NECが作った電子入札システムがリアル土方にハッキングされ広島市が大損害ｗ

落札予測可能と電子くじ中止

広島市の公共工事や委託業務などの電子入札で、複数の業者の応札額が同じだった場合に落札者を決める電子くじの
当たりが「特定の業者に偏っている疑いがある」として、市が電子くじの使用を中止していたことが24日、分かった。

　市は事務の効率化や透明性確保を目的に、電子くじを２０１１年９月に導入。入札参加業者に与えられる５桁の番号や応札額などを
電子入札システムが計算式に当てはめて落札業者を決める。

　市内部で、過去の入札で特定業者に当たりが偏っているとの懸念が浮上したのは22日。「（当たる）番号が推測できる可能性がある」
と使用中止を決めた。同日予定した清掃委託業務など30件の入札は延期した。当面は業者がくじを引く従来の方式で決める。

　市は問題に気付いた経緯や疑義がある入札件数などについて「調査中なので言えない」。一方で「偶然偏った結果なのか、
不正やシステム上の不具合があるのかを含め、詳しく調査しなければ分からない」と説明する。

　市が電子くじを導入した11年９月以降の３カ月間で、最低制限価格制度による入札は３２２件実施された。うち67％の２１７件の入札で複数業者が同額で応札し、
電子くじで落札業者を決めた。

　電子くじを含めた電子入札システムはＮＥＣが開発した。市は同社にシステムに問題がないか調査を要請。入札参加業者への聞き取りも検討する。
http://www.chugoku-np.co.jp/News/Tn201202250031.html

そんなに何度も同額抽選があったってことは
談合があるんじゃないのか？

またNECかよｗｗｗｗｗ去年もやらかしただろ

入札システム、透明性あり過ぎた　４年間丸見え　愛媛県
http://www.asahi.com/national/update/0912/OSK201109120177.html
HTMLソースの中に見えてはいけない最低制限価格がhiddenかなんかで埋めこまれてる奴ｗｗｗ

