AD2003に参加された方へのACCSの件の状況説明とお願い
既に皆様もご存知かと思われますが、AD2003にて行われたoffice氏のプレゼン
資料に、ACCSに寄せられた一部の個人情報を含むブラウザのキャプチャ画像が含
まれております。本資料を会場内からダウンロードされた方々は、速やかに削除
お願い致します。以下、本メール送付に至る経緯をご説明致します。
1. 本プレゼンが行われてしまった理由
本プレゼンは、第三者の個人情報を含むという観点より、本来行われてはなら
ないものであることは明白です。ACCSという第三者のネットワークに存在する脆
弱性の検証を事前に許可を得ることなく行った行為、その結果として脆弱性を発
見し、公開が意図されていないと十分に推測可能である個人情報を取得した行為
を含むことも、本プレゼンが行われてはならなかった理由として挙げられます。
本プレゼンが行われてしまった理由は、まず、ショートプレゼンテーションで
あったため内容の事前査読が十分に行われていなかった事です。査読は行わない
と募集要項に明記してはおりましたが、office氏以外のPPTファイルは担当者が
一度目を通しておりました。しかし、office氏のPPTは検査から漏れました。当
日、office氏は壇上でPHSを繋いで実践デモを行う予定だったのですが、会場内
でPHSの電波を受信できなかったことから、office氏は急遽会場内でPPTを作成し、
準備時間の終了直前にプレゼン用PCにPPTファイルを入れた事が要因の一つです。
本来、査読は行わないという方針もあり、開場時間も迫っていた事から査読が行
われませんでした。
主催者である私が、倫理的に問題のある発表がなされる可能性があるという考
慮が不足しておりませんでした。発表内容の徹底した事前検査ができなかった事
が本プレゼンが開始されてしまった理由です。また、office氏はスタッフの一人
であり、根拠も無く安心していた事も要因に挙げられます。
また、本プレゼンは、もし行われても即刻中止すべきでしたが、中止すらも行
うことができませんでした。これはまず、私や他のスタッフが雑務に追われ、
office氏のプレゼンを注視していなかった事が最大の原因です。今回初めてプレ
ゼンされる方は念のため発表をチェックさせて頂いておりましたが、office氏は
過去数回ADで発表を行っており、またスタッフでもありましたので、ここでも根
拠の無い安心がありました。この根拠のない安心が問題を引き起こしました。
2. 本プレゼン資料が内部サーバにアップロードされてしまった理由
これも、スタッフがプレゼンを注視していなかった事が最大の原因であると言
えます。また、発表資料は機械的にダウンロードサーバに入れられており、サー
バを担当されたボランティアの方(当日いらした参加者の方の一人です)は、私の
指示通り、機械的にその作業を行いました。
また、AD200Xのスタッフ内で利用されていた掲示板では、プレゼン資料のダウ
ンロードサーバや、その運営手順等について多くの議論を行っており、また、過
去行われたADでも同様であった事から、office氏もその事を理解しているものと
思っておりました。ですが、実際はoffice氏はそれら議論をあまり注意して見て
おらず、「ダウンロードサーバに入れる事を拒否する場合は事前に通知するよう
に」という通達を見落としておりました。スタッフは、本掲示板は必ず全項目を
チェックするようにと通知しておりましたが、これは、このような予め想定され
る問題に対処するためには非常に重要な事柄であり、各人、一人一人に直接電話
やメールで確実に確認を取っておくべきでした。
3. AD200Xが事態を認識した後に取られた措置と今後
主催者である私は、AD2003終了後に直接カリフォルニアの自宅に帰宅した事も
あり、この問題の認識が日本時間の11月11日となりました。その時点で既に
office氏がACCSに連絡を取っており、メールのやり取りが行われていました。そ
の後すぐにACCSと連絡をとりつつ、状況説明、および手元にある個人情報の削除
を行いました。その時点でスタッフの手元から該当資料を削除致しました。また、
当方の把握していた資料を保持している方々に対し、個別にメールを送信し、削
除を依頼致しました。
その後、参加者全員に一斉メールにて削除のお願いを行う事が計画されました
が、中断されました。
AD200X、およびスタッフ数名は、ある人物(以降、A氏)から継続して執拗な嫌
がらせ(職場への嫌がらせ電話や郵便送付、暴力的行為、プレゼンテーションへ
の乱入や他の方のプレゼンテーションの阻止の試み等多数)にあっておりました。
そしてA氏、およびA氏を支援している人物が、AD2003の参加者のメールアドレ
ス一覧に数名含まれている可能性が極めて高い事を把握しておりました。申し込
み受付時に注意しておりましたが、防ぎ切れなかったものと思われます。
A.D.200X開催直前に、A氏は会場の情報を含むさまざまな情報を入手している
という情報を入手。A氏はAD2003に参加するため、当日は最寄駅まで来ておりま
した(数名の方の尽力により入場は阻止されました)。
結局A氏は会場内には入場できませんでしたが、A氏がそのような削除要請メー
