岡崎市立中央図書館事件等 議論と検証のまとめ

メニュー(もくじ)

(整理中・・・)
●トップページ

●各種リンク
●2ちゃんねる関連スレッド
●困ったときは





合計: -
今日: -
昨日: -



include_js plugin Error : ファイルの読み込みに失敗しました。URLの指定が正しいかどうか確認してください。
協力およびご指導・ご指摘頂いているたくさんの皆様と,様々な議論,検証,実証,取材,そして多くの成果を出したリンク先の皆様に感謝。






リンク


他のサービス





電凸情報その2


※上記の広告は60日以上更新のないWIKIに表示されています。更新することで広告が下部へ移動します。

電話取材などの情報


 このページでは,転載許可を得た,またはご連絡いただいた皆様の取材結果を原文で転載しています。時系列通りに並んでいるとは限りません。また,一次ソースに当たることが難しい場合もありますので,一次ソースへのリンク等が無い場合は,そのつもりでお読みください。
 2ちゃんねるやblogなどで取材をしていた方を見かけた場合は教えてくださると大変助かります。


杉谷による岡崎市立中央図書館電凸二回目


 9/3
 副館長:総務いちかわ

 箇条書きメモを書式整理して書きます。質問順序は一部前後しています。

  • 大羽良・同館長は21日、同市役所で報道陣に対し、「(男性の自作プログラムに)違法性がないことは知っていたが、図書館に了解を求めることなく、繰り返しアクセスしたことが問題だ」と説明した。
    ↑これマジ?いつから知ってた?
    • 館長は客観的なことしか言っていない
  • 被害届を出すという決定は誰が行った?
    • 組織なのでずーっと上まで決済を出して
  • 図書館として?責任は館長?その上?
    • 決済を直にみてみないとわからない
  • 被害届を出すことに決めた理由は?(記載内容)
    • ホームページが利用できない状況があったので被害届を出したと
    • 内容はしっかり見てみないとわからない
  • MDIS と保守契約 はありました?
    • 保守契約はしていた
  • 瑕疵担保期限は切れてませんでした?
    • 書類を見てみないとなんともいえない
  • 攻撃だと判断したのはMDISの報告書にそうあったから?(記載内容)
    • MDISの報告書に書いてあった から
  • 警察官と「この人ですか?」と確認したとき,令状や捜査事項照会書はありました?
    • 見てない
    • 職員全員に確認しないとわからない
  • 国立図書館からの指示書?があるのを知ったのはいつ?
    • 新聞など報道で見た
    • 公文書できているかもしれないが確認できていない
  • 被害届を出すということは,事件にして相手を処罰することだと知って出した?
    • 警察と相談した うえで被害届を出すということにした
    • 組織として納得して出した
    • 警察がそう(処罰することまで説明したうえで出したと)考えているのであればそう
  • robot.txtが3/20に更新されているが知っていたか?
    • MDISが対応するという話はそのときなかった
    • (robots.txt のことはよくわからない?)
    • 報告書見ないと解らない
  • 館長はいつ捕まえられる?
    • 不在が多いのでわからない

杉谷によるMDIS電凸第二回/第三回/第四回


 9/3

 いろいろあって連続で電話したのでまとめて書きます。
 箇条書きメモを書式整理して書きます。質問順序は一部前後しています。
 MDISの情報公開方針に則って回答,全ての関連情報が広報に集まっているわけではないので詳細が答えられない場合がある,との前提。

  • 岡崎(クローラでコケた)と同様の事象が他の自治体で出たという情報はあったか
    • 問題があったというのは来てない, 岡崎が始めて
    • 情報共有は(本社・支社・地方オフィス含めて)できている ,問題なかった
  • 情報共有ができてなかったという話があるが
    • 情報共有には問題なかった
  • 2008年から複数の問題が出ているが,それが共有されていたはずであれば何故岡崎は2010年段階で修正されていなかったのか
    • 個別のプロジェクトなので 答えられない
  • パッケージソフトですよね/受託開発ではないですよね
    • パッケージである
  • 岡崎は保守契約を結んでいる,保守の内容では?
    • お客様との契約内容なので答えられない
  • 一般論としては?
    • 答えられない
  • 契約の内容によってはカスタマーに情報が降りない形がありうるか
    • 仮定の問いには答えられない
  • そのような契約形態はこれまでにあったのか
    • お客様との関係に関わるので答えられない
  • 岡崎でほかで起きたのと同じ対策を一度やっているが?
    • 個別なので答えられない

