岡崎市立中央図書館へのアクセスはDoS攻撃だったか？
http://www.in-law.jp/bn/2010/index-20100716.html

高木浩光さんが岡崎市立中央図書館事件で容疑者となったプログラム作者の方（中川さん）と連絡を取って事件の経緯を紹介。
なんで高木さんが連絡をとれたかというと、中川さんのtwitterアカウント@librahackから高木さんのアカウントだけがフォローされていて、高木さんがdirect messageを送ったところ中川さんからメールで連絡があり、事件の経緯を教えてもらえたとの事。

中川さんのTwitterアカウント
http://twitter.com/librahack
中川さんが事件の経緯をつづったブログ
http://librahack.jp/

岡崎市立中央図書館
http://www.libra.okazaki.aichi.jp/index.htm

高木さんの説明を自分なりにまとめ。

• • • • • • • • • • • • • -

中川さんは日頃から岡崎市立中央図書館をよく利用していた。
図書館のサイトに新着図書紹介のページがあり、そこで新着図書をチェックしていたが、そのページがつかいにくかった。図書が10カテゴリくらいに分類されており、さらにページを3階層くらいたどって行かないと本の詳細情報にたどり着けない作りだった。しかも入荷日が書かれていないのでどの本がいつ入ったのかわからない。
そこで新着図書ページに毎分1回アクセスしてデータを取得し、自分のDBに保存するプログラムを作った。そのデータをつかっていずれサイトを作るつもりだった。（実は http://librahack.jp/ はその為にとったドメインだったらしい）
プログラムを作って動かし続けていたら、ある日図書館サイト側のURLが変わった。今まで 202.html と静的なURLだったのが 202.x.htmlと動的に変化するようになった。中川さんはそういう仕様になったのだと思って、新着図書ページのトップからURLをたどるようにプログラムを変更した。
その後、中川さんはプログラムをさくらインターネットのサーバーにアップして動作させることにした。しばらく問題なく動作していたが、ある日図書館のサイトにアクセスできなくなった。中川さんは「さくらに止められたらしい。さくらはちょっとした事ですぐ止めてしまうから」と思った。レンタルサーバーで動かすのは無理かもしれないと考えて、また自宅で動かすことにした。
するとある日、警察がやってきて逮捕される事になってしまった。

中川さんは拘留されてから図書館側で起こった出来事を知った。自分のプログラムからのアクセスが原因で業務が止まっていたとは知らなかったそうだ。
実はURL変更とさくらからのアクセス遮断は図書館側の対策だった。URL変更をした時点ですでに業務に問題が出ていた。
さくらからアクセスできなくなったのは図書館側がIPアドレスでのアクセス制限をしたからだった。その後自宅からのアクセスが弾かれなかったのは。自宅のプロバイダが地元のものだったため。図書館はさくらのIPは地元のものでないから弾いてもいいと判断したが、地元のプロバイダのIPは弾く事はできないと判断したらしい。確かに図書館が地元のプロバイダを弾いたら、多くの利用者がホームページを見られなくなり余計業務に支障が出るハメになる。

図書館側、警察側はIPアドレスをいったん弾かれたのにそれでもIPを変えて、しかも今度は動的IPでアクセスしていた、という点から故意に業務妨害をしようとしていたと考えたらしい。
また、警察が中川さんのPCを押収した際に「LibraHack」というロゴが見つかったのも印象が悪かった。「やっぱりハッキングだ！」と思われたらしい。ロゴは http://librahack.jp/ で使うつもりで作っていたものだったそうだ。笑えない。。。
「LibraHack」のHackはクラッキングの意味では無い、「ライフハック」などの意味だと説明したところ納得してもらえたらしい。
また、プログラムを作成、動作させていた経緯を説明したところ徐々に故意ではないと理解され、起訴猶予処分で釈放になった。

• • • • • • • • • • • • • • • • • • • • • • • -

高木さんの話のまとめおわり。

座談会のなかで「中川さんは捕まらなくて済む方法はなかったのか」という話題があった。
弁護士の落合洋司さんがコメントしていたが、被害届が出されてしまったら逮捕を逃れるのは難しいだろうとのころだった。

聞いた感想としては、本当に不幸な事件だなあと思った。
おそらく中川さん、図書館、システム業者、警察の誰にも悪意はなかっただろうと思うし、誰もこんな騒ぎを望んでなかったと思う。

また、この岡崎市立中央図書館事件について言及しているプログラマーたちは「IPアクセス制限すればいいじゃん」という発言をしている人が多い。しかし地元プロバイダの動的IPからのアクセスとなっては公共図書館がプロバイダごと弾く判断をするのは難しいと思う。

今回の件では図書館と中川さんの間を結びつける情報がなにもなかった。図書館はアクセスログからでは中川さんの意図はわからない。悪意があると思ってしまったかもしれない。
図書館は相手を特定する事すらできないから困って警察に連絡したら捜査をするために被害届が必要ですといわれ、被害届を出したら相手が逮捕されてしまった。そしたら特に悪意もない利用者だった、ということなんじゃないだろうか。

Webサイトをスクレイピングするプログラムを作るプログラマーが逮捕されない為の自衛策としては、「固定IPからアクセスする」ように心がけたほうがいいかもしれない。
今回の件でもさくらの固定IPは弾かれている。古いシステムでも固定IPへの対策は用意にできる。
IPを弾かれたらサイトの持ち主に「すみません、弾かれたIPの持ち主です。」と名乗って悪意がない事、利用方法や目的の説明ができる。
またスクレイピングしたデータを利用したサイトを公開する際はサイト内に自分への連絡先を明記しておくべきだと思う。そうしておけばスクレイピング先が迷惑に思ったときに警察ではなく自分宛に連絡して貰えるはず。

今回は中川さん側からの情報だけしかなく、岡崎図書館側の言い分がまったくわからなかった。
岡崎図書館の方の話も聞いてみたい。
でもこんな技術者ばかりのアウェイで話してなんかくれないだろうから、図書館関係の団体の会合の場などででもそういう機会があればいいと思う。