PyCon APAC 2023におけるDNSクエリ可視化からスタッフに対する脅迫が発生した事件

from 日記2023-10-31

pyconjapan PyCon APAC 2023におけるNOC コンテンツへのご指摘について: 一般社団法人PyCon JP Association代表理事の鈴木たかのりです。

当法人が主催するPyCon APAC 2023におけるNOC(ネットワークオペレーションセンター)…

PyCon JP Blog: PyCon APAC 2023におけるNOC コンテンツへのご指摘について

pana_pana_kuma DNSクエリ公開の件について

PyConAPACで若者を止められなかった大人のひとりとして、謝罪いたします。

https://pbs.twimg.com/media/F9nx9wHawAANbIx?format=png&name=900x900#.png

pana_pana_kuma 私の言葉足らずでしたので、追記いたします。

https://pbs.twimg.com/media/F9p7ZEzaUAAbhzl?format=png&name=small#.png https://pbs.twimg.com/media/F9p7ZPVaUAA2Pio?format=png&name=900x900#.png

pana_pana_kuma 私に責任を被せて一社が何もしていないというのは、間違いです。

私のケアを含めて、様々な対応を行ってくれています。

このツイートの根幹は

「私が疲れてしまった」

これだけです

ymotongpoo PyCon APACのDNSクエリのワードクラウドの件、どこかに「なぜ問題だと思うのか」がまとまっていたりするのかな。自分のTLだと「問題っぽいから問題」というような意見しか目に入ってこない。

ymotongpoo もう質問を細かくすると「これは果たして通信の秘密に抵触するのか？抵触する場合、今回のダッシュボードの公開のどの部分がどういった形で抵触しているのか」というところを知りたいです。

ymotongpoo なんか勘違いしてる人がいるようだけれども、PyConのDNSクエリの件は、自分は倫理の問題と法令の問題とそれぞれ何が該当しているのかを理解して、別の同様の問題が起きたときに活かせるように、学びたいと思っています。養護してるわけでも反対してるわけでもないです。

mipsparc 【PyCon APAC 2023においてフリーWiFi使用者のDNS問い合わせが公にされていた件について私が行った問題提起についての謝罪】

問題提起したことについて、技術コミュニティに対する破壊行為であるとのご指摘が、PyCon JPスタッフをはじめ、様々な方から有形無形で寄せられました。また、もうスタッフをやらないとのお声や、本件とは無関係の私の過去の労働争議についての言及、リプライやDM等での中傷など、いち個人では到底抱えきれなくなったため、問題提起を取り消します。ご迷惑をおかけした皆様には大変申し訳ありませんでした。(本ツイートを含め、関連ツイートは順次削除いたします)

mipsparc 1枚目:PyCon APAC 2023参加者によるポスト

2-3枚目:PyCon APAC 2023運営コアメンバーによるポスト

特に、このコアメンバーの方が私の過去の本件と無関係なツイートを掘り返して来るのが困りました。

https://pbs.twimg.com/media/F9vOEtgaEAAyXF6?format=jpg&name=medium#.png https://pbs.twimg.com/media/F9vOI85bMAACTtS?format=jpg&name=small#.png https://pbs.twimg.com/media/F9vOLySaYAAkCH7?format=jpg&name=900x900#.png

EzoeRyou PyCon、もはやコミュニティ全体が終わってるんじゃないか？

kazuho PyConが、あるいはPyConのコミュニティが総体として、批判を受け止めることよりもトーンポリシングに動いたという事実はあるの？　ないんじゃない？