  • 朝日新聞神田記者の取材で「不具合という認識は色々な方が持たれること。我々は設計上のことだと考えているが,改善の余地がある」とあるのですが、設計上ってどういう意味か
    • MDISは不具合にはあたらないと思っている
  • 10分何回という上限値が決まってくるというのが設計上の話と理解してよいか?
    • 上限があるのは不具合ではない
  • 上限があまりにも低かったのではないか
    • 答えられない
  • 上限が各地バラバラなのはどういう意味か
    • 個々の契約にかかわる事なので答えられない
    • システムベンダの基本としてはお客様のニーズに合わせたとしか言えない
  • カスタマイズで対応したのか
    • なんとも言えない
  • 負荷テストというのはどの程度やっているのか
    • 個別の問題なので答えられない
  • パッケージとしての負荷テストは
    • 普通のテストは充分行っている,具体的には答えられない

  • プレスリリースで出たトピックの中で,「大量アクセス」とはどの程度のアクセスか
    • 書いてある通り「大量アクセス」としか言えない
  • 人によって受け取り方の感覚にバラツキが出ると思うが
    • そういう疑問があるというのはわかった
    • 定量的にこう,という意味で書いているのではない
    • 「大量アクセス」というものでつながりにくくなったという意味
  • (大量アクセスという言葉を使わず)正確に書いてもらえないと理解は得られないと思うが
    • そういう意見があるということはわかった
    • 今出るものはこのトピック, 量的には公表できない
  • 岡崎の件で,中部支社が愛知県警と技術協力,捜査協力をしたという話があるが
    • 把握していない。
    • 捜査協力というものではないはずだ

杉谷による愛知県警への電凸第四回


 9/3 MDIS の「捜査協力ではない」を受けて

  • MDISは捜査協力していないと言っているが
    • 警察は捜査協力だと思っている
  • 現象確認に立ち会ってただけ?ログ解析とかは?
    • ログは警察で分析した。
    • 表立って捜査協力したわけではないという意味ではないか
    • 被害届が連名でないという関係で,第三者だという立場で言っているのではないか
    • 通常の保守プラスアルファという意識で立ち会っていたのではないか


杉谷による電凸取材の感想


 いくつか,意見の食い違いが認められた。
 たとえば,被害届の提出に至る点。
  • 警察は被害届を「図書館と業者が相談して出した」と言っている
  • 図書館は被害届を「図書館と警察が相談して出した」と言っている
 この点はMDISの関与についても似たようなズレがある。
  • MDISは警察への捜査協力を否定
  • 警察はMDISの捜査協力を肯定
 MDISは徹底して第三者でいようとしているのではなかろうか。しかし,警察はMDISが関与していると認識している。おそらく,MDISは図書館とは口裏を合わせたものの,警察とまではそれができなかったからこのようなズレが生じているのではないかと考えられる。
 その他,次のようなズレも見つかった。
  • 神田記者の取材では,「MDISは内部で情報共有がうまくいかず,岡崎をメンテできなかった」との情報があった。
  • 杉谷がMDISに問い合わせたところ,「MDISは情報共有ができている,かつ,岡崎の件が始めてだった」との回答を得た。
 また,MDISは「上限があるのは不具合ではない」「(上限は)顧客ニーズに合わせている」との回答をしている。故意に上限を下げているとも受け取れる内容だ。

 もう少し詳細を洗い出す必要がある。


杉谷による愛知県警への電凸第五回目


 9/8

 そろそろしつこくなってきたのでいいかげん落ち着きます('A`)

