#librahack 岡崎市中央図書館ウェブサーバ事件 2010/9/18夜-9/20夜ハイライト
外部からの指摘を受けたのは、図書館M氏。7月20日に総務I氏に指摘を受けたメールを転送していることまで判明。メールの大まかな内容も入手済み。偽メールでない事の裏付けはこれからだが、別ルートで得ている情報と一致することから、今のところ信憑性は高いと感じている。 #LibraHack
2010-09-20 12:50:02#librahack つ 「アクセス巡回の自動化プログラムと業務妨害罪」4 刑法における課題: 電子計算機に対する…業務妨害罪は、一律に234条の2…についてのみ考慮すればたりるという解釈をとるべきように思います http://tinyurl.com/2d3h29g
2010-09-20 13:03:41あ、そうそう第2回の終わった後で@310_4416さんと「これじゃ石井先生出る幕なさ過ぎたしもう1回やらなくちゃかなぁ」と言ってたところ。今度は早めに高木さんのスケジュール押さえよう… #librahack
2010-09-20 13:20:56@librahack 確かにたとえばNNTPの中継転送で起きた事案なら成り立つでしょう。Webが同様かというと、検索エンジンのクローラなら同じ理屈が立ちそうですが、今回の事案は現時点では厳しいと思われます。将来はあり得るかと。今回の問題はそこではないのです。 #librahack
2010-09-20 13:38:18@librahack (続き)その主張は、まさに当初の図書館見解(三菱電機IS見解でもある)「5年前のシステムなのでマッシュアップは想定していなかった。今後対応していかざるを得ないのか検討する」をもたらす誘因。そして、刑事の側面での焦点はそこじゃないのです。 #librahack
2010-09-20 13:54:14@keikuma そういえば私が図書館に2回目の電話したのは7月20日。事実関係の聴き取りをした後、こちらから意見を述べた。内容は以下のとおり。「サーバのスペックの問題ではなくプログラムの欠陥が原因であり、確認する方法もある。業者に無償で直させることができ… #librahack
2010-09-20 14:04:39@keikuma …できるかは、そういう契約になっているかしだい。岡崎市は無償で直すべき欠陥と主張してよいと思う。欠陥があることの証明は次の方法でできる。cookieをオフにしたブラウザで人力で新着図書を30分以内に全部クリックしまくれば同じ症状が出るはず… #librahack
2010-09-20 14:08:00@keikuma …はず。改修方法はちゃんとある。業界の標準感覚で言うと2000件を30分で落ちるというのは普通ではない。保守の担当者はよくわかっていないだろうが会社はこれは失敗したと認識していると思う。欠陥と認めない場合に欠陥と主張するには岡崎市が言うし… #librahack
2010-09-20 14:14:10@keikuma …言うしかない。欠陥の証明は他の業者に検査させればよい。そういう事業者はたくさんある。今回の事例は特殊事例なのでたとえばLAC社ならば対応してくれるのではないか。」というような内容。 #librahack
2010-09-20 14:18:12@keikuma #librahack 7月20日までに欠陥を図書館が知っていたのなら、やっぱり9/1の見解は信用毀損罪に当たりませんか? 司法詳しい人求むー
2010-09-20 14:24:23@keikuma その日は時間が十分でなく、後日電話取材があったので、そのとき述べたかもしれません。しかしそれ以前に神田記者は公開されている全情報を把握されていたようでしたので、前田さんのブログ内容は把握されていたでしょう。その解説はしたかもしれません。 #librahack
2010-09-20 14:24:41@HiromitsuTakagi なるほど。メール内に、このやり取りがあったので事実関係を確認しておきたかったのです。ありがとうございます。 #LibraHack
2010-09-20 14:27:09@keikuma それから、7月20日の図書館への電話で、LAC社の話をしたとき、M氏は「記者からの取材でもその会社名が出た」と述べていました。そういえば、後日そのことを神田記者に話した際、ちょうど同じ日に取材をしたと聞いたような気がしますが、記憶違いかも。 #librahack
2010-09-20 14:30:20@HiromitsuTakagi このメール。内容から言って、ほぼ間違いなく神田記者からのメールだと思います。私が入手したのは、M氏から総務I氏に転送されたメールの内容ですが。 #LibraHack
2010-09-20 14:34:17メールの内容。今回の事件に関する調査を進めている。LibraHack氏のプログラムについて専門家に分析を依頼しており、LAC社から以下の様な回答を得た。「(LibraHack氏の)プログラムは一般的なクローラー」 #LibraHack
2010-09-20 14:46:34続き)「このプログラムの仕様でサーバに掛かる負荷は、同社がウェブサイトが正しく動作しているかどうかを診断する場合にかける負荷の半分以下」「仮にこの程度の負荷でサーバーが重くなったり落ちたりしてしまったとすれば『サイトに問題がある』と指摘するレベル」 #LibraHack
2010-09-20 14:46:45続き)「データベースサーバへのコネクションを巡って何らかのバグが放置されている可能性が高い」「このまま放置した場合、図書館や利用者が不利益を被る可能性が高い」「公的サービスでもあるので、サーバを管理している会社にバグがないかの確認を求めた方が良いのでは」 #LibraHack
2010-09-20 14:46:55これらの指摘に対応して、MDISに対する質疑があって然るべきだと思うのだけれども、@Vipper_The_NEET の開示請求で出てこなければ、1)隠している 2)あえて文書にしなかった 3)訊かなかった のいずれかということになるが、いずれにしても問題だ。 #LibraHack
2010-09-20 15:14:46この頃にはWebや取材などを通じて、図書館システムのプログラムの欠陥の可能性について、認識していてもおかしくは無かったわけですが、情報を入手し、共有していた事実を明らかにできた意味はあると思っています。 #LibraHack
2010-09-20 15:19:22@kozawa 他の問い合わせ等のやり取りが作業報告書に現れるのと比較すると不自然ですよね。 #LibraHack
2010-09-20 15:51:36#librahack 貼りました。 http://www26.atwiki.jp/librahack/pages/24.html#id_9a8d1ee6
2010-09-20 15:53:39#librahack アクセスの量を抜きにしても説明できるところが今回の問題の一つかと。つまり:1)サーバ不調時に特定のアクセス 2)プログラム改修後も同一のアクセス 3)IP遮断後も同一のアクセス → 逮捕 の流れ。警察は特に「大量」が何だとかは考慮していないように見える。
2010-09-20 15:53:55@keikuma keikumさん入手の情報公開の資料だと、都度接続(不要セッション解放も含む)版への入れ替えのモジュール投入は7/29ですよね。。。そういう流れはあったのですよね、きっと #librahack
2010-09-20 16:28:14