鼠と竜のゲーム(3) 逮捕報道
ぼくの名前は井上ヨシオ。横浜市内にある小さなベンチャー企業、サードアイシステムに勤務している。25才、独身。趣味は映画と読書。
最初からこの業界にいたわけではない。IT業界の悲惨な現実は耳にしていたので、大学在学中の就職活動では、むしろ避けてすらいた。4年生の春、大手狙いを捨てた地道な就職活動と、サークルの先輩のコネで、都内の小さな出版社に何とか内定が決まったときは心から安堵したものだった。ところが、入社1カ月後に出版社が倒産という憂き目に遭い、ぼくは初任給すら受け取れないまま、次の就職先を探す羽目になった。数十社から断られた後、最後に拾ってくれたのが、サードアイだった。
ぼくにとって、それはこんな風に始まった。近くの牛丼屋で慌ただしい昼食を済ませ、コンビニでヤングジャンプを立ち読みしてから会社に戻ったぼくを、先輩エンジニアの川嶋ミナコさんが呼び止めたのだ。
「ねえ、井上くん」川嶋さんは少し険しい顔でモニタを睨んでいた。「君、T市立図書館のシステム、担当したよね?」
「T市立図書館……ああ、はい」ぼくはうなずいた。「五堂テクノさんの。担当と言っても、カスタマイズを少し手伝っただけですけど」
「T市立図書館でググってみて。ちょっと変なことになってるみたいよ」
ぼくは急いで自席に戻り、キーを叩いてスクリーンセイバーを解除すると、ブラウザを立ち上げた。検索窓で「T市立図書館」と入力してEnterキーを押す。
「え?」
検索結果のトップにあるのは、T市立図書館の公式HP。その下にあるのはニュースだった。
201X年5月26日 デジタルIT
図書館HPにアクセス4万回 業務妨害容疑で男逮捕
神奈川県のT市立図書館のホームページに集中的にアクセスし、ホームページを停止させるなどの障害を引き起こしたとして、神奈川県警は25日、ソフトウェア作成会社社長倉敷タカシ容疑者(4x)=同県T市成宮町=を業務妨害の疑いで逮捕し、発表した。
県警生活経済課とT署によると、倉敷容疑者は、4月10日から24日にかけて、T市立図書館のホームページに、計約4万回以上のアクセスを繰り返し、ホームページを閲覧しにくい状態にした疑いがある。
同図書館のホームページ管理用サーバには、3月中旬からの約1カ月間に、倉敷容疑者の自宅のパソコンなど特定の端末から計約4万4千回のアクセスがあり、その影響でホームページの閲覧は18回停止されていた。
同課によると、倉敷容疑者は1回ボタンを押すだけで、1秒に1回程度の速度でアクセスを繰り返せるプログラムを作っていたという。倉敷容疑者は同図書館の利用者だったが、目立ったトラブルは確認されていないといい、動機を調べている。
201X年5月26日 ネットセキュアニュース
ホームページ作成会社の社長、自作プログラムで図書館にDoS攻撃(神奈川県警察)
神奈川県警察は5月25日、T市内の図書館に大量の閲覧リクエストを送信し、業務を妨害したとして、ソフトウェア作成会社の社長である倉敷タカシ容疑者(4x歳)を業務妨害の疑いで逮捕したと発表した。同容疑者は4月10日から同月24日までの間、T市内の自宅等のPCから約4万回のアクセスを行い、同図書館のホームページを著しく閲覧しにくい状態にした疑いがあるという。
神奈川県警県警生活経済課によると、同容疑者は約1秒に1回の頻度でホームページにアクセスを繰り返すプログラムを作成、実行していたという。
「逮捕って……」ぼくは唖然となった。「実名まで出てるし……」
外でタバコを吸っていたベテランエンジニアの東海林さんが、いつの間にかぼくの背後から記事を覗き込んでいた。
「これ、五堂テクノのパッケージだろ? そういえば、イノウーが担当したんだったな」
「T市用のカスタマイズの一部ですよ。担当ってほどでも」
「何をやったんだ?」
「検索系のHTMLの修正とか、あと、なんだかんだと」
「なんだかんだって何だ?」
「それがよく分からなくて」ぼくは当時のことを思い出して肩をすくめた。「何かのモジュールの一部らしいんですけど。仕様書に従ってコーディングするだけだったんで」
「ふうん」
「これって……」ぼくはモニタを指した。「個人でDoS攻撃してたってことになってるんですかね」
「そう書いてあるなあ。もっとも」東海林さんは自分の席に戻りながら言った。「図書館なんか攻撃して何が面白いんだか分からんけどな」
「個人情報狙いとか?」川嶋さんが言った。
「個人情報狙うなら、もっとこっそりやるだろ」
「じゃあ、ただの愉快犯?」
「かもな」東海林さんは、すでに興味をなくしたように、自分のモニタに視線を落とした。「まあ、担当したとはいえ、うちには関係ないだろうな」
「……そうですね」
ぼくは最初の記事を読み直した。
