ホーム > mixiニュース > IT・インターネット > IT総合 > 被告弁護人と高木浩光氏は何と闘ったのか、そしてエンジニアは警察に逮捕されたらどう闘えばいいのか(Coinhive事件解説 前編)

被告弁護人と高木浩光氏は何と闘ったのか、そしてエンジニアは警察に逮捕されたらどう闘えばいいのか(Coinhive事件解説 前編)

0

2019年06月18日 07:12  @IT

  • チェックする
  • つぶやく
  • 日記を書く

@IT

写真電羊法律事務所 弁護士 平野敬氏
電羊法律事務所 弁護士 平野敬氏

 世の中の大半のエンジニアにとって、「逮捕」や「起訴」といった言葉は縁遠いものだったかもしれない。だが2018年に入って「不正指令電磁的記録に関する罪」(通称:ウイルス作成罪)に関する摘発が相次いで行われ、状況が大きく変わり始めている。



【その他の画像】



 2018年6月、自身が運営するWebサイト上に、閲覧してきた他人のPCのCPUを利用して仮想通貨の採掘を行うプログラム「Coinhive」を設置したとして、Webデザイナーの男性がウイルス作成罪に問われた。2019年3月の裁判で無罪が言い渡されたが、検察側は控訴している。



 他にも、リモートからのコマンド実行方法を掲載したWebサイト「Wizard Bible」が摘発を受けて罰金刑となったり、ジョークプログラムを掲載したWebサイトへのリンクを掲示板に張ったとして中学生を含む複数人が家宅捜索や補導されたりと、ウイルス作成罪をめぐる摘発が相次いで行われた。「行き過ぎではないか」といわれる一連の検挙を踏まえ、技術情報の共有がウイルス罪に抵触し自分もまた逮捕されるのではないかと「萎縮」し、活動停止を表明したセキュリティ勉強会もある。



 ITの世界では日進月歩で技術が進歩している。一方、法律の立法にはしかるべき手続きが必要であり、技術の進化に追随するのは難しい。そもそも法律の条文にはさまざまな解釈の余地があり、どこまでがセーフで、どこからアウトなのか、明瞭な線引きは困難だ。このため、「ただ普通にWebを運用していただけなのに、拡大解釈によってある日突然警官に踏み込まれるのではないか」と、一連の動きに不安感を覚えても無理はない。



 そんな中でエンジニアはどのように自身の身を守るべきか。そしてそもそもウイルス作成罪をどのように解釈し、適用すべきなのか。「日本のハッカーが活躍できる社会を作る」ことを目的に設立された日本ハッカー協会は2019年4月、こうした背景を踏まえ、「不正指令電磁的記録罪の傾向と対策」と題するセミナーを開催した。なお、セミナーの動画が公開されているので、全体を把握したい方はそちらをご覧頂きたい。



●新しいことへのチャレンジがリスクに?



 同協会の設立者で代表理事を務める杉浦隆幸氏は、冒頭のあいさつの中で、「新しいことをするというのは、リスクの高いことでもある」と述べた。



 そもそも、これまで前例がないこと、誰もやったことのないことに取り組むのがハッカーの本質の一つ。だがそれ故に、一線を乗り越えたり、法解釈によってはクロと判断され検挙されたりするケースもあり得る。だが、新しい取り組み、社会的な合意が形成される前の段階の取り組みが「犯罪」と見なされれば、イノベーションが阻害され、ひいては日本社会の競争力が削がれる恐れもある。



 日本ハッカー協会ではこうした問題意識から、弁護士費用助成制度を設けている。一線を越えたり、越えないまでも警察側の解釈により検挙されたりしてしまったエンジニアに、ITに関する知識を備えた弁護士を紹介し、またその弁護費用を助成するものだ。検挙や前科が付かないように支援し、「きちんとした道」を示せるようにしていくのがその狙いだという。



 なお同協会がCoinhive事件の控訴審を支援すべくインターネット上で寄付金を募ったところ、2日間で1100万円を超える寄付金が集まっている。



●身を守る上で大事なのは公判段階よりも捜査段階



 ITエンジニアは恐らく、逮捕や検挙といった「荒事」とは無縁の人生を送ってきた人が多いであろう。セミナーでは、Coinhive事件で被告の弁護を担当した平野弁護士が、そんなITエンジニア向けに、刑事事件の手続きの流れと身を守るポイントを紹介した。



 ITエンジニアが罪に問われる可能性のある犯罪は、ウイルス罪の他にも、「わいせつ物陳列罪」「著作権法違反」「電磁的記録不正作出」など幾つかある。中でも1996年の「ベッコアメ事件」は、日本最初のネット犯罪といわれるものだが、「この捜査過程において、顧客のIDリストを差し押さえたのは違法捜査だとして取り消しにあった。20世紀のインターネット初期のころから、違法捜査を巡り、警察とITエンジニアとの間には摩擦があった」と平野敬弁護士は振り返った。



