Facebook の公開データを収集して公開したセキュリティコンサルタント、非難される 38
ストーリー by reo
ですがなにか 部門より
ですがなにか 部門より
insiderman 曰く、
米国発の大手 SNS サイト Facebook の、1 億件を超えるユーザー個人情報が BitTorrent 上で公開されたことが話題になっている (本家 /. 記事、TechCrunch Japan の記事より) 。
この個人情報を収集・公開したのはセキュリティコンサルタントの Ron Bowes 氏。といっても、Facebook 上で公開されている情報をクローラーで収集してそれをまとめただけなのだが、一部ではこの行為を非難する声も上がっているそうだ。
Bowes 氏は Ncrack という、ネットワーク認証をクラックするためのツールをテストするデータセットとして Facebook のユーザーアカウント名情報を使用することを思いついたとのこと。
なお、GIZMODO の記事によると、Apple や Disney、Intel、IBM、Fujitsu といった大手メーカーのネットワークからこのファイルへのアクセスが確認されているそうだ。
なぜ非難されるのか理解できん (スコア:2, 興味深い)
クラックしたデータを公表ならいざしらず、自らの意思で公開してるデータでしょ?
なにが問題なんだ?
クローラがけしからんという問題なのか?
Re:なぜ非難されるのか理解できん (スコア:2, すばらしい洞察)
インターネットという特性を認識してないと
「facebook」で公開することは許可したが「ほかのどこかで公開されること」を許可した訳ではない
という認識になるんだろうね。
どちらも「インターネットに公開」してることに変わりはないんだけど
Re: (スコア:0)
facebookってこのへんどうなんですか?
Re:なぜ非難されるのか理解できん (スコア:1, 興味深い)
確かに公開しているものだが、転載を許可してはいない。
Re:なぜ非難されるのか理解できん (スコア:3, 参考になる)
>確かに公開しているものだが、転載を許可してはいない。
客観的なデータの羅列(住所氏名等)に著作権は発生しません。
したがって転載の諾否は問題に成り得ません。
Re:なぜ非難されるのか理解できん (スコア:1, おもしろおかしい)
俺の住所氏名は緻密に計算されたアートなのだ。
Re:なぜ非難されるのか理解できん (スコア:1)
個人情報保護法の管轄になるのではないでしょうか。
公開されている情報を集めるときに、利用目的の明示とかしなくちゃいけないんですかね。。。?
Re:なぜ非難されるのか理解できん (スコア:1)
元のデータには著作権はなく、
むしろ集積されたデータが、「データベースの著作物」とみなされそうですね。
Re: (スコア:0)
そんな論理が通用するなら、名簿業者も大喜びだな。
Re: (スコア:0)
1行目と2行目のどっちを批判してるのか分かりませんが、
1行目に関しては著作権法で「思想又は感情を創作的に表現したもの」を著作物とするとしているので事実です。
数式や歴史的、自然科学的事実、データの羅列、そのデータを一般的な手法でグラフ化したものなんかは著作物でないとされています。
Re:なぜ非難されるのか理解できん (スコア:1)
論理について言うならば、 2行目が真であるためには、 1行目が真であることの他に、 『唯一著作物のみがその転載に際し許諾を要する』が真である必要があるのですが、 ここではそれは示されていない、 ということになりますね。
# 実際のとこどうなんでしょね、それ?
Re: (スコア:0)
普通の人は顔を『公開』して生活してるわけですが、
他人の写真を勝手に撮影して公開したら問題になりますね。
いわゆる肖像権というものですが、これは法律に明確な規定があるわけではなく、
民法第709条の
「故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、
これによって生じた損害を賠償する責任を負う。」
を根拠にして主張されるものです。
(ただし条例で規定されている場合もあります)
今回のケースを日本の法律で考えるのであれば、
同様の考え方が適用できると思います。
Re: (スコア:0)
「したがって転載の諾否にかかわらず著作権侵害には成り得ません」ならわかるけど、
「したがって転載の諾否は問題に成り得ません」と断言できる根拠は何?
