岡崎市立図書館の事件で、ついにシステム開発会社がlibrahack氏に謝罪へ 126
タレコミ by gedo
gedo 曰く、
11月29日の読売朝刊の記事「サイバー攻撃えん罪も…図書館システム不具合」(概略のみ、詳細は紙面で)によると、問題のシステムを開発した三菱電機インフォメーションシステム(MDIS)が、発端となったクローラーの開発者や岡崎市などの関係者にようやく謝罪することを決めた。
記事では、システムに検索1回に10分間リソースを握りつづける不具合があったこと、2006年に不具合と認識して修正していたといった既報の外に、この件で警察が出てくるに至る経緯が解説されており、岡崎市立図書館は当初はシステムの不具合を疑ってMDIS側に問い合わせたが、図書館側に「システムに問題はない」と結果的に嘘の回答を行い、結果として図書館側はサイバー攻撃と判断して警察へ届け出たとのことで、どうやらMDISの責任が一番大きいようです。
関連記事
Web ページに対する、高頻度アクセスはどこまで OK ?
岡崎市立中央図書館ウェブサイト「サイバー攻撃」事件の詳細
図書館Webサイトへのクローラを実行して逮捕された男性、不起訴に
岡崎市立中央図書館ウェブサイト「サイバー攻撃」事件の詳細
クローラ事件で話題の岡崎市立中央図書館で今度は利用者情報の流出が発覚
まだ謝罪すると決めたわけではない (スコア:5, 興味深い)
朝日新聞名古屋本社の記者でこの事件を継続して追っかけている神田氏によると、
「まだ謝罪すると決めたわけではない」そうです。
>すわと思って追いかけ取材をしましたが、MDISとしてはシンプルに
>「librahack氏に謝罪すると決めた」「システムの不具合を認めた」というわけではないようです。
>近く公式に社としての見解を説明する場を設けるそうなので、注目しています。
http://twitter.com/kanda_daisuke/status/9091255686406144 [twitter.com]
Re:まだ謝罪すると決めたわけではない (スコア:3, 参考になる)
被害は最小限の内に手を打つというのが王道なんだが,
なんで,逮捕者が出るまで放置したかねえ。
リカバリーポイントはいくつかあったと思うんだが。
この時点での謝罪はそりゃもうリスクが高いというか,
全方位土下座&賠償をする覚悟(経営or管理の首&もろもろの決済)がない限りできませんわな。
もう,相当の覚悟がない限り謝ることすらままらない。
だって,自分たちの過失を隠すために,本来なら逮捕されるべきでない人を陥れたわけですから。
刑事ではムリでも民事なら相当搾り取れる案件ですもんね。
本来なら開き直ってでも謝りたくないでしょうね。
個人的には,本件は「マスコミの生きる道」の一例を示したものだとも思ってます。
社会の木鐸ってこういうことなんじゃないかと。
twitterでたれ込みをおねだりしてるようじゃねえ・・・・ってこれも朝日の記者だったw
Re:大人って大変ですね (スコア:1)
面子を立てすぎるとlibrahack氏を応援する勝手連になおさら追及されることは明らかなんですがねえ…
#ATOK2010は「勝手連」を一発変換できないだと…!?
RYZEN始めました
謝罪してないし、全然反省してない (スコア:2, 参考になる)
リリースの要約
「情報流出についてお詫びします。今後、流出しないようちゃんと検査します」
http://www.mdis.co.jp/news/press/2010/1130.html [mdis.co.jp]
Re:謝罪してないし、全然反省してない (スコア:1)
プレスリリースの中「3.システムインテグレーターとしての責任」は、製品に生じた障害を把握できなかった(原因究明が不十分だった)、システムエンジニアに任せていたので障害の情報が拠点ごとに分散していてとりまとめることが出来なかったので責任があるという説明ですが、なにか主体性がない。
あと、「責任」という表題をつけて、中の文章を読むと「責務(を果たすことができなかった)」という、責任というよりも役割や義務の履行にウエイトを置いた言葉に言い換えており、他者(社)に突き放した説明の仕方とあわせて、責任を限定したり、責任を取ることを回避する意図があるのではないかと疑わせます。
言葉尻をとらえていうのもどうかとおもいましたが、ちょっと、気になりました。
こらこのクソ公僕 (スコア:2)
ポリも詫び入れんかい。
「我々がアイティーとか無知なもので、MDISとかいう会社の怪しい言い分を鵜呑みにすることしかできず、逮捕拘留してしまいすんません」
ちゃんと詫び入れられる組織になったらもうちょっと信頼されるかもしれないと思う。
# 30点が40点になるくらい。
で、ポリが詫びる10倍くらいMDISが詫びると。
詳細記事 (スコア:1, 参考になる)
http://www.yomiuri.co.jp/book/news/20101129-OYT8T00439.htm [yomiuri.co.jp]
県警・地検の面子が (スコア:2, 興味深い)
| 愛知県警は5月、故意に大量のアクセスをしかけたとして県内の自営業の男
| 性(39)を偽計業務妨害容疑で逮捕し、名古屋地検岡崎支部は6月、「悪質
| ではないが、支障を生じさせた」として起訴猶予とした。
|
| ところが、その後のMDISの調査で、閲覧障害の原因は図書館のシステム
| 側にあったことが判明。
を読んだ印象だけど、もしMDISがゴメンナサイしちゃったら警察・検察の面子
が丸潰れですね。「ベンダの言うことを鵜呑みにして判断を誤った」ってこと
じゃないですか。
それはそうと、
| MDISは「保守担当者がシステムをよく理解していなかった」として、
もう尻尾切りの準備は万端ということで。
Re:県警・地検の面子が (スコア:5, 興味深い)
警察目線だと「鵜呑みにした」ではなく「捜査に関する重要な情報を
隠匿されたことにより捜査に支障が発生した、そのために誤った結果になった」となり
警察も立派な被害者となり面子が保たれるのです
警察の責任転嫁の被害者になりかけたことがあるのでAC
Re:県警・地検の面子が (スコア:1, すばらしい洞察)
それ以外を放置しているってことじゃないの?
