最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆ユニットコム、不正アクセスを受けて通販イト2店の顧客情報25万件が流出(2010/09/28) | メイン | ◆直輸入無線機器にご用心、「技適マーク」のない製品を使うと電波法違反(2010/10/01) »

2010/10/01

◆岡崎市・えびの市立図書館の利用者情報流出~原因はシステム委託先のミス(2010/10/01)

 岡崎市立中央図書館(愛知県岡崎市)と、えびの市民図書館の利用者の個人情報が、インターネット上に流出していたことがわかった。両図書館は、三菱電機インフォメーションシステムズ(MDIS、本社:東京都港区)が開発・販売する図書館システムを使用しており、同システムの保守・管理は千代田興産(本社:福岡市中央区)が行っているが、情報流出は両社のミスによるものだった。

 岡崎市立中央図書館からは、2005年6月時点の本の未返却者リスト159名分と、予約取置本リスト4名分が流出。えびの市民図書館からは、昨年1月時点の未返却者リスト116名分が流出している。リストには、利用者の氏名、年齢、電話番号、書名などが記載されていた。

 えびの市のデータは同市のサーバーから流出したものだったが、岡崎市のデータは、MDISが他の37の図書館に納入したシステムに誤って混入したものだった。この混入された利用者情報が、えびの市民図書館と篠栗町立図書館(福岡県篠栗町)の2つの図書館システムからインターネット上に流出した。

 流出元となった2つの図書館システムの保守・管理を行っている千代田興産は、今年7月下旬から8月上旬にかけ、これらのサーバーのFTP設定を、パスワードなしで誰でも自由に読み書きできる匿名FTP(Anonymous FTP)の状態で運用していた。このため、システムに混入していた岡崎市立中央図書館のデータが、両方のサーバーから流出する結果となった。実際に、それぞれから数人がデータをダウンロードしていたという。

●図書館利用者情報流出の背景

・図書館利用者が「業務妨害」容疑で逮捕
 ことの発端は、今年5月、岡崎市立中央図書館にアクセスを繰り返したとして、同図書館を利用していた男性が業務妨害容疑で逮捕されたことに始まる。男性は、図書館のシステムが使いにくかったため、自分専用のシステムを作ろうと思い、毎秒1回程度のアクセスを繰り返すプログラムを作って図書館のサーバーから蔵書情報を取得していた。これが図書館のシステムダウンを引き起こしたというのが、男性の容疑だった。
 毎秒1回程度のアクセスは、手動でのアクセスよりも高速ではあるが、検索エンジンのクローラーやブラウザの先読み機能よりもずっと穏やかなものである。ネットでは、それでダウンするシステムのほうがおかしいのではと指摘する声が多かった。男性は20日間こう留された後、不起訴(起訴猶予処分)となった。男性は事の顛末と疑問をブログに綴っており、ネット上では図書館のシステム側の問題を追及する動きが活発化していった。

・匿名FTPシステムの発見~図書館システムの不具合が明らかに
 そうしたなか、今回の利用者情報の直接の流出元となった、2つの匿名FTPのシステムが発見された。この匿名FTPから、問題視されていた図書館システムがダウンロードされ、複数の専門家がプログラムを分析した。その結果、図書館のシステムダウンを引き起こした原因は図書館システム側の不具合にあり、男性のプログラムの問題ではないことが明らかにされた。この一連の経緯については、8月下旬の朝日新聞に掲載されている。
 朝日新聞は匿名FTPの問題についても取り上げており、報道を受けた篠栗町は、「当ホームページ内には元々個人情報のデータは含まれておりませんので、個人情報の流出はありません」というコメントをホームページに掲載していた。町としては、そこに別の自治体(岡崎市)の個人情報が混入しているなど想定外のことだったろう。しかし、システムの管理者側もそれに気付かなかったのだろうか。

・匿名FTPの流出物から利用者情報を発見~流出事件公表へ
 それから1か月後の9月25日、図書館事件を追及していた方のひとりが、匿名FTPの流出物の中から利用者情報が見つかったことをTwitterでつぶやいた。27日、岡崎市にシステム管理業者から情報流出の報告があり、市とMDISは28日、記者会見を開いて流出事実を公表した。えびの市民図書館の利用者情報も同時に流出し、同時期に発見されている。発見者は報道関係に通報していたというが、MDISが28日付で出したリリースでは、えびの市については触れていない。同日の宮崎放送やNHK宮崎放送局のローカルニュースが、それを伝えていた。

(2010/10/01 ネットセキュリティニュース)

■図書館利用者情報の流出がありました。(岡崎市)
http://www.city.okazaki.aichi.jp/appli/06/wp06_view.asp?hdnBangou=9621
■弊社図書館システムにおける個人情報の混入及び流出について(三菱電機インフォメーションシステムズ)
http://www.mdis.co.jp/news/press/2010/0928.html
■子会社の個人情報漏洩について(三菱電機)
http://www.mitsubishielectric.co.jp/oshirase/20100928/

投稿情報: 10:49 |

|