IT技術者のためのデジタル犯罪論

　　岡崎市立中央図書館（りぶら）のウェブサイトにアクセスを繰り返して、ほかの利用者が閲覧しにくい状態にしたとして、偽計業務妨害で容疑者が逮捕された。　　　　

　愛知県内の男性（３９）が、自作プログラムで図書館ホームページから新着図書の情報を集めたところ、サイバー攻撃を仕掛けたとして逮捕された。しかし、朝日新聞が依頼した専門家の解析によると、図書館ソフトに不具合があり、大量アクセスによる攻撃を受けたように見えていたことが分かった。同じソフトを使う全国６カ所の図書館でも同様の障害が起きていたことも判明。ソフト開発会社は全国約３０の図書館で改修を始めた。

　この問題は同県岡崎市立図書館で起きた。ソフトには、蔵書データを呼び出すたびに電算処理が継続中の状態になり、電話の通話後に受話器を上げたままのような状態になる不具合があった。一定の時間がたつと強制的に切断されるが、同図書館では１０分間にアクセスが約１千件を超えると、ホームページの閲覧ができなくなり、大量アクセスを受けたように見えたという。

　男性はソフトウエア技術者で、岡崎市立図書館から年に約１００冊借りていた。図書館のホームページは使い勝手が悪く、新着図書の情報を毎日集めるプログラムを作り、３月から使い始めた。

　図書館には同月以降、「ホームページにつながらない」と市民から苦情があった。相談を受けた愛知県警は、処理能力を超える要求を故意に送りつけたと判断し、業務妨害容疑で男性を逮捕した。名古屋地検岡崎支部は６月、「業務妨害の強い意図は認められない」として起訴猶予処分とした。

　朝日新聞は、図書館で使われている三菱電機インフォメーションシステムズ（ＭＤＩＳ）社製のソフトを別の図書館関係者から入手。男性のプログラムとともに、この分野に詳しい産業技術総合研究所の高木浩光・情報セキュリティ研究センター主任研究員や、大手の情報セキュリティー会社「ラック」など３カ所に解析を依頼した。

　その結果、いずれも図書館ソフトに不具合があると答えた。男性のプログラムは違法性がなかったという。

　朝日新聞が確認したところ、図書館ホームページの閲覧障害は、ほかに大阪府貝塚市、広島県府中市、東京都中野区、神奈川県鎌倉市、京都府長岡京市、石川県加賀市でも起きていた。ＭＤＩＳは「改善の余地がある」として７月、電算処理を毎回切るように岡崎のソフトを改修。全国約３０の図書館で順次作業を進めている。

　男性は取材に「なぜ不具合が放置され、捜査機関は見抜けなかったのか。今後も同じような逮捕が起き得ると思うと恐ろしい」と話した。

　岡崎市立図書館は「様々なプログラムによるアクセスにも対応するよう改善を進めたい」と説明。愛知県警は一連の不具合を把握していなかったが、「図書館の業務に支障が出たことは事実で、捜査に問題はない」としている。名古屋地検岡崎支部は「コメントできない」としている。（神田大介）

　そもそもどういう話かと言うと、三菱電機インフォメーションシステムズ株式会社が開発した図書館システムに、思いっきりバグがあって、「接続要求後、利用者がそのページから抜け出た後も、サーバのほうが接続中状態を６２０秒（つまり10分以上）キープしていた」というもの。そのシステムが動いている岡崎市立中央図書館のサイトに、市内の利用者たるプログラマが自作プログラムで新規購入図書の書誌データを自動で取りに行く作業をして、数ヶ月にわたり３０回ほど、サーバがとまっちゃったと。
　どうも１日１回の作業でもそれは悪意あるものと見なされて、事前警告無しにいきなり逮捕状ぶら下げて逮捕されて半月以上も拘留され、「起訴猶予処分」で解放されたようです。

　で、朝日の記事タイトルを見ると判ると思いますが、5月に逮捕されて、システムバグの手直しに入ったのが7月。本来なら、これは三菱電機の製造物賠償責任案件だと思われます。

　まぁ、プログラマのほうも、どうやら2ヶ月に1度更新される新着図書情報を取るより、蔵書データベースそのものを毎日チェックして新着本を早く予約入れようとしてたようです。そこまでがっつかなくてもいいだろうに、とは思いますけど。いや、新着図書情報も膨大なんで、それを書誌データ全部すくってたら、そりゃすごい有り様だとは思うんですけどね。

