【社会】図書館システム不具合　利用者情報３０００人分流出★2

関連スレ

三菱電機ｲﾝﾌｫﾒｰｼｮﾝｼｽﾃﾑ事業(MDIS･MDIT･MIND･MB) 8 (情報システム板)
http://kamome.2ch.net/test/read.cgi/infosys/1284562452/

【IT】三菱開発の図書館システムが全国でトラブル続出 5月にはサイバー攻撃と誤解され逮捕者も (ニュース速報+板)
http://raicho.2ch.net/test/read.cgi/newsplus/1290977450/

【岡崎市立図書館】三菱のMIDS、図書館HPへのサイバー攻撃などなくシステムの不具合であったと謝罪へ (ニュース速報板)
http://hato.2ch.net/test/read.cgi/news/1290969776/

【社会】蔵書を検索しただけで「サイバー攻撃」?…図書館システム不具合 (ニュース二軍+板)
http://toki.2ch.net/test/read.cgi/wildplus/1290983768/

【セキュリティ】三菱電機系の図書館システムにトラブル相次ぐ(10/11/30) (PCニュース板)
http://hibari.2ch.net/test/read.cgi/pcnews/1291043477/

岡崎市図書館のシステムダウンの問題で、開発元のMDISが逮捕された男性に謝罪へ (ニュース実況+板)
http://yuzuru.2ch.net/test/read.cgi/liveplus/1291045117/

【IT】三菱電機の子会社「三菱電機インフォメーションシステムズ」、3000人の個人情報流出［10/11/30］
http://toki.2ch.net/test/read.cgi/bizplus/1291166717/

競争入札参加資格者の入札参加停止措置を行います
http://www.city.okazaki.aichi.jp/appli/06/wp06_view.asp?hdnBangou=9860

三菱の発表は
データが出荷物に混入したことや
千代田興産その他がＷＥＢサイト設定のミスで
誰でも参照可能にしたこと
を問題としてるけど、
そもそもその前段階で
”客先データを勝手に持って帰る”
という行為がマズイという認識がないみたいな感じ。

設定が一番気を遣うね。
一番酷いのは目蜂Mのサーバー使ったシステムで、URLの最後に"/"を入れたらサーバーダウンってやつ。

これは市と三菱を誣告罪で訴えてもいいだろ
警察も十分な捜査を行わないまま逮捕しちゃったわけだから国賠モノ

ま、三菱が嘘ついたからとか突っぱねるだろうが。
図書館がシステムのバグをいつから、どの程度知っていたかで責任が分かれそうだね

ちょｗ

随意契約だとこんな感じだよなあ
で、それを糊塗するために、責任を民間人になすりつける、と。
こういうところや人たちに税金が行ってる訳ですよ。
やるせないね。

>>107
＞実際に、本件以前では何の問題も発生していなかった

報道機関の調べで、MDISのシステムを利用していた
別の複数の自治体でも、利用者の手動アクセスにより
サービス不能に陥る事例があったことが報告されています

>>108
＞個人の比較的貧弱な自宅サーバに同様のアタックが

並列アクセスなしで、しかも毎回のリクエスト処理終了ごとに
1秒間隔を開けてのアクセスで落ちるサーバなんて
はっきり言って存在しませんよ？
15年前のPCですら余裕でしょ

むしろ、今回サービス不能の原因となった
「Webからのリクエストを処理したあとDBへのコネクションを10分解放しない」
というまずい設計があったら、どんなハイスペックのサーバを使おうが
今回と同じようにサービス不能が起きますよ？

>>135さんの指摘によると、どうも法律の知識もあやしい
そのうえサーバに何が起きていたのか、サービス停止の原因についての理解もあやしい
これじゃまるでいいところ無しじゃないですか・・・

