岡崎市立中央図書館事件

岡崎市立中央図書館事件（おかざきしりつちゅうおうとしょかんじけん）は、2010年3月頃に岡崎市立図書館(Libra)の蔵書検索システムにアクセス障害が発生し、利用者の一人が逮捕された事件である。利用者に攻撃の意図はなく、また、根本的な原因が図書館側のシステムの不具合にあったことから論議を呼んだ。逮捕された人物が取調べの後、Librahackというサイトを立ち上げて解説をしたことから、Librahack事件とも呼ばれる。

2010年3月頃、市民から岡崎市立図書館のウェブサイトの蔵書検索システムに対し接続が出来ないと苦情があり、その後もウェブサイトの閲覧が困難になる事態が相次いだ。同年4月15日、同図書館が迷惑なアクセスを受けていると愛知県岡崎警察署に被害届を提出し、5月25日にアクセスを行っていた男性が蔵書検索システムに高頻度のリクエストを故意に送りつけたとして偽計業務妨害容疑で逮捕された。

男性が実際に行っていたのは、蔵書検索システムの使い勝手に満足しなかったため自身で作成したクローラを実行し、蔵書検索システムから図書情報を取得することであった。クローラとは、自動的に情報を引き出しデータベースにまとめるプログラムであり、GoogleやYahoo!等の検索エンジンなどでも利用されている。また国立国会図書館でもインターネット資料収集のためクローラを用いている^[1]。

20日間の勾留と取り調べの後、6月14日には男性の業務妨害の強い意図が認められないとして起訴猶予処分^[2]となったが、専門家や技術者からは長期にわたる勾留の正当性^[3]およびそれ以前に逮捕が必要であったのかが疑問視されている^[4]。

この事件はインターネットを中心に議論を呼び、日経コンピュータ2010.08.04号で京都大学学術情報メディアセンター准教授（現 立命館大学情報理工学部教授）の上原哲太郎は捜査手法に懸念を表明し、JPCERT/CC広報担当者はこのような場合はJPCERT/CCに相談して欲しかったと述べた。2010年8月21日付の朝日新聞名古屋本社版朝刊で図書館のシステムに問題があったことが報道された。

産業技術総合研究所情報セキュリティ研究センター、情報セキュリティー会社など3カ所による解析では、男性の作成したクローラに違法性はなく、図書館の蔵書検索システムに不具合が存在していたと回答した^[5]。

このクローラは、同時には1回しかリクエストを送らず、受信後に間隔をおいてから次のリクエストを送信していた（1秒に1アクセス程度に調整）。これはクローラの動作としては「常識的」「礼儀正しい」^[6]程度のものであり、応答を待たずに過大なアクセスを行うことで高負荷にさせる攻撃用のプログラムと異なる動作であった。サーバの能力について言えば、この程度の「常識的な」アクセス頻度ではまだ十分な余裕があった^[6]のだが、システムが特殊な接続方式をとっていたことが原因でアクセス障害が発生した^[6]。岡崎市立中央図書館のウェブサイトは、自治体のサイトとしては専門家でも想像できないほどに脆弱^[6]なものであった。

しかし、愛知県警察は逮捕時にはプログラムの意図を把握していなかった。産総研主任研究員で情報セキュリティの専門家である高木浩光は、攻撃用のプログラムとは明白に違うプログラムであるとし、捜査に疑問を呈している^[2]。

2005年に導入された図書館の新着図書情報を自動取得可能なプログラムを含んだ三菱電機インフォメーションシステムズ (MDIS) 製のソフトウェアは、1時間に400以上リクエストを送られると他のリクエストの処理が不可能になる不具合を含んでいたため、2010年7月にソフトウェアを大量のリクエストに対応できるよう改修した^[7]。なお、2006年の段階でMDISでは新版のソフトウェアを作成し、この不具合を解消していたが、同図書館の蔵書検索サイトは旧版のソフトウェアを利用し続けていた。また旧版のソフトウェアにこのような不具合が存在することはMDISから図書館側には伝えられていなかった。アクセス障害が問題となった直後の2010年3月には、MDISは問題を解析し蔵書検索ソフトウェアの不具合が原因であること、同じソフトウェアを導入した他の図書館でも同様の障害が発生していたことを把握していたが、これらの事実を同図書館側に伝えていなかった^[8]。

