メインメニューをとばして、このページの本文エリアへ

RSS

岡崎図書館事件はまだ終わっていない

インタビュー:高木浩光(産業技術総合研究所主任研究員)

 昨年、愛知・岡崎市立中央図書館のサーバに不具合が生じ、利用者が逮捕された通称「Librahack」(りぶらはっく)事件。容疑者は起訴猶予処分となり、昨年末には図書館システムのベンダーが記者会見で謝罪したが、残された問題がまだあるという。インターネットなどの情報セキュリティ問題に詳しく、この問題の議論を当初から主導してきた専門家の1人、産業技術総合研究所主任研究員・高木浩光さんに話を聞いた。

================================================================

 ■高木浩光(たかぎ・ひろみつ) 独立行政法人・産業技術総合研究所情報セキュリティ研究センター主任研究員。1967年生まれ。94年、名古屋工業大学大学院工学研究科博士後期課程修了。博士(工学)。2000年より情報セキュリティに関する社会的課題の解決に取り組む。特にウェブのセキュリティとプライバシーの問題に造詣が深く、様々な解決策を提言している。共著に『情報社会の倫理と設計』など。

拡大

 【小見出し一覧】

 容疑者本人の説明で明るみに出た事件/彼のアクセスは「犯罪」だったのか/「過失」と「故意」を混同する人々/アクセス方法は妥当なものだった/「サイバー攻撃」に見えた理由/閲覧障害はなぜ起きたか/障害発生に気付けなかった原因/個人の技術者が加速させてきたウェブの進化/ウェブ技術者への萎縮効果は大きい/ウェブは本来どういう場なのか/岡崎図書館事件はまだ終わっていない/捜査機関は再び同じことを繰り返すか/気になる「ウイルス作成罪」のゆくえ(全5ページ、約2万5千字)

================================================================

 ◇容疑者本人の説明で明るみに出た事件◇

――いわゆる岡崎市立図書館事件が昨年、一部で話題になりました。当事者が発信し、ネットの議論や新聞の報道を受けて、世論が動いた事件だったと思いますが、そもそもどういう事件だったのでしょうか。

高木 発端は昨年5月26日付の新聞各紙の報道でした。朝日新聞は「図書館HPにアクセス3万3千回 業務妨害容疑、38歳を逮捕 愛知県警」という見出しでした。別の新聞では「図書館にサイバー攻撃」などという見出しもありました。「図書館にサイバー攻撃」というのは、どういうことなのかちょっとよく分からない話ですが、「ホームページを閲覧しにくい状態にした」と報じられていました。

 この「3万3千回」という数字ですが、どのくらいの頻度なのかと注意して読んでみると、4月2日~15日の間にとありますから、1日当たり2千回程度です。これはたいしたことない数ですから、ウェブに詳しい多くの人が「おかしい」と思い、ツイッターなどを通して議論が広がりました。「マッシュアップ」(後述)と呼ばれるような、ウェブでは普通に行われている自動アクセスをやっていただけではないか、という声が多数あがりました。朝日の記事では、「1回ボタンを押すだけで、1秒に1回程度の速度でアクセスを繰り返せるプログラムを作っていた」とあったので、「それは普通じゃないか」「サーバ側に何か不具合があったのでは」と多くの人が感じたのです。

 しかも「容疑者は同図書館の利用者だったが、目立ったトラブルは確認されていないといい、動機を調べている」ともあるし、中日新聞では、「HP制作の情報収集に必要だった。業務を妨害するつもりはなかったと否認しているという」とありました。「これはますますおかしい」という話になって、何人かが愛知県警岡崎警察署に電話して「こうした行為はウェブでは一般的だということを警察が知らないだけではないか」と質問したようです。私が28日に電話したときには、もう先に電話した方がいて、捜査の現場トップのO警部補は「そういった可能性というのは非常にあると思うんですよ。ただそれだけをもってですね、逮捕するということはできないと思うんですよね」との反応でした(「高木浩光@自宅の日記」昨年7月10日付「岡崎図書館事件について その1」)。

