図書館Webサイトへのクローラを実行して逮捕された男性、不起訴に 155
ストーリー by hylom
詳細が本人から 部門より
詳細が本人から 部門より
あるAnonymous Coward 曰く、
先日、図書館のウェブサイトに3万3千回アクセスした男が業務妨害容疑で逮捕されたという事件があったが、その後逮捕された男性は不起訴処分(起訴猶予処分)となったそうで、本人が事情を説明するサイトを立ち上げている(Librahack : 岡崎市立中央図書館HP大量アクセス事件まとめ)。
男性は問題となった岡崎市立中央図書館のヘビーユーザーであり、図書館の新着図書ページが使いにくかったために図書館のWebサイトをスクレイピングして自分用に使いやすいデータベースを作成することが目的だったとのこと。また、サーバー側の負荷も考えてクロールする頻度等を決めたとのこと。おなじみ高木先生のコメントなどを含むTogetterまとめはこちら。
巧妙な罠か! (スコア:5, おもしろおかしい)
少なくとも (スコア:5, すばらしい洞察)
実名報道はやりすぎだし、20日の拘留もやりすぎ
逃亡の恐れはないし、証拠だって押収してるんだろ
まとめてtypo(「かぎこうりゅう」と「てこうりゅう」) (スコア:4, 参考になる)
4件見つかったけど、どこにコメント付けていいか迷ったのでここな。
お前ら、こうりゅうこうりゅう言う前にちゃんと辞書引けや。
勾留……容疑が決まるまで身柄を拘束すること
拘留……刑罰
だ。ちゃんと使い分けろよ。
Re:少なくとも (スコア:3, 興味深い)
やりすぎかどうかは、逮捕前の岡崎市と犯人とのやりとりなどが分からないと判断できないと思います。
公務員的発想からすると、普通は犯人が分かったら警告を出すと思います。一旦刑事事件となったら、他に仕事もあるのに警察・検察の取調べにも応じなければならなくて面倒ですし、また刑事告訴は通常市長の決裁が必要とされるので、内部手続きも面倒だからです。
だから、刑事告訴をしたというのは、よほどの事情があるのではないかと思うわけです。それが何なのかは分かりませんが。
Re:少なくとも (スコア:5, 参考になる)
岡崎市立中央図書館に電話して確認しました。
とのこと。
Re:少なくとも (スコア:1)
> だから、刑事告訴をしたというのは、よほどの事情があるのではないかと思うわけです。
刑事訴訟法239条の2でしょうね。「官吏又は公吏は、その職務を行うことにより犯罪があると思料するときは、告発をしなければならない」、事情がどうのと言うよりは、犯罪を告発するのは公務員の義務ですから。
実際に威力業務妨害の様な事になった訳ですからそりゃ告発はするでしょうけど、なんで威力業務妨害の様な事になったのかの事情については考慮の余地があった訳です。しかしそれが分からなかったと言う点で図書館当局に問題があったと考えますね。まあ、問題があるから「インターネットからの攻撃だあ!」で告発、そういう図式でしょうが。
Re:少なくとも (スコア:1, すばらしい洞察)
・逮捕したものの問い詰めたらすぐに有罪にできないと分かったので釈放した
・十分な証拠を固めるべく頑張ったけど、拘留期限内に起訴するだけの材料を揃えられなかった
どちらが真面目に仕事しているように見えますか? 世間的には後者だと思いますよ。
前者は誤認逮捕とか、逮捕は行き過ぎなどという批判を受けなければなりませんが、後者なら犯人がずる賢く力及ばずでしたということで批判されないもの。
#なぜか日本では、己が能力が未熟であることを言い訳にしたほうが、潔く見えるらしい。
Re:少なくとも (スコア:2, 参考になる)
#そんなこと無いよね・・・?
