岡崎市立中央図書館、Webサイトで発生した障害の原因を「大量アクセス」と発表 268
いくらネットで燃え上がっても伝わらない 部門より
偏向した90 曰く、
akiraaniの日記、はてブによると、岡崎市立中央図書館は9月1日「岡崎市立中央図書館のホームページへの大量アクセスによる障害について」とする文書を発表し、その中で、先ごろ同市内の男性が逮捕された同図書館におけるサービス障害の原因を「一般利用とは異なり、短時間に大量のアクセスが行われて」いたことであるとし、「利用者の方におかれましては、情報収集のために使われる手段が、他の利用者に迷惑をかけていないかどうかについて、ご配慮をお願いいたします。」としている。
この事件については、コンピュータ・セキュリティの専門家や朝日新聞などによる調査の結果、一定の条件を満たすと図書館側のサーバへのアクセスが10分以内に1000件程度という極めて低い水準であっても異常な動作が起こる不具合があり、サーバの処理能力がわずかしか使われていなくても利用不能となっていたことがすでに判明。「自作プログラムでのアクセスは問題」という趣旨の館長による発言が流れたこと、保守を担当している三菱電機インフォメーションシステムズ(MDIS)が問題点を把握し、保守契約を結んでいながらソフトの改修を行わなかった可能性があること、多くのUnix系OS環境や近年シェアを伸ばすMac OS Xに付属し、90年代から長く使われてきた自動化アクセスプログラムの性能上限を遥かに下回るアクセス頻度での逮捕であること、図書館から利用者や男性側に利用基準が通知されていなかったにも関わらず図書館側がアクセス頻度を主な問題としたこと、また男性の自動化アクセス時や異常時でもサーバは処理を正常に受け入れた信号などを返していたことなどもあって波紋を広げていた。
スラドでもおなじみ、セキュリティ研究者の高木浩光氏は日記でこの事件について解説している。何が問題なのかいまいちピンとこない、変なプログラム使わなきゃいいんじゃないの、という方は氏の解説をご覧になることをおすすめする。
もう一つ、「図書館の自由に関する宣言」の問題もある (スコア:5, 興味深い)
図書館の自由に関する宣言
第3 図書館は利用者の秘密を守る
これを、岡崎市立中央図書館は自ら踏みにじったことになるわけで、その点、身内からも批判されて然るべきだと思う。
/.edは通常の利用に入りますか? (スコア:5, すばらしい洞察)
通常利用とは異なる大量アクセスで迷惑をかける、という意味では /.ed なんてまさにその現象を表した言葉なんですが、
はたして/.Jにリンクを張った偏向した90氏およびhylom氏は逮捕されるべきであるか。
そして図書館の当該お知らせページを読むためにクリックした一人である私は逮捕されるべき?
というかお知らせのいやーな感じなのがココ。
ほらこいつ逮捕されたよ、こいつが悪いんだよ、僕たち悪くないよ、という印象操作していると言われてもしかたない文章ですね。
Re:これ公務員がやってはダメでしょう (スコア:2)
その前に、起訴猶予になったことを自慢げに書いていることが、どうかと思う。
今回の場合、証拠が足りないとは思えないし、図書館側の被害も有意だと思うから、
結局は、故意性を立証できないとか、図書館側に落ち度があったとか、そういう理由だろうから。
故意性を立証できないのは当然で、事前にできる対策、たとえば相手の利用しているISPやレンタルサーバ業者を介して連絡を取っていない。一般のネットユーザでも大量スパム送信者から迷惑を被れば、相手の契約しているISPに連絡することは珍しくないのに。もし、ISPが契約者に連絡しても止めなければ故意だといえたでしょう。
しかし、警察に相談する前に保守契約をしているMDISとよく相談するべきだったし、警察も任意の聴取を続けるべきだったでしょうね。(初日はまず任意の聴取だったが、夕方には逮捕してしまった)
まだ言うか (スコア:3, すばらしい洞察)
自分たちの落ち度で利用者が不当逮捕されるなんていう人権侵害事件(あまりこういう単語は使いたくないけど)を起こしておきながら、まだこんな発表をするなんてどういう神経してるんでしょう。
図書館業務の知識すらない木っ端役人上がりの人間 [libra-sc.jp]をいきなり館長にしたりするから、こんな常識はずれの対応ばかり出てくるんじゃないんでしょうか。悪意のない利用者と知りながら警察に引き渡して平然としていられるなんて、この男はどうせ図書館の自由宣言も知らないんでしょう。
Re:まだ言うか (スコア:4, 興味深い)
保身でしょう
国立国会図書館法に違反している
可能性が指摘されていますから
