パスワードを忘れた? アカウント作成
259403 story
セキュリティ

えびの市と篠栗町の図書館システム、保守会社の社員がパスワードを解除していた 66

ストーリー by hylom
そんなんでいいの? 部門より

binsmax 曰く、

高木浩光@自宅の日記に 朝日新聞名古屋本社版2010年8月23日夕刊6面に掲載された記事そのものが掲載されている。

岡崎市立図書館絡みで話題になっている三菱電機インフォメーションシステムズ(MDIS)であるが、 同社の別の図書館システムが導入されている宮崎県えびの市福岡県篠栗町において、 「ホームページのパスワードが外され、誰にでも改ざんできる状態になっていた」とのことである。記事では「ホームページ」となっているが、FTPサーバーのパスワードが設定されていない状態になっていた、というのが正確な事実のようだ。

原因は外部からのクラックというわけではなく、三菱電機側から営業、保守と請け負っていた業社の社員が、 複数人での保守をやりやすくするためにパスワードを外してしまったとのことである。

高木氏の日記によると、そのFTPサーバーは8月4日以降はパスワードによるアクセス制御が行われるようになったとのことだが、現在もインターネットから接続でき、通信路への対応は特にないとのことだ。個人情報の流出はなかったとされているが、そのような問題なのだろうか?

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • クローラ事件で話題の岡崎市立中央図書館で今度は利用者情報の流出が発覚 [srad.jp]
    の続報であるということは(別意見の人もいるであろうが)わたしは明示すべきだと思う。なぜならタレコミ文の

    岡崎市立図書館絡みで何度も事件を起こしている三菱電機インフォメーションシステムズであるが、

    というのはlibrahack_bot [twitter.com]が繰り返し誘導しているまとめサイトを読めば事実誤認に基づく
    言い方だとわかるからだ。
    「何度も事件」ではなく、既に起こった事件はlibrahack氏の逮捕と岡崎市立図書館における個人情報流出はすべて一連のことであり、
    この二つで何度もというのはちょっとねえ。なお、これからまだ起こるかもしれない不祥事というのは大いにありえそうなのです。

    周回遅れ、もしくはたまに出てきて気の利いたことを言って受けを狙える状況じゃないんです。
    個人情報流出露見はパスワードなしのftpサーバの存在そのものと表裏一体だし。
    そこまでわかっているにも関わらずはしょって書くなら

    Webページのパスワードが外され、

    はいかがなものか。せめてFTPサーバと記述するのが適当では?
    岡崎市立図書館をはじめ各システムがFTPサーバで中味ごっそりgetする構造で成り立っていることを
    言ってもいいんじゃないの?
    なお、あちこちの図書館を通じて岡崎市立図書館における個人情報を流出させていたのはMDISではなくて
    三菱電機であると判断できる相当の理由もお忘れなく。

    • by Anonymous Coward on 2010年09月30日 17時25分 (#1832628)

      続報と言えば続報なんでしょうけど、

      スラド民ならわかってることだけど、
      > 個人情報流出露見はパスワードなしのftpサーバの存在そのものと表裏一体だし。
      この書き方もどうかと。

      「個人情報流出」は「パスワードなしのftpサーバ」が存在しなくても発生する。
      むしろこの二つは別のことが多い。

      「個人情報流出」だけでもスキャンダルなのに、
      その原因が「パスワードを解除したftpサーバ」だとなると、ミスが二重三重に重なった、
      あまりに杜撰な運用による事件であり、三菱電機インフォメーションシステムズの
      責任は免れないと言って良いでしょう。

      親コメント
      • だから「個人情報流出露見」って書いてるのでは

        個人情報流出は 岡崎 -> えびの市や篠栗町等のコピーの時点で起こっていて、

        パスワードなしのftpサーバの存在によって、
        ftpアクセスした第三者(高木氏等)がえびの市等に存在しないはずの岡崎の情報が存在することを確認したことで、流出の事実が第三者に露見した
        (さらに第三者にも流出した)

