水無月ばけらのえび日記

岡崎市立中央図書館、個人情報も流出

公開: 2010年10月9日11時55分頃

Twitter方面で、岡崎市と三菱電機インフォメーションシステムズが記者会見を開くらしい (twitter.com)という情報が流れていましたが、その内容はなんと……。

• 岡崎市立中央図書館：利用者情報１６３人流出 (mainichi.jp)
• 本を返さない人のリスト、全国に流出　愛知の図書館から (www.asahi.com)
• 岡崎中央図書館で情報流出　開発時に三菱電機系ミス (sankei.jp.msn.com)

個人情報流出でしたか。

どうも、高木さんが「Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6) (takagi-hiromitsu.jp)」で報告していた匿名FTPで公開されていたファイル群、あの中になぜか岡崎市立中央図書館の個人情報を含んだファイルが含まれていたようですね。しかも、よりによって延滞者のリストが。

ということは、以下の3ステップで漏洩が起きたということになりそうですが……。

• 岡崎の延滞者リストが、岡崎のWebサーバ上に、他のプログラムファイルなどと一緒に置かれた
• その延滞者リストが、なぜかそのまま他の図書館のWebサーバに置かれた
• そのWebサーバで匿名FTPが有効になり、ファイルが公開された

首を傾げるようなことばかりです。

Webサーバ上で一時ファイルを作成することはありますが、延滞情報という機微な個人情報を置いたままにしておくというのはなかなか考えにくいことです。とはいえ、これは単なる作業時のミスだと考えられるでしょう。

問題はその後です。このファイルが、なぜ他の図書館のサーバに置かれたのでしょうか。他の図書館に岡崎と同じシステムを導入した……ということなのでしょうが、普通は本番環境からファイルをコピーしてくることは考えられません。しかし、その考えられないことを実際にやっていたとしか思えないわけです。どういう状況でこのような事になったのか、本番のファイルを吸い出して他の市に置くということを岡崎市は了承していたのか、疑問が尽きません。

そしてとどめの匿名FTP。パスワードを入れるのが面倒なら手元のFTPクライアントにパスワードを記憶させておけば良いだけで、匿名アクセスを許可する必要は全くないと思いますが……。

※そもそもFTP自体が危険といわれていますが、それでも匿名FTPとパスワードつきのFTPでは全く意味が違いますので。

謎が多いですね。

• 「岡崎市立中央図書館、個人情報も流出」にコメントを書く

関連する話題: セキュリティ / 岡崎市立中央図書館事件 / librahack