企業や団体のWebサイトの、登録してある個人情報などを盗み出せてしまう恐れがあるなどのセキュリティ上の不具合を探し出して、それを指摘し、情報が漏洩しないようにする対策を促すという活動をボランティアで行っている人たちがいます。本来は、それぞれのサイトの運営者がセキュリティ対策についての監査をして（監査自体をビジネスとして代行してくれる会社もたくさんあります）対策するべきなのですが、そういうところにお金と手間をかけるのを面倒くさがる傾向が強くなおざりにされているのが現状で、それに対して個人的に警鐘を鳴らしつづけているわけです。
そんな人たちが不具合を見つけたときにとる行動に２つのパターンがあるようです。

• パターンその１ そのWebサイトの管理者に対してメールなどで「こういう不具合があって、こういう危険性があるので直してください」と直接連絡。修正されたら「こういう不具合の事例がありました」と公表して他の人が同じ轍を踏まないように啓蒙する。
• パターンその２ 有無を言わさず（たいてい、匿名で）そのWebサイトに実際に侵入したり、データを盗み見できる可能性を示す仕掛けを組み込んだりして、そのサイトの脆弱性を「晒して」見せる。

たとえて言えば、戸締りの悪い家を見つけたとき、ドアをノックして「もしもし、戸締りが悪いですよ。泥棒が入りますよ。」と教えてあげるか、覆面をかぶって押し入って「この家は戸締りしてないぞ」とみんなに聞こえる大声で叫んでみるか、の違いです。こう書くと、一方は親切な行為、もう一方はまるで社会性のない行為のように見えますが、やっている側の感覚からするとその違いは紙一重なのではないかという気がします。

» 続きを読む……