アカウント名:
パスワード:
rxk14007の日記 [srad.jp]にもコメントしましたが、たりき氏のつぶやき [twitter.com]によりますと
@HiromitsuTakagi 微妙に数合わないですけど,えびの経由で岡崎の個人情報(氏名と電話番号)のリストを得ました。えびののデータの Melil\work にある MZ1100_WORK.mdb を開くと159名分印刷されます。
で、福岡県篠栗町の図書館サイトにも同一データがあったこととのこと。利用者の人数が毎日の報道と異なるものの、こんな形で三菱図書館システムMELIL/CS [mdis.co.jp]に岡崎市の個人情報がもれなくオマケされていたのは確認されているそうで・・・
ここまで書いて、ふと見るとたりき氏のつぶやき [twitter.com]
(>´A`)> ィャァァァァァァァァァァァ 1800人分見つけてしもたああああああ
さらに被害が拡大しそうな予感。
> (>´A`)> ィャァァァァァァァァァァァ 1800人分見つけてしもたああああああ
犯罪告白してるように見えるのは気のせい?(ノーガード戦法的な意味で
請求されたらほいほいと出すように設定しておいて、「意図していなかった」とか言われても、ねぇ。
もしもパスワードによる保護すらかかっていないなら、ただの anonymous file service ですねえ。
不正アクセスなはずはないんですが、「違法性が無いことは知っていたが被害届を出した」 [srad.jp]とか平然と言うような人たちですから不正アクセスで告発したとしてもまったく不思議はありませんね。
当のMDISは、傷口が広がらないように必死に証拠隠滅を図っているらしいです。http://twitter.com/tetsutalow/status/25818165619 [twitter.com]http://twitter.com/keikuma/status/25787009961 [twitter.com]
このIT社会、そんなことをしても全く無駄だし、かえって傷口を広げることになることに、当のIT業者が分かっていないとは…。
このIT社会、そんなことをしても全く無駄だし、
「全く無駄」なら、MDISが作業するのは問題ないということになるのでは。情報の流出をこれ以上おこさないための作業は必要なんだから、作業を非難する理由はなくなりますが。
MDISの問題点を批判するのはいいけど、正当な批判となるためには、どういう行動をとっていれば問題がなかったのかを明らかにする必要があるでしょう。「証拠隠滅を図っている」というのはそれを欠いているので正当な批判には見えない。何もせずに放置するのは論外なんでしょう?
pathだと思う。
パスって、pass じゃなくて path のことじゃないですかね。ちなみに、該当のファイルがパスワードで保護されてるって情報はどこかにありました?
えん罪が怖くてアクセスできないAC
>ちなみに、該当のファイルがパスワードで保護されてるって情報はどこかにありました?
ないですね。三菱図書館システムMELIL/CS [mdis.co.jp]によると、
ID、パスワードを配付し、職員のセキュリティレベルに応じて、使用できる業務画面を制限可能。世界最高水準の暗号化・復号化技術「PowerMISTY」を採用し、個人情報は安心の暗号化。
とあるのですが、パスワードはおろか暗号化すらされていないファイルがある(「印刷等の作業用中間ファイルとして作成されたものの痕跡ではないか」 [twitter.com]、「MLCRIY.MDBというAccessDBがあります。壊れていますが,開いてそのままエクスポートするとExcelあたりに出力できます」 [twitter.com])。
さらにAnonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6) [takagi-hiromitsu.jp]にあるように anonymous FTP として図書館データをインターネットに晒していたwそこでダウンロードされたファイルを元に解析を進めた結果、MDISの図書館システムは図書館で稼動中のシステムが別の図書館にコピーされていたことが判明(詳しくは三菱電機インフォメーションシステムズ(MDIS)と自治体システムについて: 日々是・・・ [cocolog-nifty.com])。
三菱電機のプレスリリースには「(岡崎市の)プログラムライブラリの修正結果を元のプログラムライブラリに反映させました」とあるけれど、実は複数の図書館のコピーがあり杜撰な運用がされていたことが判明。さらに「併せてインターネットで更なる拡散が進行しないよう、専門機関と相談のうえ対応致します」つーことで、今のところ P2P などで更なる拡散はしていないと思うんだが、これから被害届を警察に出しにいきますか、この会社は?
