ITmedia NEWS > ネットの話題 >
セキュリティ・ホットトピックス

「SIerとしての責務を果たせていなかった」 図書館システム問題でMDIS謝罪

» 2010年11月30日 20時30分 公開
[ITmedia]

 三菱電機インフォメーションシステムズ(MDIS)は11月30日、同社が愛知県岡崎市立図書館など全国の公立図書館に納入した図書館システムで、アクセス障害や個人情報流出を引き起こしたことについて謝罪した。「システムインテグレーターとしての責務を十分に果たせておらず、根本原因は弊社にある」とし、再発防止に努めるとしている。

「サイバー攻撃」

 問題の発端は今年3〜4月、岡崎市立中央図書館に納入した図書館システム(製品名は「MELIL/CS」)で断続的に起きたアクセス障害だった。同図書館のWebサイトから蔵書を検索できる機能などを備えていたが、このWebサイトにつながらないと市民から苦情があったという。

 外部プログラムによる高頻度のアクセスが障害の原因だとして、同図書館は愛知県警に被害届を提出。愛知県警は「故意の大量アクセスで障害を発生させた」、つまり「サイバー攻撃」だとして、新着図書情報を取得するためのプログラムを作成・運用していた同県内の男性を偽計業務妨害の疑いで逮捕した。だが、名古屋地検は悪質性はないとして、男性を起訴猶予処分にしていた。

 男性は起訴猶予処分後の6月、Webサイトで当時のサーバ構成や経緯などを詳細に報告した。実際の状況が明らかになるにつれ、クローラーなどを利用するネットサービスの運営者などから「ネットでは常識的な程度のアクセスであり、逮捕はおかしいのでは」と批判の声が高まった。

 8月には朝日新聞の報道で、MDISのシステム自体に問題がある可能性が濃厚となった。こうした状況で同図書館が発表した説明に対してもネットでは批判が集まっていた。

原因は「1アクセスにつき10分間のDB接続を維持」する仕様

 同社によると、このシステムは、Webサイトへの1回のアクセスにつき、データベース(DB)との接続を10分間にわたって維持する仕様だった。DBへの同時接続可能数には設定値があり、これを超えると新規のアクセスはできなくなる。

 クローラープログラムなどによる機械的なアクセスに対しても、1アクセスに対しその都度10分間のセッションが発生することになる。比較的高頻度のアクセスに対しても、10分間のセッションがそのアクセス数の分発生した結果、同時接続数が設定値(朝日新聞の報道によると約1000)をオーバーし、ほかのユーザーがアクセスできなくなる状態に陥った──というのがMDISの説明だ。

 障害発生の連絡を受け、同社は「他の利用者へのサービスを優先し、機械的なアクセスを回避する種々の処置を講じたが、完全な回避はできなかった」という。

 だが6月になり、ほかの図書館でも高頻度な機械的アクセスがあった。このため、対策として、DB接続を一定時間維持していた従来の仕様を、アクセスの都度接続する仕様に改めた。6月末から改良開発を開始し、11月15日までにこのシステムを使っている28図書館で改修を完了したという。

 逮捕された男性が経緯を報告した6月の時点で問題を認識していたことになるが、同社は公表はしていない。また朝日新聞の報道によると、2006年の時点で問題を解消したソフトを開発していたという。岡崎市立図書館のシステムは05年に納入されたものだった。

 同社は一連の経緯について、(1)最初のアクセス障害が起きた3月中旬の時点でシステム解析や性能調査による原因の究明を行わなかった、(2)図書館への説明も不十分だった、(3)障害情報を開発部門で分析し対策を講じることを怠った──と、結果的に3月から3カ月の間、アクセス障害の可能性が残ったことについて非を認めた。

 今後は、障害の発生を顧客担当SEが開発部門に対し迅速に伝えるなど、情報共有を徹底するほか、製品管理の強化に努めるとしている。

 同社のニュースリリースには、逮捕された男性への言及はなかった。

ミスが重なり3000人の個人情報流出

 8月上旬には、MDISの図書館システムを販売しているパートナー企業のサーバから、岡崎市立図書館など3カ所の図書館利用者の氏名、住所、電話番号などの個人情報3000人分がネットを通じて外部に流出したことも発覚した。

 同社によると、システム改良時に、新機能を図書館でテストし、作業後にプログラムを自社に持ち帰ることがあったという。その際、持ち帰ったプログラムに個人情報が含まれていることに気付かず、個人情報を含むプログラムの一部を製品マスターに登録してしまった。そのまま出荷してしまったため、図書館システムを導入したほとんどの図書館に、ほかの図書館の個人情報が存在するという事態になったという。

 さらに、同システムを販売していた九州地区のパートナー企業が、サーバをanonymousに設定するというミスが重なった。このためサーバは誰でもアクセスできる状態になり、第三者によってプログラムとデータをダウンロードされ、個人情報が流出する結果を招いた。

 プログラムがダウンロードされたことは8月上旬に認識していたが、「個人情報流出について、弊社の確認が不十分であったことから、流出情報の確定まで約4カ月を要する事態となった」と弁明している。各図書館システム内に残った個人情報は11月19日までに削除を完了したという。

 今後、出荷の際に個人情報が存在していないことを検索ツールやクロスチェックで確認するなど、再発防止策を徹底するとしている。

Copyright © ITmedia, Inc. All Rights Reserved.