• 基本的なこと

ところで、脆弱性をもったCGIはなぜ危険なのか。カンタンな話で、あなたの個人情報がまるっと第三者に渡るからである。個人情報が第三者の手に渡るとどうなるか。その情報をもとに、たとえばより高度な（信憑性の高い）オレオレ詐欺や振り込み金貸、あるいは保険の偽装やなりすまし詐欺、カード偽造などを行なうことが可能になる。その被害は個人情報を使用されたユーザーにかかるだけで、CGIの設置者や製作者は痛くも痒くもない。
じゃあ、その脆弱性は誰が発見するのか。今回のofficeの逮捕で一番影響が出るのがここだ。脆弱性は発見されるのを待っている。だが、その発見者が善意の第三者でない限り、脆弱性は温存され、情報は抜かれっぱなしとなる。いわゆる“だだ洩れ”状態だ。officeを筆頭とする他の何人かは、ユーザーの情報が洩れる可能性があることを指摘し続けている。それが否定されると、要は「どんなタコなCGIでもそのままいじるな」と宣言されるに等しい。これ、ユーザーの個人情報なんて、どうってことないと言ってるのと同義だ。すなわち、「あぶないところには市井の人々を送り込め」という自衛隊海外派兵と通底した思想が見えて来る。まあ、昔からどこの国でもそんなもんだけど。あるいは、ストーカーは人死にが出るまでは野放しにしとけ、というのと同義。あ。こっちのほうがわかりやすいね。内部／外部を問わず、個人情報が流出して以降が捜査の対象になるわけで。ただもう最近は人死にが出てもなかなか動かないけどねえ。
つか、だいたいがofficeにしろ某にしろ、そんなすごいワザを使って脆弱性を発見してるわけじゃない。IEとかのアドレスボックスに表示されるURIをちょいと書き換えてエンターキーを押すのと変わりはない。注意して見ていればある程度のカラクリは自明なんだ。もしofficeがこれまでやってきたことを全部否定するのであれば、それは脆弱性の発見とか言う以前に、“科学する心”を持つなということに等しい。IEのURIを偽造するような仕掛けのしてあるサイトに飛んで、なんか不自然なふくらみ表示であったとしても、それは疑うな、ということに等しい。officeがやってきたことを否定するのは、それくらいのインパクトがある。
同時に、これも問題なんだけど、じゃあ、脆弱性を発見したらどうすればいいのか、というフローがどこにも明文化されて存在していないことなんだよね。誰に言えばいいんだ？　このCGIはどうもおかしいという話を。マイクロソフトの製品ならマイクロソフトに言えばいいい。オラクルの製品ならオラクルに言えばいい。サンの製品ならサンに言えばいい。彼らはそのプロダクトでお金を稼いでいるんだから当然だ。
じゃあCGIは？　話の流れからすればCGIを作ったベンダーだろう。でもベンダーの名前はなかなか見えない。ACCSのくだんのサイトがファーストサーバ株式会社のものだということは調べないとわからない*1。同時に、そのCGIを含むサイトを運営している人にとって、タコなCGIであればそれはサイト全体の脅威となる可能性があるんだから、運営者にも連絡したほうがいい。
でもofficeのやってきたことを完全に否定すると、それもやってはいけないことになる。話を広げれば、A.D.200Xがやってきたことを完全に否定するということは、PC上で決して少なくはない“脆弱性”を指摘する方法や指摘するだけのスキルを、誰とも共有できないことになる。誰とも共有できないということは、それを悪用しようとするユーザーに対抗できないということだ。
話が日本の中だけなら、それでもいいかもしれない。臭い物には蓋をして、万事なあなあで済ますことはお手のものだからね。でも、インターネットは日本だけで完結しているわけじゃない。海外から脆弱性を突かれて個人情報をごっそり抜かれ、それが日本に還流したら、それはどうすれば防衛できるんだろう。もしかするとごっそり抜くのではなく善意のガイジンで、「オマイラ ノ さいと ニハ あな ガ アリマス」というメールを送って来るかもしれない。それにはどう対処するんだろう。CGIの再構築のためにサイトを閉めて、「この腐れ毛唐がぁ、貴様、威力業務妨害だぞ！シット」と言うのだろうか。言うんだろうね、今の流れだと。