なんでクジを電子化すんだよ

くじはリアルでやれ

>2
最低制限価格制度が云々とあるので業者がその金額を狙って入札してるか
予め公開されてるかじゃね。

これなんでハッシュ計算してどーのこーのやるの？
rand()みたいなのじゃだめなの？

理系の仕事はこんなのばっか。
あいつらにπの小数点以外数えさせるとロクなことがない。
国は責任持って理系を屠畜すべき。

>>8
こういう極論はいかんなと思ってたが
昨日の奇数偶数スレ見てたらその意見やむ無しかなと

だからイニシャライズルーチンで
10 A=RND(-TIME)
しろとあれほど言ったのに…

>>3
終わってるなw

岡崎図書館事件の主犯三菱といいｗｗｗ

そりゃ赤字になるわ

レス抽出用

MDIS

建設業もITもゼネコン体質だからな
大手に発注したと安心してたらとんでもない零細が中身を作ってたりする

これどう考えても仕様がおかしいだろ。設計した奴は申し開きするレベル

コントロール出来無いから適当に難癖つけて中止にしたんだろ

>>11
いつの間にかITに理解のない図書館が悪いとか叩かれてたけど
あとで三菱さんが自分のせいでしたっていってたよね

>>3
ＮＥＣは唯一儲かってる分野でもこのザマか・・・

こんなのランダムな値を取得するだけでいいだろw？
C#なら1分で作れるぞw

NECはAtermだけ作ってろｗ

>>20
それ買ったけど糞だった

たぶん、なんかの順でソートして上から落札業者を決定してるんじゃないかな

NECで許されるのはルーターだけ

>>19
乱数の難しさを勉強してねー

伊達にパチンコで鍛えてなかったなｗ

乱数調整してたんじゃね

>>17
まあ登場人物がバカばっかりだからな

岡崎図書館館長->裸の王様
MIDS->王様を騙す商人
愛知県警->勇み足の衛兵

ゴミみたいな会社に成り下がったな

https://ppi.keiyaku.city.hiroshima.lg.jp/PPI_P/Images/lot.gif

SHA-1ってこういう順番決める用途に使っても問題ないの？
あとJAVAでも昔こんな話あったような

三菱とかnecにやらせるからバカ。
あいつらの得意分野はアセンブラ。

ふつうに三角くじでいいじゃん
経費どれだけかかってん

土方「ここで乱数調整をしておきます」

入札ってとにかく安きゃいいってだけで決まるのはだめな仕組みじゃね？

ソースを見ろ！ｗ　かｗ

そこそこ頭がいいやつが集まっているけど、ソフト開発のいろはを知らない。
だから一見ちゃんとしてるけど、とんでもない作りがあったりする。

1万人リストラで許してもらえ

どうせrandしてたんだろ

練習中に（林に）いうたんや。ホームランは打てんのかって。ホームランは試合で打っていいよってな

>>29
あれ？これだと
調達番号と業者番号と金額からハッシュ計算すれば結果わかるから
金額調整すれば自分とこが絶対落札できるようにできるんじゃないの？？

こうやって談合やってるせいで
児童福祉や病院に回す金が足りなくなるんだぜ？

NECモバイリングにまともな仕事は無理だと思うよ。

人事「おかしい、コミュ力はちゃんと確かめて、リーダー経験豊富な奴を
　　　　採用しているのにどうしてこんな問題が起きるんだ」

>>29
まじでこのまんまの仕様なのか
塩がないと不味いだろ

>>40
福祉も医療も税金ジャブジャブだろ高卒

>>24
種生成が適切ならそんなに難しい事ないんじゃないの？

>>4で終わってる

rand初期化し忘れたんだろこれ
そんで毎回入札順の何番目かが固定で選ばれてたんじゃね

くじをする→業者を一同に集める→談合の温床に

的な考えなのか？

困りまさぁ、土方さん。

こういうのペナルティないのかな？

こんなとこに作らせた電子カルテ使ってる病院にはかかりたくないなw

談合防止って県またいでやれば解決じゃなかったっけ？

>>29
こういうやる前から実は既に結果が決まってるパターンっていらいらするよね
ファイアーエムブレムとか

俺の会社がこの前、公共事業の入札で100％で落札したでｗ
まあ公開価格の入札で修繕の指定業者だから、壊れないと公共事業ないけど

ひょっとして公開情報から入札金額を調整すればいいだけじゃね？

北電子に頼めばエキサイティングな乱数生成システムを構築してくれるんじゃないか？

ハカーインテリ土方って新しいな

東芝は特許出願のソフトでやらかしているし

放射性同位体の崩壊を乱数生成に利用したらええやん

>>29
え？randすら使ってないの？
rand禁止にでもなったのか
どういう経緯でこれになったんだ

せめて時間を msec 単位で取得して連結しておけば、予め業者側でも計算できなかったろうに

乱数のシード毎回同じだったりして

赤字垂れ流しのジャップ企業は税金乞食すらまともに出来ないのか。
潰れて結構、代わりはいくらでもいるぞ。

駄菓子屋のババアのひもクジ>>>>>>>>>＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞NEC電子くじシステム

＞「（当たる）番号が推測できる可能性がある」

もう誰かしらは真相に気づいてるっぽいね

>>3
ひでえなｗ

つか俺は日立の四次受けPGとして働いていたけど、こういうのは平気で未経験の人間がコーディングすんだよな

>>29
おい誰かこれの経緯説明できる奴いない？

国や地方公共団体向けの入札では透明性を高めるため rand は禁止ってなってんのか
同額の場合サイコロで業者を選択してはいけない、という条例でもあるのか？
なんか縛りあるだろこれ。普通こんなの作らないぞ

>>29
なんつうアホな仕様だ
業者が談合すれば入札会社決定できるじゃん、これじゃ
プロジェクトに関わってる奴誰も想定できなかったわけないだろこれ
表向きは公平、裏では談合可能にするのが目的だとしたらなかなかやるな

>>20
AtermですらNAT溢れとかあったじゃないですかーやだー
最近の9xxxxはどうか知らんが・・・・

メルセンヌツイスタ使えよ

広島市電子くじについて
ttp://www.city.hiroshima.lg.jp/www/contents/0000000000000/1322705847958/index.html

2 電子くじの公平性・透明性の確保

（1）「電子くじ番号」の計算には、ＳＨＡ－１（シャ・ワン）というハッシュ関数を採用しています。
この関数には、代入する値が一文字でも異なると、全く異なった計算結果になり、かつ、計算結果は規則性を持たず一様に分布するという特徴があります。
したがって、特定の入札参加者が有利になることはありません。

（2）「電子くじ番号」の計算に用いる「くじ番号基準値」は、ア．案件番号、イ．業者番号、ウ．入札者すべての入札額の合計金額を連結した文字列としていますので、
入札者も広島市も数値の意図的な操作を行うことができません。

（3）「くじ番号基準値」と「電子くじ番号」は入札結果とあわせてホームページで公表します。
公表した「くじ番号基準値」により「電子くじ番号」を再計算することが可能ですので、客観的に検証することができることから、透明性が確保されています。

>>29
うわーーーw
これは凄いw

SHA-1の値が業者中で最も小さくなるように事前に計算しておけばいいのか

>>44
だから談合で食われる金がなけりゃ
その分もっと回せるじゃん
ジャブジャブどころか現状足りない自治体ばかりだっつーの
隣の町でやってる介護サービスがこの市では金欠でできません
でも公共事業入札は高止まり・ローテーションで相互扶助
こんなんばっか

>>71
＞ア．案件番号、イ．業者番号、ウ．入札者すべての入札額の合計金額

アだけで完全に固定化されるんだな
多分、万単位で試行したらそれなりに固定化されるんだろう
が、実際の運用の数百回では、不幸にも偏りが出たんだな

>>29
問題ないだろ。
業者の番号＋案件番号＋金額をハッシュ化→当選番号

狙った当選番号を作れるというのは脆弱性ではあるがここまでは問題ない。

問題は乱数にばらつきがあって特定の当選番号に当たりやすいこと。

>>71
こりゃ完全にアウトですね

わざとやったんでなければ、多分市側がこういう馬鹿な要件出したんだ
・計算のアルゴリズムが公開されており、第三者が再現可能なこと
・計算に用いる数値は、すべて事前に第三者に公開されているものを用いること

んで、馬鹿なPMは何も考えずにそれを満たすシステムを作った、と
内部に、この２つの条件組み合わせたら事前予測可能になるじゃん、と理解した奴がいても、
仕様通りだから何も言わない

>>75
間違えた
万単位で試行したらそれなりに業者が分散されるんだろうけど
実際の運用の数百回では、不幸にも偏りが出たんだな

>>71
このページの内容は参考になりましたか？
◎参考になった ○参考にならなかった ○どちらとも言えない
[送信]

じゃなかった。ハッシュ値の昇順で優先順位かよwwww

アホだわこれはwwwwww

>>76
いやいや、乱数なんてどこにも出てきてないじゃん
ハッシュが小さい方が必ず当たるんだよ

2chへの書き込みの小数点以下2ケタで落札業者決めるほうがまだマシ

>>76
ハッシュ値が最小になるような金額を入れるのかな
ttp://www.city.hiroshima.lg.jp/www/contents/0000000000000/1322705847958/index.html

