Web屋のネタ帳

手札にあるデザイナがほぼ全員Media Queriesってナンデスカ？状態でしかなくてもう困っておりましていやはやまったく。

ガラケー？もう無視の方向で。

本質を見ることを知らず問題解決能力がゼロの小役人として大変模範的な文章だと思います。 ちなみにrobots.txtがこんなふうに書いてあるのでGoogleやYahooではこの文章はひっかからないようになっている。

岡崎市立中央図書館のホームページへの大量アクセスによる障害について

平成22年３月から４月にかけて、新着図書データベースへの大量アクセスがあり、中央図書館のホームページ（蔵書の詳細情報）につながらない、又はつながりにくい事態が、何度も発生していました。市民の方からその旨のお問い合わせをいただくことも何度かありました。

図書館が導入しているコンピュータシステムのソフトウエアを開発した会社に連絡し、調査したところ、本を検索したり予約したりする一般利用とは異なり、短時間に大量のアクセスが行われていることがわかりました。これによって、それまでは問題なく閲覧できていた図書館のホームページが閲覧できない現象がたびたび発生していたということですが、誰が何のために行っているのか不明なため、図書館も対応に苦慮していました。

しかし、このような状態を放置しておくことは、より多くの方にご迷惑をかけることになるので、警察に、このような事例が他にも存在するのか、犯罪性はあるのか、また相談窓口はないか、といったことについて相談し、最終的には被害届を提出しました。

その後の捜査により、大量アクセスを行った人物が逮捕され、報道によりますと、起訴猶予処分となっているとのことです。

このコンピュータシステムは平成17年に導入しましたが、その時点で自動プログラムを用いて短時間に大量の図書データ情報を入手できるような事態は、想定していませんでした。今回の事例により、そのような情報入手の方法があることを認識し、本年7月、大量アクセスに対応できるよう、コンピュータシステムの改善を行ったところです。

ホームページは誰にでも開かれています。もちろん事前の申請の必要もありませんが、利用者の方におかれましては、情報収集のために使われる手段が、他の利用者に迷惑をかけていないかどうかについて、ご配慮をお願いいたします。

　なお、平成23年1月初旬には、サーバーの入替を主とするシステムの更新を行います。これにより、図書館業務の機能強化を行うとともに、今回のような、大量アクセスへの対応はもちろんのこと、市民の皆さんの使い易さの向上を図ってまいります。

平成２２年９月１日

岡崎市立中央図書館

まず第一に、おかしな理由で逮捕されて20日間拘束された、自分の図書館の利用者に対する気づかいがまったく見あたらない。「報道によりますと起訴猶予処分に」とか言うんなら、「報道によりますとMDIS（三菱電機インフォメーションシステムズ）が作ったシステム側に不具合がありまして」も一緒に書けよそこの保身ハゲ。

• asahi.com（朝日新聞社）：図書館ＨＰ閲覧不能、サイバー攻撃の容疑者逮捕、だが… - 社会 （画像こちらとこちら）
• asahi.com（朝日新聞社）：なぜ逮捕？ネット・専門家が疑問も　図書館アクセス問題 - ネット・ウイルス - デジタル （画像こちら）

  プログラムは自動で新着図書のリストを順に開き、内容をコピーして切り張りするだけのもの。図書館側へのアクセスは１４日間に３万３千回で、秒間約１回。数万円で買えるコンピューターでも１日数万回や秒間１０回はアクセスに耐えるとされ、むしろ少ない数だ。「常識的に考えて逮捕はおかしい」などとブログやツイッターで書き込みが相次いだ。
  　取材で、県警がプログラムの意図を逮捕前に把握していなかったことが分かった。警察庁によると、典型的なサイバー攻撃は同時に数万回のアクセスを行う。一方、男性のプログラムは負荷を少なくするため、１回ずつアクセスし、応答を待って次のアクセスをする。
  　産業技術総合研究所の高木浩光さんは「違いは明白。警察は業界の常識を把握して捜査に臨んでほしい」。
  　この問題は情報ネットワーク法学会でも取り上げられ、会員で元検事の落合洋司弁護士は「県警はプログラムの意図や図書館側の問題を調べるべきだった。在宅捜査でよかったのでは」と話した。

• asahi.com（朝日新聞社）：図書館長「了解求めないアクセスが問題」　ＨＰ閲覧不能 - 社会 （画像こちら）
• asahi.com（朝日新聞社）：ソフト会社、図書館側に不具合伝えず　アクセス障害問題 - ネット・ウイルス - デジタル （画像こちら）

そればかりか、クッキーを食わないブラウザでシリアルに繰り返しアクセスするだけで死ぬような超ウルトラ低品質なWebアプリをMDISから売りつけられていたという現実をまるで理解できてない。

