パスワードを忘れた? アカウント作成
243015 story
インターネット

Facebook の公開データを収集して公開したセキュリティコンサルタント、非難される 38

ストーリー by reo
ですがなにか 部門より

insiderman 曰く、

米国発の大手 SNS サイト Facebook の、1 億件を超えるユーザー個人情報が BitTorrent 上で公開されたことが話題になっている (本家 /. 記事TechCrunch Japan の記事より) 。

この個人情報を収集・公開したのはセキュリティコンサルタントの Ron Bowes 氏。といっても、Facebook 上で公開されている情報をクローラーで収集してそれをまとめただけなのだが、一部ではこの行為を非難する声も上がっているそうだ。

Bowes 氏は Ncrack という、ネットワーク認証をクラックするためのツールをテストするデータセットとして Facebook のユーザーアカウント名情報を使用することを思いついたとのこと。

なお、GIZMODO の記事によると、Apple や Disney、Intel、IBM、Fujitsu といった大手メーカーのネットワークからこのファイルへのアクセスが確認されているそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2010年08月03日 13時16分 (#1804088)

    クラックしたデータを公表ならいざしらず、自らの意思で公開してるデータでしょ?
    なにが問題なんだ?
    クローラがけしからんという問題なのか?

    • by Anonymous Coward on 2010年08月03日 13時22分 (#1804091)

      インターネットという特性を認識してないと
      「facebook」で公開することは許可したが「ほかのどこかで公開されること」を許可した訳ではない
      という認識になるんだろうね。

      どちらも「インターネットに公開」してることに変わりはないんだけど

      親コメント
      • by Anonymous Coward
        mixiだとmixi内部で「全体に公開」を選んでいてもmixiに入会してない人には見られません。(まあ招待制ではなくなったので入会すればいいだけですが)
        facebookってこのへんどうなんですか?
    • by Anonymous Coward on 2010年08月03日 14時43分 (#1804130)

      確かに公開しているものだが、転載を許可してはいない。

      親コメント
      • by Anonymous Coward on 2010年08月03日 14時57分 (#1804136)

        >確かに公開しているものだが、転載を許可してはいない。

        客観的なデータの羅列(住所氏名等)に著作権は発生しません。
        したがって転載の諾否は問題に成り得ません。

        親コメント
        • by Anonymous Coward on 2010年08月03日 15時36分 (#1804152)

          俺の住所氏名は緻密に計算されたアートなのだ。

          親コメント
        • 個人情報保護法の管轄になるのではないでしょうか。

          公開されている情報を集めるときに、利用目的の明示とかしなくちゃいけないんですかね。。。?

          親コメント
        • 客観的なデータの羅列(住所氏名等)に著作権は発生しません。

          元のデータには著作権はなく、
          むしろ集積されたデータが、「データベースの著作物」とみなされそうですね。

          親コメント
        • by Anonymous Coward

          客観的なデータの羅列(住所氏名等)に著作権は発生しません。
          したがって転載の諾否は問題に成り得ません。

          そんな論理が通用するなら、名簿業者も大喜びだな。

          • by Anonymous Coward

            1行目と2行目のどっちを批判してるのか分かりませんが、
            1行目に関しては著作権法で「思想又は感情を創作的に表現したもの」を著作物とするとしているので事実です。
            数式や歴史的、自然科学的事実、データの羅列、そのデータを一般的な手法でグラフ化したものなんかは著作物でないとされています。

            • 論理について言うならば、 2行目が真であるためには、 1行目が真であることの他に、 『唯一著作物のみがその転載に際し許諾を要する』が真である必要があるのですが、 ここではそれは示されていない、 ということになりますね。

              # 実際のとこどうなんでしょね、それ?

              親コメント
              • by Anonymous Coward

                普通の人は顔を『公開』して生活してるわけですが、
                他人の写真を勝手に撮影して公開したら問題になりますね。

                いわゆる肖像権というものですが、これは法律に明確な規定があるわけではなく、
                民法第709条の

                「故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、
                 これによって生じた損害を賠償する責任を負う。」

                を根拠にして主張されるものです。
                (ただし条例で規定されている場合もあります)

                今回のケースを日本の法律で考えるのであれば、
                同様の考え方が適用できると思います。

            • by Anonymous Coward

              「したがって転載の諾否にかかわらず著作権侵害には成り得ません」ならわかるけど、
              「したがって転載の諾否は問題に成り得ません」と断言できる根拠は何?

