[メモ] 岡崎市立図書館

Koichiro Komiyama 小宮山功一朗 @kchr

@HiromitsuTakagi あまりないですが、警察への届出についても相談にのっています。今より良い結果になったかどうはわかりませんが、より良い結論となるよう努力します #librahack

Hiromitsu Takagi @HiromitsuTakagi

昨日の情報ネットワーク法学会公開座談会でパネリストとして発表したことの要点を書き連ねます。(1)逮捕報道直後に私が岡崎署に電話で問い合わせたのをtweetしていたことから、不起訴後当人からfollowされたので、DMで連絡くれと送ったところメールをもらった。 #librahack

Hiromitsu Takagi @HiromitsuTakagi

(2)内容は、どうしてこうなったの話と、何人かの岡崎署への電話やTwitterの盛り上がりが救いになったという皆への感謝の意、（警察不信になったのか）事を荒立てたくない気持ち、しかし皆さんへの最低限の責任として事実だけできるだけ正確にサイトに示すという意思。#librahack

Hiromitsu Takagi @HiromitsuTakagi

(3)小出しにするとアンチが湧くよと返信したところ数日後に経緯をまとめたExcel表が送られてきた。そして半月後、座談会決定で出席を打診、家庭の事情で家から離れられないとのこと、座談会資料用として後に明らかになった点を追加したExcel表を作成して頂くことに。#librahack

Hiromitsu Takagi @HiromitsuTakagi

(4)配布資料とする予定だったが、報道が出るまで明かせない部分がマスクされていたため扱いに困り相談、まかせると言われたので、スライド形式にまとめなおしてプロジェクタ投影にとどめた。今後さらに情報が明らかにされると思われる。 #librahack

Hiromitsu Takagi @HiromitsuTakagi

(5)3つのIPアドレスからのアクセスの背景：日ごろ自宅と実家を頻繁に移動、自宅か実家で開発、テスト実行、翌日テスト実行で差分取得の成功を確認、レンタルサーバにプログラムを設置、1日1回の実行をcron設定、3月31日までレンタルサーバで稼働、31日か翌1日にcron設定解除、…

Hiromitsu Takagi @HiromitsuTakagi

(5)の続き、解除後、ノートPCの開発環境からの実行に変更。留守の日以外は実行。5月24日まで開発環境からの実行を継続。報道で「4月2日から15日にかけて」とあったのは単に容疑の対象がその期間までだったことによるもの。 #librahack

上原 哲太郎/Tetsu. Uehara @tetsutalow

まず，これは会場でも話したことですが，岡崎市図書館の中にはやはり，システム管理専任の職員はいないようです．しかし，システムの調達からSIerへの運用の指示に至るまで，図書館の中だけで行っているようです．この状況は良くあることで，事前に予測した通りでした． #librahack

上原 哲太郎/Tetsu. Uehara @tetsutalow

この状況になると各作業に関する判断もSIerが行っている場合もあるわけですが，岡崎に関しては職員の方が各作業に関しての最終的判断を行っているようでした．今回の件に関しても担当職員の方はそれなりに知識をお持ちで，図書館が全て判断したとおっしゃってます． #librahack

上原 哲太郎/Tetsu. Uehara @tetsutalow

今回の事件の端緒は，そもそも新着図書ページがある時間になると閲覧不能になるという苦情があった（そして実際そうだった）ことのようです．それが3月中旬． #librahack

上原 哲太郎/Tetsu. Uehara @tetsutalow

この時点での図書館の認識は「(クローラともDoSとも判断せず？判らず？)何か普通でないことを機械的にされている(ので困る)」という認識だったようです．アクセスはURL決め打ちであるのはわかったので，URLを少し動的に変化させる対策をとった． #librahack

上原 哲太郎/Tetsu. Uehara @tetsutalow

しかし，動的URLとしっても1文字変化する文字をURLに加えるだけだったので簡単に対策された．IPアドレス遮断をこの時点で考え始めた模様． #librahack

上原 哲太郎/Tetsu. Uehara @tetsutalow

ここで，図書館らしいなと思ったのは彼らの最大の関心事は「このアクセスを行っている人物はこの図書館の利用者か」だったことです．IPの逆引き結果からISPを見て，そのドメインを持つメールアドレスがLibraの登録者DBにあるか探したといってました． #librahack

