愛媛県の電子入札システム、最低制限価格がソースに丸見え 92
ストーリー by hylom
なぜソースに書く必要があったのだろう? 部門より
なぜソースに書く必要があったのだろう? 部門より
あるAnonymous Coward 曰く、
愛媛県は12日、県発注の土木工事などに導入している電子入札システムについて、入札前に最低制限価格が見えてしまう不具合があった、と発表した(asahi.comの記事、読売新聞の記事)。
このシステムは2007年4月に導入されたもので、開発元はNEC。今月9日の入札で、最低制限価格と同額の入札があったことから応札した業者に確認したところ、ソース上に最低制限価格が見えていることが判明したという。問題発覚を受け、県は今後一ヶ月に予定していた入札を中止した。
元記事だと若干わかりづらいが、どうもこのシステムはWebシステムで、値がHTMLコードに書かれていたようである。
公取委がアップを始めてほしい (スコア:5, 興味深い)
この「バグ」は持ち回りで落札する予定の業者だけにあらかじめ知らされてたんじゃないの。
知らされていない上に空気を読まない人が見つけてしまったと。あるいはハブにされることが決まったのでいかにも偶然見つけたふりをしてバラしたか。
Re:公取委がアップを始めてほしい (スコア:3, 興味深い)
間違いないでしょうな
つーか公正取引委員会もグルでしょ?
うちの顧客の、工務店の社長もグチってましたよ
「最低価格の数千円~微小万円を入札してる業者がいるのはおかしい」
「それだけでも既におかしいのに、入札が決まるのは、いつもいつもそういうきわどい入札を実行できてるゼネコンの○○とか○○だけだ」
「いつもスレスレなんだよ? いっつもスレスレ」
「最低価格より下になったり、大幅にズレてたりも絶対しないんだ」
「あんなスレスレの金額を毎回予想できるなんて、おまえさん考えられる?」
とね
例え中学校の選挙管理委員会だってあやしむよ
なのに実際には、公正取引だと認められてるんだから、相当の袖の下が入ってるんでしょ?
Re:公取委がアップを始めてほしい (スコア:1)
低価格で受注して品質落としたり下請けイジめたりして利益出すのがマズいとしても、そんなの検収さえしっかりすれば後は労基署が心配すること。
普段は縦割りなのに、こゆ問題だけ入札制度弄って改善だなんてちゃんちゃらおかしい。
エンドユーザーにとっては大歓迎のバグ (スコア:5, すばらしい洞察)
愛媛は2006年度まで最低制限価格を事前公表していたらしい (スコア:5, 参考になる)
自治体によっては、最低制限価格を公開しているところもあるようで、愛媛では、2006年度まで最低制限価格を事前公表していたようです。2007年度の納入と同時に制度が変わったため、変更したが漏れがあったというのが真相っぽいですね。
pmakino @ockeghem @Ryuta_M ehime-np.co.jp/news/local/201… によると「最低制限価格などを入札後の公表に改めた2007年度以降」とあるので、2006年度までは愛媛県自身が事前公表する仕様としていたようです RT htn.to/vHw2A [twitter.com]
Re:愛媛は2006年度まで最低制限価格を事前公表していたらしい (スコア:1)
電子入札システムのマニュアルはIE5画面をキャプチャしていたようで、システムの開発は古い。
開発チームはすでにいなくてメンテナンスだけが残っていたが、制度変更直前に仕様変更が来た。
無事納品したのはいいが、案の定変更漏れが内在していた。そして今頃発覚。
などと想像してみた。
他県でも同様なことが起きていないか、事業部長から調査命令が下っているんだろうな。
とりあえず (スコア:2)
このシステムが導入されてから
最低公示価格で落札
した業者をピックアップしたほうがいいんじゃないかな。
# でもこれって毎回HTMLに公示価格を書き直してたということなのか?
# それとも公示価格を設定するとそういうソースが吐き出されていたのか?
# でも今回あっさり喋ってしまったという事は何か裏があるんじゃないかと勘ぐってしまう。
勉強のために、新人君に作らせたレベル? (スコア:1)
#「こんなやっすい金額でなんで俺様がやんだよバカ営業」と偉そうに言いながら、バグだらけのPGをこさえる新人は多いはず。
Re:勉強のために、新人君に作らせたレベル? (スコア:1)
この電子入札システムを最低制限価格で発注していたからかも。(るーぷ
安値??? (スコア:1)
まぁ、最低金額を非公表と言いつつ記載していた訳で、
役所の人間のも責任が問われるわけですよね。
そもそも
入札システムなんてそんなに特徴がある訳でもないのに
パッケージを活用しない発注者も悪いような。。。。
Re:安値??? (スコア:2)
VMWareを使いましょう。
PC環境を丸ごと保存しておけます。
必要になったときだけ稼働できます。
オフトピオフトピ
誤記 FireFox
巫女 Firefox [mozdev.org]
兵庫県も (スコア:1)
近所の工務店で難しいから教えてと言われて、Javaはバージョン指定で入れろとか、Internet Explorerは古いままで使えとか、入札できるようにするまで、イライラしながら準備しました。
Re:兵庫県も (スコア:2)
検索してみると、岐阜とか静岡辺りにもNECのが入ってそうな感じですなぁ・・・
日本語を知らない人が作ったら… (スコア:1)
コードを書いた人が「最低制限価格」がなにかを知らないけれども、仕様書どおりに作ったらこうなったという可能性はないか?
