岡崎市立中央図書館事件に関しては 議論と検証のまとめサイトに詳しくまとまっています。
今度は個人情報の流出だそうで。
もともと高木浩光@自宅の日記のAnonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6) に書かれている通り、システムの作りが悪い・・・というかレガシーなシステム(ローカルで運用するクラサバな環境)としては当たり前の設計ですが、三菱図書館システムMELIL旧型の欠陥、アニメ化 - 岡崎図書館事件(7)に分かりやすく書かれている通り、DBのセッションを620秒ほど解放しないという仕様になっていた・・・せいでDBのセッション上限に達しやすくなっている問題があって、本来であれば問題の無いハズだったLibrahack氏が作ったクローラーが違法性があるものとされてしまったという事件ですね。サーバ管理者日誌でもクロールとDoSの違いと業務妨害罪とという記事で20件ほど書かれていて、色々調べていると、やはりシステムの作りが非道いなぁと。それほどの負荷にならなそうなクローラー作って、20日も拘留された挙げ句、犯罪者のレッテルも貼られてしまったとは。個人的にはFirewallで同一SRCIPからのセッション数に制限を行えば、DoS攻撃じゃないとすぐに分かったんじゃなかったのかなと思ったり。
システムの作りも非道いですが(システム屋さんじゃないので言いたい放題だな・・・)、岡崎市中央図書館のデータが他の図書館から流出してしまったってところも、あまりに非道い。
システムのディレクトリごとコピー&ペーストして他の図書館に納品しました。内容は確認してません。いや、カスタマイズの必要もあるんで少し見たんですが、下手に触って動かなくなっても困るんで、必要無いところは手出ししませんでした。結果、テンポラリで使ってた個人情報入りのデータもコピーされたままになってました・・・。
って感じでしょうね。
コメント