  • クローラの詳細は分析したのですか?その結果は?
    • 捜査員はそのあたりの調査をしていない。 情報管理課で確認をしたが,詳細までは確認していない。具体的な内容については個々の事件の具体的な内容にあたるので答えられない。
  • 逮捕に至るまでの一ヶ月間で,故意認定など捜査の内容は?
    • 今回, 特殊な事情 があった。事件捜査の具体的内容なので話せない。故意認定に関して,そのあたりの捜査はしっかり行っている。IPの動きなどで犯意があるのではないかと判断した。
  • 逮捕状はどのようなものだったか
    • 偽計業務妨害で,因果関係も記してあった。家宅捜索令状も同様。
  • 勾留中の取り調べ内容について具体的に教えてください
    • 検察との絡みが出てくるので答えられない。勾留になったら検察の身柄になり,検察が起訴するかどうか調べる。 librahack氏のプログラムがどうだったか,というのは直接影響しない が,捜査の必要上どのようなものだったか調べた。
  • MDISの認めた接続上限を警察は知っていたか?
    • 捜査に関係ない。 それまで正常に動いていたのが,一部の人のアクセスが始まったことによって不具合が生じたので,因果関係を認めて,業務妨害として捜査した。
  • 図書館サーバに不具合があったかどうかで故意認定に影響するのではないか?
    • 警察は不具合とは思っていない。それまで正常に動いていたため。 万が一不具合が合ったとしても,それまで正常に動いていたということは正常であるという扱い。
  • 利用者はどのような対応をすればよい?
    • おかしいなと思ったら問い合わせをする なりなんなりすること。
  • 警察は捜査段階でlibrahack氏に警告しようとはしなかった?
    • それは被害者が考える事。 被害届を出したということは処罰を望むと言う事なので警察は警告するということを考えない。
  • MDISの捜査協力とは?
    • MDISの直接の力添えはなかった。 警察から図書館への問い合わせを行った際に,図書館と業者が相談して答えた,という感じ。 顧客対応の一部としてのこと ではないか。
    • 被害者が警告で済ませるのではなく,処罰を求めるということの判断材料,被害届を出す前の心積もりとしてのことではないか。
  • 被害届の主体は
    • 図書館が責任を持って被害届を出す,ということ。MDISはあくまでも判断材料を出しただけではないか。


杉谷によるMDIS電凸五回目


 9/13

 ほとんど問い合わせる点もなくなってきたので二点だけ。

  • 御社の2010年9月3日見解における「大量アクセス」は,2009年7月10日公布,2010年4月1日施行の改正国立国会図書館法等で示された「一秒に一回程度のクロール」を越えるものと理解してよいか
    • 会社を代表して 見解以上に詳細な内容は答える事ができない
  • 御社の下間元取締役が8月31日付けで退任し,100%出資子会社の株式会社テクノウェアの社長も退任しているが,MELIL/CSの問題と関係あるのか
    • 関係ない

 MDISとしては9月3日見解をもって事件を収束させたいのだろうと思いました。ただ,本来非公開のはずの取締役退任理由について,補足としてこれくらいなら話しても,ということでお話し頂けたのは収穫だったと思います。
 テクノウェアのサイトが消滅しているなど,いろいろ不審な点もありましたが,広報担当のカマタ氏がそのように仰っていたので,間違いのないことだろうと思います。


九月九日から十一日にかけての問い合わせメールに対する岡崎市立中央図書館からの回答


 ちょっとこれまでの情報とは食い違うので,一問一答毎に確認できる範囲で注釈してみます。
 手元には日経コンピュータの8/4号が無かったのですが,でゅらはん氏から該当部分の引用文をご提供頂きましたので,追記します。
 また,朝日新聞8/25付け記事についても,三重県在住の方から間接的に,また匿名の方からテキストに起こしたものをご提供頂きましたので,該当部分を追記します。
 情報提供頂いた方々に深く感謝致します。

