2010年10月05日(火) << 前の日記 | 次の日記 >>
これまでの10月05日 編集

■1 シリーズ・クロールとDoSの違いと業務妨害罪と(23) - 「コピペ図書館」疑惑と問題[http://www.nantoka.com/~kei/diary/?20100928S1][LibraHack][電子自治体][セキュリティ][個人情報] このエントリーをはてなブックマークに追加

相模原テンプレートこの事件。関心を持つ人それぞれが、自らの思いで参加して、非常に多くの事が明らかになってきています。
新聞報道や図書館、市役所が出す公式コメントを待つだけでなく、本当に普通の人たちが、考え、情報を寄せ集め、まさに普通の人々によるジャーナリズムが、ネットという手段によって実現している状況になっています。
もちろん、参加している人の思いは様々でしょう。罪もない人が20日間勾留されたという事実にただ憤りを感じる人。そこにいたのは自分だったかも知れないという思いを持つ人。これを機会に警察の捜査のあり方が変わっていくことに期待を持つ人。業者の問題を明らかにしたい人。自治体の発注のあり方の見直しを期待する人…。
参加している人の、動機や思いは様々です。この事件は非常に多くの問題点を浮き彫りにした事件ですから、各方面に、その問題点の見直しのきっかけになればと思う人があるでしょう。また、いくつかの問題点が解決されれば、同じような事件は繰り返されないでしょう。
この様に、動機は色々ありますが、色々な思いを持った人が、まずは事実関係を明らかにしたいと考え、様々な方法で取材を積み重ねた結果、事件の背景が相当に明らかにされてきました。
例えば、この記事の冒頭に掲げた図。 相模原テンプレート[http://www26.atwiki.jp/librahack?cmd=upload&act=open&pageid=30&file=%E7%9B%B8%E6%A8%A1%E5%8E%9F%E3%83%86%E3%83%B3%E3%83%97%E3%83%AC%E3%83%BC%E3%83%88%E9%96%A2%E4%BF%82%E5%9B%B3.pdf] と言われるもので、 コピペ導入疑惑追跡[http://www26.atwiki.jp/librahack/pages/30.html#id_7a34c3f2 MELIL/CS] を裏付けるためにまとめられた資料の一部です。
これは大変な労作であり、Twitterのハッシュタグを中心にした、多くの方の努力が無ければでき上がらなかったものだと思います。

MDISによるコピペ図書館[http://www26.atwiki.jp/librahack/pages/30.html]:

この話。 ASP版MELIL/CS導入図書館リスト[http://www.nantoka.com/~kei/diary/?20100721S1] を書いた時に、htmlソース内のJavaScript関数、jfSubmitがいくつかのパターンに分類されることから、 図書館間でコピーして流用しているのではないか という疑惑を持っていました。
その後、htmlソースをもう少し詳しく調べて
HTMLソースの修正のやり方等から推測すると、「パッケージ→A図書館、パッケージ→B図書館」では無く、「パッケージ→A図書館→B図書館」という形で変化してきている様です。で、バラバラになったものに、さらにバラバラなパッチを手で当てると。 #LibraHack
とか、
察するに、テンプレートでの分離とかそんなことは行われていなくて、現場現場でASPソースの検索条件の追加削除やHTML書き換えを行っているのだと思います。カスタマイズ部分を追い出す仕組みとか、パッケージとしての設計や実装がなされていないように思えます。 #LibraHack
ということを推察したり、さらに、それが相当数のファイルに及んで、また、複数の図書館間でコピーの痕跡が見つかることから、
@mabow 「パッケージ」と言いつつ、導入済みのものを丸ごとコピーして展開して、そこの分のカスタマイズを足して…って言うのを繰り返していて、カスタマイズでの修正部分もうまく分離できないし、差分でパッチの適用もできないという状態になってたりしませんかね。 #LibraHack
と、導入のやり方に対しても、ずいぶんいい加減なものでは無いかという疑問を感じるようになりました。
「パッケージ」を元にして「カスタマイズ」を行う場合、ある図書館に「パッケージ」の導入手順に従って、 インストールを行った後で、その図書館ごとのカスタマイズを加えていくのが普通 のやり方です。 こういう方法を取る限り、 ある図書館向けの変更が、他の図書館にもそのまま残されることはない はずです。
ところが、htmlソースや、その他の方法で観察されるコードの端々に、他の図書館での変更履歴が現れるのです。 こういうことから、 ある図書館での作業結果を持ち出して、他の図書館の導入作業の起点にしている のではないかということを強く疑っていたのです。
しかしながら、残念ながら、当時はこれらの疑惑には決定的な証拠がありませんでした。

