パスワードを忘れた? アカウント作成
789877 story
バグ

愛媛県の電子入札システム、最低制限価格がソースに丸見え 92

ストーリー by hylom
なぜソースに書く必要があったのだろう? 部門より
あるAnonymous Coward 曰く、

愛媛県は12日、県発注の土木工事などに導入している電子入札システムについて、入札前に最低制限価格が見えてしまう不具合があった、と発表した(asahi.comの記事読売新聞の記事)。

このシステムは2007年4月に導入されたもので、開発元はNEC。今月9日の入札で、最低制限価格と同額の入札があったことから応札した業者に確認したところ、ソース上に最低制限価格が見えていることが判明したという。問題発覚を受け、県は今後一ヶ月に予定していた入札を中止した。

元記事だと若干わかりづらいが、どうもこのシステムはWebシステムで、値がHTMLコードに書かれていたようである。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2011年09月13日 19時06分 (#2019098)

    この「バグ」は持ち回りで落札する予定の業者だけにあらかじめ知らされてたんじゃないの。
    知らされていない上に空気を読まない人が見つけてしまったと。あるいはハブにされることが決まったのでいかにも偶然見つけたふりをしてバラしたか。

    • by Anonymous Coward on 2011年09月14日 0時42分 (#2019199)

      この「バグ」は持ち回りで落札する予定の業者だけにあらかじめ知らされてたんじゃないの。
      知らされていない上に空気を読まない人が見つけてしまったと。あるいはハブにされることが決まったのでいかにも偶然見つけたふりをしてバラしたか。

      間違いないでしょうな
      つーか公正取引委員会もグルでしょ?

      うちの顧客の、工務店の社長もグチってましたよ
      「最低価格の数千円~微小万円を入札してる業者がいるのはおかしい」
      「それだけでも既におかしいのに、入札が決まるのは、いつもいつもそういうきわどい入札を実行できてるゼネコンの○○とか○○だけだ」
      「いつもスレスレなんだよ? いっつもスレスレ」
      「最低価格より下になったり、大幅にズレてたりも絶対しないんだ」
      「あんなスレスレの金額を毎回予想できるなんて、おまえさん考えられる?」
      とね

      例え中学校の選挙管理委員会だってあやしむよ
      なのに実際には、公正取引だと認められてるんだから、相当の袖の下が入ってるんでしょ?

      親コメント
      • by Anonymous Coward on 2011年09月14日 1時36分 (#2019210)
        最低制限価格の存在そのものが新参排除の仕組みだしな。
        低価格で受注して品質落としたり下請けイジめたりして利益出すのがマズいとしても、そんなの検収さえしっかりすれば後は労基署が心配すること。
        普段は縦割りなのに、こゆ問題だけ入札制度弄って改善だなんてちゃんちゃらおかしい。
        親コメント
  • 4年半も知られていなかったわけはないでしょ。
  • by Anonymous Coward on 2011年09月14日 0時29分 (#2019193)

    自治体によっては、最低制限価格を公開しているところもあるようで、愛媛では、2006年度まで最低制限価格を事前公表していたようです。2007年度の納入と同時に制度が変わったため、変更したが漏れがあったというのが真相っぽいですね。

    pmakino @ockeghem @Ryuta_M ehime-np.co.jp/news/local/201… によると「最低制限価格などを入札後の公表に改めた2007年度以降」とあるので、2006年度までは愛媛県自身が事前公表する仕様としていたようです RT htn.to/vHw2A [twitter.com]

    • 電子入札システムのマニュアルはIE5画面をキャプチャしていたようで、システムの開発は古い。
      開発チームはすでにいなくてメンテナンスだけが残っていたが、制度変更直前に仕様変更が来た。
      無事納品したのはいいが、案の定変更漏れが内在していた。そして今頃発覚。

      などと想像してみた。
      他県でも同様なことが起きていないか、事業部長から調査命令が下っているんだろうな。

      親コメント
  • by iwakuralain (33086) on 2011年09月14日 11時11分 (#2019304)

    このシステムが導入されてから
    最低公示価格で落札
    した業者をピックアップしたほうがいいんじゃないかな。

    # でもこれって毎回HTMLに公示価格を書き直してたということなのか?
    # それとも公示価格を設定するとそういうソースが吐き出されていたのか?
    # でも今回あっさり喋ってしまったという事は何か裏があるんじゃないかと勘ぐってしまう。

  • 社内には迷惑をかけてもいいけど、取引先には――もっとお金をかけて欲しいよね!

