約 2,113,414 件
https://w.atwiki.jp/librahack/pages/13.html
関係先リンク 関係先リンク主要な組織 本事件に関するシンポジウム等 事実関係 議論ログ 検証 サーバ管理者日誌における本事件に関する記事 高木浩光@自宅の日記における本事件に関する記事 技術的知見 法的知見 概要その他 参考リンク その他 主要な組織 愛知県岡崎市立中央図書館 Libra (りぶら) Wikipedia - 岡崎市立中央図書館 Wikipedia - 岡崎市図書館交流プラザ 本事件に関する公式発表 (2010年9月1日掲載→11月9日削除→ 掲載時の魚拓 ) 三菱電機インフォメーションシステムズ株式会社 Wikipedia MELIL/CS 紹介ページ 導入事例紹介 (岡崎市立中央図書館) (2010/09/28現在削除済み→ 掲載時の魚拓 ) MDIS技術論文 - 岡崎市図書間交流プラザ 図書館システム (2010/09/28現在削除済み→ 掲載時の魚拓 ) 本事件に関する公式発表 9月3日 (?) 9月28日 (岡崎市の個人情報流出について) 10月15日 (中野区の個人情報流出について) 10月20日 (中野区の個人情報流出について) 11月30日 (一連の問題についてのお詫び) 三菱電機株式会社 Wikipedia 三菱電機技報2009年7月号 三菱電機技報2010年1月号 愛知県警察 名古屋地方検察庁 △上へ 本事件に関するシンポジウム等 情報ネットワーク法学会 第1回「技術屋と法律屋の座談会」 岡崎市立中央図書館へのアクセスはDoS攻撃だったか? 第2回「技術屋と法律屋の座談会」 ウェブアクセスの自動化と業務妨害について (デジタルフォレンジック研究会 第7期第1回講演会との共催) 動画記録 第3回「技術屋と法律屋の座談会」 ウェブアクセスの自動化と業務妨害について (デジタルフォレンジック研究会 第7期第2回講演会との共催) 動画記録 Google検索による参加者レポート等 特定非営利活動法人 デジタル・フォレンジック研究会 第7期IDF主催講演会 持続可能なモノづくり・人づくり支援協会 パネル討論会:「岡崎市中央図書館ウェブサーバ事件」から情報化社会を考える 朝日新聞記事 企画・司会のkozawa氏のブログ パネリストの一人、岡田真氏の発表資料 パネリストの一人、岡田真氏のブログ パネリストの一人、大屋雄裕氏のブログ ( その1 | その2 | その3 | その4 | その5 ) 大屋雄裕氏のブログに対する杉谷智宏氏の批判 常川真央氏によるレポート KojiEguchi氏によるレポート ( その1 | その2 ) xiao-2 氏によるレポート Britty氏によるレポート Togetter - 岡崎市立中央図書館事件パネル討論会の個人レビュー by reychan02 Togetter - とあるシンポで情報伝達の難しさを意識させられた次第 Togetter - 大屋雄裕氏の講演に対する高木浩光氏の批判 Togetter - 10/2 Librahack事件 パネル討論会の批判に対する反論 情報処理学会・インターネットと運用技術(IOT)研究会 平成22年度第3回研究会 にてパネルディスカッション パネルディスカッション「岡崎市立図書館事件を我々はどう捉えるべきか?」 - 読書ノートのつもり?なつれづれ日記 パネリスト 新 出さんのスライド 図書館情報学若手の会(ALIS) 勉強会開催告知 プレゼンテーション資料 当日の記録 電子情報通信学会 技術と社会・倫理研究会 (SITE) パネルディスカッション「岡崎図書館事件を通じて公共IT調達を考える」 .NETヒーロー島 セキュリティもみじ合同勉強会http //heroshima.jp/CloudAndSecurityDay.aspx http //d.hatena.ne.jp/sec-momiji/20101211 MIAU (インターネットユーザー協会) 「MIAUで語り尽くす、どーなる!?2011年のインターネット!」 (ニコニコ生放送) りぶらサポータークラブ 12/18 岡崎図書館未来企画フォーラム 「図書館戦争」最前線!? 高木浩光氏の資料 (PDF) パネリストの一人、江草由佳氏のブログ記事 基調講演 "Librahack"事件を総括する(講師:高木浩光) 図書館問題研究会 2011年7月11日 第58回図書館問題研究会 - システム調達と図書館員に求められるITスキル - スキルをどのように習得するか? △上へ 事実関係 逮捕された本人による事実関係の公示 高木浩光@自宅の日記 国会図書館の施策で全国の公共機関のWebサイトが消滅する 岡崎図書館事件(5) Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6) 三菱図書館システムMELIL旧型の欠陥、アニメ化 - 岡崎図書館事件(7) Togetter - 岡崎市中央図書館向けクローラの件落ち穂拾い [刑事事件]図書館Webサイトへのクローラを実行して逮捕された男性、不起訴に (弁護士 落合洋司 (東京弁護士会) の 「日々是好日」) [刑事事件]図書館HP閲覧不能、サイバー攻撃の容疑者逮捕、だが… (弁護士 落合洋司 (東京弁護士会) の 「日々是好日」) 岡崎市立中央図書館事件 #librahack について愛知県警に電話して聞いてみた(bROOM.LOG!) とある件 #librahack に関連しつつ一般論を再度電話して聞いてみた(bROOM.LOG!) Togetter - 「11/30『岡崎市立中央図書館事件』に関する三菱電機インフォメーションシステムズ記者会見:津田大介さんによるtsudaりまとめ #librahack 」 △上へ 議論ログ Twitter における議論のログ (Togetter でのまとめ一覧) 岡崎中央図書館HP大量アクセス事件に関する議論 [メモ] 岡崎市立図書館 岡崎市中央図書館に1秒間に1回アクセスしたら逮捕されたけど不起訴になった件について 岡崎の図書館の一件で文殊の知恵?@ついったー 岡崎市中央図書館向けクローラ作成者が逮捕・不起訴の件(Vol.1 - 6月24日以降分) 図書館等のサービスAPI公開時・利用時に考えたいこと #librahack関連 : @Sikushima さんとみなさんとのやりとり(主に高木さん) 岡崎市中央図書館向けクローラ作成者が逮捕・不起訴の件(Vol.2 - 7月15日以降分) 図書館サーバ大量アクセス逮捕と、JPCERT/CCが警察に代わり果たしてきた役割 「岡崎市中央図書館に 1秒間に1回アクセスしたら逮捕されたけど不起訴になった件について」 議論する研究会ツイートまとめ。 岡崎市中央図書館向けクローラの件落ち穂拾い 岡崎市中央図書館事件の顛末? 岡崎市中央図書館 #librahack 事件を取材した朝日新聞記者さんへの質問と回答まとめ (8月21日分) 岡崎市中央図書館 librahack 事件を取材した朝日新聞記者さんへの質問と回答まとめ (8月22・23日分) 岡崎市中央図書館システムのSQLインジェクションの可能性 クローラーってキモイ? 東京都中野区の事例について、高木先生と森区議の会話 岡崎市立中央図書館公式見解(09/01)に対して弁護士落合洋司さんの呟き 岡崎市立中央図書館事件 市議会議員と高木先生の会話 よくわからなくても知ったかぶりをする人 #librahack 岡崎市中央図書館ウェブサーバ事件 2010/9/10夕-9/14昼ハイライト #librahack 岡崎市中央図書館ウェブサーバ事件 2010/9/14夜-9/18昼ハイライト 岡崎図書館事件について 高木浩光氏から学生へのヒアリング Robots.txt に関する法令解釈 #librahack 岡崎市中央図書館ウェブサーバ事件 2010/9/18夜-9/20夜ハイライト librahack 岡崎市中央図書館ウェブサーバ事件 2010/9/20夜-9/23昼ハイライト librahack 岡崎市中央図書館ウェブサーバ事件 2010/9/23昼ぐらい-9/25昼ハイライト dellganovさんによる「2010年度三田図書館・情報学会研究大会研究発表 図書館ウェブサイトの公開性-クローラに対するアクセス制御に関する調査-安形輝(亜細亜大学)」を聞いたレポート librahack 岡崎市中央図書館ウェブサーバ事件 2010/9/28昼ぐらい-9/29昼ハイライト librahack 岡崎市中央図書館ウェブサーバ事件 2010/9/29昼-10/1昼ハイライト 岡崎市立中央図書館事件パネル討論会の個人レビュー by reychan02 とあるシンポで情報伝達の難しさを意識させられた次第 大屋雄裕氏の講演に対する高木浩光氏の批判 10/2 Librahack事件 パネル討論会の批判に対する反論 危険犯の故意と過失 【有料ベータ?】MDISの図書館システムMELIL/CS(ASP)に新たな問題発露 @hatsanhat氏の岡崎図書館事件に関するtweet(7月) 「Librahack事件の恐怖」に関する徳保隆夫(@deztec)さんとの会話 静岡県吉田町立図書館(パスワードを生年月日に初期化) #librahack librahack 岡崎市中央図書館ウェブサーバ事件 2010/11/23-29分まとめ 【ゴメンで済んだら警察(゚⊿゚)イラネ】警察に事実と異なる回答をしたとしてMDISがついに謝罪 11/30 MDIS記者会見を時間差でtsudaる @ tsuda がMIDS記者会見に突撃した際の#librahackタグの反応 11/30『岡崎市立中央図書館事件』に関する三菱電機インフォメーションシステムズ記者会見:津田大介さんによるtsudaりまとめ #librahack librahack 岡崎市中央図書館ウェブサーバ事件 2010/11/30分 librahack 岡崎市中央図書館ウェブサーバ事件 2010/12/1分 librahack 岡崎市中央図書館ウェブサーバ事件 2010/12/2~6分 図書館員の方々が神田記者の「記者有論」を読んで 三菱電機ISの会見は「企業危機管理の悪い事例」なのか 三菱電機ISの会見まとめ librahack 岡崎市中央図書館ウェブサーバ事件 2010/12/7~8分 librahack 岡崎市中央図書館ウェブサーバ事件 2010/12/9~11分 「Pマーク」終了のお知らせ - MDIS 個人情報公開しても [Pマーク更新] 津田大介×古賀徹×小寺信良×庄司昌彦 MIAUで語り尽くす、どーなる!?2011年のインターネット! #miauJP #librahack #hijitsuzai 「Pマーク認定」のことを皆さん何か勘違いしている? librahack 岡崎市中央図書館ウェブサーバ事件 2010/12/14~19分 高木氏とのやりとりのまとめ(eno8sとHiromitsuTakagiでやりとりした12/26夜の内容のまとめ。個人的覚え書きとして) librahack 岡崎市中央図書館ウェブサーバ事件 2010/12/20~26分 librahack 岡崎市中央図書館ウェブサーバ事件 2010/12/27~31分 librahack 岡崎市中央図書館ウェブサーバ事件 2011/1/1~14分 librahack 岡崎市中央図書館ウェブサーバ事件 2011/1/15~23分 構成要件についての議論 librahack 岡崎市中央図書館ウェブサーバ事件 2011/1/24~31分 librahack 岡崎市中央図書館ウェブサーバ事件 2011/2/1~13分 librahack 岡崎市中央図書館ウェブサーバ事件 2011/2/15~28分 librahack関連で「集団リンチ」を受けたと主張する東平洋史氏にきく とある自治体と図書館の抱える諸問題 librahack 岡崎市中央図書館ウェブサーバ事件 2011/3/1~13分 librahack 岡崎市中央図書館ウェブサーバ事件 2011/3/15~31分 librahack 岡崎市中央図書館ウェブサーバ事件 2011/4/1~12分 librahack 岡崎市中央図書館ウェブサーバ事件 2011/4/14~30分 librahack 岡崎市中央図書館ウェブサーバ事件 2011/5分 librahack 岡崎市中央図書館ウェブサーバ事件 2011/6分 librahack 岡崎市中央図書館ウェブサーバ事件 2011/7分 librahack 岡崎市中央図書館ウェブサーバ事件 2011/8分 librahack 岡崎市中央図書館ウェブサーバ事件 2011/9分 吹田市立図書館で発生した障害あれこれ #librahack librahack 岡崎市中央図書館ウェブサーバ事件 2011/10分 librahack 岡崎市中央図書館ウェブサーバ事件 2011/11分 librahack 岡崎市中央図書館ウェブサーバ事件 2011/12分 librahack 岡崎市中央図書館ウェブサーバ事件 2012/1分 librahack 岡崎市中央図書館ウェブサーバ事件 2012/2分 librahack 岡崎市中央図書館ウェブサーバ事件 2012/3分 librahack 岡崎市中央図書館ウェブサーバ事件 2012/4分 librahack 岡崎市中央図書館ウェブサーバ事件 2012/5分 librahack 岡崎市中央図書館ウェブサーバ事件 2012/6分 librahack 岡崎市中央図書館ウェブサーバ事件 2012/7分 librahack氏への取材余話 librahack 岡崎市中央図書館ウェブサーバ事件 2012/8分 librahack 岡崎市中央図書館ウェブサーバ事件 2012/9分 librahack 岡崎市中央図書館ウェブサーバ事件 2012/10分 librahack 