さて、まとめてると、
1.be鯖の/sss/以下にキャップなどの情報を残していた
2./sss/自体のアクセス権が777(全アクセス許可)になっていた
3.掲示板のcgi自体にXSS対策をしていなかった
4.騒動に紛れ、キャップを不正に利用し板移転や削除などを様々な人間が行った
2・3番はまずあり得てはいけないこと。ましてやアクセス権の設定をしていないということは誰でも閲覧ができる状態。さらに知られてはいけないIDやPASS。
3もWebプログラムとしては失格。ローカルでやってろ。
ちなみに今回実行されたのは
・指定したURLに飛ばす(グルーポンや某歯医者、ニコニコ動画など)
・バックドアやウイルスなどのURL
4は馬鹿。馬鹿すぎてかわいそうなぐらい。
別に漏れた情報自体を「閲覧」することは問題ではないが、「使用」したことがあり得ない。
これは「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」に反するものである。
一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
http://www.ipa.go.jp/security/ciadr/law199908.html より抜粋
「アクセス制御機能」とは、キャップを使用することにより本人を確認できる仕組みのこと。「識別符号」とはキャップの情報であり、これを入力した時点で法に触れる。また、「特定電子計算機」つまりサーバー内の情報を書き換える(コマンド実行、ファイル削除など)をおこなっても同じである。
不正アクセス禁止法以外の法律にも抵触するかのせいがある。それが、「電子計算機損壊等業務妨害罪」である。
これは、データの消去・プログラムの不正な作成や消去などによって業務を妨害する場合、つまり今回の行為が当てはまる。
?しかし、鯖は日本国内ではないし、運営はシンガポールの会社となっている。
前回韓国に攻撃をされたときには鯖管理会社が法的措置を行ったが、今回はその域に達していないとコメントしている。
今回の騒ぎでYahooやmixi、その他ニュースサイトが取り扱っているが、下手に2chへアクセスをすれば、悪意のあるユーザーによって書き換えられたスクリプトを実行してしまう可能性があるため、一般的なブラウザで閲覧をすることは避けた方がいい