http://takagi-hiromitsu.jp/diary/20100811.html
Re:まだ言うか (スコア:2, 興味深い)
年を食った教育委員会のおっさんに何も役職付けないわけにはいかないんで、順番に館長にするんです。要するに、天下り的なポストですね。
図書館館長は便利で貴重なポストなんですよ。税金減らせとか公務員減らせとか声高に言う人でも、図書館減らせとはなかなか言いませんから。
それに天下ったおっさん方も、図書館なら本読んでるだけでいいし、世間的な評価も十分だし、と満足です。
なので、今回の事件も驚くに値しません。「図書館館長なんだから、図書館学・情報学に詳しいはず」なんて的外れな期待をみんな持ってるから変に見えるんですよ。
「検索とかデータベースとか何も知らない、ろくにパソコンを使うことすらできない年食ったおっさんが、何を間違えたか館長になってしまっている」と正しく捉えれば、全然不思議じゃない事態です。
#内情的にあれなのでACで
生きていることが罪なのか (スコア:3, 興味深い)
なんだか、犯罪者と一般人の境目がどんどん曖昧になってきている気がする。普通に生きているつもりでも、ちょっと目立ってしまったら、即逮捕されて犯罪者のレッテル貼られる。そして、レッテルを貼るのは簡単なのに、剥がすのは極めて難しい。
この事件で逮捕されちゃった人は、自らウェブサイトを公開することで、そこそこレッテルは剥がせたと思う。にも関わらず、警察も、図書館も、MDISも、自らの保身のために彼の剥がれかけた「犯罪者のレッテル」を張り直そうとする。
今回の件で、最も不当に評価を落とし、不必要な実害を被ったのは誰なのか。そして、自分自身が同様の事件に巻き込まれたとき、私はどの役で登場する羽目になるのか。それを考えると、今自分は知らない間にどこかで、ものすごく危険な綱渡りをしているのではないかと思えてくる。
最後に業務妨害罪幇助になりそうな一文を書き捨てて、このコメントを終わりにしようと思う。
どうやら7月にシステム改善を実施 [aichi.jp]してるらしいけど、 (←無断でリンクを張りウェブサイトへのアクセスや電話での問合せを誘発し、図書館業務の妨害を幇助した疑い)
どれくらい改善しているか確認した人はいるのかな。 (←新着図書データーベースへの大量アクセスを誘発し、図書館業務の妨害を幇助した疑い)
サーバー入替は来年の1月 [aichi.jp]らしいから、 (←同一ページへのリンクを複数張る事で、当該ウェブページへの大量アクセスを誘発する、極めて悪質な幇助行為の疑い)
2005年には想定外だった「秒間1件のアクセス」に、今のサーバーで耐えられるのかとても心配ですね。 (←システム上の弱点を公開し、図書館への攻撃を誘発し、図書館業務の妨害を幇助した疑い)
# これぐらいだと、まだ起訴猶予かな。
武蔵野市立図書館と私 (スコア:3, 興味深い)
ま、ちょっと古い話だからもういいか。冗長になるので数回のやり取りなどをまとめる。
武蔵野市立図書館のWeb検索を使っていたのだけど、検索結果の書名が長い場合に折り返さず、横スクロールバーが出ることが分かった。検索結果の各行に pre タグが挿入されていたのでその旨を連絡し、pre タグを外すようお願いした。
返信では pre タグが確認できないということだった。こちらで調べてみるとoperaでのみそれが追加されると分かったのでそのように報告した。
図書館による、開発元からの技術的な回答によると opera のバグであり、opera の開発元に問い合わせて欲しいとのことだった。勘の鈍い人でなければ、開発元が図書館の無知につけこんで騙していることがこの時点で分かると思う。
私はまず、本当にその回答を開発元がしてきたのかと確認した。結果、図書館による伝言ミスではないと確認できたので、私は以下を報告した。
よって Opera のバグではない。
最終的にはネスケの検索のときに文字化けを避けるために pre を追加しているということだった。また、図書館に誤った回答をした開発元には図書館から抗議しておくとのことだった。
今は直ったけど、図書館が無知につけこまれて悪徳会社の食い物にされているということがよく分かった出来事であった。
公共事業なんてどこも似た傾向があり、ソフトウェア開発でも似た傾向があるので、そのダブルコンボだとかなりのボッタクリが発生しているんだと思う。
LIVE-GON(リベゴン)
事実がどうであれ (スコア:2, すばらしい洞察)
なんでみんな怒っているの? (スコア:2, すばらしい洞察)
岡崎市に納入するものは、あの程度でいいってことになったんだから
仕事が楽になったじゃん。テストしなくて良いんですよ?