 理解している方も多いだろうが、「逮捕」されただけでは有罪とはならない。警察が捜査を行い、その捜査を通じて証拠が十分に集まったとなれば、検察に送検され、起訴するか不起訴処分にするかを決定する(被疑者が罪を認めて争わない場合には「略式起訴」となることもある)。起訴された場合は、いよいよ裁判所において公判が行われ、裁判官が一連の証拠を確認し、弁論を踏まえて判決を言い渡すという流れだ。



 弁護士の役割として多くの人が想像するのは恐らく最後の公判の段階で、弁護などのために熱弁を振るうイメージだろう。だが実は、それ以前の捜査段階でこそ弁護士が支援できる部分が大きいし、ITエンジニアが自分の身を守るために留意すべきポイントもこの段階にある。



 仮にも日本は法治国家である。同氏は憲法31条を挙げ、「捜査機関は法律に根拠があることしかできない」ことを覚えておいてほしいと述べた。そして、具体的に身を守る武器として「黙秘権」「令状主義」「弁護士専任権」があることを紹介した。



 黙秘権とは、捜査、公判、いずれの段階においても黙っておくことができる権利だ。



 これは、警察側が、被疑者が「二度としません、反省しています」といった具合に、本人が言っていないことまで調書に記してしまう「作文調書」問題に対抗する上で重要だという。



 「『そんなことは言っていません』といっても『じゃあ反省していないのか』と言われて反抗できる人はなかなかいない。しかし、こうしていったん意図的な調書が作られてしまうと、後々被疑者が不利になる。黙秘権を行使し、弁護士と相談しながら作るといい」(平野氏)



 令状主義は、警察が何らかの捜査を行う際には裁判所の令状が必要というものだ。



 警察がやってきて、例えば「IDとパスワードを教えてほしい、それがルールだ」とか、逆に「撮影や録音はしないでほしい」とかといった具合に指示された場合には、それが何のルールによるものか、令状によるものなのか、それともお願い(任意)なのかを確認すべきだとした。



 そして最後の弁護士選任権だが、弁護士はいわゆる公判での弁護だけでなく、証拠収集、あるいは捜索、差し押さえに立ち会っての違法捜査監視といった形で、捜査段階でもさまざまな弁護活動を行える。



 平野弁護士は、ときに朝一番で被疑者の自宅に駆け付けたり、ときに被疑者と一緒に出頭したりしながらCoinhive事件の捜査活動を監視しただけでなく、事実関係を確認した上で対応方針を立て、承認を依頼し、処分に関する意見を提出するなどさまざまな手だてを講じ、一審で無罪判決を勝ち取った。



 なお国が弁護人費用を支払う「国選弁護人」制度もあるが、実は「けっこう使い勝手が悪く、今回のような普通の会社員やフリーランサーの在宅事件には使いにくい。捜査段階での弁護活動が一番重要であり、この段階で弁護人を付けないと危うい。従って、私選弁護人を依頼する必要がある」と平野氏は話す。



 問題は「ITに強い弁護士は少なくないが、多くは企業の顧問弁護士などの形で活動しており刑事訴訟に強い人は少ないし、その逆に、刑事訴訟には強いがITには詳しくない場合も多い」ということ。弁護士選びに関して平野氏は、検索エンジンは当てにならないとし、「(他の分野の弁護士でもよいので、知己の)弁護士に紹介を頼むのがお勧め。ハッカー協会も利用してほしい」とした。



 ところで、平野氏が受任したケースでは、罰金10万円の略式命令に不服を申し立てる形で裁判が始まった。人によっては「10万円くらいの罰金刑で済むなら……」と、警察の言うことを受け入れる選択をすることもあるだろう。途中で心が折れたり、戦う価値があるのかという思いが浮かんだりするかもしれない。



 平野氏はこの選択も否定はできないとしながらも、「もし一歩譲歩してしまうと、別の事件のときも『あのときはこれで行けたのだから、今度も行けるはず』というケースが積み重なり、捜査が横暴なものになっていく恐れがある」と懸念を示した。



 さらに「権利は国民の不断の努力によって保持しなければならない」という憲法12条を引き合いに出し、自由や権利を有名無実のものにしないために、この言葉を思い出してほしいと述べた。