岡崎図書館メソッドだと (スコア:1)
素人? (スコア:0)
>どうもこのシステムはWebシステムで、値がHTMLコードに書かれていたようである。
どれだけの素人が開発したシステム?
でも開発元はNEC?
下請けの下請けの下請けの下請けあたりが開発したシステムを大本の親受けのNECがシステムの検証せずにリリースしちゃったって事か?
Re:素人? (スコア:4, すばらしい洞察)
いえいえ、下請けよりNさん本体の社員の方がずっと素人ということもよくありますよね。
Re:素人? (スコア:2)
Nさんに限らず元請けが素人ってのはよくある事だとは思いますが
当然今回は作った人が素人なんだから下請けがシロウトってことだよね。
責任はどこがとるのだろう?
…にしてもHTMLに直接ビジネスロジック書いたのだろうか?一旦サーバに飛ばすとレスポンス悪いから全部Javascriptで書けと言われたとか?
実は入札業者が裏から手まわしてわかるようにしとけとか言われて…みたいな?
検収済なら契約上は発注元の責任 (スコア:2, 参考になる)
4年前に納入したシステムなら検収や瑕疵期間なんかもとっくに終わってるだろうし、そういう意味ではもう開発元に責任はない。
契約上は気づかなかった愛媛県(の受け入れ責任者)が悪いことになると思う。
たぶん、今回も愛媛県がNに修正費用を払ってるんじゃない?
ただ、ユーザーにこういう内部的なことの検証が出来るかって言うと難しいだろうから、そう考えると(下請けに作らせたなら)元請側のトップであるNが、下請けからの受け入れ時にちゃんと検証すべきだった。
もちろん下請けや実際に作った人も悪いけど、最終的に一番悪いのは誰かと聞かれたらそれにOKだしたNだろう。
# 気づけばN下請け暦8年ぐらいなのでAC
# 試験仕様書には拘るけど、実際に画面とかチェックしてるイメージが無い。
Re:素人? (スコア:1)
http://el.jibun.atmarkit.co.jp/pressenter/2011/05/1-17a8.html [atmarkit.co.jp]
これに出てくるエースシステムみたいなのが本当にあるのか……
Re:素人? (スコア:2)
人形使いの話は毎週楽しみに読ませてもらっています^^
つくり話なので多少誇張はあるかもしれないけどあんなもんですよ。
特にVBでできたシステムからWebにリプレースするときなんて酷いもんです。未だにね。
#HTML5が普通になったらVB並、否それ以上の操作性も簡単に実現できそうですが。
あとこの入札のシステムって何で作ったんだろう?JavaだとJSPでゴリゴリ書くから直接HTMLに書くなんて発想はいくら初心者でもしにくい。
VisualStudioみたいのだとマウスで操作してなんとなく画面が出来上がってしまうからこういうことになっちゃうのかもしれないね?吐かれるソースもIEベタベタの無駄が多い酷い物だし。
Re:素人? (スコア:1)
それなら自社開発にしておけば良かっただけじゃん。
下請けに出しておいて文句言うなんてどうかしてるよ。
公的機関のように入札しなければならないわけでもなく自社で下請けを選べる立場にあるんだから、下請けに出すにも相手の能力を見極めて出せばいいだけ。
あんたはどんだけ甘えた考え方しているの。
Re:素人? (スコア:1)
Re:素人? (スコア:1)
そうですね、元請けは世界のためにダメな下請けには二度と仕事を回さないようちゃんと見極めてもらいたいものです。
> そしてそれが続くのが
誰も仕事を回さなくなれば潰れるだけなんだから続くわけがない。
Re:素人? (スコア:2)
ワザとだったりして?
NECが入札するときに、有利に入札するためのバックドア・・・にしてはレベルが低いけど・・・なのかもよ?
Re:素人? (スコア:1)
ワザとに一票。
プログラマにちゃんとした開発期間と報酬を渡さないから、こういう腹いせをされちゃったんじゃないのかなあ。
Re:素人? (スコア:1)
本体の担当者は仕様書を書き、実際の作成は出向した協力会社の従業員(NECの社員証を持って)がしています。
なので担当者の方が素人と言う可能性は有る。
その昔この協力会社で作業していた時に担当者は何も言わない。
PC98のコンパイラが無かった時代だけどね。
珠にデータをバックアップしに来たな。
Re:素人? (スコア:1)
>でも開発元はNEC?
もうこのへんの初歩的なことすら確認できないほど、社内のガバナンスがとれてないんだろうな。
そら日本企業は負けるわ。
Re: (スコア:0)
日本の場合、開発元と販売元を分けずに開発が別会社や下請けでも親会社がすべてかっさらっていくから仕方がない。
Re: (スコア:0)
仕方がない?
仕組みを変える方法はないんかな?