Re:なんでみんな怒っているの? (スコア:2)
ソースの使い回しの悪い面が
ハッキリ見えてしまったので
複雑だ。
Re:なんでみんな怒っているの? (スコア:1)
>> 問題が起きたら、不正利用者のせいにすればいいんですから
あえてネタにマジレスすると,最初からトラブルの真の原因を調べる気がゼロのバカにとっては,自分以外に責任を取らせることができれば相手は誰でも構わないんだよ.だから責任を押し付けられるのが利用者側とは限らない.
例えば,もし今後この館長の管理下のサーバに対して実際のDoS攻撃があった場合に何が起きるか?俺の予想では,このバカ館長の脳内では今回の事例が参照されて「経験豊富な俺にはわかるぞ.システム側が手抜きしたに違いない!」という結論になる.つまり開発した企業の責任にされる可能性があるわけだが,実はその程度で済めばマシで,ヘタすれば「悪意をもった開発者が,意図的にダウンさせる裏口を仕込んだ」とかいってタイーホされたりする危険性すらあるわけだ.
ということで,警察と館長がメンツを保っただけで,それ以外の人間は100%全員が理不尽なリスクを負わされているのが現状.こんなバカが館長やってる図書館には(オンラインだろうがオフラインだろうが)一切関わりになりたくないね.
お役所的な終わり方ですね。 (スコア:2)
lynx (スコア:2, おもしろおかしい)
インターネットの世界ではブラウザでアクセスしても逮捕されることがあるので、
自作のプログラムでアクセスするべきではないよな!
see
Lynxでアクセスしたら逮捕された? [srad.jp]
要するによくわからない (スコア:2)
図書館の人は、要するに、よくわからないんだと思う。
何やらシステムが悪いと言ってくる人もいるけど、言っていることがよくわからない。
よくわからないけど、よくダウンするから業者に調べさせたら、何やら大量アクセスしてる者がいると言われたから、警察に届けただけだ。
今でもよくわかっていないけど、起訴猶予になったということは、嫌疑はあるが起訴しないことにしたということだから、やましいことはあったんじゃないかな。
ま、いずれにせよ、自分のしたことは最良ではなかったかもしれないけど、間違ってはいなかったとしておいても大丈夫だろう。
パソコンおたくの甥にはおじさん間違ってるって言われたけど、何度説明されてもやっぱりよくわからないけど、行政のことは私の方がプロですから。
こんな感じ?