起訴猶予処分 (スコア:1)
起訴猶予処分とは嫌疑が十分な場合の不起訴処分のことをいいます。起訴をすべく証拠も固めたけど、諸般の事情(たぶん本人が反省していることとか、罪状も軽いことなど)から起訴猶予処分にしたと思われます。
だから、私は親コメントが妄想の産物にしか思えないのですが、すばらしい洞察ですか。はぁ。
Re:起訴猶予処分 (スコア:1)
_( (_´Д`)_ おざなりさん
Re:起訴猶予処分 (スコア:1, 参考になる)
相手がしおらしく反撃してきそうに無い場合には
警察検察の面子のために起訴猶予はしょっちゅう使われていますよ。
ま池乃めだかの「今日はこれぐらいにしといたるわ」みたいな笑い所ですな。
Re:起訴猶予処分 (スコア:1, 興味深い)
しかし容疑者以外の各方面のメンツを守るために起訴猶予処分にしたのでしょう。
そういうことは、よくあるようですよ。
容疑者が当該サーバにアクセスした証拠はバッチリあるでしょうし、容疑者もそれを認めたのでしょう。
しかし、それで嫌疑が十分かというと、そうではないと思いますよ。実際に裁判したら有罪になりそうもないし。
もし、図書館にサイバー攻撃を仕掛けるゾなどという日記が証拠としてあれば、嫌疑十分でしょうけどね。
Re:起訴猶予処分 (スコア:3, 参考になる)
起訴猶予も不起訴も、本質は一緒
検察は裁判をすることを避けたのだから、被疑者は本当に無実でももはやそれを証明してもらうことは
できない。また、どのような証拠をもっても起訴猶予に対して不起訴にするように改めて求めること
すらできません。
Re:起訴猶予処分 (スコア:1)
興味深い+1
しかし、結論を改めることができないというのは何だか恐ろしい。
被害届けの取り下げなんかも、もはやできないor無意味ということでしょうか?
Re:少なくとも (スコア:1, 参考になる)
_( (_´Д`)_ おざなりさん
Re:少なくとも (スコア:1)
そうは思わないけどな。取り締まる側が委縮してしまったら元も子もないので、大いに頑張ってもらいたい。もうちょっと勉強もしてほしいけどね。
本当の問題は補償制度だと思うんだ。刑事補償法で1日当たり1000~12,500円しか補償されない。実際には逮捕抑留された時点で社会的にこうむる不利益は非常に大きく、職を失ったり、業務上の損害を被ったりする。到底、1日12,500円で補償できるはずも無く、1桁少ないんじゃないかと思う。もしくは業務上の損失額は別に計上して支払うとか考えたほうがよい。
悪いのは警察官ではなくて判事 (スコア:5, すばらしい洞察)
それは見当違いです。
逮捕・拘留に関わる責任は逮捕令状を発行した裁判所/判事が負うのが筋です。
逮捕状請求や拘留延長請求に内容を吟味せずほいほいといわれるがままに令状を出してしまう判事が悪の元凶。逮捕手続きにおいて不適当な令状を発行した判事にはペナルティが課されるようなチェック制度が望まれます。
もし裁判所がチェック機関として正しく機能しているのであれば、逮捕請求する司法警察官はむしろアグレッシブにがんがん請求するのがあるべき姿でしょう。請求の半分くらいは拒絶される程度に逮捕請求したってよい。
まずは大手マスコミによる逮捕令状を発行した判事の実名報道が必要だと思います。逮捕される人間は実名報道されるのだからね。特に法律の上では特別な例外処理とされる10日間の拘留期間延長の請求を認めた判事は実名報道すべきと考えます。あまりにも無条件に拘留延長が認められている現状は異常です。
Re:悪いのは警察官ではなくて判事 (スコア:2, すばらしい洞察)
>逮捕手続きにおいて不適当な令状を発行した判事にはペナルティが課されるようなチェック制度が望まれます。
そんなだから有罪率99%とかになるんですよ。
逮捕=犯罪者みたいな扱いの実名報道をまず何とかすべきだと思いますが。
Re:悪いのは警察官ではなくて判事 (スコア:2, 興味深い)
まあ結局は全部ひっくるめて、かなぁ
裁判所他:ちゃんとチェックはする、ペナルティについては場合による?、あと裁判もね(色々)