NECは仕様通りに作ったと言い張るだろうから、
また多額の税金を投入して改修になるんだろうな

t検定しろ

よく分からんが業者の番号を適宜調節すればおｋってこと？

>>71
わろた

>>29
なにこれ
一定の情報が出ていたら自分で計算して
十分に推測可能ってことか

事前に総当りしてハッシュ値が一番小さくなる額で入札するんじゃないの？

ハッシュ以前にくじぐらい土建屋の営業呼んで目の前で開けさせるか
再入札でもすればいいのに

電子くじで落札業者を決めた
広島市の公共工事や委託業務などの電子入札で
電子くじを含めた電子入札システムはＮＥＣが開発した

ああ合計金額も使うのか
これだと単純には無理だな…

>>90
同額じゃなきゃ電子クジにならないんだから、
金額の方を調整したら殆ど意味がないと思うが

>>71
要するに市側がやりたかったことは

・案件ごとに、順番に業者に仕事を回したい

多分これだな。
案件番号だけで選択業者を選びたかったんだ
SHA-1かましたせいで不幸にも偏っちまったというあほな話ｗ

は？電子クジの当たりなんて偏りがあって当然だろw

だな偏らせたいから電子なんだろ

紐くじで言えば、紐を引っ張ってチェックできるってことだよね

ってかSHA-1って脆弱化してるからもう使うなってとがあったろ。

アメリカじゃ2010年に終わってSHA-2 かSHA-256になってる筈

乱数調整しただけだろ
これは落札業者の努力によるもの

>>3
ばっかじゃねーのコレｗｗｗｗｗｗｗｗ

普通にサーバの時刻値を種にしてMTでもぶん回して乱数作ります、でいいじゃん
アルゴリズムはそのソースを公開、種は入札決定後に公開すればいい

きっとそれじゃ公開性が、とか種をいじったら、とか言う馬鹿が居たんだろうな
サーバの時刻値ハックできるくらいなら、入札決定後のDBハックするわｗ

合計金額を使うんだから談合すれば落札をコントロール出来る

時間でsrandすればいいんだろ？

つか数の大小だとせっかくSHA-1使って長い桁だしても1桁目の数字しか効いてこないな

>>93
関連会社使ってにダミーの金額で入札させれば
合計も調整できるかな？

なんか色々勘違いしてる奴多いが

　個別の業者が入力値でくじ結果を変えられる

訳でもなんでもないからな。ちゃんと>>71読め

>>104
後から操作されたと文句言われないように、
再現性のあるクジ形式にしなければいけないんだろう

NEC大丈夫なのか？
競合他社だけど、最近の凋落ぶりに恐怖を感じる・・・

なんか、スレ内に理解の仕方が2つあるな

>>3
これは酷い・・・

>>109
むしろさっさと滅んだ方がいいだろ
部門ごとに切り分けした方がいい

過去の栄光だけで生きてるような会社なんてｗｗｗ

こんなの現在の時間のミリ秒をから決めても十分だろ…

>>29
乱数使ってないのは検証するためかな？
>>68にあるように業者全員が結託すれば
（３）の「入札に参加した全業者の入札金額の合計金額」を
くじびきで特定業者が１位取るように決められるね

あーでも全員が結託するなら、最初からくじびきに持ち込まなくてもいいか

「自社のこの入札金額で他の業者とくじびきになったとして
そのとき上の値がいくらになるか」がきっちり予測できれば
「その入札金額でくじびきになったとき、自社が全体の何番目になるか。
どの業者が同額入札の相手なら勝ち、どの業者が相手なら負けるか」は計算できる

でも競合他社もそれを計算した上で、自社が勝つ確率が高い入札金額に決定してくるわけで
その裏をかき、相手がそのまた裏をかき・・・「ライト、ついてますか」にこんな話があったね

>>109
むしろNECが素晴らしいシステムを納入した実績ってあるの？

最近めっきり安くなった物理乱数発生器使えばいいのに

>>29
これひどいな自分の番号有利にできるやんけ

競合各社にサイコロでも振ってもらって
それの合計でも足してやればいいんでね

乱数生成は難しいから一行で終わりじゃすまないよ

でもプロができないのはアウト

ましてやNECの名前でこれはやばいパチンコメーカーのほうがよっぽど乱数調整うまいわ

・合計金額も入ってるから業者はコントロールできない
・でも偏り出るのは当たり前

これでおｋ？

>>114
このシステムなら、業者全員が結託しても、表向きは公平なくじで決めたように見せることが出来るんだよ
そこまで狙ったなら、なかなか賢い仕様

もうあんなもんやろ
だいぶ慣れてきたわな。ゲームの中で驚くことをされるというのはない。ある程度は分かってるし、準備もできとる
ファーム（ウエスタン公式戦）はその１試合しかないけど、（２軍の）紅白戦に出させる。ゲームの打球は違うからな

SHA-1 通信用語の基礎知識
http://www.wdic.org/w/WDIC/SHA-1

一方向ハッシュ関数の一つ。同一性確認(改竄されてないことの確認)や認証などに利用されている。
原文の長さなどに関係なく、160ビットの固定長データ列を生成する。

クラッキング
ラウンド数80回のフルスペックSHA-1は、Brute force attack(総当たり攻撃)においては、280回の演算が必要である。
しかし2005(平成17)年、支那の研究チームにより、ラウンド数80回のSHA-1を269回の演算で、ラウンド数58回のSHA-1を233回の演算で、衝突を発生させることが可能とされた。
この時点では、ある程度効率的な攻撃方法が見つかったという段階であり、具体的に衝突を起こす例が求まったわけではないが、SHA-1の安全性が大幅に低下したことは間違いがない。

NISTの対応
そこで、国立標準技術研究所(NIST)は、SHA-1に更に大きな問題が生じるより前に、対策を講じることにした。
SHA-1の新規の採用は縮小し、2010(平成22)年までにSHA-2、より具体的にはそのうちのSHA-256へと移行する、としており、これが俗に暗号アルゴリズムの2010年問題と呼ばれている。
ただ、移行先がMD5やSHA-1の延長上にあるSHA-2で本当に良いのかという議論があり、最終的にはDESに対するAES選定と同じように新規のハッシュ関数SHA-3を公募することとなった。