ついでに言うと、警察も、逮捕状を取った人は、あまりよくはわかっていないんじゃないかな。
よくわかっているのは、逮捕された人とMDISの技術の人と、高木さんの日記を理解している人。
Re:要するによくわからない (スコア:1)
>MDISの技術の人と、
ほんとかなぁ
図書館側というよりMDIS側の問題だと思う (スコア:2)
図書館は業者の言いぶんを真に受け転載しているだけで、
非難されるべきはMDISのほうだと思う。
図書館発表の原文 [aichi.jp]を見ると、
> 図書館が導入しているコンピュータシステムのソフトウエアを開発した会社に連絡し、
> 調査したところ、
> 本を検索したり予約したりする一般利用とは異なり、
> 短時間に大量のアクセスが行われていることがわかりました。
MDIS自身も同様の発表 [mdis.co.jp]を行っている。
> 弊社が納入しております図書館システムの一部で、大量アクセスによりつながらない、
> またはつながりにくい状態が発生
従ってMDISの上記ページから「お問い合わせフォーム」経由で意見を述べ、
MDISのほうから
「弊社のソフトウェアに不具合があり、
比較的軽い負荷をかけた場合でも大量アクセスがあったような状態になってしまい、
結果として利用者の方が逮捕される事態を引き起こしてしまいました。
逮捕された方には心よりお詫び申し上げます。
このような事態が二度と発生せぬよう、全社を挙げて製品の品質改善に取り組んで参ります」
と発表してもらえばいい。
そうすれば図書館側も
「業者からこのような連絡を受けました。
逮捕された方には大変な苦痛を与えてしまい、心よりお詫び申し上げます。
現在使用しているソフトウェアは応急処置で不具合を修正済みですが、
当初ソフトウェアの不具合を隠蔽した発表を行っていたことを重大に受け止め、
来年度からは別の業者の新たなシステムで運用することにいたします」
ということになるのでは。
図書館とMDISの間におかしな関係が出来上がっていなければ。
MDISが製品のバグを認めることはないかもしれないので、
図書館の方に「うまいこと業者に言いくるめられてますよ」と伝えるしかないのかな。
市民の意見じゃ公務員は動かないかもしれないので、
市議会議員に議会で質問してもらうとか。
大量アクセス (スコア:1)
> サービス障害の原因を「一般利用とは異なり、短時間に大量のアクセスが行われて」いたことである
たしかに、1ユーザーあたりのアクセス数では、秒間1アクセスは”他のユーザーに比して”「大量アクセス」であることは明白でしょう。
しかし、それと、鯖あたり秒間1アクセスで落ちるシステムの不具合について併記しないのはバランスが欠けているように思います。
# いろんなところで同様の話は出ていると思いますが、重複覚悟で一応
Re:大量アクセス (スコア:1)
脊髄反射する前にコメントをちゃんと読もうよ
Re:大量アクセス (スコア:3, すばらしい洞察)
そうですね。
> 「10分間でmax1000DBコネクション」という隠れた上限
今回、氏のアクセスによってこの上限に達した。それが一個人によるアクセスであるために「大量アクセス」というスケープゴートを許してしまっていますね。
> HWその物は1秒1件どころじゃない多くのアクセスを捌くポテンシャルはあったと考えられます。
通常、システムを組む際には、ハードウエアの限界に達する前に制限を設定するべきなので、ハードウエアに比してシステム全体のパフォーマンスが低いこと自体は当然ではあります。
ただ、その限界が負荷テスト等で決められた制限値ではなく、ソフトウエアのプログラム上の不味さによって生まれた制限であることが有志の方の分析で明らかになっています。なので、「大量アクセス」というスケープゴートではなく、素直に”ソフトウエアの不味さによって設定値以上に性能が低かったため、早期に限界に達した”と説明すべきだと個人的に思います。
高木浩光氏が応援すると負ける気がする (スコア:1, おもしろおかしい)
まるオリンピックで日本を応援する松岡修造氏の如く
唯一のバカチンはMDISか (スコア:1)
MDISが損するのは自業自得
商売としてはありがちな対応だけど
Re:もういいよ (スコア:4, すばらしい洞察)
「まあこういう国なんだししょうがない。いくら声をあげても無駄だ」
と達観して罪をかぶることができるのであればどうぞその姿勢を貫き続けてください。とめだては致しません。
Re:もういいよ (スコア:1)
>後からそれが間違いだったってのが分かればいい。
間違いだとわかったけど、相手がまだ「お前は痴漢だ!」と騒いでいる...これが今の状況だってことね。
Re:もういいよ (スコア:2, すばらしい洞察)
そう、だから図書館だって、警察の発表と異なる声明なんぞ発表しようものなら、速攻で逮捕されかねない。
なので、リスク回避のためには内心でどう思っていようとも、警察に追従した声明を発表する他無いのです。
Re:もういいよ (スコア:1, すばらしい洞察)
Re:もういいよ (スコア:1, すばらしい洞察)
議会にはたらきかけたぐらいでどうこうできるような図書館なら、それもまた問題だと思いますが。
Re:拒否された時点でやめておけば良かったのに (スコア:5, すばらしい洞察)
しかし、システムの不具合が原因であった事がはっきりしたこの状況で
冤罪で苦しんだ利用者へ謝罪するどころか、嘘をついて開き直っている
事が問題なんだよ。
問題の本質を理解できない or 理解していてこんな発表をする館長なら
辞めさせるべきでしょ。
こうですね、わかります(Re:拒否された時点でやめておけば良かったのに) (スコア:4, おもしろおかしい)
注意:
本図書館の建物の設計・職員数・蔵書・予算・館内の各種手続は、当市の市民の大半が、本図書館を利用しないと言う前提の元で定めております。
本図書館を頻繁に利用される方は、他の利用者・職員・当市に多大な迷惑をかける不審者と見做し、警察に通報する事も有ります。
ご了承下さい。
Re:拒否された時点でやめておけば良かったのに (スコア:3, おもしろおかしい)
つまり、
逮捕されるのは嫌だったろうし、想定もされてなかったのに
本人に相談もせずいきなり逮捕した愛知県警の落度ですね!
