初代編集長ブログ―安田英久

岡崎市立図書館は相手が国外だったらどうするつもりだったのだろうか

不出来なシステムを棚に上げて逮捕者まで出した岡崎市立図書館の事件から

今日は、何かあった際に恥をさらすような受け答えをしてしまわないための、Webに携わる人間としての心得を、不出来なシステムを棚に上げて逮捕者まで出した岡崎市立図書館の事件から考えてみましょう。

2010年5月に、愛知県の岡崎市立図書館のホームページに対して自作のプログラムでアクセスしていた男性が、サイバー攻撃を仕掛けたとして愛知県警に逮捕されたという前代未聞の出来事がありました。

ご存じない方のために何があったかを簡単に説明しましょう（この部分に関しては、朝日新聞の神田大介記者が取材して書かれた記事や、逮捕された男性による説明を参考にしています）。

男性は、岡崎市立図書館のホームページが使いにくいことから、新着図書の情報を集めるためのプログラムを作って動作させていました。ところが、岡崎市立図書館のホームページで使用していたシステムに不具合があったためにホームページにつながらなくなる現象が起き、それを受けた図書館側はサイバー攻撃であるとして愛知県警に相談。警察は業務妨害の容疑で男性を逮捕し、20日間勾留した結果、起訴猶予となりました。

ところが、男性の動かしていたプログラムは1秒間に1回程度、1回ずつ（並列アクセスなし）のアクセスしかしておらず、常識的なシステムならばこれで問題が発生するほうがおかしいレベル。実際に、朝日新聞が第三者機関の専門家に解析を依頼したところ、いずれも図書館側のシステムに不具合があり、男性のプログラムには違法性がないとの判断だったと報じられています。

そして、岡崎市立図書館の館長は「（男性の自作プログラムに）違法性がないことは知っていたが、図書館に了解を求めることなく、繰り返しアクセスしたことが問題だ」と発言したと伝えられています。

ここはWeb担ですから、逮捕の妥当性やシステムの出来の悪さについて語ることはしません。ここで気にしたいのは、サイトの責任者が、インターネットがどういうものだと考えていて、そこにサイトを公開する意味をどう考えていたかです。

ネット上に公開した時点で、ネットのルールで全世界が相手になる

岡崎市立図書館は、同様のアクセスが国外からあったならば、どうしていたのでしょうか。警察を通して国際捜査を依頼していたのでしょうか。技術的に修正していたのでしょうか。それとも、あきらめてサービスを停止していたのでしょうか。

インターネット上にホームページを公開したら、その時点で、全世界からアクセスできる状態になります。つまり、アクセスしてくる相手は日本人とは限りません。法律やモラル（倫理観）は国によって違うものですから、インターネット上に公開した以上は、その利用を法律やモラルでコントロールできるとは期待するべきではありません。

ヤフーやグーグルとは比べものにならないぐらい規模の小さなWeb担当者Forumでも、日常的に東欧やアジアを含めた全世界から、さまざまなアクセスがあります。だれかが作ったカスタムのクローラがコンテンツをうまく処理できずに発生しているであろうおかしなリクエストや、ループ的な動きになっているアクセスもあります。コメントスパムは日常的に投稿されますし、既知の脆弱性を探る動きや、無作為な攻撃もしばしばあります。

ネットでサイト（サーバー）を公開するのであれば、そうしたことが発生するのは当然であり、すべての利用者が管理者の思うようにサイトを利用することを期待するのが間違っていると考えるべきなのです。

そして、法律も文化も異なる人たち（悪意の有無を問わず）を相手にする場合、頼れるのは技術的な対応しかありません。

攻撃的なアクセスがあるのならば、そうしたアクセスを継続して行っているIPアドレスからの接続を自動的に判別して不許可にすればいいだけの話ですし、不正な書き込みが多いのであれば、自動的なコメント投稿を防ぐ仕掛けを入れればいいのです（DDoSと呼ばれる種類の攻撃だけは技術で対応できないようですが）。