>EzoeRyou: PyCon、もはやコミュニティ全体が終わってるんじゃないか？ twitter.com/mipsparc/statu…

安易に、コミュニティ破壊しやがって！みたく言うのも、コミュニティ全体が終わってる！みたいなのも、仮想敵を作って対話を拒否する姿勢だと思うんだよね

jacopen PyConの脅迫行為を行っている捨てアカウントはこちら

https://twitter.com/junpou_law

検索バンかかっているので表には出てこない。

Xに対しては通報したけど、果たしてどうなるやら。

技術コミュニティ運営としてはこういう人がいると危機感しかないので、然るべき機関に通報して欲しい

https://pbs.twimg.com/media/F9rRYuoboAAaMG5?format=png&name=large#.png https://pbs.twimg.com/media/F9rSN6jbIAAm7B6?format=png&name=900x900#.png

jacopen 当事者ではないので出来ることはXへの通報くらいなんだけど、こういうアカウントが野放しになっていること自体がやべぇのでやれることはやる

jacopen 同じことを自分の関わってるイベントでも話し合ってる。

こういうのは即座な対応が重要なんだけど、現地の運営側は炎上になかなか気付けない。現地の仕切りでいっぱいいっぱいだからね。

緊急時のエスカレーションフローだとか、意思決定方法について定めておくのが大事かなぁ

>ymrl: 技術イベント運営側をやっているときに、何らかの出し物が法的にアウトでは、という指摘をされた場合の判断難しそうだよなーというのをずっと考えてる。せいぜい数時間から数日の開催期間中に何ができるかでだいぶ評価が変わるはずなので。

hikalium なにか問題があったときに、改善すべきはシステムであって、それに関わる個人を責めるべきではないと、どうか誰もが理解してくれますように（そして私もそうありたい）と思った。

integrated1453 大前提としてコミュニティやイベントの運営はほとんどボランティアの自助努力だということを理解せず、自らが被害を受けたわけでもないのに外野から好き勝手叩いてる人が多いのは気になった

仕事でもないのに「責任をとれ」「謝罪しろ」と脅すような人が出てきたら、自分も運営はやりたくないと思う

integrated1453 告知して場所を借りてスポンサーを集めて集客している時点で責任がないとは言わないけど、ボランティアで支えてくれる運営の人たちにまずは感謝と協力の姿勢で接したい

失敗はあっても、自由で寛容なコミュニティの空気がエンジニアの成長や業界の競争力にもつながると思うので、引き続き応援してます

shibu_jp プライバシーの問題とか、何が個人情報にあたるかとか、それぞれの事象ごとに問題点の線引きをどこにするかとかは明示的に書かれたコンテンツとかないし、全員が全員関連事案を知ってるわけではないし、教え合って理解を深めるのが大事であって「大会社なのに知らないの？」的な態度は業界にとって害悪

nishio "未来のデジタル民主主義は、約束されたような参加型ユートピアを実現できるのだろうか？それとも、永遠につまらない画像や中傷合戦で溢れかえる場所でありつづけるのだろうか？その答えはまだ誰にもわからない。" --- デジタル民主主義

デジタル民主主義

PomericanCoffee PyCon会場では｢研究および展示のために利用します。｣って書いてありました。

(会場ではどんな免責事項？書かれてるかというのを見かけなかったので...)

(SSID/PWを控えたかっただけやから一部しか映ってないけど)

https://pbs.twimg.com/media/F9uPGhSbwAAWIe8?format=jpg&name=900x900#.png

PomericanCoffee ｢PyCon会場でどんな免責事項(注意事項)書いてあったの？｣

｢本当に書いてあったの？｣

という所の情報があまり出てるように思わへんかったから、事実だけはちゃんと伝えれるなら伝えたかっただけです。

Fushihara PyConの件、

やった学生は次から気をつけてねで終わりだし、

運営はアホだねでまあいいとして、

「DNSクエリは公開情報だから通信の秘密に該当しないし無許可でインターネットに晒していい」というご意見が多数観測出来た事が一番の問題だと思うの。

dat27103 PyConがやらかしたことより「通信の秘密」の侵害が疑われる事案に対して「ただちに害がないから大目に見ろ」とか「めんどくさいことになるからSNSに上げるな」とか言い出す人がいるの、遵法意識が欠落しててやべーなって感想

https://pbs.twimg.com/media/F9kaqonbkAASZl_?format=png&name=small#.png https://pbs.twimg.com/media/F9kbIOpasAAjiba?format=png&name=small#.png

