2010年10月29日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1 シリーズ・クロールとDoSの違いと業務妨害罪と(25) - 自治体はエビデンスに基づく事実解明を[http://www.nantoka.com/~kei/diary/?20100928S1][LibraHack][電子自治体][図書館][セキュリティ] このエントリーをはてなブックマークに追加

栗山町図書館お知らせ(2010年10月1日)えびの市、篠栗町と同じく、Anonymous FTP(ファイル公開サービス)によるアクセスが可能になっていた 北海道栗山町のケース[http://www.nantoka.com/~kei/diary/?20100928S1] について、その後の調査によって、当時の事情が明らかになった。
結論から言えば、栗山町が事件を知ったのは、この日記で取り上げた後であり、自治体としてはかなり理想的な対応を行ったにも関わらず、業者側があいまいな説明に終始したために、図書館としての説明もあいまいなものになったということの様だ。
28日の記事[http://www.nantoka.com/~kei/diary/?20100928S1] には、
この件について、町や図書館は現在まで何の発表もしていない様だが、 そもそも保守業者からの報告があったかどうかも疑問である。
と、書いたが、調査によって、 という事実関係が確認できた。 つまり、業者から知らされたのではなく、自治体側の独自の情報収集によって知った ということの様だ。
図書館に対する口頭での説明は、以下の様な内容であったとのことである。
  1. 本日(28〜29日)、図書館に口頭説明した。
  2. 後日、文書で報告予定。
  3. 本町(栗山町)図書館Webサーバーシステム内部の情報をパスワード不要で公開していたことは事実。
  4. 実際にサーバ上のコンテンツにアクセスされた形跡があった。
  5. マルウェア感染の確認はしていない。
また、この件を受けて、図書館館長がMDISに対して行った問い合わせの質問事項は以下の通りである。
  1. 経過
    • Webサーバ公開日
    • Anonymous FTP開始日
    • 事故の発覚日
    • 対応日
    • 関係機関への報告日
  2. 状況
    • 個人情報混入を確認した37図書館に本町図書館は含まれるのか
    • 本町図書館システムの個人情報が他図書館システムに混入していなかったか
    • Anonymous FTPを稼働させていた理由は
    • Webサーバー不正アクセスはあったのか
    • Webサーバー経由で個人情報が保存されているサーバーにアクセスできたのではないか
    • マルウェアが仕掛けられているのではないか
    • 本システムに対する構築及び保守体制はどの様になっているのか
    • 本町のWebサーバーがAnonymous FTPで公開されていたと個人のブログ上で公開されているが、会社からコメントしたことなのか
  3. 今後の対応
この様に、栗山町に関しては、
  1. 業者の発表を待つだけでなく、自主的にブログ等からも積極的に情報を収集していた
  2. 情報関連担当課と図書館側の連携がうまく取れていた
  3. 図書館も毅然とした素早い説明要求を業者に対して行った
ということであり、 自治体としてはかなり理想的な対応を行ったにも関わらず、業者側があいまいな説明に終始したために、図書館としての説明もあいまいなものになった ということの様だ。
専門的な仕事を頼むために業者に依頼しているのであるから、業者側が専門的な知識を前提にごまかす様な説明をし出したら、一般的に言って、自治体側職員がこれを見抜くことは困難だろう。
しかしながら、 ITに関する知識が無くとも、文書での回答を要求することと、説明している内容に対する証拠を要求することは比較的容易なはずだ *1
文書での回答を得て、証拠を要求していれば、いい加減な回答はできなくなるし、後日、 自治体側が住民から説明を求められた時に窮地に立たされることが防げる。
関係する自治体には、エビデンスに基づく事実解明を強く期待する。

栗山町図書館 10月1日のお知らせについて:

上記の図書館からの問い合わせに対する口頭での回答を基にして、図書館側は10月1日にお知らせを出したものと思われる。
三菱電機インフォメーションシステムズ(株)より、国内2つの図書館において図書館システム保守操作の誤りによる個人情報流出についての報告がありました。

