一昨々日、去年の遠隔操作事件への対応で、
という記事が出たところだが、今、日本のサイバー犯罪史上象徴的なもう一つの誤認逮捕事件、「岡崎図書館事件」から、3年が経とうとしている。図書館が最初に「ホームページにつながらない」との苦情電話を受け、担当者が三菱電機ISに対応策を尋ねたのが、3年前の今日、3月16日であった。
遠隔操作事件では犯人の取り違えであったのに対し、岡崎図書館事件は、犯罪でない行為を犯罪とみなしたと言うべき誤認逮捕であった。両者に共通するのは、捜査員や検察官の情報技術についての常識感の欠如であり、実際、振り返ってみると、どちらの事件でも、逮捕が報道された直後から、ネットでは異常逮捕を疑う声があがっていたのだった。
こうした違和感を、捜査員や検察官にも肌で感じられるようにならない限り、再びこうした不幸が繰り返されるだろう。
今ここをご覧になる方の中には、岡崎図書館事件のことは知らないという方も少なくないかもしれない。この事件についての紹介は既にいろいろな人達によりたくさん書かれているところ*1であるが、私も、震災の直前に、「地方自治職員研修」という雑誌に記事を書かせて頂いていた。編集部より転載の許諾を頂いているので、今日、ここに再掲しておく。
昨年5月、愛知県岡崎市の市立中央図書館の利用者が、業務妨害容疑で愛知県警に逮捕され、6月に不起訴処分とされる事件があった。この利用者がしていたことは、図書館のウェブサイトを30分ほどかけて2000ページほど閲覧する処理をコンピュータで自動化して、1日に1回、毎日実行するというものであったが、これが引き金となって図書館システムの不具合が顕在化し、他の利用者の一部に「閲覧障害」が発生した。図書館がこれを被害として警察に届けたことから、逮捕という展開になった。
これは誤認逮捕とも言える事案で、問題とされた利用者の行為は犯罪とは言えないものだった。なぜそう言えるのかは、誌面の都合上、説明しきれないので、詳細は他の文献(1)を参照して頂くこととして、ここでは、事件の概略を紹介した上で、図書館や行政の対応の問題点について私見を述べたい。
逮捕された利用者(以下、Aさん)は、図書館ウェブサイトの「新着図書」のページを閲覧して、最近入架した図書を探していた。しかし、このページには過去3か月に入架した図書が表示されるようになっていて、入架日の記載がないため、数日以内に入架した図書を探そうとしても、簡単にはできない状態になっていた。
そこでAさんは、コンピュータによる自動処理を思い付いた。「新着図書」に表示される図書情報の全部(約2000件)を毎日取得して、前日との差分をとることによって、当日の入架図書を抽出するという方法である。2000ページを1秒間に1回か2回程度の速度で30分かけてアクセスするプログラムを作成し、3月13日から毎日それを稼働させた。
一方、図書館のウェブサイトでは、これが引き金となって障害が生じた。障害が具体的にどのようなものであったかは、後に判明した証拠の分析から、おおむね次のようなものと推定できる。
Aさんのプログラムが走る30分の間に断続的に計6分間、閲覧障害が発生する。この6分間のタイミングで図書館サイトに訪れた利用者にはエラー画面が現れ、その後ブラウザの再読み込みボタンを押してもずっとエラー画面が続く。一方、その6分間以外のタイミングでサイトに訪れた利用者らは、通常通りに利用でき、画面の応答が遅くなるといった現象も発生しない。24時間中の6分間なので、図書館サイトの1日の利用者が1000人だとすると、毎日4人くらいが閲覧障害に出くわしていた計算になる。
この程度の障害で業務妨害に当たるのかという疑問もあるが、図書館にしてみれば、障害が何人の利用者に出ているか把握できず、システム全体が停止したように見えたのかもしれない。
このような不具合が生じたのは、図書館システムの欠陥が原因だったことが後に判明している。岡崎市が採用していたのは、三菱電機インフォメーションシステムズ社(以下、三菱電機IS)の図書館システムで、同社の図書館システムには新型のものと旧型のものがあり、このうちの旧型にだけこの欠陥があった。