警察:もうちょっと良い意味で、「容疑者」≠「犯人」としてどんどん逮捕請求と逮捕やりつつ、効率化と高精度化でかつ変な自白強要とかないように透明化
マスコミと世間:実名報道されても「容疑者」≠「犯人」じゃないことをちゃんとしつつ、もし逮捕され、かつ犯人じゃない場合に社会的なペナルティが極力0であるようにすべき
# ほんとは、犯行動機と刑罰とその後の社会復帰のからみも、もうちょっとどうにかなんないとあかん気はする
ただの戯言なのでID
M-FalconSky (暑いか寒い)
Re:悪いのは警察官ではなくて判事 (スコア:2, 興味深い)
緊急性が低く微妙な案件の場合、例えば政党ビラ配布で住居侵入容疑の名目で逮捕など、
警察は甘目の判事の順番を待って令状請求することもあります。
(例示ほど政治的案件だと、検察の指揮がないと警察も動きませんが)
判事にしてみれば、当番の日は深夜でも対応しなければいけません。
すべての法律に精通しているわけでもありませんし、多くの場合は、
適用法などの明かな間違いがなければ発行を拒否しないと思います。
そもそも逮捕や家宅捜索などは判決確定までの長い司法手続きの入り口に過ぎず、
途中で是正が可能であると考える裁判官は多いです。
Re:少なくとも (スコア:5, おもしろおかしい)
三菱グループ製 (スコア:5, 参考になる)
この一連の流れの発端となった「使いづらい」といわれている図書館情報システムは三菱電機インフォメーションシステムズ社 [mdis.co.jp]製だそうです。
同社のウェブサイトに採用事例 [mdis.co.jp]として書いてあります。
(web魚拓 [megalodon.jp])
Re:三菱グループ製 (スコア:2, 参考になる)
自称「@ITのコラムでよく炎上してた人」の生島勘富氏によれば、DB周りが酷いらしい。
岡崎図書館事件について
http://d.hatena.ne.jp/Sikushima/20100621/1277104805 [hatena.ne.jp]
LIKE検索は使ったらダメな場合もある - 全文検索について
http://d.hatena.ne.jp/Sikushima/20100622/1277165500 [hatena.ne.jp]
ちなみにこのシステム(三菱電機インフォメーションシステムズ)の納入実績。鳥肌モン。逮捕する相手を待ちごうてるわ。 http://www.asahi-net.or.jp/~gb4k-ktr/indexjv.htm#melil [asahi-net.or.jp] #librahack
http://twitter.com/Sikushima/status/16733918769 [twitter.com]
Re:三菱グループ製 (スコア:2, すばらしい洞察)
まあ、三菱電機インフォメーションシステムズは
関係者には MDIS って呼ばれてる気がしますね。
他に、三菱電機情報ネットワーク(MIND)って会社とか、
三菱電機インフォメーションテクノロジー(MDIT)っていう会社とか
があって、今ひとつどの会社が何を担当しているのかよくわかりません。
でも、顧客は基本的に三菱グループ各社のみなさんってことで共通です。
IInternal Server Error 21回発生→再起動実施21回→逮捕? (スコア:5, 参考になる)
ざっと読んだ感じでは、以下のような顛末かと。
2000ページの新着図書データを約30分で全て吸い上げる = 1秒に1回程度のアクセス [librahack.jp]を1ヶ月に渡ってほぼ毎日行っていたところ、図書館側で、HTTP 500 Internal Server Errorが21回発生 [librahack.jp]。
このInternal Server Errorは一度発生するとサービス停止状態になる種のもののよう [librahack.jp]で、図書館側は発生するたびに再起動を実施、一方クローラーはHTTP 500が出ても気にせずにデータ取得を試み続けた [librahack.jp]。