まあN+ってそういうところですよね

>>203
まとめくらい嫁

　同様に「共通番号制度」も流出するでしょう

>>204
いや、俺としては、ネットのまとめを読まず
「エラーコードが返ってきたら、クライアントは即刻サーバ側に連絡すべきだ！」
という、一般ユーザから見てもおかしな理屈を言ってる人>>149や
「普通はWebサービスはあらゆる種類・ユーザ側設定のブラウザによる
アクセスを想定して設計やテストを行うべきであって
今回はMDISが従来のC/Sの設計をそのままWebに持ち込み
しかも適切なテストをしなかったのが問題の原因である」
にも関わらず
「クッキーを食わないブラウザでアクセスして
サービスが応答しなくなったら、アクセスした利用者に責任がある」
などと言ってる人>>156>>168
らに向けて書いたつもりなんだが・・・

マジで？
俺がいま図書館で借りてる本がバレたら死ぬる


羞恥の歴史―人はなぜ性器を隠すか
ヴァギナ 女性器の文化史
裸体とはじらいの文化史
売る身体　買う身体
パンツが見える。―羞恥心の現代史
児童画とセックス
子どもの人身売買・子どもの売春・子どものポルノ

Web屋のネタ帳 - librahack事件はちっとも終わってない。岡崎市立図書館は被害届を取り下げるべき。MDISはそれにとことんつきあうべき。
http://neta.ywcafe.net/001146.html

>>2
ハングルって文字なんじゃね？
ハングル語って、ひらがな語みたいに不自然に感じるが。

>システムの能力不足
じゃなくて正しくは
システムの開発能力不足
だろ？

高木浩光＠自宅の日記 - 三菱電機ISは結局会見で何を伝えたかったのか 岡崎図書館事件(11)
http://takagi-hiromitsu.jp/diary/20101204.html

>>203
＞ 報道機関の調べで、MDISのシステムを利用していた
＞ 別の複数の自治体でも、利用者の手動アクセスにより
＞ サービス不能に陥る事例があったことが報告されています

確か、一過性の現象として放置されたんだよな。
再現性なく、その内自然に治るもんだから、
クリティカルな現象とは思われてなかったとかなんとか。
それこそ「たまに調子悪くなる」程度の。

＞ 「Webからのリクエストを処理したあとDBへのコネクションを10分解放しない」
＞ というまずい設計

確か、「コネクション解放処理」そのものが無かったんじゃなかったか。
解放処理をしなくても10分なにもしなかったら自動的にリソース解放するような
フェイルセーフがエンジン側にあったからまだ良かったが、みたいな。

わざと使えない(使いにくい)システムを納品して
つぎの「バージョンアップ」を売り込む商売が
あるんだと信じているよ

>>8
俺の勤め先じゃそんなシステムばかり納品していて
そして、客が十分な予算出せば直すつってるよ。
（もちろん、バグは客に対して隠蔽している）

設計能力も実装能力も無いのにどうやって直すつもりなのかは知らんがなｗ

いちおう仕様書どおりで
無償対応の「バグ」じゃないぎりぎりのところで
不具合を仕込む(特にデータベースがらみのスピードを落とす)
っていうか、手を抜くもんだろ。きっと。
　
うちも大手の会社のシステムを入れたけど、
一生懸命やれば、倍速で動くぜって言うところでも
ま、いちおう動くしっていう感じで
わざわざ直したりしないんだよ

零細が出したら即潰れるレベルのゴミシステムでも大手なら押し切れる

>>215
＞ 無償対応の「バグ」じゃないぎりぎりのところで
＞ 不具合を仕込む(特にデータベースがらみのスピードを落とす)

んな手間掛けるなら素直に書いた方が安く上がると思うがｗ

まあ予算や期限によってはチューニングは後回し、
ってのはよくあるけどさすがに意図的にデチューンは面倒くさすぎるって。

>>203
＞「Webからのリクエストを処理したあとDBへのコネクションを10分解放しない」
＞というまずい設計があったら、どんなハイスペックのサーバを使おうが
＞今回と同じようにサービス不能が起きますよ？

