10周年のSPコンテンツ!

岡崎市中央図書館向けクローラの件落ち穂拾い

主にこのまとめ作成時点で、blog等にあまりまとめられていない「事実関係」中心に抜粋。枝葉は切り落とす方向で。 ・librahack氏の証言:アクセスの実際と逮捕状況の補足 ・岡崎市中央図書館の証言 ・その他の図書館の証言など ・岡崎サーバの性能&岡崎プログラムの実装検証 続きを読む
Librahack
16
上原 哲太郎/Tetsu. Uehara @tetsutalow
岡崎市図書館についての高木さんの伝聞情報の情報源は私です.ただ私のヒアリングは十分整理できてない・新たな疑問が出てきてそれは聞けてないのと,詳しい取材を計画している人がいたので後は任せようかということであの場では控えました. #librahack
上原 哲太郎/Tetsu. Uehara @tetsutalow
まず,これは会場でも話したことですが,岡崎市図書館の中にはやはり,システム管理専任の職員はいないようです.しかし,システムの調達からSIerへの運用の指示に至るまで,図書館の中だけで行っているようです.この状況は良くあることで,事前に予測した通りでした. #librahack
上原 哲太郎/Tetsu. Uehara @tetsutalow
この状況になると各作業に関する判断もSIerが行っている場合もあるわけですが,岡崎に関しては職員の方が各作業に関しての最終的判断を行っているようでした.今回の件に関しても担当職員の方はそれなりに知識をお持ちで,図書館が全て判断したとおっしゃってます. #librahack
上原 哲太郎/Tetsu. Uehara @tetsutalow
今回の事件の端緒は,そもそも新着図書ページがある時間になると閲覧不能になるという苦情があった(そして実際そうだった)ことのようです.それが3月中旬. #librahack
上原 哲太郎/Tetsu. Uehara @tetsutalow
この時点での図書館の認識は「(クローラともDoSとも判断せず?判らず?)何か普通でないことを機械的にされている(ので困る)」という認識だったようです.アクセスはURL決め打ちであるのはわかったので,URLを少し動的に変化させる対策をとった. #librahack
上原 哲太郎/Tetsu. Uehara @tetsutalow
しかし,動的URLとしっても1文字変化する文字をURLに加えるだけだったので簡単に対策された.IPアドレス遮断をこの時点で考え始めた模様. #librahack
上原 哲太郎/Tetsu. Uehara @tetsutalow
ここで,図書館らしいなと思ったのは彼らの最大の関心事は「このアクセスを行っている人物はこの図書館の利用者か」だったことです.IPの逆引き結果からISPを見て,そのドメインを持つメールアドレスがLibraの登録者DBにあるか探したといってました. #librahack
上原 哲太郎/Tetsu. Uehara @tetsutalow
この時点ではlibrahack氏が使っていたのはレンタルサーバで,そのドメインを含むメールアドレスはLibra内にはなかった.それを根拠に,図書館はこれは図書館の普通の利用者ではなさそう,遮断しても問題ないと判断したらしい.実際の遮断実行は3月末です. #librahack
上原 哲太郎/Tetsu. Uehara @tetsutalow
この遮断の前に,一度図書館は警察に相談に行っているようです.3月下旬のこと.ただ,あまり本格的なものではなかった模様.詳しくは聞けてませんが「こんなことで困っています」といいう程度,だったんでしょうか? #librahack
上原 哲太郎/Tetsu. Uehara @tetsutalow
4月になって,今度は違うアドレスから同様のアクセスが来て被害が出た.そこで図書館は同様にアドレスからドメインを調査したそうです.今度はLibraにも多くユーザがいるドメイン名.つまり利用者である可能性があるので遮断は容易にできないと. #librahack
上原 哲太郎/Tetsu. Uehara @tetsutalow
この時点=4月上旬に図書館が再度警察に行ったと聞いています.その時点で任意でアクセスログを提出しているようです.ただ,上原のツッコミが甘く「警察に何を期待して」「どんなアクセスログを」出したかという肝心なところは良く聞き出せてません. #librahack
上原 哲太郎/Tetsu. Uehara @tetsutalow
その任意の提出から1~2週間後?警察から「これは捜査できる(つまり犯罪の可能性があるという意味?)かもしれない」という連絡があったそうで,それを受けて岡崎市として被害届を出すことにしたと.それが4月の中旬か下旬ということになります. #librahack
上原 哲太郎/Tetsu. Uehara @tetsutalow
