ユーザログイン |
パスワード「解読」?児童らの顔載ったHPのパスワード流出(日刊スポーツ)。朝日の朝刊にはさらにパスワードが9桁だが簡単なものだったと書かれている。朝日には「パスワードが読み取られ」とか「パスワードが解読されていることがわかったという」といった書き方がしてある。問1:パスワードが何されたと書けばいいのか。問2:誰が不正アクセス禁止法違反になるか。問3:学校側に落ち度はあるか。 Yahoo!きっずカテゴリ - 小学校で半田市の最初の小学校のサイトが Index of / になっているぞ。
|
検索最近のコメント
|
回答案1:パスワード
回答案1:パスワードが流出した
【理由】匿名情報だし、掲示板の記載者がどのように書こうとも、捜査機関が裁判での証拠となる理由でもないかぎり本当とは考えられない。
回答案2:これまでの裁判事例から言うと、掲示板に公表した人物。ただし、その情報を見てアクセスした人物はすべて違反者となるでしょう。たとえその情報が本物かどうかを調べてから学校や関係当局に連絡したとしても、アクセスできた時点で「不正アクセス禁止法違反」。
回答案3:学校は注意義務を払ったと思われるので、「特段の落ち度」があるとは思えない。
ただし、パスワードの連絡方法に落ち度があったのであれば別。なお、パスワードが難しければよいとも思えない。「交流相手の子どもたちが自分の操作で顔写真をみてお手紙を書く」といった授業も想定される。この場合パスワードが難しければ操作できない。じゃ、「印刷すればいいじゃないか」という案もありそうだが、そっちのほうが個人情報の漏洩として糾弾されそう。
追加情報
HP閲覧 パスワード流出 半田の小学校(読売):「パスワードを知れば誰でも接続できる状態だった。」??それって落ち度じゃないよね。
Re: 回答案
落語弟子さん,ご回答ありがとうございます。それでたぶん満点と思います。
読売新聞の記事です
読売新聞の記事ですが、自己矛盾してると思わなかったのかな?
>個人認証番号の確認などはなく、パスワードを知れば誰でも接
>続できる状態だった
パスワード自体が、個人認証番号ではないの?
「学校のホームページ」の代わりに「キャッシュカード」を主語にするとよくわかるはず。キャッシュカードに個人認証を入れようというのが始まったとこなのに。それに複数の人間がつかう、法人口座のキャッシュカードに個人認証データ(指紋とか)いれないといけなくなったら、うちはたいへんだ。
相手が固定IPアドレスを持っていなかったらIPアドレスや、それの逆引きによるアクセス認証も難しいだろうし(たとえ何たらed.jpだったとしても、センター方式のNATだと、他の学校からのアクセスができてしまう)。
Re: 読売新聞の記事です
もしかして,読売新聞のいう個人認証番号とはIDのことで,そのページにはIDの入力欄がなく,パスワードの入力欄だけであったということなんでしょうか。
>個人認証番号とはID
>個人認証番号とはIDのことで,そのページにはIDの入力欄が
>なく,パスワードの入力欄だけ
BASIC認証ならIDとパスワードだし。
他の認証システムだったのかなぁ?
他の学校のページを見てるとホームページビルダーで作成されてるみたいだから、XOOPSみたいなCMSで全校一括管理しているわけでもなさそうだし。
「IDなしのパスワードだけ」より、逆に「パスワードなしの9桁のID」ならわかるけど。あ、昔のY社のRTxxxiだと、どんなID入れてもパスワードが合っていればログインできたかも。
IDが0桁でパスワード
IDが0桁でパスワードが9桁でも,その逆でも,あるいはIDが4桁でパスワードが5桁でも,強さは同じですよね。
でもIDなしのパスワー
でもIDなしのパスワードの場合,複数の人のうち誰がアクセスしたか,誰が漏らしたかがわからないので,不正アクセス禁止法でいう識別符号に当たらないのかもしれません。高木浩光@自宅の日記 - Winnyの可視化と無断リンク禁止厨の共通関係に見る問題の本質に引用されている逐条解説に「識別符号であるためには、複数の利用権者等に同一の符号が付されないようにするとともに、どの利用権者等に付されたものであるかが分かるように付されていることが必要となる」とあるのに気づきました。
でもWebでBasic認証とか
でもWebでBasic認証とかDigest認証とかする場合,複数の仲間にメール等で「例のものはここに置きました。ユーザ名hoge,パスワードgehoで入ってください」などとよく連絡しますが,こういうのは識別符号でないから破って入っても不正アクセスにならない,というのも変ですね。
「同じIDとパスワ
「同じIDとパスワードを全員で使い回ししている場合などは、たとえ外部から不正にアクセスされたとしても不正アクセス禁止法で罰することができない場合があります。」(セキュリティ対策(管理者向け)(警視庁)。できる場合もあるのかがあいまいですが。
IDの使い回し
学校現場では学校ごとにIDとパスワードが配布されていても,各学校では何人もがIDとパスワードを知っていて運用がむちゃくちゃになっている場合が多いのですが,そんな場合はどうなるのでしょうね。
やっぱり学校の責任でしょうね。詳しい方教えてください。