2010年10月29日(金) << 前の日記 | 次の日記 >>
これまでの10月29日 編集

■1 シリーズ・クロールとDoSの違いと業務妨害罪と(25) - 自治体はエビデンスに基づく事実解明を[http://www.nantoka.com/~kei/diary/?20100928S1][LibraHack][電子自治体][図書館][セキュリティ] このエントリーをはてなブックマークに追加

栗山町図書館お知らせ(2010年10月1日)えびの市、篠栗町と同じく、Anonymous FTP(ファイル公開サービス)によるアクセスが可能になっていた 北海道栗山町のケース[http://www.nantoka.com/~kei/diary/?20100928S1] について、その後の調査によって、当時の事情が明らかになった。
結論から言えば、栗山町が事件を知ったのは、この日記で取り上げた後であり、自治体としてはかなり理想的な対応を行ったにも関わらず、業者側があいまいな説明に終始したために、図書館としての説明もあいまいなものになったということの様だ。
28日の記事[http://www.nantoka.com/~kei/diary/?20100928S1] には、
この件について、町や図書館は現在まで何の発表もしていない様だが、 そもそも保守業者からの報告があったかどうかも疑問である。
と、書いたが、調査によって、 という事実関係が確認できた。 つまり、業者から知らされたのではなく、自治体側の独自の情報収集によって知った ということの様だ。
図書館に対する口頭での説明は、以下の様な内容であったとのことである。
  1. 本日(28〜29日)、図書館に口頭説明した。
  2. 後日、文書で報告予定。
  3. 本町(栗山町)図書館Webサーバーシステム内部の情報をパスワード不要で公開していたことは事実。
  4. 実際にサーバ上のコンテンツにアクセスされた形跡があった。
  5. マルウェア感染の確認はしていない。
また、この件を受けて、図書館館長がMDISに対して行った問い合わせの質問事項は以下の通りである。
  1. 経過
    • Webサーバ公開日
    • Anonymous FTP開始日
    • 事故の発覚日
    • 対応日
    • 関係機関への報告日
  2. 状況
    • 個人情報混入を確認した37図書館に本町図書館は含まれるのか
    • 本町図書館システムの個人情報が他図書館システムに混入していなかったか
    • Anonymous FTPを稼働させていた理由は
    • Webサーバー不正アクセスはあったのか
    • Webサーバー経由で個人情報が保存されているサーバーにアクセスできたのではないか
    • マルウェアが仕掛けられているのではないか
    • 本システムに対する構築及び保守体制はどの様になっているのか
    • 本町のWebサーバーがAnonymous FTPで公開されていたと個人のブログ上で公開されているが、会社からコメントしたことなのか
  3. 今後の対応
この様に、栗山町に関しては、
  1. 業者の発表を待つだけでなく、自主的にブログ等からも積極的に情報を収集していた
  2. 情報関連担当課と図書館側の連携がうまく取れていた
  3. 図書館も毅然とした素早い説明要求を業者に対して行った
ということであり、 自治体としてはかなり理想的な対応を行ったにも関わらず、業者側があいまいな説明に終始したために、図書館としての説明もあいまいなものになった ということの様だ。
専門的な仕事を頼むために業者に依頼しているのであるから、業者側が専門的な知識を前提にごまかす様な説明をし出したら、一般的に言って、自治体側職員がこれを見抜くことは困難だろう。
しかしながら、 ITに関する知識が無くとも、文書での回答を要求することと、説明している内容に対する証拠を要求することは比較的容易なはずだ *1
文書での回答を得て、証拠を要求していれば、いい加減な回答はできなくなるし、後日、 自治体側が住民から説明を求められた時に窮地に立たされることが防げる。
関係する自治体には、エビデンスに基づく事実解明を強く期待する。

栗山町図書館 10月1日のお知らせについて:

上記の図書館からの問い合わせに対する口頭での回答を基にして、図書館側は10月1日にお知らせを出したものと思われる。
三菱電機インフォメーションシステムズ(株)より、国内2つの図書館において図書館システム保守操作の誤りによる個人情報流出についての報告がありました。

■三菱電機インフォメーションシステムズ(株) ホームページ
http://www.mdis.co.jp/news/press/2010/0928.html

当図書館のシステムも同社のものを採用しています。
同社に状況確認を依頼した結果、 当館の場合、「一定期間のセキュリティ上の問題はあったものの、個人情報の流出や、ウェブ感染型マルウェアによるホームページの改ざんはない」との報告を受けました。
今後も定期的なチェックを欠かさず、みなさんに安心してご利用いただける図書館を目指してまいります。
「一定期間のセキュリティ上の問題」とは何だろうか。Anonymous FTPで公開状態になっていた事実はどこに行ったのだろうか。
まさか、業者の作文をそのまま掲載したわけでは無いと思うが、業者の報告をエビデンスなく追認してしまえば、図書館も同じ責任を負う立場になる。
今回のケースで、FTPを稼働させていたのは、保守作業を容易にするためであろう。だとすれば、当然、書き込み可能状態になっていたはずだ。「ウェブ感染型マルウェア」以前に、 直接、マルウェアを配布して、後で書き戻しておく ことも可能であったし、 目録サーバ経由で個人情報を取得するASPプログラムをアップロードし、個人情報を取得した後に消しておく ことも可能であったのではなかろうか。
なお、栗山町に関しては、 アクセスログがダウンロード可能になっていたことを確認している。 アクセスログに利用者情報が含まれるかどうかは未確認だが、この点を踏まえて、「個人情報の流出はない」としたものだろうか。
これらを否定するためには、全期間のFTPサーバの稼働ログを確認する必要があるはずだし、これを保全しておかなければ、「漏洩は無かった」ということを客観的に立証できなくなるだろう。
*1: 良い証拠があれば説明は簡単になるのであって、むしろ、IT知識が無いと理解するのが難しいのは、「証拠は無いけれども、論理的にこうだと考えられる」という説明だ。そういう難しい説明を受けたら「難しくて分からないけども、要は証拠は無いのね」と確認しておけば良い。

■ 関連記事

今日のつぶやき

以上、1 日分です。

指定日の日記を表示

前月 2010年10月 翌月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project