この欠陥がどういうものか概略を説明すると、一般にこうしたシステムはウェブサーバとデータベースサーバ(以下、DBサーバ)で構成され、ウェブサーバはDBサーバに接続して情報を得るようになっているが、この接続方法に問題があった。正しい方法では、ウェブページの閲覧があるごとにDBサーバに接続して、その都度、接続を切断するのであるが、三菱電機ISの旧型システムは、この接続を10分間つなぎっぱなしにするものだった。
DBサーバへの接続数には限りがあるため、この接続方式のシステムをインターネットに公開すると、たちまち不具合をひき起す。グーグルやヤフーなどの検索サイトから頻繁に自動アクセスが来ているからだ。DB接続の上限数を超える回数のアクセスが10分以内にあると、閲覧障害が発生する。
実際、三菱電機ISの旧型システムを導入していた全国の他の図書館でも、しばしば閲覧障害が発生していたようで、その対策として、グーグルやヤフーからの自動アクセスを拒否していた図書館もある。そこでは、先述の「10分」にあたる値を、システム設定で短く変更して調整していたという証言もある。
接続方式に欠陥がなければ、本来こうしたシステムの微調整は必要ない。三菱電機ISは、他の図書館で不具合の原因を把握できたにもかかわらず、根本的な解決策をとらず、場当たり的な対処で綱渡り的に凌いでいた。そこへ、Aさんがプログラムで自動アクセスしたことが発端となって不具合が顕在化し、警察に被害届が出されることとなったのである。
愛知県警の捜査は当初、悪質なサイバー攻撃という見立てだったようだ。逮捕時の報道機関向け発表には「図書館の業務を妨害しようと企て」「ホームページの閲覧要求の信号を大量に送信し」という記述があった。Aさんは、任意聴取の段階で「DoS攻撃とは違いますが」と否定したという。
逮捕の報道の直後から、ウェブの技術者らから「この逮捕はおかしいのではないか」との疑問の声が出ていた。筆者は、岡崎警察署に電話して、「連続してアクセスするのはよくあること」「マッシュアップと呼ばれる正当な目的での利用ではないか」といった意見を伝えた。このとき、電話に出た警部補は、他からも同様の指摘の電話が来ていると言っていた。
確かに、世の中には悪質な「DoS攻撃」というものも横行している。企業のサイトをダウンさせ、攻撃を止める見返りに金銭を要求するといった犯罪だ。しかし、Aさんのプログラムは、そうした攻撃のためのものとは明らかに違っていた。詳しい説明は省略するが、Aさんのプログラムは「シリアルアクセス」と呼ばれる方法をとっており、サーバへの負荷に配慮したものであり、業界の標準としてみて特別に不適切な方法ではなかった。
このことが判明した時点で、事件性がないとして捜査は中止されるべきだったが、そうはならなかった。Aさんは不起訴になったものの、起訴猶予処分とされている。
起訴猶予処分とは「嫌疑不十分」や「嫌疑なし」とは違い、犯罪があったとみなされたことを意味する。Aさんは釈放される際、警部補に「君は人に迷惑をかけて罪を犯したけど(中略)反省しているので、検察が起訴猶予にしてくれたよ」と言われたという。12月の中日新聞の記事でも、名古屋地検岡崎支部の坂口順造支部長が「図書館側が想定しない使い方で業務を妨害したのは事実。未必の故意があったと言える」と述べている。
業務妨害罪に過失犯の規定はないので、故意がなければ犯罪ではない。しかし、検察は「未必の故意があった」としている。検察の取り調べで、Aさんは、サーバに障害が発生していることには気付かなかったと主張したのに、検察官は「でもプロなんだからそれぐらい気づかないの?」と繰り返し問い質したという。
技術者でない方にはそういう思い込みがあるようで、筆者がこの事件のことを知らない法学部の学生さんに「どう思うか?」と尋ねてみたときにも、「それだけのプログラムを作れる人ならば当然サーバがそうなることはわかっていたはず」という答えが返ってきた。同様に「図書館サイトを利用しているなら閲覧障害を見たはずだ」という指摘をする人もいた。