　ただ、問題は、ログをチェックして「これは図書館のサイトを攻撃してるのか？」と思ったのなら、そこでプロバイダなりに依頼して、特定のIPからの図書館のサーバへの接続を止めてもらうとかしてからでもよかったはずです。できるはずなんですよ、某巨大掲示板はそうやってアクセス禁止処置をしてますから。さもなくば、図書館のサイトのトップページで「自動巡回による情報収集のお断り」という警告を出すことも可能だったはずです。

　なのに、いきなり逮捕状です。逮捕状をとれたということは、個人の特定ができたわけで、そのためにはアクセスログを三菱に依頼して出してもらい、それを警察に渡したということになります。事実、上記の「まとめサイト」の記録ではそういうことになっているようです。

　で、思うわけです。公共図書館なのに、「図書館の自由」をいきなり吹っ飛ばしちゃったのはなんでですか？　「検閲には断固拒否する」とか「利用者の自由を守る」とか宣言してますよね。日本の図書館は日本図書館協会の肝いりで。憲法第35条規定の令状を警察が持ってきて呈示しない限りは、利用者情報を渡さないようにって、協会から話出てるんじゃないんですか？　しかもその場合はデータについて図書館の職員が押収にきちんと立ち会うことになってますよね？　それとも岡崎市の図書館は日本図書館協会に加盟してないんでしょうか？

　さらに新聞記事文中に
「男性はソフトウエア技術者で、岡崎市立図書館から年に約１００冊借りていた。」
　とあります。職業は本人から聴取すればいいとして、年間利用冊数が出てきたということは、図書館は読書記録、利用記録も警察に渡したかマスコミにしゃべった、ということになります。すごいプライバシーの侵害ですね。これも「利用者の自由」を吹っ飛ばしてますね。「練馬TV事件」とか「地下鉄サリン事件の捜査に関連しての国会図書館利用者データ押収事件」とか、全然知らないんでしょうか。対岸の火事状態？

　とどめは館長会見での、報道陣に対しての「（男性の自作プログラムに）違法性がないことは知っていたが、図書館に了解を求めることなく、繰り返しアクセスしたことが問題だ」と説明したこと。違法性ないのに、バグをうっかり突いちゃったから予告無しに逮捕されたんですか？　

　岡崎市の図書館条例というのがあるんですが。これだと第6条(利用の制限又は禁止)と第7条(損害賠償)にひっかかるとして、利用停止と損害賠償請求でよかったはずです。仮に警察に頼んで、個人情報保護法をふっとばして本人を調べて貰うにしても。逮捕して起訴猶予じゃなく、不起訴にすべきだったんでは？

　まぁ、岡崎市の公開されている情報によると、中央図書館の館長さんは市役所に勤めて37年目にして初めて図書館勤務されてるそうですから、司書の勉強もされたことないようですが、それにしても館長なんだから、そういうところは認識してもらいたかったですねえ。
　ただ、,B>この問題、これから炎上しそうな気がします。あたしだって事件から3ヶ月たってから知った話ですし。ちなみに市議会議員がこれを9月の議会で取り上げる気満々のようです。教育委員会とかどうするんですかね。

１　逮捕されたことについて不満はございません。大変なご迷惑をお掛けしました事、深くお詫び申し上げます。
　以上でこの事件のまとめは終わりです。
　逮捕されたことについて不満はございません。
　限られた予算（税金）で運営されている公共施設のサービスに、大手企業のサービスと同じような感覚でアクセスしてしまった、
　相手サーバのパフォーマンスを自分勝手に予測し、レスポンスに気を配らなかった、
　相手サーバからのレスポンスHTTP500を細かくハンドリングせず単にスキップだけしていた、
固定IPのレンタルサーバ（3月14日から3月31日、cronで起動）と、プロバイダより割り振られるIPの自宅や実家（4月2日から4月15日、Thinkpadを持ち運んで自宅と実家から手動で、日毎にどちらか一方から）、合計3カ所からアクセスしていた、などなど私に配慮が足りないことが多かったからです。
　岡崎市立中央図書館ご利用者の皆様、並びに関係各位の皆様に大変なご迷惑をお掛けしました事、深くお詫び申し上げます。
　取り調べ中に私が発する聞き慣れないコンピュータ用語をわかりやすい調書にして、不起訴処分（起訴猶予処分）にしていただいた警察や検察の方々には感謝しています。
今後このようなことが二度とありませんよう、プログラムの設計には細心の注意を払い、再発防止に万全を期す所存でございます。