岡崎市立図書館事件について：作る側の視点

最初に結論を書いておくと、
“図書館のシステムがダウンしたら利用者が逮捕される”なんて、「風が吹けば桶屋が儲かる」の理屈だと思うけれども、実際に起きてしまった。
システムを作るって、怖いね＞＜
自分の能力不足からそんなシステムになってしまう可能性もあるから、色々勉強して、少なくとも同じ問題は起こさないようにしないと。

---

システム作成側の立場から見ると、この事件は具体的な教訓にも富んでいる。
・DB接続（コネクション）の管理、特に異常時の処理はきちんと考慮しなければならない
・負荷試験を行っていれば、この程度のバグは発見できたのではないか？
・ソースコードが公開された場所に置かれているとはなにごと？
・robots.txtの使い方

具体的な内容については高木浩光さんのウェブページが詳しい。
三菱図書館システムMELIL旧型の欠陥、アニメ化 - 岡崎図書館事件(7)
Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6)

---

自分もシステムを作る側の人間でもあるので擁護してみたいが、
システムを作っていてバグが入り込んでしまうこと自体は仕方が無い。絶対に起こることだ。
しかしそれをなるべく減らす為にもテストというものを行う。
特にウェブシステムを作っていて大量アクセスした場合にどうなるかなんて、テストしないはずが無い。
今回の様にあからさまな問題が内包したままになっていたというのは、自分が作ったシステムだったらとても恥ずかしいorz

で、MDISの新システムでは、この接続の問題は解消されていた。
保守契約や瑕疵担保期間がどうなっていたか知らないので、旧システムについても無償で即時に直すべきだとは言わないが、旧システムを使っている図書館に注意するとか出来なかったのかなぁ。…しないんだろうなぁ。
（てか、そもそも新システムでこの点が改善されていたことを知らなかった可能性もあるかな。使っていたフリーソフトの中核部分が知らぬ間に改良されていたとすれば）

ソースが公開されていたなんて話もびっくり。なんてお粗末な話なんだ＾＾；
まぁサーバー管理者が新人だったりすると、そういう事にもなっても不思議は無いけど…。

システムを作った三菱電機インフォメーションシステムズ（MDIS）は、この件についてはあくまで「大量アクセス」が問題であると発表しているが、有志によって色々調査され、この図書館システムに問題があることははっきりしている。
障害が発生してサービス停止に陥ったmixiの場合、その分析内容（memchachedのバグ）をソースまで含めて開示しており、同業の人たちから高く評価されている。
トラブル時の対応（発表の仕方）って大企業の方が学んでいるはずなのに、変だねぇ(苦笑)

いずれにしてもシステムの担当者個人は（普段以上に）怒られているだろうし、つらいだろうな；；

岡崎市立図書館事件について：組織の対応

警察は、どんなに冤罪事件を発生させても公式に誤りを認めることは無いので、（警察にとって）こんなに小さい事件で謝罪するようなことは無いだろう。
警察（検察）が誤りを認めたのって、覚えている範囲では松本サリン事件とか足利事件くらいかな？
今回も何か訊いても「適正な捜査だったと考えている」ってコメントするだけなんだろうなー。

まぁ謝罪は間違って逮捕された人に対してだけあればいい（というか、付けられてしまった前歴を抹消する必要はある）と思うけれども、
その他の人に対しても、今回のようなケースは犯罪ではないというのは明確にして欲しいところ。
でないと前例主義に則って、今後ちょっとしたアクセスでも大量アクセスとして逮捕されることになってしまう。

問題は警察の技術的な能力。
コンピューターシステムに限らず、警察は色々な事を調べなければならないので、全ての事に対して技術的な知識を持て、などと言うのはそもそも不可能（現実的でない）。
でもせめて、その道の専門家に事前に分析を要請するとか出来ないのだろうか。

---

システムを作った三菱電機インフォメーションシステムズ（MDIS）も色々ツッコまれているが、
同じようにトラブルが発生したmixiの場合、その分析内容（memchachedのバグ）をソースまで含めて開示しており、ネットの人々から高く評価されている。
MDISも素直に悪かった点を認めれば、ここまで非難されることは無かっただろうに。

しかしこの事件では冤罪による逮捕者が出ているので、責任を認めれば賠償問題にもなりかねない。だからMDISが責任逃れを続けるためには「冤罪でなかった」という嘘をつき続けるしかないのかねぇ。
ネットで誰が何を騒ごうが、MDISが賠償金を支払うかどうかには関係ないしね。
（目の前の賠償金も痛いだろうが、信用を落とすのも痛いと思うんだが…。人の噂も75日だから、今を乗り切れば懐は痛まないという計算なのかね）

---

この事件で岡崎市立図書館が被害者面できるとすれば、それは三菱電機インフォメーションシステムズ（MDIS）に対してのみだと思う。
岡崎市立図書館が「自分達はシステムについて詳しくありませんでした、調べたらシステムが悪かったです、ごめんなさい」って言えば、ここまで酷い言われようはしていなかったはず。大抵の人は、図書館職員がそんなにシステム内部に詳しいはずが無いって分かってるんだから。