        ってことでは

        親コメント
    • by nofuture (17983) on 2010年10月01日 0時08分 (#1832846)
      タイトルの「記事としては...」の「記事」が新聞の記事かと思って
      理解に時間がかかってしまいました。
      タイトルって難しい。
      親コメント
    • Re: (スコア:0, オフトピック)

      掲載時に修正・追記しました。ご指摘ありがとうございます。

    • by Anonymous Coward
      続報と言うなら順序は逆では?
      ソース的にはこのパスワードが外されていたの記事が先で、その後に利用者流出の件ですよね。

      でもまあスラドに掲載されたのはこの順だし、ネットで話題になったのもこの順なんで
      後先付けずに関連情報とでも言っておくのが一番据わりがいいかと。
  • ポストイット (スコア:3, おもしろおかしい)

    by Lafiell (6631) on 2010年09月30日 17時31分 (#1832631)

    何でわざわざパスワードなしにしちゃうんでしょうね。
    ポストイットにパスワード書いてサーバマシンにペタ、で良かったのに。

    #先日機会があって弊社のサーバールームに(システム部の人同伴で)入ったら
    #やっぱり貼ってありました

    • Re:ポストイット (スコア:1, 参考になる)

      by Anonymous Coward on 2010年09月30日 17時39分 (#1832636)

      私も貼ってます。
      ただし、業者の後ろからのぞき込んでハックしたので、
      こっそりバレないように、ルーターの底にw

      #業者呼ぶほどでもないとか何人も経由しないとわからないような時は、
      #自分で調べちゃった方が早いからね。

      親コメント
    • by Anonymous Coward
      サーバにぺたぺたパスワード貼ってても、ネット経由でリモートからじゃ、
      Webカメラでもしかけとかない限りは見えないからな。
  • by Anonymous Coward on 2010年09月30日 17時25分 (#1832629)

    保守を行っていた会社の中の人たちは素人集団だったのだろうか?
    なぜそんな連中と三菱は営業と保守の契約を結んでいた?

    • Re:素人? (スコア:5, 興味深い)

      by saitoh (10803) on 2010年09月30日 19時21分 (#1832703)
      東海村JCO臨界事件もそうですが、バックグラウンドの知識がなく手順書通りに作業するだけのヒトを雇ってるんじゃないでしょうか。人件費が安いから。あるいは教育費を掛けたくないから。で、『手間を省くナイスなアイディア』を思いついたときに、そのアイディアが危険な落とし穴なのかどうか破断できる知識がなくて、そのままやっちゃうと。

      IT系全般に保守で出張してくる人は時としてとんでもなく低レベルです。保守作業手順が分からなくで電話をあごに挟んで逐一指示してもらいながら作業するとか、六角ナットをラジペンで回して外すとか,バッテリの取り外しをプラス極配線から先に外すとか・・・・いろいろ目撃しました。もちろんちゃんとしている人も居るんですが。

      親コメント
      • by usagito (9671) on 2010年10月01日 1時08分 (#1832866) ホームページ 日記

        IT系全般に保守で出張してくる人は時としてとんでもなく低レベルです。保守作業手順が分からなくで電話をあごに挟んで逐一指示してもらいながら作業するとか、六角ナットをラジペンで回して外すとか,バッテリの取り外しをプラス極配線から先に外すとか・・・・いろいろ目撃しました

        1999年の11月から12月にかけて、警視庁所轄各署および本庁の幹部クラスにネット端末を配置する仕事にハケンで行きました。知人に頼まれて、この仕事のためにグッドウィルに登録。集まった十数名は、パソコンのキーの刻印も読めない人が大半。ある日などは警視庁の本庁に入るのに、事前に提出してある作業員名簿に合わせるため「きょうは君は○○くんね。この名札付けて!」とか、いろいろ凄かった。指示を出す日立の人たちはたいへん優秀でしたが、何かあったら大変だろうなと思いました。

        親コメント
      • by eukare (2230) on 2010年10月01日 3時19分 (#1832890) 日記

        「手順書通りに作業するだけ」ならまだマシですな。余計なことはしないわけですから。
        「俺いいこと思いついた!」な事は手順書に書いてないことなわけですし。

        親コメント
        • Re:素人? (スコア:2, すばらしい洞察)

          by firewheel (31280) on 2010年10月01日 7時03分 (#1832907)

          手順書が間違ってる場合はどうするのかという問題も。

          常に完璧な手順書が用意できる現場ばかりとは限らないし、
          人間はミスを犯す動物でもある。

          親コメント
    • Re:素人? (スコア:2, すばらしい洞察)

      by snurf-kim (10835) on 2010年09月30日 17時57分 (#1832652) 日記

      >保守を行っていた会社の中の人たちは素人集団だったのだろうか?

