岡崎市立中央図書館ウェブサイト「サイバー攻撃」事件の詳細 336
ストーリー by yosuke
先日、愛知県の岡崎市立中央図書館ウェブサイトの図書検索機能に、過大な頻度のリクエストを送りつけたとして業務妨害容疑で男性が逮捕された(後に起訴猶予処分)ことは記憶に新しい。
朝日新聞が、この図書館で使われているのと同じプログラムを入手し、複数の専門家による解析結果をウェブサイト上に報じた。産総研の高木浩光氏、株式会社ラックなどの解析によれば、男性のプログラムには違法性がなく、三菱電機インフォメーションシステムズ(MDIS)製の図書館側のプログラムに不具合があることが確認されたとのこと。
バグを出荷したせいで第三者が逮捕される事態になったMDISの技術者に、タレコミ人としては少しばかり同情したい。
同情の余地無し (スコア:5, すばらしい洞察)
Re:同情の余地無し (スコア:5, すばらしい洞察)
>バグを出荷したせいで第三者が逮捕される事態になったMDISの技術者に、タレコミ人としては少しばかり同情したい
クロールしただけで逮捕されて長期間拘留されてしまった人のほうにもっと同情してもらいたいなぁ。
バグは仕方ないといえ、そ知らぬ顔で仕様ですといって売った挙句、被害者を出してしまったことには反省してもらいたい。
Re:同情の余地無し (スコア:3, おもしろおかしい)
完全に情緒的というか感情的な話。
開発者がヘコんでいるんだったら「バグは誰にでもある。ついてなかったな」と慰めるかもしれない。「あー、逮捕されたの俺じゃなかった。ラッキー」とか思っているとしたら、お前も拘留されてこいとなじるかもしれない。
LIVE-GON(リベゴン)
Re:同情の余地無し (スコア:2)
欠陥車を作ったのと同じ話でしょう。
MDISはどんな負荷試験をやっていたんだ (スコア:5, すばらしい洞察)
逮捕されちゃった人の方に同情してあげてください(´・ω・`)
飲めば飲むほど弱くなる〜
なので最近禁酒中〜 :P
Re:MDISはどんな負荷試験をやっていたんだ (スコア:5, すばらしい洞察)
> 逮捕されちゃった人の方に同情してあげてください(´・ω・`)
まったくです。タレコミ人は想像力が足りなさすぎ。
タレコミ人はきっと同業者なんでしょう。それで、同業者の立場に立って考える
ことはできるけど、それ以外の人の立場に立って考えることができないんでしょうね。
Re:MDISはどんな負荷試験をやっていたんだ (スコア:2, 参考になる)
技術者の間でも共通認識が作られつつある段階であるのに、何も分かっていない田舎警察が
仮にIT無能の田舎警察であったとしても、偽計業務妨害罪に過失を罰する規定がないことくらい常識でないと困ります。
どっちが悪いとかいう議論はあくまでもどっちの過失かと言う話で民事事件ですから、今回は全く無関係です。
コンプライアンス (スコア:2, 興味深い)
医療の世界だと「コンプライアンス」と言えば臓器のやわらかさ [toho-u.ac.jp]だとか患者が医者の言うことを聞いているか [novartis.co.jp]とかそういった話なので、「法令順守」の意味で何の接頭語もなくいきなり「コンプライアンス」と言われた時には面喰らってしまいました。
本件におけるいくつかの間違い (スコア:5, 興味深い)
Re:本件におけるいくつかの間違い (スコア:3, 参考になる)
で、本件は「起訴猶予」なわけで、「おまえが犯罪を犯したのは明々白々だが、俺様(=検察官)の裁量で今回だけは目をつぶってやる」っていうお裁きになったという次第。
故意性が認められたのか認められていないのかがはっきりしない誰かhelp (スコア:3, 参考になる)
故意の認定について、これまでの警察の発言をまとめると「偽計業務妨害罪の法文上は故意が必要とは書かれていない。我々は法文でどうなのかを重視して判断する。(判例上は?という質問に対して) それはそちらで勝手に調べて下さい。もちろん判例も考慮する。」 [rocaz.net]とか「捜査自体は、故意という部分は認められるという情報を持っております」 [takagi-hiromitsu.jp]という2つの情報があります。
マスコミの人には、こういう点からじわじわ追いつめてほしいと思うのです。
警察によるミスリードが全ての原因のようです (スコア:3, 興味深い)
第三者による検証がほぼ終わったようです。結論としては警察が悪いということでした。
杉谷 智宏氏がまとめサイト [atwiki.jp]を作ってくださっておりますので、お時間のある方はご覧ください。この中に、各事象を時系列に並べた [atwiki.jp]資料があるのですが、これを見る限り以下の状況がうかがえます。
以上のことからは、当初MDISも図書館も正しい認識を持っていたのに、警察からの説得により「攻撃」との間違った認識を持つに至ったことがわかります。警察が原因です。