>えん罪が怖くてアクセスできないAC
お昼に確認したけど、MDIS 謹製 anonymous FTP として公開されていた ftp://210.230.245.201/ [210.230.245.201] (篠栗町立図書館)はすでにパスワードがかけられている。しかし http://sasaguri1.uxt.cknet.co.jp/index.html [cknet.co.jp] の方はクローズしている。
>いくらとれるからって、パスとファイル名を明かすのってどうなのかなぁ。
どうって…。パスとファイル名を明かさなきゃ、自分のところの状況をチェックできないじゃない。それとも、「詳細は言えないけど、個人情報が漏れてる状態になってるよ」の方が良いってこと?
# でも、公開する前に三菱に連絡して対応してもらうべきっていう意見は、分からないでもないです。# 図書館から不正アクセスで訴えられないで、なおかつ、三菱がちゃんとフォローしてくれるのが前提ですが。
# でも、公開する前に三菱に連絡して対応してもらうべきっていう意見は、分からないでもないです。# 図書館から不正アクセスで訴えられないで、なおかつ、三菱がちゃんとフォローして
その馬鹿は脆弱性を指摘したから逮捕されたんじゃなくて、脆弱性を利用して取得した個人情報を公開したから逮捕されたんだろ。
取得した個人情報を公開していない。
罪名は「不正アクセス禁止法違反」と「威力業務妨害」。個人情報を公開したかどうかは関係ない。少なくとも表向きは。
というか、そういう公開そのものを取り締まる法律がないんじゃなかろうか。
#「取得した情報を公開するような悪質なことしなければ、逮捕されないだろ。常識で考えて」 #…という常識が警察には通用しないことがわかったのが、先の岡崎市図書館の一件。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
流出経路がなんだかな (スコア:5, 興味深い)
rxk14007の日記 [srad.jp]にもコメントしましたが、たりき氏のつぶやき [twitter.com]によりますと
で、福岡県篠栗町の図書館サイトにも同一データがあったこととのこと。利用者の人数が毎日の報道と異なるものの、こんな形で三菱図書館システムMELIL/CS [mdis.co.jp]に岡崎市の個人情報がもれなくオマケされていたのは確認されているそうで・・・
ここまで書いて、ふと見ると
たりき氏のつぶやき [twitter.com]
さらに被害が拡大しそうな予感。
モデレータは基本役立たずなの気にしてないよ
Re:流出経路がなんだかな (スコア:1)
> (>´A`)> ィャァァァァァァァァァァァ 1800人分見つけてしもたああああああ
犯罪告白してるように見えるのは気のせい?(ノーガード戦法的な意味で
公開してるのは向こう側では… (スコア:2)
請求されたらほいほいと出すように設定しておいて、「意図していなかった」とか言われても、ねぇ。
Re: (スコア:0)
もしもパスワードによる保護すらかかっていないなら、ただの anonymous file service ですねえ。
Re:流出経路がなんだかな (スコア:1, おもしろおかしい)
不正アクセスで逮捕されるんですね。わかります。
Re:流出経路がなんだかな (スコア:1, 興味深い)
不正アクセスなはずはないんですが、「違法性が無いことは知っていたが被害届を出した」 [srad.jp]とか平然と言うような人たちですから不正アクセスで告発したとしてもまったく不思議はありませんね。
証拠隠滅のおそれ? (スコア:1)
当のMDISは、傷口が広がらないように必死に証拠隠滅を図っているらしいです。
http://twitter.com/tetsutalow/status/25818165619 [twitter.com]
http://twitter.com/keikuma/status/25787009961 [twitter.com]
このIT社会、そんなことをしても全く無駄だし、かえって傷口を広げることになることに、当のIT業者が分かっていないとは…。
Re: (スコア:0)
「全く無駄」なら、MDISが作業するのは問題ないということになるのでは。情報の流出をこれ以上おこさないための作業は必要なんだから、作業を非難する理由はなくなりますが。
MDISの問題点を批判するのはいいけど、正当な批判となるためには、どういう行動をとっていれば問題がなかったのかを明らかにする必要があるでしょう。「証拠隠滅を図っている」というのはそれを欠いているので正当な批判には見えない。何もせずに放置するのは論外なんでしょう?
