9/28 報道の岡崎市立中央図書館利用者情報漏洩事件の情報を受けて，手元にある宮崎県えびの市民図書館の情報を検索したところ，岡崎市立中央図書館以外の個人情報を発見しました。 漏洩していた個人情報は，えびの市民図書館の利用者1812人分。ヘッダ部分から，漏洩した情報は次の内容でした。 利用者コード 利用者氏名カナ 性別 元号 生年月日 利用者氏名漢字 保護者名 地区コード 郵便番号 住所１ 住所２ 電話番号１ 電話番号２ 住所確認 在籍区分 利用者区分 利用者区分２ 登録館 登録日 登録時間 登録期限フラグ 登録期限日 登録期限切替日 登録期限切替時間 貸出限度冊数 貸出限度日数 利用回数累計 貸出冊数累計 予約回数累計 最終督促日 督促回数 除籍区分 除籍日 最終利用日 連絡コード 第２連絡先 異動年月日 再発行日 再発行回数 第一代表者名 第一代表者電話 第一代表者住所 第二代表者名 第

さて。 私が知りえた情報から，かいつまんで書く前に，おおよその状況を把握しておいてもらいたい。 まず，前提として，岡崎市立中央図書館は今回の情報漏洩については被害者であること。 第二に，今回の情報漏洩は二つの事件がひとまとめで扱われていること。 第三に，この情報漏洩は拡大する可能性が極めて高いこと。 第四に，親会社である三菱電機が責任を負うべき事件であること。 まず第一に。本事件*1においては，岡崎市立中央図書館は被害者であるということを確認しておきたい。 手元にある契約書のコピーを参照しよう。次の文言がある。同じ文書は，念力デバッグで活躍した三名の筆頭格，前田氏のblogにもある。 委託者岡崎市を甲とし、受託者三菱電機株式会社中部支社を乙とし、次の条項により契約を締結する。 （中略） (再委託の禁止) 第５条 乙は、甲の承諾を得た場合を除き、自ら個人情報の処理を行うものとし、 第三者にそ

サーバ管理者日記 岡崎市立中央図書館に電話してみた http://www.nantoka.com/~kei/diary/?20100622S1 Librahack http://librahack.jp/ あたりを参考に時系列をまとめてみた。 あくまでも，取材した方のメモをもとに二次的にまとめているだけで，私が取材したわけではないこと，メモ経由なのでこれが全て事実をそのまま表しているとは限らないことにご注意ください。 また，自分がわかりやすいように多少の編集や情報の追加，削除を行っています。オリジナルのメモはそれぞれ一次情報のあるサイト様を参照してください。 まず，事件の発覚。被害届の提出まで。 １．サーバが不調になる（librahack 氏のクロールによるもの？） ２．管理会社（MDIS）の調査により，サーバダウンの原因が判明（管理会社が図書館に攻撃だと説明？） ３．警察に相談しにいく

まず捕まりますな。苦笑。 私がクローラ作るとしたら，たぶん間違いなく一連の動作で一発格納とかせずに，まず csv とかにデータを落とし込むような作りにすると思います。とりあえずデータだけ取っておくみたいな感じ。 で，Perl とかでスクリプト書くかな。当時の岡崎図書館では「TosCode」（図書コード？）をプライマリキーにしているらしくて，URL 引数になっていた。ので，連番と仮定してガーーーーっと順番に一個ずつ GET リクエスト投げるｗ 並列では投げないと思います。作るの面倒だから。 クローラとしてはすごく行儀の悪いことをすると思いますｗ だってそれくらいで落ちるとか予想しないもん。 たぶん速攻で落ちることになったと思います。で，レスポンスコード500連発を目撃するでしょう。 でも500だと落ちた原因はわかりません。HTTP レスポンスコード500ってのは，「サーバーの内部エラー」とい