2010年06月22日(火) << 前の日記 | 次の日記 >>
これまでの06月22日 編集

■1 岡崎市立中央図書館に電話してみた[http://www.nantoka.com/~kei/diary/?20100621S1] このエントリーをはてなブックマークに追加

この件、どうも良く分からないので、経緯について岡崎市立中央図書館に電話して、事情を訊いてみた。経緯は、以下の様な感じだ。
  1. サーバの不調について、管理会社に調査してもらった
  2. 管理会社の調査で、外部からの攻撃が判明
  3. 警察に被害届を提出
  4. 私(電話に出られた担当の方)が知る限り、警察からは2,3回、問合せがあった
  5. サーバの調査等は、私が知る限り行っていない
  6. 令状を持った捜査が行われたことは無い
  7. 逮捕は報道で知った
残念だったのは、図書館の運営に携わりながら、 図書館の自由に関する宣言[http://www.jla.or.jp/ziyuu.htm] をご存じで無かったということだけれども、一般の事務職員の認識はこの程度なのかも知れない。
いずれにせよ、上記の情報から判断すると、
  1. ログも分析しない様な、かなり杜撰な捜査で逮捕まで持って行った
  2. 管理会社と警察の間で、ログファイルの「任意」提出などが行われた
のいずれかが行われたのではないだろうか。
いずれにしても大問題だが、県警や管理会社に問い合わせて回答してもらえるものだろうか。

この記事に頂いたコメント

Re: 岡崎市立中央図書館に電話してみた by DRE    2010/06/22 14:00
http://www.aichi-pref-library.jp/oudan/aichi_oudan_f.htm 愛蔵君を使ってレスポン...
Re: 岡崎市立中央図書館に電話してみた by k    2010/07/18 12:39
管理会社としては、自分のトコの落ち度よりも 謎の攻撃者による仕業ってほうが都合が...
Re: 岡崎市立中央図書館に電話してみた by ntop    2010/09/02 23:43
流石に管理者さん電話するとはお見事です。 本日(2010/9/1)に、図書館側の公式コメ...