Re: (スコア:0)
やってることは検索エンジンと同じでしょ?
※ホームページも公開しているが基本転載許可はしてないはず
公開されてる情報を集め、使用しやすく加工する。
何が問題なのやら・・・
まあ、わからない人からするとただただ気持ち悪いってだけなんでしょうけどね。
かくいう私も画像検索エンジン作ったらtwitter上でかなり叩かれましたから
Re: (スコア:0)
わかった時点で警鐘を鳴らすべきなのに、それをしないばかりか犯罪に加担するよう
なことを行ったからでしょう。
弱者の一撃 (スコア:2, 興味深い)
「一般に向けて公開する意図はなかった。削除して欲しい。」
って件のBowes氏にメールなり出したらどうなるんだろう。
出回ってる物に対してはどうしようもないけれど、Bowes氏が持っている最新のデータベースは一軒一軒対応、修正しなきゃいけない、って事なら、
公開された人が一致団結してBowes氏に壮大な嫌がらせが出来そうな予感・・・
Re:弱者の一撃 (スコア:1, すばらしい洞察)
Re:弱者の一撃 (スコア:1, おもしろおかしい)
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
被害者がみんな個別に民事訴訟起こせばいいかもしれませんね。集団訴訟ではなく
というか (スコア:2, 参考になる)
配布されているのは名前とプロフィールURLのリストであってファイルには住所とか含んでいませんよ。
なので、名前は厳密には個人情報であるかもしれないけど、「個人情報」が公開ってのは誤解を招く表現だと思います。
URLに関してもアクセスしたところで一般に公開していないものに関しては参照できません。
連想したのは (スコア:1)
やっぱgoogleのストビューを連想してしまいました。
あれも、普通に待ち歩いてて(でも無い?)見えるモノを集めて広く効率よく見せられるようにしてしまって・・・
#進入禁止のところに入ったとかは置いといて。
昔、nifty serveではIDからたどって会員情報で登録してある実名や居住地普通に閲覧できてました。
掲示板にアレな書き込みをしてた人のリストとかもあって、それを某所に放置したまま忘れていたらある日プロバイダから警告が来ました。
「個人情報うんぬんで苦情が寄せられているのでファイルを削除してくれ」とのことでした。
#ここでいうアレは今で言う出会い系サイトでやってるようなことかな。
Re:連想したのは (スコア:1)
考えてみると、Niftyの場合最盛期の会員二百万人以上とはいえ一応「クローズド」なネット。その情報を集めてNiftyの外からでも見られるようにしちゃってたのはまずかったのでは?
ここは自由の殿堂だ。床につばを吐こうが猫を海賊呼ばわりしようが自由だ。- A.バートラム・チャンドラー 銀河辺境シリーズより
Re:連想したのは (スコア:1)
でしょうね。
まぁ、こちらにとってはもうどうでもいいから削除しましたけど。
でも、当時の色んな会議室のログとか今更あれば興味深くて読みたいかも。
印象操作? (スコア:1, 参考になる)
ncrackは標準パスワードや弱いパスワードが設定されてしまっていないか検証するツールですよ。
セキュリティ検証会社がユーザー名一覧を渡さない条件で依頼を受けるということもあるでしょうし、
テストに使うユーザー名にFacebookで使われているものを使うのは妥当だと思います。
Re: (スコア:0)
テストに使うのならデータを適当にシャッフルしとけばよかった気がしますけどねぇ。
タイトル次第? (スコア:1)
「非難される」って見出しだと、「どこがいけねーんだ?」みたいな擁護のコメントをしたくなるが、たとえば、「非難に対して違法なことはしていないと主張」とかだと、「違法じゃないけどさあ」みたいに反論したくなるんだよな。うーん。
LIVE-GON(リベゴン)
大手メーカーのネットワークからこのファイルへのアクセス (スコア:0)
その2.ロボットによりアクセス
こんなことでもメーカーのアクセスとして見えますよね。妙な煽りは感心しません。
##その1なのでACで。
Re:大手メーカーのネットワークからこのファイルへのアクセス (スコア:1, 参考になる)
torrentなので、ロボットによるアクセスは考えにくいのでは?