岡崎市中央図書館ウェブサーバ事件 2012/11分 librahack 岡崎市中央図書館ウェブサーバ事件 2012/12分 librahack 岡崎市中央図書館ウェブサーバ事件 2013/1分 librahack 岡崎市中央図書館ウェブサーバ事件 2013/2分 librahack 岡崎市中央図書館ウェブサーバ事件 2013/3分 librahack 岡崎市中央図書館ウェブサーバ事件 2013/4分 librahack 岡崎市中央図書館ウェブサーバ事件 2013/5分 librahack 岡崎市中央図書館ウェブサーバ事件 2013/6分 librahack 岡崎市中央図書館ウェブサーバ事件 2013/7分 librahack 岡崎市中央図書館ウェブサーバ事件 2013/8分 librahack 岡崎市中央図書館ウェブサーバ事件 2013/9分 librahack 岡崎市中央図書館ウェブサーバ事件 2013/10分 librahack 岡崎市中央図書館ウェブサーバ事件 2013/11分 librahack 岡崎市中央図書館ウェブサーバ事件 2013/12分 librahack 岡崎市中央図書館ウェブサーバ事件 2014/1分 librahack 岡崎市中央図書館ウェブサーバ事件 2014/2分 その他新しいまとめをGoogle検索 hashtagsjp による #librahack のログ Twapper Keeper による #librahack のログ (膨大なので時間がかかります) △上へ 検証 ぐて~blog (WindowsServer2003/IIS6/Oracle9i環境を仮想マシン上で構築した実験結果) 実際に岡崎市中央図書館の新着情報を全件取得してみた △上へ サーバ管理者日誌における本事件に関する記事 robots.txtに従わず、図書館HPにアクセス3万3千回 業務妨害容疑で男逮捕 続・robots.txtに従わず、図書館HPにアクセス3万3千回 業務妨害容疑で男逮捕 岡崎市立中央図書館に電話してみた クロールとDoSの違いと業務妨害罪と 続・ robots.txtに従わず、図書館HPにアクセス3万3千回 業務妨害容疑で男逮捕 続・クロールとDoSの違いと業務妨害罪と シリーズ・クロールとDoSの違いと業務妨害罪と(3) シリーズ・クロールとDoSの違いと業務妨害罪と(4) シリーズ・クロールとDoSの違いと業務妨害罪と(5) - その後の念力デバッグ シリーズ・クロールとDoSの違いと業務妨害罪と(6) - レガシーの呪縛 シリーズ・クロールとDoSの違いと業務妨害罪と(7) - 念力デバッグ再び シリーズ・クロールとDoSの違いと業務妨害罪と(8) - 自治体のIT調達に横たわる病理 シリーズ・クロールとDoSの違いと業務妨害罪と(9) - 関連リンク集 シリーズ・クロールとDoSの違いと業務妨害罪と(10) - 動かないコンピュータ 岡崎市立中央図書館事件に関する本日誌の記事一覧 シリーズ・クロールとDoSの違いと業務妨害罪と(11) - 図書館HP閲覧不能、サイバー攻撃の容疑者逮捕、だが… シリーズ・クロールとDoSの違いと業務妨害罪と(12) - 図書館の自由に関する宣言を考える 気になるアクセスログ 情報を取得することは、情報が漏洩することと表裏一体 3ヶ月目の近況報告 100万レコードからのLIKE検索 シリーズ・クロールとDoSの違いと業務妨害罪と(13) - 中野区立図書館の不思議 シリーズ・クロールとDoSの違いと業務妨害罪と(14) - ウェブビーコン シリーズ・クロールとDoSの違いと業務妨害罪と(15) - 岡崎市立中央図書館のホームページへの大量アクセスによる障害について 情報公開制度を使ってみる シリーズ・クロールとDoSの違いと業務妨害罪と(16) - 続・ウェブビーコン シリーズ・クロールとDoSの違いと業務妨害罪と(17) - 岡崎市立中央図書館に関する、毎日jpの記事 岡崎市議会 平成22年9月定例会 簗瀬太議員の一般質問 - 図書館交流プラザ「りぶら」のコンピューターシステムについて シリーズ・クロールとDoSの違いと業務妨害罪と(18) - 利用者視点でシステムを考えるということ シリーズ・クロールとDoSの違いと業務妨害罪と(19) - 一般競争入札でのシステムリプレース 酒々井町立図書館 シリーズ・クロールとDoSの違いと業務妨害罪と(20) - 図書購入費の1.6倍のシステム経費を投じる岡崎市立中央図書館 シリーズ・クロールとDoSの違いと業務妨害罪と(21) - 三菱電機ISが考える「強固なセキュリティ」 シリーズ・クロールとDoSの違いと業務妨害罪と(22) - やはり他にも情報漏洩させていたMELIL/CS導入図書館 岡崎市立中央図書館のサーバハードウェア シリーズ・クロールとDoSの違いと業務妨害罪と(23) - 「コピペ図書館」疑惑と問題 シリーズ・クロールとDoSの違いと業務妨害罪と(24) - 「コピペ図書館」は個人情報をコピペしたか シリーズ・クロールとDoSの違いと業務妨害罪と(25) - 自治体はエビデンスに基づく事実解明を シリーズ・クロールとDoSの違いと業務妨害罪と(26) - 図書館WebサイトROBOTS.TXTについてのご案内 シリーズ・クロールとDoSの違いと業務妨害罪と(27) - 任天堂株式会社 経営方針説明会/第2四半期(中間)決算説明会 質疑応答 シリーズ・クロールとDoSの違いと業務妨害罪と(28) - 容易に推測可能なパスワードにリセットし利用者の個人情報を危険に晒す吉田町立図書館 シリーズ・クロールとDoSの違いと業務妨害罪と(29) - サイバー攻撃えん罪も…図書館システム不具合 シリーズ・クロールとDoSの違いと業務妨害罪と(30) - 弊社図書館システムに生じた問題について(お詫び) シリーズ・クロールとDoSの違いと業務妨害罪と(31) - 千代田興産株式会社篠栗図書館に見るIT版ストックホルムシンドロームの病理 シリーズ・クロールとDoSの違いと業務妨害罪と(32) - SITE研究会 パネルディスカッション「岡崎図書館事件を通じて公共IT調達を考える」 シリーズ・クロールとDoSの違いと業務妨害罪と(33) - 「影響が出ることをまったく予想しなかった訳ではなかったから、過失ではなく故意」という魔女狩り シリーズ・クロールとDoSの違いと業務妨害罪と(34) - 飛騨市図書館システム導入時に想定された負荷 シリーズ・クロールとDoSの違いと業務妨害罪と(35) - 発注先業者名と発注金額すら開示しない岡山県笠岡市の「開かれた市政」とは 突然、ある技術者が逮捕された:記者が掘り下げた岡崎市立図書館事件 シリーズ・クロールとDoSの違いと業務妨害罪と(36) - 「図書館ホームページ閲覧障害に係る経過等について」 シリーズ・クロールとDoSの違いと業務妨害罪と(37) - 弁護士相談記録 △上へ 高木浩光@自宅の日記における本事件に関する記事 岡崎図書館事件について その1 岡崎図書館事件 日記予定 国会図書館の施策で全国の公共機関のWebサイトが消滅する 岡崎図書館事件(5) Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6) Macっ娘ならオートメータ君つかいたおすわよね 三菱図書館システムMELIL旧型の欠陥、アニメ化 - 岡崎図書館事件(7) 岡崎図書館事件(2の2) 図書館はどうしたのか 前編 岡崎図書館事件(8) 警察組織に期待すること 朝日新聞名古屋版「パスワード、管理会社員が解除」の記事 三菱電機IS曰く「2005年に想定した設計・構築、製品に欠陥とは考えていない」 逮捕時報道で疑問を挟めなかったメディアは一般紙だけではなかった 岡崎図書館事件(9) 三菱電機ISに求められているものは何か 岡崎図書館事件(10) 三菱電機ISは結局会見で何を伝えたかったのか 岡崎図書館事件(11) 岡崎市に求められているものは何か 岡崎図書館事件(12) 警察と検察と裁判所で何があったか 岡崎図書館事件(2の1) やはり起きていた刑事的萎縮効果による技術停滞 岡崎図書館事件(13) 検察は何を根拠に犯罪と判断したか 岡崎図書館事件(14) 「ウイルス作成罪」と岡崎図書館事件(日記予定) りぶらサポータークラブで岡崎図書館事件を考えるフォーラム 「岡崎図書館事件はまだ終わっていない」WEBRONZAに掲載 このまま進むと訪れる未来 岡崎図書館事件(15) 修正されつつある未来 岡崎図書館事件(17) りぶらサポータークラブによる“Librahack”フォーラムの公式記録 岡崎図書館事件(16) △上へ 技術的知見 法と技術とクローラと私 (最速転職研究会) 図書館クロール補足 (最速転職研究会) 岡崎市立中央図書館のMELIL/CSは5年前でも既に駄目 (水無月ばけらのえび日記) 岡崎市立中央図書館のサービスが停止した理由 (水無月ばけらのえび日記) △上へ 法的知見 [刑事事件][インターネット事件]岡崎市立中央図書館事件について (弁護士 落合洋司 (東京弁護士会) の 「日々是好日」) 岡崎市立中央図書館公式見解(09/01)に対して弁護士落合洋司さんの呟き [刑事事件]なぜ逮捕?ネット・専門家が疑問も 図書館アクセス問題 (弁護士 落合洋司 (東京弁護士会) の 「日々是好日」) 特定非営利活動法人デジタル・フォレンジック研究会 第115号コラム 「アクセス巡回の自動化プログラムと業務妨害罪」石井 徹哉 理事 シリーズ・クロールとDoSの違いと業務妨害罪と(12) - 図書館の自由に関する宣言を考える (サーバ管理者日誌) 法律相談事例[警察職員の職務執行に対する苦情申出制度] 日経パソコンオンラインコラム 岡崎市立図書館事件に見るネットと法執行機関のズレ (上原哲太郎氏) ちゃっぴの監禁部屋:Robots.txt に関する法令 Togetter - 岡崎図書館事件について 高木浩光氏から学生へのヒアリング 憲法 刑事訴訟法 刑法 民事訴訟法 民法 プロバイダ責任制限法 岡崎市個人情報保護条例 図書館の自由に関する宣言 △上へ 概要その他 岡崎市立中央図書館事件 (Wikipedia) 「図書館HPにアクセス3万3千回で逮捕」に疑問を呈する声が多数 (やじうまWatch) 「図書館HPにアクセス3万3千回で逮捕」の当事者によるまとめサイト (やじうまWatch) 「岡崎市立中央図書館サーバー事件」まとめ (R25) キミはLibraHack事件を知っているか? (Web屋のネタ帳) 岡崎市議会議員 やなせ太氏による言及 librahack事件 (岡崎市中央図書館事件) 岡崎市議会9月定例会一般質問行ないます 岡崎市議会9月定例会 やなせ太 一般質問 概要 2010年9月6日市議会における一般質問録画 図書館利用者情報の流出について 図書館利用者情報流出事件の和解 クローラ作者の逮捕とエンジニアの不安――“librahack事件”まとめ - はてなブックマークニュース Google検索による各所の意見など △上へ 参考リンク 岡崎市立中央図書館事件に関する本日誌の記事一覧 (サーバ管理者日誌) シリーズ・クロールとDoSの違いと業務妨害罪と(11) - 図書館HP閲覧不能、サイバー攻撃の容疑者逮捕、だが… (サーバ管理者日誌) ASP版MELIL/CS導入図書館リスト (サーバ管理者日誌) JFBA 日本弁護士連合会 被疑者ノート(取調べの記録)の活用について 岡崎図書館問題リンク集簡易版 △上へ その他 2ちゃんねる2ちゃんねる関連スレッドを参照 スラッシュドット・ジャパン Web ページに対する、高頻度アクセスはどこまで OK ? 図書館Webサイトへのクローラを実行して逮捕された男性、不起訴に 岡崎市立中央図書館ウェブサイト「サイバー攻撃」事件の詳細 岡崎市立中央図書館、Webサイトで発生した障害の原因を「大量アクセス」と発表 クローラ事件で話題の岡崎市立中央図書館で今度は利用者情報の流出が発覚 えびの市と篠栗町の図書館システム、保守会社の社員がパスワードを解除していた 宮崎県えびの市民図書館利用者の個人情報もパスワードなしのFTPで公開状態になっていた 図書館システムのMDIS、岡崎市に契約解除される 岡崎市立図書館のシステム問題でついにMDISが謝罪へ プライバシーマーク認定の一時停止について (三菱電機インフォメーションシステムズ) 岡崎図書館事件で、岡崎市と中川氏からの共同声明 岡崎市が被害届を取り下げ。ただし、公園の植木で はてなでの質問 「岡崎図書館事件について」教えてください。… スクレイピング技術を利用した個人サイトの運営者の方に質問です。… Podcast HMRのやっつけラジオ やっつけ157「リアル図書館戦争」 (17分頃から本事件に関する言及) JCast 第40回 研究不正、プラシーボ、岡崎市立中央図書館 (46分頃から本事件に関する言及) 日立ソリューションズ「情報セキュリティブログ」内「セキュリーマン検定【外伝】アキラのクイズセキュオネア」 (本事件に関するネタあり) スクリーンショット ネチケット △上へ
https://w.atwiki.jp/sevenlives/pages/1091.html
DoS攻撃 読み:でぃーおーえすこうげき 英語:Denial of Services 別名:DoS, サービス不能攻撃, サービス妨害攻撃 意味: DoS攻撃とは大量のデータや不正なパケットを送りつけることで目的のサーバのサービスを提供できないようにしてしまう行為のこと。 狙われたサーバは短時間に大量のデータが送信され処理能力が追いつかず一時的にサービスが不能となったりダウン?したりしてしまう。 F5攻撃?のような単純な方法からツール?を使った方法まで様々あります。 2008年02月05日 F5攻撃? DDoS攻撃 パケット ダウン?