疑惑の立証:

その後、探索を進めた結果、
なんだこりゃ? さがみはら市 子どもページ http://bit.ly/coGMYY のミラー? http://bit.ly/bhja28 #LibraHack
を探し当てることができました。 相模原の図書館のページのコピーが、丸ごと篠栗町の図書館から発見された わけです。 これをきっかけとして、本当に多くの方たちが、各地の図書館に隠されたページを掘り当てた結果、 合成写真かの様なコピペの例[http://gutei.cocolog-nifty.com/hibikore/2010/09/mdis-af2c.html] や、 系統樹が掛けるほどのコピペの実態[http://www26.atwiki.jp/librahack/pages/30.html] が明らかになっていきました。
これらの例から、これらの図書館システムの導入が パッケージからの導入、カスタマイズというものではなく、図書館間のコピペを繰り返しながら導入されてきた ということが明らかになりました。

弊社図書館システムにおける個人情報の混入及び流出について(お詫び)[http://www.mdis.co.jp/news/press/2010/0928.html]:

とすると、
岡崎市立中央図書館様のシステム調整・試験を行った際、プログラムライブラリの修正結果を元のプログラムライブラリに反映させました。
岡崎市立中央図書館様の個人情報データが残存していることに気付かず、製品版として、他の図書館様に納入しておりました。
弊社図書館システムにおける個人情報の混入及び流出について(お詫び)という事象は、氷山の一角に過ぎないのではないでしょうか。
まっとうな手順で各地の図書館に導入を行っていれば、 図書館からファイルを外部に持ち出すことはそもそもあり得ません。 さらに、ここまで見てきたように、 ある図書館からファイル一式を持ち出して、他の図書館にコピーする という事が、一般的に行われていたことが明らかです。
これらのコピーの持ち出しは、当然ですが、私が入手した限りの作業報告書には記載されていません。 自治体や図書館の許可を得ずに無断で行われた ものでしょうし *1 、だとすると、記録も残されていないでしょう。
既に、各地の図書館のコピペの痕跡は、外から見える範囲については削除されましたが、今回発覚した以外の混入や流出が無かったことは検証したのでしょうか。
Anonymous FTPによって、外部からアクセスできるようになっていたために、 たまたま、ある図書館のシステムが露出した 。その図書館には、 たまたま、他の図書館の個人情報ファイルがあった
この様に、 偶然に偶然が重なって、発覚したのが今回の混入と流出です。他にはないと考えるのは、相当に楽観的 である様に思います。
*1: とても許可するとは思えません。