      • by Anonymous Coward
        > 確かに公開しているものだが、転載を許可してはいない。

        やってることは検索エンジンと同じでしょ?
        ※ホームページも公開しているが基本転載許可はしてないはず

        公開されてる情報を集め、使用しやすく加工する。
        何が問題なのやら・・・
        まあ、わからない人からするとただただ気持ち悪いってだけなんでしょうけどね。

        かくいう私も画像検索エンジン作ったらtwitter上でかなり叩かれましたから
    • by Anonymous Coward
      セキュリティコンサルタントであれば本来このような事が起こる可能性があることを
      わかった時点で警鐘を鳴らすべきなのに、それをしないばかりか犯罪に加担するよう
      なことを行ったからでしょう。
  • 弱者の一撃 (スコア:2, 興味深い)

    by mojamoja (36964) on 2010年08月03日 16時20分 (#1804167) 日記
    これ、Facebookのプロフィールを編集し直して、
    「一般に向けて公開する意図はなかった。削除して欲しい。」
    って件のBowes氏にメールなり出したらどうなるんだろう。

    出回ってる物に対してはどうしようもないけれど、Bowes氏が持っている最新のデータベースは一軒一軒対応、修正しなきゃいけない、って事なら、
    公開された人が一致団結してBowes氏に壮大な嫌がらせが出来そうな予感・・・
    • Re:弱者の一撃 (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2010年08月03日 17時05分 (#1804182)
      彼がそれに対応せなばならないという義務はない
      親コメント
    • Re:弱者の一撃 (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2010年08月03日 19時12分 (#1804216)
      そして、メールアドレスも収集されると
      親コメント
      • by Anonymous Coward
        yahooとかの、無数にアドレス作れるサービス使えば楽勝ですよ?
        • by Anonymous Coward
          そんな捨てアドレスからのメールを無視すると、なんかヤバいことになるんでしょうか。
    • by Anonymous Coward
      > 公開された人が一致団結してBowes氏に壮大な嫌がらせが出来そうな予感・・・
      被害者がみんな個別に民事訴訟起こせばいいかもしれませんね。集団訴訟ではなく
  • というか (スコア:2, 参考になる)

    by unsignedint (7810) on 2010年08月04日 4時50分 (#1804437) ホームページ 日記

    配布されているのは名前とプロフィールURLのリストであってファイルには住所とか含んでいませんよ。
    なので、名前は厳密には個人情報であるかもしれないけど、「個人情報」が公開ってのは誤解を招く表現だと思います。

    URLに関してもアクセスしたところで一般に公開していないものに関しては参照できません。

  • by nemui4 (20313) on 2010年08月03日 13時03分 (#1804080) 日記

    やっぱgoogleのストビューを連想してしまいました。
    あれも、普通に待ち歩いてて(でも無い?)見えるモノを集めて広く効率よく見せられるようにしてしまって・・・

    #進入禁止のところに入ったとかは置いといて。

    昔、nifty serveではIDからたどって会員情報で登録してある実名や居住地普通に閲覧できてました。
    掲示板にアレな書き込みをしてた人のリストとかもあって、それを某所に放置したまま忘れていたらある日プロバイダから警告が来ました。
    「個人情報うんぬんで苦情が寄せられているのでファイルを削除してくれ」とのことでした。

    #ここでいうアレは今で言う出会い系サイトでやってるようなことかな。

    • by MISSION (13232) on 2010年08月05日 18時40分 (#1805574) 日記

       考えてみると、Niftyの場合最盛期の会員二百万人以上とはいえ一応「クローズド」なネット。その情報を集めてNiftyの外からでも見られるようにしちゃってたのはまずかったのでは?

      --
      ここは自由の殿堂だ。床につばを吐こうが猫を海賊呼ばわりしようが自由だ。- A.バートラム・チャンドラー 銀河辺境シリーズより
      親コメント
  • 印象操作? (スコア:1, 参考になる)

    by Anonymous Coward on 2010年08月03日 13時28分 (#1804099)

    ncrackは標準パスワードや弱いパスワードが設定されてしまっていないか検証するツールですよ。
    セキュリティ検証会社がユーザー名一覧を渡さない条件で依頼を受けるということもあるでしょうし、
    テストに使うユーザー名にFacebookで使われているものを使うのは妥当だと思います。

    • by Anonymous Coward

      テストに使うのならデータを適当にシャッフルしとけばよかった気がしますけどねぇ。

  • 「非難される」って見出しだと、「どこがいけねーんだ?」みたいな擁護のコメントをしたくなるが、たとえば、「非難に対して違法なことはしていないと主張」とかだと、「違法じゃないけどさあ」みたいに反論したくなるんだよな。うーん。

