« 水曜シアター9が9月で終了 | Main | 手賀沼往復 (2010/08/22) »

2010.08.22

アプリケーションのバグで逮捕されるのは利用者っておかしくね?

岡崎市立図書館のサーバ停止事件ですが、どうやら逮捕されたアプリケーション作者の問題ではなく、図書館のWebアプリケーション側のバグだったようです。
高木先生の日記によると、

  • 図書館のWebアプリケーションにバグがあり、レスポンス終了時にDBコネクションを解放していない
  • 一定数のWebブラウザが接続するとそれ以上DBコネクションが行えず、DBアクセス時にエラーが発生する
  • 一度接続したクライアントから一定期間アクセスが無いとセッションタイムアウトが発生しDBコネクションを解放し、DBコネクションが行えるようになる

ということで、基本的なところでの確認が行われていないことが判明しています。
同じソフトを導入している他の図書館でAnonymous FTPが外向けに有効にされていて、ソースコードがダウンロードできたことからこれらの情報が判明したのですが、FTPの設定にしてもナニをやっとるんだ、ということになります。
#Windows Server 2003やそれ以前のIISは、Anonymous FTPがデフォルト有効なのでそれが原因かもしれません。

この問題は法律的にもいくつかの問題をかかえています。

  • 不正アクセス関連なら最初にJPCERT/CCなどに相談が行くべきだが、いきなり警察に届け出が出た
  • 逮捕された人は図書館サービス妨害の意図を持っていないため、故意で行ったわけではない
  • 威力妨害罪で逮捕しているが、威力妨害罪は故意に対して適用されるのであり、過失に対しては適用されない
  • 日本では逮捕によるペナルティが社会的にも大きいにもかかわらず、任意同行などの手段を使わずいきなり逮捕し20日間勾留している
  • 上記を踏まえると嫌疑無しとするべきであるのに起訴猶予としているため、逮捕者に前歴として残り、今後の人生にも不利を残す

少なくとも刑事にかけられる理由が無いにも関わらず逮捕される、という事態は異常です。
インターネットに公開しているサービスに問題があった場合にどういう対応の仕方をするべきか、などのガイドラインが必要でしょう。
今回の事件のFAQ問題がまとまっていますが、わしの感覚的にも妥当なものと判断しています。

また、サービス提供体制についても疑問が残ります。
インシデントが発生した場合にJPCERT/CCではなく、いきなり警察行きになるようなサービス提供体制というのは問題が多すぎます。
また、アプリケーションのバグについて修正する契約を結んでいたのかどうか、と言う点についてもです。
asahi.comによると、同じソフトを使用している約30の図書館でも修正作業を行うとのことですが、ASP版をASP.NET版に置き換えるのか、岡崎市立図書館と同じ修正を加えるのか、どちらかになりそうですが、いずれにしても入れ替えの人件費を考えれば、原価にして数百万円程度の費用がかかる可能性があります。
保守契約がいい加減な状態で入れ替え作業を行うのであれば、これはこれで今後の業界に禍根を残すことにもなりますから、保守条件の明確化は行うべきでしょう。

あとは、インターネット上のサービスをクロールして情報収集をするような仕組みを外注する場合です。
サービス提供者とオフィシャルにアライアンスを組んでいる場合は問題になりませんが、「勝手にやってなんとかして」という条件だと今回のような事件がまた発生する可能性があります。
民事による損害賠償リスク以外に刑事リスクを負うような契約で作業してくれる会社なんぞありませんから、外部委託する際はオフィシャルにアライアンスを組むか、「勝手にやれ」なら発注者が全責任を負うよう契約書に記載すべきでしょう。

|

« 水曜シアター9が9月で終了 | Main | 手賀沼往復 (2010/08/22) »

Comments

今週もきましたよぉo(><)o うっしし。

そりゃぁ、つかまったらたまんねーな。

なんか、世の中めためただねぇ。

しかし、FTPなんてなんでつかうんだぁ?
笑)

Posted by: SUG | 2010.08.25 at 07:58

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/27186/49211141

Listed below are links to weblogs that reference アプリケーションのバグで逮捕されるのは利用者っておかしくね?:

« 水曜シアター9が9月で終了 | Main | 手賀沼往復 (2010/08/22) »