平成17年（2005年）にはこんな使い方は想定してなかった？！？！ おいおいおいおいおい、ここ4,5年、アプリの修正の必要性をMDISに知らされてなかった件はどうなったの？

そもそも2000年あたりから検索エンジンのロボット（もちろんクッキーは食わない）はウヨウヨあったよすでに。今でも同じ。 えっ？robots.txtでどうにかなると思ってた？MDISの中の人はよくそんなこっぱずかしい言い訳できたもんだな。警察にログ出すついでに始末書と辞表もだしとけよ。

何度でも言うけど、ＩＴの素人に最初から理解しろというのには無理のある事案ではあるものの、ことここに至っては、全ての関係者は何が起きたのかを客観的に正確に把握する義務が必ずある。

MDISに首輪つけてもらって末永く禄をクソを食んでください。

see also

• 岡崎市立中央図書館事件 議論と検証のまとめ - 時系列
• 三菱電機インフォメーションシステムズ（ＭＤＩＳ）がクソだったってことでファイナルアンサー
• librahack事件について、新たなファイナルアンサーが見出されたようです。
• 高木浩光＠自宅の日記 - 三菱図書館システムMELIL旧型の欠陥、アニメ化 - 岡崎図書館事件(7)
• Togetter - 「岡崎市立中央図書館公式見解(09/01)に対して弁護士落合洋司さんの呟き」

ずいぶん前に、聞かれたことがあったので。

とあるWebサービスのとある利用希望者が、「俺のメールアドレスは taro@hogehoge.example.com なんだが、ユーザー登録しようとすると、メールアドレスが間違ってるぞと言われる、なんでや！」というクレームをつけてきたんだそうな。

調べてみると、hogehoge.example.com でDNSのMXレコードが確かに引けない。んで、会員登録画面のアプリはメールアドレスの正否を確認するためにMXレコードの有無判定を実装しているんだと。 「これってこのユーザーがバカ自分のメルアドを覚え間違ってるんですよね！」とか言うもんで、これはと思って調べたら、案の定、hogehoge.example.comはMXでは引けなくてもAレコードは設定されてた。 「そのユーザーは悪くない。Aレコードも引くように実装しなかったお前が悪い」と伝えた。

例えば、PHPのPEARのValidateパッケージにもメールアドレスの正否確認用のメソッドがあるのだが、そこではドメイン部分についてはMXレコードとAレコードのどちらかの存在チェックをもってよしとしている。 [svn] Contents of /pear/packages/Validate/trunk/Validate.php583行目あたり。 perlのcpanのEmail::ValidやMail::CheckUserとかでも同じ。

巷の解説書やらなんやらには、メールアドレスのドメインに対してはMXレコードというものを設定してどうの、、、と書かれているだけのものが大半なので、そう覚えてしまっている人もいるらしい。

確かに一般的なメールアドレスはそのドメインとそのMTAとなるマシン（群）とがMXレコードによってひもづけられている。しかし、MTAとして稼動しているマシンのFQDNそのものをメールアドレスのドメイン部分に使っているメールアドレスは多くもないけど珍しくもない。大昔のインターネットではそっちのほうが多かったし、今でも自宅サーバとかではAレコードの設定だけでやってるケースはありうる。

see also:

• Webアプリでメールアドレスを確認する「正しい」方法 (2007/12)

2010年8月某日現在の検索結果のキャプチャがこちら

see also:

• 三木谷さんってここまで頭わるかったっけ？（楽天が社内公用語を英語化の件） (2010/5)
• 続：三木谷さんってここまで頭わるかったっけ？（楽天が社内公用語を英語化の件） (2010/5)
• 日向清人のビジネス英語雑記帳：スペースアルク (2010/8)

• すべてではないですが、かなりシフトしています。RT @Nobuyuki_Idei: @hmikitani 英語公用語社内ではプレゼン等英語だけですか？Thu Aug 12 09:55:50 via Echofon三木谷浩史 H. Mikitani
  hmikitani

「三菱電機インフォメーションシステムズ（ＭＤＩＳ）がクソだったってことでファイナルアンサー」の続きです。 新たなファイナルアンサーってそれファイナルじゃねえとかいう細かいツッコミはスルーです。 それに技術的な新ネタは一部しかありません。エンジニアの皆さんは過度に期待しないように。

1. 図書館長「了解求めないアクセスが問題」という朝日の見出しについて

とか言っちゃいけません。 この朝日の見出しには（とその反応にも）若干の揚げ足取りが含まれていて、 図書館長さんは「人間がマウスをクリックしてアクセスする以外の特殊な方法でうかつに多数のアクセスを浴びせてくれるな」ということを言いたかったのであろう。

しかし、現実に起きたこと＝図書館長が言うところの「多数の（繰り返しの）アクセス」＝が実は21世紀以降の技術水準からすると常識的なレベルなのにそれすらさばけないほどアプリの品質が悪かったのだ、という事実を前にすれば、やはり失笑なのである。

そもそもITの素人に分かるレベルをやや超えている事案であることは少なくとも業界人はわかっており、その意味では図書館側の責任なんて誰も問うてないんだが、館長さんは身を守らなきゃと思っちゃったのかねえ。 （アホな後追いマスコミがなんて責め立てたかはしらない）

2. 一方、図書館の中の人による、一見すると無関係なつぶやき

注：こちらの人が、岡崎市の図書館の人なのか、それとも岡崎市の図書館と同じシステムを使ってる別の図書館の人なのか、どちらかは不明。

• MDISのMelil/CS、Webからの蔵書検索で「1%」を検索すると、検索しっぱなしになってレスポンスが返ってこなくなる件って、どう対処してもらえばいいのだろう・・・
• 「1%の」とか、「1%は」って検索するのはOKなので、「検索できない文字列」っていうのは、不親切な気もするけど・・・
• 他館のことは分かりませんが、館内では「ｲﾁﾊﾟｰｾﾝﾄ」と検索するのが至極当然な日常です。
  （筆者注：つまり、「1%」だとレスポンスが返らなくなるので、 カタカナで検索することによって、DB上のカタカナのフィールドに対する検索が走るようにすることで運用対処しているということと思われる）

なお、こちらの方が、librahack事件について筆者が7月に書いたこの記事（に大きく張ったリンク）を読んだうえでこの発言に至ったのかどうかなんて定かではないしそこはどうでもいい。（笑）

重要なのは、エンジニアの方ならすぐ理解したと思うが、つまり 入力された検索キーワードに含まれる、SQL文的な意味での特殊文字に対するエスケープ（無害化）処理がなされていなかった疑いが濃厚なのだ。 （なお、現在は改修されていると思われる）

これは検索機能として致命的な不具合であるばかりでなく、SQLインジェクション脆弱性があった可能性を示唆しており（←ああ、すいません、これは言いすぎでした）、性能どころの騒ぎではない。 いずれにせよWebアプリケーションの品質としては夏祭りのテキヤのミドリガメと同レベルである。

3. とんでもなく低品質なモノをMDISに売りつけられていたという現実を受け入れることができない人々

MDISが図書館に売っていたのは今回問題になった外部向けの蔵書リスト公開サイトだけではもちろんない。本にRFIDタグを埋め込んだりそれの読み取り機を設置したりその他もろもろ特殊なハードウェアまですべて含めた「図書館システム」である。 おそらく、蔵書の仕入れ、保管、貸し出し、返却などの他の部分の満足度は高かったのだろう。

が、何の罪もない図書館の利用者の一人が警察に逮捕されたという結果の前に、そんな満足はすべて吹き飛ばされてしかるべきだろう。違うというなら留置場に20日間入ってみろ。 もちろんこのあたりの責任は図書館やMDISというよりは警察にある。

不本意に逮捕され、２０日間拘束され、連日反省しろ認めろと精神的拷問を受け、当直弁護士には匙を投げられ、マスコミが大本営発表を全国に垂れ流し、家に身重な妻がいる状況で起訴猶予をチラつかされたら、俺なら１００％心が折れる。これは自信をもって言える。 #librahack

しかしそれにしたって、話がここまで進んでもなお、とんでもなく低品質なモノを三菱電機インフォメーションシステムズから売りつけられていたという現実を図書館の中の人として自覚できていない責任は、重い。どうせ保身と責任転嫁に走るなら「コンピュータの素人である自分じゃどうしようもなかったから業者と警察に任せたんだ」って言っとけばよかったのにね。

見方を変えると、システムのユーザーとしては大した飼いならされっぷりであり、逆に他のSI事業者の営業さんはMDISの営業を見習うべきかもしれない。

4. 図書館の中の人と朝日の神田記者のツイッターから見えてくる IT版ストックホルムシンドローム

注：下記の図書館の中の人によるツイートはすべて、朝日の記事が出る前です

• 帳票のサマリー項目を１つ追加するだけの機能追加に、3桁近い見積もりを出されるほどなめられる・・・
• #librahackで議論されてきた問題について、内部にちょっと投げかけてみた。が・・・あまりの温度差に愕然。
• MDISのシステムが弱い訳ではないので安心してくださいって言われたし、またいまだに今回のクロールはサイバー攻撃だと・・・
• @keikuma @gutei 図書館＆MDIS側が、とっても被害者的な発想です。「MDISも」なところに、愕然です。
• MDISが頑張ってるから、他社から恨みをかって非難の的にされてるんじゃないか、とか。
• 新聞や雑誌というメディアで、もう少し突っ込んだ報道があればなぁ （注：この数日後に朝日の報道が出る）