ルを受け取った場合、該当データの存在と重要性を認識され、非常に危険な状況
となる可能性があると考えました(A氏は、AD200Xを解散させるためにあらゆる手
段を尽くしていました)。A氏は様々なルートを使って該当ファイルの入手を行う
可能性が高いと考え、また、もし入手された場合、AD200Xへの妨害行為の一環と
して2ch等に公開される危険性があるとも十分に考えました。もし公開されると、
何千、何万の人間に一気に漏洩する可能性があります。
もしA氏が既に該当データを入手していた場合は、A氏に近い信頼できる情報源
より連絡が入るものと確信しておりましたが、その動きはなかったためA氏の協
力者の方々は該当データを所有していないものと一応仮定しました。そして、参
加者一人一人、人物を確認しながら削除をお願いするという方法を取りました。
時間がかかるため三次漏洩の危険性もありましたが、その危険性よりもA氏に対
する危険性が高いと判断しました。
そんな中、私も非常にお世話になっている方数名がA氏の情報源の一つとなっ
ているという情報を入手しました(それら方々は意図的に嫌がらせに参加してい
た訳ではありません)。これにより、人物確認の手段が行き詰まり、その他A氏の
情報源となっている人物の存在を何らかの方法で調査する必要が出てきました。
一人一人に対する確認と削除依頼、ネット上でデータ漏洩の監視、A氏の情報源、
およびA氏とその協力者のメールアドレス特定作業を同時に行っておりました。
そして、突然朝日新聞の記事が発表されました。この段階で、A氏は該当デー
タが一般参加者の手元にまだ存在する可能性と、その重要性を知ったものと思わ
れます。A氏やその協力者、情報源の方々を特定する必要は無くなりましたが、
これで非常に危機的状況になったと思われました。このような状況で可能な事は、
一斉メールを出し、A氏の協力者、情報提供者の方々がおられることも想定しつ
つ、全員の参加者の方々に該当データの削除をお願いする事以外に無いと判断し
ました。
朝日新聞の記事は予想外であり、結果的に一斉メールが遅くなってしまったと
いうだけの事となってしまい、最善の方法を取ることができず、非常に心苦しい
限りです。
私はA氏に対する言及を今まで一切避けておりました。A氏の件は本メールでこ
れ以上述べることはできませんが、一部のスタッフは、A氏の過去等様々な情報
を入手したがため、社会生活は無論、身の危険も感じており、非常に強い精神的
苦痛を感じる毎日を送っています。今回の経緯説明は、A氏、およびA氏に協力し
ている方々にも流れる可能性は極めて高いと思われますが、経緯説明は必須と考
え、全メールアドレスに対して一斉送信致しました。
A氏、およびA氏の協力者に当たるとご自分の判断で思われる方々がおりました
ら、どうか、該当データの入手を試みないよう、また、もし既に入手しておりま
したら、削除して頂き、公開等はなさらないよう、切にお願いいたします。また、
元スタッフに対し、精神的苦痛を引き起こす直接的な行為、および生活を圧迫す
る行為などは、何卒お止め下さいませ。ご意見等ある場合は私が誠意を持って直
接お伺い致します。本メールではさぞかしお怒りになられるかと思いますが、ど
うか一旦はお怒りをお納め頂き、該当ファイルだけは削除して頂きますようお願
い致します。
また、AD2003に参加された方々で、該当データを所持しておられる方がもしお
られましたら、重ねて削除をお願い致します。
なお、本件の経緯(A氏への言及除く)等は、後日webにて一般の方々にも可能な
限りご説明致します。
本件でご質問などありましたら、メールにてご連絡ください。随時対応させて
頂きます。このたびは、ご迷惑おかけしまして申し訳ありませんでした。
なお、AD200X実行委員、準備委員は、昨日、代表の私、および事後処理を行う
ための一部スタッフを除き、解散する運びとなりました。但し、AD200Xのwebサ
イトでは継続して本件に対するメンテナンスを行います。イベント自体も徹底し
た体制作りが完了すれば再開される可能性もありますが、代表である私はセキュ
リティカンファレンス運営に携わる者として様々な致命的ミスを犯したと認識し
ておりますので、今後、私が代表を努めてのAD200Xカンファレンスの開催はござ
いません。今回の件では、特に非営利のセキュリティカンファレンス運営に対す
る未熟さを痛感致しました。なお、余剰金、および備品等を処分することで得ら
れた利益については、ユニセフ等の平和維持活動団体への寄付を考えております。
余剰金関連についても、随時webにて情報を公開致します。
また、本メールが幸運にしてA氏、およびA氏の協力者に届かない可能性(一時
的に取得したフリーメールの場合、など)も捨てきれませんので、AD200Xに対し
てお怒りをお持ちの方々も、少なくとも現在の異常な騒ぎが収まるまでは、漏洩
してしまった個人情報に記載されている当事者の方々のためにも、情報の公開、
メールの転載、転送などお控え頂ければ幸いです。漏洩を心配する当事者の方に
対しては、トップページに記載されているメールにて個別に対応致します。
今までのご支援、本当にありがとうございました。
以上、よろしくお願い致します。
--
A.D.200X代表
鵜飼裕司