あまり意味のないツッコミすると、メモリを腐るほど積んで、同時接続数の上限値を数万以上に設定すれば、回避できないということもない。
まあ無駄極まりない解決策なんで意味ないんだけどね。
(というかOracleって同時接続数最大いくつまで設定できるんだろう)

>>215
＞いちおう仕様書どおりで
＞無償対応の「バグ」じゃないぎりぎりのところで
＞不具合を仕込む(特にデータベースがらみのスピードを落とす)
＞っていうか、手を抜くもんだろ。きっと。

手を抜くならともかく、わざと不具合を仕込むとかどんな悪質業者だよw

>>219
内容によっては詐欺罪が成立したりして？

>>218
リスナー設定のリファレンス読んでも
最大接続数の設定方法書いてるけど限界は書いてねーから、
メモリ尽きるまで頑張ってくれるんじゃない？

そんな富豪的システムは技術者の良心的に嫌だけど。

>>207
心配するな、本に貴賎はない
司書のお姉さんも全部わかった上であんなに優しく応対してくれるんだよ

高木センセいわく
---------------------------------------------------------------------
しかし、それは違うと予想する。私は、6月下旬ごろ、
三菱電機ISの図書館部隊の人々
（この会見に出ている方々ではない）が、
あちこちで何を豪語していたか風の便りで耳にしているし、
その後も、9月になっても様々なことを豪語していたという話が
聞こえてきている
----------------------------------------------------------------------

豪語の内容っ何?
気になる

>>207
調べてみたら近くにある県立図書館にもそのほとんどがあった

今度借りてみるか・・・・

三菱系列は不具合等を公表しないじゃん。

そういう企業体質だよ。

車もクーラーもコンピューターも。

図書館を蔑ろにする情報屋とか氏ねばいいのに

>>225
自動車の件で可哀想だと思って応援しようとしたが、
この問題がでてきてやっぱりやめることにした。
情報の隠蔽と国家権力の乱用を許したらいかん。
こういうのを放置していたら、明日はわが身だよ。

これって、後の図書館戦争？

三菱鉛筆は三菱グループじゃないの

>>212
Sub Session_OnStart
　'エラー対策？
　On Error Resume Next
　Set Session("OraDatabase") = OraSession.DbOpenDatabase(HostName ,LoginPasswd ,Clng(3))
End Sub

Sub Session_OnEnd
　Set Session("OraDyna_Book") = Nothing
　Set Session("OraDatabase") = Nothing
　Set Session("OraSQLStmt") = Nothing
End Sub

図書館の業務に支障を来した原因がシステムなら、三菱の社員が逮捕されるの？

会見での西井常務の発言
-------------------------------------------------------------------------
西井常務：robots.txtもありますし、直接データベースをアクセスに来られたので、
そのところを普通の方でしたらトップページから来るということで、
ファイルインデックスを組み替えたりとか、そういうような形、
または、IPアドレスでブロックするだとか、そういう対症療法に走ってしまっています。
-------------------------------------------------------------------

ユーザサイドのプログラムなりスクリプトでＤＢに直接アクセスできるの？
だったらセキュリティ面で糞すぎるんだけど。

門脇社長の発言
---------------------------------------------------------------------------
門脇社長：FTPをAnonymousにしていたということは、私どもとしても、
非常に大きなミスがあったと、セキュリティ上のミスがあったというふうに
捉えておりまして、現時点では新規取引停止という形の処置をとらせて頂きました。
再発防止策を講じて改善の報告があるまでは、少し、セキュリティの方をもう一度、
私どものガイドラインを提示しながら再構築して頂くという形になろうか
と思っております。
-------------------------------------------------------------------------
もちろん千代田興産はアホだけど一般利用者相手に大量のファイルを配ったり
もらったりするわけではない図書館でFTPサーバ自体がインタネットから参照可能な
形で何のために必要なの。メンテとか図書館の人がコンテンツをアップするためなら
権限設定云々以前アクセスに経路自体クローズしたもので十分じゃないの。
そういう構造にしてないことがすでに問題。
メンテが必要なら最悪訪問して作業すれば済む話。