Re:県警・地検の面子が (スコア:1, すばらしい洞察)
(従って、この保守担当者に処分を下した)
という()内の文脈があるのだよ。
そして切られた尻尾は保守担当者。
MDIS では、「保守担当者」と呼ばれる「腹切り役人」を用意しているのか・・・ (スコア:2)
社内規定で、
「責任者の監督不行届」
という発言は禁止されているのだろうか?
そもそも、責任者不在が原則かな?
Re:詳細記事 (スコア:1)
謝罪の内容
http://takagi-hiromitsu.jp/diary/20101204.html#p01 [takagi-hiromitsu.jp]
MDISって知障集団なんですか?
個人情報流出がなかったら (スコア:1, すばらしい洞察)
librahackだけでは、個人情報流出騒動がなかったら、この謝罪には結びつかなかったんじゃないかなーというのが正直な感想。
# NHKがどちらもひとからげにして、しかも流出の方が重大であるように報道しているのが興味深い。
警察の対応は? (スコア:1, 興味深い)
逮捕された人に対して愛知県警はどう対応するのか気になりますね。
DoS と判断した根拠となる、(図書館と)MDIS の回答が間違いだったと認められたので
起訴猶予処分から嫌疑なしに訂正するのが正しいと思いますが、
決定事項は覆らんとか言い出したら嫌だなぁ。
いや (スコア:0)
> 結果として図書館側はサイバー攻撃と判断して警察へ届け出たとのことで、どうやらMDISの責任が一番大きいようです。
図書館がMDISに責任を押し付けたんだろ。
Re:いや (スコア:5, 興味深い)
> 図書館がMDISに責任を押し付けたんだろ。
事実と異なる被害届を出して無実の一般人を陥れたのは図書館です。
それはもちろん多大な社会的責任があると思います。
ただ、それとは別に、三菱電機には「虚偽の説明で無実の一般人を陥れるよう誘導した」責任があります。
図書館が責任を取るべきなので三菱電機には責任が無い、とは、とてもじゃないけど言えない。
「第三者の専門家」の意見を聞いているつもりで実際には「当事者(MDIS)」の意見のみで逮捕状を取り、
偽計業務妨害に嵌めるために取調べで被疑者に圧力をかけた(被害届に合わせて犯罪を捏造した)
警察にも責任の一端はあると思います。
「被害届を鵜呑みにするのは仕方ない」とは流石に言えません。
それではどんな訴えでも訴えた者勝ちになってしまう。
現状、それら全員が責任を認めているわけではありませんし、
仮に認めたとしても、「だからどうすればいい」は非常に難しい話ですが、
ここでの「責任が一番大きい」は、冤罪に至った原因のウエイトではないでしょうか?
