Scan Legacy 第一部 1998-2006 最終回「ACCS事件」 | ScanNetSecurity
2020.10.28(水)

Scan Legacy 第一部 1998-2006 最終回「ACCS事件」

事件そのものもいろいろ考えさせられる点があるが、あまり表に出なかったことが多い。あの事件から10年以上経過しているので、少しくらいは話してもかまわないだろう。

特集 コラム
本連載は、昨年10月に創刊15周年を迎えたScanNetSecurityの創刊から現在までをふりかえり、当誌がこれまで築いた価値、遺産を再検証する連載企画です。1998年の創刊からライブドア事件までを描く第一部と、ライブドアから売却された後から現在までを描く第二部のふたつのパートに分かれ、第一部は創刊編集長 原 隆志 氏への取材に基づいて作家の一田和樹氏が、第二部は現在までの経緯を知る、現 ScanNetSecurity 発行人 高橋が執筆します。

--

(Scan Legacy第一部は、サイバーミステリ作家 一田 和樹 氏が、Scan事業を立ち上げた株式会社バガボンド 代表取締役 原 隆志 氏(当時)に取材した内容をもとにとりまとめた、事実をもとにした一田和樹氏によるフィクションです)

1998年のScan創刊から2006年のサイボウズへの売却までをふりかえった本連載終了に当たり、ひとこと触れておかなければならない話題がある。ACCS事件である。ACCS=社団法人コンピュータソフトウェア著作権協会が運用するWebサイトの脆弱性を発見したoffice氏が、同協会に通知する前に、自ら不正アクセスを行った上、A.D.2003というイベントで手法を公開した。その後、同氏は不正アクセス禁止法違反で有罪となっている。また、同氏は、情報漏洩で被害を受けた3名に対して謝罪と損害賠償を行っている。

office氏は、Scanおよび関連媒体で長らく連載を行っていた方で、少なからず関係がある。というか、彼が最初に連載記事を書いたのはScanだし、1年以上続く連載もScanだけだったと思う。同氏は、当時はまだあまり知られていなかったWebアプリケーションの脆弱性についていち早くその危険性を訴え、脆弱なサイトを見つけては警告を行っていた。また、問題を自らのWebサイトで紹介し、時に辛辣に批判することもあった。

この事件で問題となったACCSのWebサイトの脆弱性は、ファーストサーバが配布していた脆弱性のあるCGIをACCSが利用していたことに起因する。

office氏の過去の活動には賛同者も少なからずいたが、この事件で、脆弱性を通知する前に、不正アクセスする方法をイベントで公開したことは弁解の余地がない。模倣犯も出たと言われている(2名が海外のプロキシ経由でoffice氏の紹介した手法を用いてアクセスしたことが確認されている)。

事件そのものもいろいろ考えさせられる点があるが、あまり表に出なかったことが多い。あの事件から10年以上経過しているので、少しくらいは話してもかまわないだろう。

当時、派手に活動していたoffice氏は警察から目を付けられていたと言われる。複数の外部の方から、具体的にこういう形で摘発される可能性があるという情報をいただいた。

ちなみに、当社も狙われていた。警視庁、自衛隊などいろいろなところからお呼びがかかった。警視庁にお邪魔した時、有料会員限定で配布していた自治体サーバの脆弱性にかかわるレポートを持っている方がいて、「こんなもん配布しちゃダメだろ」とお叱りを受けたことを記憶している。もっとも謝罪はせずに「警視庁の方に販売した記録はありません。どこから入手なさったんですか? 違法にコピーしたんじゃないですか?」と逆に文句を言った。おもしろかったのは、警察内部にもScanのファンがいたことだ。「大きな声では言えませんけど、個人で有料版購読してます。コラム好きなんですよ」と励ましていただいた。

時期的に、「わかりやすいスケープゴート」が必要だったのだろう。目立つヤツをとりあえず捕まえたかったに違いない。そういう点では、個人で活動し、正義漢だったoffice氏には脇の甘いところがあり、格好のターゲットだったのだろう。