拡大

 当然のことですが、こうして警察に問い合わせても「個別の事件については捜査中なのでお答えできない。法と証拠に基づいて適切に捜査しています」と言われれば、私たちからそれ以上、何も聞けません。疑問を抱いた皆さんも、「きっと何か明らかにされていない背景があるのではないか」「いま声をあげても仕方がない」という雰囲気になりました。

 ところが、6月21日になって、逮捕された容疑者本人が、この間に何があったかを自分のサイトを立ち上げて説明し始めました(「Librahack:容疑者から見た岡崎図書館事件」昨年6月19日付「このサイトをご覧の方々へ」)。何のためにプログラムを作ったかというと、「図書館の新着図書のページが非常に使いにくい構造だったから」というのです(同6月21日付「なぜプログラムを作ったか」)。岡崎市立図書館のウェブサイトでは、新着図書が2カ月分まとめて掲載されています。図書館には毎日新着図書があるそうで、それを毎日見ていると「今日入ったのはどれかな」と気になるわけですが、新着図書に入架日の記載がないため、どれなのか分からない。ならば新着図書のページを毎日プログラムで取得して、前日との比較で差分を取れば1日分の新着図書が分かるだろうと、そう考えて、それを自動化するプログラムを作って情報収集を開始したそうです。

 後で本人から聞いたところによると、彼はビジネスでも同様の情報収集プログラムを作って稼働させていたそうで、その延長で、図書館にも興味があってやってみたそうです。彼のしたことはそれだけで、それ以上の意図はなかった。また、図書館側から「やめてほしい」といった意思表示は一度もなかったといいます。図書館の担当者に確認したところ、どこに連絡していいかわからず警察に相談したという話でした。

 こうした事情が明らかになると、「やっぱりか、これはおかしいぞ」と、ツイッターを通してたくさん意見が出始めました(ハッシュタグ「#librahack」、あるいはTogetter「librahack関連」参照)。もちろん一部には、「彼のやったことも悪い、不注意じゃないか」という人も少なからずいました。「サーバが止まっているならそれに気づくだろう」というのです。ただ、後で述べるように、彼が気づかなかったのには、やむをえない状況があったようです。

 この事件の論点は、「彼の行為が業界水準としてやっていいことなのか、いけないことか」というのが、まず一つ。もう一つは「彼の行為が犯罪かどうか」であり、これらは別々であることに注意すべきです。

 愛知県警と名古屋地検岡崎支部は、昨年6月14日に彼を「起訴猶予処分」で釈放しました。これは、犯罪はあったが起訴を猶予するという処分であって、「嫌疑不十分」、つまり犯罪ではなかったという判断にはなっていないのです。釈放の際、O警部補は「君は人に迷惑をかけて罪を犯したけど、自分のプログラムのミスを認め、反省しているので、検察が起訴猶予にしてくれたよ」と声をかけたといいます(「Librahack:容疑者から見た岡崎図書館事件」昨年12月1日付「Librahackメモ」6月14日の項)。

 ◇彼のアクセスは「犯罪」だったのか◇

――彼のやったことは、果たして犯罪なのでしょうか。

高木 容疑の罪名は「偽計業務妨害罪」でした。この罪には過失犯の規定はなく、「過失業務妨害罪」などというものは現行法に存在しません。故意犯のみですから、故意で結果をもたらした場合にだけ罪に問われます。

 故意とは何かですが、もちろん彼が、故意にプログラムを動かしていたのは確かでしょう。それは本人も認めています。しかし、この件で問題となるのは、ウェブサイトに障害をひきおこす(閲覧しにくい状態にする)ことを彼が意図したか、あるいは、そうなると分かっていながら「構わない」として続けた(未必の故意があった)かどうかです。つまり、障害が出ているとの認識が彼にあったかどうかがカギなのですが、彼は「止まっているなんて知らなかった」と任意聴取の段階から主張しているし、検察の取り調べでも繰り返し主張しています。それでも警察・検察は「犯罪があった」と認定しました。

