パスワードを忘れた? アカウント作成
7197809 story
教育

「ずさんなコーディング」を発見して退学処分を受けた学生 85

ストーリー by reo
残念だったな、トリックだよ 部門より

taraiok 曰く、

カナダのドーソン大学でコンピュータサイエンスを専攻していた Ahmed Al-Khabaz 氏は大学を追放された。彼は大学の情報管理システムが、社会保険番号、自宅住所、電話番号、クラスのスケジュールを含む個人情報に簡単にアクセスできる「ずさんなコーディング」であったことを発見した。このシステムはドーソン大学だけでなく、カナダの多くの大学で使用されているシステムだという (National Post の記事本家 /. 記事より) 。

Al-Khabez 氏は、道義的な見地から問題点を指摘する義務を感じていたため、システム開発元の Skytech に連絡、Skytech の情報部門のディレクター François Paradi 氏は、すぐにセキュリティホールを修正することを約束した。二日後、問題が修正されていたことを確認するために検証用プログラムを走らせたところ、開発メーカー社長 Edouard Taza 氏から彼に電話があり、これはサイバー攻撃であり、カナダ連邦警察に連絡すると電話をしてきた。Al-Khabez 氏は状況を説明して謝罪したが話が通じなかったという。

このことがきっかけで、彼は大学を追放されることになったようだ。本家のコメントによれば、彼の学部の教授 15 人中 14 人の投票により追放が決まったとのこと。状況が分かった後も大学側は彼の復学を認めていないが、データセキュリティの問題を発見したという理由で奨学金が提供されているとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年01月23日 12時53分 (#2311241)

    日本じゃ逮捕されてるところだ。それもコーディングを発見どころかブラックボックステストで。ていうかテストですらなくて普通にクローラー動かしただけで。 #librahack

  • なにもしないがいちばん (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2013年01月23日 13時39分 (#2311283)

    ノーガード戦法「また勝ってしまった、敗北を知りたい」

    • by Anonymous Coward

      敗北の事例はないのかな?
      (まったく無知で、スマソ)

      • by Anonymous Coward

        不正侵入で情報が流出したとか、ホームページが改ざんされたとかいう事件なら、山ほどあると思いますが

        • by Anonymous Coward

          謝罪をする=ただ=勝利

          よほど機密情報を抱えていない限り、追及する側(被害者、間接的な被害者)も利益(賠償金)に合わない努力を強いられるから、結局ノーガードが勝利なのでは、と真面目に思ってしまう。

      • by Anonymous Coward

        ニュースとして取り上げられにくいんじゃなかろうか。

  • 空目 (スコア:4, おもしろおかしい)

    by nekopon (1483) on 2013年01月23日 17時18分 (#2311461) 日記
    「すさんだコーディング」に見えた。(合ってなくもない)
  • by Anonymous Coward on 2013年01月23日 17時32分 (#2311471)

    我が校のコンピュータサイエンス専攻には不要

  • 元記事を読もう (スコア:3, 参考になる)

    by Anonymous Coward on 2013年01月23日 13時50分 (#2311299)

    taraiok系のは特にそうだけど元記事は読んだ方がいい。印象が変わるかもしれない。
    少なくとも私は変わった。

    例えば元記事からはこの脆弱性を発見したのは彼一人だけだったのでないことがわかる。
    アクセスも1度でなく複数回やったらしいこともわかる。

    • by Anonymous Coward on 2013年01月23日 15時48分 (#2311406)

      例えば元記事からはこの脆弱性を発見したのは彼一人だけだったのでないことがわかる。

      "Mr. Al-Khabaz and colleague Ovidiu Mija"とあるから、この人と仲間のMijaさんですな。

      アクセスも1度でなく複数回やったらしいこともわかる。

      なんかここは大学とAl-Khabazさんの言い分が食い違っているようで
      大学は「Al-Khabazさんは脆弱性を報告する前にドーソンのシステムへのアクセスで警告を受けており、検証に関する制約を説明した後もアクセスしてきた」
      Al-Khabazさんは「脆弱性を報告した後、最初の検証でSkytechから警告を受け、NDAに署名することになった」