    #「こんなやっすい金額でなんで俺様がやんだよバカ営業」と偉そうに言いながら、バグだらけのPGをこさえる新人は多いはず。
  • by Anonymous Coward on 2011年09月13日 21時29分 (#2019147)

    まぁ、最低金額を非公表と言いつつ記載していた訳で、
    役所の人間のも責任が問われるわけですよね。

    そもそも
    入札システムなんてそんなに特徴がある訳でもないのに
    パッケージを活用しない発注者も悪いような。。。。

  • by asedaisuke (33793) on 2011年09月13日 23時29分 (#2019184)
    ちなみに、兵庫県の入札システムも同じじゃないですかねえ。全国中、結構使われているような記憶があるような、ないような。

    近所の工務店で難しいから教えてと言われて、Javaはバージョン指定で入れろとか、Internet Explorerは古いままで使えとか、入札できるようにするまで、イライラしながら準備しました。
  • コードを書いた人が「最低制限価格」がなにかを知らないけれども、仕様書どおりに作ったらこうなったという可能性はないか?

  • この業者はターイホされちゃうの?
  • by Anonymous Coward on 2011年09月13日 18時55分 (#2019090)

    >どうもこのシステムはWebシステムで、値がHTMLコードに書かれていたようである。
    どれだけの素人が開発したシステム?
    でも開発元はNEC?
    下請けの下請けの下請けの下請けあたりが開発したシステムを大本の親受けのNECがシステムの検証せずにリリースしちゃったって事か?

    • Re:素人? (スコア:4, すばらしい洞察)

      by Anonymous Coward on 2011年09月13日 19時01分 (#2019095)

      いえいえ、下請けよりNさん本体の社員の方がずっと素人ということもよくありますよね。

      親コメント
      • by sumeshi0206 (12305) on 2011年09月13日 20時18分 (#2019118) 日記

        Nさんに限らず元請けが素人ってのはよくある事だとは思いますが
        当然今回は作った人が素人なんだから下請けがシロウトってことだよね。
        責任はどこがとるのだろう?

        …にしてもHTMLに直接ビジネスロジック書いたのだろうか?一旦サーバに飛ばすとレスポンス悪いから全部Javascriptで書けと言われたとか?
        実は入札業者が裏から手まわしてわかるようにしとけとか言われて…みたいな?

        親コメント
        • by Anonymous Coward on 2011年09月13日 20時51分 (#2019134)

          4年前に納入したシステムなら検収や瑕疵期間なんかもとっくに終わってるだろうし、そういう意味ではもう開発元に責任はない。
          契約上は気づかなかった愛媛県(の受け入れ責任者)が悪いことになると思う。
          たぶん、今回も愛媛県がNに修正費用を払ってるんじゃない?

          ただ、ユーザーにこういう内部的なことの検証が出来るかって言うと難しいだろうから、そう考えると(下請けに作らせたなら)元請側のトップであるNが、下請けからの受け入れ時にちゃんと検証すべきだった。
          もちろん下請けや実際に作った人も悪いけど、最終的に一番悪いのは誰かと聞かれたらそれにOKだしたNだろう。

          # 気づけばN下請け暦8年ぐらいなのでAC
          # 試験仕様書には拘るけど、実際に画面とかチェックしてるイメージが無い。

          親コメント
        • by Meth610 (31617) on 2011年09月13日 22時09分 (#2019161)

          http://el.jibun.atmarkit.co.jp/pressenter/2011/05/1-17a8.html [atmarkit.co.jp]
          これに出てくるエースシステムみたいなのが本当にあるのか……

