«前の日記(2010-08-18) 最新 次の日記(2010-08-29)» 編集

tueda's diary


2010-08-21 tueda's diary

_ これは怖い…「図書館HP閲覧不能、サイバー攻撃の容疑者逮捕、だが…」

たまにはメシ以外のことも書いてみるw

「図書館HP閲覧不能、サイバー攻撃の容疑者逮捕、だが…」

愛知県内の男性(39)が、自作プログラムで
図書館ホームページから新着図書の情報を集めた
ところ、サイバー攻撃を仕掛けたとして逮捕された。
しかし、朝日新聞が依頼した専門家の解析によると、
図書館ソフトに不具合があり、大量アクセスによる
攻撃を受けたように見えていたことが分かった。(以下略)

詳細がわからないのであくまで想像ですが.テクニカルにはどっちもどっちな気が...

図書館側プログラムの不具合は,たぶん DB のコネクション閉じ忘れとか初歩的なプログラミングミスなんでしょうね.

10分間にアクセスが約1千件を超えると、ホームページ
の閲覧ができなくなり

ということなので,恐らくtimeoutが10分で,(DBの?)コネクションの最大数が1000だったのか,サーバがしょぼくてその位でメモリが取れなくなってhttpd自体が落ちちゃうとかそんな感じでしょうか. プログラマも人間なのでミスはあるとしても,本来であればリリース前にやっているはずの負荷テストとか同時最大接続数確認テストをやっていなかったという事でしょうね.

「コネクション閉じ忘れ」とかプログラマ的な素人仕事はともかく(ダメだけど),「テストしてませんでした」的なプロジェクト(あるいは会社)的素人仕事は,恥ずかしいというレベルで終わればまだラッキー...(以下自重)

逮捕されたひとも,ずぶの素人さんならともかく「ソフトウェア技術者」を名乗るひとが今時サーバ側の負荷を考慮しないプログラムを稼働させるのもどうかと.

図書館の新着書籍案内をどれだけのひとが閲覧するのか判りませんが,

3月から使い始めた。(中略)図書館には同月以降、
「ホームページにつながらない」と市民から苦情

と言うことなので,このプログラム単独で 10 分に 1000 アクセスを越えたり,短時間にかなりのアクセス数が発生するものだったのでしょう.

図書館のホームページは使い勝手が悪く

の詳細はわかりませんが,年間100冊も本を借りるひとらしいので,新着図書の一覧が出来ないとかそんな話だったのでしょうかね.そうすると普通に考えるのは,新着図書1冊毎に1アクセス(検索)するプログラムを書いて,手元で一覧表を作るですかね. 3月からということなので,年度末〜年度初めの新着図書を数日〜数週間分を検索すると,きっとそれなりの数になったんですかねぇ...

で,これを恐らく wait かけないで一気にいっちゃったんでしょうね.図書館側プログラムに不具合が無かったとしても,それはふつう,怒られる(苦笑)

10 分で 1000 コネクションなら,1 秒に 2 コネクションちょいいけるので,各アクセス間に 1 秒の wait を入れておけば,逮捕までされることは無かったでしょうに...

追記:ちゃんとwaitは入っていたそうです.1秒に1アクセスで(ご指摘ありがとうございます > saitoh先生).それでも逮捕されちゃうとは...(脂)

でまあ,ここまでの話なら「どっちもどっち」で笑い話で済むのですが...これが(不起訴とはいえ)逮捕までいってしまうところが怖い.

年間 100 冊も借りている,図書館にとってもお得意様(?)ですよ.アクセス元を割り出すためには警察の協力も必要でしょうけど,身元がわかってみたらお得意様だった,ということなら「お客さん,困りますよ〜」「あ,ごめんごめん,じゃあ wait いれとくわ」で済む話なのでは?

うがったものの見方をすれば,出来の悪い SIer が作ったこの手の(不具合があるとか大量アクセスに対する自衛が出来ていない)Web アプリケーションを守るための「見せしめ」に逮捕しました,という見方もできるわけで.

そして何より,愛知県警のコメント.

「図書館の業務に支障が出たことは事実で、
捜査に問題はない」

これが一番怖い.

「見せしめ逮捕」であろうが「別件逮捕」であろうが,業務に支障が出れば何でもオッケーという事ですよね? であれば,逮捕したい人間が自動巡回で定期的にアクセスするサイトにコネクション制限をかけて,自動巡回でサイトが落ちたら瞬間に「威力業務妨害でタイーホ」ってできちゃうわけで(一発の巡回ではダメなら,しばらくそのまま放置して何回も巡回させればよろしい).

