不正アクセスはまずシステム管理者の問題

　私が書いても面白い話にはならないだろう。日経新聞社説「不正アクセス対策、再点検を」がおざなりすぎてこんなもんかいなと思った。話はれいのoffice事件だ。

　著作権保護団体のホームページから不正に個人情報を引き出したとして、京都大学の研究員が不正アクセス禁止法違反で逮捕された。電子政府構想が本格化する中、国家公務員法の適用を受ける国立大学の職員による行為だけに許し難い話だ。

少年動物誌

　この研究員のハンドルがoffice。最初は、offenceの間違いかなと思ったが、洒落心はないようだ。
　ユンク心理学者河合隼雄の甥、という情報も見かけた。それって河合雅雄の甥ではないのかと思ったが、そういう洒落心もないのだろう。河合兄弟、知らない？　最近は「少年動物誌」とか読まれてないか。絶版ではないようだ。買って読み直したい気になる。

無意識の構造

　ついでに河合隼雄の肩書きが「文部科学省顧問 前国際日本文化研究センター所長」とあるのを見て、ふーんという気がした。気になって「無意識の構造」が絶版か調べてみる。大丈夫、まだある。初版は1977年。これは市民大学講座のテキストをまとめたもので、私はこの講座を全部見ていた。中公新書で出たはけっこう後だった記憶があるから、放送は1975年ころか。私は高校生だっただろうか。初回の講義は河合隼雄がぬぼっとでてきてありがちなものだったが、二回目から女子学生をスタジオに連れてきて彼女らに話すように解説したと記憶している。面白い講義だった。30年くらい前になるのか。あのときの河合隼雄は今の自分くらいの歳かと思うと、最近のヨーダ化している河合隼雄を見るに、人生は長くないなと思う。あのころ、河合隼雄はユンク心理学を日本に定着させるべく模索しながら、さすがにその後の俗流ユンク心理学者とは異なり元形論の危うさと深さに苦悩していたと思う。人生後半の危機と影とアニマに思い入れがあったようだ。45歳くらいだと、彼自身の課題でもあったのだろうと思う。
　話が逸れまくった。officeは河合の血筋なんだろうなと思うがそれでなにか言いたいわけではない。日経が社説にまで書いて問題にしているわりに、彼がやったことは、技術的にはたわいないことのようだ。その解説は「圏外からのひとこと」の「30秒でofficeになる方法」（参照）が面白く関連の話も面白い。プログラマならこのあたりは普通の感覚ではないだろうか。ついでに、「元祖しゃちょう日記」の「情報を伝えるメディアと情報を誘導するメディア」（参照）も笑えた。日経にしても朝日にしても、技術的なレビューをする者がないということなのだろう。それも問題だなとは思う。
　頭がこっちサイドになると以下のような話は、不思議な世界の出来事のような印象もある。

問題はなぜこうした事件が起きたかである。研究員は首相官邸や都市銀行など多くのホームページの問題を専門誌などで指摘するマニアだったが、いずれも「ＣＧＩ」と呼ばれるプログラムの欠陥を問題にしている。ホームページに必要事項を記入すると欲しい情報を返してくれる一般的なシステムだが、古いプログラムでは意図的に操作を加えると蓄積された情報を見ることができた。

　コメントしようもない。結語は「侵入者は当然罰せられるが、情報を扱う側にも守る責任がある。」というつまらないしろものだ。
　うまく言えないのだが、プログラマはシステム管理者たちは、この問題をどう考えているか、というと、ぬるい困惑というところだろう。その辺の「ぬるさ」というのは、社会とどう関わっているのかよくわからない。日経社説はピンボケだがピンボケとして笑って済むことでもない。
　関連して住基ネットだが、これもヤッシーが言うほど問題でもないし、ヤッシーが誰かに乗せられているのだろうが、その方向からつっついても、技術的にはどってことない。RFIDについても似たようなもので、技術的には、それほど問題でもない。office事件のような話も、技術的には、間抜けでお笑い、なのだ。
　社会の危機の問題で言えば、今朝の毎日新聞社説「住基カード　露呈した本人確認の危うさ」がいいところを突いている。問題は、そうした技術と関係したところで起きる。事件はこうだ。

　事件は、有印私文書偽造・行使などの容疑で逮捕された男が知人になりすまし、申請書に自分の顔写真を添付して知人名義の住基カードの交付を受けた、というものだ。たまたま男がカードを紛失したため犯行が発覚したが、名義人も同市役所関係者も虚偽申請の事実に気づいていなかった。