          親コメント
          • by sumeshi0206 (12305) on 2011年09月14日 15時08分 (#2019477) 日記

            人形使いの話は毎週楽しみに読ませてもらっています^^
            つくり話なので多少誇張はあるかもしれないけどあんなもんですよ。
            特にVBでできたシステムからWebにリプレースするときなんて酷いもんです。未だにね。
            #HTML5が普通になったらVB並、否それ以上の操作性も簡単に実現できそうですが。

            あとこの入札のシステムって何で作ったんだろう?JavaだとJSPでゴリゴリ書くから直接HTMLに書くなんて発想はいくら初心者でもしにくい。
            VisualStudioみたいのだとマウスで操作してなんとなく画面が出来上がってしまうからこういうことになっちゃうのかもしれないね?吐かれるソースもIEベタベタの無駄が多い酷い物だし。

            親コメント
    • ワザとだったりして?

      NECが入札するときに、有利に入札するためのバックドア・・・にしてはレベルが低いけど・・・なのかもよ?

      親コメント
      • by Anonymous Coward on 2011年09月14日 1時34分 (#2019209)

        ワザとに一票。
        プログラマにちゃんとした開発期間と報酬を渡さないから、こういう腹いせをされちゃったんじゃないのかなあ。

        親コメント
    • by Anonymous Coward on 2011年09月13日 19時26分 (#2019106)

      本体の担当者は仕様書を書き、実際の作成は出向した協力会社の従業員(NECの社員証を持って)がしています。
      なので担当者の方が素人と言う可能性は有る。

      その昔この協力会社で作業していた時に担当者は何も言わない。
      PC98のコンパイラが無かった時代だけどね。
      珠にデータをバックアップしに来たな。

      親コメント
    • by dicek_t (24691) on 2011年09月13日 20時28分 (#2019126)

      >でも開発元はNEC?
      もうこのへんの初歩的なことすら確認できないほど、社内のガバナンスがとれてないんだろうな。
      そら日本企業は負けるわ。

      親コメント
      • by Anonymous Coward

        日本の場合、開発元と販売元を分けずに開発が別会社や下請けでも親会社がすべてかっさらっていくから仕方がない。

        • by Anonymous Coward

          仕方がない?
          仕組みを変える方法はないんかな?

          • by Anonymous Coward

            直接請け負った会社にメリットがいっぱいな仕組みだからなあ
            こういう事件が立て続けに起きれば
            上の方から仕組みを変えようと重い腰をあげるかもしれないけど

            # さあ、みんな何をすべきかわかったな

            • by Anonymous Coward

              みんなで4年間は瑕疵がばれないコード書くわけね
              高度だなぁ

    • by Anonymous Coward on 2011年09月13日 20時55分 (#2019136)

      ×どうもこのシステムはWebシステムで、値がHTMLコードに書かれていたようである。
      ○どうもこのシステムはWebシステムで、値がHTMLコードに埋め込まれていたようである。

      動的にhtmlを生成するシステムで本来出しちゃいけない情報を吐き出すプログラムを作っちゃったっていうミスは結構ありがちな気がするのだけど

      親コメント
      • by Anonymous Coward on 2011年09月13日 21時37分 (#2019148)

        <input type="hidden" name="minprice" value="100" />
        <input type="submit" value="落札" />
        とかでもやっていたんですかねぇ…

        親コメント
        • by Anonymous Coward on 2011年09月14日 11時31分 (#2019313)

          さらに minprice を設定して submit したら,その minprice に設定されて受け付けてしまう設計だったりしたら大笑い.

