岡崎市立中央図書館事件等 議論と検証のまとめ

メニュー(もくじ)

(整理中・・・)
●トップページ

●各種リンク
●2ちゃんねる関連スレッド
●困ったときは





合計: -
今日: -
昨日: -



include_js plugin Error : ファイルの読み込みに失敗しました。URLの指定が正しいかどうか確認してください。
協力およびご指導・ご指摘頂いているたくさんの皆様と,様々な議論,検証,実証,取材,そして多くの成果を出したリンク先の皆様に感謝。






リンク


他のサービス





岡崎市立中央図書館事件の概要スライド


※上記の広告は60日以上更新のないWIKIに表示されています。更新することで広告が下部へ移動します。

よくわかる岡崎市立中央図書館事件の流れ



 このページでは,岡崎市立中央図書館事件の大まかな流れについて,簡単に説明してみたいと思います。
 30枚のスライドを画像として貼り付けていますので,長いページになっていますが,順にゆっくりとご覧ください。
 また,画像にはリンクを張ってあります。画像をクリックすることで,原寸大の画像を閲覧する事ができます。
 元データのパワーポイントファイルは,一番下でリンクしてありますのでお持ち帰り頂けます。また,同じく一番下で Google Docs にアップしたプレゼンテーションにリンクしてありますので,ブラウザ画面一杯に広げてスライドを見ることもできますので,お試しください。

 岡崎市立中央図書館は,総合文化施設「りぶら」の中心的施設として,東海地方最大級の規模を誇る,蔵書数およそ60万冊の図書館です。
 写真はウィキメディア・コモンズより引用しました。

 このページは,詳細な正確さよりも,わかりやすさを主眼に置いています。まずはこのページで概要を把握してから,まとめサイトの詳細項目に目を通していただけると,より理解が深まると思います。

 実際には,図書館の複数の職員や館長,さらには岡崎市そのものの関与があったり,愛知県警と岡崎署,検察は別のプレーヤーだったりします。先に述べた通り,このページではわかりやすさを最優先するため,登場人物を最小限に絞り込みました。

 Librahack 氏は,図書館の WEB サイトに掲載されている新着情報を集めて,自分が使いやすいように整形したデータベースを作ろうとしました。

 Librahack 氏はたいへん読書家で,Amazon の高評価な本を中心に読んでいましたが,読書の幅を広げるために,図書館の新着情報を見て,読む本を探そうとしたのです。
 新着リストだけでは書名や出版社名しか得られず,ISBN や書籍内容の概要などの詳細情報を得るためには,新着情報の一覧だけでなく,詳細情報まで得る必要がありました。

 しかし,図書館の WEB システムのうち,図書検索に関する部分に重大な不具合がありました。それは,新着情報を全部ダウンロードしようとすると,データベースに接続できなくなってしまうというものでした。
 表示されているデータを取得しようとすると,止まってしまうのです。
 幸いな事に,WEB サーバと DB サーバは館内業務システムとは切り離されていたので,定期的に予約情報や目録情報の足並みを揃える処理をする以外は関係がありませんでした。そのため,館内業務は滞りなく行われました。
 (岡崎市立中央図書館のシステム構成は, 図書館が公開している平成21年度版図書館概要PDFの13ページ目 に詳細があります。)

 不具合の原因は,とても粗悪な設計にありました。通常であれば,検索が一つ終われば,その検索に使った WEB サーバと DB サーバの間の接続は,ブラウザとの関係をなくして,再利用できるように設計されます。しかし,岡崎市立中央図書館のシステムでは,WEB サーバと DB サーバの間の接続が,最後の操作から10分間繋がったままになってしまうように作られていたのです。

 しかも,ブラウザとの関係を Cookie というもので保持していたため,Cookie を持っていないブラウザや,Cookie に対応していない Librahack 氏のクローラ等がアクセスすると,WEB サーバは内部で次々と WEB サーバ・DB サーバ間の接続を作り出し,あっという間に接続数の上限に達してしまうというものでした。そのため,一時的に蔵書検索ができなくなるという問題が現れました。
 このとき,WEB サーバは「内部サーバーエラー」というエラーを表示していました。新しい DB サーバとの接続が作れなくなったため,正しい処理が行えなくなっていたのです。
 しかも,そのエラーを表示された人は,ブラウザと WEB サーバの間を取り持つ Cookie が,DB 接続できないままのセッションと関連付けられているため,10分間放置するか,ブラウザを全部閉じてもう一度アクセスするかしないと,何度「更新」ボタンを押したり,検索画面に戻ってやりなおしても,「内部エラー」の状態が続いてしまいました。
 このような状態になるには,10分間に数百人のアクセスがあれば充分でした。しかし,図書館の通常の蔵書検索利用者数は,最大で一時間に四百アクセス程度(ブラウザでの閲覧か,HTTPリクエスト数かは不明)だったため,これまで運良く不具合が顕在化せずに済んでいたのです。

 そこで,メーカーである MDIS は様々な対処を行います。しかし,その対処は場当たりで不適切なものばかりでした。
 検索できなくなる問題を直すには,データベースとの接続を毎回切るようにすればよいのですが,そのような根本的な対策は行われませんでした。
 また,Librahack 氏が当初使っていたさくらインターネットの苦情窓口や,自宅から接続する際に使っていたプロバイダに対する苦情連絡などが行われた様子もありませんでした。
 そのため,Librahack 氏は図書館が自分のアクセスに対して対策を取ろうとしている,ということに,気付く事ができませんでした。
 しかも,MDIS は過去に同様の問題が発生した図書館を知っていました。同じバージョンの同じソフトで起きた同じ不具合を,他の図書館では直していたのです。しかし,岡崎市立中央図書館には,そのことが伝えられませんでした。
 図書館は根本的な不具合の原因を知ることなく,図書館の知る範囲でのみ対策を指示せざるを得ず,結果として不適切な対策ばかりが行われました。