https://w.atwiki.jp/librahack/pages/26.html
よくわかる岡崎市立中央図書館事件の流れ ニコニコ動画でスライドを動画化しました。 @Liriru さんが上げなおしてくれました。綺麗! http //www.nicovideo.jp/watch/sm12444057 文字がつぶれて読めないなどの場合は,こちらをクリックして高画質版をダウンロードしてください。(Windows Media Player用ストリーミング) imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 このページでは,岡崎市立中央図書館事件の大まかな流れについて,簡単に説明してみたいと思います。 30枚のスライドを画像として貼り付けていますので,長いページになっていますが,順にゆっくりとご覧ください。 また,画像にはリンクを張ってあります。画像をクリックすることで,原寸大の画像を閲覧する事ができます。 元データのパワーポイントファイルは,一番下でリンクしてありますのでお持ち帰り頂けます。また,同じく一番下で Google Docs にアップしたプレゼンテーションにリンクしてありますので,ブラウザ画面一杯に広げてスライドを見ることもできますので,お試しください。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 岡崎市立中央図書館は,総合文化施設「りぶら」の中心的施設として,東海地方最大級の規模を誇る,蔵書数およそ60万冊の図書館です。 写真はウィキメディア・コモンズより引用しました。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 このページは,詳細な正確さよりも,わかりやすさを主眼に置いています。まずはこのページで概要を把握してから,まとめサイトの詳細項目に目を通していただけると,より理解が深まると思います。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 実際には,図書館の複数の職員や館長,さらには岡崎市そのものの関与があったり,愛知県警と岡崎署,検察は別のプレーヤーだったりします。先に述べた通り,このページではわかりやすさを最優先するため,登場人物を最小限に絞り込みました。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 Librahack 氏は,図書館の WEB サイトに掲載されている新着情報を集めて,自分が使いやすいように整形したデータベースを作ろうとしました。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 Librahack 氏はたいへん読書家で,Amazon の高評価な本を中心に読んでいましたが,読書の幅を広げるために,図書館の新着情報を見て,読む本を探そうとしたのです。 新着リストだけでは書名や出版社名しか得られず,ISBN や書籍内容の概要などの詳細情報を得るためには,新着情報の一覧だけでなく,詳細情報まで得る必要がありました。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 しかし,図書館の WEB システムのうち,図書検索に関する部分に重大な不具合がありました。それは,新着情報を全部ダウンロードしようとすると,データベースに接続できなくなってしまうというものでした。 表示されているデータを取得しようとすると,止まってしまうのです。 幸いな事に,WEB サーバと DB サーバは館内業務システムとは切り離されていたので,定期的に予約情報や目録情報の足並みを揃える処理をする以外は関係がありませんでした。そのため,館内業務は滞りなく行われました。 (岡崎市立中央図書館のシステム構成は, 図書館が公開している平成21年度版図書館概要PDFの13ページ目 に詳細があります。) imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 不具合の原因は,とても粗悪な設計にありました。通常であれば,検索が一つ終われば,その検索に使った WEB サーバと DB サーバの間の接続は,ブラウザとの関係をなくして,再利用できるように設計されます。しかし,岡崎市立中央図書館のシステムでは,WEB サーバと DB サーバの間の接続が,最後の操作から10分間繋がったままになってしまうように作られていたのです。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 しかも,ブラウザとの関係を Cookie というもので保持していたため,Cookie を持っていないブラウザや,Cookie に対応していない Librahack 氏のクローラ等がアクセスすると,WEB サーバは内部で次々と WEB サーバ・DB サーバ間の接続を作り出し,あっという間に接続数の上限に達してしまうというものでした。そのため,一時的に蔵書検索ができなくなるという問題が現れました。 このとき,WEB サーバは「内部サーバーエラー」というエラーを表示していました。新しい DB サーバとの接続が作れなくなったため,正しい処理が行えなくなっていたのです。 しかも,そのエラーを表示された人は,ブラウザと WEB サーバの間を取り持つ Cookie が,DB 接続できないままのセッションと関連付けられているため,10分間放置するか,ブラウザを全部閉じてもう一度アクセスするかしないと,何度「更新」ボタンを押したり,検索画面に戻ってやりなおしても,「内部エラー」の状態が続いてしまいました。 このような状態になるには,10分間に数百人のアクセスがあれば充分でした。しかし,図書館の通常の蔵書検索利用者数は,最大で一時間に四百アクセス程度(ブラウザでの閲覧か,HTTPリクエスト数かは不明)だったため,これまで運良く不具合が顕在化せずに済んでいたのです。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 そこで,メーカーである MDIS は様々な対処を行います。しかし,その対処は場当たりで不適切なものばかりでした。 検索できなくなる問題を直すには,データベースとの接続を毎回切るようにすればよいのですが,そのような根本的な対策は行われませんでした。 また,Librahack 氏が当初使っていたさくらインターネットの苦情窓口や,自宅から接続する際に使っていたプロバイダに対する苦情連絡などが行われた様子もありませんでした。 そのため,Librahack 氏は図書館が自分のアクセスに対して対策を取ろうとしている,ということに,気付く事ができませんでした。 しかも,MDIS は過去に同様の問題が発生した図書館を知っていました。同じバージョンの同じソフトで起きた同じ不具合を,他の図書館では直していたのです。しかし,岡崎市立中央図書館には,そのことが伝えられませんでした。 図書館は根本的な不具合の原因を知ることなく,図書館の知る範囲でのみ対策を指示せざるを得ず,結果として不適切な対策ばかりが行われました。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 技術的に明るくない図書館の指示による対策しか行わなかったため,MDIS が実施した対策は結果的に全てが無駄となりました。 また,Librahack 氏が自宅から接続するようになった時には,Librahack 氏が利用していたプロバイダからの利用者が多数いたため,IP アドレスでのブロックを行う事ができませんでした。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 対策が全て無駄に終り,図書館は切羽詰ってしまいました。そして,仕方なく警察に相談をします。愛知県警岡崎署の生活経済課は,ハイテク犯罪,サイバー犯罪への対応ができる部署です。そこに対策を相談したのです。 しかし,警察は対策方法を指導するのではなく,事件化することを薦めたようです。(具体的な動向については現在図書館に問い合わせ確認中) imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 図書館は警察に相談してから,しばらく悩みます。そして,MDIS と何度か相談をしました。しかし,MDIS は自社製品の不具合を隠し通します。ソフトウェアに問題は無い,大量アクセスによる攻撃だ。この認識は MDIS が一貫して主張している事です。図書館はそれを受け,被害届の提出を行いました。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 警察は被害届を受理して,捜査を行います。しかし,サーバの不具合には気付くことはありませんでした。サーバに繋がりにくいという現象と,その原因になったアクセスのアクセス元を結びつける作業を行い,プロバイダに該当アクセスをした人の個人情報を開示するよう求めたのです。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 そして,家宅捜索が行われました。朝一番に警官たちが Librahack 氏の自宅に踏み込み,家宅捜索を行い,任意で事情聴取を行うために Librahack 氏を岡崎署に連行しました。 このとき,Librahack 氏は攻撃ではないことを繰り返し主張したそうです。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 しかし,警官にとっては,事件のあらましは「サーバが止まったこと」「その原因が Librahack 氏のアクセスであること」「図書館が実施した対策を『破って』アクセスし続けたこと」の三点が重要でした。そして,調書には Librahack 氏が語った覚えの無い言葉が記されていました。 Librahack 氏は早く帰宅できることを最優先して,調書にサインしました。彼の妻は双子を身ごもり,臨月を迎えていたのです。そのため,一刻も早く帰りたかったのです。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 しかし,警察はそれらの事情を勘案することはありません。Librahack 氏が故意を否認していること,DoS攻撃になったという内容の調書にサインしたことから,このまま帰すと証拠隠滅やその他の捜査妨害の可能性があると判断し,逮捕状を請求します。裁判所はそれに応じ,逮捕状を発行しました。Librahack 氏は帰宅することなく,岡崎署内で逮捕されました。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 逮捕されると勾留が始まります。勾留中は主に検察が捜査を担当し,警察も引き続いて捜査を行います。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 検察は最初の勾留期限となる10日目までに,Librahack 氏が攻撃を行ったかどうかを追求しました。その結果,攻撃ではないと判断が下されます。しかし,故意認定のため,さらに勾留期限が延長されました。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 20日に及ぶ取調べの後,Librahack 氏は釈放されます。しかし,「起訴猶予処分」となっての釈放でした。これは,法律上は「罪を犯したと考えられるが,起訴するに値しない」という意味です。実際には嫌疑不十分や嫌疑なしといった,無罪放免となる案件でも,検察のメンツのために起訴猶予処分とする場合があるそうなので,ここで Librahack 氏が犯罪を犯したと認定するのは困難です。しかし,氏は「前歴」という汚点を背負わされました。前科ではありませんが,罪を犯したという経歴です。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 MDIS は,製品の不具合を隠していました。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 図書館は,被害届を出す前に,一部の個人情報を警察に渡しました。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 警察は,捜査上重要な部分について,捜査しませんでした。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 検察は,無罪放免とすべき案件を,長期勾留の後起訴猶予処分としました。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 裁判所は苦悩したようですが,結果的に逮捕状の発行は誤りであった可能性が高いと言えます。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 少なくとも図書館が被害届を出した時点で,Librahack 氏のクローラの性能と同等の,国会図書館のクローラに耐えられることが義務付けられていました。 また,サーバの不具合の原因は,MDIS のソフトの不具合でした。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 しかし,MDIS,および図書館がこの事件を「大量アクセスによる攻撃である」と称している限り,私たちは安心してインターネットを使うことができません。 それは,通常開示されることのないサーバの性能を予知し,同時に,そのサーバに接続している人たちの数などを検知し,問題が起こらないようアクセスしなければ,最悪逮捕される可能性がある,ということを意味するからです。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 私たちは,そのような状態を良しとしません。 通常のインターネットの利用を行って逮捕されるのは,行き過ぎです。 本当に罪を犯した人は逮捕され処罰されるのは当然です。しかし,罪を犯したのではない人が逮捕され,起訴される寸前まで行ったことは,健全な情報処理技術の発展に対する障害であると考えます。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 どうか,この事件を忘れないでください。 かつてあった,他社のリコール隠しと同じように,記録に残してください。 そして,この事件について,詳しく知ってください。 十年以上前から当たり前に使われていた,WEB ダウンローダなどのフリーソフトを使うことで逮捕される可能性が出てしまいました。 あなたも当事者たりえるのです。 imageプラグインエラー 画像を取得できませんでした。しばらく時間を置いてから再度お試しください。 この画像を出力した 元のPPTファイルはこちらからダウンロード してください。 Google Docs を利用したプレゼンテーションの閲覧はこちら からご覧になってください。 PDF は こちら クローラについての概要は こちらのスライドを参照 してください。 参考リンクはそれぞれ Librahack 氏のまとめサイト 本サイト Google検索 です。 文責:杉谷 智宏
https://w.atwiki.jp/librahack/pages/36.html
