高木浩光＠自宅の日記

■ 逮捕時報道で疑問を挟めなかったメディアは一般紙だけではなかった 岡崎図書館事件(9)

このところ、公安資料Winny放流事件のこともあり、新聞社やテレビ局から何度か取材や問い合わせを頂く機会があったが、そういうなかで、記者から岡崎図書館事件のことについて触れられることもあり、新聞が最初の逮捕時報道で疑問を挟めずに警察発表をそのまま流したことを恥じ入るといった趣旨の言葉を頂くこともあった。

その一方で、「技術屋と法律屋の座談会（第2回）」で会場のフリーライターの方から「マスコミ報道が悪いと言われても、まあストレートニュースってそういうものよね」という発言が出たように、警察発表を短時間で記事にしていくという警察担当記者の日常作業からすれば、たしかにそんなものなのかもしれない。実際、警察がそういう発表をしたという事実は伝えられるべきであるし、もしあの報道がなければ、私たちはそういう逮捕事案が起きたことに気づくこともなく、岡崎署に電話して逮捕に疑問を呈すことはできなかっただろう。

しかし、どの記者も変だと気づきようがなかったのだろうか。たとえば、当時の朝日新聞の記事（2010年5月26日朝刊）は、「容疑者は同図書館の利用者だったが、目立ったトラブルは確認されていないといい、動機を調べている。」と結んでおり、記者が警察に動機は何かと質問した様子が伺えるし、中日新聞の記事（同日朝刊）では、「容疑者は『HP制作の情報収集に必要だった。業務を妨害するつもりはなかった』と否認しているという」と報じており、正当な目的でのアクセスだったことを伺わせる情報はそのとき既に警察自身から出ていたはずだ。

私たち一般市民が警察に電話で疑問を呈しても、「個別の事案については答えられない」「法と証拠に基づいて適切にやっている」としか答えてもらえないことは当然であろうが、上記のように、報道機関に対しては動機が不明であることや被疑者の主張がちゃんと伝えられているわけで、報道機関にはそれが可能な状態だったと思われる。当時その時点では続報はなく、警察担当記者が専門家に取材するということも行われなかったようだ。*1

今になって思えば、逮捕報道の時点で、記事を書いた記者にコンタクトを試みて、何かおかしいのではないかと積極的に働きかけるという手段もあった。もしそうしていれば、処分が出る前に警察や検察の考え方に影響を及ぼすことができたかもしれない。処分が出てからでは絶対に取り消されることがないのだろうから、その時点で可能な手段をとっておくべきだった。当時の私は、岡崎署に電話した際に対応して頂いた愛知県警本部のO警部補の説明で引き下がってしまった。悔やまれる。

そもそもなぜこんな事案が業務妨害として事件化されてしまったのかについて、「技術屋と法律屋の座談会（第1回）」の席で、落合弁護士は、「警察は3万3000回といった数字でDoS攻撃と決めてかかったのではないか」という趣旨のことをおっしゃっていた。報道する記者も、この数字に疑問を持てなかったのか。

とはいえ、ITに詳しいわけではない普通の警察担当の記者に、「3万3000回アクセス＝DoS攻撃」とすることの異常さに自発的に気づいてというのは無理のある要求だろう。

ならば、IT関係のネットメディアはどうだっただろうか。

当時、ネットメディアはどこも報道しなかったという認識だったが、最近になって以下の記事が出ていたのを見つけた。

• ホームページ作成会社の社長、自作プログラムで図書館にDoS攻撃（愛知県警察）, Scan NetSecurity, 2010年5月26日
  

  図1: Scan NetSecurity誌が伝えていた逮捕報道

なんと、よりによって、あの「Scan NetSecurity」が、こんな記事を出していたのだ。参照されている県警発表文に「DoS攻撃」という文言は書かれていなかったので、「自作プログラムで図書館にDoS攻撃」というこの記事の見出しは、Scan NetSecurityが自分の頭で考えて付けたものなのだろう。Scan NetSecurityの頭では「3万3000回アクセス＝DoS攻撃」という発想だったようだ。

Scan NetSecurity誌は、10年くらい前、情報セキュリティの社会問題に果敢に切り込んで斜め上を行く比類なき媒体だった。

あの、「サイバー・ノーガード戦法」などというバカバカしい俗語を生み出したのも、このScan NetSecurity誌であり、Wikipediaの「サイバー・ノーガード戦法」のエントリにも「発端」としてそのことが誇らしげに解説されている。その発端となった記事によれば、「サイバーノーガード戦法」とは次のものだという。