 とりあえずQ&Aの一問一答にぶらさげて注釈を入れます。

  • 質問
    • 回答
      • 注釈
引用
 といった格好にします。

  • Q.新着図書データベースへの大量アクセスとは,データベースへの直接のアクセスのことでしょうか。お答えください。
    • A.蔵書の詳細資料を電子化して収めたデータベースへのアクセスです。
      • 蔵書の詳細資料を電子化して収めたデータベースは,WEB サーバのバックヤードに位置しているはず。WEB サーバと同じ機械に DB サーバの機能も持たせることはできるが, 目録サーバが別途存在していた(図書館の公開情報による) ので,WEB サーバと DB サーバは別の機械と考えるのが普通。となると,直接 DB サーバに接続したということになるが,これは WEB サーバからの接続のことを指す。「大量アクセス」をしたのは WEB サーバであって,Librahack 氏のクローラはそのトリガーでしかないという意味か?

  • Q.市民からの苦情,問い合わせは何度あり,それは何月の何日でしたでしょうか。お答えください。
    • A.「日経コンピュータ8月4日号」に「動かないコンピュータ」として特集された記事をご参照ください。記録はつけていないため、問合せの実数はわかりません。
      • 手元に無いため確認できません。情報求む。
【引用者注:問い合わせ数に関する記述はありません。】

 この蔵書検索システムが、外部から突然利用できなくなったのは、2010年3月15日のこと。「一般市民から『図書館のホームページにつながらない』という電話連絡を受けて気がついた。これまでそういう経験はなかったので驚いた」。岡崎市教育委員会 図書館交流プラザ中央図書館企画班の三浦建仁氏は、こう語る。(日経コンピュータ 8月4日号 P78 より)

  • Q.大量のアクセスとは,どの程度のものだとお考えでしょうか。具体的にお答えください。
    • A.数値的なことについては、これまでもマスコミ等でさまざまに表記されてきたことから、当方からこれ以上新たに申し上げることはございません。「日経コンピュータ8月4日号」に「動かないコンピュータ」として特集された記事や、8月21日付け朝日新聞(朝夕刊)をご参照ください。
      • 参照できる記事はこちらの記事 になります。 十分間に千回 という数値が出されています。 こちらの記事 では,「図書館側へのアクセスは14日間に3万3千回で、 秒間約1回 」という数値が出されています。 図書館はこの値を「大量アクセス」としている,と解釈できます。
 3月15日以降、DBサーバーへのリクエスト件数が、ピーク時で10分間に2000件に達していた。通常の20倍以上というアクセスによって、DBサーバーが過負荷状態に陥った。(日経コンピュータ 8月4日号 P78 より)

  • Q.他の利用者に考慮するとは,一体どのような考慮を指しているのか,具体的にお答えください。
    • A.同じドメインを持つ図書館利用登録者が多数存在していることを考慮する、ということです。
      • 同じドメインを持つ図書館利用登録者,というのがダブルミーニング。「同じドメインを持つ図書館」の「利用登録者」に考慮するのか,「同じドメインを持つ」「図書館の利用登録者」に考慮するのかで意味が全く違います。前者であれば,同じドメインに接続している利用者となりますが,後者なら同じプロバイダからの利用者になります。いずれにしても, 考慮しようにもサーバの限界性能を認識できなければならず,事実上不可能と言えます。

  • Q.最初に警察に相談した日時を正確にお答えください。何日の何時何分かが必要です。
    • A.「日経コンピュータ8月4日号」に「動かないコンピュータ」として特集された記事をご参照ください。時間は記録していませんが、夕方でした。
      • 手元に無いため確認できません。情報求む。夕方,というのが正しければ, 3月20日15時15分頃にrobots.txtが更新された数時間後に相談をしている ことになります。
【引用者注:時間は不明。】

 これと並行して図書館は3月21日、愛知県警岡崎署に「迷惑アクセスを受けている」と連絡した。「どこに相談すべきか分からなかったので、まずは警察に話をした」(三浦氏)
 アドレスのブロックも、効果はなかった。アクセス元のIPアドレスは、3月までは県外だったものだったが、4月以降は愛知県内の ISP(インターネット接続事業者)のものに変わった。このISPのIPアドレスのブロックはしなかった。
 そこで図書館は4月15日、岡崎署に被害届を提出。被害の証拠として、Webサーバーなどのログファイルを提出した。(日経コンピュータ 8月4日号 P79 より)