システムは悪くありません、全て利用者のせいです(ｷﾘｯ

通報者「図書館システムが被害を受けました」
　　　↓
警察「また、おおかみか」

>>232
>ユーザサイドのプログラムなりスクリプトでＤＢに直接アクセスできるの？

直リンクのことだろ。無断リンク禁止と同系の話だな。

>>1
早く潰せよこんな糞会社>三菱電機

某社のメアド入り注文ログ丸見え事件とかもあったよね。
被害者が関係会社社員だけだったせいか揉み消したけど。

ソフト会社は行政指導無いからお気楽だな
業界じゃ超有名な話しになってるのに
銀行でも止まらないと適当な品質でいいんだから

>>211
この「高木浩光＠自宅の日記」の中のアホ常務の以下の発言も発言も相当に
ひどいな。

＜アホ常務の発言内容＞
当初3月14日に初めてのアクセスがあったときに、意図は不明であると、私どものSEは
ですね、基本的にソフトウェアは、図書館システムはパッケージとは言っているものの、
各図書館のご要望に応じたシステムインテグレーションというんでしょうかね、個々のシ
ステムを作り上げておりまして、対応しております。よって、SEは、自分のシステムなん
で自分で解決しなければならないと、上へのエスカレーションだとか、他の拠点との情報
共有を行うということじゃなくて、なんとか自分で解決しようと、で、初めて遭遇した機械的
なアクセス、図書館というのはそれまでそういうのはなかったんでしょうかね、それで排除
する、回避するということに走っています。我々は被害届だとかそういうようなことについて
は、ただ事実をお伝え、現況をお伝えしたということにとどまっています。という事実を確認
しております。

＜問題と思える点＞
�@各図書館ごとにカスタマイズを行うとはいえ、元々のパッケージ仕様の根幹に係わる
　 ような変更を行っているのか？
�A全く別の図書館のＨＰのＵＲＬが表示されていたり、変更時に明らかに流用をしている
　 痕跡を残していたり、使い回ししている事実はどう説明するんだ？
�Bそもそも、ＤＢへのアクセスに絡む変更なんかしてないだろ？
�Cカスタマイズ前提であれば、一般的にカスタマイズの内容等の情報を共有化して、
　 他の図書館への提案につなげたり、実際の導入時の工数削減に役立てると思うの
　 だが？

このアホ常務も電機本体から飛ばされて来たのだろうが、本体時代の所属と地位は
どうだったのかな？
システム系にいたとは思えんな。

ﾜﾛﾀw

自己解決

西井龍五　三菱電機株式会社開発本部情報技術総合研究所長

ソースは、 ICTビジョン懇談会の 今後の進め方についての７頁（技術戦略ＳＷＧ構成員（案））

http://www.soumu.go.jp/main_sosiki/joho_tsusin/policyreports/chousa/ict_vision/ict_vision_wg/pdf/081120_2_si3-3.pdf

iso9001返上したのか？

>>241
uso-800に切り替えました

>>238
この＜アホ常務の発言内容＞ を見ると酷いな。
こういう上司だったら会社の業績が上がらないのもわかる気がする。

三菱はレベルが低すぎるんだよｗ
>>234

この業界、人材不足なのか？

＜キャッチコピーｏｒ理念（過去分含む）＞
　 ＮＥＣ：Ｃ＆Ｃ（Computer & Communication）
　 東芝 ：Ｅ＆Ｅ（エネルギーとエレクトロニクス）
　 富士フィルム：Ｉ＆ＩI&I（イメージング＆インフォメーション）


三菱電機ならびにその系列企業は
　 Ｄ＆Ｄ（出鱈目＆騙し）
　 Ｓ＆Ｓ（詐欺＆搾取）
が相応しいいな