時系列 - Librahack 事件に関してこれまで何があったのか (2009年以前) 主に、 岡崎市中央図書館向けクローラの件落ち穂拾い から、上原哲太郎氏および高木浩光氏、朝日新聞記者 神田大介氏の取材をもとにした Tweet をもとにしています。 時系列には可能な限り具体的な Tweet 等へのリンクを添えています。Tweet の前後関係について詳しくは 岡崎市中央図書館向けクローラの件落ち穂拾い 等、リンクページから先のソースを参照してください。 なお、重要と思われる点については強調表示を行っています。 2009年以前の出来事 2003年ごろ、MELIL/CS i-mode 版に「i-mode側ではやってはいけない(意味も無い)処理なので、すべてコメント化 ' ※メモリを食いつぶすので絶対コメント解除しない事!」とのコメントあり。Cookie に対応していない端末がリソースを食いつぶすことをプログラマーは認識していた可能性が高い。 http //twitter.com/kanda_daisuke/status/21917679452 http //twitter.com/kanda_daisuke/status/21917782920 http //twitter.com/kanda_daisuke/status/21917861060 2003年6月、MDIS は4部門で CMMI レベル3認証 を受ける。同時期、先行部門として、公共システム事業部門が CMMI レベル5 取得を目指して行動開始http //www.atmarkit.co.jp/news/200308/21/cmm.html http //www.mdis.co.jp/company/techpaper/2006/0609201_CMMI.pdf 2005年6月29日、岡崎市立中央図書館が三菱電機インフォメーションシステムズの MELIL/CS を導入、運用開始http //www.library.okazaki.aichi.jp/tosho/about/pdf/H22.pdf 三菱電機インフォメーションシステムズは、仕様書に含まれていない範囲の許容システム負荷について設定していた模様。http //twitter.com/kanda_daisuke/status/21911735503 2006年3月、MDIS は公共システム事業分野で CMMI レベル5を達成 http //www.mdis.co.jp/company/csr/process.html 2006年、三菱電機インフォメーションシステムズは不具合を解消した MELIL/CS を開発(新型のASP.NET版を指す。) asahi.comの記事 高木浩光氏の検証記事 2007年度、岡崎市立中央図書館が、岡崎市立図書館交流プラザ (Libra) のオープン (2008年11月) を機に、三菱電機インフォメーションシステムズのMELIL/CSをICタグ対応等の新システムに切り替えすると決定 技術論文 2009年7月発表 岡崎市図書館交流プラザ図書館システム (PDF) 指名競争入札結果表 (PDF) 三菱図書館システム MELIL/CS 導入事例 岡崎市立中央図書館様 この頃、時期は不明だが大阪府貝塚市の貝塚市民図書館でサイトにアクセスできないなどの苦情が寄せられ始める。http //twitter.com/kanda_daisuke/status/21912011932 2008年9月、MELIL/CS ASP版を導入している東京都中野区立図書館に「新着図書のページが使いづらい」と要望が入るものの、システム改修が必要として受け入れられず。http //www3.city.tokyo-nakano.lg.jp/tosho/voice/HPkoe0809.html 2008年12月、MELIL/CS ASP版を導入している広島県府中市の府中市立図書館で、クローラによるものと思われるアクセス障害が発生。三菱電機インフォメーションシステムズは「海外からの不正アクセス」と説明したらしい。http //twitter.com/kanda_daisuke/status/21708306919 http //twitter.com/kanda_daisuke/status/21913667878 岡崎市2008年度決算/電算システム運用経費 1億205万円、2009年度予算/電算システム運用経費 6880万5千円 平成21年度 基礎事業評価表 (PDF) 2009年12月、MELIL/CS ASP版を導入している大阪府貝塚市の貝塚市民図書館で、librahack氏と同様のクローラによる障害が発生。三菱電機インフォメーションシステムズは岡崎とは別の対策を実施し、robots.txtを設置。http //twitter.com/kanda_daisuke/status/21708183552 http //twitter.com/kanda_daisuke/status/21709230101 2009年7月10日、改正国立国会図書館法公布http //law.e-gov.go.jp/htmldata/S23/S23HO005.html http //www.ndl.go.jp/jp/aboutus/internet_data.html 2009年7月22日、カレントアウェアネス・ポータルで政府系ネット情報の収集に関する国立国会図書館法の改正と題する文書が掲示される。http //current.ndl.go.jp/e954 2009年8月、「月報 国立国会図書館」において、クローラによる WEB サイトデータのクロールが行われること、それに対応するよう求めることが記載される。 月報 国立国会図書館 (PDF) 2009年夏ごろ、石川県加賀市の図書館でサイトの閲覧や蔵書検索ができないなどが発生。三菱電機インフォメーションシステムズは「激しいユーザがいるのでアクセスに制限をかける」と説明。http //twitter.com/kanda_daisuke/status/21913353553 http //twitter.com/kanda_daisuke/status/21913527540 2009年12月初旬、大阪府貝塚市 貝塚市民図書館に「サイトが表示できない」「検索できない」などの苦情が頻繁に寄せられるようになる。これに対して三菱電機インフォメーションシステムズは「ロボットによる検索がセッションを掴んで離さない」と説明、「3分程度掴んで離さない状態になれば自動的に再起動」するよう対策したとのこと。http //twitter.com/kanda_daisuke/status/21912060161 http //twitter.com/kanda_daisuke/status/21912128081 2010年以降の出来事 時系列-2010年以降を参照ください。 △上へ
https://w.atwiki.jp/librahack/pages/16.html
時系列 - Librahack 事件に関してこれまで何があったのか (2010年以降) 主に、 岡崎市中央図書館向けクローラの件落ち穂拾い から、上原哲太郎氏および高木浩光氏、朝日新聞記者 神田大介氏の取材をもとにした Tweet をもとにしています。 時系列には可能な限り具体的な Tweet 等へのリンクを添えています。Tweet の前後関係について詳しくは 岡崎市中央図書館向けクローラの件落ち穂拾い 等、リンクページから先のソースを参照してください。 なお、重要と思われる点については強調表示を行っています。 2009年以前の出来事 時系列-2009年以前を参照ください。 2010年以降の出来事 前年から1月にかけて、貝塚市民図書館のシステムを三菱電機インフォメーションシステムズがメンテナンス。その内容は「利用者からの同時接続数を100に制限」「セッションタイムアウトを300秒に変更」「クローラー対策 クローラー閲覧抑止対応の強化 (新着案内に追加)」「インターネットサービス監視ツールの設定変更 監視対象のコンテンツ画面を変更」。これらは岡崎市立中央図書館には反映されなかった。http //twitter.com/kanda_daisuke/status/21912355444 http //twitter.com/kanda_daisuke/status/21912418661 http //twitter.com/kanda_daisuke/status/21912574499 http //twitter.com/kanda_daisuke/status/21912715011 http //twitter.com/kanda_daisuke/status/21912865622 http //twitter.com/kanda_daisuke/status/21913043213 2010年3月13日、librahack氏が自身で利用するマッシュアップ用プログラム (新着図書の予約、またはAmazonでの購入を行うプログラム) の一部としてクローラを作成、試験運用を開始。http //twitter.com/librahack/status/21928303366 http //twitter.com/librahack/status/21928714071 http //twitter.com/librahack/status/21928845836 http //twitter.com/tetsutalow/status/18796534863 http //twitter.com/kanda_daisuke/status/21922048683 http //twitter.com/kanda_daisuke/status/21910564519 2010年3月14日、ローカル環境でのテストを終え、さくらインターネットのレンタルサーバ上でプログラムを実行するように変更http //twitter.com/HiromitsuTakagi/status/18827978621 http //twitter.com/librahack/statuses/22014582160 2010年3月15日、「WEBページがエラーになる」と、利用者から岡崎市立中央図書館に問い合わせ。再起動を行うと復旧した。翌16日も同様だった。この段階から通じて館内業務には影響なし。データベースを参照するリンクを辿ったときだけエラーとなる状態。http //twitter.com/HiromitsuTakagi/status/19325134002 http //twitter.com/HiromitsuTakagi/status/19326393788 2010年3月19日、三菱電機インフォメーションシステムズはクローリングによる障害 (高負荷) だと認識、報告書を通じて図書館に連絡。直近で改修したCD・DVD一覧リストが不具合の原因と見てリンクを切るが、翌日復帰させる。http //twitter.com/kanda_daisuke/status/21708183552 2010年3月20日ごろ、業者 (三菱電機インフォメーションシステムズ株式会社) にアクセスログを調査させたところ、たくさんのアクセスを発見。http //twitter.com/kanda_daisuke/status/21708897031 http //twitter.com/tetsutalow/status/18797578659 http //twitter.com/HiromitsuTakagi/status/19325368937 同日15時15分、 岡崎市立中央図書館のrobots.txt が更新される。 (8月23日現在の最新版)http //twitter.com/kanda_daisuke/status/21711559091 2010年3月21日、図書館が岡崎署に電話で相談。攻撃がきているとは言っていない。http //twitter.com/kanda_daisuke/status/21708897031 (日経コンピュータ8/4日号によれば3/21とのこと。図書館員の記憶がぼやけてしまっているためと思われる) 2010年3月24日、岡崎市立中央図書館は「何か普通でない事を機械的にされているので困る」という認識で、URLを少し動的に変化させるよう修正を行う。http //twitter.com/tetsutalow/status/18796741940 http //twitter.com/HiromitsuTakagi/status/18812327051 同日、librahack氏はデータが取れないことに気付き、クローラを修正して対応。http //twitter.com/HiromitsuTakagi/status/18812327051 librahack氏はテストがうまくいったと判断。さくらインターネットのレンタルサーバ上にプログラムを移し、cron で1日1回自動的にデータを収集するよう設定。動作時間は18時からに設定。http //twitter.com/HiromitsuTakagi/status/18812327051 http //twitter.com/kanda_daisuke/status/21782637285 http //twitter.com/kanda_daisuke/status/21782701245 2010年4月1日、岡崎市立中央図書館が利用者のアクセスではないと判断し、さくらインターネットのレンタルサーバからのアクセスを遮断。http //www.nantoka.com/~kei/diary/?20100806S1 http //twitter.com/tetsutalow/status/18797289839 http //twitter.com/HiromitsuTakagi/status/19326568552 http //twitter.com/kanda_daisuke/status/21728636211 2010年4月1日、データが取れていないことにlibrahack氏が気付く。が、さくらインターネットではCPU占有率等が高い場合にプロセスを止める (使用を制限する) ことがよくあるため、その可能性を疑う。http //twitter.com/HiromitsuTakagi/status/18812460008 2010年4月1日、改正国立国会図書館法施行。これにより岡崎市立中央図書館は同法第25条の3の②に違反している状態になる。(2010年9月10日まで改善なし)http //law.e-gov.go.jp/htmldata/S23/S23HO005.html http //www.ndl.go.jp/jp/aboutus/internet_data.html librahack氏、さくらインターネットでの稼動を諦め、4月2日から、自宅または実家からアクセスするよう変更。開発環境のノートパソコンから5月24日まで留守の日を除いて44回 (44日) 動作させる。http //twitter.com/tetsutalow/status/18797826472 http //twitter.com/HiromitsuTakagi/status/18768007924 http //twitter.com/HiromitsuTakagi/status/18769154869 http //twitter.com/HiromitsuTakagi/status/18812657457 2010年4月2日ごろ、以前図書館側から電話で相談した人とは別の警察官が「(librahack氏のアクセスに関して) これは捜査できるかもしれない」と図書館に連絡、ヒアリング。http //twitter.com/kanda_daisuke/status/21708897031 http //twitter.com/tetsutalow/status/18798239953 http //twitter.com/HiromitsuTakagi/status/19325903745 2010年4月5日、および4月8日、三菱電機インフォメーションシステムズは岡崎市立中央図書館の求めに応じてアクセスログをCD-Rに焼き、渡す。このとき、欠陥について三菱電機インフォメーションシステムズから岡崎市立中央図書館への説明は行われていない。http //twitter.com/kanda_daisuke/status/21720327555 http //twitter.com/HiromitsuTakagi/status/21708348962 2010年4月8日、岡崎市立中央図書館は県警の捜査照会に応じてアクセスログと、さくらインターネットのメールアドレスを持つ一部の利用者について個人情報を提出。http //twitter.com/kanda_daisuke/status/21720327555 http //twitter.com/kanda_daisuke/status/21720442492 http //twitter.com/kanda_daisuke/status/21721873318 http //twitter.com/kanda_daisuke/status/21721978077 http //twitter.com/polygon0323/status/21970338523 2010年4月15日、MDISが図書館に4月8日以降のログを渡す 2010年4月15日、図書館に対して被害届を出すよう促す。http //twitter.com/kanda_daisuke/status/21708897031 http //twitter.com/tetsutalow/status/18798239953 http //twitter.com/HiromitsuTakagi/status/19325903745 http //twitter.com/kanda_daisuke/status/21918237790 2010年4月16日、三菱電機インフォメーションシステムズから岡崎市立中央図書館に4月8日以降のアクセスログを提出。このときも欠陥についての説明はなし。http //twitter.com/HiromitsuTakagi/status/18769154869 http //twitter.com/HiromitsuTakagi/status/21708348962 http //twitter.com/kanda_daisuke/status/21728401024 2010年4月29日。MDISが図書館に目録サーバ (DBサーバ) の再起動方法を説明 図書館側の証言:「管理会社に調査を依頼し、攻撃が判明」「サーバの調査等は (電話で回答した人の知る限り) 行われていない」「令状をもった捜査が行われた事はない」http //www.nantoka.com/~kei/diary/?20100622S1 2010年5月10日、MDISがWEBに取り残されていた予約情報約10件を削除。 5月25日朝、librahack氏の自宅に警察が訪れ、家宅捜索および任意事情聴取。http //twitter.com/HiromitsuTakagi/status/18812911844 警察署に向かうパトカー内で警官と会話。故意がないこと、通常のクロールであること、サーバダウンの事実を知らないことなどを示す。http //twitter.com/HiromitsuTakagi/status/18812911844 http //twitter.com/HiromitsuTakagi/status/18813096322 http //twitter.com/HiromitsuTakagi/status/18813280161 http //twitter.com/HiromitsuTakagi/status/18813463661 http //twitter.com/HiromitsuTakagi/status/18813551841 http //twitter.com/HiromitsuTakagi/status/18813649468 librahack氏、警察によってあらかじめ準備されていた表現を変更された調書にサイン。