>>3
これgetつかっちゃったってこと？

関数ってのは完全なランダムじゃない
当たりやすい文字列があっても不思議はない
むしろそんな面倒なことをしないアナログくじの方がマシ

業者側が全員結託すれば確かに結果操作は可能だな
受注したい業者が最低落札価格に合わせ、残りの会社が合計金額を調整する

アルゴリズムは分かってるから業者側で計算して、受注者を調整できる

透明性高いが談合には全く歯が立たないシステムｗｗｗｗｗｗｗ

土方らしくチンチロリン採用するべきだったな

なんというクソ設計

>>119
どこぞの下請けに飛び石で投げられてるんじゃない？ｗ
NECの連中かなりいい加減だから
よっぽど規模のでかい案件じゃないと真面目にやらないｗ

独自の乱数生成方式

自治体によっては、初めから予定価格を提示してるところがあって
最低制限価格についても公表してる（行政側が積算した部材費の８０％とか人件費の７０％とか）
だから工事入札の経験積めば最低制限価格も予測できちゃう
なので、行政側も乱数使って最低制限価格を変化させてる

今回のはその最低制限価格がバレてるというわけじゃなくて、単に同額入札の場合
落札者が特定企業に偏ってるということだから、SHA-1とか言うのが、今回の仕組みだと
特定の業者番号が入ってくると偶然ハッシュ値に偏りが出るとかじゃないの？

同額入札が多いというのは単に談合して電子入札してるか、>>3のようなヘマまたしてるかだろうけど

>>121
・業者全員が結託することは想定外
・業者全員が結託したら結果を操作できることが分かってたがそのまま納入

どちらかだな。後者なら黒いなｗｗｗ

ハッシュ値を文字列として更にハッシュ値を計算して…を10回くらい繰り返すようにすればひとまず偏らなくなると思う

>>71
なんでランダム使わねぇでこんなアホな仕様になってるのさ

くじ引きもなんか細工ありそうだから
業者みんなで複数のサイコロ振って出た目の大きさで決めろよ

土建屋って仕事を融通しあわないとやっていけないんだから
当然談合して調整する罠。
荒らすようなところは狙われてつぶされるだろうし。

>>1

乱　数　乱　数　言　っ　て　い　る　馬　鹿　は　こ　の　ス　レ　か　ら　出　て　い　け　！！

>>71を良く読め

>>29
これ使ってるライブラリ分かれば検算できるな

全業者の結託って業界によっては割と現実的だよね
というか、それを避けるための電子入札じゃなかったのか

>>134
経緯の透明性を高める為だろ。
再現性のない完全乱数だと、意図的に操作されたと難癖付けられかねない

>>120
・全金額の結合が入ってるから、業者全員が談合しなければコントロールできない
・逆に言うと、業者全員が談合すればコントロールできる
・談合しなかった場合、偏りが出るかどうかの厳密な検証は難しいけど、SHA-1の分布の一様性は信じていいと思う

17の業者が43,400,106円で入札
とか普通にあるね

>>138
>ウ．入札者すべての入札額の合計金額

露骨な乱数調整ができるな

>>93
市が電子くじの使用を中止していたことが24日
市が電子くじを導入した11年９月以降の３カ月間で

>>144
電子入札システムが計算式に当てはめて落札業者を決める

業者が自分でハッシュを計算できるってのは良くないと思うんだが。

SHA-1計算ツール
http://tools.fictionlife.com/sha1/

つまり業者はでてきたハッシュ値を入札前に見ることができて、出た値が先頭にeとかfだったら入札額を減らしたり増やしたりしてハッシュ値操作できるっとことじゃね？

>>140
作ったのNECだからな
変に政治的な空気を読んだのかもな
透明性高く談合で業者を決められるシステムにしたと

>>146
他の業者の入札金額を全部事前に知っていればね。

>>138
談合する金額でどこに仕事がいくか決まってるのが問題
せめて接合する文字列に日付入れるべき

>>148
分の悪いハッシュ値で挑んで同額で落ちるくらいなら一円でも引いて良いハッシュで挑むんだ方が良くね？

このシステムて他の業者の入札額も全部見れるのかな？

土建屋と同じシステムをIT業界にまで採用するから
こんな糞なんだよｗ

最近のどかたは頭いいんだなぁ。。。

>>87
当面は業者がくじを引く従来の方式で決める
うち67％の２１７件の入札で複数業者が同額で応札し

>>144,147
落札予測可能と電子くじ中止

おまえら、「このシステムだと全業者結託して談合したら～」って言ってるけどさ、
談合したんなら、わざわざ同額で入札してクジに持ち込むより、
勝たせたい業者だけ1円安く入札すればいい話だよね？

仕様上は公平のハズなのに、何故か誤差以上に偏ってるから
その理由をNECに調査依頼してる段階でしょ

>>140
手書き入札書の金額を合わせていたのが、単にPCからの入力金額を合わせるだけ
やろうと思えばいくらでも出来る

もし完全に談合無くそうとすれば、業者の入札額にランダム係数かけて入札金額をバラバラにするくらいか？
そのかわりマイナス５％くらいの入札額にされて落札決定されても涙飲んで契約しなくちゃ駄目とか出るけど

>>142
ありがとー

>>150
違う違う
数社だけ1円安いなんて「談合がもろバレ」になるだろ

つまり一見同額入札（最低価格付近）で談合してないように見える
だけど合計金額は談合で調整できるから業者はあらかじめ決められる

多分これ黒いシステムだ。NECだからな

合計金額の連結か。こりゃまた早とちりだな。

>>149
日付なんて入れても無駄だよ、事前に分かってるんだから

これを避けるには、事前に公開しない値が最低１個が無ければならない。
そして、その値は広島市内部でも操作不可能でなければならない。
→時刻のミリ秒値を使うか、物理乱数機を使うかくらいしかない
→なら最初から普通の乱数使えばいいじゃん