■ 関連記事

今日のつぶやき

  • でしょ。タイミングだと思うんですよねぇ。 RT @minemaz: @keikuma その手のヤツ、もういくつかありますね−2010-06-22 00:10:25 Tween
  • ありゃ。本当に落ちたんじゃないか?.aspじゃないページで503返すようになった。このタグを付けてつぶやくのは危険と言えよう。 #Librahack2010-06-22 00:16:43 Tween
  • 図書館のサーバが落ちています。共謀共同正犯で、#librahack付けてつぶやいた人、全員逮捕です。2010-06-22 00:30:48 Tween
  • 岡崎市立図書館に、「Webサーバのアクセスログは、捜査令状によって押収されたのか」どうかを訊ねたいのですが、メールでの問い合わせ先は無いようですね。 #Librahack2010-06-22 00:57:59 Tween
  • 外からの観測。ASPページは正常に終了しないと、サーバの何らかのリソースが消費されたままになる問題がある様だ。クッキーで多重アクセス制限して、操作性を悪化させる「対策」。根本問題を直すべき。 http://bit.ly/9EHVMr #Librahack2010-06-22 01:32:29 Tween
  • サーバが貧弱で、想定負荷を遥かに超えるアクセスが集中したとしても、その集中がされば定常状態に戻るのが普通の挙動。アクセス集中している間アクセスできなくなったのでは無く、人手で復旧しなければならない何かが起きたのだとすれば、実装に問題があったと言えよう。 #Librahack2010-06-22 01:39:18 Tween
  • おやすみなぅ2010-06-22 01:51:07 Tween
  • しまった。夏至なのに冬瓜と鶏肉の煮物を食べなかった! #nagasaki2010-06-22 08:56:06 Tween
  • ウチのマンションはチラシのポスティングを禁止してて、ポスティングのために敷地内に立ち入るのも禁止しているのだけど、民主党のチラシは入ってるんだよなぁ。2010-06-22 09:00:11 Tween
  • 冬には良いかも知れないですね。おなかから温まる、朝ちゃんぽん。 RT @shironekokun: 長崎でも朝ちゃんぽんブーム来るか?こないだろうな。 #nagasaki2010-06-22 09:23:58 Tween
  • 岡崎市立中央図書館に電話して確認。保守会社が外部からの攻撃と判断。被害届を提出。警察からは2,3回問合せがあったのみ。サーバの調査等は私が知る限りやっていない。令状を持った捜査も入っていない。逮捕は報道で知った。 #Librahack2010-06-22 09:44:31 Tween
  • 野菜をすごく多めにしてですね。麺を少なめで。ややあっさりしたスープで。 RT @shironekokun: 朝ちゃんぽん、わんこ蕎麦ぐらいのサイズだったら朝からいけるかもしれない。 #nagasaki2010-06-22 09:45:45 Tween
  • 愛知県警には他のだれかが問合せしてそうな気がするので遠慮することにした。 #Librahack2010-06-22 09:51:10 Tween
  • 記事にまとめました。図書館の自由に関する宣言をご存じでなかったのは残念。実際、一体、どうやって容疑を固めたのだろう。 http://bit.ly/9NWvGe #Librahack2010-06-22 10:04:45 Tween
  • 試す訳にはいかないからやらないけども、ブラウザの設定をちょっといじると、手作業でアクセスしても落ちるように思えます。 #Librahack2010-06-22 10:57:45 Tween
  • 「円周率の小数の並びには、任意の有限桁数の数字列が現れる」という命題を思い付いた。自分の能力では肯定的にも否定的にも解決できないが。 RT @gold3000: 円周率にはいろいろな並びの数字があるので自分の誕生日もあるそうです!2010-06-22 12:53:10 Tween
  • 2008年度の入札履歴だけ閲覧できないんですよねぇ。残念ながら。 RT @katzchang: たぶん、5000万は下らない。 RT @najeira: 岡崎市立中央図書館のシステムを1000万くらいで受注したい。ぼろ儲け。 #librahack2010-06-22 12:59:42 Tween
  • 観測した挙動から、検索がSQL文でLIKE使っててショボイとかそういう問題だけでなく、サーバリソース食いつぶす様なバグが存在していると見ます。過負荷で落ちるのではなく、リソース食いつぶした結果、503になって再起動せざるを得なくなると。 #Librahack2010-06-22 13:07:44 Tween
  • 障害が発生した際、障害原因の究明と復旧の両方が要求されるわけだが、これだけ頻繁に障害を起こしたにも関わらず、毎回、再起動だけの対処をしたのだろうか、デバッグ用にログを取る仕組みを入れたりはしなかったのか。だとすると、本気で原因究明する積りがあったのだろうか。 #Librahack2010-06-22 13:11:38 Tween
  • 攻撃が原因と言うからには、ログからどういうアクセスが行われているかを分析したはずで、同様のアクセスを発生させて、確かにサーバが停止するという再現性を確認したはずだ。もし、再現もできないのに、攻撃が原因でサーバが停止したと言ったのならば、それこそ言いがかりだ。 #Librahack2010-06-22 13:17:00 Tween
  • 一方、「あるアクセスを行えばサーバが停止する」という再現性のある障害発生方法が得られているのであれば、これを修正するのは技術的には難しくないはずだ。一般に、この類の障害は、再現パターンを見つけ出す方が、修正するよりも遥かに難しいし、普通は再現性が非常に低い。 #Librahack2010-06-22 13:21:39 Tween
  • そういう意味で、保守会社に技術力が無かったか、あるいは金銭的に技術力を使えなかったかは分からないが、保守会社が技術を以てして保守を行っていれば、今回の様な事件は防げたに違いないと思う。仮に保守会社がコードを触ることができなかったとしてもできることはあった筈。 #Librahack2010-06-22 13:27:09 Tween
  • まぁ。プロとしてプライドを持って仕事をして欲しいし、現場がそんなプライドを持てない様な安値入札は無くならなきゃいけないと思う訳です。 #Librahack2010-06-22 13:39:12 Tween
  • 「こういうリスクがあります」と言ったら、「やらない理由は要らん!」と叱責されたでござる。 RT @wata0712: 「リスク」とはなにかやりたくない理由を正当化するものではないと激しくちゃぶ台をひっくり返すがごとく呟いておく。2010-06-22 13:44:58 Tween