ところが岡崎市立図書館は（表面上は）MDISをかばって責任追及しないし、（実質的にも）契約を打ち切りもせず更新するし、システム会社としてはとてもありがたい顧客ですね～。
MDISを擁護して自分達には何の責任も無いと主張しているのは、たぶんMDISが責任逃れをしようとしているのと同じ理由かな？
自分達のミスを個人に（逮捕という重大な形で）押し付けておいて謝るそぶりすら無し。

自分は（岡崎市ではないけれど）図書館には昔からお世話になって感謝しているのに、こうした岡崎市立図書館の姿勢にはがっかりです…。

岡崎市立図書館事件について：基礎

岡崎市立図書館事件について、色々な人たちが調査している内に色々な問題が発覚して論点が広がっていますが、自分が注目している理由は
「ごく当たり前の事をしただけなのに逮捕された」、したがって
「この理由で逮捕されるなら、誰でも（自分も含めて）逮捕される可能性がある」から
です。
警察（や岡崎市立図書館・三菱電機インフォメーションシステムズ（MDIS））が誤りを認めない限り、安心できないという事です。

---

今回の事件は、「岡崎市立図書館が公開しているホームページに大量アクセスした」として、アクセスしていた人が逮捕されたものです。
「大量アクセスを行ってサーバーをダウンさせるDoS攻撃」と勘違いされたわけです。
この岡崎市立図書館のシステムには欠陥がありました。一般的なシステムなら問題無いような少ないアクセス数でもシステムがダウンすることがあるという欠陥でした。
そのせいで、実際には大したアクセス数でなかった（1秒間に1回程度）にも関わらず、大量アクセスと言われて逮捕されたのです。

例えばあなたがホームページを見ていて、なかなか表示されないので「遅い！」と怒って更新ボタンをダダダッと連打したとしましょう。
「ダダダ」くらいなら、1秒以内で押せます。つまり1秒間に3回アクセスしました。
はい、1秒間に1回を超えたので今回の事件よりも大量アクセスです。逮捕！
…こんなもので逮捕されるなんておかしいでしょう？
（まぁ実際にはもっと長時間連打し続けないと“大量”にはならないですが）

---

今回の問題を電話に例えるとこんな感じになるでしょうか。

図書館は、利用者からの問い合わせを受ける為に電話を3台用意しました。（担当者もちゃんと3人います）
ところがこの電話システムには欠陥があって、たまに3台とも丸1日間受信できなくなってしまうのです！
利用者から「電話が繋がらない」というクレームがあったので図書館側もさすがにおかしいと思っていましたが、システムを作った会社は「電話機が古いせい」と回答していました。
そして一度電話線を引っこ抜いて再接続すれば使えるようになるので、そのようにして使っていました。解決策があるとは言え、面倒ですね。

ところで、この図書館に毎日「今日新しく図書館に入った本は何ですか？」と電話してくる人がいました。
普通の人はこんなに頻繁には電話をかけてきません。こんなに頻繁に電話をかけてくる人がいるせいで、電話線を引っこ抜くという面倒な作業を行う回数が増えてしまいます。
そこで警察に相談したところ、「それは業務妨害で逮捕できるね！」と言われました。
こうして毎日電話をかけてきた人が逮捕されました。

実は、この電話の欠陥というのは、
2台までは同時に話していても大丈夫ですが、3台同時に使ったら、その後しばらくの間、3台とも使えなくなってしまうというものでした。
たまたま3台目にかけてしまった人が運悪くシステムをダウンさせることになってしまうという事です。

つまり頻繁に電話をかけた人のが悪いのではなく、3台目にかけた人が悪いのです。
でも、電話をかけた利用者側が、自分がどの電話につながるのか分かるはずもありません。
「あなたが電話したら、たまたま3台目につながりました。その結果システムがダウンしたので、業務妨害であなたを逮捕します」
こんな話が納得できる訳が無い。どう考えても、悪いのは図書館側（図書館システム側）でしょう。

しかも1日1回は「大量」ですか？ 普通の人から見れば多いでしょうが、業務妨害と言えるほとでは無いと思います。
コンピューターシステムにおける1秒間に1回なんて、本来は業務妨害と言えるようなものではありません。

---

現実の話をすると、今回逮捕された人は、この図書館にアクセスする専用ツールを自作して使っていました。
でもそのようなツール（例えば画像のダウンロードを行うものやWeb巡回ソフト）はVectorや窓の杜にいくらでもあるし、僕でもたぶん作れます。この手のツールは、むしろ大量アクセスを行う為に存在しているようなものです。
つまり、「そのようなツールを使って大量アクセスした」という理由で逮捕されるなら、そういうツールを使っている人も逮捕されて不思議ではありません。

このような理由によって逮捕された方は非常に気の毒です。
起訴猶予というのが法律的にどのような位置づけなのかは知りませんが、「猶予」ということは、状況によっては起訴されることがありそうですよね。
逮捕されてしまった過去の時間は戻せないので、せめてきっちりと冤罪であったということを明確にし、付けられてしまった「前歴」を抹消すべきなんじゃないかと思います。

そして、このような事で一般人が逮捕されないことを明確にして欲しいです。