Hatena::ブログ(Diary)

Darkwood’s Blog このページをアンテナに追加 RSSフィード

2010-12-15

図書館事件についての雑感他

高木氏が精力的に記載なさっているので、取りあえずリンクと雑多な感想。

 いくらなんでも、現場のSEは事態を理解していて、会社方針で改修出来ず、又しかたなく黙っているのだとばかり思っていたのですが、

もし、事態の責任が中部支社の担当SE個人に降り掛かるとすれば、ちょっと可哀想という気もするので、会社が一人の社員を守っているという姿勢なら美談という感じもしなくもない。しかし、それは違うと予想する。私は、6月下旬ごろ、三菱電機ISの図書館部隊の人々(この会見に出ている方々ではない)が、あちこちで何を豪語していたか風の便りで耳にしているし、その後も、9月になっても様々なことを豪語していたという話が聞こえてきている。担当SE個人ではなく、図書館部隊全体の姿勢の問題ではないのか。

-中略

実際、風の便りで耳にしたところでは、三菱電機ISの社員が、中川氏のプログラムについて「あんなのはクローラじゃないんですよ。グーグルとかとは違う」というようなことを豪語していたという話だし、


503 Service Temporarily Unavailable

あくまでも噂レベルなので、確かな内容とは言えないものの、現場のSEが自分達にミスが有ったと認識していないらしいのには驚き。これが事実なら、ハッキリ言って相当技術レベルが低い。下手をしたら学生アルバイトを雇った方が、まだマシなくらいの低さだ。そういえば、当初MDISを擁護していた技術系の方が結構いた事を思いだした。その理屈は[ 詭弁 ]と言ってもいい程の低レベルな内容なので、ここでは取り上げないが、多分、同様の主張なんだろうなと。なんとも呆れたものだ。

 次は図書館ですが、

3/15 (図書館)利用者から「図書館ホームページにつながらない」という苦情の電話を受けた

3/16 (図書館)MDISに対応策を尋ねた

3/19 (MDIS)アクセスログを調査した

3/19 (図書館)岡崎署の警察官に相談した


Librahackメモ | Librahack : 容疑者から見た岡崎図書館事件

 警察への相談が早すぎ。盗難事件等でもないのに、これは早すぎでしょう。その他、ツッコミ所満載。

 で、ようやっと分かっている方による、まともな講演会が開かれるようだ、しかも[ りぶら ]で。

2010-11-30

MDISがお詫び?

 高木氏のBlogで取り上げられているが、MDISが何らかのアクションを起こす様子。

と思っていたら、もう告知されている。

又、itmediaでも取り上げられてる。

まあ、さすがに業績に響いたでしょうから、非を認めざるをえなくなったという所でしょうか。

図書館ソフト開発業者「三菱電機インフォメーションシステムズ」(東京)を1年6カ月間の指名停止処分にしたと発表した。市は同社のソフト利用を2年後にやめる。

-中略-

指名停止期間を同市では過去最長の1年6カ月にした。


ページが見つかりません - 毎日新聞

 で、遅きに失した感は有るものの( *1 )、以下のように認識した事はいいのですが、

生じた問題の根本原因は弊社にあると認識し


弊社図書館システムに生じた問題について(お詫び) | MDIS

さすがに以下の記載は、記載自体は問題ないのですが、何故そのような仕様にしたのかの理由が欲しい所です。当時、すでにクローラは存在していましたし、それ依然に以下の使用方法でも、ユーザが集中したら、やはり同じ事が発生したでしょうし。

利用者が図書館ホームページの画面から操作することを想定した仕様となっており、岡崎市図書館には2005年に納入しました。


弊社図書館システムに生じた問題について(お詫び) | MDIS

但し、記者会見では説明したようで、

元は館内からのアクセスを想定していたシステムで、それをインターネットにも公開したが、クローラーのようなアクセスに対する対応が十分でなく、対処療法的な対応を取ってしまった

