けた感じがする。

        親コメント
        • >不適切な情報管理を行なった人事部とか、情報管理を適切に行えないシステムを放置してた情シスだと思うけどな。

          これですね
          パブリックに見せたくなければパーミッション600にでもしておいて、公開日時に644にすればいいのに

          親コメント
        • by Anonymous Coward

          今回は地方公務員だけど、国家公務員の場合の指針はこうだ。
          https://www.jinji.go.jp/kisoku/tsuuchi/12_choukai/1202000_H12shokushok... [jinji.go.jp]
          (8) 秘密漏えい
          ア 職務上知ることのできた秘密を故意に漏らし、公務の運営に重大な支障を生じさせた職員は、免職又は停職とする。この場合において、自己の不正な利益を図る目的で秘密を漏らした職員は、免職とする。
          イ 具体的に命令され、又は注意喚起された情報セキュリティ対策を怠ったことにより、職務上の秘

      • by Anonymous Coward

        >シンプルな報道からは把握できない悪質な背景がある場合もあるから何とも言えない。
        そんな蓋然性に乏しい仮定(想像)をさも普遍的な前提であるかのように言われましても・・・
        個別の事情に照らして「何とも言えない」ことの証左が必要な話ですよ

    • by Anonymous Coward

      23日当日に3時間早く見たということですが、もし、22日朝に見ていたら大変なことになっていました。
      なぜなら、福井市議会への人事異動案の説明と承認を得るのが、22日だったからです。

      過去に、議会説明前に人事異動案が流出し、人事異動を急遽変更した自治体の例があります。
      もちろん、市役所側は上から下まで議会から怒られて、何人も処分されます。
      それぐらい、議会による人事案の承認というのはとても重要な儀式だとされています。

  • by Anonymous Coward on 2023年05月02日 14時39分 (#4453527)

    未公表のURLとか言うならわかるが閲覧できるものを未公開と言うのだろうか。

    • by Anonymous Coward

      不服として裁判になって面倒なことになりそう。

    • by Anonymous Coward

      俺のやってるソシャゲがアプリだけどiphone用にsafariで出来るようになってて
      公開前のステージを予測で開いてプレーした奴がいて、垢バンまでにはならなかったけど
      ランクと特典は没収だった

      • by Anonymous Coward

        ブラウザのクッキーやキャッシュ全部削除して全く違うIPアドレスから見るべきだと思うけど、
        本垢にログインしたまま見ちゃうのはオツムが弱すぎではないかと

        • by Anonymous Coward

          もう今の時代IPアドレス変えるの面倒で・・
          前はルーターから切断したり、ルーター自体を再起動したら変わったんだけど
          もう今は何しても変わらないから2chのIP表示スレに書き込めなくなった

          • by Anonymous Coward

            IPアドレスが変わるISPを探すしかないんじゃねーの。NuroとYahooBBは昔からダメ。
            俺はIPアドレス変わるスマホの回線で凌いでるけど。

  • by Anonymous Coward on 2023年05月02日 17時23分 (#4453593)

    https://srad.jp/poll/ [srad.jp]ここの数字/
    を書き換えれば次の国民投票見れるし

    https://srad.jp/tag/mainpage [srad.jp]
    mainpageタグに数時間後や明日の公開予定のストーリーが題名と時間だけ表示されてる

    • by Anonymous Coward

      それ秘密にしないといけない奴なん?

      • by Anonymous Coward

        ストーリーのも秘密にしないといけない奴なん?てなるよね。
        だから人に教えたんだろうし。

        秘密にしないと不味いケースも有り得はするし、法的な制約もあるけれど、
        概ねは別にだからどう?なケースが大半、むしろ見えた方が業務上円滑な事すらあり得る。
        その辺の線引きを有象無象の職員に察しろと言う方が無茶。
        結局、開示不可のを開示設定でアップしたオペレータとシステムが悪い。

  • by Anonymous Coward on 2023年05月02日 19時11分 (#4453663)

    通常、CMSに、〇月〇日〇時更新、とか指定してアップしておくのではないの?
    そうすれば、時間が来るまで見えない

    • by Anonymous Coward

      予算が出せない、構築運用のスキルが必要、担当者が異動となったら引き継がせないといけない
      といった理由で日本のお役所では特に忌み嫌われてる

typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...