最新 追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 3423   昨日: 4173

2010年11月28日

逮捕時報道で疑問を挟めなかったメディアは一般紙だけではなかった 岡崎図書館事件(9)

このところ、公安資料Winny放流事件のこともあり、新聞社やテレビ局から何度か取材や問い合わせを頂く機会があったが、そういうなかで、記者から岡崎図書館事件のことについて触れられることもあり、新聞が最初の逮捕時報道で疑問を挟めずに警察発表をそのまま流したことを恥じ入るといった趣旨の言葉を頂くこともあった。

その一方で、「技術屋と法律屋の座談会(第2回)」で会場のフリーライターの方から「マスコミ報道が悪いと言われても、まあストレートニュースってそういうものよね」という発言が出たように、警察発表を短時間で記事にしていくという警察担当記者の日常作業からすれば、たしかにそんなものなのかもしれない。実際、警察がそういう発表をしたという事実は伝えられるべきであるし、もしあの報道がなければ、私たちはそういう逮捕事案が起きたことに気づくこともなく、岡崎署に電話して逮捕に疑問を呈すことはできなかっただろう。

しかし、どの記者も変だと気づきようがなかったのだろうか。たとえば、当時の朝日新聞の記事(2010年5月26日朝刊)は、「容疑者は同図書館の利用者だったが、目立ったトラブルは確認されていないといい、動機を調べている。」と結んでおり、記者が警察に動機は何かと質問した様子が伺えるし、中日新聞の記事(同日朝刊)では、「容疑者は『HP制作の情報収集に必要だった。業務を妨害するつもりはなかった』と否認しているという」と報じており、正当な目的でのアクセスだったことを伺わせる情報はそのとき既に警察自身から出ていたはずだ。

私たち一般市民が警察に電話で疑問を呈しても、「個別の事案については答えられない」「法と証拠に基づいて適切にやっている」としか答えてもらえないことは当然であろうが、上記のように、報道機関に対しては動機が不明であることや被疑者の主張がちゃんと伝えられているわけで、報道機関にはそれが可能な状態だったと思われる。当時その時点では続報はなく、警察担当記者が専門家に取材するということも行われなかったようだ。*1

今になって思えば、逮捕報道の時点で、記事を書いた記者にコンタクトを試みて、何かおかしいのではないかと積極的に働きかけるという手段もあった。もしそうしていれば、処分が出る前に警察や検察の考え方に影響を及ぼすことができたかもしれない。処分が出てからでは絶対に取り消されることがないのだろうから、その時点で可能な手段をとっておくべきだった。当時の私は、岡崎署に電話した際に対応して頂いた愛知県警本部のO警部補の説明で引き下がってしまった。悔やまれる。

そもそもなぜこんな事案が業務妨害として事件化されてしまったのかについて、「技術屋と法律屋の座談会(第1回)」の席で、落合弁護士は、「警察は3万3000回といった数字でDoS攻撃と決めてかかったのではないか」という趣旨のことをおっしゃっていた。報道する記者も、この数字に疑問を持てなかったのか。

とはいえ、ITに詳しいわけではない普通の警察担当の記者に、「3万3000回アクセス=DoS攻撃」とすることの異常さに自発的に気づいてというのは無理のある要求だろう。

ならば、IT関係のネットメディアはどうだっただろうか。

当時、ネットメディアはどこも報道しなかったという認識だったが、最近になって以下の記事が出ていたのを見つけた。

なんと、よりによって、あの「Scan NetSecurity」が、こんな記事を出していたのだ。参照されている県警発表文に「DoS攻撃」という文言は書かれていなかったので、「自作プログラムで図書館にDoS攻撃」というこの記事の見出しは、Scan NetSecurityが自分の頭で考えて付けたものなのだろう。Scan NetSecurityの頭では「3万3000回アクセス=DoS攻撃」という発想だったようだ。

Scan NetSecurity誌は、10年くらい前、情報セキュリティの社会問題に果敢に切り込んで斜め上を行く比類なき媒体だった。

あの、「サイバー・ノーガード戦法」などというバカバカしい俗語を生み出したのも、このScan NetSecurity誌であり、Wikipediaの「サイバー・ノーガード戦法」のエントリにも「発端」としてそのことが誇らしげに解説されている。その発端となった記事によれば、「サイバーノーガード戦法」とは次のものだという。