>>150
他の業者の入札額が1円でも違ったら、自分のハッシュ値もがらっと変わるから、全部知らないと無理

>>121 >>126
なるほど業者全員の談合か

長野県では各業者の入札書を役所が受信した時刻のミリ秒３桁を
それぞれの業者に割り当てて
単純にその和を全業者数で割った余りで決めてるね
http://www.pref.nagano.lg.jp/doboku/kanri/gikan/system/cals/calseb/densikuji.htm
同額入札の業者同士での入札書提出の順番で番号つけたり
業者が３桁のくじ番号を自分でつけたりしてるけど
役所側の入札書受信時刻（のミリ秒）を制御できないから、業者が結託しても手が出せない

ただし役所が業者とグルになって受信時刻を調整していたとすると・・・さすがに無理か

どの業者に偏ったんだろうな
ttp://www.city.hiroshima.lg.jp/www/contents/0000000000000/1266570901682/

>>155
どうせ談合した額が百万円とか同じ金額が多いんでしょ
合計金額が同じだと同じ業者が請け負う馬鹿システム
合計金額が同じ回数が多ければ多いほど偏っていく

談合防止のために役所しか知りえないワードを連結すべきだったんじゃないか
まあ役所の担当もグルなら無意味だけど

>>163
それは充分有り得る話だな

>>161
それが合理的な仕様だよなｗ
役所がグルになるくらいなら、入札後のDB書き換えれば終わりなんだし

この広島市の仕様は、>>78みたいな馬鹿な要件だったのか、それとも狙ってやった黒い仕様なのかのどっちかだと思う

まあでもなんでもいいから乱数要素加えないとくじにならないような気がする。

官僚って無駄な電子化を好むよね
取捨選択をしろよ

一つの市へ入札してくる業者は限られているからねぇ

1 ○○建設株式会社 70,940,131円
2 株式会社○○工務店 70,940,131円
3 株式会社○○組 70,940,131円
4 ○○建設株式会社 70,940,131円
5 有限会社○○組 70,940,131円
･･･
16 ○○建設株式会社 70,940,131円決定くじ
17 ○○建設株式会社 70,940,131円

まあこんな入札結果ばっかりなのでいまさら談合も糞もないけど

その長野県ではこんなことが
脱談合の先進地域・長野県で「くじ引き落札」が多発の異常
http://diamond.jp/articles/-/13798
「天の声」の官製談合をやめたはいいが
業者の見積もり能力が正確すぎるせいで
最低制限価格ぴったりの同額入札が多発し
ほとんど電子くじ引き入札になってるという記事

>>163
さすがに入札参加全業者が談合加担は考えにくいなあ

つか、何で地方自治体毎に独自で入札システム設計してゼロから作ってるんだよって話だよな

こんなの国が仕様決めてでかいサーバ１個立てて、みんなそれを使えよ
国がやってくれない、ってなら、せめて県単位で統一しろよ
税金の無駄

>35
私は応え（リアクション）を求めているんじゃなくて答え（アンサー）を求めているんですよ。ok

>>170
なんっすか？これｗ

ジャンボ宝くじみたいに、
回ってるルーレットに矢売って決めろよ

もう、それでいいじゃん…

なんでNECなんか生き残ってんだろうな
桁違いの天下り取ってるんだろうな

NEC富士通
もう終わってるわ

>>173
基本は共通、あと細部を各県がカスタマイズ
ttp://www.cals.jacic.or.jp/tender/

>>163
案件番号と合計金額あるからSHA-1でごっそり結果は変わるよ
普通に運用したらそこまで偏らないだろね

これは全業者結託してる。市の入札なんて限られてるだろうし
そんでNECは業者側からもヒアリングしたんじゃないかな
システムの利用者の要望も聞くのは間違ってない

んで透明性高く談合できるシステムが出来上がったとｗ

>>173
どこも同じだと仮定して・・・
大手のSIerは地方に子会社なり事業所なりが点在しててそれぞれが自治体などから受注して飯の種にしてるからな
Fは再編されたみたいでFから仕事貰ってた孫受けがアップアップしてるけど

本来ならこんなもん１システムですむわな

ハッシュに頼りすぎて有利な業者番号があっただけだろ？

>>39
適正な金額を探すのは実時間では無理です

>>173
そこらへんは悩ましいところなんだよな

個別にやらせてもグダグダだし、集中してやると巨大利権化するし

やれやれって感じ

>>3
これウェブの基本なのに
NECってこの程度しか技術力ないのかよ・・・

>>30
わき腹は１番鍛えられないところやからな。肉が薄いし治りにくいわな
僕を忘れたのかな
それが一番かもしれんなあ

>>179
そうだったのか。
でもカスタマイズ要らなくね？
カスタマイズなければWebサービス１個で済むだろうに・・・

>>29
塩無いの？
2chのトリップじゃないんだからさあ

>>180
案件番号あるのか
じゃあやっぱり偏った業者が自分が有利な談合額へ誘導したっぽいな

>>79
「東京トレンドプロデュース」の最終審査を通過した4店舗が出店する「東京トレンドプロデュースゾー

>>126
期待外れの結果に不満を持ったからだ

>>173
それやったらNECや富士通が儲からないもん

業者番号に入札時間差分など
長い文字列を加えればよかったんや

>>183
簡単だよ、SHA-1が衝突する結果作ろうってんじゃなくて、SHA-1の結果の並び順変えればいいだけだもの
だいたい業者数と同じくらい試行すればすぐ見つかるよ、そんなもんほぼ一瞬だ

このスレ、乱数とハッシュの違いを理解してないアホ多すぎだろ。
乱数とハッシュは根本的に全く別物。

だからハッシュ計算に乱数調整がどうのこうのというのは意味がわかってない奴の知ったかぶりだな。
ハッシュは入力が同じなら常に同じ値が返される一方向関数であって、乱数なんてそもそも使って無い。