Re:拒否された時点でやめておけば良かったのに (スコア:1)
それを言い出したら、WEBサイトの存在意義がわからなくなる。
Re:拒否された時点でやめておけば良かったのに (スコア:1, すばらしい洞察)
むしろ、何の罪もない利用者に嫌がらせをしたのは岡崎市立中央図書館の館長だと思うが?
本当に「不正アクセス」なら、まずメーカーに相談して対策を取るのが先決。
普通は何が起きているか調べて対策を講じた後で、警察に訴えるかどうか考える。
実際には不正アクセスでもDDoSでもなく、図書館サーバーの問題だったんだし。
#もしかするとメーカーに相談出来ない事情があって警察に調べさせたのかも知れないが、この期に及んで非を認めないのはまともな神経の持ち主とは思えない。
Re:拒否された時点でやめておけば良かったのに (スコア:2, 興味深い)
メーカー(保守も担当)に相談したところ、ソフトのバグであることを隠して(あるいは開発部門はすでにバグを認識してたものの保守部門に伝わってなかったのかもしれないが)不正アクセスのせいにされた模様。
アクセスログもメーカー経由で出された模様。図書館員が出せるわけがない。
何が起きてるか図書館が理解できてれば単に瑕疵の修正を求めれば済む話で、
>サーバーの入替を主とするシステムの更新を行います。
なんてさらにボられることもないはず。
Re:拒否された時点でやめておけば良かったのに (スコア:1, 参考になる)
どーぞ。まとめwikiには、他のリンクもあるよ。
http://twitter.com/HiromitsuTakagi/status/19326568552 [twitter.com]
http://twitter.com/kanda_daisuke/status/21728636211 [twitter.com]
この話(レンタルサーバのアクセス遮断)は、ニュースソースに載っていないせいか、ほとんどの人間がスルーしている事実なんだよね。
叩いている側は、振り上げた手が下ろせなくなっているだけのような気もするけど。
librahack氏、レンタルサーバから連続アクセス開始 → 図書館、URI変更 → librahack氏、直ぐにレンタルサーバ上で追従 → 図書館、レンタルサーバからのアクセスは利用者ではないと考えてアクセス遮断 → librahack氏、自宅及び実家から連続アクセス開始 → 図書館、このアクセスは地元ISPからのものだったため遮断できず、お手上げ 以下略
アクセス遮断の時点で、応答のタイムアウトではなく、接続のタイムアウトがハンドリングできるはず(で、自宅からOK、レンタルサーバからNGなんだから)その時点でアクセスを止めるなり、図書館にコンタクトとるなりは出来たよね。
そうしていれば、その先の逮捕も無かったよね、というお話。
Re:拒否された時点でやめておけば良かったのに (スコア:1, 参考になる)
そのまとめwiki [atwiki.jp]を貼らない意味がわからない。
で、
>librahack氏、自宅及び実家から連続アクセス開始 → 図書館、このアクセスは地元ISPからのものだったため遮断できず、お手上げ
ここおかしいよね?何でお手上げなの?
串使ってたわけでもないのにIP特定できるはずの自宅回線を弾けない事情って何?