その1 セキュリティへのコストを切り詰めて、脆弱性あってもいいやで安価に開発。サーバ管理者もセキュリティまでわかる人は単価高いので、安いサーバモンキー程度ですませる。予算があったら保険に入っておく。

その2 冒頭の文章=このサイトがメソッドAで運用されていることを掲示する。

その3 脆弱性の指摘があったら「うちはノーガード戦法だから、余計なことをいうな。」とつっぱねる。

その4 脆弱性をついた攻撃あるいは脆弱性の情報公開があったら、相手を不正アクセス法と威力業務妨害で告訴する。今回の事件でわかるように、脆弱性を放置し個人情報を漏洩させても運営者は全くおとがめなしで安全である。これは運営者からすると、訴えたもん勝ちといえる。警察のお墨付きというわけである。

(略)

サーバ管理者、経営者に朗報! 安価で安全な新方法論 サイバーノーガード戦法!, Scan NetSecurity, 2004年2月5日

岡崎図書館事件で起きたことは何か。Scan NetSecurity誌はそれを「ホームページ作成会社の社長、自作プログラムで図書館にDoS攻撃」と伝えた。そして続報は今もってなされていない。

私たちはこれをどう考えればいいだろうか。

*1 その一方で逆に、一般に、社会的意義の大きい初物の事件が表沙汰になる際には、記者が情報を事前に察知して、専門家に「こういう事件をどう考えるべきか」と尋ねるということがしばしば行われていている。その意義は、事件の社会的性格を正確に世に伝えることにあるのだろう。あるいは、一部には、もしかして警察も事前に専門家の考え方を参考にしたかったのではないかと思わせるような事案もあった。それに比べ、この事件は、「図書館にサイバー攻撃」という世にも珍しい初物事件であったはずなのに、そういう展開にはならなかった。

本日のリンク元 TrackBacks(3)

2010年11月29日

三菱電機ISに求められているものは何か 岡崎図書館事件(10)

今日の読売新聞朝刊社会面に次の記事が出ていた。

  • 図書館システム不具合…三菱電機系 情報流出・蔵書検索が「サイバー攻撃」か?, 読売新聞2010年11月29日朝刊社会面

    図書館利用者100人以上の個人情報が流出したほか、蔵書を検索しただけで「サイバー攻撃」と誤解された男性が偽計業務妨害容疑で逮捕され、その後、システムに原因があったことも分かった。同社は近く調査結果を公表し、関係者に謝罪する。

    (略)MDISは06年には不具合を改良し、その後に納入した図書館には改良版を提供していたが、今回、岡崎市から障害の相談を受けた際には「システムに原因はない」と回答。このため図書館は警察に被害届を出していた。MDISは「保守担当者がシステムをよく理解していなかった」として、逮捕された男性への謝罪の意を表明する方針。

三菱電機ISが近く発表をするとのことだが、何を発表することが求められているのか、ちゃんと理解のうえ準備されているだろうか。

求められているのは、業務妨害とされた閲覧障害が、三菱電機ISのシステムの欠陥(不具合)を原因としたものだった点、それを認めることである。(謝罪などではなく。)

私は、7月末の時点で、知人を介して三菱電機IS社の取締役の方へメッセージを託した。そのとき私が伝えたことは、以下の趣旨のものであった。

システムを改修しようにも不具合を認めるわけにはいかない(から改修できない)という社内論理があるのかもしれないが、そこは、この際「当社製品の性能は本来こんなものではございません」とアピールするようポジティブに捉えればよいのではないか。「当社製品の性能は本来こんなものではございません。このような事態が生じたのは、当社の製品としては不本意なこと*1で、その原因も突き止めましたので、直ちに改修します。」のような言い方なら十分にできるのではないか。