 技術的に明るくない図書館の指示による対策しか行わなかったため,MDIS が実施した対策は結果的に全てが無駄となりました。
 また,Librahack 氏が自宅から接続するようになった時には,Librahack 氏が利用していたプロバイダからの利用者が多数いたため,IP アドレスでのブロックを行う事ができませんでした。

 対策が全て無駄に終り,図書館は切羽詰ってしまいました。そして,仕方なく警察に相談をします。愛知県警岡崎署の生活経済課は,ハイテク犯罪,サイバー犯罪への対応ができる部署です。そこに対策を相談したのです。
 しかし,警察は対策方法を指導するのではなく,事件化することを薦めたようです。(具体的な動向については現在図書館に問い合わせ確認中)

 図書館は警察に相談してから,しばらく悩みます。そして,MDIS と何度か相談をしました。しかし,MDIS は自社製品の不具合を隠し通します。ソフトウェアに問題は無い,大量アクセスによる攻撃だ。この認識は MDIS が一貫して主張している事です。図書館はそれを受け,被害届の提出を行いました。

 警察は被害届を受理して,捜査を行います。しかし,サーバの不具合には気付くことはありませんでした。サーバに繋がりにくいという現象と,その原因になったアクセスのアクセス元を結びつける作業を行い,プロバイダに該当アクセスをした人の個人情報を開示するよう求めたのです。

 そして,家宅捜索が行われました。朝一番に警官たちが Librahack 氏の自宅に踏み込み,家宅捜索を行い,任意で事情聴取を行うために Librahack 氏を岡崎署に連行しました。
 このとき,Librahack 氏は攻撃ではないことを繰り返し主張したそうです。

 しかし,警官にとっては,事件のあらましは「サーバが止まったこと」「その原因が Librahack 氏のアクセスであること」「図書館が実施した対策を『破って』アクセスし続けたこと」の三点が重要でした。そして,調書には Librahack 氏が語った覚えの無い言葉が記されていました。
 Librahack 氏は早く帰宅できることを最優先して,調書にサインしました。彼の妻は双子を身ごもり,臨月を迎えていたのです。そのため,一刻も早く帰りたかったのです。

 しかし,警察はそれらの事情を勘案することはありません。Librahack 氏が故意を否認していること,DoS攻撃になったという内容の調書にサインしたことから,このまま帰すと証拠隠滅やその他の捜査妨害の可能性があると判断し,逮捕状を請求します。裁判所はそれに応じ,逮捕状を発行しました。Librahack 氏は帰宅することなく,岡崎署内で逮捕されました。

 逮捕されると勾留が始まります。勾留中は主に検察が捜査を担当し,警察も引き続いて捜査を行います。

 検察は最初の勾留期限となる10日目までに,Librahack 氏が攻撃を行ったかどうかを追求しました。その結果,攻撃ではないと判断が下されます。しかし,故意認定のため,さらに勾留期限が延長されました。

 20日に及ぶ取調べの後,Librahack 氏は釈放されます。しかし,「起訴猶予処分」となっての釈放でした。これは,法律上は「罪を犯したと考えられるが,起訴するに値しない」という意味です。実際には嫌疑不十分や嫌疑なしといった,無罪放免となる案件でも,検察のメンツのために起訴猶予処分とする場合があるそうなので,ここで Librahack 氏が犯罪を犯したと認定するのは困難です。しかし,氏は「前歴」という汚点を背負わされました。前科ではありませんが,罪を犯したという経歴です。

 MDIS は,製品の不具合を隠していました。

 図書館は,被害届を出す前に,一部の個人情報を警察に渡しました。

 警察は,捜査上重要な部分について,捜査しませんでした。

 検察は,無罪放免とすべき案件を,長期勾留の後起訴猶予処分としました。

 裁判所は苦悩したようですが,結果的に逮捕状の発行は誤りであった可能性が高いと言えます。

 少なくとも図書館が被害届を出した時点で,Librahack 氏のクローラの性能と同等の,国会図書館のクローラに耐えられることが義務付けられていました。
 また,サーバの不具合の原因は,MDIS のソフトの不具合でした。

 しかし,MDIS,および図書館がこの事件を「大量アクセスによる攻撃である」と称している限り,私たちは安心してインターネットを使うことができません。
 それは,通常開示されることのないサーバの性能を予知し,同時に,そのサーバに接続している人たちの数などを検知し,問題が起こらないようアクセスしなければ,最悪逮捕される可能性がある,ということを意味するからです。

 私たちは,そのような状態を良しとしません。
 通常のインターネットの利用を行って逮捕されるのは,行き過ぎです。
 本当に罪を犯した人は逮捕され処罰されるのは当然です。しかし,罪を犯したのではない人が逮捕され,起訴される寸前まで行ったことは,健全な情報処理技術の発展に対する障害であると考えます。

 どうか,この事件を忘れないでください。
 かつてあった,他社のリコール隠しと同じように,記録に残してください。
 そして,この事件について,詳しく知ってください。
 十年以上前から当たり前に使われていた,WEB ダウンローダなどのフリーソフトを使うことで逮捕される可能性が出てしまいました。
 あなたも当事者たりえるのです。


 この画像を出力した 元のPPTファイルはこちらからダウンロード してください。
  Google Docs を利用したプレゼンテーションの閲覧はこちら からご覧になってください。
 PDF は こちら
 クローラについての概要は こちらのスライドを参照 してください。

 参考リンクはそれぞれ

 です。
 文責:杉谷 智宏

更新履歴

取得中です。



アクセス元


申し訳ありませんが、recent_ref プラグインは提供を終了し、ご利用いただけません。