■三菱電機インフォメーションシステムズ(株) ホームページ
http://www.mdis.co.jp/news/press/2010/0928.html

当図書館のシステムも同社のものを採用しています。
同社に状況確認を依頼した結果、 当館の場合、「一定期間のセキュリティ上の問題はあったものの、個人情報の流出や、ウェブ感染型マルウェアによるホームページの改ざんはない」との報告を受けました。
今後も定期的なチェックを欠かさず、みなさんに安心してご利用いただける図書館を目指してまいります。
「一定期間のセキュリティ上の問題」とは何だろうか。Anonymous FTPで公開状態になっていた事実はどこに行ったのだろうか。
まさか、業者の作文をそのまま掲載したわけでは無いと思うが、業者の報告をエビデンスなく追認してしまえば、図書館も同じ責任を負う立場になる。
今回のケースで、FTPを稼働させていたのは、保守作業を容易にするためであろう。だとすれば、当然、書き込み可能状態になっていたはずだ。「ウェブ感染型マルウェア」以前に、 直接、マルウェアを配布して、後で書き戻しておく ことも可能であったし、 目録サーバ経由で個人情報を取得するASPプログラムをアップロードし、個人情報を取得した後に消しておく ことも可能であったのではなかろうか。
なお、栗山町に関しては、 アクセスログがダウンロード可能になっていたことを確認している。 アクセスログに利用者情報が含まれるかどうかは未確認だが、この点を踏まえて、「個人情報の流出はない」としたものだろうか。
これらを否定するためには、全期間のFTPサーバの稼働ログを確認する必要があるはずだし、これを保全しておかなければ、「漏洩は無かった」ということを客観的に立証できなくなるだろう。
*1: 良い証拠があれば説明は簡単になるのであって、むしろ、IT知識が無いと理解するのが難しいのは、「証拠は無いけれども、論理的にこうだと考えられる」という説明だ。そういう難しい説明を受けたら「難しくて分からないけども、要は証拠は無いのね」と確認しておけば良い。

■ 関連記事

詳細はこの日の詳細から

2005年10月29日()<< 前の日記 | 次の日記 >>
この日の詳細

■1出張8日目[おしごと]次の記事 >> このエントリーをはてなブックマークに追加

マックも閉まっている時間だったので、ルームサービス。第一希望の牛ヒレのグリルは品切れだったので、サンドイッチ。

Re:ウェスティン・・・いいとこ泊まってますねー[http://www.nantoka.com/~kei/diary/board.cgi?act=read&msgid=409]:

確かに、非常に良いホテルですね。延泊することにしました。

お夜食[http://www.nantoka.com/~kei/diary/?200510c&to=200510271S1#T200510271S1]:

今日は微妙に形と味が違った。ちなみに、今日の方が好み。
当番の人が少ないだろうから、均一化が進まないのかも知れない。

■ 関連記事

■2タクシーの運転手さん<< 前の記事 このエントリーをはてなブックマークに追加

色々と個性を感じるし、お客さんに対する観察眼に感心することもあるのだけど、今日の運転手さんはすごかった。
「今までお仕事ですか。大変ですね。」「ひょっとして、コンピューター関係のお仕事ですか」「ひょっとして、会社を経営してみえたりします?」
本当にすごいと思った。易者さんでもなかなかこれだけは言い当てられないかも知れない。

■ 関連記事

詳細はこの日の詳細から

2003年10月29日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1ぐる[ぐる] このエントリーをはてなブックマークに追加

気になっていたネタを整理。
なめくじ逃げ〜!逃げ〜!♪[http://www.ohtaoilmill.co.jp/namekuji/images_topics/DSCF0006.AVI]

米アマゾン、書籍の全頁検索サービス「Search Inside the Book」を開始[http://japan.cnet.com/news/ebiz/story/0,2000047658,20061594,00.htm]:

こういうサービスがいつか出てきてくれないかなーと思ってました。 特に技術系の本を通信販売で買おうと思うと、検索は素晴らしい機能です。 当然、 「本が売れなくなる」:米アマゾンの全頁検索に米作家団体が反発[http://japan.cnet.com/news/ebiz/story/0,2000047658,20061635,00.htm] という反論はあるのでしょうけれども、サマリの提示の仕方を工夫すれば技術的に解決できる問題に思えます。
Amazon側としてはこのサービスの提供によって、少なくとも自分のところの売り上げは増やしたいと思っている訳で、より本が売れる様になる改善は受け入れられる筈。

蔵書全文検索:

自分が買った本とか持っている本の情報はかなりプライバシーを含むのだけれども、Amazonのお勧めを見ると、個人情報を預けるだけのメリットが利用者側にもある様に思える。当然、業者も効率的な販促ができるに違いない。
全文検索のデータがどんどん使える様になったら、蔵書を登録すると、自分の本棚の本が全文検索できるというインセンティブで蔵書登録を促すアプローチがあるかも知れない。もちろん、Amazonで買った本は自動的に登録される訳だ。
容易に思いつく[/~kei/diary/?200112c&to=200112281#200112281] ことなのだけど、ビジネスモデル特許とか言い出すヒトがいるかも知れない。

