クローラ事件で話題の岡崎市立中央図書館で今度は利用者情報の流出が発覚 100
ストーリー by hylom
今度はどういう発表をするんでしょうか 部門より
今度はどういう発表をするんでしょうか 部門より
あるAnonymous Coward 曰く、
先日、岡崎市立中央図書館のWebサイトに対しクローラで連続アクセスした男が逮捕される、という事件があったが、毎日新聞によると、この岡崎市立中央図書館で今度は個人情報の流出事件が発覚したそうだ。
流出したのは利用者163人分の名前や年齢、電話番号、借りた本のタイトル、貸出日など。
ソフトを開発した三菱電機インフォメーションシステムズ(東京)によると、同図書館が最初のソフト販売先だった。岡崎市の利用者の個人情報を誤って残したまま、ソフトをほかの全国37の公立図書館に販売してしまったという。宮崎県えびの市と福岡県篠栗町の図書館のホームページ(HP)から、岡崎市の個人情報がダウンロードされたことが確認された。
(追記@16:35)三菱電機インフォメーションシステムズがこの件について下記のようなプレスリリースを公開している。
このたび、弊社が開発、販売する図書館システム「MELIL/CS」(メリルシーエス)のプログラムライブラリにおいて、岡崎市立中央図書館利用者様の個人情報を他の37の図書館様に混入させたことが判明致しました。当該情報については、既に削除を実施済みです。
一方、削除前のデータが弊社のパートナー会社が行なったシステム保守操作の誤りによりインターネットからアクセス可能な状態となり、2ヶ所の図書館のWebシステムから個人情報がダウンロードされたことを確認致しました。
流出経路がなんだかな (スコア:5, 興味深い)
rxk14007の日記 [srad.jp]にもコメントしましたが、たりき氏のつぶやき [twitter.com]によりますと
で、福岡県篠栗町の図書館サイトにも同一データがあったこととのこと。利用者の人数が毎日の報道と異なるものの、こんな形で三菱図書館システムMELIL/CS [mdis.co.jp]に岡崎市の個人情報がもれなくオマケされていたのは確認されているそうで・・・
ここまで書いて、ふと見ると
たりき氏のつぶやき [twitter.com]
さらに被害が拡大しそうな予感。
モデレータは基本役立たずなの気にしてないよ
Re:流出経路がなんだかな (スコア:1)
> (>´A`)> ィャァァァァァァァァァァァ 1800人分見つけてしもたああああああ
犯罪告白してるように見えるのは気のせい?(ノーガード戦法的な意味で
公開してるのは向こう側では… (スコア:2)
請求されたらほいほいと出すように設定しておいて、「意図していなかった」とか言われても、ねぇ。
Re:流出経路がなんだかな (スコア:1, おもしろおかしい)
不正アクセスで逮捕されるんですね。わかります。
Re:流出経路がなんだかな (スコア:1, すばらしい洞察)
その馬鹿は脆弱性を指摘したから逮捕されたんじゃなくて、脆弱性を利用して取得した個人情報を公開したから逮捕されたんだろ。
パスワードはおろか暗号化されていない個人情報があることに驚き (スコア:2, 参考になる)
>ちなみに、該当のファイルがパスワードで保護されてるって情報はどこかにありました?
ないですね。三菱図書館システムMELIL/CS [mdis.co.jp]によると、
とあるのですが、パスワードはおろか暗号化すらされていないファイルがある(「印刷等の作業用中間ファイルとして作成されたものの痕跡ではないか」 [twitter.com]、「MLCRIY.MDBというAccessDBがあります。壊れていますが,開いてそのままエクスポートするとExcelあたりに出力できます」 [twitter.com])。
さらにAnonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6) [takagi-hiromitsu.jp]にあるように anonymous FTP として図書館データをインターネットに晒していたwそこでダウンロードされたファイルを元に解析を進めた結果、MDISの図書館システムは図書館で稼動中のシステムが別の図書館にコピーされていたことが判明(詳しくは三菱電機インフォメーションシステムズ(MDIS)と自治体システムについて: 日々是・・・ [cocolog-nifty.com])。
三菱電機のプレスリリースには「(岡崎市の)プログラムライブラリの修正結果を元のプログラムライブラリに反映させました」とあるけれど、実は複数の図書館のコピーがあり杜撰な運用がされていたことが判明。さらに「併せてインターネットで更なる拡散が進行しないよう、専門機関と相談のうえ対応致します」つーことで、今のところ P2P などで更なる拡散はしていないと思うんだが、これから被害届を警察に出しにいきますか、この会社は?
