限定公開でまとめを作れば、相互フォローやフォロワー限定でまとめを共有できます!

岡崎市中央図書館向けクローラ作成者が逮捕・不起訴の件(Vol.2 - 7月15日以降分)

「岡崎市中央図書館に1秒間に1回アクセスしたら逮捕されたけど不起訴になった件について」 http://togetter.com/li/30698 「岡崎市中央図書館向けクローラ作成者が逮捕・不起訴の件(6月24日以降分)」 http://togetter.com/li/31948 続きを読む
DOS Librahack 高木浩光 セキュリティ otsune 図書館
7298view 20コメント
5
前へ 1 ・・ 14 15 ・・ 21 次へ
@omochimetaru
>今後このようなことが二度とありませんよう、プログラムの設計には細心の注意を払い、再発防止に万全を期す所存でございます。 この人まじかわいそう。あーあ。 #librahack
Hiromitsu Takagi @HiromitsuTakagi
(4)配布資料とする予定だったが、報道が出るまで明かせない部分がマスクされていたため扱いに困り相談、まかせると言われたので、スライド形式にまとめなおしてプロジェクタ投影にとどめた。今後さらに情報が明らかにされると思われる。 #librahack
MAEDA Katsuyuki @keikuma
DoS等で業務妨害罪とされた過去の報道事例 http://bit.ly/aRXF7j は、悪いことに、明後日の方向に混ぜっ返したヒトがいたために、きちんと読まれていない様に思う。今回の立件の違和感が理解できると思う。 #librahack
水無月ばけら @bakera
予想が次々と裏付けられていきますね。
水無月ばけら @bakera
しかし、IIS6なのですからアプリケーションプールのリサイクルで……と思いますけれど。落ちると言っても単にDBと接続できなくなるだけであって、アプリそのものは元気に動いていたので、自動でリサイクルされることもなかった……という可能性があるのかな。
佐野 初夫 @hatsanhat
@suzukimasatomo @HiromitsuTakagi サーバ運用者側からみてDoS攻撃の対応は頻繁にあることです。運用者の視点から、不当逮捕防止策を考えてみました。http://bit.ly/dfP47Z
水無月ばけら @bakera
いや、そもそもデッドロック検出による自動リサイクルはASP.NETじゃないと駄目なのかも。 http://support.microsoft.com/kb/828222/ja
水無月ばけら @bakera
RT @HiromitsuTakagi: (補足)毎日新聞の「県警が25日に自宅を家宅捜索した際も自動アクセス中だった」は酷い捏造報道だと思いましたが、おそらく、容疑事実期間の2日〜15日より後の家宅捜索前日まで続いていたことを警察か検察から聞き出した記者が、このように取 ...
水無月ばけら @bakera
Windows Server 2003 + IIS6 + ASP.NET でサイトを5年以上運用してきましたが、いまだにアプリケーションプールまわりの仕組みが良く理解できていない……。
大月 茂樹 @ohtsuki2843
@bakera: 図書館サイト + マッシュアップ + Dosアタック + 誤解? + 逮捕…内容は存じ上げませんが、なんだか物騒なお話ですね。
HOTTA Michihide @hotta
卑近な例でも、「○○システムはよくコケるので、次回はメンテしやすいようにサーバを手元に置きたい」という要望が現場から上がってきた。情シス(基幹業務がコケるのは論外)と現場(コケるのが前提)との意識の食い違いは如何ともしがたい。某図書館を笑えない。 #librahack
たりき @Vipper_The_NEET
さすがひろみちゅ。事実の積み重ねに隙がない。後日まったりまとめるとしよう。
崎村夏彦 (=nat) @_nat
. @suzukimasatomo @HiromitsuTakagi 今回の件の処理内容は分かりませんが、静的なページであれば、かなり古いサーバでも、一秒あたり6000アクセスとか、普通に捌けます。
吉田光男; AI bot; 8789 3967 8108 @ceekz
何時からマッシュアップの話が出るようになったのか判らないのですが、マッシュアップは著作権と密接に関係してくるため、マッシュアップを混ぜて議論すると、本件の筋を見失ってしまうような気がします。 #librahack (ちょろちょろマッシュアップの話が流れているので)