　そういう社会になるのだ。というか、日本とはそういう社会だった。今だって健康保険証は本人確認に十分なわけないし、フリーター君たちがやっているように、「風邪ひいたぁ、保険証、かしちくれぇ」という互助の社会は暗黙の了解である。今週のSPAのくらたまの漫画にあるように、婚姻届や離婚届なんか、偽装は簡単なものである、というか、むこうさんも手慣れたもので、痴話に適当に距離を置くというくらいだ。のわりに、国籍が絡むと陰湿だがな。ちょっとここに書けないネタも私は知っているのだが…ちょっとだけいうと、戸籍の係のとこに康煕字典が置いてあるんだよね。ついでに相続についても、けっこう杜撰だ。私の父は叔父に全財産を盗まれている。
　いい加減なまとめだが、日本のそういう間抜けというのは、それなりに意味があり、機能しているのだとしか思えない。それにIT化というのは別のルールを持ち込むということだ。そして、そのルールはつい、阿呆な視点か技術の視点で語られる。そして技術の視点がつい勝ちになる。そりゃ、ね。
　だが、私は社会に技術が関連しているとき、その説明責任は技術に依存してはいけないと思う。昔アメリカの人生論だったか、「あなたの問題をコンピューターのせいにする言い訳をけして認めてはいけません」というのがあった。これは、断固として認めてはいけないのだ。そのカラクリを理解しようとしてもいけない、というのがポイントだ。
　私は昔流しのプログラマをしていたし、8ビットCPUくらいの論理回路を組むこともできた（今はつらいか）。だから、情報技術のトラブルの説明で技術情報をされてもたいていは、嘘こくんでねーとか思う。しかし、そんな背景は、結局必要ない。
　問題は市民社会の問題なのだから、その文脈で筋を通せばいい。そうした観点で言えば、今回の事件の不利益を起こしたのは誰か？　officeか、システムの管理者かということになる。私は、金庫に入れない金は盗まれてしかたがないと思う市民なので、システム管理者が一義的には問題だなと思う。

コメント

officeさんのやったことはごく普通のこと、です。

>「あなたの問題をコンピューターのせいにする言い訳をけして認めてはいけません」というのがあった。これは、断固として認めてはいけないのだ。そのカラクリを理解しようとしてもいけない、というのがポイントだ。

と

>金庫に入れない金は盗まれてしかたがないと思う市民なので、システム管理者が一義的には問題だなと思う。

が本質です。ただ、あえて書かなかったのかと思われるのが、「システム管理者の問題」と言い切っているところ。お気づきかと存じますが、「システム管理者なんてもういない」ことがホントの問題でしょう。ここはfinalventさんが意図的に筆を省いたのかと推察します。

鯖は立てっぱなし。ログ見て診断してくれるような「システム管理者」なんて、いませんよ。あれだけ騒がれたにもかかわらず、いまだにディレクトリ丸見えの鯖がなんと多いことか。

立場上、名無しさんを名乗らせていただきます、ご容赦を。

投稿： anonymous | 2004.02.13 18:57

どもです。ああ、その「システム管理者」ですよね。システム管理者とはなにか…それは、ある日、上司が「君やって」と指さされた人。洒落はさておき、システム管理は難しいです。PHP3なんてすごかったけど、PHP4はどうなのでしょう。なんかお茶を濁すようだけど、Windowsもソース流出でこれからどうちゃうのか…。Windowsで鯖立てるな、ですよね。ああ、支離滅裂になります。Macromedia系とかもなぁ…。

投稿： finalvent | 2004.02.13 19:06

RFIDの話題も拝見させていただきました。ぶっちゃけ、技術なんてどうでもいいんです。finalventさんが喝破しているように、「ぬるい困惑」だけがまわりを覆っています。だって、技術を用いるのは「ニンゲン」なのですからねえ（笑）。
跳躍ついでに、わたしも跳躍します。アニメ「攻殻機動隊」みたいなことは、本当にできるなあと実感してます。派手なドンパチじゃなくって、あっちこっちの死に体の鯖を経巡って自己増殖する、、、で、必要なときに皆で一緒に考える、、、って、素敵v。

キーボードの周りを覆うような器具は、これから売れるやろな(独言)

