水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 吹田市立図書館、謎の「サイバー攻撃」を受ける?

吹田市立図書館、謎の「サイバー攻撃」を受ける?

2011年9月21日(水曜日)

吹田市立図書館、謎の「サイバー攻撃」を受ける?

公開: 2011年9月25日11時25分頃

librahack方面がまた盛り上がっていますね。吹田市立図書館が謎の「サイバー攻撃」を受けたという話が出ているようで。

(図書館へのサイバー攻撃)

9月16日から2日間ほど、岐阜県を発信ポイントとするサイバー攻撃を吹田市立図書館が受けていました。ポイントは岐阜県になっていましたが、そこが経由地なのか実際の発信地なのかも特定できていないような説明を受けました。1秒間に5回アクセスされるような攻撃だったようですが、それで吹田市立図書館側のサーバがアクセス困難に陥ったのでした。

政治的な意図があってのことではない(愉快犯)だと思いますが、当該期間にアクセスできなかった市民には多大な迷惑が掛かりました。市は警察へ対応を申し出ています。

※(追記);ファイヤーウォールを云々・・・という箇所を削除しました。当該記事は吹田市CIO(情報の最高責任者)から説明を受けた内容でしたが、関係者より事実と違う旨のご指摘を頂戴いたしました。謹んでお詫び申し上げ、当該箇所を削除します。

以上、吹田市政の課題。あれこれ・・・ より

で、この「1秒間に5回アクセスされるような」「政治的な意図があってのことではない(愉快犯)」「攻撃」の正体は何かというと、

これはカーリルからのアクセスのことを言っているのだと思いますが、不正アクセスと言われてしまっているのは残念・・・。図書館とシステム会社との協議を開始予定。 #c4ljp #librahack http://bit.ly/oulqyg

以上、http://twitter.com/ryuuji_y/status/116261892573511682 より

カーリル (calil.jp)のクローラーだったというオチ。

ちなみに問題の図書館のサイトはこちらのようです。

後者が検索の入り口のようですが、こんな表示が出ていますね。

平成23年(2011年)9月14日(水)夕方から、蔵書検索・利用者情報の認証画面等におきまして、

アクセスに時間がかかる、ログインができない等の不具合が発生しておりました。

16日(金)の深夜から17日(土)の未明にかけても不安定な状況が続いておりましたが、

17日(土)夕刻時点では、検索・予約などについて支障なくご利用いただける状態まで回復しております。

ご迷惑をおかけし、大変申し訳ございませんでした。

以上、トップメニュー : 吹田市立図書館 より

「新着図書」の内容を見ると、出版日はあっても図書館に入ったのがいつなのかわからないという、岡崎市立中央図書館と同じ不便さがあるようです。しかしこのサイト、他にも全体的に強烈なインパクトがあります。印象に残ったことをいくつかメモしておきます。

body要素開始タグ

ソースを見るとこんなのが目に飛び込んできます。

<BODY style="font-family:\"MS ゴシック\",\"MS Pゴシック\";">

HTMLの属性値中の引用符を \" でエスケープできると思っているのでしょうか。というか、そもそも外部CSSファイルを読んでいるのになぜbody要素style属性なのかと。

検索画面

検索の画面では検索クエリーをセッションに格納しているらしく、検索結果ページや詳細表示にリンクすることができません。

セッションが無効となっている可能性があります。

TOPページから再処理を行なってください。

exception !! :

A fatal error occurred.

Please contact the system administrator.

日本語と英語とで言っていることがだいぶ違うような気がしますが、それはともかく、このエラー画面のタイトルは「続行不可:iLisfiera」となっています。iLisfieraという名前で検索してみると、富士通のパッケージ製品のようですね。

ちなみに、検索はセッションに依存していますが、Cookieが無効の場合はURLにjsessionidがつくようになっていますので、Cookie無効でも動作はします (それはそれで問題がある可能性もありますが)。

詳細画面で「NDC分類」をクリックしてから標準検索の画面に行くと、なぜかタイトル入力欄に「X1813」などの値がフィルされます。これはおそらくバグでしょう。検索クエリーをセッションに格納していることと関係があるのかもしれません。

クエリからlangの値を取り除くと……

いくつかの画面では、URLにlang=jaなどのクエリが含まれています。

このURLの末尾を1文字削ると……。

画面IDやフレーズのIDのようなものが表示されます。

先に引用したおわび表示だけはそのまま表示されているので、これはハードコードされているようです。実際、英語版ページでもこの部分は日本語のまま表示されています。

ログイン画面のメッセージ

ログイン画面を見るとこんな記述が。

セキュリティ保護のため、パスワードは半角英数字8桁~12桁で設定をしてください。

以上、認証:吹田市立図書館 より

いや、これ、パスワードを設定する画面ではなくて、既に設定されているパスワードを入力する画面ですよね。ここでこんな指示をされても困ると思いますが……。お知らせを見るとこう書いてあります。

平成23年(2011年)9月までにパスワード登録をされた方へ  ≪パスワード変更のお願い≫

セキュリティ保護のため、初期値パスワード(数字6桁)や7桁以下のパスワードをお使いの方は、任意の8桁~12桁(半角英数字)のパスワードに変更してお使いくださいますようお願いします。

なにかこの関係のことを伝えたかったのだろうとは思いますが。

フッタ

そしてフッタにはこんな表記。

Copyright (C) 2008 FUJITSU

システム会社のコピーライトが表示されているのは珍しいですね。ふつうは、サービス提供者は図書館になると思うのですが、iLisfieraは特殊な形で提供されているのかもしれません。

まあなんというか、全体的にだいぶ残念な感じがしますね。

関連する話題: Web / セキュリティ / 岡崎市立中央図書館事件 / librahack

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト