メインメニューをとばして、このページの本文エリアへ

news letter
RSS

岡崎図書館事件はまだ終わっていない

インタビュー:高木浩光(産業技術総合研究所主任研究員)

――つまり、釈明のために技術的な説明をしたのに、検察にはそれを未必の故意の根拠とされてしまったわけですね。

高木 刑法のことを学んだことのない技術者が、こうした状況に置かれた際に、「犯罪ではない」と説明しようとしても、うまくできないということではないでしょうか。彼は、「故意ではなかった」と主張するべきところ、「サーバ側の不具合じゃないか」という技術的なことばかり言ってしまった。このことについて彼は、「検察庁で聞いてきました」(前出)で、次のように反省点を述べています。

 「私は法律を知らず、刑事事件における「故意性」「過失罰」など重要なことの意味を理解していませんでした。

 今思えば、取り調べの時に行うべきだったのは、故意の否定です。故意を否定するために最も受け入れやすい話をすべきでした。

 具体的には、まず検察官が誤解している「大量に」の認識を改めてもらう(中略)この「大量に」がWebの世界では常識的なものだと認識を合わせておく必要がありました。その上で、図書館のサーバに影響が出ることを予想できなかったと認めてもらうことでした。

 ところが、故意の否定を明確な目標にせず、図書館のサーバに不具合があることだけを主張してしまったため、故意がなかったことを認めてもらえなかったようです。

 相手側に不具合があることを示しても、法律の考え方では、因果関係を否定することにはならないと、ネットの議論(中略)を通して知りました」

 昨年の大阪地検特捜部のフロッピー改ざん事件で、容疑者となった主任検事が「故意ではない。過失だ」とすぐさま主張していたのには苦笑しました。さすがプロフェッショナルは何がポイントかよくお分かりです。

 ◇「過失」と「故意」を混同する人々◇

――技術者でなくとも、いきなり警察・検察に呼ばれても刑法の知識がなく、反論できない方は多数いると思います。

高木 彼の前出「Librahackメモ」昨年5月25日の項によれば、彼は、最初から謝罪の意を述べていたそうです。「図書館に被害が出ていて申し訳なく思い、言われたことを認めないことができなかった」「素直に謝ればすぐに帰れると思った」というのです。

 彼は、5月25日に初めて警察が自宅を強制捜査した際に、「図書館のホームページにアクセスしているな。大問題だよ、ちょっと悪質だよ、大変なことになっているよ」と言われたそうです。このように「大変だ。相手が困っている」と言われたら、正直で真面目な人ほど「そうなんですか」「それは申し訳ない」と思うでしょう。

 今回のケースに限らず、インターネット上の掲示板などの議論を見ていると、過失犯と故意犯を混同している人をよく見かけます。過失でもつかまるというのです。例えば、現在、法務省がウイルス作成罪(不正指令電磁的記録作成等の罪)やウイルス頒布罪を新設する刑法改正を検討していて、次の通常国会に提出される見込みと報じられていますが、「ウイルスに感染して感染拡大に利用されている人も罪を問われるのか。そんな法案には断固反対だ」などと言い出す人がたくさんいます。

 こうした誤解が生じるのは、過失と故意の概念が区別できていないせいです。例えば、業務上過失致死傷罪など、過失によって事故を起こして人を死なせたり、けがさせたりした場合には、その行為がもたらした結果が重大ですから、刑法上犯罪とされています。そのことと混同している人が少なからずいるのでしょう。刑法で過失犯が規定されている罪はあまり多くはありません。

 ひょっとすると彼は取り調べ中に、何を主張すべきか分からなかっただけでなく、「事故を起こして大変な被害を出した以上、責任を問われても仕方がない」という思いを一時的に抱いたのかもしれません。

 捜査側も、取り調べの過程で「本人は反省している」となると、「これはやはり犯罪だ」という判断に傾くということがあるのではないでしょうか。しかし、そこは本来、警察や検察が「過失なら犯罪ではないが、今回はどうか」という姿勢で捜査すべきことです。本物の犯罪や犯人の言い逃れを見逃してはならないとは思いますが、今回の件は明らかに不公正で、警察や検察は「本当に犯罪かどうか」を見極める職務を怠ったと思います。

――愛知県警や名古屋地検岡崎支部などの捜査陣には、インターネットの技術に詳しい人はいなかったのでしょうか。

高木 県警本部からきた捜査現場トップのO警部補、ほとんど1人で調書を取ったという岡崎署のK警部補、岡崎支部の検察官、いずれもコンピューターやインターネットのことをよくわかっておらず、事実の説明にも苦労したそうです。捜査陣には1人だけ、技官か警察官か分かりませんが、「ヘッドハンティングされてきた」「Winny事件の時、活躍した」というスタッフがいたようで、その人に相談しながら進める場面はあったようです。

 ◇アクセス方法は妥当なものだった◇

――ところで、彼のアクセス方法は、業界水準からみて妥当なものだったと考えてよいですか。

高木 刑事責任はともかく、倫理上の話として、彼のアクセスの目的が正当だったかどうか、方法が適切だったかどうか、という2つの論点があります。

 まず、彼のアクセス方法ですが、「シリアルアクセス」であって「パラレルアクセス」ではありませんでした。「アクセス」とは「リクエスト」(要求)と「レスポンス」(応答)がセットになったものなのですが、この「ください」「どうぞ」というアクセス一つ一つは、それぞれ0コンマ何秒かかります。ここで、ユーザ側が、サーバの応答を待たないで次々と連続して、例えば1秒間に何十件もの要求を出せば、同時に何十本もの接続がサーバとブラウザの間に張られることになります。つまり、「ください、ください、ください、ください……」と続けるわけですが、これを延々と続ければ、サーバが要求を処理しきれなくなる場合があります。悪意にもとづく本物のDoS攻撃なら、サーバの負荷を重くするためにこうした「パラレルアクセス」を使います。

 ところが彼のアクセスは、そうしたDoS攻撃の方法をとっておらず、1つの要求に対する応答が終わってから次の要求を開始する「シリアルアクセス」で接続していました。「ください、どうぞ。ください、どうぞ」という方法です。

 つまり、彼のプログラムは、要求が溜まってサーバの負荷が徐々に重くなっていくようなことにならないよう、配慮されていたということです。彼は、警察・検察にそう主張したし、先ほどの検察調書にもその記載はありました。

 彼はさらに、アクセスの頻度が1秒間に1~2件程度に収まるように、待ち時間をおいて調節していたといいます。これは、業界の標準としてやって構わない水準と言っていいと思います。客観的な根拠を示しておくと、インターネット技術に関するバイブル的な書籍をよく出しているオライリーから出版された『スパイダリング・ハックス(Spidering Hacks):ウェブ情報ラクラク取得テクニック101選』という本、これはクローリング(自動巡回アクセスによる情報収集)とスクレイピング(ウェブページからの情報抽出)の技法を解説している本なのですが、そこには「どの程度の速度でページアクセスを行えば礼儀正しいと言われるのか」として、「1秒あたり1~2回まで」という記述があります。これは2003年に書かれた本です。

拡大写真はイメージ。

 現に、グーグルやヤフーなどの大手検索サイトも、「ボット」と呼ばれるクローラ(自動巡回ソフト)で、膨大な数のウェブサイトへのアクセスを繰り返していますが、これも1秒間に1回程度までに抑えられているようです。

――彼のアクセスは「大量アクセス」とされたようですが、これはなぜでしょうか。

高木 彼のアクセスのことを「大量アクセス」と最初に言い出したのは、図書館システムのベンダーで保守業務を請け負っていた三菱電機インフォメーションシステムズ(三菱電機IS)だったようです。岡崎市に対して情報公開請求をかけて、図書館の作業報告書を入手した方がいらっしゃるのですが、昨年3月24日の作業報告書に「新着案内に毎日18:00に大量アクセスがおこなわれ(略)WEBのデータベースが不調になっていた件につき対処」とあります。また、その後、9月3日に発表された三菱電機ISの公式見解「弊社「図書館システム」について」においても、「大量アクセスによりつながらない、またはつながりにくい状態が発生し」とあります。

 しかし、いったいどのくらいが「大量アクセス」と言えるのでしょうか。筑波大学のウェブサーバを例に、全体のアクセスの何%がクローラーやボットなどの自動アクセスによるものかというデータが公表されています(筑波大学「つくばリポジトリ」PDF)。これは、昨年10月に一般の学生向けにこの事件を説明した勉強会「岡崎市立図書館事件、通称Librahack事件について」のプレゼン資料ですが、筑波大学のサーバでは自動アクセスによるアクセスが、全アクセスの27%に達していたそうです。

 私のブログ(高木浩光@自宅の日記)でも、30%前後がボットなどによる自動アクセスで、これは毎日2千から3千件ほどの数です。私にはこれを「大量アクセス」と呼ぶことはできません。こうしたウェブの「相場」は、ウェブサイトを運営した経験のない方はご存じないでしょうから、ピンとこないものかもしれません。しかし、システムの保守業者なら当然、知っていてしかるべき相場です。三菱電機ISの担当者にはそれが分からなかったのでしょうか。

 ◇「サイバー攻撃」に見えた理由◇

――図書館側や警察・検察が「サイバー攻撃」だと思ってしまった相応の事情はあったのでしょうか。

高木 彼が昨年3月中旬から1カ月半ほどプログラムを動かしている最中のことですが、4月1日に図書館側が、IPアドレス(ネット上の住所)でアクセス元を制限する対策をとりました。一方、彼は、4月2日の夜になって、1件も新着図書がないことに気づきます。このとき彼は、「レンタルサーバ会社に止められた」と思ったそうで(後述)、4月2日の夜以降は、自宅または実家で、ノートPCからアクセスするようになりました。これが、図書館側から見れば、アクセス制限をかけたのにアドレスを変えてまたアクセスしてきていると見えたようです。

 彼は、任意聴取の段階でK警部補に、「IPアドレス制限の時点で気づくべきだったね。気づかなかった?」と言われたそうですが、彼は、「制限なんて知りません。さくらインターネットに止められたと思って、自分のThinkpadで様子を見ていました」と答えています。

 どういうことかというと、彼は、自動アクセスのプログラムを、当初、さくらインターネット社のレンタルサーバに設置して定時に自動運転していました。後でも述べるのですが、一般に、低料金のレンタルサーバは、多人数で共同利用するものであるため、利用制限が厳しく設定されています。例えば「稼働時間が30分を超えると強制終了する」とか、「CPUの累積使用時間が一定時間を超えると云々」といった制限があるものです。彼は、その制限にかかって止まったと思い、「安いレンタルサーバでは無理か」とあきらめて、とりあえず自宅からアクセスすることにしたのだそうです。

 勾留中の取り調べで彼がそれを説明すると、「あー、そういう理由だったの」とK警部補が言ったそうです(前出「Librahackメモ」昨年5月31日の項)。誤解は解けているように思えるのですが、最後まで見立てにもとづく捜査が通されたようです。

 彼が記録しているK警部補の発言には、もう一つ印象的なものがあります。任意同行を求められた際に、彼が「いきなり強制捜査されて連れて行かれるのは(いかがなものかと)」と言い出したところ、「それは調べてみないと分からない。サイバーテロの練習をしているかもしれないし」と言われたそうです(同上)。「サイバーテロの練習」って何なのでしょうか。警察がどのような見立てで動いていたかをうかがわせるユニークな発言ですね。

 もう一つ言えば、図書館の担当者から聞いたところによると、昨年4月2日に警察が図書館に「これは事件にできる」と言ってきたそうなのですが、それは、彼がアクセスを自宅からに変更した時刻よりも前です。ということは、警察はアクセス元のIPアドレスが変わる前から事件にできるとみなしていたわけで、IPアドレスのことは事件の見立てに必要な要素ではなかったことを示しています。

全ジャンルパックなら本の記事が読み放題。