状況としては、
・本来は閲覧できない筈の情報にアクセスできてしまう。
・個人情報が漏れる等、他のユーザーが被害を受けることはない。
・その情報を入手しても、あなたの会社が直接利益を得ることはできない。
・Office氏が不正アクセス禁止法違反なら、あなたも同様。
で、(・∀・)ニヤニヤする。
自社にとって好都合な反主流派の幹部に匿名で情報を知らせ、反主流派の幹部の主流派に対する発言力を大きくします。
もし反主流派内部に脆弱性の原因があれば、事前に反主流派の弱点が克服されます。
もし主流派内部に脆弱性の原因があれば、反主流派は主流派を攻撃できるチャンスが増えます。
どちらにしても、主流と反主流の力関係が均衡(うまくすれば逆転)し、経営体制が内部分裂状態になれば、競合自社としては戦いやすい状況が生まれる可能性が高まります。
情報の使い方としてはオーソドックスですが、そんな感じです。
それもそうだねぇ~。
でも、我慢する。
(・∀・)ニヤニヤ
他人をかたるというのはそんな大げさな意味ではなく、会社のドメインつきのメールではあまりにも生々しいので、携帯メールで送る、友達にたのんでメールしてもらう程度のことです。
他人を騙るというのもちゃんとやろうとすると色々面倒ですよね。不正アクセスにならないなら必要ない気がしますが。IPA経由での届出も面倒くさそう。個人情報が漏洩するわけでもないので大袈裟に騒ぐのもどうかなぁ。
好奇心がなければそもそも脆弱性を見つけることもなかったでしょうね。
その脆弱性がどういうものを想定しているかわかりませんが、パスワードロックすべきページをロックし忘れたということとかなら、見ても別に不正アクセスにはなりません。そんなもの公開サーバにおいておくほうが悪いということになります。
http://www.ipa.go.jp/security/ciadr/law199908.html
ただ、これが個人情報に当たらない、こちらに有利な情報でないとすると見てもしょうがないわけです。そこで、他人をかたって親切にメールで教えてあげる。そのときの相手の返信メールやその後の対応で相手のサーバ管理者のレベルを知ることができます。
なにかよほど面白いデータがあるということでしょうか?
自分と関係ない会社ならまだしも、ライバル会社のサイトにアクセスしているのなら例え個人で見ていただけだとしてもばれたら問題になると思う。
アクセスを続けることの誘惑に勝てますか?
何もしないほうが良いでしょう。
それは
A. 親切に教えてあげる。
ではなく、
C. 2ch等で晒す。
を行った場合ですね。
同じ事をACCSに対して行ったOffice氏は不正アクセスで有罪、威力業務妨害にも問われました。
ライバル企業に、情報管理の脆弱性を公の場で知りえた第三者が指摘して、相手がそれを改善したとしても、相手の会社には損失が発生してます。
それは自社の利益ではなくその業種内においての相手の地位の低下です。
ここ12年ほど、利用者の企業不審が特に大きく増幅されている状況です。
この不審の要因の一つとして、企業の不誠実なユーザー個人情報管理があります。
人命損失に関する企業不審の増加と相まってこの情報管理不備はその企業に対する大きなマイナス要員となります。
このような現状で、マイナス要員の存在が最初に第3者の目に晒されたならその次点で相手企業はその業種内でのシェアがマイナスになります。
その業種内に需要があるのなら、同業である自分側企業は流出したユーザーの選択肢として選ばれるシェア拡大と言うプラスの可能性があります。
自分ならば A ですね。
もし、自分の会社が同じようなミスがあった際に、同じように指摘してもらえる可能性が少しはあがるので。
反対につけこむようなことをすると、相手も同じようにつけこんでくるでしょう。
つけこむ場合、
D. P2Pで流出させる
というのも効果的かも知れません。
C.と似たようなものですが、削除人による削除も効かないという意味で、
より効果的かとも。
個人的には、お互い A を選ぶような社会になってほしいものですが。
# まぁ、まずセキュリティ対策しっかりしろ、ですね。
あと、自分が自社の経営者の立場なのか、管理職や一社員の立場なのかによっても、選択が変わるかも知れません。
> そうでなければ...何もしないかな。小心者だから。
何もしないというのは、情報へのアクセスも止めるということですか?
(情報は静的なものではなく日々更新されます。)
一応、選択肢としては
A. 親切に教えてあげる。
B. こっそり閲覧し続ける。
C. 2ch等で晒す。
があると考えられます。
「べき」という考え方がよくわからないのですが...
利益を得たいのかぁ。
>・その情報を入手しても、あなたの会社が直接利益を得ることはできない。
であっても。
倫理的な「べき」ならば、ライバルかどうかに関係なく親切にすることが「べき」ですよね。
ライバルが↓、自分たちが(相対的にしろ絶対的にしろ)↑になることを目指すのがとにかくもう絶対に正しいというフレームワークなら(会社に魂売る)、その脆弱性を突いてありとあらゆる攻撃を仕掛ける「べき」ということになる(それが犯罪であっても)わけで、まぁそれも人生。
まぁ、自分なら、「正しく生きるぞ」という気分のときなら「ライバルだけど教えてあげるよ」と教えて、そうでなければ...何もしないかな。小心者だから。
ダークな心で想像する範囲では、
・教えるけど、BCCにいろいろ入れる
・さらにステアドで教えてBCCにマスコミ入れる
・2chに攻撃をそそのかすような書き込みをする
とかですけど、実際にやったら後味悪そうだな...
脆弱性を閉じられてしまうと、その情報から間接的利益も得られなくなるんですよね。
わざわざライバル企業に利することを為すべきなのでしょうか?
その企業へ教えたところで、感謝されるようなご時世ではありません。取ったデータを廃棄しましたと誓約書書けとか言われたら不愉快です。
「某社のサイトURLを見ていたら、なんかファイルが見えるんですけどこれってオカシイですよね?」
とか2chで相談するのがベストです。正義感ある人がその企業へ凸電して、粗相を指摘することでしょう。
疑われるのは、アナタです。