追加の情報としては「この間,図書館の通常の貸出業務等に支障が出たことはありましたか?」と聞いたのですが答えは「知る限り,そういうことは聞いていない」とのこと. #librahack
Hiromitsu Takagi @HiromitsuTakagi
@suzukimasatomo 「図書館のサーバが何者かのアクセスが原因でダウンし、図書館が不信に思って、警察に相談すること…なんら責められるべきところはない。」← エエーそうですかねえ。ひと昔前は警察じゃなくてJPCERT/CCに相談しようと言われたものです。なぜそうだったか…
Hiromitsu Takagi @HiromitsuTakagi
(続き)なぜそうだったかというと、1990年代は、警察がITに非常識だったため業界が実際に警察から迷惑を被っており、民間で自主的に解決に取り組むとともに実態把握するためJPCERT/CCがインシデント調整の役割を買って出た。警察に相談するなと言う人もいた。それが2000年代に入…
Hiromitsu Takagi @HiromitsuTakagi
(続き)それが2000年代に入ると、警察にもサイバー班ができ元民間SEを警察官採用するなど集中的なIT対応の強化がはかられ、2003年ごろには警察は昔のような無茶をもうしませんから安心してご相談くださいみたいなことを言うようになった。実際そうで近ごろは信頼を得ていた。そこをブチ…
Hiromitsu Takagi @HiromitsuTakagi
(続き)そこをブチ壊したのが今回の愛知県警の所業だった。中だるみなのか何なのか、かつてのような警察のIT非常識が突発的に復活し今回の不幸をもたらした。JPCERT/CCはかつてのその役割から遠ざかっていた(最近は脆弱性対応が主?)ように思うが、久々にその役割を思い出す事件だった。
Hiromitsu Takagi @HiromitsuTakagi
図書館はかなり早い段階で警察に相談したらしいが、「犯罪だ」という趣旨で相談したわけでもないようなので、そこでJPCERT/CCに相談していたなら全く違っていたと予想。JPCERT/CCがそういう相談を受けるのかというと、知らない。今は報告を集めてるだけ? #librahack
Hiromitsu Takagi @HiromitsuTakagi
1990年代と違ってこれだけ広くインターネットが普及した今、JPCERT/CCがいちいちあらゆるインシデント相談に対応するのは無理だし、セキュリティビジネスが育った現在では民業圧迫でもある。DoS攻撃か否かだけ簡易に見極めるのに特化した相談なら現実的か? #librahack
Hiromitsu Takagi @HiromitsuTakagi
逆に、(今回に類する事案発生時に)警察サイバー班がJPCERT/CCに問い合わせるというのはどうか。あり得なくもなくなくない? #librahack
Hiromitsu Takagi @HiromitsuTakagi
昨日の情報ネットワーク法学会公開座談会でパネリストとして発表したことの要点を書き連ねます。(1)逮捕報道直後に私が岡崎署に電話で問い合わせたのをtweetしていたことから、不起訴後当人からfollowされたので、DMで連絡くれと送ったところメールをもらった。 #librahack
Hiromitsu Takagi @HiromitsuTakagi
(2)内容は、どうしてこうなったの話と、何人かの岡崎署への電話やTwitterの盛り上がりが救いになったという皆への感謝の意、(警察不信になったのか)事を荒立てたくない気持ち、しかし皆さんへの最低限の責任として事実だけできるだけ正確にサイトに示すという意思。#librahack
Hiromitsu Takagi @HiromitsuTakagi
(3)小出しにするとアンチが湧くよと返信したところ数日後に経緯をまとめたExcel表が送られてきた。そして半月後、座談会決定で出席を打診、家庭の事情で家から離れられないとのこと、座談会資料用として後に明らかになった点を追加したExcel表を作成して頂くことに。#librahack
Hiromitsu Takagi @HiromitsuTakagi
(4)配布資料とする予定だったが、報道が出るまで明かせない部分がマスクされていたため扱いに困り相談、まかせると言われたので、スライド形式にまとめなおしてプロジェクタ投影にとどめた。今後さらに情報が明らかにされると思われる。 #librahack
Hiromitsu Takagi @HiromitsuTakagi
(5)3つのIPアドレスからのアクセスの背景:日ごろ自宅と実家を頻繁に移動、自宅か実家で開発、テスト実行、翌日テスト実行で差分取得の成功を確認、レンタルサーバにプログラムを設置、1日1回の実行をcron設定、3月31日までレンタルサーバで稼働、31日か翌1日にcron設定解除、…
残りを読む(167)
ログインして広告を非表示にする
ログインして広告を非表示にする