調書の文面には「結果的にDoS攻撃になってしまいました」「業務を妨害しました」「迷惑をかけた責任は償いたいと思います。」といった言葉が最初からあった。http //twitter.com/HiromitsuTakagi/status/18774674672 http //twitter.com/HiromitsuTakagi/status/18814178851 http //twitter.com/HiromitsuTakagi/status/18814331816 http //twitter.com/HiromitsuTakagi/status/18814353523 http //twitter.com/HiromitsuTakagi/status/18814499437 http //twitter.com/HiromitsuTakagi/status/18814599336 http //twitter.com/kanda_daisuke/status/21786869394 http //twitter.com/librahack/status/22992361686 http //twitter.com/librahack/status/22992487323 librahack氏は「警察の言う事をおとなしく受け入れていれば早く帰れる」と思い込み、丸め込まれている感じはしたが、この不本意な調書にサイン。http //twitter.com/kanda_daisuke/status/21787016375 http //twitter.com/librahack/status/22992833852 捜査当局がlibrahack氏の家庭の事情 (妻の妊娠) を捜査に利用した事実は無い。http //twitter.com/kanda_daisuke/status/21911614312 その後、17時ごろ逮捕状が出て逮捕。http //twitter.com/HiromitsuTakagi/status/18820726499 警察は逮捕に至った理由を「捜査上の判断」「証拠隠滅の恐れがあった」と説明http //twitter.com/kanda_daisuke/status/21745309688 http //twitter.com/kanda_daisuke/status/21781037411 http //twitter.com/kanda_daisuke/status/21781132606 2010年5月27日、新聞各社による実名報道 朝日新聞 ( 魚拓 ) ほか、 中日新聞、読売新聞、日経新聞、毎日新聞でも報道されたとのこと 2010年5月26日の検察調べで、librahack氏、改めて正当性を主張。しかし勾留決定。5月28日の当番弁護士接見で曰く「不起訴の可能性がある。君ひとりでがんばりなさい。」とのこと。http //twitter.com/HiromitsuTakagi/status/18815096441 http //twitter.com/kanda_daisuke/status/21922331317 http //twitter.com/librahack/status/22017544571 当番弁護士氏によると「図書館のホームページを普通に利用して問題が起きたなら、図書館に問題がある。不起訴の可能性があるから、きちんとした利用目的があったことを主張し、納得できないことにサインをしてはいけない」「どうしてもダメなら呼んでください。ただし弁護費用が35万円かかります」とのこと。http //twitter.com/kanda_daisuke/status/21921587660 http //twitter.com/kanda_daisuke/status/21921644764 2010年6月2日か3日ごろ、作ろうとしていたマッシュアップ用プログラムで使う予定だった「Librahack」というロゴがlibrahack氏の開発環境にあるのを警察官が発見。ライフハック等と同じ意味だと説明する。http //twitter.com/HiromitsuTakagi/status/18811113162 http //twitter.com/HiromitsuTakagi/status/18811384580 http //twitter.com/librahack/statuses/22014143247 2010年6月5日頃、警察・検察ともに「これはサイバー攻撃ではない」と認識。http //twitter.com/kanda_daisuke/status/21787179236 2010年6月9日、実際にプログラムを動作させ、再現実験。http //twitter.com/HiromitsuTakagi/status/18816031627 検察に何度も「それくらい気付け」と言われる。合計20日間の勾留。http //twitter.com/HiromitsuTakagi/status/18816210885 2010年6月14日、起訴猶予処分として釈放。警察官は「君は罪を犯したが、反省しているので検察が起訴猶予にしてくれたよ」というニュアンス。http //twitter.com/HiromitsuTakagi/status/18816274423 警察は検察に対し、罰金刑 (略式起訴) か、不起訴であっても起訴猶予処分となるよう要請していた。http //twitter.com/kanda_daisuke/status/21787310842 名古屋地検岡崎支部は起訴猶予処分とした理由について「強い意図は証拠上認定できなかった。どれくらい業務に支障があったかという点でも、検索システムの障害になったのは比較的短時間だった」「業務妨害罪としてそれほど悪質なものではない。本人も反省している」と説明。librahack氏が罪を認めているから嫌疑不十分とはしなかった。http //twitter.com/kanda_daisuke/status/21746370867 http //twitter.com/kanda_daisuke/status/21746489134 2010年6月21日、朝日新聞記者神田大介氏が取材行動を開始。http //twitter.com/kanda_daisuke 取材が行われた時期、三菱電機インフォメーションシステムズは岡崎と同様の障害を貝塚市以外に把握せず。記者氏の取材に「(図書館で) 障害があれば (社内に) 情報を集める仕組みをつくっているが、様子見ということも含めてそこまで伝わっていなかった。社内的な連絡がうまくいっていなかった」と回答。http //twitter.com/kanda_daisuke/status/21914581557 http //twitter.com/kanda_daisuke/status/21917987665 検察の調書上は業務妨害が成立し、それが故意であるとされていたらしい。(朝日新聞記者神田大介氏の取材)http //twitter.com/kanda_daisuke/status/21787112661 http //twitter.com/kanda_daisuke/status/22047087483 逮捕前の自白調書以外罪を認めるような調書は作らなかった。検察が最終的に作った調書でも罪となる表現はなかったと思うが、それでも起訴猶予となった (librahack氏)http //twitter.com/librahack/status/22019878311 librahack氏、逮捕から釈放まで、自社の顧客対応ができなかったため、月の収入の7割を損失。http //twitter.com/kanda_daisuke/status/21910017434 http //twitter.com/kanda_daisuke/status/21910153196 しかし、librahack氏はこれらに対して強い不満は示さず。http //twitter.com/kanda_daisuke/status/21911449364 2010年6月24日、librahack氏のサイトが完成。事件に関する詳細が明らかになる。http //librahack.jp Twitter の #librahack タグで活発な議論が始まる。各種リンク 2010年6月25日、librahack氏のサイトがR25で取り上げられる。http //r25.yahoo.co.jp/fushigi/jikenbo_detail/?id=20100625-00002724-r25 後日、三菱電機インフォメーションシステムズは岡崎市立中央図書館のWEBシステムを改修し、リンクをJavaScriptで飛ばすよう変更。http //twitter.com/HiromitsuTakagi/status/19343687720 その後、三菱電機インフォメーションシステムズはさらに岡崎市立中央図書館の改修を繰り返す。7月ごろ、データベースとの接続を都度接続/解放方式に変更、その時点で librahack 氏のクローラではアクセス障害を引き起こさなくて済むようになった。 (朝日新聞報道による) また、有志の指摘によってIPAを通じて伝えられた SQL Injection や XSS の脆弱性が解消された。また、1文字では検索できないようにする、「%」や「_ (アンダーバー)」といった SQL 文のメタ文字を検索しても問題が起こらないように修正された。 2010年7月20日ごろ、神田大介氏が取材に際して送信した電子メールが岡崎市立中央図書館内で閲覧されたことが、後に @keikuma 氏によって明らかにされる。 当サイト内「皆様の電話取材などその2 @keikuma 氏が入手した、岡崎市立中央図書館内で閲覧された神田記者から図書館宛メールの概要」 2010年8月4日、日経コンピュータ誌上「動かないコンピュータ」で事件が取り上げられ、データベースが Oracle9i で構成されていたことが明らかになる。 2010年8月18日現在、当まとめサイト管理者に寄せられた情報では、MELIL/CSを導入している一部図書館等はこの事件を「サイバー攻撃」と称しているとの話がある。これが三菱電機インフォメーションシステムズの説明によるものかどうかは不明。 2010年8月21日、朝日新聞にて報道。「原因は図書館」「ソフトに不具合 改修始まる」「愛知県警曰く、「図書館の業務に支障が出たことは事実で、捜査に問題はない」とのこと」 紙面画像データその1 誌面画像データその2 asahi.comの記事その1 ( 魚拓 ) asahi.comの記事その2 ( 魚拓 ) 三菱電機インフォメーションシステムズ、岡崎市立中央図書館に欠陥伝えず。取材によると、三菱電機インフォメーションシステムズは直後にアクセス記録から原因を把握していたが、図書館側に他の図書館で同じような閲覧障害が起きていたことを伝えていなかった。 asahi.comの記事 ( 魚拓1ページ目 | 2ページ目 ) 朝日新聞記者 神田大介氏による三菱電機インフォメーションシステムズへの取材の結果、三菱電機インフォメーションシステムズは「不具合という認識は色々な方が持たれること。我々は設計上のことだと考えている。しかし現状、改善の余地があると考えている」と答えた。http //twitter.com/kanda_daisuke/statuses/21708016913 2010年8月21日昼、岡崎市が報道対応。図書館長曰く「図書館ソフトに不具合はなく、図書館側に責任はない。図書館に了解を求めることなく、自作プログラムで繰り返しアクセスした男性に問題がある。男性からきちんと連絡してもらえれば、図書館として対処できた」とのこと。また、「違法性が無い事は知っていたが、図書館に了解なく繰り返しアクセスしたことが問題」としている。http //twitter.com/kanda_daisuke/status/21730319339 http //twitter.com/kanda_daisuke/status/21746100276 asahi.comの記事 ( 魚拓 ) しかし、他の職員は早い段階で「アクセス数の多さが問題だったのではない」と認識していた。http //twitter.com/kanda_daisuke/status/21782058935 同日、全国の図書館横断検索サービスを提供している カーリル の開発元ブログが遺憾の意を表明http //blog.calil.jp/2010/08/blog-post_21.html 岡崎市立中央図書館は三菱電機インフォメーションシステムズと随意契約を行う事を決定済み。http //twitter.com/kanda_daisuke/status/21730855232 2010年8月現在、日本図書館協会が「図書館が無駄に高いシステムを買わされていないか」と危機感を持っている。http //twitter.com/kanda_daisuke/status/21911081592 2010年8月23日、朝日新聞名古屋本社版夕刊にて、福岡県篠栗町立と宮崎県えびの市立の図書館サーバの Anonymous FTP についての報道。 高木浩光@自宅の日記 に紙面あり 2010年8月25日朝日新聞名古屋版朝刊25面記事「図書館ソフト不具合 接続障害の対抗策 国会図書館も排除」において岡崎市立中央図書館は「問題を把握しておらず、MDISに確認し、対応を検討したい」とコメント。しかし、9月10日まで robots.txt は修正されなかった。 2010年9月1日水曜 (岡崎市立中央図書館休館日)、岡崎市立中央図書館が公式見解を発表。また、サーバー入れ替えなどのシステム更新を2011年1月初旬に実施する方針を明らかにした。 図書館の見解発表文 毎日新聞 ( 魚拓 ) J-CASTニュース 以後、同見解以外答えられないと回答するようになるが、その対応は図書館法第7条の4に違反する行為である。 図書館法 2010年9月3日15 30、MDISが公式見解を発表http //www.mdis.co.jp/news/topics/2010/0903.html 2010年9月7日、岡崎市立中央図書館がMDISの図書館システムの使用を2015年12月まで継続する方針を明らかにした。 毎日新聞 ( 魚拓 ) 2010年9月10日夕刻、岡崎市立中央図書館サイトの robots.txt が更新され、全てのクローラに対してクロールを許可する設定となった。 2010年9月14日、MDISから各図書館へ「ROBOTS.TXTについて」文書で説明が行われる。http //twitter.com/keikuma/statuses/29067328341 http //twitter.com/keikuma/statuses/29067368169 http //twitter.com/keikuma/statuses/29067407277 http //twitter.com/keikuma/statuses/29067440577 http //twitter.com/keikuma/statuses/29067473087 http //twitter.com/keikuma/statuses/29067545885 2010年9月28日、岡崎市立中央図書館の利用者の個人情報漏洩について記者会見、報道。同日、 MDISのWebサイトから岡崎市立図書館の事例紹介ページが削除される 。 岡崎市立中央図書館の報道発表資料 ( 魚拓 ) および 添付資料 岡崎市立中央図書館からのお知らせ ( 魚拓 ) および 添付資料 ( 魚拓 )この図書館の発表によれば、MDISから図書館に報告があったのは前日の27日で、26日時点で既に各図書館のデータは削除済みとのこと。MDISはこれよりだいぶ早い段階でこの問題を把握していたが、当事者である岡崎市立中央図書館に一報も入れることなく全国図書館からの情報削除を行ったことになる。 三菱電機のお詫び文 ( 魚拓 ) MDISのお詫び文 ( 魚拓 ) 千代田興産のお詫び文 (魚拓)]]) 朝日新聞 ( 魚拓 ) 中日新聞 ( 魚拓 ) 産経新聞 ( 魚拓 ) 毎日新聞 ( 魚拓 ) 読売新聞 INTERNET Watch J-CASTニュース ( 魚拓 ) Security NEXT ( 魚拓 ) 日立ソリューションズセキュリティブログ NHKオンライン(第1報) ( 魚拓 ) NHKオンライン(修正版) ( 魚拓 ) 中京テレビ (動画あり) メ~テレニュース (動画あり) CBCニュース (動画あり) FNN東海テレビ (動画あり) 同じくえびの市でも個人情報漏洩について28日に記者発表、30日に報道。 えびの市のお詫び文 (PDF) ( 魚拓 ) 朝日新聞名古屋本社版と西部本社版の朝刊 (紙のみ。asahi.comは無し)http //twitter.com/kanda_daisuke/status/25941475488 毎日新聞 So-net セキュリティ関連ニュース 2010年9月30日、MDISが個人情報流出対象者163人におわび文を発送。 毎日新聞 ( 魚拓 ) この発送主体が「図書館が」ではなく「MDISが」であったことから、個人情報の目的外利用が疑われた。( 図書館発送の文書に同封だった という情報がある一方で、その後MDIS単体から訂正文が届いた ( その1 | その2 ) との報告あり。