三菱電機ISが図書館システム問題で謝罪、「SIerとして不十分な点があった」 -INTERNET Watch Watch

イントラネット用の物をインターネット向けに公開したとの事。この辺は、確か早い段階で可能性として有り得ると指摘していた方がいたと記憶している。[ イントラネット用の物をインターネット向けに公開 ]というのは、メーカのみの判断とは考え難く、最初に行った時は図書館側からの強い要望が有った可能性も考えられる。まあ、2件目以降はメーカ責任なのですが、いづれにしろ、[ インターネット向けに公開 ]した経過や理由も知りたい所。

 所で、例の件は危惧したように、ミスリードしている様子。こういうのを心配していたのですが... 。他にも、警察とか図書館関係者とか、ミスリードしていそうで、不安。

風の便りで耳にしたところでは、三菱電機ISの社員の一部は、大屋准教授の主張を示しながら「やっぱり俺たちは悪くない。アクセスした方が悪い。」としていたという噂であり、誠に困ったことである。


高木浩光@自宅の日記 - 三菱電機ISに求められているものは何か 岡崎図書館事件(10)

 いづれにしろ、この問題、もやはMDISだけの問題ではなく、今後、同様の問題が発生した場合、警察はどうするのかという、警察の見解の問題とか、図書館を含めた公共機関のメーカ選定と納品チェックの問題等とか、まだ問題は残っているのですが、その辺をどうすべきなのかと... 。

*1:というか、メチャクチャ時間が掛かりすぎ。

2010-11-02

えびの市民図書館[ メンテナンスのお知らせ ]のその後

 メンテナンスは終了したハズなのですが、robots.txtは前回と同じ。何故... ?

