#librahack関連： @Sikushima さんとみなさんとのやりとり（主に高木さん）

@keikuma

警告すると証拠隠滅されると指摘する人もいるけれども、それは有罪にするのが目的の場合。止めさせることが目的なのだったら気にする必要はない。既に何らかのトラブルがあった、警告を重ねても止めなかったということを考えたが、「目立ったトラブルは無い」と報道されている。 #Librahack

SQLの苦手を克服する本(技術評論社)/生島 勘富 @Sikushima

常識で分かるって？現実問題、プロであるはずのMDISが分かってないのにそれを警察に求めてどうする。被害は簡単に証明できるけれど、常識でないことを証明することがどれほど難しいか。業界として自分たちの襟を正す問題でしょうが。 #Librahack

@inayuta

@Sikushima 被害届って被疑者は普通見れないですよね？たぶん。そこでいくら技術的良心を持ってしまっても確かにそこで警察に反論するのは難しいから、やっぱりここはMDISに出てきて欲しいところですけど、今更出ても来れないですよね… #librahack

SQLの苦手を克服する本(技術評論社)/生島 勘富 @Sikushima

実は、私はまだ逮捕されたことはないのでよく知らないのですけれど、見るとそれを利用した言い逃れができる可能性があるから、多分見れない。 @inayuta 被害届って被疑者は普通見れないですよね？ #librahack

@y_otokawa

MDISの謝罪は当然と思いますが、ベンダーか警察かという問題ではなく、私はどちらも問題視してます。警察・検察が被害届のまま逮捕するなら、もし悪意あるプロが被害届を装ったら一般人を不当に逮捕させることが出来る。仮に警察が素人なら調査機関を通すべき。 #librahack

SQLの苦手を克服する本(技術評論社)/生島 勘富 @Sikushima

国家賠償を求めるのはご本人しかできません。私は、報道した全部の新聞社に抗議のメールは出したし、取材も受けたから載って欲しいと思っているけど、タイミング的には選挙、WCup、野球賭博、厳しいな～。 #librahack

@cynipe

@Sikushima それ以前に逮捕相当なのかどうか同業種からの聞き込みなどすべきだったのではーと思います。

SQLの苦手を克服する本(技術評論社)/生島 勘富 @Sikushima

@y_otokawa 違うって。通常の使い方ではない（悪意の可能性）、ISPのログと一致（行為の認定）、図書館の業務停止。行為の連続性。MDISが不具合を認めなかったら、十分逮捕の要件を満たしている。それで、逮捕して調べた結果、不起訴。間違ってない。 #librahack

SQLの苦手を克服する本(技術評論社)/生島 勘富 @Sikushima

競合他社からの言い掛かりと取れるから客観性に欠けます。 QT @cynipe: @Sikushima それ以前に逮捕相当なのかどうか同業種からの聞き込みなどすべきだったのではーと思います。

@y_otokawa

@Sikushima 起訴猶予処分だそうですよ。法に詳しくはないですが「被疑事実は明白だけど不起訴にした」ということだと思います。ということは警察は被疑事実を認めているので、そうであれば対外的にはMDISは謝罪する必要がなくなっています。 #librahack

SQLの苦手を克服する本(技術評論社)/生島 勘富 @Sikushima

起訴猶予になるときはご本人が認めているときです。 QT @y_otokawa:起訴猶予処分だそうですよ。法に詳しくはないですが「被疑事実は明白だけど不起訴にした」ということだと思います。ということは警察は被疑事実を認めているので、

SQLの苦手を克服する本(技術評論社)/生島 勘富 @Sikushima

LIKE検索なんてやってて、遅いって指摘するユーザ、職員は当然いたはずで、2年も直してないということは「仕様です」で蹴ってきた訳。@librahack氏に非がないとするなら、警察がMDISに非があるとしないといけない。そんなこと可能なの？MDISが認めるの？ #librahack