崎村夏彦 (=nat) @_nat
@suzukimasatomo 一般的に商用サービスの設計をする際には、当然DoS攻撃に対する対策も考えます。それに比べれば、秒1回など誤差にすらなりません。そんなシステムがこれまで生きていたとすると、それ自体が奇跡でしょう。
Hiromitsu Takagi @HiromitsuTakagi
@ceekz 当人が「AmazonのWebAPIや他APIとマッシュアップして」と計画していたのを明らかにしている時点からです。著作権が関係するとしても、そうは思いません →「本件の筋を見失ってしまう」 #librahack
吉田光男; AI bot; 8789 3967 8108 @ceekz
座談会の参加者は技術者が大半でした。図書館関係者は空気なんだと思う。主催者が出席者に尋ねたのも「技術者 or 法律関係者」でした(もちろん、情報ネットワーク法学会主催ですので図書館関係者は想定されていなかったと思う)。 #librahack
崎村夏彦 (=nat) @_nat
ITにせよ、経済にせよ、「素人考え・庶民感覚」は有害。日本人はもっと謙虚になって、プロに任せるべき。非プロがやるべきは、より信頼できそうなプロを選ぶことと、それが上手くいかなかった時に、彼等を別の流派のチームに置き換えることだ。
佐藤慶浩 Yoshihiro Satoh @4416sato
静的ページと比較することは技術的には不毛だと思います。 RT @_nat: . @suzukimasatomo @HiromitsuTakagi 今回の件の処理内容は分かりませんが、静的なページであれば、かなり古いサーバでも、一秒あたり6000アクセスとか、普通に捌けます。
Hiromitsu Takagi @HiromitsuTakagi
@4416_310 そういう場合もあることは知っておくべきです。 #librahack
佐藤慶浩 Yoshihiro Satoh @4416sato
図書館事件においては、サーバが落ちた原因とサーバ側で何をロギングできていたかについて、図書館側からの説明なく議論することは、すべて憶測に過ぎないので、区別すべきです。
佐藤慶浩 Yoshihiro Satoh @4416sato
そんな基礎的知識もない人に知らせるべきということならそのとおり。 RT @HiromitsuTakagi: @4416_310 そういう場合もあることは知っておくべきです。 #librahack
@tt__
jsを解釈してクロールするGoogleはアウトなん? POSTまでしてくるbaiduクローラは? 公開されてるからリンク辿れるわけで非公開APIって何? 高負荷で応答不可なら500じゃなく503が妥当なのに500までエスパーしなきゃいけないの?http://j.mp/98nW35
大月 茂樹 @ohtsuki2843
@bakera これは酷い…。ありえない話ですね。14日間で3万3千回のアクセス = 36.6秒に1回のアクセスですよね。システム会社に作らせたという図書館のシステムの方に明らかな問題があるように思えますし、警察・法曹の無知さ加減が最大の原因であることは言うまでもありませんね…。
吉田光男; AI bot; 8789 3967 8108 @ceekz
. @HiromitsuTakagi さんの話によれば捜査機関にアクセスログは提出済み。帰りに @milkya 君に聞いたところ、図書館の自由委員会(日本図書館協会)は本件に関して声明等を出すために検討中。まだ声明は出ていない。 #librahack
鈴木正朝 @suzukimasatomo
そこの歯止めとして、相場観があるのかなと質問してみたということでした。それがないということになると次の手を考えるべきだということになりますか。もしかすると法的論点ありか?刑法プロパーの登場を乞いたいですね。RT @HiromitsuTakagi
Hiromitsu Takagi @HiromitsuTakagi
@4416_310 そういう基礎知識のない方々と今話しているわけです。ちなみに、岡崎図書館の当該新着図書ページは、1日1回のバッチ処理で静的ページ化する実装もあり得たでしょう。(新着図書ページのアクセスが多いことを知れば) #librahack
@tt__
POSTしてくるのはbaiduじゃなくてnaverかなんかだった気もする。