          # 某所で使っているシステムが,そういう仕様になっていたので「欠陥だよね」と指摘したのだが,「仕様だ」と主張されて修正してくれずに四苦八苦しているので,あまり笑い事ではないのだが.

          親コメント
        • by Anonymous Coward

          まずこれを思い浮かべるよねぇw
          しかし、ダサすぎる。

    • by Anonymous Coward

      大本の親受けが新人にやらせたのかも。

    • by Anonymous Coward

      開発者が仕様を誤解していて(あるいは文書の要求仕様なんか無くて)、
      下回る値を入力すると、「入札価格が安すぎます」ってJavascriptでエラーでも出すような風に作ってしまい、
      別の誰かが改修したらハードコードの値が残ってしまった、ぐらいならギリギリありえますかね。

      #asahi.comの記事タイトル「透明性あり過ぎた」ってw

      • by Anonymous Coward

        つまりはAJAXを使うべき所をJavaScriptで直接値を書いてしまったと言うこと?
        でもAJAXを使ったところで最近のIEに搭載されている開発者ツールなんかで変数の値を見られたら意味ないよね。

        • by CowardDuck (25674) on 2011年09月13日 22時55分 (#2019178)
          > つまりはAJAXを使うべき所をJavaScriptで直接値を書いてしまったと言うこと?

          うーん。

          なんかちょっと誤解してない?

          元コメの主旨は最低入札価格を下回った場合でも黙って受け付けるべきなのに
          それをチェック機能で弾いてしまうように作ったものをさらに修正したケースについて
          述べてるんだと思うけど。
          親コメント
      • by Anonymous Coward

        上でも指摘されていますけど、
        画面遷移する時に状態を保持するため、
        hiddenにパラメータをずらずらと列挙してたんでしょう‥‥多分。

  • by Anonymous Coward on 2011年09月13日 19時17分 (#2019103)

    元記事にある「システム」とか「設計ミス」とか「プログラムを表示する画面(ソースコード画面)」とか。
    かっこよさげにオトナ用語ちりばめてみましたみたいに馴染まない。

    朝日なんかフロッピー偽造を暴いた人にでも校閲して貰えばいいのに。

    • by Anonymous Coward
      一般向けだからか、逆になんとも分かりづらいですね。。。
      朝日の記事だけ見ると、普通にHTMLソースに値が書かれていたっぽいのですが、読売の記事だと「通知書をパソコンに保存してから開封すると」となっていてまた別の事象に見えます。
      HTMLメールか、一旦ローカルに保存してソースを見る・・・という動作でもさしているのでしょうか?
      できればIT系のメディアによる続報が欲しいところです。
      • by Anonymous Coward on 2011年09月13日 20時21分 (#2019121)

        愛媛県電子入札システムのマニュアルページ( http://ebid.cals-ehime.lg.jp/manual/index.html [cals-ehime.lg.jp] )見ると、アドレスバーを隠していますが、Webブラウザで実装しているようです。画面・基本操作説明のマニュアルにある通知書の保存画面を見ると、XMLファイルでセーブする機能があるようです。

        親コメント
        • 読売の記事と画面(P19)をあわせて考えると、今回の件は
          「余計な値をHTMLコードに埋め込んでしまった」
          という問題ではなく、ひょっとしたら
          「見せちゃいけないオブジェクトをXMLにシリアライズ [atmarkit.co.jp]してダウンロードさせた」
          という問題ではという気がしてきました。

          それなら・・・まあどっちにしろダメダメですが(--
          XMLのフォーマットを意識する必要がないので、中身まで気が回らなかったのかもしれません。

  • by Anonymous Coward on 2011年09月13日 21時10分 (#2019143)

    タイトルの通りなんだけど、昔コード書いてたとしても1行づつコードなんて読まない。

    問題はパッケージにして他にも売ったりしてないかだよね。

  • by Anonymous Coward on 2011年09月13日 21時29分 (#2019146)

    受注業者と結託してとかいろいろコメントはあるでしょうが、
    単なるマイナス3σの事例でしょう。
    Webシステムが一般化するにつけ、こういう事故も出てくるということで。

  • by Anonymous Coward on 2011年09月13日 22時49分 (#2019177)

    流石は日本。
    ウィキリークスなんて作らなくても、駄々漏れやぁ。

typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...