岡崎市立中央図書館事件岡崎市立中央図書館事件(おかざきしりつちゅうおうとしょかんじけん)は、2010年3月頃に岡崎市立図書館(Libra)の蔵書検索システムにアクセス障害が発生し、利用者の一人が逮捕された事件である。利用者に攻撃の意図はなく、また、根本的な原因が図書館側のシステムの不具合にあったことから論議を呼んだ。逮捕された人物が取調べの後、Librahackというサイトを立ち上げて解説をしたことから、Librahack事件とも呼ばれる。 事件の経緯![]() 2010年3月頃、市民から岡崎市立図書館のウェブサイトの蔵書検索システムに対し接続が出来ないと苦情があり、その後もウェブサイトの閲覧が困難になる事態が相次いだ。同年4月15日、同図書館が迷惑なアクセスを受けていると愛知県岡崎警察署に被害届を提出し、5月25日にアクセスを行っていた男性が蔵書検索システムに高頻度のリクエストを故意に送りつけたとして偽計業務妨害容疑で逮捕された。 男性が実際に行っていたのは、蔵書検索システムの使い勝手に満足しなかったため自身で作成したクローラを実行し、蔵書検索システムから図書情報を取得することであった。クローラとは、自動的に情報を引き出しデータベースにまとめるプログラムであり、GoogleやYahoo!等の検索エンジンなどでも利用されている。また国立国会図書館でもインターネット資料収集のためクローラを用いている[1]。 20日間の勾留と取り調べの後、6月14日には男性の業務妨害の強い意図が認められないとして起訴猶予処分[2]となったが、専門家や技術者からは長期にわたる勾留の正当性[3]およびそれ以前に逮捕が必要であったのかが疑問視されている[4]。 この事件はインターネットを中心に議論を呼び、日経コンピュータ2010.08.04号で京都大学学術情報メディアセンター准教授(現 立命館大学情報理工学部教授)の上原哲太郎は捜査手法に懸念を表明し、JPCERT/CC広報担当者はこのような場合はJPCERT/CCに相談して欲しかったと述べた。2010年8月21日付の朝日新聞名古屋本社版朝刊で図書館のシステムに問題があったことが報道された。 男性が作成したクローラの動作産業技術総合研究所情報セキュリティ研究センター、情報セキュリティー会社など3カ所による解析では、男性の作成したクローラに違法性はなく、図書館の蔵書検索システムに不具合が存在していたと回答した[5]。 このクローラは、同時には1回しかリクエストを送らず、受信後に間隔をおいてから次のリクエストを送信していた(1秒に1アクセス程度に調整)。これはクローラの動作としては「常識的」「礼儀正しい」[6]程度のものであり、応答を待たずに過大なアクセスを行うことで高負荷にさせる攻撃用のプログラムと異なる動作であった。サーバの能力について言えば、この程度の「常識的な」アクセス頻度ではまだ十分な余裕があった[6]のだが、システムが特殊な接続方式をとっていたことが原因でアクセス障害が発生した[6]。岡崎市立中央図書館のウェブサイトは、自治体のサイトとしては専門家でも想像できないほどに脆弱[6]なものであった。 しかし、愛知県警察は逮捕時にはプログラムの意図を把握していなかった。産総研主任研究員で情報セキュリティの専門家である高木浩光は、攻撃用のプログラムとは明白に違うプログラムであるとし、捜査に疑問を呈している[2]。 蔵書検索システムの不具合2005年に導入された図書館の新着図書情報を自動取得可能なプログラムを含んだ三菱電機インフォメーションシステムズ (MDIS) 製のソフトウェアは、1時間に400以上リクエストを送られると他のリクエストの処理が不可能になる不具合を含んでいたため、2010年7月にソフトウェアを大量のリクエストに対応できるよう改修した[7]。なお、2006年の段階でMDISでは新版のソフトウェアを作成し、この不具合を解消していたが、同図書館の蔵書検索サイトは旧版のソフトウェアを利用し続けていた。また旧版のソフトウェアにこのような不具合が存在することはMDISから図書館側には伝えられていなかった。アクセス障害が問題となった直後の2010年3月には、MDISは問題を解析し蔵書検索ソフトウェアの不具合が原因であること、同じソフトウェアを導入した他の図書館でも同様の障害が発生していたことを把握していたが、これらの事実を同図書館側に伝えていなかった[8]。 なお、MDISによって同図書館に納品された問題のソフトウェアは、事件前後の時期にはrobots.txtでの指定により全てのクローラを拒否する設定になっていた。これは「一般的なクローラが来ただけで閲覧しづらくなってしまう欠陥」[9]への対策と推測されているが、結果的に国立国会図書館のクローラも受け入れを拒否しており違法状態となっていた[注 1][10][11]。高木浩光研究員は、同じソフトウェアを使用している別の図書館のシステムについて調査し、国立国会図書館のクローラがアクセスすると散発的につながらない状態がしばしば発生するだろうと指摘している[9]。全国図書館の横断検索サービスを提供しているカーリルは、同社の使用している技術は逮捕者のものと基本的に同様であり、システムの問題を発端とした逮捕は遺憾であると表明した。その上で図書館およびシステム開発者と協議し、今後このような事件が起こらないようにしたいと述べた[12]。カーリルは事件直後に岡崎市の図書館に問い合わせをしており、そのときの回答は「カーリルは会社なので問題ありません」というものだったという[13]。図書館情報学を専門とする河島茂生は、システムを業者に任せっきりにしてしまう危険性を明らかにした事件だとし、システム構築はしないまでも想定されるトラブルを業者に問い合わせておくことが、図書館にも求められるとしている[14]。 蔵書検索システムの不具合や男性の逮捕に対し、同図書館の館長を務める大羽良は、「図書館には非がなく、男性のプログラムの方法がまずい」[15]、「(男性の自作プログラムに)違法性がないことは知っていたが、図書館に了解を求めることなく、繰り返しアクセスしたことが問題だ」、「図書館側のソフトに不具合はなく、図書館側に責任はない」[16]と語ったと新聞各紙は報じている。なお本件を調査報道した朝日新聞記者のMDISへの取材には同館長も同席したことがあり、また記者から同館長には繰り返し問題の所在について説明されていた[17]。 脚注注釈出典
参考資料
関連項目外部リンク
|
Portal di Ensiklopedia Dunia