T市立図書館のシステムは、五堂テクノロジーサービスという大手SIerの図書館業務システムパッケージ、<LIBPACK-IV>を導入している。JavaベースのWebアプリケーションだ。2年前の冬から、半年ほどかけてT市立図書館用のカスタマイズを行いその年の4月から稼働したはずだ。
ぼくが携わったのは、年末年始を挟んだ2カ月ほどの期間だ。確か、間に2社ほど別会社が介在し、中間マージンという名の搾取を行っていたはずだったが、詳しいことは分からない。営業の黒野さんの話だと、別会社で本来担当するはずだったプログラマが、突然退職してしまい、代わりの人材の充当も間に合わず、急遽、うちに話が回ってきたようだった。
そのときのぼくは、入社して1年が経過して、ようやくプログラミングが分かってきた頃で、1人で案件を担当するのは初めてだった。最初は、先輩の誰かがアサインされるような話だったのだが、東海林さんが「イノウーの独り立ちにはちょうどいい規模じゃないか」と言ってくれたので、ぼくは期待と不安をミックスさせた複雑な気分で、都内の五堂テクノに通うことになった。
当然のことながら、パッケージの基本部分などにタッチすることは一切なく、やらされたのはT市立図書館向けのHTMLの作成と、いくつかのロジックの実装を行っただけだった。画面の方はドット単位で仕様が決められていたので、面倒といえば面倒だったものの、どちらかといえば忍耐が求められるたぐいの作業がほとんどだった。jQueryやNode.jsなど、便利なライブラリを使えなかったので、クロスブラウザ対応に苦労したことが記憶にあるぐらいのものだ。
ロジックの方もそれほど難しいものではなく、インプットの電文――と呼称されていた――を、仕様書の記載に沿って加工し、アウトプットするだけ、というものがほとんどだった。こちらも、Apache Commonsライブラリなどの使用が禁止されていたので、プロパティのコピーを1つ1つコーディングする必要があったものの、面倒で時間と手間がかかっただけで、難しいことはなかった。クラス名はすべて、アルファベットと数字で命名されていたので、自分がコーディングしているクラスが、何の機能の一部なのか見当もつかなかった。なにしろ、SQL文を書くことさえなかったのだから。
事前に受けた概要説明――というより、ほとんど雑談レベル――の記憶によると、サーバは本番機1台、予備機1台というシンプルな構成だったはずだ。それほど大量のアクセスを想定していなかったのと、予算の関係で、ロードバランサーなどによる負荷分散の仕組みなどは検討もされなかったらしい。
しかし、1秒1回のアクセスというのは、今時のサーバの性能とネットワークの速度から考えて、決して高負荷とはいえない。その程度で落ちるようなアプリケーションの方に問題があったんじゃないだろうか。
ぼくはTwitterの検索を立ち上げ、「T市立図書館」で検索してみた。関心を持つネットユーザーはそれなりにいるようで、次々につぶやきが発信されていた。
この程度で逮捕かよ。1秒1アクセスは確かに普通の使い方じゃないけど、それで落ちるってどーよ。しかも何で警察沙汰!?
事前のコンセンサスなしに大量アクセス送りつけたんだったら、悪意があったと言われても仕方ないんでは?
現実に図書館側は迷惑被ったから、耐えかねて被害届を出しんだろう。そりゃ逮捕もしょうがないだろ。
1秒1回だよ? その程度のリクエストもさばけないサーバってどんなん? 逆に仕様とか知りたいわ。
この記事だけだとはっきりしないですね。続報求む。
Googleとかのクローラーも似たようなことやってるはずだが、逮捕されるの?これDoS攻撃ってレベルか? 本当にDoS攻撃なら、1秒1アクセスなんてシュガーだろう。
自前のクローラ作ったら逮捕ってこと? 嫌な世の中になったもんだな。
1カ月で4万回ってたいしたことないようだが、例えば10分で1万回を1カ月の間に4回やったってことじゃないのかな? それならまあ納得。技術者のくせに、サーバ負荷に気付かなかったのは未熟者だったってことだな。
天下の朝日ともあろうものが、中途半端な報道だな。こういうネタは速報性より正確性だろうに。
スクレイピングして、相手が想定している以上の負荷をかけて落としたら、もう言い訳できないだろうなあ。技術者なら、それぐらいの考慮は欲しいところだ。
1秒1アクセスで落ちるサーバしょぼすぎ!おいらのノーパソにTomcat乗ってるけど、その1000倍ぐらいのトラフィックぐらい余裕でさばけるぞ。
実は営業作戦だったりして(^^;「それぐらい落ちるようじゃダメですよ。うちに任せてくれれば……」みたいな、とか邪推してみた。
っていうか、そのシステム作った業者が、どこのクソSIerなのか切実に知りたいぞ。記者に知識がないのが○わかりな記事だな。
いきなり逮捕ってのはちょっとありえないなあ。何かの見せしめか? それとも単に警察に技術が分かってる人間がいなかっただけ?
