図書館システムのMDIS、岡崎市に契約解除される | スラド
最近飽きちゃったので #Librahack の追っかけはしていませんでしたが、久しぶりにググったら同じシステムを使う中野区立図書館でも情報流出したニュース [asahi.com]が出ていますね。 中野区の図書館システムに係る個人情報の流出について [tokyo-nakano.lg.jp] 中野区の図書館システムに2003年現在で登録されていた区民2名分の個人情報が、最近、他の自治体の図書館システム内に混入していたこと、及び九州にある自治体の図書館のシステムを介して、外部に流出していたということが判明しました。 原因は、2003年にシステム開発を行った際、三菱電機インフォメーションシステムズ株式会社が自社の作業用パソコンを持ち込みテスト作業を行い、テスト完了後、パソコンを持ち帰ったが、この時、データ消去が完全に行われずにプログラムデータの中に個人情報2名分が残存してしまったものです。 このシ
MELIL/CS導入図書館の利用者情報等の漏洩に関する緊急要請
三菱電機インフォメーションシステムズ株式会社のMELIL/CSという図書館システムを導入している図書館宛(下記の約60館)に緊急要請を送りました。 図書館が事態を主体的に検証することを呼びかけるものです。 9月28日以降の報道や10月1日付けの岡崎市立中央図書館の発表によれば、岡崎市立中央図書館の163名分の個人情報が三菱電機インフォメーションシステムズ株式会社(以下、MDIS)の提供する図書館システムMELIL/CSを導入している全国37の図書館に流出しました。さらに、この37図書館のうち福岡県篠栗町と宮崎県えびの市の図書館のウェブサーバからインターネットを介して外部に流出したとのことです。 また、えびの市教育委員会の発表によれば、えびの市民図書館の116名の利用者の個人情報がインターネットを介して流出しており、報道によればさらに約1800人の利用者情報が流出したとの情報もあります。 さ
高木浩光@自宅の日記 - 朝日新聞名古屋版「パスワード、管理会社員が解除」の記事
朝日新聞名古屋本社版2010年8月23日夕刊6面「パスワード、管理会社員が解除」 朝日新聞社データベース事業センターの許諾のもと転載(承認番号:2-1666) ※朝日新聞社に無断で転載することを禁止する このように、 ソフトの管理会社員が使い勝手をよくするため、外したという。(略) 同社は(略)個人情報の流出はなかったとしている。(略) 「複数の担当者が平行して作業するので、パスワードがない方が便利だと思った」と説明したという。 朝日新聞名古屋本社版2010年8月23日夕刊6面「HPパスワード、管理会社員が解除 九州の2図書館 改ざん可に」 とある。 このAnonymous FTPサイトは、その後(記事中の8月4日以後)Anonymous FTPサイトではなくなり、パスワードによるアクセス制御機能の付いたFTPサーバとなった。現在もインターネットから接続できる状態*1になっている。
まだあった!図書館利用者情報漏洩 - たぬきん貧乏日記 〜No Worry, No Hurry. Eat Curry!〜
9/28 報道の岡崎市立中央図書館利用者情報漏洩事件の情報を受けて,手元にある宮崎県えびの市民図書館の情報を検索したところ,岡崎市立中央図書館以外の個人情報を発見しました。 漏洩していた個人情報は,えびの市民図書館の利用者1812人分。ヘッダ部分から,漏洩した情報は次の内容でした。 利用者コード 利用者氏名カナ 性別 元号 生年月日 利用者氏名漢字 保護者名 地区コード 郵便番号 住所1 住所2 電話番号1 電話番号2 住所確認 在籍区分 利用者区分 利用者区分2 登録館 登録日 登録時間 登録期限フラグ 登録期限日 登録期限切替日 登録期限切替時間 貸出限度冊数 貸出限度日数 利用回数累計 貸出冊数累計 予約回数累計 最終督促日 督促回数 除籍区分 除籍日 最終利用日 連絡コード 第2連絡先 異動年月日 再発行日 再発行回数 第一代表者名 第一代表者電話 第一代表者住所 第二代表者名 第
三菱電機インフォメーションシステムズ株式会社の MELIL/CS 導入図書館における情報漏洩に関するさまざま - たぬきん貧乏日記 〜No Worry, No Hurry. Eat Curry!〜
さて。 私が知りえた情報から,かいつまんで書く前に,おおよその状況を把握しておいてもらいたい。 まず,前提として,岡崎市立中央図書館は今回の情報漏洩については被害者であること。 第二に,今回の情報漏洩は二つの事件がひとまとめで扱われていること。 第三に,この情報漏洩は拡大する可能性が極めて高いこと。 第四に,親会社である三菱電機が責任を負うべき事件であること。 まず第一に。本事件*1においては,岡崎市立中央図書館は被害者であるということを確認しておきたい。 手元にある契約書のコピーを参照しよう。次の文言がある。同じ文書は,念力デバッグで活躍した三名の筆頭格,前田氏のblogにもある。 委託者岡崎市を甲とし、受託者三菱電機株式会社中部支社を乙とし、次の条項により契約を締結する。 (中略) (再委託の禁止) 第5条 乙は、甲の承諾を得た場合を除き、自ら個人情報の処理を行うものとし、 第三者にそ
MDISによるコピペ図書館 - 岡崎市立中央図書館事件等 議論と検証のまとめ
*MELIL/CS コピペ導入疑惑追跡 [[2010年9月28日報道発表>http://www.city.okazaki.aichi.jp/appli/06/wp06_view.asp?hdnBangou=9621]]にて明らかになった[[三菱電機インフォメーションシステムズの図書館情報システム MELIL/CS からの情報漏洩>http://www.city.okazaki.aichi.jp/appli/06/wp06_view_tenpu.asp?id=9621|1]]に関して,岡崎市立中央図書館利用者の個人情報が他の図書館にコピーされ,漏洩していたことが明らかになりました。 このことについて,私たちは複数の図書館において,システムがコピーされていたことを突き止めています。 (一部については,念力デバッグで活躍した三名のうちの一人,[[ぐて~さんの blog>http://gutei.