●賛否両論のものは不正指令に該当しない



 続けて、同じくCoinhive事件で証人として裁判に出廷した高木浩光氏が、今回の判決に対する同氏なりの解釈を紹介した。



 一審判決を振り返ると、Coinhiveの設置がウイルス罪に該当するかどうかを判断するに当たっては、「意図に反するか」「不正か」の2点が要件となった。



 判決では、アクセスしてきた一般ユーザーからは広告表示に代わる新たな収益化の方法として認知されていたと認めることはできず、マイニングの実行を認識、容認していたと見ることもできないことを挙げ、「人の意図に反する動作をさせるプログラム」である、つまり反意図性はあると判断した。



 一方、自身のサイトに埋め込む今回のケースは、Webサイトを改ざんしてスクリプトを埋め込む場合とは弊害の度合いが明らかに異なり、「否定的な立場もあれば、収益方法としての利便性を重視し肯定的に捉える立場もあり、賛否両論に分かれていた」とし、「不正な指令を与えるプログラムに該当すると判断するには合理的な疑いが残る」と不正性を否定。「このプログラムコードは不正指令電磁的記録には当たらない」とした。



 判決文はさらに、Webサイト閲覧者の同意を得ないマイニングに対し、「新聞などマスメディアによる報道はもとより、捜査当局などの公的機関による事前の注意喚起や警告などもない中で……(中略)……被告人に対しいきなり刑事罰に値すると見てその責任を問うのは行き過ぎの感を免れない」と、今回の捜査の在り方を批判している。



 こうした今回の判決に対する高木氏の評価を一言でまとめると「『賛否両論のものは不正指令に該当しない』と判決したもので、これは、本来のウイルス罪の趣旨に立ち戻れば当然のこと」。



 検察側の主張は、「Coinhiveの設置について社会的合意がなかったことは明らか」という部分に立脚しているが、「もし社会的合意がない限りやってはいけないとなると、何ら新しいことができなくなってしまう」と高木氏は指摘した。



 もちろん世の中には、Coinhiveのようなプログラムは問題だとする意見もある。むしろ、問題がないというわけではなく、判決文も否定的な立場、肯定的な立場、双方があることに触れている。だからこそ、賛否両論の技術に対し、注意喚起などもないままいきなり検挙、起訴してしまうのは乱暴なやり方ではないかというわけだ。



 では、不正指令に該当するものは何か、何が違法なのか。



 さまざまな見方があるが、高木氏は「以前から変わっていない意見だが、不正指令電磁的記録に関する罪(ウイルス罪)は、『誰にとっても実行の用に供されたくないもの』だけが不正指令に当たるべきだと思う。『誰にとっても』というのは、一般的基準に照らし、常識的に見て、誰もこんなものは動かしたくはないと思うものという意味だ」と私見を述べた。



 具体的には、自己増殖機能を持つワームやWinnyなどP2P型ファイル共有ネットワークにファイルを放流する暴露ウイルス、あるいはスマートフォンの電話帳情報を盗むアプリ、爆破予告を書き込むCSRF(クロスサイトリクエストフォージェリ)を伴ったリクエストの送信、さらにはランサムウェアのように、「後戻りできないような結果を引き起こすもの」が、不正指令電磁的記録の対象ではないかと言う。



 これに対しCoinhiveは、「CPUが少し使われて、誰かがもうかっているだけ」というのが高木氏の解釈だ。広告表示も含め、少しでも自分のCPUを第三者に使われるのは問題だ。マナーやルールに反するという考えもあるだろうが、少なくとも不正指令電磁的記録に関する罪には該当しないという理解だ。



 そして、「まるで世の中が魔女狩りのように、よく分からないまま『これは危険だから見ないようにしよう』となり、見ないでいれば実態が分からなくなってしまう。最終的には実態が分からないまま『危険なもの』という虚像が作られていってしまう集団ヒステリー状態に、メディアも含めてなってしまっていたと思う」と批判した。



 余談になるが、捜査の流れの中では、担当者が果たして本当にITの仕組みを理解しているのか、怪しい部分もあったという。Coinhiveで使われるハッシュの計算とはどのようなものか、一般的なPCの性能とCoinhiveによって消費されるリソースのバランスはどうなのか、はたまたクライアント側で動作するプログラムとサーバ側で動作するプログラムとの違いは何か……といったことを理解した上での検挙なのか、疑問が残るという印象だ。



 逆に、実際に自分のPCでCoinhiveを動かしてみて、どのような変化が生じるかを試した裁判官の行動は、評価に値するという。



 「試しもせずに何が分かるのか。そういう中で実際にCoinhiveの実物を試した裁判長は素晴らしい」(高木氏)



 Coinhive事件解説 後編は、今回の事件の「問題点」について、高木氏の解説を中心にお届けします。


    あなたにおすすめ

    ニュース設定