Counter

ACCS不正アクセス事件
Site Index

■事件の経緯をかいつまんで教えて。

 京都大学国際融合創造センター研究員の河合一穂容疑者(通称「office」氏。以下office氏)は、2003/11にACCS((社)コンピュータソフトウェア著作権協会)が運用するASKACCS(著作権・プライバシー相談室)サイトの著作権侵害報告CGIの脆弱性を発見しました。脆弱性の内容は、CGIに特定の引数を与えることにより、ASKACCSに質問を寄せた1,184人の氏名・住所・電話番号・年齢・メールアドレス・相談内容・送信日時等の個人情報を入手できるというものです。このCGIはもともとサーバ運用管理会社であるファーストサーバ社がCGIキット「標準CGI」の一部として配布していたもので、office氏は2003/7/25の時点でこのCGIの脆弱性を発見していたと言われています。その後office氏はこのCGIがASKACCSサイトで利用されているのを知り、上記の脆弱性を使って11/8までに少なくとも計4回のアクセスを実行し、1,184名の個人情報を取得しました。この経緯については、office氏の掲示板Tea Room for Conferenceのスレッド#1613#1616に本人の説明があります。

・11/8 office氏はハッカーコミュニティ「A.D.200X」主催のセキュリティカンファレンス「A.D.2003」の席上でこのセキュリティホールを公表し、具体的なアタック手段に加え、実際にASKACCSの投稿フォームを利用した4人の個人情報を含むpptスライドを上映しました。office氏が映写したpptファイルはA.D.2003の会場サーバ内に置かれていましたが、このサーバは無線LANで公開されており、この資料が複数(A.D.200Xの報告では関係者含めて12名)の会合参加者によってダウンロードされました。後にこのpptファイルは2ちゃんねるアップローダーに流出し、さらに不特定多数のユーザの手元に渡った可能性があります。またこのカンファレンス終了後数時間以内に、少なくとも2人の人物がoffice氏が発表した手口を使い、海外のプロクシサーバを経由してASKACCSサーバ内のファイルにアクセスした形跡が見つかっています。「A.D.2003」でのoffice氏発表の様子については、Web現代 デジタル特捜隊::ITは人を幸せにするか 第19章 漂流するセキュリティ(1)に詳しいです。

・11/8夜 office氏、ACCSにメールでこのセキュリティホールを通知。
・11/9午後 ACCS、ASKACCSサイトを閉鎖。
・11/11 ACCS、この脆弱性に関する問題を初公表、記者レクで情報漏洩を謝罪。
・11/24 office氏、自webサイトでACCSに対する謝罪文を公表
・12/26 ACCS、この事件の続報を発表(ACCS側から見た時系列的まとめアリ)。
・1/22 ACCS、事故調査委員会による調査報告書を発表
・1/27 問題のpptファイルが2ちゃんねるのアップローダに流出。
・1/28 A.D.200X、「国立大学研究員によりなされた個人情報漏洩問題に関する調査報告」を発表
・1/29 ACCS、「緊急のご報告」を発表
・2/4 警視庁、不正アクセス禁止法違反と威力業務妨害の疑いでoffice氏を逮捕。
・2/4 A.D.2003参加者と思われる別人物2名が、同じ手法でASKACCSサイトの内部ファイルにアクセスしていたとの報道。