  • 1ヵ月で作れる自信はないけども、ソース見せてもらえたら1日で原因は分かる自信はある。よほどの実装で無ければ多分直せる。 RT @najeira: 1ヶ月で作れそうなのに5000万…… RT @katzchang: たぶん、5000万は下らない。 #librahack2010-06-22 14:57:29 Tween
  • どういうテクノロジを前提に最低制限額を見積もっているかをまず推理。 RT @minemaz: 入札額下げすぎて最低制限割ってもうたわー この辺難しいねえ2010-06-22 15:00:18 Tween
  • これから増やすべきものに悪影響を与えるのに、現状少ないから問題ないとは… 新規公開前に行われる不適切な自己募集を規制するための「有価証券の引受け等に関する規則」等の一部改正について2010-06-22 15:05:20 Tween
  • えいやーって人月w RT @minemaz: @keikuma 人月とみてますけどね、単純に。2と3の読み違えでした2010-06-22 15:06:07 Tween
  • あとは、端数の具合で、誰が積算したかを推理するゲームとかですかね。 RT @minemaz: @keikuma まあ、工数とか積算してないんじゃないかなーて予想してますよ2010-06-22 15:15:48 Tween
  • その観点で議論しようとして確認した訳ですが、ログの提供は行っていないとのことなので。 RT @milkya というか、今回の一件を図書館の自由の観点で議論してる人たちが思ったより少なくて大変残念。 #librahack2010-06-22 17:01:34 Twitter for Android
  • ありえますが、保守会社が独断で行いうることでは無いようにも思います。 RT @HiromitsuTakagi @keikuma サーバの保守会社がログを提出したのでは? 起訴猶予になった方の説明では取調中にログを見たとありますね。2010-06-22 17:42:03 Twitter for Android
  • Browsing: 三菱電機インフォメーションシステムズ株式会社 2009年技術論文 「岡崎市図書館交流プラザ図書館システム」 http://www.mdis.co.jp/company/techpaper/2009/ #Librahack2010-06-22 20:27:25 Tween
  • 専ら閲覧の用に供する公共機関のサーバの保守には、第二級インターネット通信士の資格が必要で、実装はさらにDBアクセスがあるから、第一級インターネット技術士の資格が必要とかだと、この事件が防げたのか知らん。クローラ書くのには、四技が必要。 #Librahack2010-06-22 22:20:41 Tween
  • 別に、1リクエスト/秒を捌けなくても良いんですよ。落ちるのが問題なんです。 #Librahack2010-06-22 22:55:33 Tween
  • 「過剰なクロール=DoS」と理解されている方がいるかも知れませんが、いくら過剰なクロールであっても、「DoSの様なもの」であって、DoSではありません。クロールはサービスを利用しようとする行為であって、DoSとは目的が逆だからです。 #Librahack2010-06-22 23:07:08 Tween
  • サーバ側から見て、過剰なクロールなのかDoSなのかを、ある程度判断することもできます。クローラは結果が必要なのに対し、DoSを狙う場合には、結果はむしろ邪魔なものです。従って、両者には、結果の待ち方、受信後の挙動に違いが生じてきます。#Librahack2010-06-22 23:19:56 Tween
  • 一連のアクセスがDoSであることを、サーバ側における観測で立証しようと思った場合、サーバログだけでは困難で、キャプチャしたパケットを、タイムラインに並べて分析する必要があるでしょう。アクセス数だけで判断するのは、相当に乱暴な判断です。#Librahack2010-06-22 23:26:14 Tween
  • 警察が自ら証拠固めを行おうとすれば、図書館側の協力を得た上で機材を持ち込んでパケットキャプチャを行うなど、ある程度大掛りな捜査を行うことになった筈ですが、それは行われていないとの事。開発会社側の主張を鵜呑みにした可能性もあり得ます。 #Librahack2010-06-22 23:36:41 Tween
  • @haruka_izumi まさに、そういうことが行われたのだったら問題だと思って問い合わせたのですが、そういうことではなくて、別の問題が浮かび上がった次第。 http://bit.ly/cc5r2l http://bit.ly/9NWvGe #Librahack2010-06-22 23:49:14 Tween haruka_izumi宛て
  • @masata_masata 仮に、1Kreq/sで応答をもらえて、自分も結果を処理できるのであれば、それはサービスの過剰利用であって、DoSでは無いでしょう。他の人も自分と同じようにはサービスを受けられている訳ですから。 #Librahack2010-06-22 23:54:20 Tween masata_masata宛て
  • 「おきろよ!」とか言う雑誌を思い浮かべました! RT @kamematsu: 突然質問ですが、「みんなの塔」と聞いて思い浮かべるのは、なんでしょうか? ちなみに「みんなの党」ではありません。「塔」です。2010-06-22 23:59:53 Tween
以上、1 日分です。

指定日の日記を表示

前月 2010年06月 翌月
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30

最近の日記

2017年02月21日

BIGの投票内容(発番)につきまして(2017.02.20)

2016年06月29日

「SEI-Net」不正侵入事件にみる佐賀県教育委員会の杜撰

2015年11月26日

武雄市図書館から“地方自治”を考える!

2015年11月21日

シリーズ武雄市TSUTAYA図書館(34) - 「第3のツタヤ図書館にデキレース疑惑 内部資料を独占入手!」落ち穂拾い

2015年10月30日

シリーズ武雄市TSUTAYA図書館(33) - 海老名市ツタヤ館運営の行方

2015年10月26日

シリーズ武雄市TSUTAYA図書館(32) - 10月26日付 文化通信「TRC、CCCとの関係解消へ」

2015年10月25日

シリーズ武雄市TSUTAYA図書館(31) - 続・検証「9つの市民価値」

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project