ソースはたくさん有りますが、朝日新聞をリンク。 http://www.asahi.com/national/update/0204/020.html このサイトは情報を読み出したり書き込んだりするために、「ＣＧＩプログラム」と呼ばれる汎用（はんよう）プログラムが使われていた。 河合容疑者はこのプログラムの欠陥を突き、サーバー内の非公開の領域に保存されている情報を引き出したという。 これは、私たちも使わせてもらっている掲示板プログラムなどにも関係が有るのかどうか｢私は知らない｣。 このサイトの｢相談受付プログラム」特有の問題点だったんでしょうか。 また、データファイルの置き方にも問題があったんでしょうか。 自分が他の人に迷惑をかけないために教えていただけると幸いです。

シェルのコマンドを送ることができたのでは。 受け付ける文字種別を限定しておけば防げる方法ではないでしょうか。 そんな手口と防御がよく本で載っていたように思います。 すべてのCGIで通用するわけでもなし。 私たちの掲示板なら、掲示板に公開している情報以上の非公開情報もないだろうし、非公開を領域を覗かれても何もないです。 しかし、この事件、 「　河合容疑者は首相官邸や総務省、都市銀行のサイトを調べては、安全対策の「欠陥」を専門誌などで公表してきた。 同容疑者は河合隼雄・文化庁長官の甥」 文化庁長官を叔父に持ちながら、影でこそこそやっていたのではなく専門誌に公開しているし、軽い気持ちでやっていたのではないのでは。 なかなか気骨のある人じゃないですか。 個人情報を一部公開したのはやりすぎですけど。

>シェルのコマンドを送ることができたのでは。 シェルのコマンドを受け付けてしまうのは、サーバ管理ですから、私達の責任ではないですね。 でも、『「ＣＧＩプログラム」を攻撃すれば、』という記事もあったので、ちょっと違うかな、と思います。 日経新聞 http://www.nikkei.co.jp/news/shakai/20040205AT1G0402E04022004.html >私たちの掲示板なら、掲示板に公開している情報以上の非公開情報もないだろうし、非公開を領域を覗かれても何もないです。 掲示板の場合は、ＩＰアドレスがあります。 ほとんどの掲示板でアドレスが取れるようになっていますが、表示させないのがルールじゃないでしょうか。 >個人情報を一部公開したのはやりすぎですけど。 毎日新聞 http://www.mainichi.co.jp/news/flash/shakai/20040205k0000m040136000c.html 2ちゃんねるに流したのは、イベントの参加者のようです。 本来なら指摘される前に対処すべきでしょうし、指摘されたら迅速に対処する、そのようなサイトもあったようです。 それでも対処されなかったので、イベントで実践して見せた。 サイト側の対応のまずさを感じました。

CGIプログラムで入力した時に「これで送信してよろしいですか？」とか「入力漏れがあります・・・」とか応答表示させる機能が作られている場合がありますが、そのプログラムにバグがあると、それを騙して内部の非公開ファイルを表示させてしまえるという問題だったようだと、あちこちを読んでいるうちに、私には見えました。 昨日からこの事件でイライラしています(^_^;) １．いわゆる新聞系メディアの偏向的な記事、それに比べてインターネット育ちのメディアが事件の性質を正当に評価したと思える記事 ２．裏で動いている摘発仕掛け人達と警視庁が同じ穴の貉と思える苛立ち ３．officeさん、なんでここまでやっちゃったの！という無念さ 罰するべきは愚かなサイトを構築し市民を危険に晒していた人々であり、それを指摘した人々では無いでしょう。 だからofficeさんのフライングは本当に残念なのです。 長野県など見識ある自治体が、この摘発仕掛け人一派の恫喝にビビって住基ネットに参加するなどの愚策に走らない事を切に願います。 今後の電子政府、住基ネットはこれで一段と危険になりました。 エラーを発見しても今後は誰も警告を発しようとはしなくなるでしょう。 その状態で構築される e-Japan を高見の見物というのが一番賢いかと(^_^)

>応答表示させる機能が作られている場合がありますが、そのプログラムにバグがあると、 多少調べてみましたが、グーグルするにもキーワードが思いつかない。 ゴマメさん、ありがとうございました。 掲示板などでも、プレビューさせたときにバグがあると、危険だと言う風に理解しました。 でも、例えばKENTさんの掲示板にバグがあったとしても、これだけ使われていれば注意してくれる人もたくさんいるでしょうし、すぐに直してくれてアナウンスしてくれると言う信頼感があります。 >だからofficeさんのフライングは本当に残念なのです。 そのような対処が無かったことに業を煮やしての『フライイング』だったのかと推測します。 ただ、サイト管理者が製作者に対処を依頼するにしても、仕様に無ければ新たな予算が必要で、その予算措置に時間が掛かっていたりして、その硬直性はネット界では致命的な欠陥となることでしょう。 最もサイト管理者の無知と無理解に関する頭の硬直性は、、、それ以上なんでしょうね。

http://kodansha.cplaza.ne.jp/digital/it/2004_02_18/index.html Web現代というサイトに「デジタル特捜隊」という記事があり、 ACCSに関連して脆弱性指摘に関る諸問題を取り上げていました。 >「指摘されたサイトの担当者が素直に認めてくれればいいのですが、そうでないことがままある。 結果的に、善意でしたことが生かされないかたちになっているのです」 >土居教授によれば、こうしたリアクションはきわめて日本に特徴的なものだと言う。 そして、この記事中で >我が国の国民性からすると、 というような表現を繰り返し読まされると、住基ネットも電子政府も好きなように作って貰って、それからこぼれる情報で密かに稼ぐというビジネスモデルを考えている方が豊かな人生を送るためには良いかも知れない。 ホームページだってお好きなようにお作りください、穴があったら自分専用の金鉱として使わせていただきますから、と方向転換する人々がいないとは言えない。 阪神淡路に匹敵するネットワーク上の大事件が発生して日本国民はインターネットや情報管理のセキュリティについて真剣に考え始める、その時を待ちますか。