    --
    LIVE-GON(リベゴン)
  • その1.仕事の合間を縫って一般社員がアクセス
    その2.ロボットによりアクセス

    こんなことでもメーカーのアクセスとして見えますよね。妙な煽りは感心しません。
    ##その1なのでACで。
  • by Anonymous Coward on 2010年08月03日 13時23分 (#1804092)
    探せばすぐ見つかると思うので省略。

    seederが2613、leecherが924も居る。大人気。
    収録されているデーターの詳細は判らないけど、一体何に使うやら。

    ちなみにサイズは2.7G。
    • 住所氏名のデータって作るの大変だから、テストデータとして重宝しそうだけど。
      facebookのデータだって前提を置いて良いなら、統計データとしても有効だし。
      # 名前の流行廃りを出すとか、卒論レベルならいくつもできそう。

      合法非合法で言ったら、日本で使う場合これってどういう扱いになるんでしょうかね。
      # その辺がクリアなら仕事用に欲しいかもしれないとか思ってしまう:-P

      親コメント
  • by Anonymous Coward on 2010年08月03日 13時25分 (#1804096)

    セキュリティ関係者もセキュリティベンダも信用に値しない
    ラックなんかは情報持ち出しで懲戒免職になった人間を厚遇で雇ってたりするし

    そもそもセキュリティは性悪説に基づくのが基本だから
    外部の誰かを信頼しなければならないような対策モデルは成立し得ないはず
    セキュリティベンダが売る対策はそこから逸脱してしまっているから価値がない

    • そもそもセキュリティは性悪説に基づくのが基本だから

      これは間違ってはいないが、視点として十分ではない。

      セキュリティには常に「自分(自分たち)」と「他人」とがいて、性悪説は「他人」に対して。
      (社員を「他人」とするか「自分」とするか、のように「どこで区切るか」はある程度変わるが)

      で、問題は「自分」側。自分は「性善・性悪」はどうでもいいのだが、他人に比べて自分は「賢い/愚か」という区分が発生する。もう少し正確には「自分たちが持っているリソースを注ぎ込めば『他人』からの攻撃を防御できるぐらいに『賢く』なるとしても、果たしてそれだけのリソースを注ぎ込むべきか、それともリソースを注ぎ込まずに『愚か』なままでいるべきか」

      自分の方が『賢い』なら話は簡単で、その知恵を用いてガードを張ればよい。この場合は簡単。

      .

      問題は、自分が「他人よりも愚かである」場合(賢くなるには支払わなくちゃいけないリソースが高すぎる、と言う結論になった場合)。こうなると、性悪説に基づいていても 一部の他人の力を用いて、それ以外の他人からの攻撃を防ぐ という事を考えなくちゃいけなくなる。信頼性は低くなるがその分リソースの支払い量も少なくて済む奴の力を借りる方が、信頼性は高いがその分リソースの支払い量が莫大な自分の力でどうにかするよりも「トータルのガード力が増す」というわけ。

      で、そうなると

      外部の誰かを信頼しなければならないような対策モデルは成立し得ないはず

      というこの前提の方が成立しなくなってしまう。

      「自力では安全は守りきれない場合に。ヤクザと大阪府警、どちらも根源的には信頼できないとしても、いざという時に信頼できるのはどっち?」
      という問題と一緒やね(ちがっ………え?……ちが…わ…??)

      --
      fjの教祖様
      親コメント
    • by Anonymous Coward on 2010年08月03日 14時40分 (#1804127)
      契約により責任を負っている外部の誰かを信頼する対策モデルは成立するし、
      セキュリティベンダが売る対策にそこから逸脱しないものがあります。

      ##己のみ信頼するモデルでは出来ることの高が知れる事位は理解してますよね。
      親コメント
      • by Anonymous Coward

        >契約により責任を負っている外部の誰かを信頼する対策モデルは成立するし、
        >セキュリティベンダが売る対策にそこから逸脱しないものがあります。

        セキュリティベンダが過失にせよ故意にせよシステムのセキュリティや可用性に悪影響を及ぼした場合きとんと責任を取ってくれるならそうかもね

        そういう(責任関係を明らかにした)契約のもとで業務委託しているのならばきちんとしたセキュリティ対策と言えるだろうけれど
        責任関係が明らかでない(もしくは事故が発生した場合に責任者が不在の)施策は(コントロールできない新しいリスクを負うという意味で)セキュリティ対策として不適だろうね

    • by Anonymous Coward
      前半はともかく後半はこのトピックと何の関係が?
typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...