他の利用者が迷惑する可能性?さくらの連鯖は巻き添え食う人がいるけど丸ごと遮断したんでしょ?
仮にIPがころころ変わるISPだったとしても、素人ならともかくMIDSがやってるわけで、お手上げなんて事はありえないと思うが?
Re:これは何のこと? (スコア:1)
高木浩光氏の8月24日の日記 [takagi-hiromitsu.jp]で解説されていますが、
OSX付属の「Automator」というアプリケーションをつかうと、
GUIで「一覧から機能を選んでドラッグ」三回という簡単な操作で
「Safariで今現在表示しているページのリンク先をまとめてダウンロード」できるようです。
実測で22ページ取得に19秒と、1秒に1ページ以上取得している。
Re:これは何のこと? (スコア:2, 参考になる)
多分wget [wikipedia.org]でしょうね。
# あと、シェルスクリプトとcron辺りか?
Re:これは何のこと? (スコア:1)
> ただUNIX版は良く判りませんでした。
GNU wgetあたりを指していると考えるのが妥当では。
Re:これは何のこと? (スコア:1, 参考になる)
http://takagi-hiromitsu.jp/diary/20100824.html#p01 [takagi-hiromitsu.jp]
#タレコミの書き方は,この記事を読んだ人にしか分からない表現だね。
Re:これは何のこと? (スコア:1)
Macっ娘ならオートメータ君つかいたおすわよね [takagi-hiromitsu.jp]を見れば
この辺のくだりがどういう意味なのかはおおよそ分かると思います。
しかしそれにしてもタレコミ文は情報を圧縮しようとして意味不明気味になってますな。
「自動化アクセスプログラム」は「アクセス自動化プログラム」とか「巡回ソフト」とかに
したほうがいいと思いますね。
説明していないに一票 (スコア:3, 参考になる)
■ 岡崎図書館事件(2の2) 図書館はどうしたのか 前編 [takagi-hiromitsu.jp]
起訴猶予になった上にMDISのバグまで朝日の報道で露見したのに、それでも館長声明には「図書館が導入しているコンピュータシステムのソフトウエアを開発した会社に連絡し、調査したところ、本を検索したり予約したりする一般利用とは異なり、短時間に大量のアクセスが行われていることがわかりました」とMDISの主張を繰り返すあたり、起訴猶予後にMDISよりバグに関する説明はなかったのでしょう。
モデレータは基本役立たずなの気にしてないよ
MDISからお詫びアナウンス (スコア:3, 興味深い)
弊社「図書館システム」について [mdis.co.jp](2010年9月3日)
とはいえまず詫びをいれるなら執行猶予のついた当事者にだろ。
しかし一連の報道でバグの存在を知った岡崎以外の図書館からの問い合わせは殺到しているような感じだな。もしかしたら岡崎にもその辺の事情は大人の対応で伏せてもらっているだけかもしれないけれど。
モデレータは基本役立たずなの気にしてないよ
Re:MDISが悪いのか? (スコア:1)
Re:この件の苦情ってどこに入れればいいん? (スコア:3, 参考になる)
岡崎市役所 総合案内 [aichi.jp]でいいんじゃないでしょうか。
市長のような特定の個人宛の場合、メールサーバーをパンクさせると、重要なメール(たとえば小泉内閣メールマガジンw)が届かなくなったと警察に被害届が出されるかもしれませんから(笑)
モデレータは基本役立たずなの気にしてないよ
Re:この件の苦情ってどこに入れればいいん? (スコア:1, 興味深い)
Re:この件の苦情ってどこに入れればいいん? (スコア:1)
この手の問題は当事者に言っても解決しません。
経済産業省の情報セキュリティ政策室とか、情報政策課とか、総務省の行政管理局とか。
Re:ファンクションキーの押し間違い (スコア:1)
猫を飼うのはやめたほうがいいですね。
Re:過剰品質を求めるべきじゃない (スコア:2)
きっとMDISの関係者の方ですよ (スコア:2)
相当、この人の住んでる宇宙は狭いのでしょうね。BR>
プロを名乗るのであれば原因特定まで責任を持って再現実験を (スコア:2)
再現実験をするところまで、責任を持つべきだ。
そして、どこをどう改善すべきかを提案するべきです。