なお、MDISによって同図書館に納品された問題のソフトウェアは、事件前後の時期にはrobots.txtでの指定により全てのクローラを拒否する設定になっていた。これは「一般的なクローラが来ただけで閲覧しづらくなってしまう欠陥」^[9]への対策と推測されているが、結果的に国立国会図書館のクローラも受け入れを拒否しており違法状態となっていた^{[注 1][10][11]}。高木浩光研究員は、同じソフトウェアを使用している別の図書館のシステムについて調査し、国立国会図書館のクローラがアクセスすると散発的につながらない状態がしばしば発生するだろうと指摘している^[9]。全国図書館の横断検索サービスを提供しているカーリルは、同社の使用している技術は逮捕者のものと基本的に同様であり、システムの問題を発端とした逮捕は遺憾であると表明した。その上で図書館およびシステム開発者と協議し、今後このような事件が起こらないようにしたいと述べた^[12]。カーリルは事件直後に岡崎市の図書館に問い合わせをしており、そのときの回答は「カーリルは会社なので問題ありません」というものだったという^[13]。図書館情報学を専門とする河島茂生は、システムを業者に任せっきりにしてしまう危険性を明らかにした事件だとし、システム構築はしないまでも想定されるトラブルを業者に問い合わせておくことが、図書館にも求められるとしている^[14]。

蔵書検索システムの不具合や男性の逮捕に対し、同図書館の館長を務める大羽良は、「図書館には非がなく、男性のプログラムの方法がまずい」^[15]、「（男性の自作プログラムに）違法性がないことは知っていたが、図書館に了解を求めることなく、繰り返しアクセスしたことが問題だ」、「図書館側のソフトに不具合はなく、図書館側に責任はない」^[16]と語ったと新聞各紙は報じている。なお本件を調査報道した朝日新聞記者のMDISへの取材には同館長も同席したことがあり、また記者から同館長には繰り返し問題の所在について説明されていた^[17]。

• 「動かない 岡崎市立中央図書館～検索システムが過負荷でダウン 利用者が逮捕される」2010.08.04 日経コンピュータ第762号 78 - 80頁
• 新出 「Librahack事件が図書館に投げかけるもの」『みんなの図書館』2011年3月号、10-21頁。

• Winny事件
• Wizard Bible事件
• Coinhive事件
• アラートループ事件

• Librahack : 岡崎図書館事件まとめ（容疑をかけられた男性から見た岡崎図書館事件）
• 岡崎市立中央図書館のホームページへの大量アクセスによる障害について - 岡崎市立中央図書館からの声明・平成22年9月1日（2010年10月21日時点のアーカイブ）
• 朝日新聞2010年8月21日記事（神田大介記事）
  • “図書館HP閲覧不能、サイバー攻撃の容疑者逮捕、だが…”. asahi.com (朝日新聞社). (2010年8月21日). オリジナルの2010年8月22日時点におけるアーカイブ。. https://web.archive.org/web/20100822001544/http://www.asahi.com/national/update/0820/NGY201008200021.html 
  • “なぜ逮捕？ネット・専門家が疑問も 図書館アクセス問題”. asahi.com (朝日新聞社). (2010年8月21日). オリジナルの2010年8月22日時点におけるアーカイブ。. https://web.archive.org/web/20100822001626/http://www.asahi.com/national/update/0821/NGY201008210001.html 
  • “ソフト会社、図書館側に不具合伝えず アクセス障害問題”. asahi.com (朝日新聞社). (2010年8月21日). オリジナルの2010年8月23日時点におけるアーカイブ。. https://web.archive.org/web/20100823065425/http://www.asahi.com/digital/internet/NGY201008210003.html 
• 岡崎市立図書館事件に見るネットと法執行機関のズレ（京都大学 学術情報メディアセンター准教授 上原哲太郎による考察、2010年9月2日、PC Online/日経パソコン提供記事）
• 2010/12/18「ネット時代の情報拠点としての図書館─ “Librahack” 事件から考える─」フォーラム基調講演 "Librahack"事件を総括する（高木浩光） 岡崎市図書館交流プラザ・りぶらサポータークラブ（2011年1月19日時点のアーカイブ）
• 図書館ホームページ閲覧障害に係る経過等について 一連の経緯についての岡崎市立中央図書館の公式発表 2011年2月25日（2011年2月28日時点のアーカイブ）
• “Librahack”フォーラムの公式記録が完成 岡崎市図書館交流プラザ・りぶらサポータークラブ（2011年4月11日時点のアーカイブ）