      DQN上司「おい、(FTPサーバーの中身)見えねーんだけど」
      保守担当「そこはユーザー名とパスワードを入れ・・・」
      DQN上司「いちいちめんどくせーんだよバカ。パスワードとかいらねーようにしろよ」
      保守担当「そんな事したら余所から丸見えになりますよ」
      DQN上司「あぁ? わけわかんねー事言ってんじゃねーよ。とっとと見えるようにしろバカ」
      保守担当「(・・・どうなっても知らないからな)」

      こんな具合に、上層部に聞き分けのないド素人が一人紛れ込むだけでぜーんぶおしまいさっ。

      親コメント
      • Re:素人? (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2010年09月30日 18時56分 (#1832692)
        > 上層部に聞き分けのないド素人が一人紛れ込むだけでぜーんぶおしまいさっ。
        聞き分けのないド素人を上層部に招き入れると云う時点で
        既にアウトなような・・・。
        親コメント
      • Re:素人? (スコア:1, 興味深い)

        by Anonymous Coward on 2010年10月01日 2時10分 (#1832883)

        > こんな具合に、上層部に聞き分けのないド素人が一人紛れ込むだけでぜーんぶおしまいさっ。

        上層部かどうかはともかく、実際今回の件は「両市町とも同じ社員がパスワードを外しており」と
        「ド素人が一人紛れ込んだ」ことを想起させる報道がされてますね。
        「複数の担当者が並行して作業するのでパスワードを外した方が便利だと思った」レベルのようですし。

        # 特定の人をスケープゴートにして話を終わらせようとしている...と妄想することも可能ではありますが。

        親コメント
        • Re:素人? (スコア:1, すばらしい洞察)

          by Anonymous Coward on 2010年10月01日 3時35分 (#1832892)

          一人が勝手にそんなことを思いついても、常識のある人がいれば元に戻すでしょうしね
          つまり
          「パスワードが無い(本来の手順と違う)状態にされていることをおかしいと思う人が居ない」
          常識のある奴が居なかったってことだ

          親コメント
          • by nemui4 (20313) on 2010年10月01日 9時30分 (#1832927) 日記

            >「パスワードが無い(本来の手順と違う)状態にされていることをおかしいと思う人が居ない」
            >常識のある奴が居なかったってことだ

            三菱界隈では「パスワードが無い状態」が常識だったんでしょうね。

            #常識って必ず一つ且つ正しいものだというのが常識っすね。

            親コメント
      • by Anonymous Coward
        FTPクライアントに覚えさせればいいだけの話だし、FTPクライアントにその機能がなくてもVPNなりポート転送なりを常時つなげておいてローカルアドレスのみアクセス可にしてそっちから使えばいいだけじゃん?

        どの道素人集団としか言えないと思いますが。
        • by Anonymous Coward
          FTPのパスワードがない状態と、ガンブラー等でFFFTP等に保存されているパスワードをばらまかれるのと、どちらの方が安全でしょうかねぇ?