投稿： anonymous | 2004.02.13 20:17

ども。「キーボードの周りを覆うような器具は、これから売れるやろな」それりゃいい。株買いだとどこだろ、ってノルなよ＞私。

投稿： finalvent | 2004.02.14 11:24

>ある日、上司が「君やって」と指さされた人。

という人がまだまだ多いと思います。さらに本業の他にやりなさい、もちろん、本業の方も手を抜かずに、というパターンとか。そういう状況を考えると、システムの欠陥を突っつくような行為は処罰の対象にする、というのも致し方ないような気もしています。セキュリティ情報に気を使ってどうのこうのしているヒマなんてないだろうし。専門業者に依頼するというのも「お金かかるし、キミ、パソコンに詳しいじゃないか」で終了ですし。

とはいえ、今回のACCSは専門の管理会社に委託するだけの余裕もあったわけだから、「システム管理者の責任」でおっけーだと思いますが。でも、office氏も悪のりしすぎですね。

投稿： jouji | 2004.02.14 13:43

joujiさん、こんにちは。

ある意味、金で解決せよって言えると思います。つまり、管理会社に委託です。現実問題として、その業界というか、覗いてみたい気がします。私が流しのプログラマしていたころ（20年近く前）のようなダークな世界なのでは。

投稿： finalvent | 2004.02.14 15:13

joujiさん、正しいです。しかし、finalventさんも、正しいです。

専門の管理会社は確かにあります。Apatchにパッチぐらいはあててくれるでしょう(joujiさんが正しいところ)。
しかし、管理会社は、パラメタの穴("search?="以降)を仕様と見なすため、関わろうとしないでしょう(finalventさんが正しいところ)。

入力データと検索結果から推理して、あとは根気強くTry&Errorを繰り返すことで、ポケモンゲットは可能です。ゲットしても、しょせんカントー地方だけの話なので、悪ノリだけで済みます(joujiさんが正しいところ)。
もしも、関東平野でも金銭化できるのなら、それこそダーク・ポケモンマスターがたくさん誕生するでしょう(finalventさんが正しいところ)。

追記:読唇術ってやつありますよね。タッチタイプでも同じです。キーボードの周りを覆うようなやつは、一部の自治体で導入しています。住民管理台帳? 電子申請ってやつにたくさんたくさん予算がついたから…finalventさんが詳しいですね。

パソコン音痴のオヤジがよくやる二本打ちが流行ったりして（笑、だけど半分マヂ）

投稿： anonymous | 2004.02.14 17:53

こういう職場はまだあるんじゃないでしょうか?ここでセキュリティがどうの、と言われてもどうしようもない、と。ゆえに「管理者の責任」と言われても、それを一概に責められない部分があると思います。

http://www.atmarkit.co.jp/fsecurity/rensai/beginner01/beginner01.html

#会社や職場が悪いのはわかりきっているが、いまさらどうしようもない。よって、クラック的行為を法律によって裁く傾向を強めることで、技術的なヘボをカバーするしかない、というのが私の考えなんですが。

投稿： jouji | 2004.02.22 15:24

えっと・・
ヤバイ方向に話が進んできているので、ちょっとここで出しゃばらさせてください（・・バリアを）

※さきに言っておきますが、ぼくは「監視と権力」ヒステリーじゃないです

この問題、「監視と権力」ですね？
（どっかの社会学者サークルが見たら飛びついてきますよｗ）

つまり、

「“法律によって裁く”という場合、誰がその中心になるのだ」⇒「国家じゃん！」⇒「国家権力発動！？(^^;)」

って流れです

でぇも、
ここまでの議論の流れで、現場レベルでの技術の問題を見れば監視なんてのは実質的に不可能ということが分かってきてますよね？

ってことは「・・やっぱ国家に監視させる・・か？」ってことになるけど・・・ここはぼくちょっとやっぱ抵抗があります。第三者・・・ですかね？
（でも、それ作るとしてもけっこうな根回しというかシステム改革が必要ですよね・・）

じゃあ、最初のほうで匿名のかたがいわれたようにためしに「攻殻機動隊」モデルで考えてみますか？

その場合は・・・やっぱり民間と特務部隊って感じになってますね・・・でも、そんなのいまの日本で組めるんでしょうか？？

投稿： m_um_u | 2004.02.22 15:40

joujiさん、m_um_uさん、どもです。

ちょっと頓珍漢な意見になるかと思うのですが、今回のoffice事件についていうと、私の印象ではまるで「セキュリティ問題」ではない、のです。レベル低過ぎ。むしろ、国家側のこの大騒ぎと威嚇はなんだべ？という感じです。