少しは勉強してからそれらしいこと言えよ

またNECかよ
NEC最近悪い意味で目立ちすぎだろ、技術もないのにシステム作るなよ

同額での応札がそんなに多いことの方が問題だろｗｗ

日本の理系は優秀（）とか言ってた奴はどうするのｗｗｗｗｗｗｗｗｗ

こういうシステムは空気読まないとダメなんだよ

おまいら入札って簡単に言うが、受注できなきゃ業者潰れるからな
人が死ぬんだよ。自殺すんの
サイコロで決めました、だけで決めたら市の人間だって命危ういから
だから、IT土建屋は空気読んで黒いシステム組まないとなｗｗ

仕様決めたのは文系だろうな
俺も文系なのであんま言いたくないが・・・

>>8
「小数点」を数えるのか
理系文系関係なしにアホそうで呆れる

>>193
確かに上位桁だけ有利にしようとするなら一瞬だな。

でも結局他の入札参加者の価格も知らなければ意味が無いから、他の入札参加者の価格が互いに秘密であるという条件下においては、(脆弱ではあるが)問題は無いように見えるな

同額って談合かよ

>>197
外注してて実際にプログラム書いたのがインド人なら無問題

>>8
詳しく調査しなければ分からない」と説明する
電子くじを２０１１年９月に導入

>>135,187
当面は業者がくじを引く従来の方式で決める
一方で「偶然偏った結果なのか

>>198
電子くじで透明性をアピールしようとして失敗したでござるの巻

そもそも談合してるのであれば、もはやくじがどうこうって話ではないよな

>>194
くじ番号基準値に乱数を連結するだけで業者には操作不能になるんだけどなあ。

>>3
クソワロタ

- 乱数生成器：MersenneTwister(mt19937ar)
- ハッシュ関数：SHA512

１．乱数生成器を624x4バイトのシードで初期化
※牌譜にシードを記録
２．局の開始毎に288x4バイトの乱数列を使用
３．それをハッシュ関数へ
４．ハッシュ化したビット列を使用して牌山を攪拌
参考）乱数種と山生成

とても大雑把に上の方法を説明すると、牌の予測をしたり特定の局面になったときに特定の牌を変更するような操作は
インターネットのセキュリティーを破る程度に難しいということになります。

とあるネトマの牌山生成方法らしいけど何が言いたいかさっぱり分からん
実際にこれを採用してたら運営が言うように特定の局面で特定の牌に変更するのは無理なの？
詳しい人説明お願いします

たぶん誰も気づいてないけどNEC最近ヤバくね？

>複数の業者の応札額が同じだった場合
>当たりが「特定の業者に偏っている疑いがある」
ネット談合とでも表現すればいいのか

>>207
確かに、このシステムが脆弱である最大の理由は乱数を一切いれてないことだと俺も思う。
仕様設計者がなんで乱数じゃなくてハッシュを使いたかったのかは非常に気になる。
もし、特に理由なくハッシュを使ってみたってことなら、つまりそいつはアホだったってことだろうな。

>>210
誰でも気がついてるだろ。。
既に小売店の店頭には製品がないし、ビジネス用途でもNEC製品を見ることはほぼ無い。

日本人として、技術力の低下が恥ずかしい。

富士通使えよ

業者すべてが結託していて事前に合計金額がわかっている場合、業者はあらかじめハッシュを算出出来るので何処が当選するか予測できる。
当選させたい業者がある場合は他の業者の入札金額を調整してハッシュ値の操作が可能。

でも全業者結託してるのならばこんなことしなくても他の業者の入札価格上げるだけで済むよね。

落札させたい業者があれば

>>212
透明性を確保するという機能要件があったんだろ

>>210
まさかそれに気がつくとは…
お前は天才か

>>217
乱数のアルゴリズムとそのシード値の決め方さえ公開していれば、
透明性なんていくらでも担保できるはずだが、受注側がバカだったのか、
もしくは発注側がそれを理解してなかったんだろうな。。

>>212
いやあ、乱数は使ってたけど使い方間違っただけだろ。
「rand()は危険（ｷﾘﾂ」っていいながらライブラリ検証もしない
知ったかぶりにありがちな「標準乱数は危険だから自力で組みました」系の。

>>209
・乱数
　初期値に従い、広大周期で1～65535内の数値をランダムで取得
・ハッシュ関数（SHA-1）
　入力に従った一意の 160bit の値を取得

今回のシステムは、入力が分かってればハッシュ関数の出力も分かるので
業者が結託すると、合計金額を調整して、受注業者を調整できる

>>219
> 乱数のアルゴリズムとそのシード値の決め方さえ公開していれば、
> 透明性なんていくらでも担保できるはずだが

乱数の意味ねえだろ。

もうアメリカの企業に依頼しろよ

セブンのATMは優秀なのにな
NECはクライアントによって手抜きするから会社が危なくなるんだよ

NECは何やってもダメだな
ほんとクズだわ

>>222
それって今の乱数技術全てを否定してるぞ。

>>209
実際にその通りに実装してそれ以外の要素が一切ないのならその通り。
重要なのは乱数の強度や脆弱性よりも、
「その通りに正しく実装されているか」

>>224
NTTの下請けで成長した半官半民みたいな企業が
まともなわけないだろｗ

言われてみれば、N503iS以降NECの製品見たことないわ

>>54,74
大型トラックと衝突した
3/7発売（3/6店頭入荷）「キルミーベイベー1巻」Blu-ray or DVD

>>91,114
サンジゲンは
市教委が調査

NECのパッケージを使ってる市町村涙目

>>71のリンク見たがハッシュ値を大小比較って何考えとるんだ
本来そういう用途じゃねえしクジでもない
完全に決定的じゃねーか

MAX_VALUEの上位1%ぐらいに入るように金額をいじっとけば常勝だろ

ちなみにハードウェア乱数発生器を使った乱数生成には
Linuxの/dev/random
がある

昔の乱数初期化のためにスペースキーを押して下さいレベル以外w

>>227

int HashHenkan(業者番号, 案件番号, 入札金額, 合計金額, 受付日) {
　　　return 業者番号;
}

システムだけなら特に問題ないよう見えるが

>>229
蛍光灯が安売りしてたのみたことある

>>222
種が同じなら同じ順序で同じ値を吐き出す、ソレが疑似乱数発生器だろ
MTだろうがrand()関数だろうが同じ事

ただrand関数は吐く値が偏ってたり周期が短かったりするのが問題なの

>>226
アルゴリズムとシードがわかれば生成される数列が計算できる
だろって話だが、
ひょっとして「シード生成法は公開するが、その方法は人為的には事実上操作不可能な方法とする」って前提の話？