図書館が「あいつ気に入らないんだけど法的にやっつけれるかな?」と三菱電機に相談したならアレですが、
「システムがエラーで止まってるみたいなんで原因を調べて」で三菱電機が「あいつのせいです」と嘘をついた流れなら、
三菱電機が『無実の一般人が陥れられた事』の主因でしょう。
Re:いや (スコア:2, 参考になる)
もし前者(MDISは運用は受注していない)なら、DOS攻撃が来たかどうか判別する責任は本来図書館側にあるはず。 WEBサーバのログをちょっとみれば1秒以上の間隔でアクセスしてたことがわかったはずで、それすら調べなかった図書館の責任も大きいかと。
Re:いや (スコア:1)
Re:嫌よ嫌よも好きのうち (スコア:2, すばらしい洞察)
医者などと見当違いの置き換えをするのはまさに話題のすり替えである。
しかも、自分は調べもしていないくせに、ある程度調べている人達に対して、
「簡単に答えを出す」等と誹謗中傷をするなんて、幼稚かつ無礼な話。
三菱電機は医者ではないし、Librahack氏のクローラーからのアクセスに対しては、
問題のサーバは完全に設計通りに動作した上で、仕様不良により止まった。
三菱電機が仕様不良に気付かず、何故止まったのかも確認せずに、
安易に他人を陥れてしまったと言うだけの話だ。
もし医者が「患者の身体を100%理解している」等と大口は叩かない。
三菱電機も「自分達が開発・導入・管理しているシステムの設計を理解していません」と正直に言っていれば、
図書館側も宛てにせずに他の専門家に相談したかもしれないな。
具体的に説明しよう。
問題のシステムは、一度割り振られたDBセッションを10分間は開放しない作りで、DBセッションはCookieで保持されていた。
Cookieに対応しないエージェントがアクセスした場合、毎回新たなDBセッションを割り振るため、
すぐにDBセッションが足りなくなってしまう。
頭の良い人達の間では「DBのハンドリングが宜しくない」と議論されているが、
このシステムの作者並みに頭の悪い俺に言わせれば、こんなもんは、
利用者を「Cookie対応のエージェント」に限定したショボイ作りだったにも関わらず、
処理の最初で「Cookie非対応のエージェント」を撥ねるステップを入れておかなかった、と言う話に過ぎない。
DB周りを弄らなくても、ただ1ステップ、Cookieに対応しているかどうか確認する挙動を取らせていれば、
馬鹿みたいにDBセッションを大盤振る舞いして手札切れで止まるような事は無かった。
「Cookieを呼んで何も返って来なければ新たなユーザと見なしセッションを割り振る」
と言う設計がかなりキチガイじみている。
Cookieが「空」なのか「無効」なのかを区別しないのがおかしい。
Cookieを使うのに「Cookie非対応(あるいは抑止中)のエージェント」が想定外なんて有り得ない。
普通は「入れてみて、読んでみて、読めなければ対象外エージェントとして排除」となる。
エラー処理(この場合は単にメッセージ表示だけでいい)さえ無いあたり、
素人のフリーCGIスクリプト以下のお粗末な話だ。
自分達が作った仕組みを理解してない、サーバログも読まない、そんな連中に状況把握なんて出来るはずが無い。
医者? 何の話だ?
Re:嫌よ嫌よも好きのうち (スコア:1, おもしろおかしい)
システムの作りが悪い?んなこたーどーでもいいんだよ。
要は、相手のシステムを何度も止めてしまったことだ。
そりゃ三菱がまともな修正してればこんな事件起きなかったさ。
でもクローラ動かしてサーバに障害与えてないかなんて普通の頭もってれば確認する。
そんな簡単なこともしないで、ショボい対策の隙をついて「何度も」サーバ止める。
悪質と疑われて当然の事例だ。当然逮捕もされるわな。
それでクローラ技術を萎縮させるだと?笑わせるな。
警察にしてみれば、システムの欠陥を利用して攻撃した、とシナリオ描いていてもいい事例。
Re:嫌よ嫌よも好きのうち (スコア:1)
今回の事例は「落とすことを目的に」でないんだから、それは根本的に前提が違うじゃん。
Re:嫌よ嫌よも好きのうち (スコア:1)
という言い回しは「本人も当てはまらないと分かっている」場合に使うものなので、常識的感性までは無くなられていないようですが、その上で非常識的な主張をなされるモチベーションがどこから来るのかちょっと興味深くはありますね。
まぁどのように聞こうが応える事は無いだろうし、多大な労力を掛けて問いただそうという気も致しませんが。
#端的に書くと4文字で済む物を持って回った言い方をしてみた。
Re:いや (スコア:1, 興味深い)
『MDISが「システムに問題はありません」と図書館側にも言ってた』か、『MDISが「ごめんなさいバグです」と言ったら図書館が「面倒だから利用者のせいに」と言っていた』かで違ってくるんじゃない?
#どっちもあり得る話
#後者の場合、MDISが「ここで泥を被ってくれたら来年も随意契約するよ」とか図書館に言われた可能性も
似たような業界に居るのでAC
判断した人 (スコア:0)
図書館の責任はどうなるの?