  • Q.八月二十一日報道対応において「男性のプログラムに違法性は無い」と言及されましたが,その認識はいつからお持ちになられたのか,お答えください。
    • A.「男性のプログラムの違法性の有無」に言及はしておりません。
      • 8月22日付けオンライン版朝日新聞の記事 で,『大羽良・同館長は21日、同市役所で報道陣に対し、「 (男性の自作プログラムに)違法性がないことは知っていた が、図書館に了解を求めることなく、繰り返しアクセスしたことが問題だ」と説明した。』と記載されています。明確に矛盾しています。

  • Q.最初に警察に相談する際に,業者とどのような相談をしたのか,具体的にお答えください。
    • A.記録は残っていませんが、 相手の目的が何であると思われるか、アクセスを止める方法があるのか、といったことについて です。
      • 特に問題のある内容ではありません。

  • Q.被害届を出すように勧められたのは,どこに所属している警官からですが,具体的にお答えください。
    • A.被害届は岡崎警察署に提出しました。その際に窓口となったのは、生活安全課です。
      • 回答になってません・・・ 誰に勧められたかを尋ねているので,出した窓口は関係ありません。

  • Q.大量の図書データ情報を入手できるような状態を想定していなかったのは,MDIS ですか,図書館ですか,お答えください。
    • A. 図書館は想定していませんでいした。 MDISについては組織が異なるため、当方では答えかねます。
      • 特に問題のある内容ではありません。

  • Q.保守契約に瑕疵担保は含まれていましたでしょうか。お答えください。
    • A.含まれています。
      • 特に問題のある内容ではありません。

  • Q.業者が,被害届を出す前に不具合を認識していた可能性があります。すでにウェブ上で指摘されていることですが,それを鑑みて,被害届が妥当であったとお考えでしょうか。お答えください。

  • Q.robots.txt が三月二十日十五時十四分五十三秒に更新されています。これは業者が他の図書館で不具合を隠すために行った措置と一致します。これについてどのようにお考えでしょうか。お答えください。
    • A.図書館がMDISに対して、大量アクセスへの当座の対処を依頼したため、MDISが一策としてrobots.txtの内容を一部変更しました。
      • 同時期に警察にも相談しているため, 図書館が主体的に対策を行おうとしてい たと読めます。

  • Q.大阪府貝塚市で,2009年までに同じシステムで同じ障害が起きたとき,MDIS は障害として対応していました。これをどのように判断するか,お答えください。
    • A.MDISからは、当方とまったく同様の障害ではない、と聞いています。
      • 貝塚市民図書館が神田記者に答えた内容 と食い違います。 大阪支社が貝塚市民図書館に行った説明と,中部支社が岡崎市立中央図書館に行った説明に齟齬がみられますが,電話取材では「MDIS の社内で情報共有はしっかりできている」との回答を得ています。

  • Q.攻撃だ,と考えたのは,MDIS がそう言ったのですか,図書館がログを見て判断したのですか,お答えください。
    • A.「日経コンピュータ8月4日号」に「動かないコンピュータ」として特集された記事をご参照ください。攻撃だと判断したわけではありません。
      • 手元に無いため確認できません。情報求む。
【引用者注:本文中に『攻撃』という言葉はありませんので関連していそうな部分を引用します。】

 ところがその後、3月16日と18日にもシステムが利用できなくなった。ログファイルを調べたところ、「3月15日以降、毎日午後6時ごろに、外部から大量アクセスがあることが分かった」(岡崎市教育委員会の三浦氏)
(中略)
 3月15日以降、DBサーバーへのリクエスト件数が、ピーク時で10分間に2000件に達していた。通常の20倍以上というアクセスによって、DBサーバーが過負荷状態に陥った。
(中略)
 これと並行して図書館は3月21日、愛知県警岡崎署に「迷惑アクセスを受けている」と連絡した。(日経コンピュータ 8月4日号 P78~79 より)

