スペインの話なんだけど
http://www.inside-games.jp/article/2011/02/15/47390.html
「脅迫事件」であるのに、犯人が何を要求していたのか分からないというニュース記事で、大変な違和感がある。そして参考リンクのAFP通信の記事を読んでも良くわからない。軽く調べた結果、任天堂スペインのなんかのキャンペーンのサイトにとてもひどい脆弱性があり個人情報を取得したハッカー(adan_geckoさん)が脆弱性の報告と共にお前のサイトは個人情報保護のための適切な手段をとっておらず犯罪なのでデータ保護当局に告発する用意がある、法的トラブルを避けるために交渉したいと電話番号書いたメールを送信、サイトは停止、adan_geckoさんがelotrolaob.netのフォーラム上で脆弱性があったこと個人情報を入手していることを告白、脅迫と受け取られてスペインのメディアが2つほど報道、adan_geckoさん任天堂に対するメールの内容と脆弱性の詳細をフォーラム上で公開、数日後逮捕、警察が発表「4000人の個人情報が一般公開されるのを防いだ」、英語圏メディア報道、という経緯のようだ。
スペイン語で事件の経緯がまとまっている。Google翻訳 http://translate.google.com/ など使って読める。
- イベント詳細 http://www.elotrolado.net/wiki/Prueba_y_ver%C3%A1s
- 事件の詳細 http://www.elotrolado.net/wiki/Caso_Prueba_y_ver%C3%A1s
- 議論してるスレッド http://www.elotrolado.net/hilo_hilo-oficial-caso-quot-prueba-y-veras-quot_1571331
機械翻訳だが引用する
データにアクセスするための手順: (明らかに我々ができなくなります場合は、それは私の一部には非常に無責任な可能性もあるそうだが) アクセスが http://admin.pruebayveras.com 。 を押して、ユーザー名とパスワードを入力せずに入力してください。 ほら! あなたは、彼らが"技術をハッキング"されていることと思いますか?
ずさんなセキュリティを棚にあげて被害者であることを強調するのはまさにサイバーノーガード戦法に通じるところがあり、これはひょっとすると、admin画面に認証がかかっていなかったため、不正アクセスやハッキングの罪を(向こうではどういう基準なのか分からないが)適用することができないので、脅迫として無理やり逮捕したのではないだろうか。機械翻訳なので正確なニュアンスが分からないのだが、フォーラム上でも指摘されてるのでメールの内容は実際に「脅迫」だと受け取られる可能性はあるのだろう。しかし脆弱性を発見してそれにともなって個人情報を入手してしまっている場合に、どうするのが適切な対応なのだろうか、認証がかかっていない管理画面とはいえ不正アクセスだ何だのと茶番のような裁判を繰り広げることになる可能性は充分にある。もし俺が同じ立場であったならば「要求」するのはこういったことだろう。「入手した個人情報の消去の引換に、法的手段に訴えないことを保証してくれ」
もしハッキングを受けたとして法的手段を取られた場合に、容疑者は裁判に巻き込まれて面倒なことになり、任天堂はずさんなセキュリティだったことが公にされて評判が下がり、両者ともに損をすることになる。ハッカー側には「個人情報の消去」や「脆弱性の詳細を公表しない」、任天堂側には「法的手段に出ない」「サイトの停止についてユーザーに誠意のある告知をする」「謝礼」などの交渉材料があっただろう。(スペインにおけるPマーク的なものがどうなっているのか知らないが、事故が起こったことを当局に報告する義務があるのかもしれないがそれはさておき)
犯人が愉快犯であることも可能性に入れた上で、個人情報が公開されないことを最優先として考えた場合に、警察沙汰にすることは正しい選択であるかもしれない。しかしながら(機械翻訳なので正しいニュアンスが伝わっていないかもしれないが)個人的にはadan_geckoさんの振る舞いは、充分に紳士的に思える。なぜならば、悪意のある人間であれば、修正前に公表されるし、とっくにすべての個人情報が漏洩しているし、犯人を特定することができないか、あるいは逮捕しても無駄な状況になっているだろうからだ。身元を明らかにした上で対話の用意があると連絡してきた時点で、充分に紳士的な振る舞いだ。もしスペイン語に堪能な人がいたら犯人のメールが脅迫と読めるのかどうか「4000人分の個人情報をオンライン上で公開する用意がある」なのか「データ保護当局に告発する用意がある」なのか、次々に個人情報を公開していってやがてすべての情報を公開するつもりがあったのかどうか、正確な翻訳を教えてほしい。少なくとも機械翻訳では4000人分の個人情報をオンライン上に公開する意思があると書かれているようには全く読めなかった。非公開のメールでそういうやりとりがあった可能性も否定できないし、あるいは本当はものすごい高度なハッキング技術で個人情報を取得したのにパスワードが必要ない状態だったと吹聴して印象操作している可能性も無くはないだろうが、いくつかのメディアの報道は警察発表を鵜呑みにして、中立性を欠いており、事実を正確に伝えようとしていない、と思える。事実を正確に把握した上で「交渉が下手だ」とか「そのような行いは正しくない」だとか、そういう批判もあるだろう。しかしろくに取材をしないで警察発表や企業の言い分を鵜呑みにして印象操作の道具にされてしまうようなメディアは本当に世界的に残念なインターネットだ。
報道した英語のメディア
- http://www.bbc.co.uk/news/technology-12456922
- http://www.pcworld.com/businesscenter/article/219598/spanish_police_arrest_alleged_nintendo_hacker.html
- http://mmomfg.com/2011/02/15/nintendo-hacker-police-0215/