吉田光男; AI bot; 8789 3967 8108 @ceekz
「ハック」を勘違いされたら(クラックとの混同)、「ライフハック」を例に説明すると通じやすいみたい。 #librahack
崎村夏彦 (=nat) @_nat
. @4416_310 @HiromitsuTakagi @suzukimasatomo 図書コードでの書籍情報のアクセスなんか、普通に考えたらキャッシュにのせるから、静的ページアクセスとの比較はあながち外れてないと思います。
佐藤慶浩 Yoshihiro Satoh @4416sato
趣旨はわかりますが、そのような人たちに「一秒あたり6000アクセスとか、普通に捌けます」を引用するのは誤解を招くと思います。 RT @HiromitsuTakagi: @4416_310 そういう基礎知識のない方々と今話しているわけです。(後略) #librahack
rryu🕴️ @rryu2010
例の図書館はやっぱり定期再起動運用の可能性が濃厚ですか。たぶん以前から定常的に止まっていて、検索エンジン避けをしないと1日以内に止まってしまうんじゃないですかね。
Hiromitsu Takagi @HiromitsuTakagi
@ceekz 今朝もtweetしましたが、飲み会で耳にした情報では、岡崎市は問い合わせが複数あったことから、回答を用意して真面目に問い合わせに回答する用意があるようです。アクセスログ提出状況についても尋ねてみるとよいでしょう。 #librahack
吉田光男; AI bot; 8789 3967 8108 @ceekz
教育委員会の下部組織である事、岡崎市が原課調達主義である事から、岡崎市立図書館の図書館システムは、市の情報専門部門の影響を受けずに導入した可能性がある。(上原氏) #librahack
水無月ばけら @bakera
@ohtsuki2843 実はそもそもアクセス頻度はあまり関係なくて、単に起動後に一定回数のアクセスを受けると動かなくなるシステムだった可能性が高いようです。robots.txtでロボット避けをしていますし、毎日再起動していたらしいという話もあります。
鈴木正朝 @suzukimasatomo
本件に関しては、構成要件にも該当していないと。どこが偽計なのかと、外形からも故意がないこと明かじゃないかと。警察に問題があったが故の不起訴処分でしょうという評価だとして、では、どこから危ないのか、それを見極める基準の明確化が再発防止策か?RT @HiromitsuTakagi
Hiromitsu Takagi @HiromitsuTakagi
@suzukimasatomo たとえば次を考えてみます。2001年にある国会議員が事務所のパソコンにウイルスメールを送りつけられたとして「議員に対するサイバーテロだ」と主張しました。しかし、誰も刑事事件にするべき事案だとは思いませんでした。なぜでしょうか。
@tt__
DoSの意図は皆無で現象としてもちょっとヘビーリロード気味だった、というだけで逮捕されるリスクがあることが問題なんであって技術論は本筋じゃない。ましてやマナー論とかどうでもいい。クローラ作者向けの自衛策か、法関係者へのロビー活動以外は井戸端会議な感じ。
佐藤慶浩 Yoshihiro Satoh @4416sato
図書館事件について端的なのは、@suzukimasatomo さんの http://bit.ly/9nU5Pg を支持します。
Hiromitsu Takagi @HiromitsuTakagi
@suzukimasatomo 「外形からも故意がないこと明か」< ないことが明らかではないですよね。正確には「故意がない可能性が十分に存在することが明らか」です。構成要件該当性については、法令解釈の誤りが蔓延しているのではないかという疑いを持っています。
大月 茂樹 @ohtsuki2843
@bakera ええ、ご本人さんの記述を拝見する限り、図書館システム側の問題が原因のようですね。セッション管理とコネクションプールの実装が貧相だったのではないかと。開発会社の技術力不足のとばっちりを受けた感が満載ですね…。ご本人がとてもかわいそうで言葉が出ません…。
吉田光男; AI bot; 8789 3967 8108 @ceekz
「図書館の自由委員会」の付いて追加。一部の委員が(私的に)情報収集をしているようだが、委員会として公式に検討を行っているか不明。先ほどのは、言いすぎですね。こちらも、別途問い合わせてみようと思います。 #librahack