しかし、先述のように、今回の不具合は、その原因と症状の特殊さから、そう簡単には気づけなかったと考えられる。閲覧障害に出くわす確率が小さいので、Aさんが、プログラムを走らせていた70日間、毎日1回、図書館サイトを訪れていたとしても、その間1回も閲覧障害に出くわさないことは十分あり得る計算になる。
Aさんは、大学では情報工学を学んだ技術者であり、法律のことには疎く、故意がないことを主張すべきところを、「図書館のサーバに不具合があることだけを主張してしまった」と、当時を振り返っている。Aさんがサーバの不具合が原因と主張したのは、警察の取り調べで見せられた資料で気付いたからだが、検察官には、不具合のことを初めから知っていたように見えたのかもしれない。
このように、これは、愛知県警と名古屋地検岡崎支部のウェブ技術に関する無理解と、その無理解さに対する無自覚から生じた、誤認事件だと筆者は思う。実際、複数のサイバー犯罪担当の警察関係者が「愛知のあの事件はあり得ない」といった趣旨のことを、筆者ほかに述べている。しかし、一旦下された処分が覆されることはないし、検察が誤りを認めることは今後もないであろう。
この事件は、朝日新聞名古屋本社の調査報道班が早い時期から取材を続けていた。紆余曲折を経て、8月21日朝刊(東京版では夕刊)で大きく扱われ、「図書館ソフトに不具合があり、大量アクセスによる攻撃を受けたように見えていた」と報道された。
これで一件落着かと思われたが、その日、図書館がマスコミ取材に対応した結果、「図書館側のソフトに不具合はなく、図書館側に責任はない」いう館長のコメントが報道され、すべてがひっくり返されてしまった。これに対し、技術者らからは、図書館に対する非難の声が撒き上がった。
そして9月1日、岡崎市は「岡崎市立中央図書館のホームページへの大量アクセスによる障害について」という文書を発表。そこには、「一般利用とは異なり短時間に大量のアクセスが行われている」「大量アクセスを行った人物が逮捕され起訴猶予処分となっている」という記述があり、逮捕が正当なもので、Aさんの行為が犯罪に該当することを追認するものであった。これにより、さらに図書館への非難の声が増していった。
この情勢に変化が訪れたのは、9月下旬のこと、三菱電機ISのずさんな管理が原因で岡崎市立中央図書館の個人情報が流出していた事実が発覚してからである。詳しくは省略するが、11月に岡崎市は三菱電機ISを指名停止処分にしている。
筆者には、この別事件の発覚によって図書館が業者の呪縛から解かれたように見えた。10月には図書館長とAさんの面談が実現している。その際、図書館側はAさんに対し、「ITの知識がないので業者の言うことをそのまま信じざるを得なかった」「逮捕に至るきっかけを作ってしまって申し訳ない」「被害届は出したが、逮捕など大事になるとは思っていなかった」と述べたという。
その後、12月の岡崎市長の定例会見でこの事件が解決済みとして触れられたのをきっかけに、再び報道があり、それを受けて9月1日の岡崎市の発表文がようやく削除され、さらには、岡崎市内の市民団体「りぶらサポータークラブ」の仲介で、岡崎市と図書館に対して、被害届を取り下げるよう正式な申し入れが行われるに至った。本稿執筆時点ではこれが最新の状況である。
図書館や岡崎市には何度も方向転換する機会があったにもかかわらず、事態を長引かせる結果となった。
筆者は、逮捕報道の直後の時点で、疑問を感じて図書館に電話して意見を述べている。電話に出たのはこの事件に対応した担当者で、図書館側の事実関係については話してくださるものの、こちらから述べる意見に対しては、「ああそうですかはい」と相づちを打つだけで、まったく聞く耳持たずの状態だった。この時点で事件性がないことを理解できれば、すぐに被害届を取り下げて、Aさんの勾留もなかったかもしれず、残念でならない。