■ 関連記事

今日のつぶやき

  • おはようございます。本日の睡眠時間は、9時間52分。 [ST:GDMNG SL:9.87 PP:2397] #picotwi2010-10-05 09:10:18 ピコツイ
  • 法律の専門教育を受けたことが無いからそう感じるのかも知れないけど、人を殴るのは殴ること自体が悪いことで、ウェブにアクセスするのはアクセスすること自体は悪くないのに、殴ったら脳梅毒でというケースを引くのは不適切に感じる。法律の教育の世界ではそういうルールなの? #LibraHack2010-10-05 11:13:06 Tween
  • 殴るという悪いことをしたら、軽く殴ったつもりでも怪我したとか、相手が避けたんだけどバランス崩して怪我したとか、もっと運が悪くて死んだという事にも責任を負わなきゃいけないだろうなという気が常識的にする。これは殴るという悪いことをしたから。 #LibraHack2010-10-05 11:15:27 Tween
  • 大屋氏は、「脳梅毒事件と言うのがあってこれはこうだけど、本件は脳梅毒事件とは『全然違いますよ』」って話をしていたのに、同列に並べたかの様に誤解されているの? #LibraHack2010-10-05 11:19:07 Tween
  • @mmasuda だとすると、争点を見誤ってますね。2010-10-05 11:19:53 Tween mmasuda宛て
  • @simaneko_patara えー!なんでそんな誤解が流布するんだろう。それを誤解したまま記事を書いて、「技術者は図書館システムに欠陥があることも想定すべきで、逮捕された利用者と図書館の間で事前に協議があれば事件にならなかった」と指摘。なんでしょうね。 #LibraHack2010-10-05 12:27:44 Tween simaneko_patara宛て
  • あれですかね。本件に関する予備知識をしっかり踏まえて、かつ注意深く話を聞いた参加者は、誤解のトラップに掛からないけど、事件をあまり詳しく知らないで参加するとトラップに引っかかるという教育的パネルだったんですかね。で、朝日の記者もまんまと引っかかったと。 #LibraHack2010-10-05 12:30:27 Tween
  • @kanda_daisuke これが事実であれば、ああいう記事になるのは当然で、他の参加者も大屋氏の主張を記事の様に理解して不思議はないですねぇ。 #LibraHack2010-10-05 13:51:09 Tween kanda_daisuke宛て
  • Browsing: USB機器をクラウドに直結するデバイスサーバー N-TRANSFER 7000円(税別) http://bit.ly/dzmcZD2010-10-05 14:54:37 Tween
  • この匿名ダイアリー書いた人は、神田記者が過去にこの件でどういう記事を書いたのか知らないでやってるのか、知ってて愉快犯でやってるのか、どっちなんでしょうね。 http://anond.hatelabo.jp/20101005134126 #LibraHack2010-10-05 15:10:04 Tween
  • 中野区の平成21年1月以降の報告について情報公開請求を行いました。 #LibraHack2010-10-05 15:24:12 Tween
  • @telecas3 @kyouseishika へぇ。昔は、紙貼って見えない様にいじわるしてあったのに。 #nagasaki #kunchi2010-10-05 15:25:43 Tween telecas3宛て
  • こういう時には、淡々と事実を集めて、事実の上に立論することを意識しよう。 #LibraHack2010-10-05 16:20:12 Tween
  • @mabow でしょ。何があったか知りたいですよね。 #LibraHack2010-10-05 16:26:54 Tween mabow宛て
  • 某国カツを仕込んだ。 http://twitpic.com/2uth8y2010-10-05 17:27:11 Twitter for Android
  • @kimuraya ゲーム業界は業務の120%位がプログラミングですねぇ2010-10-05 17:47:07 Tween kimuraya宛て
  • @yao_yokagoto 今回、プロセスチーズで作ってるので、かなり不安…2010-10-05 17:49:34 Tween yao_yokagoto宛て
  • プラナリア並木って書いてた。どんな並木だ。こういうのはスペルチェッカ見つけてくれんね。2010-10-05 17:51:56 Tween
  • どうして「岡崎→全国」って流出しかあり得ないって限定できるんだろう。あんだけコピペしてたら、コピペ系路上で他にも同じこと起きてるんじゃないの?流出で確認されなかっただけで。 #LibraHack2010-10-05 18:02:51 Tween
  • チーズが溶けたりもしたけれど、完成! http://twitpic.com/2uubep2010-10-05 19:59:32 Twitter for Android
  • あと、anonymousでログインした人は、公言しても大丈夫と言うことで明らかになっているけど、joeアカウントで取得して、黙っている人とかいるんじゃないかなぁ。 #LibraHack2010-10-05 20:11:31 Twitter for Android
  • .@bistro_bordeaux ミンチの方の某店のメニューをリスペクトして作りました。出前の時に確保したソースをかけて頂きます。2010-10-05 20:19:15 Twitter for Android bistro_bordeaux宛て