Re:本件におけるいくつかの間違い (スコア:2, 興味深い)
Nullius addictus iurare in verba magistri
任意の取調べで十分か (スコア:2)
個人的には、この手の犯罪では逮捕と同時に家宅捜索が必要だと思う。なぜなら、刑法では、故意性をいかに立証するのかが肝であり、その際には、コンピュータの中に記録されたプログラムやデータといったものは決定的な証拠となりえる。例えば、変数名に"int attack_count;"と名づけられていれば、攻撃の故意性を示す重要な証拠となりえる。もし任意の事情聴取をしてしまって、被疑者を家に帰した途端 rm -rf / されてしまったらそれらの証拠が一瞬にして消えることになる。このようなことが起こるのは好ましくない。
問題は逮捕後のやり方にある。今回のような犯罪の場合、コンピュータさえ押収してしまえば物理的な証拠は100%押収できたことになる。したがって、本人に逃亡の意思さえなければ、直ちに開放してもよい。にもかかわらず、10日の拘留期限を延長して20日も拘留を続けるというのは(何かの特別な事情でなければ)警察の怠慢・落ち度、さもなくば業務遂行能力の不足である。このような問題が発生する原因は(逮捕時点では罪であることは判明していないとはいえ)会社員の感覚で逮捕され20日間無断で欠勤するというのがどのくらいの重さであるのか警察官が理解していないこと。適正な行政サービスの何たるやを誰かが責任をもって教え込むべき。
Re:任意の取調べで十分か (スコア:4, すばらしい洞察)
> 変数名に"int attack_count;"と名づけられていれば、攻撃の故意性を示す重要な証拠となりえる。
それはやり過ぎでは。
プログラマの危険な会話 [fc2.com]みたいに、
killと書いていたからと言って、殺人が目的だとは断定できない。
deleteChild()とか書いていたからと言って、中絶させたとは言えない。
Bombを作ればアランチューリングも爆弾魔ですか?
変数名が必ずしも常に合理的に最適なものに決められるとは限らないことは、
プログラマーなら誰でも知る所。他のアプリからコードを流用してれば、変数名が前のまま
というのは往々にしてあり得る。ゲームアプリならattackくらいは使ってもおかしくない。
英語力の不足から間違った単語を選ぶことだって珍しくない。
>個人的には、この手の犯罪では逮捕と同時に家宅捜索が必要だと思う。
私はもちろん断固反対。個人の権利を不当に侵害するから。
刑法のためには基本的人権を侵害しても良いだなんて暴論過ぎる。
これが許されるなら、カッターを持っている人間に対し、銃刀法で家宅捜索だってできてしまう。
警察の暴走を合法化する結果になるだけだろう。
真・ノーガード戦法 (スコア:4, おもしろおかしい)
朝日新聞に答えた愛知県警の公式見解 → バグを踏んだら逮捕
Re:真・ノーガード戦法 (スコア:5, おもしろおかしい)
そこは、『マスコミが警察発表垂れ流しで終わらなかっただと!?』と驚くところだ。
Re:真・ノーガード戦法 (スコア:2, 興味深い)
まあ異例な報道ではあるな。
Re:真・ノーガード戦法 (スコア:2, すばらしい洞察)
Re:真・ノーガード戦法 (スコア:5, すばらしい洞察)
「図書館の業務に支障が出たことは事実で、捜査に問題はない」
で済まされるなら、
本を毎週1冊借りましょうという呼びかけをした
→図書館が忙しくなった
→業務に支障が出た。扇動者を逮捕。捜査に問題はない。
だな。
問題は、警察に毎秒1回のアクセスが正常な使い方か判断する能力が無いこと。
判断能力のない行政裁量。
Re:真・ノーガード戦法 (スコア:2, おもしろおかしい)
当たり前じゃないです。逮捕する根拠がまるでないんですから。
とりあえず逮捕しといて「勘違いだった、運が良かったな」で済むなら警察はいりません。
ソフト会社、図書館側に不具合伝えず (スコア:4, 興味深い)
なんとなく、アクセス数や twitter での言及頻度を参考にして掲載する記事を
選んでいるような気がする。
ソフト会社、図書館側に不具合伝えず アクセス障害問題 [asahi.com]
...くだんの男性の勾留が20日間にも及ぶ前に、MDIS が当然やっておくべきことが
幾つかあったんじゃないか。
記事には「MDISは直後にアクセス記録から原因を把握していた」とある。
アクセス記録が読めるなら、すみやかに原因を図書館に説明したり、
パッチ適用を申し出たりするのが筋じゃないだろうか。
Re:ソフト会社、図書館側に不具合伝えず (スコア:2, 興味深い)
>アクセス記録が読めるなら~
「保守契約を結んでいない相手に製品欠陥について説明する必要はありません(キリッ」という対応に見えますが。
伝聞によるとデータベース部分はOracleらしいですが、Oracleの製品保守もそういう体制でしたよね?