ある日、懇意にしている某セキュリティ会社の代表の方から電話をいただいた。懇意にしているとはいえ、代表自らが電話してくることは過去にはなかった。担当者か、秘書が電話してくる。少々戸惑いながら電話にでた。

「僕は、そちらの媒体の内容に関して干渉するつもりはありません。正直、どうかなと思うこともあるけど、口出しすべきことではないと思っています」

大上段に構えたイントロで、ますますもって尋常ではないという感じがした。

「これから話すことは、あくまで友人としての忠告です。誰にも話さないでください。いいですね」

「はい」

「あなたのところで連載記事を書いている方、名前は言いませんけど、最近話題になっているライター、目立ってる人。わかりますよね」

「officeさんですか?」

「あっ、だから名前は言わないで」

「すみません。つい…」

「そちらにもある程度情報がいっていると思いますが、今回は確実です。そしてまもなくです。準備をしておいてください。意味わかりますね」

officeさんは逮捕されるんだなとわかった。私はお礼を言い、連載できなくなるだろうから、あわてて代わりの連載を考えることになった。

ちなみに逮捕された直後には、違う情報協力者の方から連絡があり、警察のどこの人がどんな風に喜んでいるかという話を教えてくれた。

なお、office氏には逮捕につながった件以外にも、警察がやろうと思えば立件できそうなものがあった。本人は気がついていなかったかもしれないが、包囲網は確実に彼を捕捉していたのである。免れることは難しかっただろう。


話したいことは、まだまだ山ほどあるが、多方面に差し障りがあるのと、連載はこれで終わりらしいので残念である。また、いつかお話する機会を楽しみにしている。

(原 隆志 / 取材・文:一田 和樹)

《原 隆志 / 取材・文:一田 和樹》

関連記事

PageTop

特集

アクセスランキング

  1. 社員PCが「Emotet」感染、鳥羽洋行騙る暗号化ZIP付不審メール確認

    社員PCが「Emotet」感染、鳥羽洋行騙る暗号化ZIP付不審メール確認

  2. 「Emotet」関連相談が大幅増 ~ IPAの情報セキュリティ安心相談窓口

    「Emotet」関連相談が大幅増 ~ IPAの情報セキュリティ安心相談窓口

  3. Oracle Java SEに脆弱性 攻撃された場合の影響大、早急なアップデート呼びかけ

    Oracle Java SEに脆弱性 攻撃された場合の影響大、早急なアップデート呼びかけ

  4. フィッシングにひっかかりやすい「要注意メール件名」トップ10(KnowBe4)

    フィッシングにひっかかりやすい「要注意メール件名」トップ10(KnowBe4)

  5. 従業員のパソコンが「Emotet」感染、zip形式のマルウェア添付メールを送信(京セラ)

    従業員のパソコンが「Emotet」感染、zip形式のマルウェア添付メールを送信(京セラ)

  6. 「ドコモ口座」不正利用の被害件数を公開、補償完了は122件2,797万円に

    「ドコモ口座」不正利用の被害件数を公開、補償完了は122件2,797万円に

  7. シルバニアファミリーオンラインショップのメール流出、プログラム改修が原因

    シルバニアファミリーオンラインショップのメール流出、プログラム改修が原因

  8. ブロードバンドセキュリティが実施した脆弱性管理の500名調査の結果、見えてきた課題

    ブロードバンドセキュリティが実施した脆弱性管理の500名調査の結果、見えてきた課題PR

  9. 浮かび上がる全体像 CrowdStrike が結んだランサムウェアの点と線

    浮かび上がる全体像 CrowdStrike が結んだランサムウェアの点と線PR

  10. 「マンション・ラボ」に不正アクセス、記事ページが改ざん(つなぐネットコミュニケーションズ)

    「マンション・ラボ」に不正アクセス、記事ページが改ざん(つなぐネットコミュニケーションズ)

ランキングをもっと見る