岡崎市立中央図書館の事件について考える

詳細はTwitterでのハッシュタグ #librahack と、逮捕された容疑者がまとめられている下記サイトを参照


Librahack : 岡崎市立中央図書館HP大量アクセス事件まとめ http://librahack.jp/

Twitter / Search - #librahack http://twitter.com/#search?q=%23librahack


ということで、この事件、結局不起訴に終わったようなのですが、正直よくわかりません。 自分のわからないことを整理するために、Twitterのハッシュタグ #librahack 経由で拾った情報を追いかけつつ、システム作り顧客に納品するという仕事をしている立場から、推測に推測を重ね、思うことを書いてみようと思います。

なお、

  • 攻撃を受けたとされるシステムは図書館の資産
  • システムの保守は管理会社に委託

という前提です。

疑問点

私が疑問に思っている点は1点。 警察に被害届を出すまでにシステムを運用している会社と図書館の間でどのようなやりとりがあったのか、です。 しかしながら、攻撃を受けた側の情報が圧倒的に不足していて、あるのは作った会社の情報と推測、憶測ばかり…。 攻撃を受けた側から引き出した情報としてあったのは、下記の記事でした。 ↓

1. サーバの不調について、管理会社に調査してもらった 2. 管理会社の調査で、外部からの攻撃が判明 3. 警察に被害届を提出 4. 私(電話に出られた担当の方)が知る限り、警察からは2,3回、問合せがあった 5. サーバの調査等は、私が知る限り行っていない 6. 令状を持った捜査が行われたことは無い 7. 逮捕は報道で知った
サーバ管理者日誌 岡崎市立中央図書館に電話してみた

私が想像していたのは、システム側でアクセス遮断とか対策を施したんだけど、それでもしつこく攻撃されるから、警察に被害届を出した…という流れです。 上記2.と3.の間に、図書館が主体となってしかるべき判断なり対策があるべきだろうと。 しかし、上の内容では、図書館が主体になって何もしていないのでは、という疑問を抱いてしまいました。 なにもしていないのに、いきなり被害届を出したのでしょうか。

もし自分が管理会社の担当だったら

  1. 「想定より多い量のアクセスがあった」旨、顧客に報告
  2. 「数カ所のIPアドレスからのアクセスのようです」などとアクセス分析
  3. 「対象のIPアドレスを持つプロバイダに問合せましょうか」と提案
  4. 「場合によってはアクセス遮断しましょう」と提案
  5. 上の作業について、お代はこれこれ…

システムを維持・管理している会社としては、もしかしたら、定型保守枠外の作業としてお金をいただくチャンスです。 私だったら、上の流れで図書館のシステム担当者に提案していると思います。

もし自分が図書館のシステム担当だったら

  1. 外部からの攻撃があったとの報告を受ける
  2. 他の利用者に迷惑かけている。どうにかならないか
  3. その攻撃を防ぐことはできませんか?
  4. 以下、管理会社のターン

図書館側としては、一般の利用者の利便を確保することが第一だと思います。 そのためにできることはなんでしょうと聞くでしょう。 知識があれば、上記管理会社に逆提案もできるかもしれません。

さて

ここでどういう行動を両者がとったのか、よくわからない。

librahack タグでの情報もこの辺は推測でしかありません。

しかし、図書館側の行動に主体性がない(ように見える)ことへの批判が見当たらないのが不思議です。

最後に

ここでは、

  • 1時間に3万アクセス程度で落ちるとはなんて貧弱な! どういう作りしているの?
  • HTTP500が発生しただけで「停止」扱いですか?
  • これだからコンピュータに詳しくないヤツが報道すると…

という観点からはなにも言いません。

日経のIT Proあたりに事件を取材していただいて、報道してもらいたいです。