パスワードを忘れた? アカウント作成
230971 story
セキュリティ

図書館Webサイトへのクローラを実行して逮捕された男性、不起訴に 155

ストーリー by hylom
詳細が本人から 部門より

あるAnonymous Coward 曰く、

先日、図書館のウェブサイトに3万3千回アクセスした男が業務妨害容疑で逮捕されたという事件があったが、その後逮捕された男性は不起訴処分(起訴猶予処分)となったそうで、本人が事情を説明するサイトを立ち上げている(Librahack : 岡崎市立中央図書館HP大量アクセス事件まとめ)。

男性は問題となった岡崎市立中央図書館のヘビーユーザーであり、図書館の新着図書ページが使いにくかったために図書館のWebサイトをスクレイピングして自分用に使いやすいデータベースを作成することが目的だったとのこと。また、サーバー側の負荷も考えてクロールする頻度等を決めたとのこと。おなじみ高木先生のコメントなどを含むTogetterまとめはこちら

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 巧妙な罠か! (スコア:5, おもしろおかしい)

    by s02222 (20350) on 2010年06月21日 22時04分 (#1783327)
    やべぇ、タレコミ中で紹介されてる事情説明ページを開いたら、「Service Temporarily Unavailable」が出た。今度は俺が逮捕されちゃうorz
  • 少なくとも (スコア:5, すばらしい洞察)

    by Anonymous Coward on 2010年06月21日 22時12分 (#1783329)

    実名報道はやりすぎだし、20日の拘留もやりすぎ

    逃亡の恐れはないし、証拠だって押収してるんだろ

    • by Anonymous Coward on 2010年06月22日 5時18分 (#1783447)

      4件見つかったけど、どこにコメント付けていいか迷ったのでここな。

      お前ら、こうりゅうこうりゅう言う前にちゃんと辞書引けや。

      勾留……容疑が決まるまで身柄を拘束すること
      拘留……刑罰

      だ。ちゃんと使い分けろよ。

      親コメント
    • by leftwing (37789) on 2010年06月22日 2時01分 (#1783428) 日記

      やりすぎかどうかは、逮捕前の岡崎市と犯人とのやりとりなどが分からないと判断できないと思います。

      公務員的発想からすると、普通は犯人が分かったら警告を出すと思います。一旦刑事事件となったら、他に仕事もあるのに警察・検察の取調べにも応じなければならなくて面倒ですし、また刑事告訴は通常市長の決裁が必要とされるので、内部手続きも面倒だからです。

      だから、刑事告訴をしたというのは、よほどの事情があるのではないかと思うわけです。それが何なのかは分かりませんが。

      親コメント
      • Re:少なくとも (スコア:5, 参考になる)

        by Anonymous Coward on 2010年06月22日 16時36分 (#1783817)

        刑事告訴をしたというのは、よほどの事情があるのではないかと思うわけです。

        岡崎市立中央図書館に電話して確認しました。

        • 刑事告訴はしていない。警察署に被害届を出しただけ。あとはすべて警察がしたこと。
        • 犯人への警告はしていない。そもそも犯人が誰かを調べる方法がない。
        • 警察からは何も知らされず犯人が逮捕されたことを報道で知っただけ。

        とのこと。

        親コメント
      • by cassandro (6035) on 2010年06月22日 7時03分 (#1783452)

        > だから、刑事告訴をしたというのは、よほどの事情があるのではないかと思うわけです。

        刑事訴訟法239条の2でしょうね。「官吏又は公吏は、その職務を行うことにより犯罪があると思料するときは、告発をしなければならない」、事情がどうのと言うよりは、犯罪を告発するのは公務員の義務ですから。

        実際に威力業務妨害の様な事になった訳ですからそりゃ告発はするでしょうけど、なんで威力業務妨害の様な事になったのかの事情については考慮の余地があった訳です。しかしそれが分からなかったと言う点で図書館当局に問題があったと考えますね。まあ、問題があるから「インターネットからの攻撃だあ!」で告発、そういう図式でしょうが。

        親コメント
    • Re:少なくとも (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2010年06月21日 23時28分 (#1783360)
      起訴しないからこそ期限いっぱいまで拘留するのだと思うよ。