dat27103 既にSNSに公開されてしまった事案について「ただちに害はないので大目に見て」とか「めんどくさいことになるからSNSに上げるな」みたいなこと言うの、被害範囲を最小化したい意図で言ってるんだとしたら完全に逆効果なのでやめた方がいいですよ

otsune PyConの件。第三者的に

-なんか面白そうだから会場Wi-FiのDNSクエリーを表示してみるシステムを作って現場やネットで公開した若手が居た

-BlackHatのハニポWi-Fiじゃあるまいし参加者に無断で？　とSNS苦言告発

-SNSで投稿せずに先に運営に文句言って

-運営にも言いました

-信頼関係云々の水掛け論

↓

otsune そして第三者の目からはこう見える部分として

-機器故障と噓をついてとりあえず停止

-イベント運営が参加者に対して倫理的にマズいのは確かにその通りでしたと謝罪の方向

-法的にどうかは曖昧だけど黒寄りのグレーゾーンに見える

-運営側は告発者を空気を読めないやっかいものとして捉えている？

piro_or PyConで行われていた技術者倫理的に問題がある事案の告発の件の、「初手公表でなく事前に内々で運営に伝えてくれていればよかったのに、初手公表はコミュニティへのダメージが大きいのだから」「いや事前に伝えて聞いて貰えなかったから公表したのだが」みたいなやり取りを見た。

公共の利益、自身の保身、関係者の保護、みたいな事のバランスを考えるとみんなが納得できる解ってなさそうだなあ、という気分になった。

外部の人間から見たときに初報が「初手告発」のように見えたのは事実で、そういう事例を見た思慮浅い人が「そうか初手告発でいいんだ」と真似する風潮を作ってしまうからやめてほしい、と言いたくなる気持ちは分かる。

「事前に運営に言ったけど無視されたので公表します」と一言添えておけばそうなりにくいような気はする。思慮浅い人はそれでも短絡的に真似するだろうけど、初手公表を推奨するものではないというエクスキューズにはなる。

でもそれは告発者にとっての自己保身でもあって、今回の事案の具体的な背景は知らないけど、似たような事が起こったときの一般論としては、もし運営内部からのリークに端を発する告発だったら、「事前に聞いて運営に言ったのだが」と一言添えること自体が、善意のリーク者への裏切りとなるのかも知れない。

「誰が内部情報を漏らしやがったんだ」という「裏切り者捜し」を防ぐには、すでに公知になっている情報だけに基づいて告発する必要があったのかもしれない。

そもそも内部で適切に問題が解決されていれば、事案も起こらず表にも出なかった話であって、事案が起こってしまった時点でもはや誰かがババを引くしかなくて、一番ババを引かなきゃいけないのはやっぱり「責任者」たる運営サイドの大人なんすよね。

その責任を減免することを求める言説は、気持ちは分かるけど、「今する話じゃない」感はある。

piro_or 「事案発生後に運営に伝えて回答を得てから告発」なら、告発者も運営も万歳だったかもしれないけど、「イベント参加者」の利益は損なわれ続けていたかもしれず、参加者の利益を重視すると公表せざるを得ない、という事はあり得ると思う。

実際、問題の表示は事案公表後すぐ停止されたようだし。

piro_or 僕は僕自身の保身が大事な小市民だから、自分がそういう場面に遭遇したら、（もしいたら）内部からリークしてくれた人に了解を得てから「内部情報を得たんですが」と書いて公表する（リーク者に責任を押しつける）か、参加者の利益が損なわれてても、自分が安全になるまでは黙ってる（参加者に被害を押しつける）かしそうだなとは思う。

piro_or それはそれとして、告発の画像にスクショをそのまま貼り付けると、今度は自分自身が何かの罪に問われる可能性も出てくる気がするので、自分だったら（それを見た人が自分でサイトにアクセスすれば見られる情報だったとしても）危なそうな情報はモザイクかけたりしてから公表するかな、とは思った。