ご指摘ありがとうございます (スコア:0)
とりあえず見つけたけど (スコア:0)
seederが2613、leecherが924も居る。大人気。
収録されているデーターの詳細は判らないけど、一体何に使うやら。
ちなみにサイズは2.7G。
Re:とりあえず見つけたけど (スコア:2)
住所氏名のデータって作るの大変だから、テストデータとして重宝しそうだけど。
facebookのデータだって前提を置いて良いなら、統計データとしても有効だし。
# 名前の流行廃りを出すとか、卒論レベルならいくつもできそう。
合法非合法で言ったら、日本で使う場合これってどういう扱いになるんでしょうかね。
# その辺がクリアなら仕事用に欲しいかもしれないとか思ってしまう:-P
セキュリティ関係者にはロクな人間がいない (スコア:0)
セキュリティ関係者もセキュリティベンダも信用に値しない
ラックなんかは情報持ち出しで懲戒免職になった人間を厚遇で雇ってたりするし
そもそもセキュリティは性悪説に基づくのが基本だから
外部の誰かを信頼しなければならないような対策モデルは成立し得ないはず
セキュリティベンダが売る対策はそこから逸脱してしまっているから価値がない
Re:セキュリティ関係者にはロクな人間がいない (スコア:2, すばらしい洞察)
これは間違ってはいないが、視点として十分ではない。
セキュリティには常に「自分(自分たち)」と「他人」とがいて、性悪説は「他人」に対して。
(社員を「他人」とするか「自分」とするか、のように「どこで区切るか」はある程度変わるが)
で、問題は「自分」側。自分は「性善・性悪」はどうでもいいのだが、他人に比べて自分は「賢い/愚か」という区分が発生する。もう少し正確には「自分たちが持っているリソースを注ぎ込めば『他人』からの攻撃を防御できるぐらいに『賢く』なるとしても、果たしてそれだけのリソースを注ぎ込むべきか、それともリソースを注ぎ込まずに『愚か』なままでいるべきか」
自分の方が『賢い』なら話は簡単で、その知恵を用いてガードを張ればよい。この場合は簡単。
.
問題は、自分が「他人よりも愚かである」場合(賢くなるには支払わなくちゃいけないリソースが高すぎる、と言う結論になった場合)。こうなると、性悪説に基づいていても 一部の他人の力を用いて、それ以外の他人からの攻撃を防ぐ という事を考えなくちゃいけなくなる。信頼性は低くなるがその分リソースの支払い量も少なくて済む奴の力を借りる方が、信頼性は高いがその分リソースの支払い量が莫大な自分の力でどうにかするよりも「トータルのガード力が増す」というわけ。
で、そうなると
というこの前提の方が成立しなくなってしまう。
「自力では安全は守りきれない場合に。ヤクザと大阪府警、どちらも根源的には信頼できないとしても、いざという時に信頼できるのはどっち?」
という問題と一緒やね(ちがっ………え?……ちが…わ…??)
fjの教祖様
自分が書いていることの意味が判っているのかがはなはだ疑問 (スコア:1, 参考になる)
セキュリティベンダが売る対策にそこから逸脱しないものがあります。
##己のみ信頼するモデルでは出来ることの高が知れる事位は理解してますよね。
Re: (スコア:0)
>契約により責任を負っている外部の誰かを信頼する対策モデルは成立するし、
>セキュリティベンダが売る対策にそこから逸脱しないものがあります。
セキュリティベンダが過失にせよ故意にせよシステムのセキュリティや可用性に悪影響を及ぼした場合きとんと責任を取ってくれるならそうかもね
そういう(責任関係を明らかにした)契約のもとで業務委託しているのならばきちんとしたセキュリティ対策と言えるだろうけれど
責任関係が明らかでない(もしくは事故が発生した場合に責任者が不在の)施策は(コントロールできない新しいリスクを負うという意味で)セキュリティ対策として不適だろうね
Re: (スコア:0)