      ・逮捕したものの問い詰めたらすぐに有罪にできないと分かったので釈放した
      ・十分な証拠を固めるべく頑張ったけど、拘留期限内に起訴するだけの材料を揃えられなかった
      どちらが真面目に仕事しているように見えますか? 世間的には後者だと思いますよ。
      前者は誤認逮捕とか、逮捕は行き過ぎなどという批判を受けなければなりませんが、後者なら犯人がずる賢く力及ばずでしたということで批判されないもの。

      #なぜか日本では、己が能力が未熟であることを言い訳にしたほうが、潔く見えるらしい。
      親コメント
      • Re:少なくとも (スコア:2, 参考になる)

        by NAZZ (13040) on 2010年06月21日 23時58分 (#1783374) 日記
        ・最初から不起訴になると分かってたから嫌がらせでめいっぱい拘留した

        #そんなこと無いよね・・・?
        親コメント
      • by leftwing (37789) on 2010年06月22日 1時41分 (#1783421) 日記

        起訴猶予処分とは嫌疑が十分な場合の不起訴処分のことをいいます。起訴をすべく証拠も固めたけど、諸般の事情(たぶん本人が反省していることとか、罪状も軽いことなど)から起訴猶予処分にしたと思われます。

        だから、私は親コメントが妄想の産物にしか思えないのですが、すばらしい洞察ですか。はぁ。

        親コメント
        • まあ被害を与えちゃったわけですから でも明日は我が身という可能性は…大ですなあ
          --
          _( (_´Д`)_ おざなりさん
          親コメント
        • Re:起訴猶予処分 (スコア:1, 参考になる)

          by Anonymous Coward on 2010年06月22日 3時07分 (#1783439)
          公判維持できそうに無い/有罪取れそうに無い嫌疑不十分な時にも
          相手がしおらしく反撃してきそうに無い場合には
          警察検察の面子のために起訴猶予はしょっちゅう使われていますよ。

          ま池乃めだかの「今日はこれぐらいにしといたるわ」みたいな笑い所ですな。
          親コメント
        • by Anonymous Coward on 2010年06月22日 3時20分 (#1783440)
          この事件は本来、嫌疑不十分とすべきでしょう。
          しかし容疑者以外の各方面のメンツを守るために起訴猶予処分にしたのでしょう。
          そういうことは、よくあるようですよ。

          容疑者が当該サーバにアクセスした証拠はバッチリあるでしょうし、容疑者もそれを認めたのでしょう。
          しかし、それで嫌疑が十分かというと、そうではないと思いますよ。実際に裁判したら有罪になりそうもないし。
          もし、図書館にサイバー攻撃を仕掛けるゾなどという日記が証拠としてあれば、嫌疑十分でしょうけどね。
          親コメント
          • Re:起訴猶予処分 (スコア:3, 参考になる)

            by Anonymous Coward on 2010年06月22日 5時07分 (#1783446)

            起訴猶予も不起訴も、本質は一緒

            検察は裁判をすることを避けたのだから、被疑者は本当に無実でももはやそれを証明してもらうことは
            できない。また、どのような証拠をもっても起訴猶予に対して不起訴にするように改めて求めること
            すらできません。

            親コメント
      • Re:少なくとも (スコア:1, 参考になる)

        by ozanarisan (24266) on 2010年06月22日 2時01分 (#1783427) ホームページ 日記
        お巡りが無能で説明するのに時間がかかったに一票(´ー`)なにせ以前、個人情報垂れ流してた不正公畜を告発した時に「Whoisって何?」とかNICとnicの違いとか説明するのに大変でしたから それも生活安全課どころか(´ー`)知能犯の刑事二課で静岡県警沼津署ですけどね
        --
        _( (_´Д`)_ おざなりさん
        親コメント
    • そうは思わないけどな。取り締まる側が委縮してしまったら元も子もないので、大いに頑張ってもらいたい。もうちょっと勉強もしてほしいけどね。

      本当の問題は補償制度だと思うんだ。刑事補償法で1日当たり1000~12,500円しか補償されない。実際には逮捕抑留された時点で社会的にこうむる不利益は非常に大きく、職を失ったり、業務上の損害を被ったりする。到底、1日12,500円で補償できるはずも無く、1桁少ないんじゃないかと思う。もしくは業務上の損失額は別に計上して支払うとか考えたほうがよい。

