■Microsoft:プロダクト サポート ライフサイクルの更新間近

2004年5月25日付け発表のSupport Lifecycle Policy Extended for Business and Developer Products(support.microsoft.com)によると、Microsoftプロダクト サポート ライフサイクルが6月1日に更新されるようですね。 上記より引用します。

Key Details:
  • Microsoft will now offer a minimum of 10 years of support (5 years mainstream plus 5 years extended) for Business and Developer Products.
  • Self-help online support has been extended from 8 to 10 years.
  • The Enhanced Microsoft Support Lifecycle policy will take effect on June 1, 2004.

サーバ管理者の皆さん、予算組みに変動がありますか?

■警察庁キャリア職員が知人女性のメールに不正アクセス

警察庁キャリア職員が知人女性のメールに不正アクセス- asahi.com : 社会 :0525によれば以下のようですね。

IDやパスワードのおおよそを把握し、コンピューターに何度か打ち込んで不正アクセスに成功。昨年12月中旬に2度、女性のメールをのぞき見たという。コンピューターに不正アクセスの痕跡が残り

誰がどう見ても法の定めるところの不正アクセスでしょうね。意図も形式も。ところが警察庁キャリアだからでしょうか、大々的な顔写真や動画付きの逮捕劇は演出されませんでしたね。office氏の時には事前に報道機関に逮捕の日時までリークして報道機関総結集のようなお祭り騒ぎを企画したことを考えますとかなりの差別ですね。民間で不正アクセスすれば社員はクビ間違いなしのところ、朝日新聞によれば、減給1割(1カ月)の懲戒処分との温情。本人の依願退職ですってぇ?!かなりの温情ですね。ほとぼりが冷めた頃の再就職先も決まっている可能性まで予想してしまいますが、さすがにそれは私の想像が間違っているのでしょう。まさかねぇ。

それにしても腹立たしい限りです。ついでに腹立たしいのは、昨年12月の犯行で証拠もすぐに入手出来ていたのに、現在まで放置していたことです。わざと遅延していたのでしょう。office氏逮捕劇お祭り報道計画の効果がアホな身内の犯罪のせいで吹き飛んでしまうことを懸念したのでしょうか。

ところで、なんの根拠もありませんがなぜか名前が報道されない出向していた警察庁所管の財団法人って、パチンコ業界の機械の認定をする団体でしょうかねぇ。あそこは儲かるらしいですから。あいやぁ、風説はいかんです。反省。きちんと発表してくれればいいなぁと思っただけです。キャリアや大事な天下り先は保護なんでしょうか。そうした保護を甘んじて受け入れている(気づかずに受け入れているほど馬鹿なのか)マスメディアは上手に情報コントロールされてしまっていて、もう駄目なんではないですか、これも風説に過ぎなければ嬉しいですけれど。この手の風潮が長く続くのであれば開戦の時代が来ようとしているかもしれません。歴史に学べ。

■元研究員、無罪を主張

ITmediaニュース:元研究員、無罪を主張(2004/05/26)(http://www.itmedia.co.jp/news/articles/0405/26/news015.html)によれば、CGIプログラムへのアクセスは認めるが、アクセスしたのはパスワード認証などのアクセス制御はなかった。無罪判決を求める。office氏が主張とのこと。また、弁護側は、アクセスしたサーバには不正アクセス禁止法で問題になるアクセス制御はなかったとし、逮捕・起訴について「ネットの行動の自由を侵すものであり、到底許されない」とした。 とのこと。

私はセキュリティーカンファレンスの類に出たことはありませんので事情がさっぱりわからず、office氏逮捕劇直後からネット上で拾える様々な情報から、かなり苦労しながらも、いったい何が起きたのかを調べたり考えたりしました。最終的には問題のCGIがどういうものであったのかについては、(そのものずばりは入手不可能でしたが)ほぼ確信を突くものを実験環境で再現しました。その結果判ったことですが、くだんのCGIでは、InternetExplorerを起動して、1回だけアドレスバーからある種のURIを入力してエンターするだけでサーバー内の各種ファイルを閲覧可能であるものであることを実証しました。無論、ユーザIDやパスワード入力などシステムなりCGIなりは要求してきませんので、不正アクセス禁止法で問題になるアクセス制御はなかったこと、逆に言えば、大事な個人情報をぜんぜん守っていないCGIであったことを確信を持って断言できます。ブラウザのアドレスバーへの入力だけで済んでしまうのですから、言うなれば、技術的にはディレクトリ丸見えと同様、データは丸見えで保護されていなかった、それだけのことでした。

さまざまなミスが重なって結果的には不幸な個人情報の拡散に終わった事、本当に残念です。情報の拡散にあたっては同カンファレンス主催者サイドやoffice氏が、謝罪していること、懸命に贖罪しようとしていることを高く評価したいと思っています。しかし、上でも言ったように不正アクセス禁止法をもって有罪とは出来ないであろうと思われます。