2010-10-30

えびの市民図書館、メンテナンスのお知らせ

 えびの市民図書館から、メンテナンスの告知が出ている。

図書館ホームページ休止のお知らせ


図書館ホームページは、メンテナンスのため、11月1日(月)午後11時から11月2日(火)午前9時まで、停止いたします。

その間、図書館ホームページの閲覧、インターネットによる資料検索等のサービスがご利用出来ません。

たいへんご不便をおかけいたしますが、ご理解いただきますようお願い申し上げます。


図書館ホームページ休止のお知らせ

時期からみて当然担当はMDISだろう。なので、以下のような対策は取っておいた方が良いかと思うのだが。

  • 事前に図書館側でバックアップコピーを取っておく。
  • パソコンに詳しい職員を張り付けにして、作業を監視する。

 ちなみに、えびの市民図書館の[ robots.txt ]はこんな感じだ。メンテナンス後は、どうなるのだろうか。

User-agent: *

Disallow: /tosho/

Disallow: /tosho/Acclog/

Disallow: /tosho/AdminTools/

Disallow: /tosho/Asp/

Disallow: /tosho/asp_misty/

Disallow: /tosho/Newbook/

Disallow: /tosho/text/

Disallow: /tosho/html/

Disallow: /tosho/i/Asp

Disallow: /tosho/i/Newbook/

Disallow: /

Disallow: /Acclog/

Disallow: /AdminTools/

Disallow: /Asp/

Disallow: /asp_misty/

Disallow: /Newbook/

Disallow: /html/

Disallow: /text/

Disallow: /i/Asp

Disallow: /i/Newbook/


User-agent: Googlebot-Image

Disallow: /tosho/

Disallow: /tosho/Acclog/

Disallow: /tosho/AdminTools/

Disallow: /tosho/Asp/

Disallow: /tosho/asp_misty/

Disallow: /tosho/Newbook/

Disallow: /tosho/html/

Disallow: /tosho/text/

Disallow: /tosho/i/Asp

Disallow: /tosho/i/Newbook/

Disallow: /

Disallow: /Acclog/

Disallow: /AdminTools/

Disallow: /Asp/

Disallow: /asp_misty/

Disallow: /Newbook/

Disallow: /html/

Disallow: /text/

Disallow: /i/Asp

Disallow: /i/Newbook/


User-agent: Googlebot

Disallow: /tosho/

Disallow: /tosho/Acclog/

Disallow: /tosho/AdminTools/

Disallow: /tosho/Asp/

Disallow: /tosho/asp_misty/

Disallow: /tosho/Newbook/

Disallow: /tosho/html/

Disallow: /tosho/text/

Disallow: /tosho/i/Asp

Disallow: /tosho/i/Newbook/

Disallow: /

Disallow: /Acclog/

Disallow: /AdminTools/

Disallow: /Asp/

Disallow: /asp_misty/

Disallow: /Newbook/

Disallow: /html/

Disallow: /text/

Disallow: /i/Asp

Disallow: /i/Newbook/


User-agent: Slurp

Disallow: /tosho/

Disallow: /tosho/Acclog/

Disallow: /tosho/AdminTools/

Disallow: /tosho/Asp/

Disallow: /tosho/asp_misty/

Disallow: /tosho/Newbook/

Disallow: /tosho/html/

Disallow: /tosho/text/

Disallow: /tosho/i/Asp

Disallow: /tosho/i/Newbook/

Disallow: /

Disallow: /Acclog/

Disallow: /AdminTools/

Disallow: /Asp/

Disallow: /asp_misty/

Disallow: /Newbook/

Disallow: /html/

Disallow: /text/

Disallow: /i/Asp

Disallow: /i/Newbook/

 所で、専門家である高木氏のWebからは、何故か洩れている。

 尚、栗山町図書館のrobots.txtと全く同じである事から、図書館側で設定したとは考え難いので、MDISによる可能性が高いのですが、次項の栗山町図書館で記載したように、本来なら2行で済む設定。仮にMDISに依るものだとしたら、ハッキリ言って、素人以下。

栗山町図書館の告知について

 栗山町図書館が流出について告知しているのだが、その告知方法は[ お知らせ・新着情報 ]をスクロールすると表示されるもので、専用の告知ではない。さらに、その内容だが、

2010年10月1日

三菱電機インフォメーションシステムズ蠅茲蝓国内2つの図書館において図書館システム保守操作の誤りによる個人情報流出についての報告がありました。


三菱電機インフォメーションシステムズ ホームページ

http://www.mdis.co.jp/news/press/2010/0928.html


図書館のシステムも同社のものを採用しています。同社に状況確認を依頼した結果、当館の場合、「一定期間のセキュリティ上の問題はあったものの、個人情報の流出や、ウェブ感染型マルウェアによるホームページの改ざんはない」との報告を受けました。今後も定期的なチェックを欠かさず、みなさんに安心してご利用いただける図書館を目指してまいります。


http://library.town.kuriyama.hokkaido.jp/

と、メーカの報告を鵜呑みにしたもの。この姿勢は、基本的にどの図書館にも共通しているのだが、一般常識として、当事者の報告をそのまま信じるというのはあり得ない。特に今回は、MDISそのものが信用出来ないのにも係わらずだ。うーん、公務員というのは、こういうものなのだろうか。

 で、その内容だが、

同社に状況確認を依頼した結果、当館の場合、「一定期間のセキュリティ上の問題はあったものの、個人情報の流出や、ウェブ感染型マルウェアによるホームページの改ざんはない」との報告を受けました。


http://library.town.kuriyama.hokkaido.jp/

図書館側から問い合わせた事は評価出来るが、根拠となる情報は何も記載されていないし、それはメーカのWebも同じだ。図書館への報告書には記載されているのだろうか。何れに知ろ、こんな告知で町民は納得しているのだろうか。