その後朝日新聞神田記者により、 岡崎市職員立会いでMDISが宛名書きをした ため、個人情報そのものを渡したわけではないことがわかった。 2010年10月4日、岡崎市の柴田紘一市長が定例会見の場でlibrahack氏が逮捕されたことに触れ、「市としても遺憾で、業者の責任を明確にして厳正に対応したい」と述べる。また、MDIS社長が陳謝に訪れたことを明かした。中日新聞西三河版10月5日記事 ( スキャン1 | スキャン2 ) 2010年10月15日、愛知県岡崎市がMDISとの契約を破棄すると発表。 asahi.com マイタウン愛知の該当記事 ( 魚拓 ) 2010年11月11日、朝日新聞の学芸面に名古屋大・大屋雄裕氏の「完全の追及、潜む危険 岡崎市立図書館問題から考える」が掲載される。 高木浩光@自宅の日記 で一部閲覧可 2010年11月26日、愛知県岡崎市が記者会見を開き、MDISを1年6カ月間の指名停止処分にしたと発表。また10月15日に発表した契約の解除に伴う違約金はMDISが負担し、次期システムの導入時期を2013年1月に設定、それまでは現行のMDISのシステムを使い続けるが、MDISによる保守は無償で行わせると発表。会見で大羽・岡崎市立中央図書館長が、9月1日に発表した見解「システムに不具合はない」「MDISに責任はない」とした発言を撤回し、現時点ではシステムに不具合があり、MDISには不備があったと考えているとの見解を示した。また、librahack氏へのコメントを求められ「たいへん気の毒なことだったと思う」と回答。しかし岡崎市としての見解は、現時点でも9月1日付の文書で出されたことに尽きる、との見解も示した。 毎日新聞 ( 魚拓 ) 朝日新聞名古屋本社版夕刊 (紙のみ。asahi.comは無し)http //twitter.com/kanda_daisuke/status/8010442194554880 http //twitter.com/kanda_daisuke/status/8067320454840320 http //twitter.com/kanda_daisuke/status/8067889504452608 http //twitter.com/kanda_daisuke/status/8068440719888384 http //twitter.com/kanda_daisuke/status/8073570836029440 http //twitter.com/kanda_daisuke/status/8074146718154752 http //twitter.com/kanda_daisuke/status/8084002451750912 http //twitter.com/kanda_daisuke/status/8143566106787840 So-net セキュリティ関連ニュース 2010年11月29日、一連の問題について MDIS が近く調査結果を公表し、librahack 氏を含めた関係者に謝罪する方向である旨の記事を読売新聞(おそらく全国)朝刊に掲載。追ってNHKでも報道。 読売新聞 ( 魚拓 ) 本よみうり堂 (YOMIURI ONLINE は紙面の前半まで、本よみうり堂は後半も掲載されているが最後の上原哲太郎氏のコメントが省かれている) http //twitter.com/HiromitsuTakagi/status/9058938943176704 http //twitter.com/simaneko_patara/status/9100641985105920 http //twitter.com/simaneko_patara/status/9152138013839360 財経新聞 ( 魚拓 ) NHKニュース ( 魚拓 ) しかし、追って取材した朝日新聞の神田記者によれば、MDISはシンプルに「librahack氏に謝罪すると決めた」「システムの不具合を認めた」というわけではない模様とのこと。http //twitter.com/kanda_daisuke/status/9091255686406144 2010年11月30日、一連の問題について MDIS が記者会見、閲覧障害問題と個人情報流出問題についてそれぞれまとめて詫びた。またえびの市の2761人分の個人情報流出についても新たに発表した。 MDIS のお詫び文 ( 魚拓 ) 千代田興産のお詫び文 ( 魚拓 ) えびの市のお詫び文 ( 魚拓 ) および 添付 PDF 資料 ( 魚拓 ) 広陵町の発表文 ( 魚拓 ) 津田大介氏によるtsudaり 高木浩光@自宅の日記における文字おこし 朝日新聞 ( 魚拓 ) 読売新聞 47NEWS ( 魚拓 ) INTERNET Watch ITmedia 日経 ITpro 日経新聞 ( 魚拓 ) 時事ドットコム サンケイビズ ( 魚拓 ) CNET Japan So-net セキュリティ通信ニュース (MDIS について) ( 魚拓 ) So-net セキュリティ通信ニュース (えびの市について) ( 魚拓 ) はてなブックマークニュース 同日、IPA サービス妨害攻撃 (DoS 攻撃) に対する留意事項をまとめた報告書を12月に公開することを明らかにした。 INTERNET Watch @IT 2010年12月1日、librahack 氏がクローラ作成から起訴猶予・釈放されブログを開設するまでの詳細な時系列メモを公開。http //librahack.jp/okazaki-library-case-season2/librahack-memo.html 同日、朝日新聞朝刊(おそらく全国)オピニオン面「記者有論」に神田大介記者の「図書館とIT 向き合わねば存亡の危機に」が掲載。( 高木浩光@自宅の日記 で閲覧可) 2010年12月3日、岡崎市議会定例会で 原田範次市議が図書館交流プラザや中央図書館に関する一般質問を行う予定だった が、途中の教育関係に対して熱弁を振るうあまり、図書館に関する質問を行うことなく終了した。 録画 2010年12月7日、岡崎市長が定例会見で図書館事件について、10月に詫びたとコメント。 毎日新聞 ( 魚拓 ) 一方、これについて librahack 氏は、それは公式な謝罪とは受け止めておらず、9月1日の公式発表や被害届は出されたままであるため、それらを公式に取り下げ、今回のことが犯罪ではなかったと公式に発表してほしいとコメント。また翌8日に自身のブログにも捕捉記事を掲載。 朝日新聞 ( 魚拓 ) (紙面は愛知県版のみ) http //librahack.jp/okazaki-library-case-season2/important-point.html ITmedia 同日、 中野区がその後の対応経過を発表 ( 魚拓 ) 2010年12月9日、岡崎市立中央図書館の9月1日の「お知らせ」が削除される。しかし訂正のお知らせや謝罪等はない。http //twitter.com/asuka645/status/12783946160939008 朝日新聞 ( 魚拓 ) 2010年12月16日、IPAが 「サービス妨害攻撃の対策等調査」報告書 を公開 INTERNET Watch 2010年12月17日、librahack氏が 「なぜ起訴猶予になったのか?」を聞きに検察庁へ行ってきた結果報告 を公開 同17日、MDISのプライバシーマーク更新が認定される 平成22年第7回プラバシーマーク審査会 結果報告 (PDF) 2010年12月18日、岡崎市立中央図書館で 「岡崎図書館未来企画フォーラム「図書館戦争」最前線!?」と題してLibrahack事件に関するパネルディスカッションがりぶらサポータークラブ主催で行われる 同18日、librahack氏が岡崎市長と図書館長に対し、被害届を取り下げるよう、りぶらサポータークラブを通じて書面で正式に申し入れたこと公表される 朝日新聞 ( 魚拓 ) 2010年12月26日、中日新聞西三河版に記事。検察庁岡崎支部長のコメントが掲載される。(http //takagi-hiromitsu.jp/diary/20101227.html#p01 で閲覧可能) 2011年1月5日、日経新聞に関連記事。 http //www.nikkei.com/news/headline/article/g=96958A9C93819696E0EBE2E5848DE0EBE3E0E0E2E3E2E2E2E2E2E2E2 2011年1月10日、 日本図書館研究会 第277回研究例会 岡崎市立図書館Librahack事件から見えてきたもの が大阪市立中央図書館で開催される。http //d.hatena.ne.jp/xiao-2/20110110/1294677113 2011年1月12日、12月9日に削除された岡崎市立中央図書館の9月1日のお知らせが復活していることが発見される。(Last-Modified は12月15日) しかしその数時間後に再び削除される。http //twitter.com/HiromitsuTakagi/status/25107177182076928 http //twitter.com/HiromitsuTakagi/status/25180576830988288 2011年1月15日、昨年12月18日に岡崎市立中央図書館で開催されたフォーラム「ネット時代の情報拠点としての図書館-“Librahack”事件から考える-」の公式記録として、基調講演部分が公開される。http //www.libra-sc.jp/project/2011011510302514.html 2011年1月18日、asahi.com WEBRONZA スペシャル記事として、高木浩光氏のインタビューを元にした「岡崎図書館事件はまだ終わっていない」が掲載される。http //astand.asahi.com/magazine/wrnational/special/2011011800003.html 2011年1月23日、昨年12月18日に岡崎市立中央図書館で開催されたフォーラム「ネット時代の情報拠点としての図書館-“Librahack”事件から考える-」の公式記録として、パネルディスカッション部分が公開される。http //www.libra-sc.jp/project/2011012315571803.html 2011年1月24日、MDIS のプラバシーマーク認定について2ヶ月間の一時停止が発表される。http //www.mdis.co.jp/news/topics/2011/0124.html http //www.jisa.or.jp/privacy/pr/download/110124.pdf (PDF) http //privacymark.jp/certification_info/list/rlist.html (参考) プライバシーマーク制度における欠格性の判断基準 (PDF) 2011年1月28日、asahi.com WEBRONZA スペシャル記事として、神田大介記者の「突然、ある技術者が逮捕された:記者が掘り下げた岡崎市立図書館事件」が掲載される。http //astand.asahi.com/magazine/wrnational/special/2011012800004.html 2011年2月25日、りぶらサポータークラブのコーディネートのもと、中川圭右氏と岡崎市立中央図書館の間に合意が成立、共同声明が発表される。ただし被害届の取り下げは行われなかった。 "Librahack"共同声明 (りぶらサポータークラブ) "Librahack"共同声明に関する詳細情報 (りぶらサポータークラブ) 図書館ホームページ閲覧障害に係る経過等について (岡崎市立中央図書館) 岡崎市立中央図書館と相互確認したこと (Librahack.jp) “Librahack”事件関係者間で共同声明が発表される (カレントアウェアネス・ポータル) HPでプログラム使用「犯罪性なし」 岡崎の図書館 (asahi.com) 岡崎市立中央図書館:HP閲覧困難で陳謝と経緯説明/愛知 (毎日jp) 岡崎市立中央図書館、検索システム障害に関して「クローラー使用の男性に非なし」との声明 (日経ITpro) 岡崎市図書館、ウェブ閲覧障害は逮捕された男性に原因は無いとする共同声明 (INTERNET Watch) 「逮捕された男性に非なし」--岡崎市立図書館閲覧障害問題で共同声明 (So-net セキュリティ関連ニュース) 2011年3月23日、MDISのPマーク一時停止措置が終了。翌24日には千代田興産も同様に終了。 2011年7月20日、イカタコウイルスについて東京地裁で「器物破損」として有罪判決が下り、捜査機関による刑法の恣意的な運用に批判の目が集まる。 日経新聞 2011年7月27日、三菱電機ISによる図書館利用者個人情報漏洩事件でこれまで公開されていなかった自治体や漏洩件数のまとめが朝日新聞により報じられる。 asahi.com (冒頭のみ) 朝日デジタル (全文) △上へ
https://w.atwiki.jp/librahack/pages/14.html
よくある質問とその答え ここでは,過去の議論等で出てきた,よくある質問とその回答を記載しています。 具体的なソースについては,各種リンクから事実関係および議論ログを参照してください。 よくある質問とその答え事件に関して 捜査(逮捕)に関して 技術的な事柄 法的な事柄 librahack氏の救済(名誉回復)について その他 事件に関して どうして librahack 氏は新着情報を集めたの?新着情報ページが使いにくかったので,自分専用の新着情報サイトを作って便利にしようとしたのです。 同じようなニーズが,同じく MELIL/CS を使っている東京都中野区立図書館にも意見として寄せられたことがあります 。この意見によれば,「現在ネットで新着図書を確認しようとすると新着図書の件数が多すぎてチェックするのに手間がかかり過ぎます。」「毎日チェックする必要があるのですが、現在の仕様ですと重複してチェックをしなくてはならず、件数が多い分類ですとそれに時間を取られすぎてしまいます。」など,改善要望が出ていますが,図書館側は「他にも多数のご要望を頂いておりますが、システム改修やそれにともなう予約・リクエスト数の増加などを考えますと、すぐに対応することはできません。」として,将来の課題,という扱いで回答していました。プログラミングの知識があれば,このニーズを「マッシュアップ」という方法で自分の力で解決することができます。librahack氏もそうしようとしました。 図書館の館内業務も影響を受けたのでしょうか? いいえ。 館内業務のためのデータベースと,WEB システムのためのデータベースは切り離され,日に一度の割合で同期を取っていました。そのため,館内業務は通常どおり滞りなく行われていました。(別の図書館では,貸し借りと予約について毎分同期を取っている,との情報提供がありました。岡崎市立中央図書館がどの程度の頻度で同期を取っていたかは,あくまでも推測によるものです。) どうしてみんなそんなに議論したりしてるのですか?WEB の世界におけるマッシュアップや新たなサービスを作る人たちにとって,相手が脆弱なシステムであったときに逮捕されうる,というのは大きなリスクになるからです。また,公共サービス,あるいは WEB に公開するサービスとしての脆弱な実装,それを調達してしまった自治体にも問題があるからです。 librahack氏はなぜ,自分のサイトでお詫びをしているのですか?大人の事情です。朝日新聞記者の取材では、妻が臨月だったので警察の主張を受け入れてでも早く帰りたかったという話がでています。 三菱電機インフォメーションシステムズ株式会社は何をしてたのですか?おそらく,何もしていません。図書館側からログの提示を求められたので,従った,というだけだと考えられています。 岡崎市立中央図書館のサーバは止まったの?いいえ,実際には止まっていません。バグが原因で一時的にデータベースと接続できなくなり,検索に失敗することはありましたが,サーバが止まったという事実はありません。 △上へ 捜査(逮捕)に関して 警察はどうして逮捕に踏み切ったのでしょうか?愛知県警は librahack 氏の作ったクローラが常識の範囲内の動作をしていることを見抜けませんでした。そのため,DoS 攻撃と通常のクローラによるアクセスの見分けがつかず,librahack 氏がサービスを止めたものとして逮捕に踏み切ったものと考えられています。また,さくらインターネットのサーバ,自宅,実家の三ケ所からアクセスしたことから悪質であると想定したこと,「証拠隠滅の疑いがある」と判断したことがわかっています。いずれにしろ,いわゆる誤認逮捕であると考えられています。 でも,サービスが止まったんだから,逮捕は妥当では?いいえ。サービスが停止したように見えたのは,岡崎市立図書館に導入されていたシステムそのものの性能があまりに不十分だったからです(参考:どうして岡崎市立中央図書館のサーバがアクセス不能になってしまったのでしょうか?)。 サーバが止まったのは偽計業務妨害によるものなのですか?愛知県警はそのように考えたようです。しかし,実際には蔵書検索システムの設計不備による不十分な性能のため,通常のアクセスに耐えられなかっただけのことでした。→偽計業務妨害とはどのような犯罪ですか? 愛知県警は正しく捜査したのですか?疑問符がつきます。少なくとも,「DoS攻撃」「責任を取る」などの記述が含まれた自白調書をあらかじめ作っておき,librahack氏が法的に無知なのを利用してサインさせたことがわかっています。適切な捜査が行われたかどうか,追求されてしかるべきでしょう。 librahack氏はどうして罪を認めてしまったのですか?