      あと、
      ・ストーリーの「Skytech の情報部門のディレクター Francois Paradi 氏」はたぶん間違い。Paradisさんはドーソン大のディレクター。
      ・「Al-Khabez 氏は状況を説明して謝罪したが話が通じなかったという。」は元記事に無さそうな記述。上に書いたようにNDAを結んでその場は済んだように書いてある。実際、Tazaさんは「彼の発見はありがたいよ無断でツールを走らせるのはダメだけど悪意がなかったことはわかってるよ」と言ってる。さらに、退学になってからはAl-Khabezさんを雇うとオファーしてる。話しが通じなかったのはドーソン大。
      ・ストーリーには書いてないけど、Al-Khabazさんは「proxy等で身元を隠すのは簡単だったが、悪い事をするつもりはないので隠さなかった」と言ってる。確かにそうだろうと思う。
      ・Al-Khabazさんが使ったのはAcunetixというツール。ぐぐる限りはかなり怪しげ…

      親コメント
      • by headless (41064) on 2013年01月24日 5時49分 (#2311768)

        ・ストーリーの「Skytech の情報部門のディレクター Francois Paradi 氏」はたぶん間違い。Paradisさんはドーソン大のディレクター。

        話の流れからすると、フランソワはSkytechの人だと思う。

        ・「Al-Khabez 氏は状況を説明して謝罪したが話が通じなかったという。」は元記事に無さそうな記述。

        これは彼の証言、「I apologized, repeatedly, and explained~」の部分。

        あと、Skytechの発表 [skytech.com]を読むと、イメージが結構違う。

        親コメント
    • 最初の発見、開発会社への通報までとその後のアクセスとを別扱いにしていると読めました。

      会社との最初のやり取りまでは感謝されているようですが、その後の検証などについて
      どういう話になっていたのかは書かれていません。おそらく学生に検証作業まで依頼しては
      いないでしょう(憶測です)。

      だからこそ「なおったかな?」という気持で確かめただけにせよ、不正アクセスとみなされて
      しまったということでしょうか。

      脆弱性があることを知っている人がアクセスした行為についてだからこその厳しい対応だった
      とはいえるでしょうが、悪意があったとまでは見なされていないように感じます。

      もしそこに悪意があるとみなされたらただちに逮捕→裁判という流れになっていたのでは、
      思います。

      --
      ---- sinbo
      親コメント
    • by Anonymous Coward

      reoだしな。

    • by Anonymous Coward

      感謝する。思いっきり誤解するところだった。

  • by nobanner (41086) on 2013年01月24日 0時31分 (#2311711) 日記

    どうもこういうネタを見るたびに大枚はたいたシス
    テムの穴を学生ごときに暴かれた当局側が侮辱
    と受け取って報復したような気がしてならない。

  • by Anonymous Coward on 2013年01月23日 12時51分 (#2311238)

    巫女SEェ…

    • by Anonymous Coward on 2013年01月23日 13時14分 (#2311260)

      巫女SEは死なず ただお隠れになるのみ

      親コメント
    • by Anonymous Coward

      若さゆえの

    • by Anonymous Coward

      彼女は非実在巫女っていうことになったんじゃありませんでしたっけ?

      よかった、勝手にサーバーを止めた巫女はいなかったんだ。

  • by Anonymous Coward on 2013年01月23日 13時52分 (#2311301)

    テストの実施は事前に通知しておくべき。

  • たまにいますよねこういう人
    先にひとこと言っておけばいいのに、独断でいきなりやっちゃうのが駄目だって判らない

    #良いように解釈したら、ですが
    • 学内で情報セキュリティに関するエスカレーションルールが無かったのか、あったとしてそれに従っていなかったのかが問題なのかも。
      学生(下っ端)が頭(教授)を飛び越えて勝手なことしたのでメンツ潰されて制裁(見せしめ)食らったと邪推してしまう。