 尚、栗山町図書館のrobots.txtは以下の通り。

User-agent: *

Disallow: /tosho/

Disallow: /tosho/Acclog/

Disallow: /tosho/AdminTools/

Disallow: /tosho/Asp/

Disallow: /tosho/asp_misty/

Disallow: /tosho/Newbook/

Disallow: /tosho/text/

Disallow: /tosho/html/

Disallow: /tosho/i/Asp

Disallow: /tosho/i/Newbook/

Disallow: /

Disallow: /Acclog/

Disallow: /AdminTools/

Disallow: /Asp/

Disallow: /asp_misty/

Disallow: /Newbook/

Disallow: /html/

Disallow: /text/

Disallow: /i/Asp

Disallow: /i/Newbook/


User-agent: Googlebot-Image

Disallow: /tosho/

Disallow: /tosho/Acclog/

Disallow: /tosho/AdminTools/

Disallow: /tosho/Asp/

Disallow: /tosho/asp_misty/

Disallow: /tosho/Newbook/

Disallow: /tosho/html/

Disallow: /tosho/text/

Disallow: /tosho/i/Asp

Disallow: /tosho/i/Newbook/

Disallow: /

Disallow: /Acclog/

Disallow: /AdminTools/

Disallow: /Asp/

Disallow: /asp_misty/

Disallow: /Newbook/

Disallow: /html/

Disallow: /text/

Disallow: /i/Asp

Disallow: /i/Newbook/


User-agent: Googlebot

Disallow: /tosho/

Disallow: /tosho/Acclog/

Disallow: /tosho/AdminTools/

Disallow: /tosho/Asp/

Disallow: /tosho/asp_misty/

Disallow: /tosho/Newbook/

Disallow: /tosho/html/

Disallow: /tosho/text/

Disallow: /tosho/i/Asp

Disallow: /tosho/i/Newbook/

Disallow: /

Disallow: /Acclog/

Disallow: /AdminTools/

Disallow: /Asp/

Disallow: /asp_misty/

Disallow: /Newbook/

Disallow: /html/

Disallow: /text/

Disallow: /i/Asp

Disallow: /i/Newbook/


User-agent: Slurp

Disallow: /tosho/

Disallow: /tosho/Acclog/

Disallow: /tosho/AdminTools/

Disallow: /tosho/Asp/

Disallow: /tosho/asp_misty/

Disallow: /tosho/Newbook/

Disallow: /tosho/html/

Disallow: /tosho/text/

Disallow: /tosho/i/Asp

Disallow: /tosho/i/Newbook/

Disallow: /

Disallow: /Acclog/

Disallow: /AdminTools/

Disallow: /Asp/

Disallow: /asp_misty/

Disallow: /Newbook/

Disallow: /html/

Disallow: /text/

Disallow: /i/Asp

Disallow: /i/Newbook/

いや、これって、以下のように記載すれば全く同じ動作が、2行ですむのですが、

User-agent: *

Disallow: /

尚、当然だが[ 国立国会図書館法 ]違反だ。

2010-10-23

沈黙の図書館。

 えびの市も中野区立図書館も流出に対してマジメに対応しているようですが、最初に発覚したハズの岡崎図書館は未だに沈黙。

MDISから応答。まだ削除依頼は来ない。愛知県警に確認した通り,個人情報については持っていても問題ないけれど自治体の責任を果たす必要があるから,文書で確認して消すことにしなきゃんらんのだが,岡崎だけが大きく出遅れている。早く対処して欲しい。 #librahack 1:05 AM Oct 19th V2Cから


たりき(@Vipper_The_NEET)さん | Twitter

一体何を考えているのやら、というか、多分、何も考えていないのかと。つまりは、保身に手一杯で、市民までは手が回らないという事でしょう。

中野区立図書館の流出でのやりとり。

# 図書館システムの個人情報漏えいについては、一昨日の臨時の子ども文教委員会で報告あり。提出された資料は以下のURLの文章とほぼ同じ。http://www.city.tokyo-nakano.lg.jp/dept/666000/d011607.html 3:50 AM Oct 21st webから


# 今日お話しを伺った方は直接の所管ではなく細かい点は把握していないので業者への損害賠償についてだけ、「損害が発生した場合にはMDISに損害賠償を求めることとする」としているが、既に損害は発生しているのではないかと質問。 4:10 AM Oct 21st webから


# 業者を選定したのは区なので個人情報の漏えいの責任が区・業者どちらにあるのかは線引きが難しい。情報漏えいがニュースになることによる信頼の喪失についても被害の算定は難しい。区民の方から具体的な訴え等があった場合に賠償請求をするというのが、こうした場合の一般的な考え方であるとのこと。 4:18 AM Oct 21st webから


# 中野区には当然個人情報保護のための条例もありますし、危機管理ガイドラインというものも整備しています。これらの文言を見ると非常に立派なことが書かれていますが、現実に起きていることを見るとどうにも上手く機能していないように感じます。役所は「決まり」には大変厳しいはずなんですが。。。 4:27 AM Oct 21st webから