      親コメント
  • 三菱グループ製 (スコア:5, 参考になる)

    by Anonymous Coward on 2010年06月21日 22時19分 (#1783332)

    この一連の流れの発端となった「使いづらい」といわれている図書館情報システムは三菱電機インフォメーションシステムズ社 [mdis.co.jp]製だそうです。
    同社のウェブサイトに採用事例 [mdis.co.jp]として書いてあります。
    (web魚拓 [megalodon.jp])

  • ざっと読んだ感じでは、以下のような顛末かと。

    2000ページの新着図書データを約30分で全て吸い上げる = 1秒に1回程度のアクセス [librahack.jp]を1ヶ月に渡ってほぼ毎日行っていたところ、図書館側で、HTTP 500 Internal Server Errorが21回発生 [librahack.jp]。

    このInternal Server Errorは一度発生するとサービス停止状態になる種のもののよう [librahack.jp]で、図書館側は発生するたびに再起動を実施、一方クローラーはHTTP 500が出ても気にせずにデータ取得を試み続けた [librahack.jp]。

    で、逮捕に至るわけですが、上記以外にも以下の辺りが状況を悪化させてそうな気がする。

    個人的には、これで逮捕に至るってのはちょっと強権的すぎる気がするなぁ。

    図書館からの訴えを受けて事情聴取して「今度、今回みたいなアクセスをして図書館から訴えられたら逮捕しちゃうぞ。」って注意して返すので十分なんじゃないのかなぁ。誰かの命がかかってるわけでもないんだし。やっぱ、アクセス33000回っていう数字が一人歩きしちゃったって印象だなぁ。

  • by Anonymous Coward on 2010年06月22日 2時39分 (#1783432)

    偽計業務妨害としての立件という意味ではつまるところ「サイトを潰す」とか「サイトの誤動作を狙う」とかいう意図があったかどうかに尽きます。
    端的に言って今回の場合、通報する前に図書館側がプロバイダ経由などでクレームを入れたかどうか、によって大きく話が違ってくると思います。
    クレームを入れていないのであれば、1秒1回のアクセスでいきなり逮捕状が出るというのは「サイトが落ちるほどのアクセスはまず悪意があると見なして逮捕してから事情を聴く」という方針だったことになりますが、サイトによって負荷耐性はまちまちですからこの方針で検察が逮捕状取るのは如何なものかと思われます。
    逆にクレームを入れていた上でやめなかったのであれば、既に「図書館の業務に支障を来している」ということを知っていた上でアタックしていたということになるため、「潰す気でやっている」という前提で逮捕状が出るのは妥当であると思われます。逆にここで逮捕状が出ないならどうやってDoSを逮捕すればいーの、ということです。

    今回の場合がどちらに該当するか分かりませんが、前者であれば検察の不見識を責められるべきですし、後者であればユーザ側が非常識です。流れ的には前者なんですかね。

    1秒1回ならいいの?1秒10回は?1秒100回は?というような議論はあまり意味がないですね。
    個人の家に1日100回電話するのとコールセンターに1日100回電話するのでは違います。前者なら10回もいかずに「やめてください!!」と言うでしょうしそのまま無視して100回いったら通報も有りでしょう。
    負荷に対する配慮がどうこうというのは今回の件では本質ではありません。図書館側の設計がプアだとかいう問題でもありません。純粋に「潰す意図があった、と判断されたのはどの点か」によります。

  • by Anonymous Coward on 2010年06月21日 22時06分 (#1783328)
    たった1人の自分のために・・・というのが良くなかったと思う。
    一般にサービス提供するプロジェクトなら、図書館に許可を得た上で、逮捕されることなく実施できたと思うのだが。
    • Re:自分専用いくない (スコア:3, すばらしい洞察)

      by cassandro (6035) on 2010年06月21日 22時13分 (#1783330)

      > 一般にサービス提供するプロジェクトなら、図書館に許可を得た上で、
      > 逮捕されることなく実施できたと思うのだが。

      「逮捕されない」には同意。何故なら図書館から許可が出ないから、その後の進展は無いから。自分のシステムが糞な所ほど、自分のシステムに妙な自信を持っているし、利用者の利便とかのメリットは理解出来ないのが通例。「何か得体の知れない会社が食い込んで来てる」と思われるのが落ち。