次、朝日の神田記者のツイート

• 岡崎市の会見では、図書館長が「図書館ソフトに不具合はなく、図書館側に責任はない。図書館に了解を求めることなく、自作プログラムで繰り返しアクセスした男性に問題がある。男性からきちんと連絡してもらえれば、図書館として対処できた」と述べたそうです。 #libraHack
• @HiromitsuTakagi いやー、率直に言って驚きです。私がMDISに対する取材をしていた席には、この館長も同席していました。問題の所在も繰り返し説明してきたんですが。残念です。 #libraHack
• @tetsutalow 今回の取材では、岡崎に限らず、問題を指摘してもなぜかMDISの肩を持つ図書館職員を非常によく見ます。彼らは一面ではMDISから不具合を隠されていた被害者なのに、まったく不可解です。 #libraHack
• 事前の取材に館長は、「第三者機関に依頼し、技術的なシステムの脆弱性を定期的に診断したい」とも話していました。前向きだなあ、と思っていたんですが。 #libraHack
• 岡崎市の「会見」とした件。実際には、朝日新聞の報道を見て問い合わせをしてきたマスコミ各社に市がまとめて応対するというもので、会見ではなかったそうです。報道陣は市の主張に納得せず、最後は物別れの格好で終わったとか。 #librahack
• 大場・岡崎市立中央図書館長は実直な人柄の方で、取材にも協力的でした。それだけに昨日の発言に驚いたわけですが、改めてこの問題での認識の溝の深さを感じます。 #librahack
• ちなみに岡崎図書館は、これは大場館長とは別の職員の方ですが、取材に対して早い段階で「今回のプログラムはアクセス数の多さが問題だったのではない」という点を明確に自分の言葉で話していました。 #librahack

それにしてもIT版ストックホルムシンドロームという分析（しかも朝日の報道前）は秀逸（笑）。

個人的にこれに加えたいのが、 「彼（彼女）を否定することは、彼を信じてきた今までの自分と自分の行動を否定することだ」 ←これ、セルカンネタでも出した、詐欺師（とまでは今回は言えないけど）や今まで長いこと信じてきた人やモノに裏切られた人間が最初に感じてしまう、精神的自己防衛反応。館長さんの反応はこれに近いものも感じる。

5. 結論

もう書いたけど、大切なことだからもう一度書く。

1. エンジニアでもない図書館の人が今回の件について理解しきれないのは仕方が無い。Excelの使い方の話じゃあるまいに、素人にわかれというのは無理がある。
2. しかしそれでも、話が大きくなってゆく過程で図書館の中の人による理解はすすんだかのように見えた。それはある意味希望でもあった。
3. にもかかわらず結局は、 とんでもなく低品質なモノを三菱電機インフォメーションシステムズから売りつけられていたという真実を自覚できていない発言にみんな目がテン。
4. よって、そんな図書館長という存在自体が税金の無駄である。

「自治体がベンダーの食い物にされている」と書きましたが、企業が利益を追求するのはある意味当然。また、自治体に高い専門性を求めるのも酷です。しかし、使われているのは税金なんですよね。 #librahack

see also:

• 岡崎市立中央図書館事件 議論と検証のまとめ - 時系列
• Resto運営日記 : 岡崎図書館事件　超解説
• 高木浩光＠自宅の日記 - Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6)

追記

Togetter - 「クローラーってキモイ？」というツイートまとめに、件の神田記者が興味深い話をしています。これもこれで根が深い．．．

@WilfremLuminous 実は、当初の原稿には「クローラー」という単語も解説付きで入れてあったんです。ところが、それを読んだ複数の記者が、何か得体の知れない恐ろしいものが図書館のデータベースからデータを勝手に漁っている、という印象を受けていました。 #libraHack

それで「クローラー」という単語は削ったという経緯があります。パソコンを使って実際にプログラムの挙動を説明すると、「なーんだ、そんなことなの？ そんなことで逮捕されちゃったの？」とみんな納得していましたが。 #libraHack

@WilfremLuminous MDISや取材したほかのメーカーは、クローラーやマッシュアップについて正確に把握していました。だからこそMDISは図書館ソフトウェアを改修したんでしょう。 #libraHack

みんながみんな「検索」しまくれているのは、すべてクローラーとよばれるもののおかげなのに．．．

追記

朝日の人による燃料投下 （っていうと語弊があるしそもそも高木氏が既に言及してたネタだが）が追加され、とにかく一連の流れを受けての「実際どうあるべきだったんだろう？」という学生さんのごく素朴な質問に答える形での識者のツイートがこちら。

ある意味見事な今北産業。マジ脱帽です。