>>209
それ天鳳有料版だっけ
いまそのレスみて久々に無料版の東喰赤速やったら
東一局で上家が下家から大三元アガって終了ｗｗｗ
やるなら無料版もやれっての

>>209は（有料版では）ツモを途中で操作せず
メルセンヌツイスターという有名な乱数生成アルゴリズムで作った乱数列を使って
最初に牌山を生成しています、という説明
乱数列を作るときに使う乱数の種は終局後に公開しているから
その気になれば誰でも種から乱数列→牌山を自分で計算して
対局での牌山が確かにその種から生成された乱数によって組まれていたことを検証できる

SHA-512という暗号学的ハッシュ関数は本当はいらないはずだが
なんで使ってるのかは不明

今のところ全業者が結託して予め合計金額を知りうる場合にハッシュを操作できるという脆弱性がある。

SHA-1の危胎化はあまり関係がない。
(でも今後使用しない方が良い。)

って感じか。

>>222
あと暗号化技術全般に言えることだが、アルゴリズムを公開してもなお安全性が
担保されるのが正しい技術だよ。

乱数の例で言えば、シード値を常に変化し続ける値(最もシンプルなところでは
OSが起動してからの経過時間(ナノ秒単位)とか、コンピュータの温度(0.001度単位)
とか)にしておけば、再現性による透明性の担保とランダム性の両方が確保できる。

草いスレだな

なにか市でも操作できず公知な乱数要素を加えるべきだね。

為替レートの末尾1ケタとか。

>>240
全業者が結託できるならクジなんか引かないで落札するんじゃないの？
やるとしたら談合隠すためか？

>>216
特定業者だけ価格低くしたら談合もろバレじゃん
同額入札でくじなら一見透明性高く公正に見えるだろ
そこがこのシステムのキモなの

>>243
宝くじシステムが一番いい気がする。

>>244
一見くじで公正ですって見えるところがキモだな。
それだけっていえばそれだけだが。

わざわざドヤ顔でこんな説明しとる
http://www.city.hiroshima.lg.jp/www/contents/0000000000000/1322705847958/index.html

ということは、発注側の仕様かこれ？

これ5年以上やってんだよなぁ

>>243
おらぁ素人だけどよ、プログラマーというかシステム作る人間は
凄いよなぁー

しかしクジ引きって入札金額が同額の場合に必要になるんでそ
広島の制度がどんなもんかしらんけど、1円単位まで見るとしたら
その時点で談合だよねぇ

>>3
これもうわざとだろ

これ、数学の話っていうよりも、
893の話じゃねーの。

>>221
複数の業者の応札額が同じだった場合に落札者を決める電子くじの
うち67％の２１７件の入札で複数業者が同額で応札し
一方で「偶然偏った結果なのか

>>244
落札結果見てみると>>170みたいなのばっかだよ
全業者結託してないとはとても思えないｗ

>>43,67
市が電子くじの使用を中止していたことが24日
「（当たる）番号が推測できる可能性がある」

>>114,193
不正やシステム上の不具合があるのかを含め
「（当たる）番号が推測できる可能性がある」

>>248
これ見たら市の上側は公正だと判断するんだろな
システムのデモでもデータがそれなりならランダム選択してるように見えるだろう
だけど担当部署は完全ランダムを望んでなくて、ちゃんと工作できるように
NECに"ヒアリング"で伝えたんだろｗｗ

>>225
年齢や性別などのほか勤務先や顔写真などの情報も登録するが

>>246
同ワークショップでは
そもそも Retina Display のようなピクセル密度の高い液晶は

BINGOで決めたらよくね？

そういえばNECってパソコン関係でも全然見かけなくなったな

ここでお前らが議論してるように
アルゴリズムをクラックしたわけねーだろ。
どうせ担当者をソーシャルやってバックドアを入手しただけ。
ITオタクがどれだけ頭を使っても一番弱いところを突けば一発なんだよ。

>>254
現状の公共事業は修羅の巷だからな
競合他社が積算で正確な設計金額を読んでると想定した上で赤字切って応札する状況
空気の読めないド素人業者がぶっちぎった赤字額で特攻することもままある

役所が乱数を生成してそれで当選者を決めるのが
それも、従来の入札で、業者にも役所にも操作できないよう
物理的にクジを混ぜていたのと同じように
業者にも役所にも手を出せない物理乱数生成器で乱数を発生させて
それで当選者を決めるのが
一番シンプルで公平だと思う

でも「本当にその乱数生成器を正しく使って乱数を生成したのか」
「本当にその乱数を使って当選者を決めたのか」を
参加者がオンラインで検証するのが面倒くさい（できるはずだけど）