話をはしょってしまうので「と」っぽいのですが、office事件とそれをとりまくネット側というかブログ勢力？って、どこかエリート臭がするのですよ。

つまり、非エリートでセキュリティの甘いのなんか、別にからかってなにが悪い？みたいな。で、とちくるった権力に対して「国って馬鹿だなぁ、でも困ったなぁ」と言うか？

こうした枠組みだと、セキュリティはエリートには守れてあたりまえだし、エリートはセキュリティが、極言れるば、問題にならない。

で、私が、気になるのは、市民の言葉がない点なんですよ。市民は国家に威嚇されるか慰撫されるか、あるいは技術エリートに馬鹿にされるか。もうちょっというと、技術エリートが、市民を守ってくれそうないなぁという感じですね。そのあたりから、じゃ、国家へとなびく動きはあるかもなとは思います。

投稿： finalvent | 2004.02.22 17:31

ああ・・なるほどぉ・・
これって平たくいうと某掲示板サイト（まぁ、２ちゃんやスラッシュドットを中心とした）のことでしょうか？
（キケンだったら答えてくれなていいです）

そして、そのひとたちがいつもの「祭り」気分で見ている、と・・。

そして、「市民」の声・・ですね

このあたりはJanJanあたりの温度がちょうどいいと思うのですが・・
http://www.janjan.jp/living/0402/040205860/1.php

・・ざっと見た感じだと、やはり「国の威圧」という視点は出てきていない感じですね・・。

（あと、JanJanってのは「わりと発言するコミュニティ」って感じで、市民というのとは少し違うのか・・）

・・・・長野県あたりが失敗すると、一気に国家になびきそうですね..

投稿： m_um_u | 2004.02.22 17:53

上の少し補足です

JanJanのコミュニティ的特質として、
「一般的な市民」というよりは「市民の中でもある程度、発言をすることができる人（オピニオンリーダー候補？）」というのが当てはまるとぼくは考えています

投稿： m_um_u | 2004.02.22 17:59

>エリートが、市民を守ってくれそうないなぁという感じですね。そのあたりから、じゃ、国家へとなびく動きはあるかもなとは思います。

そのような感じです。「守ってやるから正当な報酬を出せ」あるいは「無料でいいからroot権だまってよこせ(よこさなくてもとれるから黙認すれ)」と言われても、

#いや、後者はないとは思いますが(苦笑)。

それは現状ではできないところが多い。であれば、クラックとおぼしき行為は違法とした方が早いと一般市民(含むにわか管理者)が判断することは仕方のないことではないか、ということです。

>この問題、「監視と権力」ですね？

えと、そこまで大きな話ではなく、今回のようにうかつな行動をとった人をいけにえ的に逮捕していく、という感じになるかと。

投稿： jouji | 2004.02.22 19:00

で、ちょっとイタズラ心を起こしてクラックしようとする者を抑制する。一方、セキュリティホールの指摘のルールについては、今後の裁判などを通じて基準を作っていくしかないかと。

「accs、だせー、ださいなー」

と言っても、そのださい組織がたくさんある現状ではそれしかないような気がしています。

投稿： jouji | 2004.02.22 19:04

監視と権力については、finalventさんが「1984」で喝破してますね～。「ビッグ・ブラザーはいっつも見てるよ～」のメッセージは、時代が変わっても生きてます。技術なんてどうでもいいんです、当局がどっち向きかを知るだけで。

>>joujiさん、
技術的云々なんて、どうでもいいんですよ。どうすべきかを考えて、理由はあとからいくらでも、ですから。

ええと、私はまじめに挑戦したことがないけれど、ちゃんとやったら、かなり取れるはず。「ダーク」ポケモンマスターは、可能です。そんなことより、あなたが有権者だったら、こっちを気にしましょう、次は誰に投票するかをね（わらい

>> m_um_u さん
m_um_uさんの予想通りになったら、きっと、すげー面白い話になるんだろうなぁ…
「三本の矢(榊 東行)」とか面白いと思います。

finalventさんが引用した、

>「あなたの問題をコンピューターのせいにする言い訳をけして認めてはいけません」というのがあった。これは、断固として認めてはいけないのだ。そのカラクリを理解しようとしてもいけない。

が、やっぱりポイントですね。コンピュータのせいにすれば時間が稼げる。でも、問題はコンピュータじゃあないんだよ!! システムなんだよ!!

投稿： anonymous | 2004.02.22 23:16

組織の改革が必要かな。だって組織から不正アクセス受けてるっぽいもの。

投稿： ありゃま | 2007.11.14 15:39

組織１００人対PC素人は大変ですね

投稿： ５JCK | 2007.11.14 15:49