  • Q.実際に被害を確認した日はいつですか,何回ですか,正確に全ての日時をお答えください。
    • A.「日経コンピュータ8月4日号」に「動かないコンピュータ」として特集された記事をご参照ください。大量アクセスは日々続いていましたので、それをすべて被害と見なせば、3月15日以降逮捕の日までの毎日が被害を受けた日となります。
      • 手元に無いため確認できません。情報求む。
【引用者注:3月15日はログ等の確認はせず現象を把握しただけで再起動。】

 同システムは、三菱電機インフォメーションシステムズ(MDIS)が導入した。保守運用もMDISが担当している。15日はMDISの保守スタッフが不在だったことから、図書館の担当者がデーターベース(DB)サーバーを再起動した。
(中略)
 ところがその後、3月16日と18日にもシステムが利用できなくなった。ログファイルを調べたところ、「3月15日以降、毎日午後6時ごろに、外部から大量アクセスがあることが分かった」(日経コンピュータ 8月4日号 P78 より)

  • Q.業者は全ての被害確認に立ち会ったのかどうか,お答えください。立ち会っていない日があるなら,それはいつだったかについてもお答えください。
    • A.毎日とはいいませんが、 当時も現在も、週に3・4日は来館 しています。
      • 特に問題のある内容ではありません。

  • Q.警察官と,この人ですかと四名確認したのは何日か,お答えください。
    • A.捜査に関することについて、当方では回答いたしかねます。
            • ふむ('A`)

  • Q.そのときの令状の名目,または照会書の名目はなんでしたか,お答えください。
    • A.捜査に関することについて、当方では回答いたしかねます。
      • とりあえず,何も無かったらしい,ということは把握しているんですが,確定情報ではありません。令状はありませんでしたが,照会書はあった可能性があります。

  • Q.図書館側は「令状をもった捜査が行われた事はない」と言っていますが,事実かどうかお答えください。
    • A.そういった発言はしていません。

  • Q.四月以降,状況は確認しましたか,それはいつですか,全ての日時についてお答えください。
    • A.「日経コンピュータ8月4日号」に「動かないコンピュータ」として特集された記事をご参照ください。細かい記録はつけていません。
      • 手元に無いため確認できません。情報求む。
【引用者注:4月以降のアクセスに関する記述はこの部分のみ。記事を読む限りでは4月以降実質放置。】

アクセス元のIPアドレスは、3月までは県外だったものだったが、4月以降は愛知県内の ISP(インターネット接続事業者)のものに変わった。このISPのIPアドレスのブロックはしなかった。(日経コンピュータ 8月4日号 P79 より)

  • Q.四月二日に,警察のほうから図書館に連絡があって,捜査できるかも知れないと言われたそうですが,そのときどこに所属の警官から連絡があったか,お答えください。
    • A.連絡窓口となったのは、岡崎警察署生活安全課です。
      • ということは, 岡崎署生活安全課の担当者が事件化を勧めた?

  • Q.被害届を出す前に,警察が「被害届を出すということは,事件にする,捜査する,処罰を与えるということを求めるということ」といった説明があったことがわかっています。組織としてそれらを踏まえて被害届を提出したのかどうか,お答えください。
    • A.警察が被害に値するとの見解を示したため、被害届を提出しました。
      • 警察の見解である,とのこと。愛知県警に電話した内容では,図書館とMDISが協議して被害届を提出したと言っていましたが, 図書館側は警察が被害に値すると言った,と主張 していることになります。

  • Q.九月一日見解について,どのような調査をしたという意味でしょうか。具体的にお答えください。
    • A.ログを確認したということです。
      • 図書館がログを確認した というのは新情報。

  • Q.同じく「犯罪性はあるのか、また相談窓口はないか」について相談した結果は,どのようなものだったのでしょうか,お答えください。
    • A.具体的な成果(相談窓口等)は得られませんでした。
      • 岡崎署から具体的な対策の指導や相談窓口の案内が無かった ことが確定したのは新情報。