朝日新聞記者 神田大介氏の取材によると,次の理由からだそうです。(1)結果的に図書館に迷惑を掛けていたとしたら、図書館側にどんな問題があろうと申し訳ない、という気持ち。 (2)librahack氏の妻が妊娠中で臨月が近く、一刻も早く妻の元へ戻りたいと考えていたため。(この事実の公表はlibrahack氏から承諾を受けています) (3)勾留中、この問題を理解できているのは自分1人しかいないのではないか、という絶望感に似た気持ちを抱いていた。 あれ? カーリルというサービス が全国の図書館をクロールしていますが,大丈夫なんでしょうか?本来,法人と個人(自然人)が刑法上区別されることはありません。法文に「人」とあれば,個人と法人の両方を指します。しかし,高木浩光氏が六月中旬に愛知県警岡崎警察署に電話問い合わせをしたところ, 「会社がやっているものを逮捕することはないので大丈夫です。」との回答があった そうです。また, カーリルを運営しているNota, Inc.が全国の図書館に問い合わせたところ,「カーリルは法人だからいい」ととれる発言があったそうです。 会社組織であれば安心で,個人は怖いという,誤った感覚が広まってしまうことは懸念されるべきでしょう。 あれ?librahack氏は独立起業しているから,会社じゃないんですか?それじゃあ会社がやってることを逮捕したことになって,おかしくありませんか?ホームページ作成会社社長,と報じられていますが,個人扱いになったのでしょうか。申し訳ありませんが管理人の理解の範囲を超えてしまっていますので,お答えできそうにありません。 △上へ 技術的な事柄 プログラムを作れる人なら,サーバエラーを見れば、自分のせいだと気づくのではないですか?無理です。サーバエラーを見て自分のせいだとわかるのは,認証失敗など一部のエラーだけです。ふつうは「ああ,なんかサーバの調子が悪いのかな」程度に認識できる程度でしょう。詳しい人であればサーバエラーの内容がわかりますので,今回の事件で表示された「レスポンスコード500」が「サーバ側の不具合によるエラー」だと理解するので,自分のせいだと認識する事はまず不可能です。 さすがにIPアドレスでブロッキングされたら気づくでしょう?まさか。ネットワークの不調や自分のプログラムの不調,クライアントPCの不調など疑う点はたくさんあります。環境を変えてうまくいったのであれば,それでよしとしても何の不思議もありません。 新着図書を知りたいならどうして一秒に一回のアクセスをしたのですか?新着情報はカテゴリ分けされ,詳細情報を得るためにはさらに詳しく調べる必要がありました。およそ二千件弱の詳細情報を調査し,その日に追加された本の情報を選別するため,三十分以上かけてクロールしたのです。なお,クロールは一日一回だけ実行するようになっていました。 一秒に一回のアクセスはひどくないですか?いいえ(→DoS攻撃とはどれくらいのアクセスを指すのでしょうか?参照)。また,librahack氏のクローラは,最低一秒の間隔を空け,かつ,一つのリクエストに対する応答が終了するまで次のリクエストを行わない,という構造になっていました。実質的には,一秒に一回に満たない,もっとスローなクローリングであったと考えられています。 librahack 氏のクローラはどうして Cookie を解釈しなかったのですか? Cookie に対応していれば,サーバは止まらなかったのでは?通常,クローラは Cookie を解釈する必要に迫られません。それは,Cookie で管理される状態遷移はブラウザ上での個別のものであり,サーバが恒常的に提供するページではないことが多いからです。また,librahack 氏のクローラは単純に新着情報を取得するためのものであり,ログイン操作などの必要がなかったことから,Cookie に対応する必要がなかったと言えます。また,Cookie に紐付いたセッションにデータベース接続そのものを格納するという実装は通常ありえないもので,普通の設計をしたシステムであれば Cookie を解釈しないクローラが来ても全く問題ないことから,特に必要のない限り,Cookie に対応しない,という実装は普通によくあると言えます。 インターネットには,そういうアクセス方法を規定したルールはないのですか?はい,あります。インターネットに関する技術の標準を定める団体で,IETFというところが発行しているRFCという文書があります。インターネット上で利用されている通信は,このRFCにしたがって行われています。しかし,新しい技術なあはRFCにそもそも記載されていませんし,罰則規定があるわけでもないので,厳密に守らなければならない,とまではいえません。みんながRFCに準拠していれば,問題なく通信できるよね,といったものと考えてもらえればよいでしょう。 librahack氏のクローラは,そのRFCに準拠していたのですか?はい。librahack氏のクローラを分析した結果についての情報によりますと,個人で利用するための標準的なクローラであって,特に問題のあるプログラムではありませんでした。 DoS攻撃とはどのような攻撃なのでしょうか?サーバに大量のアクセスを行い,サービスを提供できない,または困難な状態にする攻撃です。通常,専用のツールを使って行われるか,F5アタックなどを多人数で行うことによって攻撃を行います。一般的に,サーバが返すデータを待たず,次のアクセスを行います(参照:DoS攻撃とはどれくらいのアクセスを指すのでしょうか?)。また,セキュリティ・ホールを悪用することによって,一回~数回程度のアクセスでサービスを停止させることが可能な場合もあります。 DoS状態とはどのような状態でしょうか?サーバ側に何らかの不具合があるなどの理由で,そのサービスに一般的なアクセスをしたとき,偶然サービスが提供できなくなったり,提供しづらい状況になってしまった状態をいいます。 DoS攻撃とはどれくらいのアクセスを指すのでしょうか?前述のセキュリティ・ホールの悪用によるものを除いた大量アクセスによるものでは,例えばチューニングしていないApacheだと,同時接続数150,タイムアウトまで15秒ですので,最小で毎秒10回以上のアクセスが必要であるといえます。また,今回の事件では IIS が使われていました。 IIS の場合,簡単な ASP ページを表示する際に毎秒50回程度は出力できることが実験でわかっています(参考:http //www.atmarkit.co.jp/fwin2k/dnsvrguide/iisperf/iisperf_05.html)。データベースアクセスを含むことを考えても,毎秒20~30回のアクセスに耐えることが前提と考えられるので,最小で毎秒30回程度以上のアクセスが必要といえます。また,短時間に1000を超えるアクセスをした場合,特にチューニングしていないUNIX系システムではファイル取り扱い数の上限を迎えて,データを読み出せなくなるため,サービスが提供できなくなる場合があります。これらはWEBサーバの性能最小値といえます。 WEBサーバはどれくらいの性能が普通なんですか?2006年の記事ですが,よくチューニングされたシステム(IIS6.0とSQL ServerやOracleによるもの)は1秒あたり約2000回のリクエストをさばいています。ただし,これは上限値と見るべきでしょう。実際には,「DoS攻撃とはどれくらいのアクセスを指すのでしょうか?」より数段優れた性能が提供されると考えられますので,ごく普通に推測していわゆる商用サーバを導入した場合は1秒に100~数百のリクエストをさばける程度の性能が(もちろんハードウェアの性能にも左右されますが)期待されると言えるでしょう。いわゆる自宅サーバ等で,少し古くなったパソコンを再利用しているなどの場合は,もっと性能の下限値に近い性能になると思います。いずれにしろ,人間の感覚的には膨大な処理をこなせるのが普通であると言えます。ちなみに,もっと古い型で,サーバ用ではない普通のノートパソコンを使った場合(モバイルペンティアム3 700MHz,メモリ128MB)の実験では,同時に10本のリクエストを並列に投げても,一本あたり0.3秒,つまり一秒に約3回のリクエストをこなしきりました。2005年ごろのサーバ専用機が一秒一回で落ちると予測することはできません。 どうして岡崎市立中央図書館のサーバがアクセス不能になってしまったのでしょうか?岡崎市立中央図書館には,三菱電機インフォメーションシステムズ株式会社による「MELIL/CS」というシステムのASP版が導入されていました。このシステムの設計が悪く,セッションタイムアウトまで10分以上もかかる状態でありながら,セッション内でデータベース接続そのものを掴んでいました。しかも,有効なセッション数が限られていました。このため,データベースと WEB サーバの間の通信のためのデータベース接続数があっという間に上限に達してしまい,データベースと接続できなくなってしまったため,サービスが提供できないDoS状態が起きてしまいました。一般的にはこのような設計・実装は行われず,ごくふつうに製造したシステムであればもっと効率的にデータベース接続を行えるため,サーバがDoS状態に陥る事はなかったと考えられています。 MELIL/CS の ASP 版はずっと止まりっぱなしだったのでしょうか?いいえ。10分待てば,セッションがタイムアウトとなり,同時に掴んでいたデータベース接続が解放されるため,再びサービスが提供できるようになったと考えられています。 どうして,三菱電機インフォメーションシステムズは MELIL/CS のウェブサイトがそんなにすぐ止まってしまうものだと気付かなかったのですか?おそらく,システムの正常系しかテストしていなかったのではないでしょうか。全てが理想的に操作された状態のみチェックしていたと考えなければ,リリース前の統合テスト等をパスできるとは考えられません。特に,負荷テストと呼ばれるテストは行われていなかったと思われます。もし負荷テストを行っていれば,この不具合はすぐに気付け,システムリリース前に修正されていたことでしょう。それができなかったからこそ,場当たり的に問題が出た図書館毎に対応しなければなかったと考えられます。 負荷テストって何ですか?システムがどの程度の負荷に耐えられるかを試すテストです。フリーで使えるものとしては,Apache には「ab(Apache Benchmark)」というテストツールが付属しています。また,マイクロソフトは ab 同様のツールとして2000年ごろまで「MS Web Application Stress ツール」というものを配布していました。現在は IIS6.0 リソースキットに含まれる「MS Web Capacity Analysis Tool」がそれに代わって配布されています。どちらも単一の URL にしかアクセスしませんが,Cookie をオフにすることでたくさんのブラウザからのアクセスを想定することができます。より複雑なテストを行うツールとして「Apache JMeter」というものがあり,これは複数のページを次々とアクセスしながら負荷テストを行う事ができます。その他,商用の負荷テストツールが複数存在していますので,WEBアプリケーションの仕様にあわせて負荷テストを行う事ができます。 負荷テストはやらなければならないことですか?はい。一般的には当然のように行われていると考えられます。なぜなら,WEBシステムが処理できる上限(性能限界値)を知っておくことによって,利用者が増えたとき等の場合にシステムを更新するための判断材料になるからです。また,大量の処理を正しくさばけるかどうか(リソースの取り扱いに不備がないか)といったことを確認することができます。このように,WEBシステムが期待通りの性能を発揮できるかどうかを検査することは必要なことです。 MELIL/CS は負荷テストを受けていなかったのですか?前述のような負荷テストはおそらく受けていないと思われます。もし負荷テストを受けていれば,不具合を発見でき,修正していただろうと考えられるためです。ただし,複数のクライアントからアクセスする,程度のことはやっていた可能性があります。全くテストをしていない可能性もわずかにありますが,MELIL/CS は不十分な負荷テストしか受けていなかった,と考えるのが妥当です。 レスポンスコード 500 とは何ですか?サーバの内部エラー(何らかの都合で正常な応答ができなかった)を意味します。通常,レスポンスコード 500 を受け取ったクライアントは,特になにもせずその応答を無視します。あるいは,行儀の良いクライアント(企業などで製品として利用するためのクローラ等)では,クロール頻度を下げるかもしれません。普通,クローラでは次々と別のページにアクセスするので,ひとつのページで 500 が返って来たからといって特に対処しなければならないということはありません。 行儀の良いクローラとは?高度にエラーハンドリングを行い,クロール頻度を調整しつつ,サーバの負荷を最小限に抑えた上で,何らかの方法で連絡先を通知しつつ,効率的にページを収集するクローラが行儀の良いクローラと言えそうです。 librahack氏は岡崎市立中央図書館のサーバが止まったことに気付かなかったのですか?はい。librahack氏は,クローリングに成功してデータベースに格納できたデータの件数を見て,プログラムが動作している事を確認していました。最後の一割程度のデータがうまく取得できなくても気付く事はできません。また,サーバのレスポンスを仮に見ていたとしても,レスポンスコード500ではクロールをやめるべきと判断することはできません。 クローリングとはどのような行為を指すのですか?プログラムを使って自動的に WEB サイトを巡回し,ページをダウンロードする行為を指します。このために利用されるプログラムを,クローラと呼びます。 ブラウザからのアクセスならば安全ですか?場合によります。一般的なブラウザは,同時に数本のリクエストを投げています。いわゆるF5アタックなどに相当する行為や,大人数で一斉にアクセスするような行為を,サーバに悪影響を起こすつもりで,または悪影響があるかも知れないと知ったうえで行えば,業務妨害として罪に問われる可能性があります。 △上へ 法的な事柄 librahack氏にはどんな罪や責任があるのですか?全くありません。偽計業務妨害などの罪に問うには故意が必要ですが,氏のクローラは常識的な性能であり,かつ,データの取得が目的でした。サーバが止まってしまうとデータが取れず,librahack氏にとっても不都合でしたので,サーバを止める意図はありませんでした。そのため,刑事責任がないことになります。また,民事的な責任ですが,サーバに一時的にアクセスできなくなったことによって損害を受けたとして図書館側が訴えた場合,どのように判断されるかはわかりません。一般的に考えて,図書館のシステムに問題があったことが事件の原因ですので,本来は責任を負わせる事は難しいのではないかと考えています。 偽計業務妨害とはどのような犯罪ですか?刑法第二百三十三条に「虚偽の風説を流布し、又は偽計を用いて、人の信用を毀損し、又はその業務を妨害した者は、三年以下の懲役又は五十万円以下の罰金に処する。 」と定められています。偽計とは「ひとをあざむく計略」という意味ですが,広く「人の邪魔をする行為」と捉えられて運用されているようです。例えば,コンビニの出入り口付近にチンピラが何時間も居座ったせいでお客さんが怖がってしまい,営業の邪魔になっている場合などが含まれます。 偽計業務妨害には故意が必要なのでしょうか?はい。故意または未必の故意が必要です。刑法に定められた犯罪において,故意が不要なものは必ず「過失罪」として定義されています。偽計業務妨害に過失罪はありません。 △上へ librahack氏の救済(名誉回復)について librahack氏は図書館を訴えたら勝てるのではないですか?いいえ。訴える事は非常に困難です。まず,図書館は不法行為を行っていません。また,違法行為も行っていません。そのため,提訴したとしても,裁判を維持できないどころか,提訴すること自体ままならないと考えられています。同様に,三菱電機インフォメーションシステムズを相手に訴えることも不可能に近いでしょう。ただし,愛知県警を相手取り,20日間の勾留に対する国家賠償法に基づいた賠償を求める,といったことは可能だと考えられますが,librahack氏自身にそのつもりがないので,訴えを起こす事はないと考えられています。 じゃあ,不当逮捕した警察や検察を国家賠償法で訴えたら勝てますか?起訴猶予処分ということは,すくなくとも形式上は「罪を犯したが反省しているなどの理由で起訴しないと検察が判断した」ということになっています。なので,法律上は不当逮捕にならないのです・・・。 それじゃ,三菱電機インフォメーションシステムズを訴えたら?三菱電機インフォメーションシステムズは直接事件に関与していません。岡崎市立中央図書館とどれだけ連携していたかも具体的にはわかりませんし,図書館が被害届を出す際にその事実を知っていたかも不明です。librahack氏への直接の責任関係がありませんので,民事で賠償請求しようとしても提訴できないのではないでしょうか。 こうしてはどうでしょうか。行政訴訟のうち,取消訴訟を提訴して,起訴猶予処分そのものを取り消してもらうというのは。可能だと思います。が,librahack氏の負担,氏の意思を尊重すると,そのような提訴は行われないと考えられます。 では,どうすればよいのでしょうかlibrahack氏が現状を受け入れている以上,librahack氏が提訴することはありませんし,それを強要するなんてとんでもないことです。我々にできることは,事実を明らかにして,この事件における逮捕は不当だった,という認識を世間に広めることです。