もう,恐ろしくて自動巡回ソフトなんて使えません(脂汗)

本日のツッコミ(全9件) [ツッコミを入れる]
_ Yamashita (2010-08-21 14:13)

これ、タイ━|Φ|(|゜|∀|゜|)|Φ|━ホ! 歴はそのままってことですよね。

_ saitoh (2010-08-21 14:45)

ちゃんとwaitを入れてたし、アクセスはシングルスレッドだったそうですよ。ご当人がまとめサイトを作っておられます<br>http://librahack.jp/okazaki-library-case/stress-test-thinking.html

_ tueda (2010-08-21 16:30)

> saitoh先生<br>なるほど.情報ありがとうございます,勉強になりました.<br>こちらからのリクエストだけで考えちゃだめで,相手側で(意図的か不具合かは別にして)リクエストがキューされる可能性を考えとかないといけないですね.<br><br># ていうか,良く判らないサイトにちょっかいを出さない方が良い,ということですね,はい(汗)<br><br>まあしかしそう言うことならますます,愛知県警の対応が怖いですよねぇ.図書館側のWebサーバのアクセスログを見れば,こちらからのリクエストに一定のwaitが入ってることはわかるでしょうから,<br><br>(1) 落とすつもりならwaitは入れないので威力業務妨害にはあたらない(過失はあるかもですが)<br>(2) 図書館サイトの運営規約で機械的なアクセスを禁止していたとしても.それは民事では?<br><br>とか思います.<br><br>1秒に1回のアクセスで落ちるシステムもどうよ,とは思いますけど,それを仕様だと言い張られたらそれまでな気がするので,SIer の責任を問うのは難しいかもしれません.が,起訴猶予を受け入れるんじゃなくてちゃんと裁判すれば勝てるんじゃないかなあ.まあ,それはご本人が決めることなので横からとやかくいう事ではないですけど.<br><br>やっぱり,色んな意味で怖い世の中になりましたよね.

_ Yasu. (2010-08-21 22:57)

高木さんが例によって突っ込んでいます。<br>http://takagi-hiromitsu.jp/diary/20100821.html#p01<br>この通りだとすると僕の感覚ではサービス側の設計ミスです。<br>問題はtuedaさんの指摘通り、逮捕まで行くという「普通とまるやろ」と思える「常識」が通用しない領域で話が進んでいるらしい、ということですね。結構冗談でないです。ほんま洒落になっとらん。

_ tueda (2010-08-22 12:21)

> Yasu先生<br>高木さん,相変わらずギリギリの所までやってはるんですねぇ.リバースエンジニアリングすれすれな気が(^^;)<br><br>> ほんま洒落になっとらん<br>まったくです.<br><br>『起訴猶予処分が「被疑事実が明白な場合」に行われる(wikipedia)』らしいので,このままだとご本人に図書館の業務を妨害する意図があったことになってしまうと思うのですがねぇ.<br>ご本人が起訴猶予処分を受け入れられている様なのであまり言わない方が良いのかもですが,できれば裁判に持ち込まれて,「ご本人には業務妨害の意図が無かったこと」をはっきりさせるとともに,「どの程度の高頻度アクセスなら業務妨害となるか」と言ったことを議論して頂き,社会的なコンセンサス(あるいは常識)を熟成する一助として頂きたいものです.

_ たけおか (2010-08-22 23:02)

wgetしただけで落ちるサーバを作った業者と、それを発注&検収した役人を、市民が訴えるべきか…

_ umq (2010-08-23 10:10)

> 『起訴猶予処分が「被疑事実が明白な場合」に行われる(wikipedia)』らしい<br>ともかぎらないみたいですよ<br><br>``本来は嫌疑不十分であっても、捜査機関(警察によっては嫌疑不十分ではメンツがつぶれるから起訴猶予にしてくれと検察庁に泣きつくところもあります)の都合で起訴猶予になっている場合があって'' < http://d.hatena.ne.jp/yjochi/20100622#1277165981

_ tueda (2010-08-23 11:15)

> たけおかさめ<br>そういう仕様で作って,そう言う仕様を納得ずくで発注&検収しているので無問題なんでしょう,きっと(脂<br><br>> umq氏<br>大人は本当の事を言ってはいけません(ぁ<br><br>真実はどうであれ,起訴猶予処分が確定すれば『被疑「事実」が明白である』という公式記録が残るわけです.だからこそ,裁判で争ってほしいよなあ,と思うわけで.<br><br>あ,しまった.私も大人なのに本当のことを言ってしまった(汗

_ たけおか (2010-08-23 13:58)

じゃ「そういう仕様」を作った役人を起訴だわよ。

_ http://topsy.com/trackback?url=http%3A%2F%2Fwww.ueo.co.jp%2F~tueda%2Fdiary%2F%3Fdate%3D20100821%23%23p01&utm_source=pingback&utm_campaign=L2:Twitter Trackbacks (2010-08-21 13:27)


総訪問者数: 本日の訪問者数: 昨日の訪問者数: