2010年09月28日(火)
<< 前の日記
これまでの09月28日
編集
■1
シリーズ・クロールとDoSの違いと業務妨害罪と(22) - やはり他にも情報漏洩させていたMELIL/CS導入図書館[http://www.nantoka.com/~kei/diary/?20100925S1][LibraHack][電子自治体][図書館][セキュリティ]
固定リンク
|
| Tweet
前回の記事で、
「発生しても」ではない。 「発覚しても」だ。
既に、篠栗町とえびの市において、Anonymous FTPでシステムが公開されていたという事件が報告されている。これは、 管理会社社員が「使い勝手をよくするため」パスワードを外したことによるもので、閲覧だけでなく、削除や改竄も可能な状態だった[http://twitter.com/#!/HiromitsuTakagi/status/22096009910] ということだったが、篠栗町とえびの市は、Web経由での予約を扱っておらず、であれば、ソースコード等は流出したにしても、幸いにも個人情報は流出しなかったとされていた。
しかし、その後、 各地で杜撰なコピーを繰り返していたこと[http://gutei.cocolog-nifty.com/hibikore/2010/09/mdis-af2c.html] が続々と明らかになり、プログラムだけでなく、コンテンツ類も一緒に無意味にコピーされていた訳だから、個人情報を含んだファイルまでもが同様にコピーされていても不思議では無かった。
また、システムをAnonymous FTPで公開していたのは、篠栗町とえびの市だけにとどまらず、
北海道栗山町の図書館でも同様に、システム内部の情報をパスワード不要で公開
していたことを確認している。
この図書館は
Web経由での予約を受け付けており、利用者の個人情報が流出する可能性があった
。
この件について、町や図書館は現在まで何の発表もしていない様だが、そもそも保守業者からの報告があったかどうかも疑問である。
こういった背景から、既に個人情報が漏洩した可能性は極めて高いと考えており、また、実際に漏洩した個人情報を得たという情報から「発覚しても」と書いていたのだが、ついに発表せざるを得なくなった様だ。
MELIL/CSを稼働させている自治体における個人情報漏洩事件。 実装によるガードがここで見たように、事実上機能せず、運用も自治体間で丸ごとファイルコピーを行うほど杜撰なものであるとすると、これは 明日にでも 発覚してもおかしくはないと思う。と指摘していた。
「発生しても」ではない。 「発覚しても」だ。
既に、篠栗町とえびの市において、Anonymous FTPでシステムが公開されていたという事件が報告されている。これは、 管理会社社員が「使い勝手をよくするため」パスワードを外したことによるもので、閲覧だけでなく、削除や改竄も可能な状態だった[http://twitter.com/#!/HiromitsuTakagi/status/22096009910] ということだったが、篠栗町とえびの市は、Web経由での予約を扱っておらず、であれば、ソースコード等は流出したにしても、幸いにも個人情報は流出しなかったとされていた。
しかし、その後、 各地で杜撰なコピーを繰り返していたこと[http://gutei.cocolog-nifty.com/hibikore/2010/09/mdis-af2c.html] が続々と明らかになり、プログラムだけでなく、コンテンツ類も一緒に無意味にコピーされていた訳だから、個人情報を含んだファイルまでもが同様にコピーされていても不思議では無かった。
また、システムをAnonymous FTPで公開していたのは、篠栗町とえびの市だけにとどまらず、
北海道栗山町の図書館でも同様に、システム内部の情報をパスワード不要で公開
していたことを確認している。
この図書館は
Web経由での予約を受け付けており、利用者の個人情報が流出する可能性があった
。この件について、町や図書館は現在まで何の発表もしていない様だが、そもそも保守業者からの報告があったかどうかも疑問である。
こういった背景から、既に個人情報が漏洩した可能性は極めて高いと考えており、また、実際に漏洩した個人情報を得たという情報から「発覚しても」と書いていたのだが、ついに発表せざるを得なくなった様だ。
□ 発表と報道:
三菱電機ISの発表が出た様だ。
「プログラムライブラリの修正結果を元のプログラムライブラリに反映」することはあるとして、
一体どうやったら「プログラムライブラリ」に「個人情報データが残存」するのか。
この文書を書いた人は、書いていておかしいと思わなかったのだろうか。
こういうことが起こるとすれば、例えば、 実行環境を丸ごとコピーして配布版のアーカイブを作った とか mdbにデータが共存する様なAccessアプリを実行環境からコピーしてきた といったケースが考えられるが、いずれにせよ、 「プログラムライブラリの修正結果を元のプログラムライブラリに反映」 とはとても言えない。
ところで、
中日新聞。 岡崎市図書館の利用者情報流出 業者ミスで159人分[http://www.chunichi.co.jp/s/article/2010092890152647.html] との見出しで報道している。
さすがにかばいきれなくなったと見たい。もっと早く見切りをつけていれば、今回の件についても、もう少し被害者寄りの立場に立てたと思われるが、前回の事件の後で、
システムと業者を擁護する発言[http://mainichi.jp/area/aichi/news/20100907ddlk23040246000c.html]
をし、随意契約での発注を表明していた以上、その様な業者を選択していた責任を追及されるのは当然であろう。
岡崎市のシステムの導入やデータ移行、その後の開発に際して、岡崎市と三菱電機との間で交わされた契約書によれば、
とあり、
三菱電機はこの契約に明確に違反する行為をしていた
訳だから、これを処分しないわけ内はいかないだろう。
と書いて、気付いたが、確かに当時の契約当事者は「三菱電機インフォメーションシステムズ株式会社」ではなく、「三菱電機株式会社中部支社」だ。
三菱電機株式会社は、 子会社の個人情報漏洩について(お詫び)[http://www.mitsubishielectric.co.jp/oshirase/20100928/] というコメントを出している。
岡崎中央図書館で情報流出 開発時に三菱電機系ミス[http://sankei.jp.msn.com/affairs/crime/100928/crm1009281413024-n1.htm] との見出し。
「岡崎市に納入した(筈の、稼働中の)システムを原本として保存(丸ごとコピー)」ということだろう。
一方、削除前のデータが弊社のパートナー会社が行なったシステム保守操作の誤りによりインターネットからアクセス可能な状態となり、2ヶ所の図書館のWebシステムから個人情報がダウンロードされたことを確認致しました。すごい!お詫びしてる!
関係する皆様には 多大なご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。
岡崎市立中央図書館様のシステム調整・試験を行った際、 プログラムライブラリの修正結果を元のプログラムライブラリに反映させました。おかしい。
岡崎市立中央図書館様の 個人情報データが残存していることに気付かず、製品版として、他の図書館様に納入しておりました。
この文書を書いた人は、書いていておかしいと思わなかったのだろうか。
こういうことが起こるとすれば、例えば、 実行環境を丸ごとコピーして配布版のアーカイブを作った とか mdbにデータが共存する様なAccessアプリを実行環境からコピーしてきた といったケースが考えられるが、いずれにせよ、 「プログラムライブラリの修正結果を元のプログラムライブラリに反映」 とはとても言えない。
ところで、
併せてインターネットで更なる拡散が進行しないよう、専門機関と相談のうえ対応致します。とのことだが、実は既にインターネットで拡散していたりするのだろうか。
中日新聞。 岡崎市図書館の利用者情報流出 業者ミスで159人分[http://www.chunichi.co.jp/s/article/2010092890152647.html] との見出しで報道している。
同図書館に新しいシステムを構築中だった06年1月ごろ、同館のみに保存するはずだったデータを、誤って同社のコンピューターに保存。個人情報が混入したシステムを製品として、全国37の自治体図書館に販売した。このうち宮崎県えびの市と福岡県篠栗町の図書館のデータが、別の保守管理業者のミスでネットからアクセス可能になり、岡崎の情報をそれぞれ数人が閲覧した。やはり、えびの市と篠栗町経由の様だ。
