ホーム > mixiニュース > IT・インターネット > IT総合 > 高木浩光氏が危惧する、「不正指令電磁的記録に関する罪」のずれた前提と善なるエンジニアが犯罪者にされかねない未来(Coinhive裁判解説 後編)

高木浩光氏が危惧する、「不正指令電磁的記録に関する罪」のずれた前提と善なるエンジニアが犯罪者にされかねない未来(Coinhive裁判解説 後編)

0

2019年06月18日 07:12  @IT

  • チェックする
  • つぶやく
  • 日記を書く

@IT

写真情報法制研究所 理事 高木浩光氏
情報法制研究所 理事 高木浩光氏

 自身が運営するWebサイト上に、閲覧してきた他人のPCのCPUを利用して仮想通貨の採掘を行うプログラム「Coinhive」を設置したとして、Webデザイナーの男性がウイルス作成罪に問われた「Coinhive事件」。



【その他の画像】



 日本ハッカー協会が行った緊急セミナーを基にした本記事、前編は被告の弁護を担当した平野弁護士による「警察に逮捕されそうになったときに、エンジニアが取るべき行動について」、そして同裁判で証人として証言台に立った高木浩光氏による、「そもそも、何が不正指令に当たるのか」解説をお届けした。



 後編はさらに詳しく、事件の論点を解説する



●因果関係が逆に? 反意図性の解釈に残る論点



 Coinhive事件で証人として裁判に出廷した高木浩光氏は、裁判を振り返り、無罪にはなったものの、論点が幾か残るという。



 1つ目は「反意図性」の解釈だ。判決は、検察側の主張を受け入れている。



 検察側は「同意なく実行されるプログラム」は、それだけで「意図に反する動作をさせるプログラム」になり、不正ではないものや社会的に許容されるもののみが例外的に除かれる、という解釈でウイルス罪を構成していた。



 だが高木氏は、「同意なく実行されるプログラム」とは文字通りに捉えるべきではなく、「『プログラムに対する社会的な信頼を損なう』という保護法益(※)を害するものかどうか」という観点から規範的に判断すべきものであると、「大コンメンタール刑法」の解説を引用しながら説明した。



 つまり、「検察側は『意図に反するならば保護法益を侵害する』と主張しているが、大コンメンタール刑法では『保護法益を害するものを意図に反するものとする』と解釈しており、まったく逆だ」と、単なる解説書の読み間違いだと説明した。



 こう読み解くことで、広告のようなものやユーザーが同意した覚えのないプログラムだけでなく、新しく社会に出てきたばかりで、まだ皆に許容されていないものが、常に「意図に反する動作をさせるプログラム」とされてしまう解釈は避けられるという。



 そして、ウイルスやマルウェアのように、ごく絞られた、しかし犯罪に相当するものが「同意なく実行されるプログラムのうち、規範的な判断として意図に反する動作をさせる」に該当することになるという整理だ。



 2つ目に指摘したのが、「同意」の有無と、有罪か無罪かの関係だ。



 高木氏は、「有罪か無罪かの判断を、同意取得の有無に頼るのは危険だと指摘しておきたい」と述べた。



 同意の有無に頼ると、例えばかつての「The Movie事件」のような危険なプログラムでも、パーミッション取得に関する形式的な同意があれば「合法」と見なされる一方、人を驚かせる「ジョークプログラム」は当然ながら同意がなく、軽い驚きを与えるだけなのに「犯罪」と見なされ、「非常にバランスを欠いた判断の温床になりかねない」という。



 だが、世の中に出ている論調を見ると、社会的な許容のない新しいケースについて、「ユーザーの同意を取ること」が望ましく、それがないと犯罪になり得るという「誤解」に基づいていると指摘した。



 もともとの条文の書き方が難解なことも一因だろう。刑法改正案の議論がなされていたときには、「『意図に反する』と『不正に』は独立した要件ではなく、くっついた一個の要件なのではないかと言う指摘をされている」こともあり、本来ならば「不正に意図に反する」と記述すべきだったのかもしれないという。



 その上で高木氏は、一審判決はこの点について誤読をしたままではないかと述べた。



 控訴審において、「このように解釈したとしてもなお、『Coinhiveの設置が保護法益を害する程度に意図に反するものであったのかどうか』という論点はあらためて問われることになる。Coinhiveの設置が、コンピュータプログラムに対する社会的信頼を害したといえるか、これが議論の本丸になる」とし、控訴審において「不正指令」とは何かの基準が明確にされることを期待したいとした。



●立法当初は議論の対象外だったデュアルユースのプログラム



 高木氏は他にも、下記の論点に触れた。



・「動作」の解釈――その目的まで含めて動作の意図に反するといわなければならないのか



・「実行の用に供する」の解釈



・「供用」の扱い――作成、保管との関係



 こういった食い違いが生じている背景には、立法のいきさつも影響しているのではないかと説明した。



 2011年に新設された刑法「不正指令電磁的記録に関する罪」。この法律について、議論され始めたのは、Code RedやNimda、Slammerといったワーム型ウイルスが猛威を振るっていた2003年ごろだった。



