連載編集長ブログ―安田英久
岡崎市立図書館は相手が国外だったらどうするつもりだったのだろうか
今日は、何かあった際に恥をさらすような受け答えをしてしまわないための、Webに携わる人間としての心得を、不出来なシステムを棚に上げて逮捕者まで出した岡崎市立図書館の事件から考えてみましょう。
2010年5月に、愛知県の岡崎市立図書館のホームページに対して自作のプログラムでアクセスしていた男性が、サイバー攻撃を仕掛けたとして愛知県警に逮捕されたという前代未聞の出来事がありました。
ご存じない方のために何があったかを簡単に説明しましょう(この部分に関しては、朝日新聞の神田大介記者が取材して書かれた記事や、逮捕された男性による説明を参考にしています)。
男性は、岡崎市立図書館のホームページが使いにくいことから、新着図書の情報を集めるためのプログラムを作って動作させていました。ところが、岡崎市立図書館のホームページで使用していたシステムに不具合があったためにホームページにつながらなくなる現象が起き、それを受けた図書館側はサイバー攻撃であるとして愛知県警に相談。警察は業務妨害の容疑で男性を逮捕し、20日間勾留した結果、起訴猶予となりました。
ところが、男性の動かしていたプログラムは1秒間に1回程度、1回ずつ(並列アクセスなし)のアクセスしかしておらず、常識的なシステムならばこれで問題が発生するほうがおかしいレベル。実際に、朝日新聞が第三者機関の専門家に解析を依頼したところ、いずれも図書館側のシステムに不具合があり、男性のプログラムには違法性がないとの判断だったと報じられています。
そして、岡崎市立図書館の館長は「(男性の自作プログラムに)違法性がないことは知っていたが、図書館に了解を求めることなく、繰り返しアクセスしたことが問題だ」と発言したと伝えられています。
ここはWeb担ですから、逮捕の妥当性やシステムの出来の悪さについて語ることはしません。ここで気にしたいのは、サイトの責任者が、インターネットがどういうものだと考えていて、そこにサイトを公開する意味をどう考えていたかです。
ネット上に公開した時点で、ネットのルールで全世界が相手になる
岡崎市立図書館は、同様のアクセスが国外からあったならば、どうしていたのでしょうか。警察を通して国際捜査を依頼していたのでしょうか。技術的に修正していたのでしょうか。それとも、あきらめてサービスを停止していたのでしょうか。
インターネット上にホームページを公開したら、その時点で、全世界からアクセスできる状態になります。つまり、アクセスしてくる相手は日本人とは限りません。法律やモラル(倫理観)は国によって違うものですから、インターネット上に公開した以上は、その利用を法律やモラルでコントロールできるとは期待するべきではありません。
ヤフーやグーグルとは比べものにならないぐらい規模の小さなWeb担当者Forumでも、日常的に東欧やアジアを含めた全世界から、さまざまなアクセスがあります。だれかが作ったカスタムのクローラがコンテンツをうまく処理できずに発生しているであろうおかしなリクエストや、ループ的な動きになっているアクセスもあります。コメントスパムは日常的に投稿されますし、既知の脆弱性を探る動きや、無作為な攻撃もしばしばあります。
ネットでサイト(サーバー)を公開するのであれば、そうしたことが発生するのは当然であり、すべての利用者が管理者の思うようにサイトを利用することを期待するのが間違っていると考えるべきなのです。
そして、法律も文化も異なる人たち(悪意の有無を問わず)を相手にする場合、頼れるのは技術的な対応しかありません。
攻撃的なアクセスがあるのならば、そうしたアクセスを継続して行っているIPアドレスからの接続を自動的に判別して不許可にすればいいだけの話ですし、不正な書き込みが多いのであれば、自動的なコメント投稿を防ぐ仕掛けを入れればいいのです(DDoSと呼ばれる種類の攻撃だけは技術で対応できないようですが)。
※2010-08-28追記 IPアドレス規制を試みていたという反論がありますが、それは手動でのIPアドレス範囲ブロックですね。上記文中で言及しているIPアドレスブロックは、閾値を超えるアクセスを行っているIPアドレスを自動的に一定期間ブロックするというもので、SSH bruteforceに対するiptablesによるブロックのような動作をWebアプリケーション内で実現するイメージです。
岡崎市立図書館が相談すべきだったのは警察ではなくシステム会社だったのです。まっとうなシステム会社であれば、今回の事案で「警察に相談しましょう」とは言わず、問題点を見つけられていたはずです(実際に、岡崎市立図書館が契約していたシステム会社は以前から今回の事故の原因となったプログラムの問題点に気づいており、修正済みのプログラムが2006年にはできていたようです)。
ホームページやブログを共用レンタルサーバーやブログサービスで公開している場合は、技術的な対応をサービス提供事業者が行ってくれるはずですから心配はありません。そうでなければ、インターネットを理解している技術者を各企業が抱えるべきでしょう。社内が無理なら、外注先にしっかりとしたシステム会社を選び、何かあったときに相談できる形で契約しておくことですね。保守契約を結んでいないのであれば、緊急の際に利用できる予算枠を確保しておくべきです。
今回、たまたまシステムに不具合があってサービス不能状態になっていたのは岡崎市立図書館のホームページでした。でも、次はあなたのサイトに同様のことが起きるかもしれません。そのときに、相手はロシア人や中国人かもしれません。
さて、あなたなら、どうしますか?