岡崎市立中央図書館が入居する市図書館交流プラザの米津真総合館長は「守秘義務や個人情報の複写禁止に反し、明らかに契約違反。 損害賠償請求などの法的措置を含め、契約の白紙化や指名停止も検討する」としている。
さすがにかばいきれなくなったと見たい。もっと早く見切りをつけていれば、今回の件についても、もう少し被害者寄りの立場に立てたと思われるが、前回の事件の後で、
システムと業者を擁護する発言[http://mainichi.jp/area/aichi/news/20100907ddlk23040246000c.html]
をし、随意契約での発注を表明していた以上、その様な業者を選択していた責任を追及されるのは当然であろう。岡崎市のシステムの導入やデータ移行、その後の開発に際して、岡崎市と三菱電機との間で交わされた契約書によれば、
個人情報取扱特記事項
(委託目的外の使用等の禁止)
第4条 乙は、甲の指示又は承諾があるときを除き、この契約による業務に係る個人情報を 当該業務の目的以外に使用し、又は第三者に提供してはならない。
(複写及び複製の禁止)
第5条 乙は、甲の指示又は承諾があるときを除き、この契約による業務に係る個人情報を 複写し、又は複製してはならない。
市立額田図書館 業務システムセットアップ及びデータ移行業務契約書, 岡崎市/三菱電機株式会社 中部支社, 平成18年5月16日
とあり、
三菱電機はこの契約に明確に違反する行為をしていた
訳だから、これを処分しないわけ内はいかないだろう。三菱電機株式会社は、 子会社の個人情報漏洩について(お詫び)[http://www.mitsubishielectric.co.jp/oshirase/20100928/] というコメントを出している。
当社の子会社である三菱電機インフォメーションシステムズ株式会社が、お客様保有の個人情報を不適切に処理し、この個人情報が漏洩していたことが判明しました。かかる事態を引き起こしたことを、ここに深くお詫び申し上げます。 当社は、本件を重く受け止め、 子会社における業務のチェックと改善に向けた指導を徹底し、再発防止に取り組んでまいります。契約当事者としては、「指導を徹底」等と、他人事の様なコメントになっているのが気にかかる。
岡崎中央図書館で情報流出 開発時に三菱電機系ミス[http://sankei.jp.msn.com/affairs/crime/100928/crm1009281413024-n1.htm] との見出し。
同社は岡崎市に納入したシステムのプログラムを原本として保存。そのコピーを全国の37公立図書館に販売したが、一部の個人データを消去し忘れていた。さらに別の保守点検会社が、2カ所の図書館で、データをインターネット経由でダウンロードできる状態にしてしまったという。経緯の説明は、この記事が事実に近いように思える。
「岡崎市に納入した(筈の、稼働中の)システムを原本として保存(丸ごとコピー)」ということだろう。
□ 事件当時の契約当事者だった三菱電機:
三菱電機インフォメーションシステムズの発表[http://www.mdis.co.jp/news/press/2010/0928.html]
によれば、個人情報を含むファイルの取得が行われたのは、2005(平成17)年6月であるから、「委託目的外の使用」「複写及び複製」といった、契約書の個人情報取扱特記事項に違反する行為が行われたのは、この時期だろう。
岡崎市図書館では、この頃に「市立図書館 新業務システム セットアップ及びデータ移行業務」を行っているから、時期的にも一致する。
この時交わされた、「市立図書館 新業務システム セットアップ及びデータ移行業務契約書」によれば、
にも関わらず、 子会社の個人情報漏洩について(お詫び)[http://www.mitsubishielectric.co.jp/oshirase/20100928/] という立場の文書を出し、また、図書館に対しても、 三菱電機インフォメーションシステムズ株式会社名義[http://www.city.okazaki.aichi.jp/appli/06/wp06_view_tenpu.asp?id=9621|1] でのお詫びを出しているのは、トカゲのしっぽ切りの様な印象を与える。
岡崎市図書館では、この頃に「市立図書館 新業務システム セットアップ及びデータ移行業務」を行っているから、時期的にも一致する。この時交わされた、「市立図書館 新業務システム セットアップ及びデータ移行業務契約書」によれば、