>えん罪が怖くてアクセスできないAC
お昼に確認したけど、MDIS 謹製 anonymous FTP として公開されていた ftp://210.230.245.201/ [210.230.245.201] (篠栗町立図書館)はすでにパスワードがかけられている。しかし http://sasaguri1.uxt.cknet.co.jp/index.html [cknet.co.jp] の方はクローズしている。
モデレータは基本役立たずなの気にしてないよ
天罰覿面 (スコア:4, 興味深い)
ところが、これを契機に多くの人がよってたかってMDISのシステムの分析を初めて、データベースコネクションの溢れだという欠陥の真相が念力でバッグで指摘された。でさらに解析は続けられ、同じMDISのシステムを使っている他の図書館のWEBとの比較なんかをしてたら、「個人情報ごと流用」が見つかったと。 その話題がツイッターの#librahackで流れてたのが先々週だったとおもう。指摘されるつどWEBを書き換えてコピペの痕跡を消してたみたいだけど、ついに観念して記者会見を開いたのが今日、と。
さすがに岡崎図書館も損害賠償とか入札資格停止とかいいだしたみたい。 なんつーか、開発チームがアホなだけでなくて、導入運用部隊もタコで、自分で撒いた種、そのものですな。
Re:天罰覿面 (スコア:2)
どうせ下請けに丸投げ (スコア:3, 参考になる)
元請けがやるのは、会議と外注伝票書くことだけじゃないかな。
名もない下請けのミスでしょう。
監理できない三菱の責任は免れませんが、監理能力なんて元々あるわけないしね。
Re:どうせ下請けに丸投げ (スコア:4, すばらしい洞察)
こういうとき表向きMDISの責任になることで下請け企業は名前を出せない代わりに倒産もしないというのがITゼネコンの存在意義なんだからそれでいいでしょ。ここで下請けに責任を押し付けるようだったらMDISに発注するのは本当に金の無駄以外の何者でもないけど。
Re:どうせ下請けに丸投げ (スコア:2, 興味深い)
というか、本当にMDIS側の責任だと思うんだが。
「こういう風に作れ」と言われたら下請けはそれに逆らえない。
期間、費用、人数、開発者のスキル、さらには仕様変更の回数まで、
全部元請けの命令で決まるもの。現場の意見は無視される。
品質はその結果にすぎません。
Re:どうせ下請けに丸投げ (スコア:1, すばらしい洞察)
というか、下請けが作ったものをどう管理するかはMDISの責任においてすることでしょ?
MDISのプレスリリース来ました (スコア:3, 興味深い)
http://www.mdis.co.jp/news/press/2010/0928.html [mdis.co.jp]
ということらしい。
嘘だと思うな。 (スコア:5, 興味深い)
Re:MDISのプレスリリース来ました (スコア:1, 興味深い)
お詫びにしては珍しく、総イメージではなく検索エンジンの対象になるテキスト文書だな。後で黒歴史として葬る気が見えないところは評価する。
Re:MDISのプレスリリース来ました (スコア:1, 興味深い)
それを自社のオリジナルへ反映させる必要があったのだろう……。
(オリジナルは弄らず、運用中のプログラム側のみ弄ってたってこと?)
それと、この話からすると岡崎市立中央図書館様って、
ベータテスターか何かだったの?
Re:MDISのプレスリリース来ました (スコア:1, 興味深い)
オリジナルをそのままの構成でコピーしなくちゃ動かないとか、
オリジナルすら再起動しただけでもう動かないとか、
程度の低い連中にかかれば珍しくもない話。
岡崎市の公式発表 (スコア:2, 参考になる)
岡崎市の公式発表が出ました。が、見出しがとても風変わりです。w
「図書館利用者情報の流出がありました。」 [aichi.jp]
Re:岡崎市の公式発表 (スコア:2, すばらしい洞察)
当事者意識がどこまでも欠落してるんだな。
こういうバカが居るから「だからコウムインは……」なんて言われるんだろうなあ。
今回は被害者 (スコア:1, すばらしい洞察)
今回は三菱の犯行でしょう
どちらかといえば被害者の側なのにタイトルで名指しされてしまった図書館カワイソス
データぶっこ抜きを許したのはアホだからでしょうけど、一番悪いのは三菱なんだし
Re:今回は被害者 (スコア:4, すばらしい洞察)
Re:今回は被害者 (スコア:3, すばらしい洞察)
つうか、真の被害者は岡崎市民じゃないの?
