最近ネット上を賑わしている「岡崎市立中央図書館HP大量アクセス事件(通称Librahack事件)」をご存じでしょうか。この事件は岡崎市立図書館のホームページ(HP)に「機械的に大量の」アクセスをし、ホームページの閲覧を困難にしたとして、ある男性が2010年5月25日に逮捕されたというものです。このことは5月26日付けで主要各紙が一斉に報じましたので、ご存じの方もおられるかと思います。

 この事件、報道時からヘンだな、と思った人は少なくないようです。特にサービス不能攻撃(DoS攻撃)にしてはアクセス頻度が秒1回程度と低く、この程度で障害が発生するようなシステムの構造に疑問が残ること、そしてこの男性が業務を妨害するような動機があったように報道されておらず、個人的にホームページのデータを機械的に取得しようとしただけに見えること、この2点には疑問を持つ人が多く、ネット上でも話題になりました(参考情報)。

 その後、2010年6月下旬に、この男性ご本人が20日間の勾留を経て不起訴処分(起訴猶予)となり、事件について報道されなかったいくつかの情報をご自身のサイト上で明らかにしました(参考サイト)。この参考サイトのURLから、本件は通称Librahack事件と呼ばれ、この男性自身もツイッターのアカウント名などからlibrahack氏と呼ばれています。

 librahack氏の言によれば、明確な意図を持って図書館の業務を妨害しようとしたわけではないにもかかわらず、突然逮捕し勾留されたそうです。Webサービスにおいては、クローリングやマッシュアップと呼ばれる、公開Webサイトのデータを機械的に取得する手法は広く一般的に行われています。ということは、このような技術を用いている多くの技術者にとって、本事件はまさに明日は我が身です。

 このため、一気にネット上の議論が過熱していきました。特に、技術的な論点を中心にした考察は前田勝之氏の「サーバ管理者日誌」の一連の記事や、独立行政法人 産業技術総合研究所の高木浩光氏の「自宅の日記」などで行われています。法的観点に関しては、デジタルフォレンジック研究会のコラムに掲載された千葉大学の石井徹哉教授の解説が参考になるでしょう。ネット上の議論は主にツイッターのハッシュタグ「#librahack」を中心に進み、これらを含めたさまざまな情報は杉谷智宏氏が管理されているまとめサイトに集められています。

 本件は、さらに一般マスコミでも問題視されるようになりました。まず、簡単な事実関係について日経コンピュータの「動かないコンピュータ」で記事になりました(2010年8月4日号「岡崎市立中央図書館 - 検索システムが過負荷でダウン 利用者が逮捕される」)。そして2010年8月21日には、朝日新聞の名古屋版朝刊、他地域では同日夕刊での報道によって、図書館の情報システム側に問題があったことが報道されました(朝日新聞の関連記事1関連記事2関連記事3)。

 背景には、多くの問題が山積みになっていると思います。ざっと思いつくだけでも、一般技術者にとってのWebサイトへの自動アクセスのあり方や、不幸にして警察に逮捕されたときに取るべき対処、などが挙げられるでしょう。公共図書館や自治体にとっては、ITシステムの調達や管理のあり方、ソフトウエアベンダーやシステムインテグレータにとっては、カスタマイズを前提にした業務パッケージの品質管理問題などが挙げられるでしょう。このいくつもの問題の中から、本稿では警察を含む法執行機関の問題について少し述べてみたいと思います。