      # そういうのは役所と限らないと思うが。

      親コメント
    • by Driver (32138) on 2010年06月22日 10時47分 (#1783529) 日記

      そぉ?
      自分はPerlの勉強で、某新聞社の記事をスクラップする処理とか作ったことあるけど、勉強のためだったから許可なんかもらおうと思わなかったよ。
      動作確認できたら用は無くなるしね。
      でも、逆にそれを不特定多数に提供したら問題でしょう?
      ソースになる新聞社に許可を得れば良いだろうけど、広告とかいらないものバッサリ切って、記事のみ収集なんてやってほしい事じゃないよね。

      ユーザが広告見ない => 広告主が広告を出す意味がない => 新聞社が広告収入を得られなくなる

      って事だし。

      ※会社の偉い人が「その作ったやつでサービスを始めよう」なんて言い出して、「頭おかしいんじゃない?」って言ってしまったけど。

      親コメント
  • mixi (スコア:2, 興味深い)

    by Anonymous Coward on 2010年06月21日 22時52分 (#1783346)
    mixiのコミュニティ管理が使いづらいから、ユーザJSでAjax飛ばしまくって編集できるように作った。
    何度か修正→リロードして試してたら、突然うまく行かなくなった。
    JSの問題ではなく、「連続でリクエストがあったから制限する」云々なエラーが返ってきてたのに気付くまで、
    さらに何度かリロードしてしまっていた。

    気付かずにリロードし続けてたら、私もしょっ引かれたのだろうか。
  • 次は (スコア:2, おもしろおかしい)

    by pootrap (39505) on 2010年06月21日 23時03分 (#1783349)
    受け側の負荷を考慮してやろう。
    なんでもそうです。いきなり大きいのは入らないのです。
  • たれ込んだ人も編集の方も、何を根拠にこの人が本物だと判断されたのでしょう?
    昨日ぽっと出現したばかりのtwitterとWEBサイトを、みんなが本物だと信じ込んでいるのが気になります。

    逮捕されたご本人しか知らないはずの情報とか全然ないですよね。例えば僕が妄想で書いたって似たようなものを作れそうです。

    発表してから一日かけて記事を公開するとか、いたずらにしては手間をかけ過ぎだし、じゃあどんな情報を公開してくれたら信用するのよ?といわれたら困るのも事実です。

    その辺が気になるのでいろいろ問いかけているのですけど、librahack [twitter.com]のアカウントは、最初の発表以来全く会話が成立していません。

    貴重な情報ですから、是非とも本物であってほしいのですけど、この状況だと、本物かどうかは判断保留くらいにしておかないとまずいんじゃないのかなぁ、と思っています。

  • うちの社内の事例 (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2010年06月22日 8時33分 (#1783475)
    つい先日うちの同僚がとある社内のシステムにクローラアクセス(伝聞ですが 1回/秒,約600回)をしたところ、 後日社内情報システム部門方面から
    • そっちの部署から「機械でやったとしか思えない」攻撃を受けた(強張ったプルプル声で)
    • 問題発生事案としてエライ人会議にて公式に報告して,そちらの部署にも御達しがあるでしょう

    とか言われました。な、何を言っているのか分からねぇと(ry

    いやマジで意味がわからないので、「では何秒に一回ならいいのですか?」もしくは 「全体で何回までならいいのですか?」と聞いたのですが全く会話は成立せず…。 「機械によるアクセスは一度たりとも認められません」ですと。 たぶん自分で言っていることがサーバ・ブラウザやネットワーク上のデータとして どういう意味になるのか全く分かっていないんだろうな、 ヤレヤレと思っていたんですが、ほとんど同じようなレベルで いきなり警察沙汰とは恐ろしい世の中になったものですねぇ。

    # ちなみに、かなり大手のIT系企業のR&D所属です…orz (絶対AC)

    • by Anonymous Coward on 2010年06月22日 9時46分 (#1783503)
      ワームがわいているときにそのような内部のアクセスをすることがあるので、
      システム部門の対応としては正しいです。
      情報セキュリティとしての対応として、会社の上位層にエスカレーション
      するのも正しいと思います。