その規定の是非はともかく、保守体制についてのこの推定が正しいとすればMDISのこの対応も理解できます。
RYZEN始めました
Re:ソフト会社、図書館側に不具合伝えず (スコア:2, 興味深い)
図書館の説明を読むと管理会社というのが存在するようですが、
被害届を出すにいたったのは、その管理会社の説明が根拠だったわけですから、
これが MDIS を指すならひどい話ですね。
岡崎市立中央図書館に電話してみた
http://www.nantoka.com/~kei/diary/?20100622S1 [nantoka.com]
神田 大介(kanda_daisuke) on Twitter (スコア:3, 興味深い)
今回の記事を書いた神田大介さんが、twitterアカウント [twitter.com]を作成してこの問題に関するお話をされています。
たくさん興味深い事実が載っているのですが、とりあえず、名古屋の社会面で掲載された記事があるのだそうです。
新聞記者の中にも、ちゃんとした人がまだいたんですね。見直しました。
了解求めないアクセスが問題 (スコア:3, 参考になる)
皆さん、アクセスする前に電話かけて図書館長に許可を得ましょう。 1回ではダメです。
> 「(男性の自作プログラムに)違法性がないことは知っていたが、図書館に了解を求めることなく、繰り返しアクセスしたことが問題だ」
アクセス開始する度に何度も事前に許可が必要です。
逮捕された男性が (スコア:2, すばらしい洞察)
三菱電機インフォメーションシステムズ(MDIS)を訴えてほしいね。
ふそうの欠陥トラックと構図が似ている気がする (スコア:2, 興味深い)
そういうわけで少なくとも逮捕された人は、MDISを訴えてもいい、というより寧ろ訴えるべきと思うけど、背景に三菱グループ特有の何かがあるのだろうか?
「2006年の段階で直しました(キリッ)」(Re:とりあえず今直ってるの?) (スコア:5, 参考になる)
直したのがあったけれど、この図書館には通知せず、且つ警察が動いた後も黙りを決め込んでいたようです。
「愛知県岡崎市立図書館のホームページにサイバー攻撃をしたとして男性(39)が逮捕された後、
朝日新聞の取材で図書館のソフトの側に攻撃を受けたように見える不具合があることが発覚した問題で、
ソフトを開発した三菱電機インフォメーションシステムズ(MDIS)は、2006年の段階で不具合を解消
した新しいソフトを作っていたことがわかった。
同社は岡崎の図書館には不具合の情報を伝えていなかった。旧ソフトを使い続けた図書館側は、
攻撃を受けたと考えて県警に被害届を提出。男性の逮捕につながっていた。 」
「取材によると、MDISは直後にアクセス記録から原因を把握していたが、図書館側に他の
図書館で同じような閲覧障害が起きていたことを伝えていなかった。
旧ソフトは現在も約30カ所の図書館で使われている。ある図書館の関係者によると、新ソフトは06年以降に
新しくMDISと契約したか、大規模にコンピューターを増強、更新した場合に限って導入されていた。旧ソフト
を使うある図書館の職員は「ホームページが閲覧しにくくなるのは、コンピューターの性能が低いからだとMDISに
言われた」と話す。 」
http://www.asahi.com/digital/internet/NGY201008210003.html [asahi.com]
やっぱり皆の予想通りに致命的なバグで、他の図書館でもトラブルが多発してたのね。
>要求仕様とか契約とか知らないから分からないけど、追金必要なのかな。
新しいサーバーを導入して金を出させるために、わざと情報を秘密にしていたようですね。
Re:とりあえず今直ってるの? (スコア:2, 興味深い)
Re:とりあえず今直ってるの? (スコア:4, すばらしい洞察)
ああ、調教済みって事か・・・
って感想が真っ先に来た。
20日も勾留されるのってやっぱ精神的にきついのでしょうね。。。。
#あくまでも正直な感想だけれど、妄想の域を越え得ない自覚はあるのでAC
librahack氏はどうして罪を認めてしまったのですか? (スコア:3, 興味深い)
