2010-08-22 岡崎図書館HP大量アクセス事件について
岡崎図書館HP大量アクセス事件について
時事 | |
- 図書館HP閲覧不能、サイバー攻撃の容疑者逮捕、だが…
http://www.asahi.com/national/update/0820/NGY201008200021.html - なぜ逮捕?ネット・専門家が疑問も 図書館アクセス問題
http://www.asahi.com/digital/internet/NGY201008210001.html
Twitter#librahack、Togetter、librahack、高木浩光氏のブログなどをつまんで見れば把握できるんですが、時系列で並んでいなかったり、専門知識が必要だったりで朝日新聞の記事だけではちょっとつらい。まとめてみた。
登場人物
- 中川氏
ソフトウェア開発者。 本事件の犠牲者。図書館から新着図書データを自動で取得するプログラムを開発、実行した結果、図書館のシステムが脆弱だったためサービスが停止。図書館に被害届を出され、警察に20日間の勾留と取り調べを受ける。a.k.a. librahack - 岡崎市立中央図書館
図書館のシステムがDOS攻撃を受けていると(勘違い? 虚偽?)、被害届を出してしまった。 - 三菱電機インフォメーションシステムズ株式会社(MDIS
図書館システムを開発。システムの脆弱性を知っていながらそれを通知、修正しなかった不作為が疑われている。 - 愛知県警
図書館からの被害届を受けて中川氏を20日間拘留。 - 高木浩光氏
ソフトウェアセキュリティ専門家。本事件のホームズと言ったら言い過ぎか? 有名人だから詳しくは検索してください。 - 朝日新聞
オールドメディアなどと揶揄される大新聞ですが、今回はマスコミとしての役割は果たしたんじゃない?
発端(〜2010年4月)
図書館の検索システムが使いにくいと感じていた中川氏は、自分専用のシステムを作るために図書館システムから自動的に新着図書を取ってくるプログラムを開発していた。これは例えば、twitterや2chから定期的にtweetやスレを読み込むbotのようなもの。アクセス頻度は「1アクセス毎に1秒のウェイト」なのでサーバー応答速度にもよるが、おおざっぱに1〜2秒に1回で、サーバーを落とすことが目的のDOS攻撃ではないことは明らかだった。(DOS攻撃とはサーバーに故意に異常な頻度でアクセスして、サーバーを停止させる方法。)
- なぜプログラムを作ったか(Librahack
http://librahack.jp/okazaki-library-case/purpose.html
中川氏はプログラム開発中に図書館システムがエラーを返してくることに気づいたが、まさか自分のプログラムが頻繁にシステムを停止させるという深刻な事態を起こしているとは考えなかった。
被害届(4月15日)
システムが停止することについての市民からの苦情を憂慮し、図書館は愛知県警に被害届を提出。
逮捕(5月25日)
中川氏は偽計業務妨害罪の疑いで愛知県警に逮捕される。要するに、図書館システムにアクセスするプログラムがDOS攻撃をしているとみなされた。
不起訴処分(6月14日)
中川氏は、不起訴処分(起訴猶予処分)となる。中川氏は自身のブログ(librahack.jp)で事の顛末を公開し、この頃からTwitterを中心として議論される。氏本人は割と冷静に淡々とし、「警察や検察の方々には感謝」、「一応集結」と事件は終わりかと思われたが・・・
- このサイトをご覧の方々へ(Librahack)
http://librahack.jp/readme/
- 岡崎市中央図書館に1秒間に1回アクセスしたら逮捕されたけど不起訴になった件について(Togetter)
http://togetter.com/li/30698
追跡(7月〜)
7月10日に自身のブログで本事件の見解を述べた後、ぷっつり更新が途絶えていたけど、高木氏は徐々に外堀を埋めていた模様。
そして、
http://twitter.com/hiromitsutakagi/status/20215404571
「チェックメイト。しばらく黙ります。」(8月3日)
真相(8月21日)
朝日新聞が冒頭の記事を公表。同時に高木氏も調査結果を自身のブログに公開。
- Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6)(高木浩光@自宅の日記)
http://takagi-hiromitsu.jp/diary/20100821.html
ちょっとこの記事はソースコードとか出てきて技術的に難しいんで、簡単に説明します。
- 三菱電機IS(MDIS)の検索プログラムが「WwKensaku.aspx」っていうので、検索してみた。
- 他の図書館のサイトが見つかった。(同じくMDISが開発したシステム)
- 間抜けなことに、パスワードがかかっていない状態で中身が見えた。
- ソースコードを追っていくと、まるでプロが書いたとは思えない直しやコメントが・・・ってそんなことはどうでも良い。ソースコードを読むと、2006年3月から2007年2月の間にシステムが停止してしまう本事件と同様の問題を修正していたことが分かった。つまり、本事件の原因が自分たちが作ったシステムにあると、MDISは把握していたはずだ!