しかしこの声は届かなかった。8月21日の朝日新聞報道で事態は終結する*2かと思われたが、その日のうちに「図書館ソフトに不具合はない」として朝日新聞報道が否定されてしまった。9月1日には図書館から「大量アクセスを行った人物が逮捕され、報道によりますと、起訴猶予処分となっているとのことです。」という公式見解が発表され、9月2日には以下のように報道されている。

  • ホームページへの大量アクセス事件 岡崎市立中央図書館の弁明に異論相次ぐ, J-CASTニュース, 2010年9月2日

    中央図書館の総務班では、取材に対し、「ソフトの不具合については、認識していません」とその存在を全否定した。(略) 「メーカーに聞かないと分かりませんが、うちのソフトに不具合があったとは聞いていません。メーカーは、ちゃんと対応したと思っています」

    (略)MDISの広報担当者も、ソフトについて、「不具合が見つかったとは言っていませんし、そう認識もしていません」と言う。

そして今日の読売新聞記事でも、三菱電機ISが当時、図書館に対して「システムに原因はない」と回答していたと書かれている。

欠陥の有無がなぜそうも重要なのかは、被疑者の「故意がなかった」という主張の信憑性にかかわる事項だから*3である。もし、欠陥がなくても起きる障害ということなら、アクセス方法が非常識なのだろうということになり、被疑者の認識(故意)が疑われることになる。

実際、中川氏は検察調べで「プロなんだからそれくらい気づかないの?」と言われ、閲覧障害発生の認識がなかった(故意がなかった)ことを認めてもらえず、その結果として起訴猶予処分(嫌疑なしではなく)にされたわけである。中川氏は、警察の取り調べで、サーバ側の欠陥の有無を確認するよう懇願したが調べてもらえなかった。

ようするに、中川氏のアクセス方法*4が常識的に許されている方法だったか否かであり、技術者からすれば一般的なWebクローラのマナーに従っていると思うわけだけども、技術を知らない検察や警察にそれを客観的に示さなければならない。*5

このことは、今回の中川氏の事案で済むことではなく、これが前例となって*6、Webクローラの利用が萎縮するという、日本のインターネット技術の将来に関わる問題なのだから、今回の件が常識的に許されているアクセス(刑事上の意味で)だったことはハッキリさせておかなければならない。

その根拠となるのが、(1)同様のWebクローラが一般的に使用されているという事実と、(2)今回の閲覧障害の原因が図書館システム側の欠陥によるものであったという事実であるわけで、これが否定されたのでは将来に禍根を残してしまう。

その一方で、たしかに、世間には一部、三菱電機ISに対して、詫びることを求めている人がいるようだけれど、それは、8月から9月にかけてシステムの欠陥を真っ向から否定してきた、同社の姿勢に対しての反感として、副次的に噴出しているものであろう。そこが本題なのではない。

このことについて、11月11日の朝日新聞名古屋版の文化面のコラムで、法学研究者の大屋准教授*7が、以下のように述べている。

新聞紙面スキャンのサムネイル画像
図1: 朝日新聞名古屋版2010年11月11日夕刊文化面
名古屋大学准教授 大屋雄裕, 「完全の追求 潜む危険 - 岡崎市立図書館問題から考える」

だがここで問題にしたいのは、そのような解明を求める人々のあいだに、公的機関である図書館が提供していたサービスであるから、あるいは企業が開発・販売していたシステムだから、完全に動作するのは当然だという声が多かったことである。にもかかわらず、通常より多少負荷が高い程度の今回の自作プログラムによって動作不全を起こしたのだから悪いのは企業・図書館側だ、被疑者は悪くないという論理につながっているのだが、しかし我々は本当にそう言ってしまってよいのだろうか。(以下略)(引用は図1紙面の赤枠部分)

大屋雄裕, 「完全の追求 潜む危険 - 岡崎市立図書館問題から考える」, 朝日新聞名古屋版2010年11月11日夕刊

このコラムは、この前提を置いた後、「国の強い統制は幸福か」「自由守るため覚悟必要」として、「誰かに完全を求めることはたやすい。だが我々一人ひとりの自由を守ろうとすれば、それが結局は裏目に出る危険性を秘めていることを忘れるべきではないだろう」といった持論を展開している。