で、逮捕に至るわけですが、上記以外にも以下の辺りが状況を悪化させてそうな気がする。
個人的には、これで逮捕に至るってのはちょっと強権的すぎる気がするなぁ。
図書館からの訴えを受けて事情聴取して「今度、今回みたいなアクセスをして図書館から訴えられたら逮捕しちゃうぞ。」って注意して返すので十分なんじゃないのかなぁ。誰かの命がかかってるわけでもないんだし。やっぱ、アクセス33000回っていう数字が一人歩きしちゃったって印象だなぁ。
頻度はあまり問題ではなくて (スコア:4, 興味深い)
偽計業務妨害としての立件という意味ではつまるところ「サイトを潰す」とか「サイトの誤動作を狙う」とかいう意図があったかどうかに尽きます。
端的に言って今回の場合、通報する前に図書館側がプロバイダ経由などでクレームを入れたかどうか、によって大きく話が違ってくると思います。
クレームを入れていないのであれば、1秒1回のアクセスでいきなり逮捕状が出るというのは「サイトが落ちるほどのアクセスはまず悪意があると見なして逮捕してから事情を聴く」という方針だったことになりますが、サイトによって負荷耐性はまちまちですからこの方針で検察が逮捕状取るのは如何なものかと思われます。
逆にクレームを入れていた上でやめなかったのであれば、既に「図書館の業務に支障を来している」ということを知っていた上でアタックしていたということになるため、「潰す気でやっている」という前提で逮捕状が出るのは妥当であると思われます。逆にここで逮捕状が出ないならどうやってDoSを逮捕すればいーの、ということです。
今回の場合がどちらに該当するか分かりませんが、前者であれば検察の不見識を責められるべきですし、後者であればユーザ側が非常識です。流れ的には前者なんですかね。
1秒1回ならいいの?1秒10回は?1秒100回は?というような議論はあまり意味がないですね。
個人の家に1日100回電話するのとコールセンターに1日100回電話するのでは違います。前者なら10回もいかずに「やめてください!!」と言うでしょうしそのまま無視して100回いったら通報も有りでしょう。
負荷に対する配慮がどうこうというのは今回の件では本質ではありません。図書館側の設計がプアだとかいう問題でもありません。純粋に「潰す意図があった、と判断されたのはどの点か」によります。
自分専用いくない (スコア:2, 興味深い)
一般にサービス提供するプロジェクトなら、図書館に許可を得た上で、逮捕されることなく実施できたと思うのだが。
Re:自分専用いくない (スコア:3, すばらしい洞察)
> 一般にサービス提供するプロジェクトなら、図書館に許可を得た上で、
> 逮捕されることなく実施できたと思うのだが。
「逮捕されない」には同意。何故なら図書館から許可が出ないから、その後の進展は無いから。自分のシステムが糞な所ほど、自分のシステムに妙な自信を持っているし、利用者の利便とかのメリットは理解出来ないのが通例。「何か得体の知れない会社が食い込んで来てる」と思われるのが落ち。
# そういうのは役所と限らないと思うが。
Re:自分専用いくない (スコア:1)
>みんなにも便利なサイトを提供しようすれば自然に事前に許可をもらおうとするでしょう。
(二重の意味で)パブリックなサイトに対して、秒間1件程度のアクセスでわざわざ許可を得ようとは
私なら思いもしませんね。
Re:自分専用いくない (スコア:1)
そうなんだよね。
だけど、今回の事例からいくと
(不起訴ではあるけれども)
逮捕・拘留される可能性は否定出来ないんよね。
まだまだこれからも
「秒間1件程度のアクセス」で起こされた「サービス停止」は
起訴相当の行いなのかも。
Re:自分専用いくない (スコア:1)
そぉ?
自分はPerlの勉強で、某新聞社の記事をスクラップする処理とか作ったことあるけど、勉強のためだったから許可なんかもらおうと思わなかったよ。
動作確認できたら用は無くなるしね。
でも、逆にそれを不特定多数に提供したら問題でしょう?