Re: (スコア:0)
Re: (スコア:0, おもしろおかしい)
取れないからこそ、ファイル名が明かされてるわけだし。
Re: (スコア:0)
pathだと思う。
Re: (スコア:0)
パスって、pass じゃなくて path のことじゃないですかね。
ちなみに、該当のファイルがパスワードで保護されてるって情報はどこかにありました?
えん罪が怖くてアクセスできないAC
パスワードはおろか暗号化されていない個人情報があることに驚き (スコア:2, 参考になる)
>ちなみに、該当のファイルがパスワードで保護されてるって情報はどこかにありました?
ないですね。三菱図書館システムMELIL/CS [mdis.co.jp]によると、
とあるのですが、パスワードはおろか暗号化すらされていないファイルがある(「印刷等の作業用中間ファイルとして作成されたものの痕跡ではないか」 [twitter.com]、「MLCRIY.MDBというAccessDBがあります。壊れていますが,開いてそのままエクスポートするとExcelあたりに出力できます」 [twitter.com])。
さらにAnonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6) [takagi-hiromitsu.jp]にあるように anonymous FTP として図書館データをインターネットに晒していたwそこでダウンロードされたファイルを元に解析を進めた結果、MDISの図書館システムは図書館で稼動中のシステムが別の図書館にコピーされていたことが判明(詳しくは三菱電機インフォメーションシステムズ(MDIS)と自治体システムについて: 日々是・・・ [cocolog-nifty.com])。
三菱電機のプレスリリースには「(岡崎市の)プログラムライブラリの修正結果を元のプログラムライブラリに反映させました」とあるけれど、実は複数の図書館のコピーがあり杜撰な運用がされていたことが判明。さらに「併せてインターネットで更なる拡散が進行しないよう、専門機関と相談のうえ対応致します」つーことで、今のところ P2P などで更なる拡散はしていないと思うんだが、これから被害届を警察に出しにいきますか、この会社は?
>えん罪が怖くてアクセスできないAC
お昼に確認したけど、MDIS 謹製 anonymous FTP として公開されていた ftp://210.230.245.201/ [210.230.245.201] (篠栗町立図書館)はすでにパスワードがかけられている。しかし http://sasaguri1.uxt.cknet.co.jp/index.html [cknet.co.jp] の方はクローズしている。
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
>いくらとれるからって、パスとファイル名を明かすのってどうなのかなぁ。
どうって…。
パスとファイル名を明かさなきゃ、自分のところの状況をチェックできないじゃない。
それとも、「詳細は言えないけど、個人情報が漏れてる状態になってるよ」の方が良いってこと?
# でも、公開する前に三菱に連絡して対応してもらうべきっていう意見は、分からないでもないです。
# 図書館から不正アクセスで訴えられないで、なおかつ、三菱がちゃんとフォローしてくれるのが前提ですが。
Re: (スコア:0)
>いくらとれるからって、パスとファイル名を明かすのってどうなのかなぁ。
どうって…。
パスとファイル名を明かさなきゃ、自分のところの状況をチェックできないじゃない。
それとも、「詳細は言えないけど、個人情報が漏れてる状態になってるよ」の方が良いってこと?
# でも、公開する前に三菱に連絡して対応してもらうべきっていう意見は、分からないでもないです。
# 図書館から不正アクセスで訴えられないで、なおかつ、三菱がちゃんとフォローして
Re:流出経路がなんだかな (スコア:1, すばらしい洞察)
その馬鹿は脆弱性を指摘したから逮捕されたんじゃなくて、脆弱性を利用して取得した個人情報を公開したから逮捕されたんだろ。
Re: (スコア:0)
Re: (スコア:0)
取得した個人情報を公開していない。
Re: (スコア:0)
罪名は「不正アクセス禁止法違反」と「威力業務妨害」。
個人情報を公開したかどうかは関係ない。少なくとも表向きは。
というか、そういう公開そのものを取り締まる法律がないんじゃなかろうか。
#「取得した情報を公開するような悪質なことしなければ、逮捕されないだろ。常識で考えて」
#…という常識が警察には通用しないことがわかったのが、先の岡崎市図書館の一件。