だから役所側が何も乱数を作らない仕組みになってるんだろうか？

不正を監視するのに一番いい方法は、
2chに結果のスレを立てることだと思うw

>>239
短時間で予測できないように生成時間を稼ぐためじゃね？

>>262
単に役所側が無知なだけだろ。

広島「県」の電子くじ
https://chotatsu.pref.hiroshima.lg.jp/rule/denshikuzi.html

NECの技術力の無さは異常

ＮＥＣの技術力ｗ

透明性にこだわりすぎて「くじ」でなくなっているのが問題だな。

思いついた奴は俺天才とでも思ってるかもしれんが。

>>263
ここで物好きが調査してるし、人件費かけないで
このスレコピペすりゃいいと思うよ　マジで

うそだーーーNECの商品はゴミみたいなデザインだけど技術だけはあると思ってたのにーーー

10件ぐらい見てみたけど広島市レベルでシンプルな電子くじって見当たらないなぁ

>>271
キモは当選業者決定の方法にあるのであってNECの技術力は関係ない。
すべてフリーウェアでできるくらいのシステム

建物系は談合ないと色々と不味いから

こういう地味な不正されるくらいなら、思い切って談合してやれ
そのかわり税金は無駄使いすんな

そもそも競争がない時点でダメだっていう

>>3
＞HTMLソースの中に見えてはいけない最低制限価格がhiddenかなんかで埋めこまれてる奴ｗｗｗ

なんでこんなアホ企業が倒産してないのｗ？

SHA-1（シャ・ワン）で吹くんだがｗ

>>264
乱数シードは対局が終わった後に公開するし
対局中にそれまでの局の牌山や配牌、現在までのツモ牌から
その後の牌山や配牌が予測できるかというと
擬似乱数生成器が安全なら予測はできないはず

・・・あ、メルセンヌツイスターって暗号学的な安全性はなかったか
だとすると、SHA-512は決定性アルゴリズムだから
メルセンヌツイスターの出力段にSHA-512を接続したところで
予測困難性が達成できることはないわけで
やっぱり意味がない気がする

>>278追加
そうか単純に
推測のための一回一回の計算の手間を増やす
時間稼ぎか

>>71
＞ア．案件番号、イ．業者番号、ウ．入札者すべての入札額の合計金額を連結した文字列

ウがどんな金額になっても小さくなりやすい値を事前に
総検索で見つけて、ってことなのかな。

参加する業者数、想定される総金額ってのはなんとなく予想が付くだろうし、
数百パターンくらい考えて、その中で確率から金額だしゃいけそうだ。

こんなの単純にランダム関数使えばよかったのに。
メルセンヌツイスタ使えば「ランダム関数はﾌﾞﾝﾌﾟｾｲｶﾞ-」とか言うやつも黙らせるし

>67％の２１７件の入札で複数業者が同額で応札

くじ以前にここをおかしいと思えよ

>221
そうなれば､そうなるやろ

>260
まずは（チームの勝利に）貢献していくことよ

あ、電子くじは去年からなのか

土方なめんなよ

NECボロボロだなｗ

>>280
お前あほだろ
入札なんだから他社より高ければそもそも選定されないだろ
一業者が合計価格を予測しかつ最低価格という話なら、そもそも他社を出し抜いて
最低価格出せるなら、このシステムでくじになることはない

つまり全業者が最低価格で揃えて合計価格は分かってて、
このシステムのくじで"公正に"受注してるだけだ

NECっつってもプログラム組んでるのは時給1000円有れば上等な方の
派遣奴隷だからな。
じゃーNECの社員にやらせりゃ良いかと言えば、そっちはそっちでマネジメント（笑）
しか脳が無い。

日本の中抜き業者を比喩ではなく一度死滅させないと未来は無い。

>>72
だが覚えておくがいいいずれおれはこの手にすべてを握る人間だということをな！！

>>100
シッ！やだっ！

>>124
get使ってたらクエリストリングに見えるだろ

まーそもそも入札で公正にって所に無理が有るとは思うけどな
どーせその自治体周辺の業者って限られてるし
そもそも地元の業者に頼んだ方がカネが戻ってくるから地域振興には良い
進歩の無い談合じゃ駄目だけど、全く相談も無しってのも変だ

>>287
NEC関連の仕事請け負ったりしてるけどさすがにもっと高いわ
ただNEC社員はまじ無能
本当にこの仕様で作る気なのか悩むレベルのを平気で依頼してくる
それでエンドユーザとの打ち合わせとか連れて行かれてもこっちも困る

時給1000円以下なのは中抜きじゃなく直の雇用主の問題だな

これ意識的なサボタージュじゃないの
根っこの方から腐ってきてる気がするわ

>>8
でも文系じゃこのレベルも作れない

295 ：忍法帖【Lv=40,xxxPT】：2012/02/25(土) 19:16:30.45 ID:jyZfJR3a0

ｱﾌｨｯｶｽの糞ｽﾚ乱立対抗ﾆｭｰｽｽﾚage！

>>286
これが全てだろ
談合なしにはハッキングできないよ、この仕様

談合ってそんなにボッコボコにされるほど悪いことか？
なんか一時マスゴミによるヘイト操作に使われてた感じがして違和感がある
税金無駄使い割合からしたら低いほうじゃないのか

アは市から見た変数
イは事前に通知されてるので定数
ウは業者から見た変数

くじの透明性確保しなきゃいけないので再現性のない乱数使ったアルゴリズムは論外
決定性のハッシュ関数使って、当然何使ったか公表しなきゃいけない
アをハッシュ値生成するまで伏せてたり直前に変えると市のくじ操作になるから、実質定数
ウを操作するには業者全体の談合が必要
これ電子クジ発案の時点で真っ黒だろ・・・

生産管理システム入れようと思ってるがNECも検討に入れてる。
止めたほうがいいのかな・・・

>>299
前居た会社で宿泊管理システム入れてたけど、対応悪かったよ
「もうバージョンアップでメンテできなくなる、金くれ」
↓
よくよく聞いてみると、全然そんなことがない

営業の人間のあたりが悪かったんだろうけど、うそはつかれた
俺はｎec大嫌い

こういうのってPGに作らせた方がやすいんじゃね

むしろ意図的以外でどうやったらこんなミスできるのか知りたい。

電子じゃなく普通のくじでなんでやらないんだよ

>>294
いや、文系出身で仕事だけ覚えたって奴のレベルだよ、これ

箱+割り箸×参加者
千円で十分足りるな

SHA-1ってこういう使い方想定したハッシュ関数だっけ？
これだと上位数ビットしかつかわないよな
せめて他に求めたハッシュ値との一致ビット数にするとかすれば良かったんじゃ…