「不正アクセス禁止法違反のほう助」が怖くて心ある技術者もWebサイトの脆弱性をまともに指摘しなくなるかも？（2006年12月19日）（Web屋のネタ帳）に反応してみる。
裁判員と裁判官が有罪との評決を下せるかどうかについては、ブックマーク目的メモを無くしたので、とりあえず置いておきます。

実例をあまり挙げたくないんだけど。ここで書ける範囲の下らない話を一つ。
数ヶ月前、某所の管理画面でかなり酷い嫌がらせができる可能性を発見しまして。ありていに書けば、リファを偽装してアクセスし、管理画面中にてリンク元と表示させられればドボンと。何故か多くのタグが有効であったため、管理画面に接続したブログ管理者に様々な嫌がらせができるだろうと。
サービス運営者に連絡したものの放置され、IPAとかに報告しちゃおうかしらと悩んでいたらば、かなり長い時間を置いていつの間にかやっと対応された。
それでですね。
巨大フォント表示とかできちゃうんだし、その他にも利用可能なタグが幾つかあったし、使い方次第では相応にえげつない嫌がらせができたと思う。
もしもこの嫌がらせテクニックを自分のブログかどこかに掲載すれば、悪用した方がお縄になれば幇助扱いになったり、また訴えられないまでも事情聴取されちゃうよね。

よく脆弱性公開とかその際のガイドラインとかマナー、そんなのがあっちこっちで語られるんですが。
ほら、あるよね。
IEのExploitを公開、みたいな。
一昔前は（今でもなのかな）、どこかで全面的に公開みたいなのが当然と考える方も居たし、Microsoftが対応しない状況への圧力的な感じで喧伝されていた。
だけども考えてみれば、これって凄ーく怖い状況で。
日頃より感じるんですよ。
公表されない方が、より多くのエンドユーザーにとっては幸せなんじゃないのかと。

自分が考えすぎなのやもしれないんですが。
メーカーなりまたどこかの企業が運営するサービスやソフトウェアの脆弱性を報告する仕組みとして、IPAが相談窓口状のものを設けたりはしたんだけど。
実際に通報するとなれば、かなりの勇気が必要ですよ。
だってさ、あらゆる意味で、怖いじゃないですか。変に疑われたりされたくないし。

だからこれまで幾度か、たまたま自力で発見したドボンがあったとしても報告していないし、またどこかのエロサイトで引っかかったExploitを通報したりもしていない。
正直な話として自分にどれだけのスキルがあるのかと問われれば、大体最低レベルですよと即答する。
ただ単に、あちこちのいかがわしいサイトを巡回する習慣があるから発見できたり、また被害に遭って気付いただけだ。

話は戻るんだけど。
どこかの中立的機関にインシデントを報告し改善してもらうよう仲介を促したり、またいつまで経っても改善されないのに腹を立てて公開しちゃうのって、怖くないんですかね。