(再委託の禁止)とあるから、 三菱電機株式会社は、子会社の監督責任というより、契約上の責任を直接的に負う立場ではないだろうか 。
第5条 乙は、甲の承諾を得た場合を除き、自ら個人情報の処理を行うものとし、 第三者にその処理を委託してはならない。
2 乙は、業務の一部を第二者に委任し、又は請け負わせた場合、甲に対して 再委託先の行為について全責任を負うものとする。
(個人情報の保護)
第7条 乙は、この契約による個人情報の取扱いについては、別記 「個人情報取扱特記事項」を守らなければならない。市立図書館 新業務システム セットアップ及びデータ移行業務契約書, 岡崎市/三菱電機株式会社中部支社, 平成17年4月28日
にも関わらず、 子会社の個人情報漏洩について(お詫び)[http://www.mitsubishielectric.co.jp/oshirase/20100928/] という立場の文書を出し、また、図書館に対しても、 三菱電機インフォメーションシステムズ株式会社名義[http://www.city.okazaki.aichi.jp/appli/06/wp06_view_tenpu.asp?id=9621|1] でのお詫びを出しているのは、トカゲのしっぽ切りの様な印象を与える。
■ 関連記事
- シリーズ・クロールとDoSの違いと業務妨害罪と(21) - 三菱電機ISが考える「強固なセキュリティ」2010-09-25
- シリーズ・クロールとDoSの違いと業務妨害罪と(19) - 一般競争入札でのシステムリプレース 酒々井町立図書館2010-09-10
- シリーズ・クロールとDoSの違いと業務妨害罪と(17) - 岡崎市立中央図書館に関する、毎日jpの記事2010-09-08
- 「ステーキのどん」でもO157 埼玉の2店舗、9日から営業停止2009-09-10
- ご解約者様へのお詫び送付先確認ページ2004-03-09
- 丸善:メルマガ会員にウイルス誤送2005-05-21
- セカンドレイプ2007-11-14
- 違法な迷惑メールで出会い系サイトの利用を勧誘した事業者2社に対する特定商取引法による初めての行政処分について2003-10-10
- <資生堂>HPに「薄毛は子孫も迷惑」 抗議殺到、おわび2005-05-12
- ぐる2003-08-27
- 続・エイベックスネットワークが運営するアットミュージックに侵入?2005-08-06
- 不正中継対策サービス1999-06-05
- 休暇中の電源供給1999-01-05
- 続・県等が考案した「システム開発地元発注」等にかかるビジネスモデル特許の出願について2003-01-14
- 「エピソード3」初日で54億円の荒稼ぎ2005-05-26
■今日のつぶやき
- 誰か、岡崎市立中央図書館に行って、岡崎市立中央図書館事件に関するリファレンス頼んでみないかなぁ。 #LibraHack2010-09-28 00:00:29 Twitter for Androidで
- おはようございます。本日の睡眠時間は、7時間56分。 [ST:GDMNG SL:7.95 PP:1828] #picotwi2010-09-28 07:15:19 ピコツイで
- 記者会見「新図書館システムについて」とかだとがっかりだなw #LibraHack2010-09-28 11:55:07 Tweenで
- あと岡崎市関係で判明しているのって、何がありましたっけ?岡崎市からのコピー系統図書かれて無かったかなぁ。 #LibraHack2010-09-28 11:58:14 Tweenで
- @Vipper_The_NEET コピー先から個人情報が発見されたとかですね。両者が出てこないといけない記者会見と言うと、「新図書館システムの説明」か「すんごいまずいことがあって謝罪」かどっちかでしょう。 #LibraHack2010-09-28 12:04:01 Tweenで Vipper_The_NEET宛て
- @Vipper_The_NEET あるいは「謎のハッカーに個人情報を盗み出されたので、警察に捜査を依頼したところ、ある人物を特定するに至った」とか #LibraHack2010-09-28 12:10:34 Tweenで Vipper_The_NEET宛て
- 長崎夢彩都なぅ http://4sq.com/cpZid0 @長崎県長崎市元船町 [ST:FSQHR FP:1 FC:53 FV:715021 GH:wvu673 GF:14 PP:1838] #picotwi2010-09-28 13:35:33 ピコツイで