値段に見合わない低性能のシステムを売りつけられた上に、市民の個人情報をばら撒かれたのだから。
Re:今回は被害者 (スコア:2, すばらしい洞察)
真の被害者は利用者なのだから、図書館の名前を落とすわけにはいかないでしょう。
今後の流れ (スコア:3, すばらしい洞察)
岡崎市図書館が利用者情報を盗まれたかもしれないと警察に相談して、
三菱が捜査協力した結果、えびの市と篠栗町の図書館長が逮捕されるのでしょうか。
Re:今後の流れ (スコア:2)
その流れで行くと、えびの市図書館館長より某先生が危ない
Re:今後の流れ (スコア:2, すばらしい洞察)
Re:今後の流れ (スコア:1, おもしろおかしい)
Re:今回は被害者 (スコア:1)
あそこは被害者利用者加害者の概念がないところだからね。
だんまり決め込んだ馬鹿会社を使い続けたツケだよね。
Re:今回は被害者 (スコア:1)
「三菱~が岡崎市立中央図書館の利用者情報を、別の図書館にシステムと共に販売」じゃないかな?
朝日新聞 (スコア:2, 興味深い)
しかし、署名の前に「。。(神田大介、連勝一郎) 」と句点が二つあるのは、校正がちゃんとしていませんね。なんかもう一文あったのかと想像してしまいます。
Re:朝日新聞 (スコア:1)
普通の感覚ならMDISだけは採用しない、となるよな。
氷山の一角じゃないの? (スコア:1, 興味深い)
今日本には千八百位自治体があるそうですけど、
つつかれてないから表面化してないだけで
こういう調子のところが他にも結構あるんじゃないですかね。
みんながみんなてんでんばらばらにシステム開発しているので、
クオリティが高いところもあれば全然ダメなところも出てくる。
やることはどこもほとんど同じなんだから、
国全体、ダメなら県単位でシステム統合すれば良いのにと思う。
そうすりゃ少なくとも今回のみたいに犯罪レベルに糞なシステムが出来る件数は減るでしょう。
税金の節約にもつながる筈。
Re:氷山の一角じゃないの? (スコア:1)
> そうすりゃ少なくとも今回のみたいに犯罪レベルに糞なシステムが出来る件数は減るでしょう。
> 税金の節約にもつながる筈。
場所によっては、県単位かどうかは別として、いくつかの自治体でシステム統合というか
SAASとかクラウドとかいう感じのシステムを共用してコトダウンを図るということは
やり始めている。
まあ、それで税金が減るかといったらそんなことは全然ないんですが。
Re:氷山の一角じゃないの? (スコア:2)
図書館の統計は日本図書館協会で出していますよ。
公共図書館集計(2009年) [jla.or.jp]
ご覧になればわかるとおり、県・市区では公共図書館がほぼ完備されていますが、町村レベルとなると半数程度となります。
なお、公共図書館がない自治体において大学図書館や学校図書館が公共図書館の役目を代行している場合があります。
Nullius addictus iurare in verba magistri
Re:三菱の説明が意味分からん (スコア:3, 興味深い)
先行稼働、仮稼働、段階納入、など
意味:
納期が守れない場合の常套手段の一.
本来の納期が守られていないことをカムフラージュするために、機能や仕様を制限して当初の納期よりも前倒しで納入を計るなどを行う。
納入・検収のスケジュールを崩すとともに、なし崩し的に本稼働に持ち込むことも重要な目的の一つである。
未完成の機能が存在することやその開発が継続されていることは、多くの場合顧客には告知されない。
完成物は顧客の運用環境にしか無いため、開発物の回収に大きな困難を伴うことがある。
想像する私 (スコア:2, 興味深い)
岡崎市の実際のシステムで最終版を納入・稼動試験で微調整(社内最終版ではわからなかったバグ発覚)
⇒「実際に動いたんだから、この版が一番安心だよね!」
⇒稼動しているシステムをコピーして会社に持って帰る(社内最終版を修正するのマンドクセ)
⇒岡崎以外の次の注文来た
⇒岡崎でコピして持って帰った稼動版を納入
Re:想像する私 (スコア:1)
場所:三菱電機インフォメーションシステムズ
日時:岡崎市立中央図書館以外の図書館向けのMELIL/CS出荷前日の定時後あたり
「すいません、○×処理の確認をやってて、エラーが出ました。利用者データが0件の場合を考慮してない処理が有るらしい事までは判ったんですが……」
「じゃあ、その箇所を修正させれば良いじゃん」
「いや、今日、外注さんが自社戻りの日で……」
「……ちょっと待て、最初に納入したユーザのデータのバックアップが有ったよな……」
そして、以後、泥縄式にコレが出荷時の調整手順に組込まれましたとさ。
# なお、上記は、あくまでフィクションであり(略)
Re:三菱の説明が意味分からん (スコア:2, 参考になる)
詳しくはまとめサイト [atwiki.jp]をみてください。
Re:三菱の説明が意味分からん (スコア:2, 興味深い)