岡崎市立中央図書館:利用者情報163人流出 - 毎日jp(毎日新聞)
愛知県岡崎市立中央図書館は28日、利用者163人分の個人情報がインターネットなどを経由して外部に流出したと発表した。05年6月末時点で図書の予約や返却延滞をしていた一部の利用者の名前や年齢、電話番号、借りた本の題名、貸出日などが流出した。 ソフトを開発した三菱電機インフォメーションシステムズ(東京)によると、同図書館が最初のソフト販売先だった。岡崎市の利用者の個人情報を誤って残したまま、ソフトをほかの全国37の公立図書館に販売してしまったという。宮崎県えびの市と福岡県篠栗町の図書館のホームページ(HP)から、岡崎市の個人情報159人分がダウンロードされたことが確認された。 同社は「個人情報の取り扱いが不十分で、誠に申し訳ない」と陳謝し、岡崎市立中央図書館は「多大なご迷惑と心配をかけ、おわびする」とコメントした。 同図書館では今年8月、ソフトの古さが原因でHPの閲覧が困難になる問題も発覚して
高木浩光@自宅の日記 - 岡崎図書館事件(8) 警察組織に期待すること
■ 岡崎図書館事件(8) 警察組織に期待すること 最初に書いたように、逮捕報道の翌々日に岡崎署に電話したが、このときは、捜査中なので基本的に内容について答えて頂けない状況で、それはしかたがないので、報道向けの警察発表に問題があるのではないかということを述べた。つまり、それが犯罪であることを示す肝心の部分(故意が疑われる事実に関する情報)が報道向けに発表されていないことが、産業の発展に対して萎縮を招くとの意見を述べたところ、その趣旨は伝わったようで、「上層部で今後検討していかなければいけない」とのお返事を得た。 その後、不起訴処分となり、「はははー。何かあるんですね?」で私が想像していたような背景というのは結局何もなかったことがわかり、それは何だったのかを確認しようと思い、6月21日に再び岡崎署に電話してみたところ、5月に話してくださった方(O氏*1)は県警本部に戻っていて岡崎署にはもういな
高木浩光@自宅の日記 - 岡崎図書館事件(2の2) 図書館はどうしたのか 前編
■ 岡崎図書館事件(2の2) 図書館はどうしたのか 前編 岡崎市立中央図書館のホームページへの大量アクセスによる障害について, 岡崎市立中央図書館, 2010年9月1日 が話題になっている。 事件直後、つまり逮捕報道の翌々日の5月28日、最初に電話取材したのは岡崎市立中央図書館だった。このときは録音していたが、とくに意味のある情報が得られなかったので聴きかえすことはなかったのだが、今日改めてはじめてその内容を聴いてみたところ、図書館側の姿勢が当初から現在まで全く変わっていないことに驚愕した。この時点で既に言うべきことは言っていたが、図書館側は当初から話を受け入れる様子がまるでなかった*1。以下、正確性を期すためそのまま内容を示す。先方は、岡崎市教育委員会図書館交流プラザ中央図書館企画室の三浦氏(日経コンピュータ8月4日号の記事で図書館側として出ていた方)。 私: 情報セキュリティの研究をし
岡崎市立中央図書館のホームページへの大量アクセスによる障害について
岡崎市立中央図書館のホームページへの大量アクセスによる障害について 平成22年3月から4月にかけて、新着図書データベースへの大量アクセスがあり、中央図書館のホームページ(蔵書の詳細情報)につながらない、又はつながりにくい事態が、何度も発生していました。市民の方からその旨のお問い合わせをいただくことも何度かありました。 図書館が導入しているコンピュータシステムのソフトウエアを開発した会社に連絡し、調査したところ、本を検索したり予約したりする一般利用とは異なり、短時間に大量のアクセスが行われていることがわかりました。これによって、それまでは問題なく閲覧できていた図書館のホームページが閲覧できない現象がたびたび発生していたということですが、誰が何のために行っているのか不明なため、図書館も対応に苦慮していました。 しかし、このような状態を放置しておくことは、より多くの方にご迷惑をかけることになるの
高木浩光@自宅の日記 - 三菱図書館システムMELIL旧型の欠陥、アニメ化 - 岡崎図書館事件(7)
■ 三菱図書館システムMELIL旧型の欠陥、アニメ化 - 岡崎図書館事件(7) 21日の日記で示したMELIL/CS(旧型)の構造上の欠陥について、その仕組みをアニメーションで表現してみる。 まず、Webアクセスの仕組み。ブラウザとWebサーバはHTTPで通信するが、アクセスごとにHTTP接続は切断される*1。以下のアニメ1はその様子を表している。 このように、アクセスが終わると接続が切断されて、次のアクセスで再び接続するのであるが、ブラウザごとに毎回同じ「セッションオブジェクト」に繋がるよう、「セッションID」と呼ばれる受付番号を用いて制御されている。 なお、赤い線は、その接続が使用中であることを表している。 次に、「3層アーキテクチャ」と呼ばれる、データベースと連携したWebアプリケーションの実現方式について。3層アーキテクチャでは、Webアプリケーションが、Webサーバからデータベー