サーバ捜査隊の実績作りだったりしてな
記事だけじゃ分からんが、逮捕に至るまでに、警告なり注意なりは、当然やってたんだろ。それでも、やめなかったから逮捕になったんじゃ?その図書館の利用者だった、ってことは、図書館が利用者の情報を警察に提供したってことか。図書館は利用者の秘密を守る、って宣言はどこ行った?
@beespot 図書館自身が被害者なら、利用者を守る義務はないだろ。ケーサツの勇み足だろう、どう見ても、こりゃ。ろくに調べもしないで、図書館の言い分だけ聞いて逮捕かよ。情報が少ないので、ネットユーザーの統一見解とまではいかないようだが、1秒1アクセス程度で逮捕というのは変だ、という意見が多いようだった。
考え込んでいると、東海林さんの声が落ちてきた。
「何だ、まだ見てたのか」
「あ、すみません」ぼくは慌てたものの、先輩の意見も訊いてみたくなったので顔を上げた。「1秒1アクセスって、そんなに高い負荷でもないって意見が多いようなんですが、東海林さんはどう思いますか?」
「うーん、そうだなあ」東海林さんも画面を覗き込んだ。「確かに普通のサーバなら、まあ、さばけて当たり前だろうなあ」
「ですよねえ」
「でも、警察だってバカじゃないんだから、逮捕したからにはそれなりの証拠を集めたってことなんじゃないか?」
「なるほど……」
警察小説などは普段読む範囲から外れているので、ぼくの警察に関する知識は、刑事ドラマから得た以上のものではない。それでも、逮捕するには令状が必要だということぐらいは一般常識として知っているし、令状が発行されるには、それなりの証拠が必要だということも理解している。警察や検察の不祥事に対して、世間の目が厳しくなっているご時世だ。まさか、中途半端な証拠で見切り発車的な逮捕はしないだろう。
「まあ、確かに興味はあるけど、取りあえず続報待ちというところだな」東海林さんはタバコを取り出しながら言った。「うちには関係ないことだからな」
「はあ」
東海林さんはタバコを吸いに外に出て行き、ぼくはブラウザを閉じて、Eclipseに戻った。とにかく、ぼくが心配してもできることは何もない。
このときは、まだ、他人事だと誰もが思っていた。
(続く)
この物語は事実を基にしたフィクションです。実在する団体、個人とは一切関係ありません。また司法当局の捜査方法などが、現実のそれと異なっている可能性があります。
コメント
horde
サードアイ実装側かよ!どのぐらい問題のDBまわりに関わってたかがきになる。
ヤミ
アップお疲れ様です。
ここで、サードアイですか・・
「このときは、まだ、他人事だと誰もが思っていた。」で次回が非常に気になります><
Adenosine
あぁ、大手から責任を擦りつけられる訳か・・・
東海林さんの解決へと導く雄姿が目に浮かびます。
実はホワイトナ・・・邪推は止めておきますかw
今後の展開を楽しみにしてます。
oboro
視点が2つある所が、とても興味深いです。
個人的には3つ目が出てくる事を期待してたりします。
kisato
東海林さん期待してます!
ton
なんか面白い展開になってきたな♪
fgnplo
>oboroさん
>個人的には3つ目が出てくる事を期待してたりします。
もう出てるじゃないですか。3つ目⇒直訳:サードアイ
すいません、これ言いたかっただけです
oboro
勿論フリです。
と言いたい所ですが、
一瞬意味が理解出来ず、
説明しそうになった自分に
がっかりです。
sic
ライブラハックの件は思いだすたびイライラするけど
ショウジさん出てきてワクワクしてきたぞ!
techniczna
なるほど、こう来ましたか…
東海林さんが本当に出てきてビックリw