これはまったく的外れな主張であり、「システムに完全を求めている」という事実が不存在で、前提が成り立たないので、論全体が、岡崎図書館事件と無関係である。*8

私たちが三菱電機ISに求めているのは、完全なシステムなどというものではない。欠陥のある不完全なシステムであるなら「欠陥を認めること」で十分であり、実際、欠陥を改修せずに「欠陥があるので、そういうアクセスはしないでください」と告知するのでもかまわない。*9

ところが三菱電機ISは、改修はするけれども、欠陥の存在は否定するという逆の対応に出た。このことが、前述の通り、「悪しき前例が日本の技術の発展を阻害してしまう」問題の解決にとって、障害となっているわけである。

風の便りで耳にしたところでは、三菱電機ISの社員の一部は、大屋准教授の主張を示しながら「やっぱり俺たちは悪くない。アクセスした方が悪い。」としていたという噂であり、誠に困ったことである。

実は、10月下旬に、私は三菱電機IS本社を訪れて、西井常務取締役と面会してきた。これは、先方から招かれたもので、用件は「篠栗町のAnonymous FTPサーバにあったデータをコピーさせてほしい」というもの*10であったが、用件が済んだ後、率直に私の考えを伝えてきた。

三菱電機ISは情報システムの会社だ。現時点でなくとも将来、Webクローラを用いたシステムを開発し運用することだってあるだろう。そのような当事者でありながら、このような対応を続けるのか。情報システムの関係者全体に迷惑がかかることが未だわからないのなら、業界から退場してほしい。*11

私はそのように常務に言った。このことの意味がどれだけ理解されたのか、今になって思うと、やや不安だ。

*1 三菱電機ISは「不本意なこと」とも認めていない。「当初からの仕様通り」という立場をとっている。

*2 愛知県警の捜査が不適切だったということでの終結。

*3 愛知県警は、9月上旬の時点で、一般市民からの電話取材に対して、図書館システム側の不具合は犯罪の成立に関係ないと説明しているが、これは、行為と結果の因果関係については否定されないということを言っているのなら正しいが、故意の信憑性に関係がないとまで言っているのであれば、重大な誤りである。

*4 シリアルアクセス方式で、1秒に1、2回程度以内の頻度に抑えた方法。

*5 「技術屋と法律屋の座談会 第3回」の討論映像を参照。

*6 実際、7月の時点で、警視庁ハイテク犯罪対策センターに電話して、Webクローラを動かすことと業務妨害罪との関係について相談したところ、愛知県警でそういう事案があるとして、既に前例になりつつある状況があった。

*7 「パネル討論会:「岡崎市中央図書館ウェブサーバ事件」から情報化社会を考える」の登壇者。

*8 ちなみに、このコラムの締めくくりは、「インターネットが、自分の望む成果を得るためにリスクを背負う人々のための自由な「場」であったという起源を、我々は思い出すべきなのである。」となっているのだが、これは、まさに三菱電機IS側に指摘するのに相応しい話で、中川氏の方はといえば、図書館に迷惑をかけたとして初めから謝罪文を掲載している。そもそも、「リスクを背負う人々のための自由な場」といった話は、民事責任の話であって、刑事責任を問われたこの事件に関係があるかのごとくこのような論を展開するのは、法に無知な一般の人々を誤解させるという点で有害である。

*9 短期的には。(長期的には、そういう輩が増えると別の問題が生じてくると予想される。)

*10 篠栗町で公開状態になっていたデータの一部に、暗号化されたデータがあり、それが個人情報を暗号化したものであるか否かを確認する必要があるところ、篠栗町の保守会社がデータを消してしまったために確認ができず、ダウンロードしたデータを分けてほしいという用件だった。

*11 この発言は終盤で述べたもので、それまでに、不具合を認めることの必要性について説明して、「不具合と認めることにもはや不利益は何もないはずではないか。改修は既に済ませているのだから追加の費用は発生しないし、それによって賠償を求められるとも考えにくい。そういうリスクは何もないのでは? なぜ不具合と認めることができないのか理解できない。」といったことも述べている。

本日のリンク元 TrackBack(1)

最新 追記

最近のタイトル

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|
最新 追記