  • Q.同じく「自動プログラムを用いて短時間に大量の図書データ情報を入手できるような事態は、想定していませんでした。」とありますが,想定していなかったのはソフトウェアを開発した会社様でしょうか,図書館様でしょうか,お答えください。
    • A.先の質問と同じ回答になります。図書館は想定していませんでした、MDISについては組織が異なるため、当方では回答いたしかねます。
      • 特に問題のある内容ではありません。

  • Q.九月六日の市議会答弁について,システムの改修に追加予算が発生しなかった,つまり,保守契約内での対応であったと答弁しておられますが,何故保守契約内で対応できたのでしょうか。具体的にお答えください。
    • A.顧客サービスととらえていますが、業者の正確な意図については組織が異なるため、当方では回答いたしかねます。
      • DB 接続の方法を変更するということはシステムの根幹部分をいじるということで,相応にテストする工数も発生することが予測される結構な規模の変更ですが,顧客サービスで済む範囲なんでしょうか?ちょっと杉谷の感覚では判断しかねます。

  • Q.業者は警察に協力したのでしょうか。お答えください。
    • A.図書館システムの内容についての質問には受け答えしたことがあるだろうと想像しています。具体的な内容はわかりかねます。
      • 特に問題のある内容ではありません。

  • Q.被害届を出すに際して,相談した相手を全てお答えください。
    • A.日経コンピュータ8月4日号」に「動かないコンピュータ」として特集された記事をご参照ください。相談相手等はありません。
      • 手元に無いため確認できません。情報求む。
【引用者注:事前に相談はしていないもよう。警察に届けて出て以降まともな対策がなされないまま放置した結果、5月25日に逮捕されることになる。】

 もっとも図書館の担当者は、マッシュアップといった利用形態も、JRCERT/CC の存在も知らなかった。最寄りの警察に相談する以外、手段が思い浮かばなかったという。愛知県教育委員会の三浦氏は、「大量アクセスをするといった相談が、(Librahack氏から)一切なかった」と不満を述べる。(日経コンピュータ 8月4日号 P80 より)

  • Q.国立国会図書館法が2009年7月に改正・公布され,同年8月には周知されております。その時点で,クローラによる情報収集に耐えられるシステムであることが求められていたのですが,これについてどのようにお考えか,お答えください。
    • A.8月25日付け朝日新聞朝刊をご参照ください。現在国会図書館に確認しながら、対応しています。
      • 紙面の提供を頂き,確認しました。
岡崎市立図書館は「問題を把握しておらず,MDISに確認し,対応を検討したい」と話し,MDISは「各図書館に問題を報告し,対応したい」としている。

  • Q.同法の施行が2010年4月にありました。これに先立って,国会図書館から毎秒一回程度のクローラによる情報収集が行われる旨の周知がありました。この法に基づく対処が適切に行われていたのかどうか,お答えください。
    • A.8月25日付け朝日新聞朝刊をご参照ください。現在国会図書館に確認しながら、対応しています。
      • 紙面の提供を頂き,確認しました。
岡崎市立図書館は「問題を把握しておらず,MDISに確認し,対応を検討したい」と話し,MDISは「各図書館に問題を報告し,対応したい」としている。

  • Q.逮捕された男性のクローラは国立国会図書館のクローラと同程度の性能であったことがわかっています。もし,逮捕劇がなく,国立国会図書館法に則って robots.txt を更新した場合,国会図書館のク ローラによってシステムがダウンしたであろうことが予測されます。被害届は妥当であったかどうか,お答えください。
    • A.仮定の話については回答いたしかねます。
      • これは質問が悪かったかも。

  • Q.MDIS がシステムに不具合があることを知っていて隠していたことがわかっています。少なくとも2006年には問題が修正されたバージョンのシステムがリリースされています。また,2008年から,岡崎市立中央図書館で発生したものと同じ,クローラに耐えられない問題を,各地で個別に対処しており,かつ,MDIS 社内で事例が共有されていたことがわかっています。MDIS に対してどのようにお考えか,お答えください。
    • A.本件に関するさまざまな事項については、MDISと協議しています。MDIS社内でどのような動きがあるかについては、当方では確認しかねます。
      • MDISがあんなんじゃなければ,特に問題がある内容ではないんですが・・・感覚的にちょっとズレてるような。質問が悪かったかも。

