岡崎市立中央図書館事件の謎
愛知県警生活経済課のサイバー犯罪担当コタニ氏と,二日に渡って電話で話した内容をかいつまんで載せておきます。
要点だけ洗って載せたうえでさらに強調したので,目に痛くなってしまいました。すまん。
- 被害届が出る前に,図書館と MDIS エンジニアは状況を確認していた
- エンジニアは「中部支社ではこのような事例がない」と言っていた
- 警察は相談を受け,「事件として捜査して,処罰を求めるのなら被害届を出してください」と説明していた
- 図書館は MDIS と相談したうえで,図書館単独で被害届を出した
- MDIS は CMMI Lev5 を達成しており,「ソフトウェアの保守サイクルについて,そのプロセスを継続的に改善できる」はずである。
- 警察は最初から「ネット犯罪」「(偽計)業務妨害」として捜査を行った
- 捜査では,障害の根本的原因の分析は行われず,WEB サーバのアクセスログから毎秒〜数秒に一回のアクセスをしていた librahack 氏を洗い出した
- 捜査においては,サーバの処理能力等は考慮しない。どのアドレスからアクセスがあり,どのアクセスで重くなったか,どの接続からおかしくなったか,それが業務妨害の原因だと判断した
- 警察は故意を認めている
- 検察は取材に応答しなかった
- MDIS が過去に対処した事例や,クローラによる障害と把握していたことについては,警察は把握していない
- クローラが悪いのではない,「送りつけたという行為」によって図書館サーバが重くなったからダメ
- 事象と行為のみ捜索して,原因にはタッチしていないことに注意
- 図書館の取材対応では「違法性がないことは知っていた」と図書館長が発言
→ 魚拓:http://megalodon.jp/2010-0822-0134-16/www.asahi.com/digital/internet/NGY201008210009.html
謎がいくつかあります。
ひとつ。
三菱電機インフォメーションシステムズ株式会社中部支店ではこのような事象が起きた事がない,というエンジニアの発言。これ自体は事実と符合しますが,「他の支社やオフィスで起きていた事例は知らなかったのか?」という疑問が残ります。CMMI レベル5 に適合するには,ソフトウェアの保守サイクルの継続的改善が求められます。つまり,他の支社などの事例をフィードバックしないとは考えられないのです。知っていたはずです。だとすれば,何故,図書館に対しその情報を伝えなかったのでしょうか。何故,不具合を修正しなかったのでしょうか。
ふたつ。
図書館は報道対応において,「違法性がないことは知っていた」と発言しましたが,警察はあらかじめ「事件にして処罰を与えたいなら被害届を出してくれ」と説明していました。何故,違法性がないのに何故処罰を求めたのでしょうか。罰を与える意思があったはずです。違法性がないと知っていたのに。もしこれが不具合だと知っていた(だからクローラには違法性がないと言った)なら,虚偽告訴の罪が成立します。もしこれが不具合だと知らなかった(なら,クローラに違法性がなかったので,別の原因である不具合を隠されていたから知らなかった)なら,MDIS が風説の流布による偽計業務妨害の罪にあたる可能性が高いといえます。
みっつ。
警察は「サイバー犯罪」「業務妨害」との予断を持って捜査にあたり,根本的原因については調査を行っておりませんでした。これは捜査におけるミスではないのでしょうか。警察が予断を持って捜査にあたる事は,警察法第二条の2に抵触する可能性が高いといえます。
いずれか一つでも答えが出れば,この捜査が不適切であったことが確定します。
ひとつめの謎が解かれ,MDIS が不具合の情報を内部で共有していたなら。librahack 氏が原因ではなく,不具合によるサーバ停止であることが,製造元によって確定されます。
ふたつめの謎が解かれ,図書館長の矛盾が明らかになれば,捜査の発端そのものが不適切だったことになります。
みっつめの謎が解かれ,警察の捜査手法そのものが問題であったとなれば,捜査自体が不適切であったことになります。
今後も取材と検証を続けていきたいと思います。
追記:
読者からもうひとつの可能性を頂きました。
MDIS も,これを不具合だと思っていなかった可能性がある,と。
だとしたら,技術力の低さは目に余るものがあります。私は,CMMI レベル5 を達成しているのであれば,保守サイクルが改善され,システムの不具合を未然に修正できていた可能性が充分高いと考えています。
MDIS は,真実を話すべきだ,と考えています。