その１　セキュリティへのコストを切り詰めて、脆弱性あってもいいやで安価に開発。サーバ管理者もセキュリティまでわかる人は単価高いので、安いサーバモンキー程度ですませる。予算があったら保険に入っておく。

その２　冒頭の文章＝このサイトがメソッドＡで運用されていることを掲示する。

その３　脆弱性の指摘があったら「うちはノーガード戦法だから、余計なことをいうな。」とつっぱねる。

その４　脆弱性をついた攻撃あるいは脆弱性の情報公開があったら、相手を不正アクセス法と威力業務妨害で告訴する。今回の事件でわかるように、脆弱性を放置し個人情報を漏洩させても運営者は全くおとがめなしで安全である。これは運営者からすると、訴えたもん勝ちといえる。警察のお墨付きというわけである。

（略）

サーバ管理者、経営者に朗報！ 安価で安全な新方法論 サイバーノーガード戦法！, Scan NetSecurity, 2004年2月5日

岡崎図書館事件で起きたことは何か。Scan NetSecurity誌はそれを「ホームページ作成会社の社長、自作プログラムで図書館にDoS攻撃」と伝えた。そして続報は今もってなされていない。

私たちはこれをどう考えればいいだろうか。

■ 三菱電機ISに求められているものは何か 岡崎図書館事件(10)

今日の読売新聞朝刊社会面に次の記事が出ていた。

• 図書館システム不具合…三菱電機系 情報流出・蔵書検索が「サイバー攻撃」か？, 読売新聞2010年11月29日朝刊社会面

  図書館利用者100人以上の個人情報が流出したほか、蔵書を検索しただけで「サイバー攻撃」と誤解された男性が偽計業務妨害容疑で逮捕され、その後、システムに原因があったことも分かった。同社は近く調査結果を公表し、関係者に謝罪する。

  （略）MDISは06年には不具合を改良し、その後に納入した図書館には改良版を提供していたが、今回、岡崎市から障害の相談を受けた際には「システムに原因はない」と回答。このため図書館は警察に被害届を出していた。MDISは「保守担当者がシステムをよく理解していなかった」として、逮捕された男性への謝罪の意を表明する方針。

三菱電機ISが近く発表をするとのことだが、何を発表することが求められているのか、ちゃんと理解のうえ準備されているだろうか。

求められているのは、業務妨害とされた閲覧障害が、三菱電機ISのシステムの欠陥（不具合）を原因としたものだった点、それを認めることである。（謝罪などではなく。）

私は、7月末の時点で、知人を介して三菱電機IS社の取締役の方へメッセージを託した。そのとき私が伝えたことは、以下の趣旨のものであった。

システムを改修しようにも不具合を認めるわけにはいかない（から改修できない）という社内論理があるのかもしれないが、そこは、この際「当社製品の性能は本来こんなものではございません」とアピールするようポジティブに捉えればよいのではないか。「当社製品の性能は本来こんなものではございません。このような事態が生じたのは、当社の製品としては不本意なこと*1で、その原因も突き止めましたので、直ちに改修します。」のような言い方なら十分にできるのではないか。

しかしこの声は届かなかった。8月21日の朝日新聞報道で事態は終結する*2かと思われたが、その日のうちに「図書館ソフトに不具合はない」として朝日新聞報道が否定されてしまった。9月1日には図書館から「大量アクセスを行った人物が逮捕され、報道によりますと、起訴猶予処分となっているとのことです。」という公式見解が発表され、9月2日には以下のように報道されている。

• ホームページへの大量アクセス事件 岡崎市立中央図書館の弁明に異論相次ぐ, J-CASTニュース, 2010年9月2日

  中央図書館の総務班では、取材に対し、「ソフトの不具合については、認識していません」とその存在を全否定した。（略） 「メーカーに聞かないと分かりませんが、うちのソフトに不具合があったとは聞いていません。メーカーは、ちゃんと対応したと思っています」

  （略）MDISの広報担当者も、ソフトについて、「不具合が見つかったとは言っていませんし、そう認識もしていません」と言う。

そして今日の読売新聞記事でも、三菱電機ISが当時、図書館に対して「システムに原因はない」と回答していたと書かれている。

欠陥の有無がなぜそうも重要なのかは、被疑者の「故意がなかった」という主張の信憑性にかかわる事項だから*3である。もし、欠陥がなくても起きる障害ということなら、アクセス方法が非常識なのだろうということになり、被疑者の認識（故意）が疑われることになる。