- Librahack : 岡崎市立中央図書館HP大量アクセス事件まとめ(男性が立ち上げたサイト)
- 図書館HP閲覧不能、サイバー攻撃の容疑者逮捕、だが…(asahi.com)
- なぜ逮捕?ネット・専門家が疑問も 図書館アクセス問題(asahi.com)
- 図書館長「了解求めないアクセスが問題」 HP閲覧不能(asahi.com)
- 産総研の高木浩光氏のブログ記事(その1、その5、その6)
- 岡崎市中央図書館に1秒間に1回アクセスしたら逮捕されたけど不起訴になった件について(Togetter)
- 「岡崎市中央図書館 #librahack 事件を取材した朝日新聞記者さんへの質問と回答まとめ (8月21日分)」(Togetter)
この記事へのコメント
必見! はてブホッテントリ記事
Webサイトを作ったらまずやるべきことチェックリスト 2340 users
あなたこそ素人か?
apacheの処理能力がどのように初期設定されているのか?
そもそもの数字を知っているのか?
1秒に1回が多くないとか あなたは東京証券取引所のあのウン十億円のシステムが
一秒に何件の注文処理を受け付けているか知っているのか?
そもそも、1秒に1回以上あのアクセスが発生していたのと
サーバが500エラーを返しているのを無視したユーザのプログラムの致命的な欠陥は?
そういうのスルーして扇情的な生地を上げればアクセスが稼げるか?
この記事書いた奴ほんとのアホだろ。
「技術的な対応をサービス提供事業者が行ってくれるはず」
いくらの価格のサービスに何を求めているのか?
Web担を応援して支えてくださっている企業様の
月額125円のサービスでもここまでやっていただけるものなのですか?(爆笑)
SAKURA社はユーザーの方を追い出しにかかるか、と思いますが(笑)
「外注先にしっかりとしたシステム会社」
今回の岡崎のシステムの金額もどうせまともに調べていないのでしょうが
普通の公共団体がどのような予算組みでWEBシステムを構築するかご存知ですか?
あまりにもあほな記事、こういう記事をよりによって編集長名義で発表しているのは
なにかあたらしい次元の羞恥プレイかなにかなのでしょうか?
朝日が報じた からではなくimpressがこのようなキチガイ記事を載せて、
GoogleNEWSに乗ってしまったことを恥だと考えます
htmlだけ書いて食べていけるならそれで食べていけ。
アクセス集中時にわざわざTOPページに1MB近いFlashを埋め込んで
サーバが落ちた落ちたとバカ騒ぎするようなデザイン屋はひっこんでしまえ。
どうも、状況を把握
>>2045
どうも、状況を把握されていないか何らかの事情があるかで、感情的になってしまったコメントのようですね。
・今回の問題はApacheではなくDBセッションの問題です
・DB接続数に余裕がある状態では200を返しており、アクセスはシリアル(1回のアクセスが終了してから次のアクセス)だったとのこと
・月額125円とかの安いサービスには安いサービスなりの規約があります。サーバーは真っ当に負荷を予測して選定しましょう
以上。
後半は本筋と関係のない、主観に基づく感情論ですから返信は不要ですよね?
※しばらくしたら、他の方が不快に思われないように、この親コメントを編集させていただく予定です。ご了承くださいませ。