ソースになる新聞社に許可を得れば良いだろうけど、広告とかいらないものバッサリ切って、記事のみ収集なんてやってほしい事じゃないよね。
ユーザが広告見ない => 広告主が広告を出す意味がない => 新聞社が広告収入を得られなくなる
って事だし。
※会社の偉い人が「その作ったやつでサービスを始めよう」なんて言い出して、「頭おかしいんじゃない?」って言ってしまったけど。
Re:自分専用いくない? だと? (スコア:1)
「あるリクエストを境に、Webサーバがデータベースサーバとのセッションを
確保できず、HTTP 500(内部サーバエラー)を送信」 したという事を把握
していたわけです。
自分のリクエストによってトラブルが起こりうることを認識しながら毎日
プログラムを動かし続けていたというのはちょっと行儀が悪いんじゃないかな
いきなりの逮捕は不当だと考えますが。
mixi (スコア:2, 興味深い)
何度か修正→リロードして試してたら、突然うまく行かなくなった。
JSの問題ではなく、「連続でリクエストがあったから制限する」云々なエラーが返ってきてたのに気付くまで、
さらに何度かリロードしてしまっていた。
気付かずにリロードし続けてたら、私もしょっ引かれたのだろうか。
次は (スコア:2, おもしろおかしい)
なんでもそうです。いきなり大きいのは入らないのです。
本人である証拠は? (スコア:2)
たれ込んだ人も編集の方も、何を根拠にこの人が本物だと判断されたのでしょう?
昨日ぽっと出現したばかりのtwitterとWEBサイトを、みんなが本物だと信じ込んでいるのが気になります。
逮捕されたご本人しか知らないはずの情報とか全然ないですよね。例えば僕が妄想で書いたって似たようなものを作れそうです。
発表してから一日かけて記事を公開するとか、いたずらにしては手間をかけ過ぎだし、じゃあどんな情報を公開してくれたら信用するのよ?といわれたら困るのも事実です。
その辺が気になるのでいろいろ問いかけているのですけど、librahack [twitter.com]のアカウントは、最初の発表以来全く会話が成立していません。
貴重な情報ですから、是非とも本物であってほしいのですけど、この状況だと、本物かどうかは判断保留くらいにしておかないとまずいんじゃないのかなぁ、と思っています。
うちの社内の事例 (スコア:2, おもしろおかしい)
とか言われました。な、何を言っているのか分からねぇと(ry
いやマジで意味がわからないので、「では何秒に一回ならいいのですか?」もしくは 「全体で何回までならいいのですか?」と聞いたのですが全く会話は成立せず…。 「機械によるアクセスは一度たりとも認められません」ですと。 たぶん自分で言っていることがサーバ・ブラウザやネットワーク上のデータとして どういう意味になるのか全く分かっていないんだろうな、 ヤレヤレと思っていたんですが、ほとんど同じようなレベルで いきなり警察沙汰とは恐ろしい世の中になったものですねぇ。
# ちなみに、かなり大手のIT系企業のR&D所属です…orz (絶対AC)
Re:うちの社内の事例 (スコア:2, 興味深い)
システム部門の対応としては正しいです。
情報セキュリティとしての対応として、会社の上位層にエスカレーション
するのも正しいと思います。
企業風土にもよるかもしれませんが、情報システム部門を軽視するような
他部門も多く、システム担当者から直接連絡をしてもまともに聞き入れない
社員も少なくありません。
そうなると上位層を経由して当該社員に通知しないと効果がありません。
セキュリティの「セ」も知らないド素人の営業社員が、
「おまえらなんでこんな制限するんだ。もっと自由にネット使わせろ!」
と社内クレーマーとなったりして、何言ってんだと。
こういう社員に自由に使わせたら大変なことを仕出かすにきまってる。
話は戻して、社内システムの異常検知に引っかかりそうなアクセスをするときは
システム担当者に事前連絡しておくというのが正しいですよ。
話の流れから、「機械によるアクセス」とは、プログラムなどで機械的に
繰り返しアクセスする行為のことを言ってると思いますし、それが単純に
ブラウザによるアクセスの制限になるとか言う揚げ足取りは厭らしいな。
Re:うちの社内の事例 (スコア:1, おもしろおかしい)
10分毎に ping を送って出社・在籍をこっそりしらべる
ツールをつくったなぁ。
気になるあの娘と気に入らない上司をモニターしてましたが、
上司がえらい働いていることがわかってちょっと見直しました。
ガイドラインが必要だろうJK (スコア:2, 参考になる)
これは怖すぎ。
クローラーを作るほうのガイドラインや、警告を行うほうのガイドラインが絶対に必要だろう。
そうぢゃなければ、匿名串でもさしてやるか、海外で運用するしかないよね。。。
この前、法律でやっとクローラーが合法化されたんだし、ここら辺も整備していただきたいなーと。
by rti.