実際、中川氏は検察調べで「プロなんだからそれくらい気づかないの？」と言われ、閲覧障害発生の認識がなかった（故意がなかった）ことを認めてもらえず、その結果として起訴猶予処分（嫌疑なしではなく）にされたわけである。中川氏は、警察の取り調べで、サーバ側の欠陥の有無を確認するよう懇願したが調べてもらえなかった。

ようするに、中川氏のアクセス方法*4が常識的に許されている方法だったか否かであり、技術者からすれば一般的なWebクローラのマナーに従っていると思うわけだけども、技術を知らない検察や警察にそれを客観的に示さなければならない。*5

このことは、今回の中川氏の事案で済むことではなく、これが前例となって*6、Webクローラの利用が萎縮するという、日本のインターネット技術の将来に関わる問題なのだから、今回の件が常識的に許されているアクセス（刑事上の意味で）だったことはハッキリさせておかなければならない。

その根拠となるのが、(1)同様のWebクローラが一般的に使用されているという事実と、(2)今回の閲覧障害の原因が図書館システム側の欠陥によるものであったという事実であるわけで、これが否定されたのでは将来に禍根を残してしまう。

その一方で、たしかに、世間には一部、三菱電機ISに対して、詫びることを求めている人がいるようだけれど、それは、8月から9月にかけてシステムの欠陥を真っ向から否定してきた、同社の姿勢に対しての反感として、副次的に噴出しているものであろう。そこが本題なのではない。

このことについて、11月11日の朝日新聞名古屋版の文化面のコラムで、法学研究者の大屋准教授*7が、以下のように述べている。

図1: 朝日新聞名古屋版2010年11月11日夕刊文化面
名古屋大学准教授 大屋雄裕, 「完全の追求 潜む危険 - 岡崎市立図書館問題から考える」

だがここで問題にしたいのは、そのような解明を求める人々のあいだに、公的機関である図書館が提供していたサービスであるから、あるいは企業が開発・販売していたシステムだから、完全に動作するのは当然だという声が多かったことである。にもかかわらず、通常より多少負荷が高い程度の今回の自作プログラムによって動作不全を起こしたのだから悪いのは企業・図書館側だ、被疑者は悪くないという論理につながっているのだが、しかし我々は本当にそう言ってしまってよいのだろうか。（以下略）（引用は図1紙面の赤枠部分）

大屋雄裕, 「完全の追求 潜む危険 - 岡崎市立図書館問題から考える」, 朝日新聞名古屋版2010年11月11日夕刊

このコラムは、この前提を置いた後、「国の強い統制は幸福か」「自由守るため覚悟必要」として、「誰かに完全を求めることはたやすい。だが我々一人ひとりの自由を守ろうとすれば、それが結局は裏目に出る危険性を秘めていることを忘れるべきではないだろう」といった持論を展開している。

これはまったく的外れな主張であり、「システムに完全を求めている」という事実が不存在で、前提が成り立たないので、論全体が、岡崎図書館事件と無関係である。*8

私たちが三菱電機ISに求めているのは、完全なシステムなどというものではない。欠陥のある不完全なシステムであるなら「欠陥を認めること」で十分であり、実際、欠陥を改修せずに「欠陥があるので、そういうアクセスはしないでください」と告知するのでもかまわない。*9

ところが三菱電機ISは、改修はするけれども、欠陥の存在は否定するという逆の対応に出た。このことが、前述の通り、「悪しき前例が日本の技術の発展を阻害してしまう」問題の解決にとって、障害となっているわけである。

風の便りで耳にしたところでは、三菱電機ISの社員の一部は、大屋准教授の主張を示しながら「やっぱり俺たちは悪くない。アクセスした方が悪い。」としていたという噂であり、誠に困ったことである。

実は、10月下旬に、私は三菱電機IS本社を訪れて、西井常務取締役と面会してきた。これは、先方から招かれたもので、用件は「篠栗町のAnonymous FTPサーバにあったデータをコピーさせてほしい」というもの*10であったが、用件が済んだ後、率直に私の考えを伝えてきた。

三菱電機ISは情報システムの会社だ。現時点でなくとも将来、Webクローラを用いたシステムを開発し運用することだってあるだろう。そのような当事者でありながら、このような対応を続けるのか。情報システムの関係者全体に迷惑がかかることが未だわからないのなら、業界から退場してほしい。*11

私はそのように常務に言った。このことの意味がどれだけ理解されたのか、今になって思うと、やや不安だ。