あらすじはここまで。長くてすいません。
どうしてこうなった
図書館側のITに関する無知、無関心と危機管理の欠如から来る、開発保守会社へのオンブでダッコ的な依存が背景にありそう。多分、被害届けを出すまでにこういうやり取りがあったと思われる。
図書館:「なんだか、よく分からんけど、お前が作ったシステムしょっちゅう止まるんだけど?」 MDIS:「調べました。なんか頻繁にアクセスしている奴がいます。うちのせいじゃありません。」 図書館:「おk、被害届出そ。」
誇張じゃなくて、本当に多分この程度だったと思います(笑)。
じゃあ、MDISは? 高木氏の調査の結果、システムの不備を認識していたはずなので、あり得るのは
- 情報共有の不備で横展開していなかった。そのため、担当者が知らなかった。
- 責任を逃れるため、中川氏に罪を押し付けた。
前者だったら、CMMIレベル5が泣くねえ。後者だったらもっと悪質。しかし、MDISともあろう企業がどうしてこのような対応をしたのか全く理解に苦しみます。1分に1回程度のアクセスがDOS攻撃でないのはそれを専門としている彼らなら分かるはずでした。単純に「開発当初の要件を超えるアクセス率なのでバグではありません」って言えば良かっただけなのに。
ちなみに、図書館館長はこの期に及んで、こんな頓珍漢なことを言っている。いまだにMDISの言うことを鵜呑みにしているんだな。かわいそうに、バカだからつけ込まれる。
https://twitter.com/kanda_daisuke/status/21746100276
岡崎市立図書館長の発言の件ですが、館長は「(librahack氏のプログラムに)違法性がないことは 知っていたが、図書館に了解なく繰り返しアクセスしたことが問題」としているそうです。
本当はMSDIにオンブダッコでわかりませ〜んなんだけど、そんなこと立場上言えないからこうなるんだな。
愛知県警もお粗末で誤認逮捕と呼ばれても仕方が無い。警視庁か京都府警ならIT犯罪にも精通しているだろう。
今後の展開ですが、企業間のシステムの受注ならばシステムに不備があった場合、発注者が受注者に対して請求をする(例えば、東証が富士通を訴えたりする)ところですが、お役所ですから積極的には期待しにくいですね。上記の館長の発言からしても関係ズブズブっぽいですし。期待できるとすると、中川氏が名誉毀損なりで図書館を訴えることです。さすがに訴えられれば図書館も責任の所在を明らかにしなければいけなくなります。
でも、氏のブログとか読んでも、告訴とかいう雰囲気じゃ無いんだな・・・。
このまま、有耶無耶にやってしまったらbotすらも気軽に作れなくなるよ。
最後に、高木△
- 118 http://twitter.com/
- 54 http://b.hatena.ne.jp/
- 50 http://b.hatena.ne.jp/hotentry
- 23 http://reader.livedoor.com/reader/
- 22 http://b.hatena.ne.jp/entrylist
- 20 http://twitter.com/search?q=#librahack
- 19 http://longurl.org
- 17 http://hootsuite.com/dashboard
- 14 http://b.hatena.ne.jp/hotentry/it
- 14 http://www.ig.gmodules.com/gadgets/ifr?exp_rpc_js=1&exp_track_js=1&v=fffbf927a01c1573ec0acdcadfbfe574&container=ig&view=default&lang=ja&url=http://www.hatena.ne.jp/tools/gadget/bookmark/bookmark_gadget.xml&country=US&parent=http://www.google
- 2010-08-22 ghostbass1.4β 3/54 5%