Re: (スコア:0)
営業的理由では? (スコア:0)
Re:営業的理由では? (スコア:2, 参考になる)
岡崎市立中央図書館事件 [wikipedia.org]
Re:営業的理由では? (スコア:1)
Re:営業的理由では? (スコア:5, おもしろおかしい)
それは困った。動詞よう‥
Re:営業的理由では? (スコア:1, おもしろおかしい)
なんせ本件は社会副詞施設での出来事ですから…
Re:営業的理由では? (スコア:3, おもしろおかしい)
形容詞がたいひどい事件でした…。
謝罪してない (スコア:0)
Re:謝罪してない (スコア:2, すばらしい洞察)
謝罪されても起訴された人間にとってはどうしようもないのでは?
「起訴猶予」と言う事実が消えるわけではないわけだし
それと絶対謝罪することは無いだろうけどこれ警察もかなり悪質。
まともに捜査していれば起訴してない案件だろ。
警察側はアクセスログの解析したのか?と言いたいよ。
Re:謝罪してない (スコア:1)
>謝罪されても起訴された人間にとってはどうしようもないのでは?
ところでさ、「関係者に謝罪」とかいってるけど、起訴されたお方は入っているのかな?
関係者=図書館のお方だとか、ありそうにも思うんだけどね。
Re:謝罪してない (スコア:1, すばらしい洞察)
ソース読まずにツッコミ入れるのはやめようね。
Re:謝罪してない (スコア:1)
>ソース読まずにツッコミ入れるのはやめようね。
いや、やはりちゃんと謝っていないんだよなぁ、これが...
ACってほんと、バカ丸出しに鵜呑みしちゃうってことなんだろうけどね。
>逮捕された男性への謝罪の意を表明する方針。
謝罪内容は「逮捕」じゃなくて「作ったプログラムが動かなかったこと」だ [takagi-hiromitsu.jp]そうだ。
そうか、ACはその謝罪を求めていたのか!..さすが、ACですね。すごいことです。
Re:謝罪してない (スコア:1, おもしろおかしい)
Re:謝罪してない (スコア:1)
と言うか、MDISを欺証罪とかに問えないんでしょうかね?
起訴猶予の場合は冤罪の補償とかも無いのかな…
Re: (スコア:0)
注意義務なんちゃらとか、業務上過失なんちゃらだったら、問えるのかも?
ただ、「バグの原因特定を誤ったら犯罪」クラスには格上げしたくない。
さすがにそれは自分の首を絞めすぎる。
法律に詳しいわけじゃないけど。
Re: (スコア:0)
裁判所が判断するのは難しいのでは? 前者であれば偽証だが、もし後者であれば無能を理由に
罰する法律は無いし。
Re:また金曜会か (スコア:2, おもしろおかしい)
そろそろ、そういう文句も「不祥事のAmazon」とか、「技の楽天」とか、時代にあった言い方に改めてはどうなんですかね。
だから!MSやオラクルを見習って (スコア:5, おもしろおかしい)
バグを取って欲しかったら、
高い保守契約を結びなさい。
保守料金を払いなさい。
と、言って反対にお金を頂けば良いんです。
Re:だから!MSやオラクルを見習って (スコア:1)
「すばらしい洞察」ではなく「おもしろおかしい」じゃない?
それとも本当に「すばらしい洞察」だと思っているならとんだ認識違いです。
製品を提供するのとサービスを提供するのでは、根本的に目的が違います。
製品は「俺らこんなん作ったけど使いたかったらお金頂戴」。
サービスは「お客様の必要なものを提供しますのでお金頂戴」。
Re:だから!MSやオラクルを見習って (スコア:1, すばらしい洞察)
MSを揶揄したコメントには自動的に「すば洞」モデがつく、それがスラドクオリティ。
Re:財閥系だからなの? (スコア:3, すばらしい洞察)
バグがあっても仕方ないけど、知ってるバグを隠すのは仕方ないとは言えないな。
Re:財閥系だからなの? (スコア:1)
ましてや冤罪まで引き起こして、確実に一人の男とその家庭に酷いことをしてしまっているんだから。
そんなことはわかっていても、図書館の館長様や三菱(MDIS)関係者様や警察・検察(でいいんでしょうか)その他関係者様達にとってはまるで違う労働者階級のことなんてなんとも思わないんでしょうけど。
--
とか、ここでイヤミ書いててもホント何にもならないね。
ただの憂さ晴らしだ・・・
Re:財閥系だからなの? (スコア:1, 参考になる)
組み込み系ソフトはハードの一部とみなされるので、PL法を回避できません。
例えば自動車の制御ソフトのバグで事故になった場合、自動車のメーカー会社がPL法に問われます。
ソフトを開発した会社はPL法には問われません。
ですが契約には瑕疵担保の損害賠償項目があるでしょうから、損害賠償を請求されるでしょう。
Re:クローラーの設計 (スコア:1)
Re:クローラーの設計 (スコア:1)