 法制審議会が想定したのもこうしたウイルス、つまり「作成した段階で即危険物といっても構わないプログラムだけが『不正指令電磁的記録』に当たると考えられ、作成罪の議論の対象となっていた」と高木氏は説明した。



 逆にトロイの木馬(もしくは遠隔操作プログラム)のように、「善用も悪用もできるデュアルユースのプログラムについては議論されないまま」(同氏)、つまり専門家や技術者の知見を踏まえないまま、ウイルス罪に関する話が進んでしまった。



 結果として、ワームのように常に意図に反する「危険物」を作り出す場合と、善用も悪用も可能なものを作成する場合とではレベルに大きな開きがあり、異なる判断基準を適用すべきであるにもかかわらず、混同され、誤解されていることが、Coinhive事件をはじめとする一連の事件の背景にあるのではないかと説明した。



 こうして「作り出したら直ちに危険」という考え方でいくと、ワームやウイルスの作成はもちろんだが、善用も可能なリモートアクセスツールについても「作ったら危険、出版物で説明しても危険」ということになり、「セキュリティ技術者にも脅威となってくる」(高木氏)。



 だが残念ながら、ウイルス罪が国会に提出されて成立した当時のことを知る担当者も人事異動などで入れ替わっている。当時のいきさつや考え方を知る人が少なくなり、警察庁から適切な、まっとうな指導ができていないこの状況は異常なことだと高木氏は言う。



●異なる要件の犯罪を混同することで生じたバランスの欠けた現状



 情報法制研究所では、情報公開請求制度を活用してサイバー犯罪に関する検挙に関する文書を請求し、その内容を確認、整理してきた。監視アプリの無断インストールや架空請求の脅迫画面の表示、チートツールを装ったID/パスワードの窃取、DoS攻撃などさまざまな検挙事例があった。



 「これらを全部洗い出して表にしてみると、最後のWizard BibleとCoinhiveだけが異常だ。それ以外のものは全て、誰にとっても汚らわしいものであり、納得できる」



 こうした動きの背景として、検察側がサイバー犯罪に関して、法律の規定を待つまでもなく反社会的、反道徳的とされる犯罪を指す「自然犯」と、行政的に特定の行為を禁止する「法定犯、行政犯」を区別せずに扱っていることがあるのではないかとした。



 不正指令電磁的記録は自然犯に列挙されている一方、不正アクセス禁止法で定められている「不正アクセス」は、「電気通信に関する秩序」を維持するという保護法益のために設けられた法定犯だ。



 曖昧な要件である不正指令電磁的記録の罪と、他人のIDとパスワードを入力するという明確な要件である不正アクセスの罪は「比べられない」(高木氏)はずなのに、そこを混同しているのではないかと懸念を述べた。



 この結果、各都道府県警が少年や児童による不正アクセス禁止法違反を熱心に検挙し、まるで学校の生活指導のように諭し、書類送検を行っているのではないかと高木氏は推測する。



 そしてこれと同じ感覚で、グレーな部分が大きい不正指令電磁的記録について検挙を行ったのが、Coinhive事件ではないかというわけだ。高木氏は「意図に反する動作というものを形式的に、字面通りに、IDとパスワードを入力する行為と同等に捉えて『やったから、はい、犯罪』と運用するのは法の趣旨を間違えている」と述べた。



●積極的な取り締まりが進められている背景は



 昨今、不正送金やフィッシング詐欺、流出したID/パスワードを用いた不正ログイン、ランサムウェアによる金銭の詐取などさまざまな「サイバー犯罪」が横行しており、警察庁もその対策、摘発に力を入れる姿勢を明らかにしている。



 だが、本当に金銭的に、あるいは社会的に実害を及ぼす案件(特に、海外の事業者がからむもの)の対応が後手に回っている一方で、Coinhiveやアラートループのようなプログラムが取り締まられ、検挙の実績は増加していくのかもしれない。



 そうした動きを裏付けるような文書が、2019年2月15日に警察庁から出された「不正指令電磁的記録に関する罪の取締りの推進及び取締りに当たっての留意事項について」とする通達で、各都道府県警に対し、「取り締まりを通じて法の趣旨が広く国民に周知されるよう、積極的な検挙広報を実施」していくよう求めている。



 高木氏は「この文書の言っていることは間違ってはいないが、どういう範囲で積極的にやるべきかについては何も言及しておらず、条文を繰り返すだけで何の基準も示していない」と危険性を指摘し、エンジニア一人一人が批判を行ったり、あるいは国会議員に訴えたりといった形で問題提起を行うべきだと呼び掛けた。



 高木氏は最後に講演後の質疑応答に答え、こんなコメントもしている。



 「今やコンピュータを全ての人が使っている時代。法律学者も弁護士も、皆さん使っており、ITのことを分かっている人が相当増えている。そうすると、過去に先駆者的に使っていた人だけでなく、本来の刑法の専門家、刑事弁護の専門家が意見を述べていくべきだと思う」



 「私たちは当事者なんです。放っておいたら大変なことになる。こういった罪ができたら、意図に反するものは全部犯罪になるのか、バグが出ても犯罪になるのか……といったことを分析し、整理していくことを、誰がやってくれるのか」と述べ、刑法の観点からしっかり議論していくべきだとした。


    あなたにおすすめ

    ニュース設定