@y_otokawa

起訴猶予という結果が問題で、不起訴であっても警察は犯罪があったと認めていることになります。 対外的にMDISには非が無いことになります。 そこも私の疑問です。RT @Sikushima: 起訴猶予になるときはご本人が認めているときです。 #librahack

@madscient

「被害」と「不具合」は両立します。「脆弱性に対する攻撃」というのは普通にありますから。これは不具合でもあり被害でもある。不具合を直せば攻撃者は野放しとはいかない。 #librahack RT @Sikushima: 警察は犯罪者を捕まえるのも仕事。悪意が疑われる事実があって、実際

SQLの苦手を克服する本(技術評論社)/生島 勘富 @Sikushima

ある意味正しいけれど、不具合を作った本人が訴えた場合は通らない。QT @madscient 「被害」と「不具合」は両立します。「脆弱性に対する攻撃」というのは普通にありますから。これは不具合でもあり被害でもある。不具合を直せば攻撃者は野放しとはいかない。 #librahack

SQLの苦手を克服する本(技術評論社)/生島 勘富 @Sikushima

本人が認めて検察がそんなことはないっていうの？第三者に何ができるの？ QT @y_otokawa 起訴猶予という結果が問題で、不起訴であっても警察は犯罪があったと認めていることになります。 対外的にMDISには非が無いことになります。 そこも私の疑問です。 #librahack

@madscient

被害を訴えたのは「岡崎市」です。 #librahack RT @Sikushima: ある意味正しいけれど、不具合を作った本人が訴えた場合は通らない。QT @madscient 「被害」と「不具合」は両立します。「脆弱性に対する攻撃」というのは普通にありますから。これは不具合でも

SQLの苦手を克服する本(技術評論社)/生島 勘富 @Sikushima

裏付けている時点で一緒。 QT @madscient 被害を訴えたのは「岡崎市」です。 #librahack

SQLの苦手を克服する本(技術評論社)/生島 勘富 @Sikushima

何度も書いている通り、警察にベンダー以上の技術を求めるのは無理な話。それで、警察を責めてそれが正当化されたら、本当に攻撃で被害が起こっているときに、まっとうな対応ができなくなる。何が悪くて、誰が悪いか、冷静に考えないといけない。 #librahack

@madscient

MDISは顧客に調査を依頼され、ログを見て因果関係を強く疑う不審なアクセスがあったことを顧客に伝えた。顧客は公的機関なので通報義務があり、警察に被害を届けた。ここまでは不具合の有無は関係ないですよね。 #librahack RT @Sikushima: 裏付けている時点で一緒。

SQLの苦手を克服する本(技術評論社)/生島 勘富 @Sikushima

MDISはサーバの不調の調査の依頼を受けた。それを顧客のエンドユーザのせいにした。 @madscient MDISは顧客に調査を依頼され、ログを見て因果関係を強く疑う不審なアクセスがあったことを顧客に伝えた。 #librahack

SQLの苦手を克服する本(技術評論社)/生島 勘富 @Sikushima

私も当初は警察に問題があると思った。情報がある程度出揃った所で検証すると、どう考えても１：１：８でMDISが悪い。 #librahack

@madscient

MDISには不審なアクセスを顧客に報告する義務もあります。岡崎市は報告された以上通報しなければならない。 #librahack RT @Sikushima: MDISはサーバの不調の調査の依頼を受けた。それを顧客のエンドユーザのせいにした。 @madscient MDISは顧客に

SQLの苦手を克服する本(技術評論社)/生島 勘富 @Sikushima

@madscient 違う。不調の原因をあらゆる方向から調査しないといけない。なんのための保守契約か。それこそプロならクロールと判断すべき。不審なアクセスかどうかは、完全な偏った思い込みによる言い掛かりでしょう。 #librahack

@madscient

それはログ見てみないとわかりませんよ。ログ見たら「これなら攻撃ととられても仕方がない」と思うかもしれない。 #librahack RT @Sikushima: @madscient 違う。不調の原因をあらゆる方向から調査しないといけない。なんのための保守契約か。それこそプロならク