      会社だとまず上司に報告(連絡)して、職制を通じて関係部署を巻き込んで外部の担当者に連絡するというのが筋ですかね。
      #こういうしがらみに縛らた考え方をしてしまうのは社畜だけか

      親コメント
    • by Anonymous Coward

      元記事を見るとシステム開発元も大学も隠蔽体質なところがあったようで、退学にされた方の告発に近い内容に感じました。
      氏の使った検証用プログラムはAcunetixという市販されているツールのようですね。

      日本でこれと同じ状況になったらどうなんだろうと思いwikipediaで不正アクセス禁止法を調べると、認証系を回避して「本来制限されている機能を利用可能な状態にする」ことがそのまま罪になるみたいです。ACCS裁判ではCGIにファイル名の引数を直接指定することでFTPの認証を回避したというだけで逮捕、有罪になったということで、他人事ではなさそうです。ずいぶん世知辛い世の中になったと思うんですが、仕方ないんでしょうか。

      対策としては皆さんが仰るように事前に通知しておくのが良いんでしょうね。
      #Librahackは業務妨害で捕まったんでしたっけ。

  • by matsu03 (34226) on 2013年01月23日 21時18分 (#2311622) 日記

    聞いたような話だな。
    京大の研究員が文部省管轄の団体のセキュリティ上の欠陥を指摘したところ、ほめられるどころかクラッキング犯として立件、処罰されたっけ。いずこの国も経済活動を妨害する学者は悪人として処罰されるわけだ。
    だったら、企業サイトのセキュリティ不足を指摘したものは禁固三年の実刑に処すとかの法律を作れよ!

  • by Anonymous Coward on 2013年01月23日 13時04分 (#2311247)

    コードが見れる立場であればコード上の欠陥を指摘するのは問題ない。

    人が管理しているサーバーのセキュリティーホールを事前通告なくつつくのは
    アタックと言っていいんじゃないの。

    情報関連の専門家を目指しているのならより慎重にしなきゃ。一般人より
    罪が重いと教授達は考えたのかもね。

    • by Anonymous Coward on 2013年01月23日 14時51分 (#2311365)
      >Ahmed Al-Khabaz氏
      名前がなんだかアラブ系っぽいから、そっちの線で警戒されたのかなぁ。
      親コメント
    • by Anonymous Coward

      だけどまあ気になるよね。
      自分の個人情報が駄々漏れのまま放置されてるかもしれないんだから。

      • by Anonymous Coward

        自分のがダダモレなのが問題だという思考が有ればこういう行動自体が問題になるのは判る気がするんだけどなぁ。
        大抵の人は判って居るから突かないで、判ってか判らずか突く人間がこういうニュースになるのだろうけど。

  • by Anonymous Coward on 2013年01月23日 13時09分 (#2311255)

    じゃあなくて、
    検証と称してサーバーアタックプログラムを実行したことが罪でしょう。

    • by Anonymous Coward

      称してというのは本意が別にある場合のことですが、どこにそんなものが?
      攻撃が目的だったとでも?

      • by Anonymous Coward

        優越感やら面白半分やら興味やらいろんなものが混じってても
        おかしくないって思ったんじゃないの

      • by Anonymous Coward

        本意は教育で何十発も殴るとか

  • by Anonymous Coward on 2013年01月23日 14時22分 (#2311331)

    なーんだ。図書館のシステムのことか。

  • by Anonymous Coward on 2013年01月23日 14時48分 (#2311360)

    完全に中東系の名前だよね。
    元々謂れの無いやっかみの対象だったんじゃないの?
    んで、今回の件でこれ幸いと追い払ったと。

  • by Anonymous Coward on 2013年01月23日 17時10分 (#2311455)

    そういう先人の知恵が凝縮されたsayingは
    カナダにはないのかね?

  • by Anonymous Coward on 2013年01月23日 20時45分 (#2311609)

    通報までは良かったのに
    >問題が修正されていたことを確認するために検証用プログラムを走らせたところ
    これがいかん
    追い払われるのは当たり前。

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...