森たかゆき 中野区議会議員(@moritakayuki)さん | Twitter

なんだかな〜。

2010-10-22

未だに嘘をつくMDIS

 岡崎図書館事件から相当の期間が経過し、欠陥品で有る事はさまざまWebで証明され、さらには流出事件まで起こしながら、まだ、こんな事を言っている。

MDISは本誌の問い合わせに、「個人情報の流出については、ライブラリ管理などに不十分な点があった」(広報)と責任を認める。一方で、処理性能については「2005年に想定した処理のピークに耐えられるように、設計・構築した。製品に欠陥があるとは考えていない」(同)と回答する。


日経コンピュータReport - 利用者逮捕に続き個人情報流出:ITpro

 賠償請求に対応する為にも認める分けにいかないという事なのだろうが、ハッキリ言って、会社の存続すら危うい状況なのに、その認識は有るのだろうか。

 それにしても此の事件、そもそもの発端は、MDISが自社の製品の欠陥に起因するトラブルを逆手に取って、システムが古い事が原因と偽り、新しいシステムを売り込もうとした事が原因と推定される。つまり、最初から嘘を尽き続けているのだが、未だにやめるつもりはないようだ。

 所で、さすがにITPro。以下の内容を記載する事で、本当の原因を明らかにしてから、続く文章で先のMDISの言い分を掲載するという構成にしている。

同社はFTPサーバーを、パスワードなしでアクセス可能な状態にしていた。


  -- 中略 --


産業技術総合研究所の高木浩光主任研究員は、「MELIL/CSにはDB接続方式に問題があり、1秒に1〜2回程度という常識的なクロ ーラー(情報自動収集プログラム)からのアクセスにすら耐えられない構造だった」と指摘する。

 高木氏は次のように続ける。「MELIL/CSにコネクションプーリングなどの適切なDB接続方式が実装されていれば、そもそも事件は起きなかった」。


日経コンピュータReport - 利用者逮捕に続き個人情報流出:ITpro

 ちなみに、問題のMDISだが、

2010年10月15日


ダウンロードされたデータの確認は全て完了しており、今回判明したもの以外に混入した個人情報はございません。


弊社図書館システムにおける個人情報の流出について(お詫び) | MDIS

などと[無い]と言っておきながら、

2010年10月20日


弊社は中野区立図書館様から、中野区立図書館様に係わる流出データファイルの再調査(全件完全調査)をご指示いただき、詳細に調査いたしましたところ、中野区立図書館様に係る個人情報が51名分(注)存在し、それ以外にはないことを確認いたしました。


中野区立図書館様の個人情報流出に係る流出データファイルの全件完全調査について(お詫び) | MDIS

と、追加流出を発表している。一体どんな調査をしているのかと思えば、

# 俺が「全部データ見たけどもう出ないんとちゃう?」みたいなツイートしたからもう出ない判断したとかだったら笑うんだけどな #librahack 3:27 AM Oct 20th V2Cから


# これだね http://twitter.com/Vipper_The_NEET/status/27559322908 17日の段階でえびののデータについて全部調べて出てこない宣言してるわ俺ww #librahack 3:30 AM Oct 20th V2Cから


たりき(@Vipper_The_NEET)さん | Twitter

どうも他人の調査結果を、さも自分達が行ったかのように報告していた様子で、どこまで腐っているのかと... 。さらに、

# MDISに求めたのは会社として話をするなら会社の体裁で話をしてくれということなので,大丈夫だとは思うが。 #librahack 6:38 PM Oct 19th V2Cから


# お礼とか謝罪とかいらないから会社としてまっとうな文書で交渉してほしいです('A`) メールに署名くらい書けって要求したその返事に署名が無いとかヤメテ #librahack 3:34 AM Oct 20th V2Cから


# 会社として話をしたいならまともなシグネチャつけろよと要求したときの回答にまともなシグネチャがなかったときは怒っていいよね? #librahack 6:12 PM Oct 19th V2Cから


たりき(@Vipper_The_NEET)さん | Twitter
と、まともなシグネチャも付けずにメールしている様子で[ これって本当の会社なの ]という状況らしい。

補足

 まだ、こんな事を言っているようじゃ、相当彼方此方で突っ込まれるのではと思っていたのですが、しっかり高木氏の所で、取り上げられています。