  • Q.三月十九日に業者が「ロボットによるアクセス」と報告し,三月二十日にrobots.txt が修正されました。これは,図書館側からの指示によるものでしょうか,どなたかのアドバイスでしょうか,お答えください。
    • A.図書館がMDISに対して、大量アクセスへの当座の対処を依頼したため、MDISが一策としてrobots.txtの内容を一部変更しました。
      • 図書館の指示によるもの というのは新情報。

  • Q.同じく三月二十五日,試着図書一覧ページの URL が日ごとに変化するよう変更されました。これは,図書館側からの指示によるものでしょうか,どなたかのアドバイスでしょうか,お答えください。
    • A.「日経コンピュータ8月4日号」に「動かないコンピュータ」として特集された記事をご参照ください。
      • 手元に無いため確認できません。情報求む。
【引用者注:記事からはMDISの提案で対応したように見える。】

 MDISがまず取った対策は、新着図書ページのファイル名の変更だ。ファイル名を変えれば、外部からのアクセスが減るかもしれないと判断した。(日経コンピュータ 8月4日号 P78 より)

  • Q.同じく三月三十一日,さくらインターネットからのアクセスをファイアウォールで遮断するよう設定が行われました,これは,図書館側からの指示によるものでしょうか,どなたかのアドバイスでしょうか,お答えください。
    • A.「日経コンピュータ8月4日号」に「動かないコンピュータ」として特集された記事をご参照ください。MDISからの提案を検討し、図書館が指示を出しました。
      • 手元に無いため確認できません。情報求む。
【引用者中:ファイル名変更が無意味だったため、外部アクセスをブロックすることになる。】

 次に試みたのが、外部アクセスのブロックだ。ログを調べたところ、大量アクセスは常に一つのIPアドレスからだった。そこで3月31日、同アドレスからのアクセスをブロックした。(日経コンピュータ 8月4日号 P79 より)


@keikuma 氏が入手した,岡崎市立中央図書館内で閲覧された神田記者から図書館宛メールの概要


メールの内容。今回の事件に関する調査を進めている。LibraHack氏のプログラムについて専門家に分析を依頼しており、LAC社から以下の様な回答を得た。「(LibraHack氏の)プログラムは一般的なクローラー」 #LibraHack
http://twitter.com/keikuma/status/25001442795

続き)「このプログラムの仕様でサーバに掛かる負荷は、同社がウェブサイトが正しく動作しているかどうかを診断する場合にかける負荷の半分以下」「仮にこの程度の負荷でサーバーが重くなったり落ちたりしてしまったとすれば『サイトに問題がある』と指摘するレベル」 #LibraHack
http://twitter.com/keikuma/status/25001451198

続き)「データベースサーバへのコネクションを巡って何らかのバグが放置されている可能性が高い」「このまま放置した場合、図書館や利用者が不利益を被る可能性が高い」「公的サービスでもあるので、サーバを管理している会社にバグがないかの確認を求めた方が良いのでは」 #LibraHack
http://twitter.com/keikuma/status/25001459825

以上)図書館M氏から、図書館総務I氏への転送。7月20日13時21分。 #LibraHack
http://twitter.com/keikuma/status/25001532468

これらの指摘に対応して、MDISに対する質疑があって然るべきだと思うのだけれども、@Vipper_The_NEET の開示請求で出てこなければ、1)隠している 2)あえて文書にしなかった 3)訊かなかった のいずれかということになるが、いずれにしても問題だ。 #LibraHack
http://twitter.com/keikuma/status/25002804811

この頃にはWebや取材などを通じて、図書館システムのプログラムの欠陥の可能性について、認識していてもおかしくは無かったわけですが、情報を入手し、共有していた事実を明らかにできた意味はあると思っています。 #LibraHack
http://twitter.com/keikuma/status/25003014895

更新履歴

取得中です。



アクセス元


申し訳ありませんが、recent_ref プラグインは提供を終了し、ご利用いただけません。