欠点を指摘されるのは誰だってイヤだ。おれだってイヤだ。誤字脱字勘違いによる記述を指摘されるのは恥ずかしい。でも、欠点は欠点なんだから素直に聞き入れて、対処するのがオトナとして、ヒトとして当然の姿勢だと思う。そういう思いを前提にして話を進めると、ホントはフローなんて要らないはずなんだ。
「ここをこうするとあなたんとこの情報がだだ洩れになりますよ」
「あぁ、それはお恥ずかしい次第でございます。確認して修正させていただきます」
なんでこれができないんだろう。というか、させてくれないんだろう。
「えー、ユーザーのみなさん。大変恐縮ですが、うちのサイト、CGIに穴がありまして、情報が流出する危険性がございました。申し訳ない。もろもろ確認作業中ですので、今しばらくお待ち下さい」
と言えるのがオトナなんじゃないか（まあ、話はそうカンタンではないことは重々承知している）。
ところで、話には出てこないけれど、本当の主役は誰なんだろう。もしかすると、Webで爆発しているこのネタのことすら知らない、ふつーにインターネットを利用しているユーザーなんじゃないか。一番危険な状態にあるのは、そういうフツーのユーザーなんじゃないか？
科学する心なんてどーでもいい、オープンソースとか“プログラムはなぜ動くか”とか.NETとか、そんなものは埓外で、メールや30分くらいWebサイトをくるくるして、ショッピングサイトがサーバーダウンしてると「あー、今日はお休みかい」くらいのユーザーが主人公なんじゃないか？
彼らを守れずに著作権なんてあり得ないでしょ。CGIのベンダーですなんてどの面下げて言うんだろう。悪いのはCGIの脆弱性を指摘する一部のユーザーです、なんて臍でお茶をわかしますよ。飲まないけど。
大半のメディアの報道は、ホントに情けなくなるくらい、デタラメだった。そんなことはおれが言わなくたって、みんな知ってると思う。知らないのはIT立国を標榜する国のメディアだけだ。でも、おそらくわれわれがこういうコンテンツをそこかしこに残したところでメディアは無視するだろう。なぜなら彼らにとってインターネットは現実じゃないからだ。彼らにとっての現実は、個人情報ではなく、個人とその顔でしかない。そして悲しいことに、そういう報道でなければ納得しないのがIT立国の国民なのだ。臍でお茶をわかしますよ。飲まないけど。
なにしろ“個人情報”の流出を大々的に取り上げたマスメディアが、ほかならぬ“個人情報”をだだ洩れにしていたことを忘れないようにしよう。なにかというとモザイクをかけたり音声を替えて人権擁護を謳う、あのマスメディアが。
officeの個人情報を流すことが、4名分の個人情報の回収に役に立つのだったら、それはいたしかたないかもしれない。で、4名の個人情報は保護・回収できたのだろうか。というより、2ちゃんねるにアップしたただの愉快犯は、それによって抑止されるのだろうか。
おそらくNOだろう。
だって、おれが厨房だったら、これだけ世間を賑わせている事件のデータは、なんとしても入手したいと思うもんね。田舎者はとくにそう思うだろうな。なんかそういうデータを持っているとハッカーつぅんすか？　そういう雰囲気が味わえるもんね。
もちろんこれはレトリックで、その拡散要因を生んだofficeのセッションがなければもともとこういう事態には陥らなかったはずだ、という反論があるだろう。
そこでもう一度振り出しに戻る。
officeがやったことは褒められることではない。不運を加速させた場の主宰者A.D.200Xにも落度はあった。
だが、それによって彼らが指向していた“情報の共有とセキュアな環境の構築”まで否定するべきではない。
ヌエのような“個人情報”を扱うことが、どれくらい細心の注意を必要かということをofficeは身を持って味わっただろう。A.D.200Xもさまざまなリスクに目を向けなければならないことを知ったはずだ。だとしたら、もう一度、山積している未設定のフローや未着手の分野も含めて、ITと個人のセキュアな関係を探すべきではないのか。このままofficeやA.D.200Xにすべての咎を負わせて、わけのわからんマスメディアとダーティハックよりも質の低いパッチ処理みたいな法に委ねることが、本当にわれわれが望んでいる社会なのか、もう一度考えた方がよい。
それは当然、こんな糞のようなテキストを公開して悦に入っている、タコCGI制作会社も含めてだ。

規制だらけのつまらない社会しか築けないテクノロジーの、なにが楽しいんだ？