カーリルセキュリティアラート「匿名FTPによる図書館内部データの開放について」

日本最大の図書館蔵書検索サイト「カーリル」では、岡崎市立中央図書館事件に関連して発生した図書館の情報流出事故を教訓として、「カーリルセキュリティアラートシステム」を運用し、定期的に図書館システムのセキュリティ問題について確認を行なっております。

今回、2つの図書館システムにおいて匿名FTP(パスワード不要の公開FTP)による内部データの開放を確認しましたので、該当の図書館・自治体及び開発元に対して通知を行いました。
その対応が完了しましたことから、概要を発表いたします。

1.広島県内の公共図書館
・システムの実行ファイル
・データベースのダンプと思われるデータ
・データベースサーバーの内部パスワード
・最終システムリプレイスは2011年5月

2.山口県内の公共図書館
・予約データ(2005年10月~2012年4月6日)
(利用者番号・電話番号等を含む)
・最終システムリプレイスはカーリル運用開始以前

なお、データの詳細な解析は行なっておらず、個人情報の有無については不明です。
データの概要については、ファイル名及び簡単な確認により判別可能なものについて記載しました。

今回の2件とは別に、Windowsのファイル共有ポートが開放されている図書館システムも多数見受けられます。
設定によっては誤って内部データが開放される可能性が高いため、図書館・システム開発元への注意喚起を進めております。

カーリルでは、安心して図書館のウェブサービスをご利用いただけるよう、図書館やシステム開発元とも連携して安全かつ先進的なサービスを提供してまいります。

担当:
吉本龍司(Nota Inc エンジニア/セキュリティアラート担当)

<関連リンク>
カーリルのブログ:岡崎市立中央図書館事件に対するカーリルの見解