 なぜ、「気づかなかった」という彼の行為が犯罪とされたのか、多くの人が疑問に思っても、先ほども述べたように、当事者や事件の関係者以外には一切説明できないというのが検察の立場です。そこで、昨年10月に本人が検察庁に行って話を聞いてきたそうで、それによると(「Librahack:容疑者から見た岡崎図書館事件」昨年12月17日付「検察庁で聞いてきました」)、「なぜ嫌疑不十分ではなく、起訴猶予としたか」という彼の問いに対して、「影響が出ることをまったく予想しなかった訳ではなかったから」と検察の担当者は回答しています。そこで本人が「それは過失になりませんか?」と重ねて聞くと、「影響が出ることをまったく予想しなかった訳ではなかったから、過失ではなく故意が認定される」と同じ文章を再び繰り返したそうです。

 この回答は、事務官が別室の検察官に説明を受けて答えるという形で相当慎重に答えたもののようで、本当にこの通りの説明をされたのだと思いますが、これはおかしい話だと思います。「まったく」などと余分な強調をして「故意」の範囲を最大限に広範にとらえています。「影響が出る」と言いますが、誰であっても何らかの形でウェブサイトにアクセスしたら、例えば「アクセスログが1行増える」など、何らかの影響は必ず出るものです。それを少しでも予想していたら「故意だ」というなら、「じゃあ逆に何が過失なのか」ということになってしまう。この検察の論理がいかにおかしいか、私が言っても説得力がないでしょうから、法律の専門家にずばり言っていただきたいところです。

 例えば、刑法学者の石井徹哉・千葉大学教授は、「この程度なら過失としか言えない」と、11月に開かれた情報ネットワーク法学会主催の「第3回技術屋と法律屋の座談会」で指摘されていました。

 検察がなぜこのような無理筋の処分をしたかについて、元検察官で弁護士の落合洋司氏は、「こういうケースはよくある」と当初から指摘されていました(弁護士 落合洋司 (東京弁護士会)の「日々是好日」昨年6月22日付)。それによると、「起訴猶予というのは、建前上は、犯罪事実が認定できた上で諸般の事情により起訴はしない、というものですが、本来は嫌疑不十分であっても、捜査機関(警察によっては嫌疑不十分ではメンツがつぶれるから起訴猶予にしてくれと検察庁に泣きつくところもあります)の都合で起訴猶予になっている場合があって、起訴猶予だから犯罪事実は認定されたんだな、と見ると間違うことがあります」というのです。

 さらに、落合弁護士は、7月の「第1回技術屋と法律屋の座談会」で、「嫌疑不十分の裁定書を書くには理由を書かなくてはいけなくて、その手間が相当あるが、それに比べると起訴猶予はA4に1枚で済むので、簡単に済まそうとして起訴猶予にしてしまうことがよくある」(ライブラリー×ウェブの力を飛躍させるCode4Lib JAPAN「第1回技術屋と法律屋の座談会に参加して」)という趣旨の指摘もされています。

 こうして見てくると、やはりこれは犯罪ではない。検察は不当な処分をしたと思います。愛知県警は自らの捜査が法的にどの程度おかしいかという自覚がなかったかもしれませんが、検察は法のプロですから、警察が間違った立件をしようとしている時には、「これは犯罪じゃない」と気付けば「嫌疑なし」「嫌疑不十分」とするのが、正義の実現のための検察というものではないでしょうか。

――捜査のチェック機能を果たすはずだった検察が、果たしていなかったわけですね。ただ、問題はそれだけではないように思います。

高木 そうです。これは、「簡単に済まそうとして起訴猶予にした」というだけではなく、愛知県警と名古屋地検岡崎支部が技術的な「相場」を知らないために起きたことだと思います。