@tt__
んでクローラの運用や開発に法的リスクがあるってことは、検索エンジンやらフィードリーダー、plagger、その他外部サービスへのアクセスが必要なすべてのサービスに莫大なリスクがあることになるので大雑把すぎだろみたいな。
鈴木正朝 @suzukimasatomo
「偽計」概念の不明瞭さと広範さ、動作阻害惹起行為の「その他の行為」の曖昧さ。故意の有無は逮捕してから、まさにストーリーにはめ込まれて自白でOKかもしれず。そこにマッシュアップの相場観形成の困難さがあれば、事実関係の把握に手間取る以上、逮捕が許容され濫用されるリスクも放置されるか。
佐藤慶浩 Yoshihiro Satoh @4416sato
昨日の石井先生の説明から、偽計を使ったことから DoS 攻撃ではないと警察が考えていたと推定してもよいのではないかと思います。そうなると DoS攻撃以外の業務妨害としての線引きとなり困難な領域となります。 #librahack
崎村夏彦 (=nat) @_nat
@HiromitsuTakagi @suzukimasatomo 逆に、図書館側の善管注意義務違反はあるような w いや、酒の上での発言なので気にしないでください。ただ、無闇に争いを起こすことに対するブレーキはあるべきだとは常日頃思っています。
@tt__
あーあと警告もなしにいきなり警察が来たってのも怖いな。重要なのに忘れてた。
水無月ばけら @bakera
@ohtsuki2843 そうですね。ただ補足しますと、このシステムにはASP版とASP.NET版がありまして、ASP.NET版の方ではいろいろ直っているようなのです。ひょっとすると、旧式のシステムを使い続けなければならない事情が何かあったのかもしれません。
Hiromitsu Takagi @HiromitsuTakagi
@4416_310 それはない。警察作成の調書の内容は「結果的にDoS攻撃になってしまいました」であり、「DoS攻撃」の文言は初めから用意されていたとのこと。 #librahack
rryu🕴️ @rryu2010
LIKEでの検索などにより一部処理の負荷が高いだけなら放っておけば回復するし、アクセスの少ない朝に再起動しても意味はないので、原因はリソースリークで確定っぽいですね。
前へ 1 ・・ 14 15 ・・ 21 次へ

コメント

椎路ちひろ @ChihiroShiiji 2010-07-16 11:31:26
追加。librahackタグがついてない分も拾いました。
椎路ちひろ @ChihiroShiiji 2010-07-16 11:35:30
ひ弱なサーバの比喩として挙がってたアイテムを追加w
椎路ちひろ @ChihiroShiiji 2010-07-16 11:44:29
紛れ込んでた関係のないTweetを削除。
椎路ちひろ @ChihiroShiiji 2010-07-16 17:49:06
若干、重複するけど14日以前の漏れを幾つか追加。(14日以前のリストが長くなりすぎて編集できなくなっているため。)
椎路ちひろ @ChihiroShiiji 2010-07-16 19:18:59
岡崎図書館の件( #librahack )Togtterで地味にTweet収集中。
椎路ちひろ @ChihiroShiiji 2010-07-17 12:02:11
研究会関連で #librahack のついていないTweetを追加。>岡崎図書館の件
椎路ちひろ @ChihiroShiiji 2010-07-17 13:11:50
昨日の研究会に関する@HiromitsuTakagi氏コメントの追加。
椎路ちひろ @ChihiroShiiji 2010-07-18 01:14:58
岡崎中央図書館とクロウラーで逮捕の件最新までTogetter収集。特に法の専門家関連でlibrahackタグが付いてないTweetも収集。
椎路ちひろ @ChihiroShiiji 2010-07-19 08:10:36
追加、@HiromitsuTakagiの取材報告も(「まとめ」は望まないというのはTogetterのことではなく要約/抜粋で誤解を生じることを懸念されたものだと思うので丸ごと入れています)。
椎路ちひろ @ChihiroShiiji 2010-07-26 15:51:40
岡崎中央図書館とクローラーの件。現在多忙につき19日以降の分を更新できていません。多分8月2日頃まで多忙の予定。
ログインして広告を非表示にする
ログインして広告を非表示にする