サーバー負荷 (スコア:1, おもしろおかしい)
と思った45歳。
# 自分が仕込んでいる各種市況情報のクロールは一時間に1回だ。
3万3千回アクセス (スコア:1)
(1回/分) * 60分 * 24時間 * 30日 = 43200回/月
アクセスしたら逮捕されてしまうんでしょうか.ドキドキ.
Re:3万3千回アクセス (スコア:1)
一定時間ごとにログインするフリーソフトがありますね。
./には自動巡回ソフトまたはcronでwgetしてる人もいそうですね。
そんなんで逮捕されちゃうのはちょっと嫌ですが
どこかにガイドラインてあるんですかね。
ぐぐっても見つけられないヘタレだけどID
問題のないクロールのしかた(Re:3万3千回アクセス (スコア:2)
ストップウォッチ片手に実際にブラウザでアクセスしてみて、それと同じぐらいの時間間隔で取得に行くってのがラインでしょう。
# なので、Twitterに1分1回ならありだけど、1秒1回はやりすぎじゃないかな。
# 24時間もないよね。1日8時間でもヤリスギな感はある。
APIが用意されてないサイトに対してクロールかけるときのガイドラインってそれぐらいじゃないのかな。
人間相手のインタフェースに対して人間以上のアクセスかけたら、「これ攻撃されてる?」と思われても仕方がない気がー
Re:3万3千回アクセス (スコア:2)
http://watcher.moe-nifty.com/memo/docs/twitterAPI.txt [moe-nifty.com]
今は通常時なら150回/60分、条件によっては350回/60分くらいまでOKな模様。
ふにょふにょ (スコア:1)
しかし...
3回に1回くらいService Temporarily Unavailableになる...
Re:ふにょふにょ (スコア:1)
Re:ふにょふにょ (スコア:2, 参考になる)
ホームレス殺人事件
集中豪雨
純情きらり
交通事故県内ワーストワン(愛知県がワーストワンだからひょっとして全国最下位?なんて)
最低限iptablesとかで過剰な連続アクセスはブロックしておこう (スコア:1)
自分が個人的に立ててるウェブサーバではそういうことほとんどして無かったわ。
業務に使っているサーバはその前段のロードバランサで制御しているけど。
今回の件も問題が発覚してからアクセス制限掛けるだけで対処できたんじゃないかと思うんだけどなんで警察が出る幕に。
屍体メモ [windy.cx]
Re:最低限iptablesとかで過剰な連続アクセスはブロックしておこう (スコア:2)
これは、やってます。
今、確認できないのだけど、問題の自称「技術系」の人はクエリーに直接パラメータを書き込んで結果を取り出そうとしていたみたいで、私のところにもそういった類いのが来ます。そこまではいいんだけど、パラメータに「ありえねーだろ JK」みたいなのを次々入れて来たり(要するに単純インクリメントで 25時から 99時も入れてくる)するので、システムに負荷が無くてもそういうのは IP レベルで遮断します。予防措置ですね。
でも、相手がよく落ちるんだったら、それに合わせて自分のスクリプトを見直すのが本当の技術者。
それができずにお灸をすえられても仕方ないんじゃないかな。
Re:どっちもどっちでは? (スコア:2)
「DBを叩きにいくリクエストを毎秒発行して性能に影響が出ない」
が当たり前の考えの人って、実際あちこちで動いてるシステムを知らないんだろうなあとしか思えないってことでは。
たとえばATMから現金を引き出すときに「問い合わせ中」とか普通に2~3秒かかったりするんだけど、
そういうのを知ってて、1秒で終わらない可能性を考慮するくらいできません? みたいな。
ベタなHTMLやテキスト読むだけのCGIに対してF5するのとはちょっと違う。
今回の件は、経緯から考えればなおさらのこと。