一応、神田君 @kanda_daisuke に事務連絡。もろもろ相変わらずの模様>お知らせ/イベント情報 - 岡崎市立中央図書館ポータル library.okazaki.aichi.jp/index.php?acti…
2016-02-24 15:52:53Librahack事件でヘボい業者への発注で物議をかもした岡崎市立中央図書館、サーバーは外部に出したようですけれど、これまたヘボい業者(前回とは違う業者)のせいで、その外部に立ち上げたサーバーがDOS攻撃の踏み台になってしまったようです。
2016-02-24 15:54:35いちおう知らない方のために「岡崎市立中央図書館事件~通称Librahack事件」について。岡崎市立中央図書館事件 - Wikipedia ja.wikipedia.org/wiki/%E5%B2%A1…
2016-02-24 15:55:14岡崎の件は昨日の日付で図書館のHPでお知らせ出したのに市役所の方には何も出してなくて名前挙がってる事業社で検索かけてもそれっぽいリリース見当たらなくて不思議ダナー。洩れてないけど他でも同じパスワード使いまわしてたら再設定してねってフシギダナー
2016-02-24 16:12:15今回作ったcybozuliveの共有フォルダ全件リスト作成&DLソフト、一歩間違えると岡崎市立中央図書館事件の二の舞いになりかねず怖い。 cybozuliveは当時の岡崎市立中央図書館よりはるかに高性能なシステムを組んでいるはずだから2.5秒のインターバル、同期接続は
2016-02-24 16:29:39あらためて岡崎市立中央図書館事件を調べてたけどホント糞だな、何回見ても。 か「もしかして攻撃?」と思ったらIPAのフローチャートを実行してほしいね、ホント。
2016-02-24 16:34:05「定期的にパスワードを変更するなど」| お知らせ/イベント情報 - 岡崎市立中央図書館ポータル library.okazaki.aichi.jp/index.php?acti…
2016-02-24 16:45:08岡崎市立中央図書館のサーバーにまたぞろ「不正アクセス」があったということですね。 twitter.com/tanji_y/status…
2016-02-24 16:46:41ここに書いてあることだけではよくわかりませんが、岡崎図書館のサーバーがサービス妨害攻撃の「踏み台」にされた。ただ、操作記録に利用者データを参照する命令が発行された形跡があった。でもって、情報漏えいを疑ったが、外部からの不正な命令ではないことが判明したと。
2016-02-24 16:49:16これ。検証用サーバに実利用者データを持ち出していたりしたんですかね。そこが気になります。 / 「検証用サーバ内の利用者情報漏えいの恐れがあったため」 - 委託業者のデータセンタに設置されたサーバへの不正アクセスについて library.okazaki.aichi.jp/index.php?key=…
2016-02-24 16:56:27…そして、検証用サーバに実利用者データを持ち出していたとするならば、当局はその事実を知っていて許可を出したのでしょうか。それとも、知らなかったんでしょうか。こういうの、実際に、以前に発生した事件の周辺で大問題になりましたよね…
2016-02-24 16:58:31「地方公共団体における情報セキュリティポリシーに関するガイドライン」の「侵害時の対応等」の注に、事案の詳細な調査を行うに当たっては、必要に応じて外部専門家のアドバイスを受ける、JPCERT/CC及び地方公共団体情報システム機構等の関係機関に相談する等、事実確認を見誤らないように…
2016-02-24 17:08:27…JPCERT/CC及び地方公共団体情報システム機構等の関係機関に相談する等、事実確認を見誤らないようにないように努める必要がある。とあるのですが soumu.go.jp/main_content/0… これは、業者の報告を丸呑みした結果起きた、先の事件を踏まえて追記されたものです。
2016-02-24 17:10:42検証サーバを踏み台にされるとか、おいおい。 / “委託業者のデータセンタに設置されたサーバへの不正アクセスについて - お知らせ/イベント情報 - 岡崎市立中央図書館ポータル” htn.to/FYB2Nb
2016-02-24 17:36:16昨日の朝日新聞名古屋版名古屋地方面と三河地方面に岡崎市立図書館のシステムの不正アクセス記事が載りました。が、この事案のレポート自体は図書館公式サイトに出ているのでそちら見た方が詳しいです。また図書館年報に現行の図書館システムの簡単な構成図も載ってます。
2016-02-24 17:44:30またかよ、とはいっても事故はどんなに頑張っても起きる時は起きるので、その評価は保留。今回の一番の問題は、検証用サーバに本番データがあったと読み取れる記述があること。それは業者の責任じゃない。岡崎市の責任のはず。なのに完全に他人事扱いなので怒ってます。@h_okumura
2016-02-24 20:02:10library.okazaki.aichi.jp/index.php?acti… で、”(2) データの重要性を委託業者に周知し” ってのが一番ムッと来ますね。自分のデータ管理責任に全く触れてない。何被害者ヅラしてるんだと。重要性の認識ができてないのは岡崎市の方じゃないか。 @h_okumura
2016-02-24 20:05:50@tetsutalow @jm3xpf @h_okumura 発注者責任!これを問わないため、この国ではユーザーのリテラシーが向上せず、開発形態や単価計算がいい加減となり、多くの若者の人生を狂わせていると思われます。
2016-02-24 20:14:20あー、休館日の前日にわざわざ発表した説。 @okazaki_tosyo / 岡崎市立中央図書館「委託業者のデータセンタに設置されたサーバへの不正アクセスについて」 - Togetterまとめ togetter.com/li/942425 via @togetter_jp
2016-02-24 21:48:08