ただ、2番目のことを、積極的に警察や検察の人々が使ったのか、内面の状態なのかは、明らかになっていないと思います。 いずれにせよ、非常につらい状態だったということに違いはないでしょうけど。
Re:とりあえず今直ってるの? (スコア:2)
というか、技術者として一般の人に説明することのあまりの難しさを知っているが故の諦めなのだろうな、とも思いました。
20日間も勾留されてお前は悪いことをしたといわれ続けるのは、そうとうこたえそうですね。
もう、犯人でも何でも良いから、勘弁してくれ・・・という状況になるんでしょうね。
Re:とりあえず今直ってるの? (スコア:2, すばらしい洞察)
なんかこれが当たりの様な気がする
ウチでもネット犯罪を摘発した実績が出来た…とか
Re:とりあえず今直ってるの? (スコア:2, 興味深い)
それ正解でした。
現場の警官達は誰一人として銃刀法の中身を知らずにただ刃物を持っている「怪しいやつ」をしょっぴいて書類を作成しまくるだけです。
それも本気で真摯に。
Re:とりあえず今直ってるの? (スコア:2, 興味深い)
> 「不当な気持ち」は分かるが、仕方ないでしょ。
> 過失か否かを警察が完璧に判断できるわけじゃあるまいし。
二点において「仕方ない」とは思えないです。
まず、逮捕・勾留は捜査・起訴の必須手順ではないですし、
今回の案件においてそれだけの必然性があったとは思えません。
現在の社会での「逮捕」によって発生する(無罪かもしれない)被疑者への
リスクを考えると、不要な「逮捕」は避けるべきかと。
任意の事情聴取・PCなどの物件押収で在宅起訴で充分かと。
もうひとつ、今回の件は「完璧に判断できない」ような「判断の誤り」のレベルには見えません。
岡崎署に問い合わせた方などもいるようですが、故意性を信ずるに足る情報を
警察が握っていなかった可能性が高いようです。
# もちろん、一面的な情報なので、鵜呑みにするには危険ですが。
ということで、充分に周辺捜査していない状況で、
「故意・過失の判断を手っ取り早く逮捕・勾留で本人自白で判断しようとした」
可能性すら考えてしまいます。
まさか故意性とか立件要件を考えずに逮捕した...ってほどレベル低くないよね?
>所轄や検察、逮捕状発行した裁判官
Re:データベース接続の閉じ忘れ (スコア:5, 参考になる)
参考:高木浩光@自宅の日記
Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6) [takagi-hiromitsu.jp]
ソースの一部が載っている
Re:データベース接続の閉じ忘れ (スコア:4, 参考になる)
ソースを見るとデータベースはOracleのようですね。
データベースサーバのOSが32bitのWindowsでOracleのデータベースが専用サーバだったとすると
セッション数の増大のために新規のセッションが張れなくなったのでは無いかな。
(専用サーバというのはOracle用語。一般的にいう専用サーバとは意味が違います)
32bitのWindowsでは基本的に1プロセスあたりのメモリ使用量は2GBまでとなっています。
エディションとboot.iniの設定で例外はある訳だけど・・
WindowsでのOracle Databaseアーキテクチャ [oracle.co.jp]
site:otn.oracle.co.jp tns-12500 - Google 検索 [google.co.jp]
事前に読んでほしいのでここにつける (スコア:2, 参考になる)
捕まった人自ら書いたという噂のまとめサイト
Librahack : 岡崎市立中央図書館HP大量アクセス事件まとめ [librahack.jp]
マスコミ報道について | Librahack : 岡崎市立中央図書館HP大量アクセス事件まとめ [librahack.jp]
Re:プログラマの責任 (スコア:2, 興味深い)
朝日新聞の記事 [asahi.com]から、愛知県警のコメント…
図書館の業務に支障が出た原因の、もう一方が図書館側プログラムですから
この理由付けで話を進めると「バグを埋め込んだMDISも捜査すべし」
って話になりかねないと思います。怖いよ、それって。
=^..^=
Enjoy Computing, Skiing, as much as Horse Racing.