そうすることで,librahack氏のみならず,これからのエンジニア達をも守る事ができると考えています。 △上へ その他 librahack氏もカーリルみたいに許諾を得てからクロールすればよかったのではないですか? カーリルも事前に許諾を受けていたわけではありません。 検索エンジンなども同様です。2ちゃんねる住人が実際に岡崎市立中央図書館に電話して許可を取ろうとした時,「許可を得るよう求めたつもりはない,メディアが勝手に書いた」「プログラムでアクセスするのはやめて欲しい」といった趣旨の回答が得られた,という噂を耳にしたことがあります。 librahack氏はどうしてそんなに急いで新着情報を集めていたのですか?別に急いでいたわけではありません。図書館の閉館間際まで待てば新着が揃っているだろう,程度の読みでクロールを行っていましたが,後に自宅や実家ではばらばらの時間でアクセスしていました。時にはクロールしない日もあったそうです。librahack氏はもともと,Amazonの各カテゴリの売れ筋をチェックして本を借りたり買っていました。しかし,それでは大衆受けする本ばかり読むことになってしまうと考え,本を探すきっかけとして岡崎市立中央図書館の新着蔵書をチェックして読書の幅を広げようとしたのです。我先に予約を入れようとするのではなく,あくまでも本を探すきっかけだったと言えます。 岡崎市立中央図書館のシステムがそんなにダメなものなら,税金でそんなダメなものを掴まされた岡崎市は何らかの対応をしなければならないのでは?岡崎市議会議員やなせ太氏が市議会で質問すると言及しています( http //aiailifeyanase.cocolog-nifty.com/blog/2010/08/librahack-7c6d.html )。 岡崎市立中央図書館のサーバって,普段どれくらいのアクセスがあるんでしょうか? 毎時400アクセス程度とのことです。 岡崎市立中央図書館は三菱電機インフォメーションシステムズと保守契約をしていなかったのですか?保守契約の有無は不明ですが,少なくとも SQL Injection や XSS の修正を行い,また,七月には本事件の原因となった不具合も修正しています。なんらかの形で保守を行える関係にあることは確かです。 私のサーバにも同じところからたくさんのアクセスがあります!アクセスログをよく見てみましょう。毎秒一回~二回程度で,かつ,ページを順に辿っている場合は,一般的なクローラである可能性が高いでしょう。フリーソフトで配布されているものでは,毎秒四回~六回程度の頻度でアクセスするものがあります。 クローラじゃなさそうです。変なアクセスが大量に来ています。セキュリティホールを探すツールなどでは,短時間に複数の様々なアクセスを繰り返します。そのようなアクセスの場合は,まずサーバのセキュリティチェックを行い,問題があれば早急に改善しておくことが必要となります。 サーバが止まってしまうほどのアクセスが来ています。警察に相談する前に,まずは JPCERT/CC ( http //www.jpcert.or.jp/ )に相談してみましょう。→困ったときは △上へ
https://w.atwiki.jp/libhack/
岡崎市立図書館のサイトに申請,館長の了解を得ずにアクセスすると,逮捕されます.気をつけてください.以下の申請をしてください! 岡崎市立中央図書館ホームページ閲覧許可申請書 平成 年 月 日岡崎市長 殿岡崎市立図書館 大羽館長 殿私は岡崎市立中央図書館ホームページの閲覧許可を申請します。閲覧希望日 平成 年 月 日 閲覧時間 午前/午後 時 分 ~ 午前/午後 時 分閲覧ブラウザ名 自作/IE/FireFox/その他( ) 閲覧希望覧回数 回 接続プロバイダー名 ( )閲覧する理由 フ リ ガ ナ氏 名生年月日 大正・昭和・平成 年 月 日住 所 〒 - 都/道/府/県 市/区電話番号 ( )上記に虚偽の事実が発覚した際は、逮捕・勾留・起訴されても異議申し立ては致しません。署名 __________=== 以下役所使用欄 ===□市長印欄 □館長印欄 □MDIS印欄 PDF
https://w.atwiki.jp/librahack/pages/17.html
さまざまな問題について (8/24 現在) この事件の背後には,さまざまな問題がありました。岡崎市,岡崎市立中央図書館,三菱電機インフォメーションシステムズ,愛知県警,検察,裁判所のそれぞれに誤りがあり,それらが積み重なった結果,無碍の利用者であったlibrahack氏が逮捕され,20日間勾留され,罪に問われる一歩手前まで追い込まれたのです。 このページでは,それぞれにあった問題点について,繰り返された議論や検証などをもとに,私(管理者:杉谷)の視点で掘り下げます。 具体的なソースについては,各種リンクから各所を参照してください。 さまざまな問題について岡崎市の問題 岡崎市立中央図書館の問題 三菱電機インフォメーションシステムズの問題 愛知県警の問題 裁判所の問題 検察の問題 librahack氏の問題 落としどころの提案募集 岡崎市の問題 岡崎市は,市民の税金を用いて予算を組み,三菱電機インフォメーションシステムズの MELIL/CS を購入しました。また,継続的に運用管理を依頼しています。 MELIL/CSの導入は「プロポーザル方式」で決められました。これは,複数の業者に提案をしてもらい,最も優れた案を採用するというものです。 しかし,WEB システムとして極めて性能の低いシステムを購入してしまったことについては,適切な比較検討が行われたのか,適切な採用条件だったのか等,問いただされるべき問題があります。 運用管理についても,随意契約で継続して三菱電機インフォメーションシステムズと契約しています。不具合を修正させることができる契約内容なのかどうか,確認する意義はあると考えられます。 △上へ 岡崎市立中央図書館の問題 岡崎市立中央図書館は,大規模なリニューアルに際して MELIL/CS を導入しました。その後,運用管理の責任を負う形で,図書館側が指示を出し,三菱電機インフォメーションシステムズがそれに応じるという形で運用が続けられました。 今回の事件に際して,アクセスログに関して三菱電機インフォメーションシステムズと連携して「これは攻撃ではない」という判断を下せなかったこと,警察の求めるままに被害届を出したことについて,問題があります。情報システムの運用について,運用主体として委託先と充分に連携できていたのでしょうか。 また,アクセスログの提出が被害届の提出前にも行われていたこと,同時に四名の個人情報を警察に渡していたことなど,図書館としての個人情報取り扱いに問題があったと考えられます。 これは, 岡崎市個人情報保護条例 第8条に抵触する可能性がある上, 図書館の自由に関する宣言 の第3の2で謳われている「図書館は、読書記録以外の図書館の利用事実に関しても、利用者のプライバシーを侵さない。」という言葉とも矛盾します。 被害届の提出前に,個人情報を沿えて,アクセスログを提出する。この行為は,図書館を信頼していた岡崎市民への裏切り行為とも言えるのではないでしょうか。 △上へ 三菱電機インフォメーションシステムズの問題 致命的なほど性能の低いシステムを納品したことに関して責任があります。通常,常識的な最低限の技術力をもってシステムを構築していれば,今回の事件は起こりませんでした。 そもそも,一般的な WEB システムにおいて,毎秒一回を下回る速度でのクロールでサーバが応答できなくなることはありえません。 Twitter 上での議論 および 技術者の検証 により,WEB システムとして通常ありえないレベルの欠陥が確認されています。 この欠陥は,セッションが解放されるまで長時間かかることによって有効なセッション数が一定数で頭打ちとなるため, サーバの性能をどれだけ上げたとしてもシステムの性能は改善しない,プログラムの根本的欠陥でした。 また,三菱電機インフォメーションシステムズはMELIL/CS ASP版の欠陥を認識していた可能性が指摘されています。おそらく過去に検索エンジンのクローラのせいで本事件と同様の症状を発生させ,それを回避するために robots.txt を設置していたのではないか,と考察されています。 もし欠陥を認識していながら修正せず検索エンジンからのクローラを排除することで欠陥の存在を隠していたのであれば,顧客である図書館に対して非常に不誠実な対応を取っていたことになります。 また,ソフトの問題で検索が遅く使いづらかったため図書館職員から苦情があった際には, 「ハードの性能が低いからだ」と答えていた ようです。 △上へ 愛知県警の問題 まず大前提として,警察の責務は警察法第二条によって定義されています。大雑把に言えば,警察は治安維持と犯罪防止と被疑者の逮捕を行うけれど,その責務は厳密に縛られていて,容疑者の言い分や被害者の言い分のどちらかに肩入れすることなく,公平で,かつ,むやみやたらとその権力を行使してはいけません,といったところです( 警察法 )。 愛知県警は,岡崎市立中央図書館から提示されたアクセスログを読み誤り,また,偽計業務妨害の罪を構成するために故意が必要でないと考え,結果的に librahack氏を逮捕,勾留するに至りました。 アクセスログを読めば,一般的な WEB システムの知識があればこれは攻撃ではないことが明らかであったはずです。 また,偽計業務妨害には故意もしくは未必の故意が必要です。愛知県警はこれを誤り,家宅捜索に至りました。 愛知県警には サイバー犯罪を取り扱う部署(生活経済課) があります。何故,技術的知見に基づく判断ができなかったのでしょうか。 加えて,捜査上,対象の行為が罪を構成しているかどうかは警察官が常に意識しているべき要点であるはずです。罪を構成していないのであれば,捜査する必要すらありません。 さらに,警告や注意を行わず,いきなり逮捕に及んでいることを見落としてはなりません。仮に偽計業務妨害であったとしても,迷惑行為に対して警告や注意を行い,それでも改まらなければ罪に問えばよかったのです。事実,librahack氏は逮捕のその日まで,岡崎市立中央図書館のサーバが停止した状態になっていたことは知りませんでした。 そのうえ,任意の事情聴取に際して,「DoS攻撃」「業務を妨害した」「責任を取る」といった文言を含む,あらかじめ準備した調書にサインをさせました。これは,正常な取り調べ(供述調書の記録)とは言えません。 逮捕後,勾留十日目ごろには,警察はlibrahack氏が攻撃を行ったのではないとの認識を持っていたとの取材結果もあります。 愛知県警は四点の誤ちを犯し,結果的に librahack氏は 不起訴処分(起訴猶予処分) となりました。起訴猶予処分を受けた人は,前科ではないものの,前歴として記録されます。これは将来,万が一別件等で起訴に至った場合,不利な情状証拠となります。 そして,起訴猶予処分となったのは,警察から検察に「罰金刑(略式起訴)か,起訴しないなら嫌疑不十分ではなく起訴猶予処分とする」よう依頼をかけていた,との取材結果があります。 愛知県警の捜査体制は,批判されてしかるべき問題を抱えているといえます。 △上へ 裁判所の問題 裁判所は警察の求めに応じ,その必要性を検討したうえで捜査令状や逮捕状を発行します。このとき,嫌疑が不十分である,または嫌疑なしと判断できていれば,捜査令状や逮捕状は発行されなかったはずです。また,そのような判断があれば,警察は捜査内容を見直せたかも知れません。 安易に捜査令状や逮捕状を発行した裁判所は,批判されてしかるべきではないでしょうか。 △上へ 検察の問題 検察官にも,愛知県警と同様の問題がありました。しかし,検察官各個人に技術的知見を求めるのは無理があります。ならば,相応の知見を持った第三者の専門家に意見を求めるべきでした。 岡崎市立中央図書館が提示したアクセスログは,見る人が見ればまったく問題のないものであったことが即座にわかるはずのものだったと考えられています。 結果的に librahack氏は 不起訴処分(起訴猶予処分) となりました。起訴猶予処分を受けた人は,前科ではないものの,前歴として記録されます。これは将来,万が一別件等で起訴に至った場合,不利な情状証拠となります。 検察官は,本来なら嫌疑不十分,または嫌疑なしと判断すべきでした。しかし,県警の求めに応じて,librahack氏を起訴猶予処分としました。これが正しい検察のあり方であるとは言えないでしょう。 △上へ librahack氏の問題 ありません。 ただし,「User-Agentにメールアドレスを埋め込んでクローリングすれば、図書館側から問い合わせが容易だったのでは?」という指摘は存在します。 実際に,RFC 2616 HTTP/1.1の14.22にはメールアドレスを書くFromヘッダが定義されています。 日本語訳 によれば,「特に、ロボットエージェントは、受信後に問題が起きた場合にロボットを操作している責任者に連絡を取るために、このヘッダを含めるべきである。 」として,クローラはFormタグを実装するべきとされています。 これに対して,趣味で作る程度のクローラに対して厳密に RFC 等に対応する必要はない,そもそもFromヘッダはログに残らない,User-Agentがバラバラでは管理者側の負担が増えるだけなどの 意見も出ています。 △上へ 文責:杉谷 智宏 落としどころの提案募集 さまざまな問題がさまざまな組織にありました。今後,それら組織に何を求めていくのか,どうアプローチするのか。人によってそれぞれの想いがあることでしょう。 無記名で構いませんので,自分はこの組織にこうなってほしい,こうアプローチしたい,こうしてほしいといった想いを書き残してください。 ぜひとも参考にさせていただきたいと思います。 三菱は組織として真摯に信頼を回復する努力をして欲しい。自治体は組織として真摯に信頼を回復する努力をして欲しい。司直は真摯に信頼を回復する努力をして欲しい。図書館は真摯に信頼を回復する努力をして欲しい。 -- keikuma (2010-10-23 21 16 05) ミスりました。全て「*組織として真摯に*信頼を回復する努力をして欲しい」です。 -- keikuma (2010-10-23 21 17 19) librahack氏の名誉回復が最優先と考えます。岡崎市、図書館、警察、検察とMDISに働きかけるを。 -- 渋谷伸浩 (2010-10-23 21 21 47) 私も渋谷さんの提案に賛成です。librahack氏への正式な謝罪と例の『大量アクセスによる…』という説明は撤回させるべきと思います。 -- 高橋 博 (2010-10-24 05 15 25) 図書館等のITに不見識な組織にもっとJPCERT等を広報しなきゃいけない。図書館はlibrahack氏の名誉回復をして欲しい。MDISは組織としてまともに対応して欲しい。警察は捜査をまともにやって欲しい。そのためのリソースを外部に求めるのはかまわないと思う。 -- 杉谷 (2010-10-24 12 44 27) 話が長期にわたると忘れられがちですが、基本は『Librahack 氏の名誉が回復すること』の1点だけです。以降の話に関して、“私は”興味が薄いです。ただただ、企業の責任転換に因って冤罪での逮捕が起きたことに納得がいきません。現在においてもその場しのぎの対応をされているようですが、弱い個人を陥れるような対応を行ったことに対し、真摯な対応を望む次第です。 -- でゅらはん (2010-11-05 23 58 33) 一般のユーザーです。Librahack 氏の名誉が回復が大事に賛成です。 そして公共機関(図書館・警察検察含めて)のITに関する無知は何とかして欲しいですね。図書館の対応も素人レベルか、取ってつけたような理解程度の担当者が采配を振るう時点でお役所仕事な感が否めません。しかし、今回のことで驚くのはメーカーの対応です。いわばプロ集団だというのにこの程度の対応とは…それがある意味大きな驚きでした。 -- 山留 (2010-12-27 05 08 17) 名前 コメント ;
https://w.atwiki.jp/wiki6_think-library/pages/7.html
今治市立中央図書館 名前 コメント
https://w.atwiki.jp/hu_guide/pages/34.html
中央図書館(座席数:1,047) 東広島キャンパスにある3つの図書館のうち、一番大きい図書館。 真っ白でデコボコとした外観が特徴。旧制広島高等学校を卒業した丹下健三(たんげ けんぞう)氏の設計事務所が設計した。 丹下氏はこの他に、東京都庁、フジテレビ本社ビル、広島平和公園、広島平和記念館なども設計している。 開館時間は、平日8:30~22:00、土日10:00~18:00。 館内にある「地域交流プラザ」は、広島大学が進めている「社会貢献事業」を目に見える形としたスペースとなっている。 ラーニングコモンズ(協調型学習空間)が整備されており、3つのゾーンに分けられている: Aゾーン……学生が会話しながら自由に学習したり、教員がグループによる授業に利用したり、図書館講習会なども開催できるようなゾーン Bゾーン……従来のカウンターにさらに多くの機能を持たせ、短時間で済む案内や手続きを前のコーナーで、時間のかかる相談などは後ろのゆったりしたコーナーで行う、新しいスタイルの総合カウンター Cゾーン……パソコン約50台を設置し、ゾーン内に休憩コーナーも整備されたゾーン (丹下健三氏の作品) 中国地区: 広島国際会議場 広島厚生年金会館 山口県立萩美術館・浦上記念館 倉敷市役所 倉吉市役所 など 四国地区: 香川県庁 香川県立体育館 今治市役所 など 名前 コメント