  • .@bistro_bordeaux ですね。特に今回は普通のプロセスチーズだったので、簡単に漏れました。やはり、ゴーダチーズ使うのが良いようです。あれは漏れにくいです。2010-10-05 21:05:52 Tween
  • @nekonyauri プロジェクト管理に似てますよね。材料から作るものを決めて、段取りの依存関係や、リソース(コンロの口とか、調理器具とか、自分の作業とか)の割り当てを考えて、実際に作り始めると、トラブルに直面しても待ったなしで対処して、それなりのものを完成させないといけない。2010-10-05 21:08:39 Tween nekonyauri宛て
  • .@bistro_bordeaux 自分でカットするタイプのを冷凍して掛かったのですが、段取りがうまくなくて解けてしまいました。2010-10-05 21:09:50 Tween
  • クローラのAgentに連絡先を書いておくのは「逮捕できるものなら逮捕してみろと言う態度で極めて悪質」って言われかねないから必ずしもお勧めできないなぁ。 #LibraHack2010-10-05 22:29:12 Tween
  • 岡崎市個人情報保護条例に罰則を定めた規定があって、個人情報が流出している「被害」があって、ファイルを持ち出すという「行為」があって、許可なく持ち出しを行っていた「有責性」があって、その間に「因果関係」があって、あと、何が足らないんでしたっけ。 #LibraHack2010-10-05 22:43:34 Tween
  • 図書館のネットワーク構成図を出して欲しいって言っても、セキュリティ上の問題があると言われて出してもらえないのだけど、構成図を見られたらセキュリティ上の問題が起きるネットワークってどんなのだか関心があります。 #LibraHack2010-10-05 22:48:00 Tween
  • 関心を持っていればいつかは明らかになることも多くて、ある図書館の「ネットワーク構成図(案)」なるものが入手できました。これは見せられないかも知れないと思いました。 #LibraHack2010-10-05 22:49:10 Tween
  • 「案」ですから現実のネットワークとは異なると信じたいのですが、これはまずいです。館内業務セグメントから、WebサーバにWindowsファイル共有でアクセスしてファイル操作ができるかの様な説明がされています。そんなに開けて大丈夫か? #LibraHack2010-10-05 22:52:37 Tween
  • さらに、館内利用者端末も業務端末と同じ業務セグメントに収容されています。図の見方が微妙ですが、これ恐らく、インターネット閲覧端末もそうです。 #LibraHack2010-10-05 22:53:50 Tween
  • という事情で、館内利用者が図書館PCの利用規則には反するかも知れませんが、業務サーバやWebサーバにアクセスしてファイルを持ち出すことができる可能性があるんじゃないですかね。これ。この「案」はきっとボツになったんだと思います。 #LibraHack2010-10-05 22:55:42 Tween
  • ということで、Anonymous FTP以外にもまだまだ流出ルートがあることが想定されるのですから、三菱電機ISとしては、見つかるごとに小出しに詫びるんじゃなくて、全て徹底的に調べて明らかにした方が、信用回復につながってダメージ少なくなるんじゃないですかね。 #libraHack2010-10-05 23:06:43 Tween
  • @biac 少なくとも、インターネット閲覧端末で、あんなことやそんなことやったて、あれしたらあれですよね。調べたらスパイウェアうようよ出てきたりして。 #LibraHack2010-10-05 23:08:06 Tween biac宛て
  • @Soukaku ソースは業者の提案書なんですよねぇ2010-10-05 23:11:30 Tween Soukaku宛て
  • @biac あぁ。万全ですね。ところで、研修室とか学習室とかに気を利かせて情報コンセントとかあったりしませんよね。館内セグメントに収容されているので、特別整理期間の蔵書点検時に端末をつないで作業できて便利。 #LibraHack2010-10-05 23:23:16 Tween biac宛て
  • 増田さんって、様々な方面から不意打ち的に悪意をぶつけられてかわいそうだなぁと思う。全国の増田さん。あなたのことではないですからね。2010-10-05 23:25:48 Tween
  • @Soukaku 危ないですね。「教唆だ」とか言われるとたまりませんから、念のために言っておきます。これらの行為は法に触れる可能性があります。例え、情報漏洩の危険性を立証するためだと主張しても、やっちゃダメなことはダメです。 #LibraHack2010-10-05 23:33:02 Tween Soukaku宛て
  • @minemaz ボルタレンテープですよ!ばっちり効きますよ!2010-10-05 23:34:41 Tween minemaz宛て
  • @biac ちなみに業務端末でインターネット閲覧はできますから、業務セグメントにいれば当然でしょうね。 #LibraHack2010-10-05 23:37:59 Tween biac宛て
以上、1 日分です。

指定日の日記を表示

前月 2010年10月 翌月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project