otsune氏 [twitter.com]によると、MDISがソースコードのバージョン管理をせず場当たり的に変更を繰り返して管理できなくなっていたのがそもそもの元凶だそうで。
弱小ソフトハウスや学生の小遣い稼ぎじゃあるまし (スコア:2, すばらしい洞察)
まあ、事実関係としてはそうなんだろうけど。それじゃ社員5人とかの
弱小ソフトハウスか学生の小遣い稼ぎのバイト並みのクオリティだよね。
実際に作業したのがそう云うレベルの人たちだったとしても、元請けの
企業として受注してるので、管理・監督の責任があるのは言うまでもない。
もう、この図書館向けのシステム事業は辞めた方がいいんじゃないかな。
納入した図書館にはゴメンなさいして、他システムへの移行のサポート
業務のみの残務整理でお終いにしろ。
公共施設に納入してるんだから、ISO9000は認証受けていると思うけど、
製品の識別とかトレーサビリティって「何それ、おいしいの」って世界だよな。
Re:弱小ソフトハウスや学生の小遣い稼ぎじゃあるまし (スコア:5, 興味深い)
書類さえそろえりゃ実体が伴って無くてもこの手の認証はいくらでも取れるんですね。 今回の不手際でこれらの認証が取り消しになるかどうか大いに楽しみですな。
Re:弱小ソフトハウスや学生の小遣い稼ぎじゃあるまし (スコア:3, 興味深い)
> 2006年3月に公共システム事業分野でCMMIレベル5を達成しました
CMMI認定期間は3年です。その CMMI レベル5 は、2009年 3月で期限切れになってます。 (再認定はされてません。)
しかも、MELIL/CS (ASP) の開発・メンテ部隊は、その「公共システム事業分野」とは別部署っぽいですよ。
http://bluewatersoft.cocolog-nifty.com/blog/2010/09/mdis-cmmi-03be.html [cocolog-nifty.com]
> [岡崎図書館サイバー冤罪事件] MDIS って CMMI 認定を受けてる優秀なソフトウェア開発会社なんでしょ?
※ Anonymous にする意味無いけど、アカウント取る気が無いのでやぱし Anonymous で f(^^;
Re:弱小ソフトハウスや学生の小遣い稼ぎじゃあるまし (スコア:2, 参考になる)
/.で話題になりました大日本印刷の大規模漏洩事例でも、プライバシーマークの
取り消しには至らなかったという前例がありますね。
http://srad.jp/security/article.pl?sid=07/03/23/1542213 [srad.jp]
http://internet.watch.impress.co.jp/cda/news/2007/03/26/15186.html [impress.co.jp]
Re:弱小ソフトハウスや学生の小遣い稼ぎじゃあるまし (スコア:1)
Re:「技術的知見・運営ノウハウの蓄積は達成」と主張すればいいんじゃね? (スコア:2)
で、公にすると契約の守秘条項違反になるからアレでソレ
fj.jokes出身:
Re:三菱の説明が意味分からん (スコア:1, 参考になる)
利用者データがよその図書館に行っている:
岡崎のをまるまる試験環境扱いしていたのかというのが問題点。別途開発用のローカルサーバーとか置き場はなかったのかという...
ダウンロードできてしまう:
そもそもとれる場所(public_html以下)にDB本体を保管してるのってどうなのだろうか...
Re:三菱の説明が意味分からん (スコア:2, 興味深い)
>個人情報ウンヌン言う以前の時代は、試験データを本番オンラインから任意抽出、なんてのは日常茶飯事なわけですがねー
いくらなんでも、まともなSI屋はそんなことしませんでしたよ。
ちゃんと決まりもあり、本番アクセス台帳なるものもありました。
今みたいにきちんとしたシステムじゃなく、紙ベースだったりしましたけど。
個人情報云々以前の問題 (スコア:1, 興味深い)
図書館の大原則、「利用者の読書事実を外部に漏らさない」「読書記録以外の図書館の利用事実に関しても、利用者のプライバシーを侵さない」。
先日の逮捕騒動に引き続き、これがまた侵されたわけだが…
そもそも、「図書館の自由に関する宣言」を守る態勢が出来てなかったという事か。
もちろん今回は三菱電機インフォメーションシステムズが悪いんだろうけど、そもそも厳重に取り扱うよう監督する義務が図書館にはあったはず。
Re:librahack氏逃げてー (スコア:1, 興味深い)
Re:サンプルデータ? (スコア:5, 興味深い)
29~30日の間で発生した実データじゃないですかね。
管理画面から一覧をダウンロードできる機能があって、その作業ディレクトリがまる見えだったと予想。
岡崎市の図書概要 [aichi.jp]※pdf注意
弊社図書館システムにおける個人情報の混入及び流出について(お詫び) [mdis.co.jp]