検察官を翻弄しまくったoffice氏の奮闘 - 佐々木俊尚の「ITジャーナル」
自分は、事物をまず直感で理解してしまうタチなので、その後の理論による補強で失敗することがよくあります。
理論を調べると実は間違ってたとか、理論が調べきれずにぬけがあったとか。悪癖であることは間違いないのですが。さて、そういう前置きで。
ACCSがセキュリティホールのあるCGIを置いていて、それをoffice氏がちょちょいとそのホールをつついて個人情報を抜き出した。それをセキュリティ講座か何かのネタに使ってしまった。ついでにACCSさんもっとマシなの使いなよ恥ずかしいよ？　と指摘した訳だ。
まず、office氏は個人情報を公開してしまった。これについてはもうどうにも申し開きはできないし、office氏も頭下げてるし一日一回の巡回を行っているらしいので、決着がついていると思っていいのかな？
で、裁判の論点は、セキュリティホール（と言うほどのもんでもないんだがなあ）をつついたのが不正アクセスか否か、と言うことか。
私はoffice氏がどんな人なのか知らないので、この個別の裁判よりもこれによって決まる今後の「判例」に興味がある訳で。
で、Webプログラミングに手を染めてる人間としては、「不正アクセスではない」と言う判決が出て欲しいと思ってる。
http://www1.neweb.ne.jp/wb/soutou/で一度「サイバーノーガード」を（多分ネタとして）提唱していた。つまり、何のセキュリティも施さずに放置しておいて、実際に善意から「穴がありますよ」と指摘した人間を犯罪者に仕立て上げて血祭りに上げ、本当に被害が出たらその善意の人間に責任転嫁する、と言うようなセキュリティ・ポリシーだ。いやマジでこれでやってる企業が多そうで嫌なんだが。
何が言いたいかと言うと、あれが「不正アクセス」であると言うことになれば、逆にセキュリティホールを放置することにつながりかねないと思うからだ。「いざとなれば訴えればいい」と言う意識が出来てしまうと、逆に予防（セキュリティ）意識は反比例してなくなってしまうんじゃなかろうか。
だから、社会全体のセキュリティ意識を高めるためには、判決として「不正アクセスではない」ことになって欲しいのだ。
それに、技術的に、Webの向こう側からサーバーに対しどんなリクエストが飛んでくるのかわかったもんじゃない。だから、「来た全てのリクエストの中から無効なものを除く」やり方から「一旦全部のリクエストをブロックしておいて有効なものだけ通す」やり方がより好ましいはず。
そういうちょっと考えればわかる努力をしないで、ちょっと想定と違う操作をした人間をヒステリックに槍玉に挙げるのは、駄々をこねる子供と同じに見えてしまう。感情的にも、不正アクセスであって欲しくないのも確かだ。
……法律とかって、本来強者が横車通すためにあるんじゃないだろ？　逆だろ？
まあ、一方の側の見方だけしてもアレなんで、企業の側に立って考えてみるが……ACCSは「面子に泥を塗られた」こととそれに伴う風評被害を受けたようだが、それがセキュリティホールの指摘者を吊るすことで回復することは決してないし、むしろ恥の上塗りにしかならない。裸の王様は裸だと指摘した子供を処刑しなかった。ここで処刑していれば他にどんな偉業を成し遂げていようとも、暴君としか呼ばれなかっただろう。
もちろん、一旦ふりあげた拳はどこかに振り下ろさないと気がすまないんだろうけど、振り上げる前に冷静に考える時間が取れなかったものかと思う。ACCSは裁判を続ければ続けるほど傷ついていくだろう。後は、どこで裁判をやめるか、どれだけの被害までを許容範囲とするか、そういう問題でしかない。
裁判を起こすのは人間だけだ。ある人間の意思が、企業と言う衣をまとって原告になったり被告になったりするだけだ。ただ、衣をまとってしまうことで、それが一体誰の意思なのかが曖昧になってしまう。企業を一方の主役とする裁判は、いつだって不透明だ。