 本人に聞いたところ、検察の取り調べは以下のような調子だったそうです。担当検察官は終始不機嫌で必要最小限の話しかせず、警察の調書をぺらぺらめくって頭を抱えながら、「(サーバが落ちていることに)気づきませんでした」と述べる彼に対して、「でもプロなんだからそれぐらい気づかないの?」「でも君が何回もアクセスしたから問題が起きたわけでしょ」「でも他の利用者はそんなこと(プログラムを使ったアクセス)すると思う?」という発言を、首をひねりながら延々繰り返したというのです(「高木浩光@自宅の日記」昨年12月17日付「検察は何を根拠に犯罪と判断したか 岡崎図書館事件(14)」)。

 彼の記憶によると、調書の内容は、「私は岡崎市立図書館のホームページにアクセスするプログラムを使って、新着図書のデータベースを作成した。Webサーバからの応答を受信した後、次のリクエストを送信していたので、負荷は高々1リクエスト分であった。Webサーバはデータベースサーバとの接続を解放していないため、新たにリクエストを受け付けた時、データベースとの接続が不可能になりエラーを発生した」というものだったそうです。

 彼はこの調書の内容で自分の嫌疑が晴れると思ったそうです。なぜなら、DoS(サービス不能)攻撃のような方法のアクセスはしていないということが書かれていますし、障害の原因はサーバ側の「データベース接続を解放していない」不具合によるものだという彼の主張が書かれていますから。

 しかし、刑法論的にはこれでは嫌疑は晴れないようです。サーバ側に不具合があったからといって、刑法用語であるところの「因果関係」は否定されないからです。9月に愛知県警に電話取材した人がいて、「サーバ側の不具合をなぜ調べなかったのか」と尋ねたのに対し、愛知県警の責任者は「それまで正常に動いていたのが,一部の人のアクセスが始まったことによって不具合が生じたので,因果関係を認めて,業務妨害として捜査した」と釈明したといいます(「岡崎市立中央図書館事件等 議論と検証のまとめ」昨年9月8日付「杉谷による愛知県警への電凸第五回目」)。確かに、仮に意図的にサーバの不具合を突いて攻撃するような行為があったとすれば、それは犯罪とされるべきものでしょうから、サーバに不具合があるという事実だけでは、嫌疑を晴らすことにはならないわけです。

 彼は、取り調べ中にサーバ側の不具合を疑って、不具合の有無を調べてくださいと警部補に再三求めたのに、取り合ってもらえなかったそうです。県警の言い分としては「因果関係は否定されないので調べる必要がない」ということなのかもしれません。しかしどうでしょう、サーバに不具合があったという事実は、彼に故意がなかったことの傍証となるはずではないでしょうか。

 警察も検察も、ウェブの相場を知らない人たちでした。彼の行為が普通なのか異常なのか判断する知識を持ち合わせていない。そういう状況で「負荷は高々1リクエスト分」と説明したところで、その意味するところを分かってもらえない。そうすると何か客観的な傍証を示すしかないわけで、その一つが、サーバ側の不具合の存在だったはずです。

 さらに不幸なことに、彼としては、障害を予見できなかったことを示すために、サーバに未知の不具合があったのではないかと主張したはずなのに、検察官には「それだけ不具合の仕組みを知っているのなら、やはり分かっていてやったのだな」と受け取られた可能性があるように思います。

 彼が、検察官に「データベース接続を解放していない」と具体的に不具合を説明できたのは、勾留中の取り調べで、警察からアクセスログ(サーバ側の記録)を見せてもらったからです。アクセスログには、「HTTPレスポンス500(内部サーバエラー)」が記録されていて、「…|19|800a01a8|オブジェクトがありません。:_’Session(…)’」というエラーメッセージがありました。彼は、これの意味を図書館システムのベンダーに聞くようK警部補に求め、翌日に「データベースに接続できなかったエラー」というベンダーの回答をもらっています。だから具体的に不具合を主張できたわけです。アクセスしていた時にそれを知っていたわけではありません。

・・・続きを読む
(残り:約14787文字/本文:約26803文字)

全ジャンルパックなら本の記事が読み放題。
デモクラシーやJournalismの記事も読めるのは全ジャンルパックだけ!