起訴猶予処分の後、非難の声があがると、愛知県警は「被害者を重視して捜査したまでだ」と言い、図書館は「警察にうながされて被害届を出しただけだ」と言い、互いに責任を擦り付け合った。図書館は、報道の後になっても世論に耳を傾けず、 業者の言い分に惑わされて、真実が何かを見誤った。
この事件は図書館とAさんだけの問題ではない。これが前例となって、技術者が今後も同様に逮捕されかねないことが問題であり、実際、愛知県警は6月の時点で、電話で問い合わせた技術者に対して、「同じ状況であれば逮捕します」と告げている。
Aさんと同様のソフトウェア開発をしている何人もの人が、恐ろしくて続けられないと発言しているし、これを機会に中止されたウェブのサービスがあったことも判明しており、重大な萎縮効果が生じている。
その懸念があるからこそ新聞各社がこの事件を報じているのに、図書館と岡崎市は抜本的な措置を自ら取ろうとはしなかった。岡崎市には社会の一員としての責任の認識が欠けていると言わざるを得ない。
(1) 岡崎図書館事件文献リスト、http://takagi-hiromitsu.jp/misc/librahack/ksk/bib.html
この原稿を執筆した当時は、事態の収拾に向けて岡崎市に被害届を取り下げるよう交渉がなされている最中だった*2が、その後、結局、被害届が取り下げられることはなかった。震災後の3月30日、岡崎市のボランティア団体「りぶらサポータークラブ」によって「公式記録」が公表されて幕引きとなった。
ここの日記で書いたものは以下の通り。
1年半前、書こうと思ったのに、その直後にミログ事件が発生し、その後もスマホアプリの問題が次々と勃発したため、書かずに放置してしまった件、今日、書いておく。
岡崎図書館事件の幕引きから半年が経過した2011年9月、大阪府吹田市で、図書館が「サイバー攻撃」され警察沙汰になりつつあるという話が、複数の吹田市議会議員のブログで明らかにされた。
(図書館へのサイバー攻撃)
9月16日から2日間ほど、岐阜県を発信ポイントとするサイバー攻撃を吹田市立図書館が受けていました。ポイントは岐阜県になっていましたが、そこが経由地なのか実際の発信地なのかも特定できていないような説明を受けました。1秒間に5回アクセスされるような攻撃だったようですが、それで吹田市立図書館側のサーバがアクセス困難に陥ったのでした。政治的な意図があってのことではない(愉快犯)だと思いますが、当該期間にアクセスできなかった市民には多大な迷惑が掛かりました。市は警察へ対応を申し出ています。
※(追記);ファイヤーウォールを云々・・・という箇所を削除しました。当該記事は吹田市CIO(情報の最高責任者)から説明を受けた内容でしたが、関係者より事実と違う旨のご指摘を頂戴いたしました。謹んでお詫び申し上げ、当該箇所を削除します。
吹田市立図書館への大量アクセスは、そんな大掛かりなことではないとは思いますが、17日に地域教育部から報告がありました。
内容は、
吹田市立図書館ホームページへの大量アクセスによる業務妨害が発生しており、ネット検索や予約ができなかったそうです。
16日(金)午後4時40分以降、特定のアドレスからの大量アクセスをブロックする応急措置を行い、一時的に使用できる状況になった。
しかし、その後、16日深夜から17日未明に掛けて、再び検索、予約を通常に使用できないという不安定な時間帯があり、原因究明を行っている。
17日(土)の夕刻時点では、図書館ホームページの閲覧、検索、予約などについて支障なく利用できる状態まで回復した。
とのことです。
なんで、吹田市の図書館が狙われるのかしら???困ったものです。
*文字の間違いがあったので修正しました。また、大量アクセスは、実はシステム上のバグがあったようです。詳しく尋ねて分かりましたら、また掲載します。(2011年10月2日記)
「岐阜県を発信ポイントとする」と聞いてピンと来るように、これは、「カーリル」(岐阜県中津川市に拠点がある)によるものだった。吹田市立図書館のシステムは、三菱電機ISではない、別のベンダーのシステムであり、岡崎の件とは別のバグが原因で、システムに不具合が発生したようだった。