Re:プログラマの責任 (スコア:2)
>プログラマだけそういう責任がないと考えるのは、かえって、ありえないと思う。
基本的にプログラマが作っているのは著作物であって工業製品ではない。
音楽家や小説作家がまさか自分の作品で逮捕者がでると思ってもいないし
出版社だってせいぜい落丁を回収するくらいの責任しかないと考えているだろう。
Re:プログラマの責任 (スコア:3, すばらしい洞察)
今回の事件に関して言えば、本来大したことではない(たまたま図書館のサーバーにつながりにくくなった)のに、警察が業務妨害容疑で逮捕してしまったので事が大きくなりました。
それは別として、プログラマが作っているのは著作物であって工業製品ではないから、責任とらなくても良いというのはいかがなものかと。プログラムに著作権が認められているだけであって、人命や財産に関わる工業製品に組み込まれるプログラムのであれば、製品としての責任が当然生じます。
ただし、その様な重要なプログラムであれば、責任をプログラマ個人に負わせる様な開発体制は取らない筈です。MDISの様なしっかりとした企業であればその辺りは当然認識しているでしょう。今回はそれ程重要なソフトウェアではなく、品質に問題があったのは確かにせよ、警察の体制の方の問題が大きいと思われます。
Re:朝日新聞は (スコア:2, 参考になる)
パスワードなし Anonymous FTP で公開されていた [takagi-hiromitsu.jp]ので、問題ありません。
Re:朝日新聞は (スコア:2, おもしろおかしい)
>パスワードなし Anonymous FTP で公開されていたので、問題ありません
いやいや、そもそも今回の件が
「自分側にどれだけ落ち度があろうと、自分が被害を受けたと感じたら通報して、警察はそれを鵜呑みにして逮捕」
という流れなので、それでMDISが情報漏えいの訴えを出そうものなら、朝日新聞記者は逮捕されてしまうかもよw
Re:田舎のバカ警察からコンピュータが関わった犯罪の捜査、逮捕権限を剥奪すべき (スコア:2)
あなたの文章は、田舎者は無能と主張しているような印象を受けてしまうね。
高度な知識・技能を要求し、発生頻度の少ない犯罪については、警視庁などに専門家を置き、彼らの助言に基づいて捜査するなどと書けばいいのに。
まぁ、そうはいっても所轄や県警、それに地検が独自に判断したらどうしようもない。警視庁のハイテク犯罪対策センターあたりにひと言、助言を仰げばこんな大騒ぎにならなかっただろうに
Re:田舎のバカ警察からコンピュータが関わった犯罪の捜査、逮捕権限を剥奪すべき (スコア:4, すばらしい洞察)
ん? 逮捕しないと逃げられるとか、証拠を隠す恐れがあったとは思えないけど。
彼のPCを押収して、図書館のサーバを押収すれば(笑)、まあサーバ側はログがあれば充分でしょう。
そもそも、誰かの生死や健康に被害が及んでいるわけでもなく、多額の金銭が絡むわけでもないのだから、まずは任意の事情聴取で充分だったはず。それでもスクリプトによるアクセスも止まるわけだし。
それに逮捕が罰でないなんて話は理想論で、実質的な刑罰だよね。逮捕の時点で実名報道されるから、解雇や離婚の恐れもあるし、そうでなくても数日~も拘束されたら、仕事のスケジュールはメチャクチャ。一度の逮捕で人生変わるよ。
Re:田舎のバカ警察からコンピュータが関わった犯罪の捜査、逮捕権限を剥奪すべき (スコア:2, 興味深い)
今回の件は検察がまともな判断をして
20日間勾留したということは勾留延長の請求をしたということになりますが、
決して「まともな判断」とは思えません。
Re:なんかすっきりしないよね。 (スコア:2)
ほとんどの場合、そんなに簡単に落ちるわけないと思っているし
落ちたからといって自分のせいだと確信を得るに至るには何度かトライ
しないとわからない。
Re:今回の事件でMDISやSIerは何か対応したのか? (スコア:2)
新しい施設にはバグ取りが済んだソフトを納入しているのだから、
定期メンテ時には入れ換えるのでは。
最近は、経費削減が厳しいので、故障時のみの契約になっていたのでは。
MDISは内心、早くシステムダウンが起こらないかと思っていたりして。
でも、高木浩光氏の指摘のように、新しいバージョンでもanonymousで
公開できるような設定だったり、robot.txtがいい加減だったり、
きちんとした技術者がいないのでは。みんなバイト?
それとも、MELCOMやCOBOL系から流れてきた人?
コメントつけ方から見るとそんな感じが?
Re:で、他の報道機関はどうしてるのかな? (スコア:4, すばらしい洞察)
ごく普通の、警察の記者発表がほとんど丸写しで出て来るような報道とは違う。
1日やそこらで、朝日が報じていることのウラを取るのは相当大変なんだよ。
本来なら他社は「朝日新聞の報道によれば」で始まる記事を出すべきなんだけど、
面子が邪魔してそれが出来ない、というのは相当カッコ悪いよね。