          ふと思いました。
    • Re:素人? (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2010年10月01日 6時26分 (#1832903)
      単にパスワードを無しにした、というのではなく、
      Anonymous FTPになってたんですよね。

      保守を請け負っていて、さすがに
      「FTPの設定を、わざわざAnonymous可に変える」
      というのはありえないと思うんだけど。

      だから「外した」んじゃなくて、
      最初からAnonymous FTPの状態でセットアップされて、
      そのまま保守会社に引き渡されたんじゃないかという気はする。
      親コメント
    • by Anonymous Coward

      そりゃ三菱の人も素人だったからでしょう。

    • by Anonymous Coward

      ここ最近「素人感覚」「庶民の目線」の方がもてはやされていたからではないでしょうか。

    • by Anonymous Coward
      元締めとしては、売り上げてくれればソレで良し。売りっぱなしで、あとはまかせた状態。
      バージョンup版は、定額保守料とは別に費用をもらわなければ渡せないよ?
      個別カスタマイズ部分は、バージョンupしたらやり直しだからね。

      代理店は、システムに関して言えば素人以下か、相当レベルが低いんだと思う。
      マトモな会社なら、あんな酷い欠陥仕込みのパッケージを売って保守しようなんて思わないもの。
      あのパッケージはそもそも図書館内の閉じたネットワークで限られた台数の端末のみで運用すべきだな。
      使い方を間違ってる。
  • by Anonymous Coward on 2010年09月30日 17時39分 (#1832638)

    実際には流出していたという事は既報ですが、その段階で

    個人情報の流出はなかったとされているが

    と、過去の認識が今も言っている様な書き方はいかがかと。これは(ろくに調査もぜずに言った早まった結論ではあるが)あくまで8月の段階での言葉だと示すべきでは。
    そして、さらに、実際には流出していた事が分かっている今における、過去に流出がなかったという言葉の後の

    そのような問題なのだろうか?

    の「その」とはどの様な意味合いなのだろうか?

  • by Anonymous Coward on 2010年09月30日 17時44分 (#1832644)

    ftpサーバにだってGoogleのクローラは結構来るんですがねぇ。
    ウチの放置気味な自宅サーバ(ログインは匿名のみ許可、書き込みは当然禁止)でさえ今月だけで20件。

  • by Anonymous Coward on 2010年09月30日 17時44分 (#1832645)

    SSHでクライアント証明書使っているから
    パスワード使ってないよ。
    という話では無いわけですよね。

    あえて書いてみましたけど。

  • by Anonymous Coward on 2010年09月30日 22時52分 (#1832806)

    おそらく、「資料検索」をたどるとあらわれる、
    http://sasaguri1.uxt.cknet.co.jp/index.html [cknet.co.jp]
    では?

    えびの市と同じく、
    uxt.cknet.co.jpであり、千代田興産株式会社 [cknet.co.jp]のサーバではないかと。

    千代田興産株式会社の関連会社に千代田情報システム株式会社 [cjsnet.com]があり、
    三菱電機と関係がある [cjsnet.com]ようです。
    ここが今回の保守会社ではないでしょうか。

    • by Anonymous Coward

      元の記事中に「千代田興産」と書かれていて、同社の取引先にはMDISも含まれているのに
      わざわざ

      > 千代田興産株式会社の関連会社に千代田情報システム株式会社があり、
      > 三菱電機と関係があるようです。
      > ここが今回の保守会社ではないでしょうか。

      と考えるのはなぜ?
      # 千代田情報システムが千代田興産から再委託受けていたりとか、
      # 今回問題引き起こした作業者の原籍が千代田情報システムである可能性までは否定しないけどね。

      まだ、
        千代田興産の主要業務にコンピュータシステムの保守事業が含まれていないから
        そういう事業を行っている関連会社に振ったのかも
      って想像ならわからんでも無いけど、

      > 三菱電機と関係があるようです。

      関係があるっていっても、MDISじゃなくて三菱電機本体の話で、
      それも三菱製コンピュータの代理店販売やってるってだけ。
      さすがに今回の件の根拠にはするには薄すぎるだろ。

      • Re: (スコア:0, オフトピック)

        千代田興産株式会社 [cknet.co.jp]トップページのLIBZOO(学校図書館管理システム)が三菱図書館システム(MDIS)に丸投げ状態だから。
        千代田情報システム [cjsnet.com]のサービス内容がその辺の面倒を全部みているっぽく見える反面、千代田興産が実際にそういう仕事に人手を割いているようにまるで見えないから。
        などなど。これでは論拠として不自然かつ不足でしょうか?

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...