すわ誤認逮捕か?と緊張が走ったが、さすがに、今回は三菱電機ISとは違うベンダーの方々がちゃんと良識的に動いてくださったのか(未確認)、そんなことにはならず、10月3日になって、吹田市のCIO(最高情報責任者)から同市市議会議員宛に、以下の文書が配布され、幕引きとなった。
市議会議員 各位
(略)
吹田市立図書館ホームページの完全復旧について(報告)平成23年9月16日付け、市議会議員各位にご報告させていただきました吹田市立図書館ホームページの大量アクセスにつきましては、ご心配をおかけしているところですが、下記のとおり全面復旧いたしましたのであらためてご報告させていただきます。
記
9月14日、本市図書館システムが不安定となり、検索や登録など一部のサービスが提供できなくなりました。リスク管理の観点から、外部からの不正アクセスも想定し、吹田警察署に相談するとともに庁内では危機管理対策会議を開催するなど、鋭意調査を進めてまいりました。その結果、当初危惧をしておりました大量アクセスの事実はなく、プログラムの不具合による、エラーチェック漏れにより、システムが不安定となったことが判明いたしました。
当初、大量な不正アクセスの可能性も考慮した原因として、保守業者の判断ミスがございました。また、対応処置の段階において、同保守業者のネットワーク機器設定での初歩的ミスも重なり、原因究明に時間を要することとなりました。
原因を特定し復旧した後、改めて外部からのアクセス遮断を解除してテストを行い、当初と同じアクセス件数を受け入れても、システムにはなんら影響のない事も確認できました。
今回の件につきましては、業務妨害の可能性がなくなりましたので、警察への被害届の提出は行いません。
市議会議員各位におかれましては、大変、ご心配ご迷惑をおかけいたしました。今後は、保守業者に図書館システムソフト(プログラム)の改良や、常日頃からシステム不具合の予兆がないか等の、状況把握が出来るような保守体制の強化を行わせます。また、図書館としましては、操作上のエラーが起こらないように、マニュアルの改善やチェック体制の強化等、管理運営方法の改善を行います。これらの措置により、安定したシステム運用を図ってまいりますので、ご理解賜りますようお願い申し上げます。
ここから読み取られるのは、吹田市は、被害届の提出には至らなかったものの、警察に相談したという事実である。吹田警察署はそのとき、どういう反応をしたのだろうか。ここが気になるところである。
また、不具合発生の初日の段階で市議会議員にその状況を伝えたという点も気になる。これは、システムのバグが原因の不具合である可能性を全く想定しなかったのだろう。報告を受けた議員が「なんで、吹田市の図書館が狙われるのかしら???」と疑問を抱いたように、「図書館をサイバー攻撃」ということ自体、最高情報責任者は違和感を持たないのだろうか。
ここで、岡崎図書館事件のことを知る者は誰もいなかったのかが気になる。誰か一人でも知る者がいれば、早い段階でシステムのバグの可能性についても想定したであろう。保守業者やベンダーのSEであれ、市役所の職員であれ、市議会議員であれ、誰かが知っていればよいわけだが、はたして、知られていただろうか。ここが気なる。
このような状況では、 今後も他の市町村で再び、被害届の受理まで至ってしまう事案が発生するかもしれない。岡崎の教訓は活かされないのだろうか。
この騒ぎの前年、12月の時点で、IPAから、DoS攻撃への適切な対応を示した手引きが公開されていたのだが、吹田市の最高情報責任者は読んでいなかったのか。
なお、地方自治情報センターからも、2011年5月の時点で、「クローラへの耐性」を診断項目として追加した「ウェブ健康診断仕様」が提供されていた。これも、吹田市の最高情報責任者は読んでいなかったのだろうか。こうした文書をいくら作っても、肝心の人々に届かないものなのだろうか。
なお、「ウェブ健康診断仕様」は、2012年12月に、維持・発展に係る業務をIPAに移管している。
*1 同時期に書かれたものとして以下がある。