Re: (スコア:0)
直接請け負った会社にメリットがいっぱいな仕組みだからなあ
こういう事件が立て続けに起きれば
上の方から仕組みを変えようと重い腰をあげるかもしれないけど
# さあ、みんな何をすべきかわかったな
Re: (スコア:0)
みんなで4年間は瑕疵がばれないコード書くわけね
高度だなぁ
Re:素人? (スコア:1)
×どうもこのシステムはWebシステムで、値がHTMLコードに書かれていたようである。
○どうもこのシステムはWebシステムで、値がHTMLコードに埋め込まれていたようである。
動的にhtmlを生成するシステムで本来出しちゃいけない情報を吐き出すプログラムを作っちゃったっていうミスは結構ありがちな気がするのだけど
Re:素人? (スコア:1)
<input type="hidden" name="minprice" value="100" />
<input type="submit" value="落札" />
とかでもやっていたんですかねぇ…
Re:素人? (スコア:1)
さらに minprice を設定して submit したら,その minprice に設定されて受け付けてしまう設計だったりしたら大笑い.
# 某所で使っているシステムが,そういう仕様になっていたので「欠陥だよね」と指摘したのだが,「仕様だ」と主張されて修正してくれずに四苦八苦しているので,あまり笑い事ではないのだが.
Re: (スコア:0)
まずこれを思い浮かべるよねぇw
しかし、ダサすぎる。
Re: (スコア:0)
大本の親受けが新人にやらせたのかも。
Re: (スコア:0)
開発者が仕様を誤解していて(あるいは文書の要求仕様なんか無くて)、
下回る値を入力すると、「入札価格が安すぎます」ってJavascriptでエラーでも出すような風に作ってしまい、
別の誰かが改修したらハードコードの値が残ってしまった、ぐらいならギリギリありえますかね。
#asahi.comの記事タイトル「透明性あり過ぎた」ってw
Re: (スコア:0)
つまりはAJAXを使うべき所をJavaScriptで直接値を書いてしまったと言うこと?
でもAJAXを使ったところで最近のIEに搭載されている開発者ツールなんかで変数の値を見られたら意味ないよね。
Re:素人? (スコア:2)
うーん。
なんかちょっと誤解してない?
元コメの主旨は最低入札価格を下回った場合でも黙って受け付けるべきなのに
それをチェック機能で弾いてしまうように作ったものをさらに修正したケースについて
述べてるんだと思うけど。
Re: (スコア:0)
上でも指摘されていますけど、
画面遷移する時に状態を保持するため、
hiddenにパラメータをずらずらと列挙してたんでしょう‥‥多分。
用語がそぐわない気がする (スコア:0)
元記事にある「システム」とか「設計ミス」とか「プログラムを表示する画面(ソースコード画面)」とか。
かっこよさげにオトナ用語ちりばめてみましたみたいに馴染まない。
朝日なんかフロッピー偽造を暴いた人にでも校閲して貰えばいいのに。
Re: (スコア:0)
朝日の記事だけ見ると、普通にHTMLソースに値が書かれていたっぽいのですが、読売の記事だと「通知書をパソコンに保存してから開封すると」となっていてまた別の事象に見えます。
HTMLメールか、一旦ローカルに保存してソースを見る・・・という動作でもさしているのでしょうか?
できればIT系のメディアによる続報が欲しいところです。
Re:用語がそぐわない気がする (スコア:1)
愛媛県電子入札システムのマニュアルページ( http://ebid.cals-ehime.lg.jp/manual/index.html [cals-ehime.lg.jp] )見ると、アドレスバーを隠していますが、Webブラウザで実装しているようです。画面・基本操作説明のマニュアルにある通知書の保存画面を見ると、XMLファイルでセーブする機能があるようです。
XMLシリアライズの問題? (スコア:0)
読売の記事と画面(P19)をあわせて考えると、今回の件は
「余計な値をHTMLコードに埋め込んでしまった」
という問題ではなく、ひょっとしたら
「見せちゃいけないオブジェクトをXMLにシリアライズ [atmarkit.co.jp]してダウンロードさせた」
という問題ではという気がしてきました。
それなら・・・まあどっちにしろダメダメですが(--
XMLのフォーマットを意識する必要がないので、中身まで気が回らなかったのかもしれません。
確認する方も素人だから (スコア:0)
タイトルの通りなんだけど、昔コード書いてたとしても1行づつコードなんて読まない。
問題はパッケージにして他にも売ったりしてないかだよね。
確率論の問題ですな (スコア:0)
受注業者と結託してとかいろいろコメントはあるでしょうが、
単なるマイナス3σの事例でしょう。
Webシステムが一般化するにつけ、こういう事故も出てくるということで。
Re: (スコア:0)
そもそもどうして応札した業者はソースに載ってることを知ったんだ?
Re:確率論の問題ですな (スコア:1)
商売絡みのページに必ず Ctrl+U するクセをつけていた立派な人が社内にいたんでしょう。
# チッ XSS なかったぜ、ってあれぇー!?
クールジャパン (スコア:0)
流石は日本。
ウィキリークスなんて作らなくても、駄々漏れやぁ。