- お買物なぅ @長崎県長崎市元船町 [ST:SHPNG GH:wvu673 GF:28 PP:1844] #picotwi2010-09-28 13:35:46 ピコツイで
- ただいまなぅ [ST:CBHME PP:1850] #picotwi2010-09-28 14:41:43 ピコツイで
- 世界最高水準の暗号化・復号化技術「PowerMISTY」を採用し、個人情報は安心の暗号化しているのは事実だけど、平文でも置いてあったと。 #LibraHack2010-09-28 15:51:45 Tweenで
- この情報漏洩の一件を、LibraHack事件とは別件と考える人と、一連の事件と考える人がいると思いますが、私は一連の事件、少なくとも同根の事件だと考えています。 #LibraHack2010-09-28 15:57:02 Tweenで
- Anonymous FTPで公開していた、栗山町、えびの市、篠栗町の図書館に電話してみた。栗山町「担当者が休み」。えびの市「担当者が休み」。篠栗町「岡崎市の事件については知っている。篠栗niは流出していないとの報告。今回の件については業者に調査依頼中」 #LibraHack2010-09-28 16:25:20 Tweenで
- Anonymous FTPで公開していた、栗山町、えびの市、篠栗町の図書館に電話してみた。栗山町「担当者が休み」。えびの市「担当者が休み」。篠栗町「岡崎市の事件については知っている。篠栗については流出していないとの報告。今回の件については、業者に調査依頼中」 #LibraHack2010-09-28 16:25:54 Tweenで
- 「管理者以外の者がAnonymous FTPでアクセスし情報を入手できるような事態は想定していませんでした。警察に、このような事例が他にも存在するのか、犯罪性はあるのか、また相談窓口はないか、といったことについて相談し、最終的には被害届を提出しました。」 #LibraHack2010-09-28 16:49:14 Tweenで
- プログラムの瑕疵を認めていれば、これだけ必死に外から見える問題点を探されることも無く、ひょっとすると今回の情報漏洩だって、こんな大ごとにはなっていないかも知れないですねぇ。 http://bit.ly/a96kWf #LibraHack2010-09-28 17:16:21 Tweenで
- なんか、当事者感が感じられないコメントだ - 三菱電機:子会社の個人情報漏洩について(お詫び) http://bit.ly/cdAXYn2010-09-28 17:57:20 Tweenで
- @myrmecoleon 確かに、いずれは明るみにでたでしょうね。確かに、暴露された期間は短くなった可能性が高いですね。そういう観点からは、MDISにとっても「出てよかった」と考えて欲しいところ。2010-09-28 18:00:41 Tweenで myrmecoleon宛て
- @Soukaku まさか! http://j.mp/aWRnZ2 は、洒落の積りだったですけども、洒落が洒落になっていないですね。今回の事件の周辺。2010-09-28 18:01:57 Tweenで Soukaku宛て
- @Vipper_The_NEET 北海道栗山町も痕跡見つけました。 http://bit.ly/dbKhrQ この記事、書いてる途中で記者会見が発表になって、方針転換をしてるので、論旨がヨレヨレ… #LibraHack2010-09-28 18:03:31 Tweenで Vipper_The_NEET宛て
- @papa_pahoo 管理会社社員が「使い勝手をよくするため」パスワードを外したと報道されています。 http://bit.ly/d3Cjsc #LibraHack2010-09-28 18:15:16 Tweenで papa_pahoo宛て
- 三菱電機本体もお詫びを出してるけど他人事ですねぇ http://www.mitsubishielectric.co.jp/oshirase/20100928/ #LibraHack2010-09-28 18:18:07 Tweenで
- みんな三菱電機インフォメーションシステムズばっかりいじめるのやめようよ。かわいそうだよ。とか言ってみるテスト。 http://bit.ly/c7ha5m #LibraHack2010-09-28 18:54:54 Tweenで