岡崎市立中央図書館のMELIL/CSは5年前でも既に駄目 | 水無月ばけらのえび日記
公開: 2010年8月17日0時55分頃 岡崎市立中央図書館の事件、いわゆるlibrahackの件ですが、岡崎市議の耳にも入ったようで……「librahack事件(岡崎市中央図書館事件) (aiailifeyanase.cocolog-nifty.com)」。 そこで、私も図書館の担当者に聞いてみました。 「中央図書館りぶらに導入した蔵書検索システムは、全国のいくつかの図書館でも使用しているもので、この5年間、特にこのようなトラブルは起こっていない。しかし、コンピュータの技術革新はたいへん早く、今回のようなWebサイトの利用形態などは5年前には想定できなかった。」 とのことでした。 それはないでしょう。「5年前には想定できなかった」などということは、あり得ないと言って良いと思います。 絨毯爆撃で有名だったdloader(NaverBot)やBaiduspiderは、2003年の時点で稼働し
情報ネットワーク法学会
フレーム表示できないブラウザは<a href="20100918.html">こちら</a>をお試しください。<br> そちらでもうまく動作しない場合は、フレーム表示対応のブラウザからアクセスしなおしてください。<br>
岡崎市中央図書館 #librahack 事件を取材した朝日新聞記者さんへの質問と回答まとめ (8月21日分)
神田 大介 @kanda_daisuke みなさま、おはようございます。記事を書きました朝日新聞の神田と申します。今回の件では、ツイッターやブログなどネット上の情報をたくさん参考にさせていただきました。まずはお礼を申し上げます。 #librahack 2010-08-21 08:50:36 神田 大介 @kanda_daisuke この件では、およそ2か月間にわたって取材を続けてきました(毎日この問題だけに専従していたわけではありませんが)。記事に書かれていることはほんのエッセンスに過ぎず、また広範囲な新聞読者を想定しているため、いろいろと表現を「丸めて」あります。 #librahack 2010-08-21 08:53:14
サーバ管理者日誌 シリーズ・クロールとDoSの違いと業務妨害罪と(5) - その後の念力デバッグ
多くの方の尽力によって、少しずつ色々な情報が明らかになって、当て推量で「ではないか」と書いていた部分を外せそうなところも出てきたし、逆に、これは間違っていたという部分も出てきた。 最近では、一部では語感が好評だった 念力デバッグ[http://www.nantoka.com/~kei/diary/?20100714S1#T201007141S3] のデバッグから。 情報が少ないからこそ、一次情報は貴重で、より正しいと思われる情報を集めるところから始めるのが、念力デバッグの鉄則なのに、その部分で手を抜いた罰が当たった。 DB接続をCookieに基づくセッションによって管理する作りになっている。 Cookieを食わないクライアントからリクエストを受けると、リクエスト毎にDB接続が生成される。 DB接続を含めたサーバリソースは、タイムアウトによってセッションが破棄されるまで解放されず、確保された
サーバ管理者日誌 クロールとDoSの違いと業務妨害罪と
#Librahack[http://twitter.com/search?q=%23librahack] の議論。多く登場する「スクレイピング」と書こうと思ったけれども、クロールで得たHTMLの後処理がスクレイピングだから、ここでは「クロール」対「DoS」とした。 そもそも、クロールとDoSは行っている側の目的に決定的な違いがある。 クロールを行う際は、クロールによって相手サーバの情報を取得することが目的だ。そのために、リクエストに対する応答を受け取って、そのまま保存するなり、何らかの加工(スクレイピング)を行って、情報を保存する。 情報を得るのが目的だから、サーバが落ちるのは困る立場だ。 一般的な作りとしては、ページのリクエストを出して、結果を受け取ったら、その場で解釈して、次にリクエストを出すページを決めるか、あるいは予め予定している次のページのリクエストを出す。この間に待ち時間を入れ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
はてなブログ | 無料ブログを作成しよう
PC
岡崎市立中央図書館事件等 議論と検証のまとめ
高木浩光@自宅の日記 - Macっ娘ならオートメータ君つかいたおすわよね