水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2010年のえび日記 > 2010年9月 > 2010年9月28日(火曜日)

2010年9月28日(火曜日)

岡崎市立中央図書館、個人情報も流出

公開: 2010年10月9日11時55分頃

Twitter方面で、岡崎市と三菱電機インフォメーションシステムズが記者会見を開くらしい (twitter.com)という情報が流れていましたが、その内容はなんと……。

個人情報流出でしたか。

どうも、高木さんが「Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6) (takagi-hiromitsu.jp)」で報告していた匿名FTPで公開されていたファイル群、あの中になぜか岡崎市立中央図書館の個人情報を含んだファイルが含まれていたようですね。しかも、よりによって延滞者のリストが。

ということは、以下の3ステップで漏洩が起きたということになりそうですが……。

首を傾げるようなことばかりです。

Webサーバ上で一時ファイルを作成することはありますが、延滞情報という機微な個人情報を置いたままにしておくというのはなかなか考えにくいことです。とはいえ、これは単なる作業時のミスだと考えられるでしょう。

問題はその後です。このファイルが、なぜ他の図書館のサーバに置かれたのでしょうか。他の図書館に岡崎と同じシステムを導入した……ということなのでしょうが、普通は本番環境からファイルをコピーしてくることは考えられません。しかし、その考えられないことを実際にやっていたとしか思えないわけです。どういう状況でこのような事になったのか、本番のファイルを吸い出して他の市に置くということを岡崎市は了承していたのか、疑問が尽きません。

そしてとどめの匿名FTP。パスワードを入れるのが面倒なら手元のFTPクライアントにパスワードを記憶させておけば良いだけで、匿名アクセスを許可する必要は全くないと思いますが……。

※そもそもFTP自体が危険といわれていますが、それでも匿名FTPとパスワードつきのFTPでは全く意味が違いますので。

謎が多いですね。

関連する話題: セキュリティ / 岡崎市立中央図書館事件 / librahack

最近の日記

関わった本など