※2010-08-28追記　IPアドレス規制を試みていたという反論がありますが、それは手動でのIPアドレス範囲ブロックですね。上記文中で言及しているIPアドレスブロックは、閾値を超えるアクセスを行っているIPアドレスを自動的に一定期間ブロックするというもので、SSH bruteforceに対するiptablesによるブロックのような動作をWebアプリケーション内で実現するイメージです。

岡崎市立図書館が相談すべきだったのは警察ではなくシステム会社だったのです。まっとうなシステム会社であれば、今回の事案で「警察に相談しましょう」とは言わず、問題点を見つけられていたはずです（実際に、岡崎市立図書館が契約していたシステム会社は以前から今回の事故の原因となったプログラムの問題点に気づいており、修正済みのプログラムが2006年にはできていたようです）。

ホームページやブログを共用レンタルサーバーやブログサービスで公開している場合は、技術的な対応をサービス提供事業者が行ってくれるはずですから心配はありません。そうでなければ、インターネットを理解している技術者を各企業が抱えるべきでしょう。社内が無理なら、外注先にしっかりとしたシステム会社を選び、何かあったときに相談できる形で契約しておくことですね。保守契約を結んでいないのであれば、緊急の際に利用できる予算枠を確保しておくべきです。

今回、たまたまシステムに不具合があってサービス不能状態になっていたのは岡崎市立図書館のホームページでした。でも、次はあなたのサイトに同様のことが起きるかもしれません。そのときに、相手はロシア人や中国人かもしれません。

さて、あなたなら、どうしますか？

参考リンク

Librahack ：岡崎市立中央図書館HP大量アクセス事件まとめ（男性が立ち上げたサイト）
図書館ＨＰ閲覧不能、サイバー攻撃の容疑者逮捕、だが…（asahi.com）
なぜ逮捕？ネット・専門家が疑問も　図書館アクセス問題（asahi.com）
図書館長「了解求めないアクセスが問題」　ＨＰ閲覧不能（asahi.com）
産総研の高木浩光氏のブログ記事（その1、その5、その6）
岡崎市中央図書館に1秒間に1回アクセスしたら逮捕されたけど不起訴になった件について（Togetter）
「岡崎市中央図書館 #librahack 事件を取材した朝日新聞記者さんへの質問と回答まとめ (8月21日分)」（Togetter）

※2010-09-04追記

公開後にコメント投稿がありましたが、非建設的な内容でしたので、不快に思われる方が出ないよう、当該コメントと一連のコメントツリーを非表示とさせていただきました。コメントでフォローいただいたInetgateさん、せっかく投稿いただいたのに申し訳ありません。また、当該コメントをご覧になり、不快な思いをされた方、失礼いたしました。

せっかくですので、以下に、コメント内で記述した、この問題に対する私の考えの追加部分を記載しておきます：

図書館システムは蔵書管理や貸し出し/返却管理といった内部向けシステムがメインであって、ウェブはその付随という扱いだったんだと想像します。ですから、全体の費用をウェブのトラブルだけで否定するのは適切ではないと思われます。

システムの不出来は確かにあるのですが、もっと大きな問題が、開発側は問題を認識して修正していたにもかかわらずそれが発注側に伝わっていなかったことにあるのではないかと。発注側は「システムのことはわからないのでシステム会社に一任している」という認識だったようですが、おそらく契約がそのとおりの内容になっていなかったのではないかと（予算も含めて）。そのために、システム改修が成されていなかったんでしょうね（すべて推測）。

内部向けシステムならば他の人が「え？」と驚くような古いものを使い続けるのもアリですが、外部向けウェブでは多くの場合そういうわけにはいかず、必要に応じて改修する予算を確保しておかないといけないというのは啓蒙していく必要がありますね。

極論を言えば、保守更改の予算を確保できないのであれば、そもそも一般向けに公開するべきではないと言えるのかもしれません。