piro_or 善意で脆弱性解析しても（頼まれてやったのでなければ）不正アクセスの罪に問われる、とかそういうのと同じ文脈の話です

piro_or 暗号化されてないから通信の秘密じゃないなんてあんまりな解釈が散見されたり、運営サイドの特定個人が誹謗中傷され退任を表明したり、告発した人が誹謗中傷され恨み節を残して告発を撤回したり、技術のイベントのインシデントの話なのに誰も彼も技術的に不適切で、なんなんだろうこの世界は。

nahadank でも組織、運営ともに注意もできない人間がいる時点でそれそのものが....ってなるので。いろんな意味でえぇ....の連続ですよ。

組織って思慮不足の組み合わせで成り立ってますよね?(今までいた組織がそういう体質な人間が多かったのもありますが)

piro_or 「思慮不足で不完全な人」達の集まりでどうやって安定した結果を出すか、堅牢に振る舞えるようにするか、というところの努力がシステム作りであって、工夫のしどころなんだと思っております。

otsune PyConの個別論ではなく広く一般論としてなら「SNSで偏った大騒ぎをしないで運営に指摘してほしい」はまだ一理ある意見とは言えるのだが。

個別論の視点では単なる言い逃れや委縮効果狙いの告発封じにしか見えないので「告発者を上回る規模の情報提供で事態を説明する」以外に対処法は無い状況に見える

>kaoriya: 手段の正当化の詭弁に見えます。

自分はよりマシな落としどころがあったと信じていて、そうならなかった要因を明らかにすることが、最も重要な貢献だと考えます。仮にマシな落としどころが無いのだとしたら、広い意味でのコミュニティも成立の余地がなくなりますので。 twitter.com/flurry/status/…

otsune 個人的には告発者の投稿をそのまんま鵜吞みにしたいわけでもないし、運営側には穏便にミスを認めてなんとか謝罪したい意図はなんとなく読み取れなくもないけど。

圧倒的に発信頻度が低すぎて第三者の視点からは逃げ回ってるように見えてしまってるなとは思った。

Lychee_jam PyConの無線LANの件呟いてる人、サムネに既視感あるなと思ったらPR TIMESで内部通報したら解雇されたって言ってた人か。

あれ、ツイ消しした後どうなったんやろか。

Lychee_jam ググったらアーカイブ残ってた

https://pbs.twimg.com/card_img/1718573794682695680/Oyq9Zvru?format=png&name=medium#.png

mipsparc 両者の合意で解決したので、それについて一切の発言はできません

nanashi51201738 通信の内容だけでなく、その存在の秘密が確保されるべきと解釈されますね。

つまりDNSのような宛先だけでも公開したらアウト。郵便局の人が手紙の宛先を見るのは、正当業務行為の範囲内において問題ない（違法性が阻却される）

で、DNSクエリを全世界に公開するのは正当業務行為なんですかね

公開したらというより、秘密を侵した時点でアウトと言うべきか

lyuka_jp 別にリゾルブされた名前は（ITU的にも) 「通信の秘密」じゃないと思うし通信チャネルが出来たっていうのもプライバシーっていうのとは違うかなーっていうか騒ぎすぎ

右手で握手しながら左手で殴り合う情報戦の世界からすればどうでも良いようなレベルの話じゃないかな https://twitter.com/mipsparc/status/1717839214770016559…

hanai_y 見える化したら叩かれるので、隠れて情報収集しますよね・・ｗ

osabori_jp 総通のガイドライン的には「通信の存否」が通信の秘密に当たると……

公衆無線LANで届出を要しない役務だったとしても電気通信事業者の取扱中の通信になるので通信の秘密の保護対象になるのでは？

(宿にWi-Fiつけた時に相談した総通に届出はいらないけど通信の秘密は守ってくださいねと言われた)

https://pbs.twimg.com/media/F9r-mLMbkAAil3N?format=jpg&name=medium#.png