『RFID』を生徒の管理に利用する学校が登場[http://headlines.yahoo.co.jp/hl?a=20031028-00000006-wir-sci]:

ゆくゆくは、学校にとっては生徒の行動を見守るツールになるだろう
ビッグブラザー万歳

メルマガ長崎県[http://www.mm.pref.nagasaki.jp/back/back_no/20031029_049.html]:

★民間会社と公共自治体の発注者では、発注方法が異なります。公共工事 の現行の発注システムでは、入札金額として、ある一定の範囲内で安い金 額を入れた業者が落札します。そこには業者の質、技術者の質はあまり考 慮されません。
そうですね。
★民間業者の現場所長と県の担当者を比べた時、県の技術者(職員)はあ る意味で大変だなと感じることがこのことなのです。県職員は受注業者を 施工管理能力、品質管理能力などで選べないのです。
そこが難しいところ。
★懸念されるのは、作業員の安全をおろそかにしたり、一括丸投げを行っ たりする業者が出てきて、下請け会社(零細企業が多く、殆どが県内業者) に負担を負わせることにつながることもあるのです。
IT産業と実は非常に良く似ていると感じて、最近、こっち方面の本を読んだりしているのですが、末端にいけばいくほど人材が勝負の仕事なのに、どっちも人月単価だし、きちんとした教育をせずにOJTでまかなおうとするし、ヒトが必要になったらヨソから抜いてくることを考えるし、っていうところが悲しい位に似ています。
まず「人月単価」からの脱却が目指すところではないかと感じます。

複数の Windows Update または修正プログラムを同時にインストールし、再起動を 1 回で済ませる方法[http://support.microsoft.com/default.aspx?kbid=296861]:

紀長日誌[http://katagiri.hanya-n.net/d/2003102.html#20031029ba] から。
トリビアは人生を豊かにするけど、こんな知識は人生をダメにする気がする。 でも、こういう知識が必要になるのがWindowsのイヤなところ。とりあえずメモ。

■ 関連記事

詳細はこの日の詳細から

2002年10月29日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1SYA!nikki[SYA!nikki] このエントリーをはてなブックマークに追加

1345 喜々津:

1343 かもめのすれ違い:

1716 次世代携帯電話研究会:

■ 関連記事

詳細はこの日の詳細から

1998年10月29日(木)<< 前の日記 | 次の日記 >>
この日の詳細

■1MXレコードを設定しましょう このエントリーをはてなブックマークに追加

第三者中継テストの結果を見ていて気になったことがあります。MXを登録していないメールアドレスが割合あるということです。これに気づいたので、警告を出すように修正しました。
例えば、「daresore@mail.nantoka.co.jp」というメールアドレスを使用する場合、mail.nantoka.co.jp に対して、MX mail.nantoka.co.jp. という「MXレコード」を登録するのが正しい設定です。
MXレコードが設定されていない場合も一般的なMTA(メール配送プログラム)は、そのホストに直接配送する様に設定されているので、問題に気づきにくいかも知れません。しかしながら、一部では配送されない場合があるかも知れませんし、第一余計なトラフィックを発生します。
さらに、組織の性格によっては 「* MX mail.nantoka.co.jp.」というMXレコードも設定して、 (しない方が良いという意見を付記)[http://www.nanet.co.jp/~kei/diary/199909.html#19990928] 特に指定されていないホストに対するMXレコードを設定することもお勧めしたいと思います。内部から悪用される可能性があります。
Windowsなんかの一部のツールでは色々な設定がグラフィカルで簡単に見えるのですが、結局はネットワークに関する知識が必要になるのは同じです。むしろ「何をどう設定したか」が分かりにくくなってしまっている気がします。
「簡単そうに見えるから」という理由で適当に設定してしまうと、色々なトラブルが発生するばかりか、余所にまで迷惑を掛ける場合もあります。インターネットに接続したサーバの管理には、インターネット社会全体に対する責任が伴うことを忘れてはいけないと思います。

■ 関連記事

詳細はこの日の詳細から

以上、13 日分です。

指定日の日記を表示

前月 2019年10月 翌月
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

予定

    ToDo

      link

      keikuma on Twitter

      keikuma Name:前田勝之
      Location:長崎市
      Web:http://www.nantok...
      Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

      サイト内検索

      Google AdSense

      Powered by hns-2.19.9, HyperNikkiSystem Project