      企業風土にもよるかもしれませんが、情報システム部門を軽視するような
      他部門も多く、システム担当者から直接連絡をしてもまともに聞き入れない
      社員も少なくありません。
      そうなると上位層を経由して当該社員に通知しないと効果がありません。

      セキュリティの「セ」も知らないド素人の営業社員が、
      「おまえらなんでこんな制限するんだ。もっと自由にネット使わせろ!」
      と社内クレーマーとなったりして、何言ってんだと。

      こういう社員に自由に使わせたら大変なことを仕出かすにきまってる。

      話は戻して、社内システムの異常検知に引っかかりそうなアクセスをするときは
      システム担当者に事前連絡しておくというのが正しいですよ。

      話の流れから、「機械によるアクセス」とは、プログラムなどで機械的に
      繰り返しアクセスする行為のことを言ってると思いますし、それが単純に
      ブラウザによるアクセスの制限になるとか言う揚げ足取りは厭らしいな。
      親コメント
  • by rti (659) on 2010年06月22日 9時21分 (#1783494) ホームページ

    これは怖すぎ。
    クローラーを作るほうのガイドラインや、警告を行うほうのガイドラインが絶対に必要だろう。
    そうぢゃなければ、匿名串でもさしてやるか、海外で運用するしかないよね。。。

    この前、法律でやっとクローラーが合法化されたんだし、ここら辺も整備していただきたいなーと。

    --
    by rti.
  • サーバー負荷 (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2010年06月21日 22時38分 (#1783340)
    一秒に一回のリクエストが延々と続いたらちょっとやだな、
    と思った45歳。

    # 自分が仕込んでいる各種市況情報のクロールは一時間に1回だ。
  • Twitterに専用クライアントで
    (1回/分) * 60分 * 24時間 * 30日 = 43200回/月
    アクセスしたら逮捕されてしまうんでしょうか.ドキドキ.
    • by kno3 (9458) on 2010年06月22日 1時40分 (#1783420) 日記
      そういえばmixiでログイン時間をわからなくするために
      一定時間ごとにログインするフリーソフトがありますね。
      ./には自動巡回ソフトまたはcronでwgetしてる人もいそうですね。
      そんなんで逮捕されちゃうのはちょっと嫌ですが
      どこかにガイドラインてあるんですかね。

      ぐぐっても見つけられないヘタレだけどID
      親コメント
      • ストップウォッチ片手に実際にブラウザでアクセスしてみて、それと同じぐらいの時間間隔で取得に行くってのがラインでしょう。
        # なので、Twitterに1分1回ならありだけど、1秒1回はやりすぎじゃないかな。
        # 24時間もないよね。1日8時間でもヤリスギな感はある。

        APIが用意されてないサイトに対してクロールかけるときのガイドラインってそれぐらいじゃないのかな。
        人間相手のインタフェースに対して人間以上のアクセスかけたら、「これ攻撃されてる?」と思われても仕方がない気がー

        親コメント
  • by nipo (34616) on 2010年06月21日 23時55分 (#1783373)
    また岡崎市が変なことで有名になっちゃった。あーあ。

    しかし...
    3回に1回くらいService Temporarily Unavailableになる...
  • 自分が個人的に立ててるウェブサーバではそういうことほとんどして無かったわ。
    業務に使っているサーバはその前段のロードバランサで制御しているけど。
    今回の件も問題が発覚してからアクセス制限掛けるだけで対処できたんじゃないかと思うんだけどなんで警察が出る幕に。

    --
    屍体メモ [windy.cx]
    • これは、やってます。

      今、確認できないのだけど、問題の自称「技術系」の人はクエリーに直接パラメータを書き込んで結果を取り出そうとしていたみたいで、私のところにもそういった類いのが来ます。そこまではいいんだけど、パラメータに「ありえねーだろ JK」みたいなのを次々入れて来たり(要するに単純インクリメントで 25時から 99時も入れてくる)するので、システムに負荷が無くてもそういうのは IP レベルで遮断します。予防措置ですね。

      でも、相手がよく落ちるんだったら、それに合わせて自分のスクリプトを見直すのが本当の技術者。

      それができずにお灸をすえられても仕方ないんじゃないかな。

      親コメント
typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...