上原 哲太郎/Tetsu. Uehara @tetsutalow

この時点ではlibrahack氏が使っていたのはレンタルサーバで，そのドメインを含むメールアドレスはLibra内にはなかった．それを根拠に，図書館はこれは図書館の普通の利用者ではなさそう，遮断しても問題ないと判断したらしい．実際の遮断実行は3月末です． #librahack

上原 哲太郎/Tetsu. Uehara @tetsutalow

この遮断の前に，一度図書館は警察に相談に行っているようです．3月下旬のこと．ただ，あまり本格的なものではなかった模様．詳しくは聞けてませんが「こんなことで困っています」といいう程度，だったんでしょうか？ #librahack

上原 哲太郎/Tetsu. Uehara @tetsutalow

4月になって，今度は違うアドレスから同様のアクセスが来て被害が出た．そこで図書館は同様にアドレスからドメインを調査したそうです．今度はLibraにも多くユーザがいるドメイン名．つまり利用者である可能性があるので遮断は容易にできないと． #librahack

上原 哲太郎/Tetsu. Uehara @tetsutalow

この時点＝4月上旬に図書館が再度警察に行ったと聞いています．その時点で任意でアクセスログを提出しているようです．ただ，上原のツッコミが甘く「警察に何を期待して」「どんなアクセスログを」出したかという肝心なところは良く聞き出せてません． #librahack

上原 哲太郎/Tetsu. Uehara @tetsutalow

その任意の提出から1～2週間後？警察から「これは捜査できる（つまり犯罪の可能性があるという意味？）かもしれない」という連絡があったそうで，それを受けて岡崎市として被害届を出すことにしたと．それが4月の中旬か下旬ということになります． #librahack

上原 哲太郎/Tetsu. Uehara @tetsutalow

追加の情報としては「この間，図書館の通常の貸出業務等に支障が出たことはありましたか？」と聞いたのですが答えは「知る限り，そういうことは聞いていない」とのこと． #librahack

Hiromitsu Takagi @HiromitsuTakagi

(6)librahackという名前は説明サイトのために作ったのではなく、作ろうとしていたマッシュアップサイトの名前として最初に決めていたもの（ドメインは不起訴後取得）でロゴも作っていた。警察がノートPCからそのロゴ画像を見つけて「やっぱりか？」と思ったらしい。#librahack

Hiromitsu Takagi @HiromitsuTakagi

(6続き)取り調べで、ここでのhackの意味はライフハックとかオライリー本にある○○hacksの意味でということを説明して納得してもらった。検察でロゴのことを突っ込まれたらちゃんと説明するようにと（その警察官に）言われた。（終盤で？） #librahack

Hiromitsu Takagi @HiromitsuTakagi

(7)プログラムの動作状況はDBへの追加件数を見て把握していた。新着図書のカテゴリ（10個ある）の最後の方のカテゴリが取れていれば最後まで動いていると判断した程度の確認しかしていなかった。DB自動更新処理までの完成を目指し、継続して動かした。 #librahack

Hiromitsu Takagi @HiromitsuTakagi

(7続き)DBの画面：3月13日（初回テスト実行）1800件新着、14日（2回目テスト実行）5件新着。レンタルサーバに移して14日から1日ごとに 1750, 14, 2, 30, 43, 106, 100, 5, 7, 83, 60, 156…といったところ。#librahack

Hiromitsu Takagi @HiromitsuTakagi

(8)3月25日、1件も取れていなかったため調べたところ、起点としていた決め打ちのURL「201.asp」がサイト側で「201x.asp」（xは何かの1文字）に変わっていた。そういうサイト仕様なのだと思い、起点URLを新着図書のトップページへ変更した。 #librahack

Hiromitsu Takagi @HiromitsuTakagi

(9)3月31日に新着が1件しかなくおかしいと思った。レンタルサーバにプロセスを強制終了され、使用制限された可能性を疑った。レンタルサーバではよくあることで、CPU負荷が高かったり長時間稼働するプロセスを連絡もなく止められることがある。以前にも経験がある。 #librahack