30秒でofficeになる方法

まず、このサイトの1/4の所に飛びます。そして「次の日記」という所をクリックしてみます。(IEの人は表示が崩れているのでスクロールして探してください)そうすると、1月8日分が表示されてしまいました。

さあ困りました。「1月5日分なんて無いじゃないか」あなたはそう思うでしょう。でも、アドレスバーをよく見てください。「date=20040108」と表示されていますね。あなたは、とても頭がいいのでこれが何を意味するかわかってしまいます。「はあはあ、これは・・・という意味だな。そうしたら、1月5日分を出すには、こうすればいいんじゃないか?」

ちょっと待って!

そのアクセスは「プログラムの書き換え」ですよ。私は、そのようなアクセスは許可していませんよ。1/4と1/8へのリンクはあるけど1/5へのリンクはない。そこへは「プログラムを書き換え」ないと行けない。それをやったらofficeさんと同じだ。どうなっても知らないよ。やったらIPアドレス公表しちゃうよ(これはマジ)。

そうなんです。officeさんがやったことは、本当にこれと同じことなんです。実際には、クエスチョンマークの後に書くものはもうちょっとややこしいことを書きます。あるいは、もうちょっと複雑なことをしてるかもしれません。「ファイル→名前をつけて保存」をして、そのファイルをメモ帳で開いて書きかえて、それを再度ブラウザで読みこんでからクリックしたのかもしれません。もちろん、同じことをもっと難しい方法でやることもできます。

重要なことは、クライアント側(ごく普通の利用者)に公表されている情報を利用しているだけです。公開されている情報を正当な手段で入手して、date=yyyymmddが何を意味しているか推測するくらいの(もうちょっと難しい)推測を行なって、「サーバ運用者が本来意図してない手段によるアクセスを行なって」ある情報を入手したんです。

本来は、そういうことをしても非公開の情報を見られないようにサーバー側のプログラムを作らなきゃいけません。クエスチョンマークの後に何をどう書いても、予定外のアクセスを許さないように、プログラムをチェックしなくてはいけない。しかし、これは意外に難しいんです。どうしても、他人にチェックしてもらわないと洩れが出てしまいます。

ですから、プログラムを作る人と別の人がそういうチェックを行ないます。でも、別の人と言っても同じ会社の人間だと、やっぱり発想が限られてしまうんですね。誰がどうやっても大丈夫という保証を得る為には、外部の人を呼んでチェックしてもらいます。それを「セキュリティ監査」と言います。

officeさんのやったことは「セキュリティ監査」の押売りです。金は取らないからまだいいけど、頼みもしないのに勝手にクエスチョンマークの後にいろんなことを書いて穴を見つけてしまう。おせっかいと言えばおせっかいだし、開発しているプログラマとしては実に嫌な存在です。「できました。完璧です」と言っているのに、横から出てきて「穴見つけた」と自慢しているわけですから。正直言って、プログラムを作る立場としては、そんな人はいなくなってほしい。

でも、一般利用者から見たらすごくありがたい存在だと思います。まともな管理者なら感謝するんですけどね。

今回の件は、自慢したついでに入手した情報を他人に漏らしてしまった。あなたも、ここの1月5日の所に書いてある重大な個人情報を漏らしたくなるかもしれません。もちろん、アクセスしてはいけないし、仮にアクセスしても漏らしちゃいけません。いいか悪いかと言えば、悪いことです。

だったら、何が悪いのかきちんと教えてほしい。クエスチョンマークの後にいろんなことを書くのは普通にやってることです。それが既にいかんことなのか、それは問題なくて他のことが悪いのか、何が罪なのかわかるように書いてほしいです。

これは皮肉ではなくて、私は本当にわかりません。たぶん、不正アクセス禁止法とかに詳しい人ならわかると思うので、これから、あちこちのブログやセキュ板を見て勉強するつもりですが、今の時点では本当にわからない。

例えばどこかの通販サイトで、確証はないけど何かアヤシイなと思うことを見つけたとします。そこに通報するには、やはり確認しないといけない。確認の為には、クエスチョンマークの後にいろんなことを書いて試します。こちらの見込みが正しければ、それで見てはいけないものがブラウザーの画面に出てきます。そこまでやんなけりゃ、通報はできないでしょ。こちらの勘違いかもしれないんだから。

新聞の記事を読んでいると、この行為を「プログラムの書き換え」と呼んで、それ自体を非難しているように思える。警察がそのように発表したように思える。

まあ、これは無茶すぎるんで、おそらく、officeさんは(少なくともこの件では)不起訴になると思います。しかし、

「法律には、不正アクセスの要件がこのようにきちんと明記されている。これに違反しなけりゃ大丈夫。ほら、officeさんだって逮捕はされたけどそれはただの別件逮捕で、プログラム書き換えの件では不起訴になったじゃないか」

「ああよかった。逮捕されても不起訴ならいいや。これで安心してプログラムの書き換えができる」

誰がそう思えるんでしょうか?