昨日の読売新聞朝刊解説面に以下の記事が出た。
「まさか違法とは……」。こううなだれる首都圏のウェブデザイナー(30)は今年3月、横浜地検にウイルス保管罪で略式起訴され、罰金10万円の略式命令を受けた。自分の運営する音楽サイトに昨秋、「コインハイブ」と呼ばれるコインマイナー用のプログラムを設置したところ、これがウイルスと判断されたのだ。
(略)昨年末から神奈川や宮城、栃木、茨城県警など全国の警察が捜査を開始。これまでに確認できただけで5人のサイト運営者がウイルスの供用や保管などの容疑で捜索を受け、既に略式命令を受けたケースもある。(略)
略式命令を受けたウェブデザイナーは処分に納得できず正式裁判を請求した。弁護を引き受けた平野敬弁護士は「閲覧者のパソコンを壊したり情報を盗んだりといった不正な動きはしない」としてウイルスには該当しないと主張している。
実は、記事にある平野弁護士から、この事件のことで4月に問い合わせを受けていた。平野弁護士は元大手SIerとITコンサル会社で仕事をされていた方で、院生時代から私のブログを読んでいらしたとのことで、不正指令電磁的記録の罪が創設される刑法改正過程にあった議論のことを把握されていて、私ならこの事件を白と主張するはずと直感されたようで、私のところへ訪ねて来られたのであった。
その際、被告人となっているご本人(以下「Aさん」)ともお会いし、どんなサイトに設置していたのか、どんな認識をしていたのか、どんな取り調べだったのかなどのお話をうかがった。設置していたというサイトは、実際に見に行ってみると素敵なコミュニティサイトで、それ自体に何の曇りも見られない*1ところだった。
私のCoinhiveについての考えは、昨年12月に日経新聞が報じた時点で、「違法だとの記事の指摘に無理がある」旨のツイートをしていたし、1月3日にも「無断マイニングの挿入を供用罪とするかは微妙なところ」ともツイートしていたが、この時点ではさほど深くは考えていなかった。Aさんの事件を知り、改めて、Coinhiveそれ自体がなぜ不正指令電磁的記録に該当しないか(客体の該当性からして構成要件を満たさない)について考えを巡られせていたが、本務先の降って湧いた火の車業務に忙殺されて、しっかり立論するのを後回しにしていた。
そうこうしているうちに、5月になって、匿名希望の方からのメールがあり、Coinhiveの設置で警察の家宅捜索を受けたという情報提供があった。この方は、反省しきりの様子ではあるものの、元々、不正指令電磁的記録の罪については勉強して知っており、Coinhiveの使用に際してそれに該当するとは思いもよらなかったということで、警察の捜査に素直に応じているものの、これが構成要件を満たすとは納得がいかない様子だった。
この方が私に情報を寄せた趣旨は、捜査員から聞いた話として、合同捜査本部があって複数の県警に事件が割り振られており、結構な人数が検挙されているらしいとのことから、他の人たちも含めて大丈夫なのか、今も何も知らずに利用している人たちは大丈夫なのかと、私に問いかけるものだった。
これを知り、これはまずいことになっているぞと取り急ぎ書いたのが、前回の日記「緊急周知 Coinhive使用を不正指令電磁的記録供用の罪にしてはいけない」であった。「同様の捜査の対象になった方は、私まで情報をお寄せください」と呼びかけたところ、すぐに反応があり、何人もの人々から「自分も同様の状況にある」(家宅捜索を受け、事情聴取が続いている)との情報が寄せられた。どこの地方警察かを確認したところ、いずれも田舎県警ばかり*2で、警視庁と京都府警は含まれていなかった。合同捜査らしいという話はこれらの人々からも情報提供があった。
刑法19章の2は、168条の2で、不正指令電磁的記録を「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」と定義し、それをそのような実行の用に供する行為を供用罪(同条2項)とし、それをそのような実行の用に供する目的で取得・保管する行為を取得・保管罪(168条の3)として規定している。
今回のAさんは、この供用目的保管罪で起訴されている。ここで、供用罪ではなく供用目的保管罪を適用していることには、大した意味はない。供用罪で立件するには、具体的にダウンロードした人がいたことを立証する必要があるところ、供用目的保管罪にしておけばそれを省略できるという、警察の捜査の手間の都合にすぎず*3、他の事件でも同様の傾向*4が見られる。供用罪が成立し得ないような態様であれば、供用目的保管罪も成立しない。
これまで、私の不正指令電磁的記録に関する日記では、やや難しい理屈を展開してきた。それは、客体の該当性は必ずしも静的に決まるものではなく、どのような意図で実行の用に供するのかによって客体の該当性が動的に変わるとする論(このことは後に、法務省担当者の解説では「相対的に決まる」と表現されていた。)であった。つまり、善用も悪用も可能なプログラムについて悪用する者が居た場合に、作成罪は成立しないが供用罪は成立するという場合があることを論じてきた。しかし、本件はそういう話ではなく、単純である。作成者の意図した通りに利用した行為が罪に問われているのだから、供用罪が成立するなら作成罪も成立するという、客体の該当性が静的に決まるケースである。
Coinhiveの挙動が「意図に反する動作をさせる」ものなのか。これ自体、否定する論も主張できる(後述する)が、ひとまず仮に、意図に反する動作をさせるものだということにしよう。Webサイトの閲覧者は、見に行こうとしているWebサイトがどんな挙動をするのか事前に全て把握してなどいないから、ほとんど全てのサイトが「意図に反する動作をさせる」サイトであると言うこともできよう。
しかし、刑法は、そのような意味での「意図に反する動作をさせる」サイトの全てを犯罪としているのではなく、「不正な」指令を与えるものに限定している。このことは、刑法改正案の元となった要綱を議論した法制審議会の議事録からもその趣旨を読み取れる。
●第一の「不正指令電磁的記録等作成等の罪の新設等」のあたりからちょっと教えていただきたいのですが。(略)
それから,オフィスというソフトウェアがありますけれども,あれも買って使うといろいろ便利な表とかワープロとか出てきますけれども,何もしないとイルカが出てくる。邪魔だということで消さなければいけない。こういう機能面というのですか,おまえが買ったのだからということでこれを処罰するというふうには考えていないとは思うので,例として出したわけですけれども,この辺をどういうふうに切っていくのだろうと。つまり,その意図というのはどういうふうに解釈するのか,つまり,購入した,あるいはプログラムを作成したその作成されたプログラムそれ自体というふうに考えるのか,それから,いつの時点で把握するのか。つまり,ワードのイルカを出すプログラムをかいた人は,当然それが買った人のもとでもそのように動くということは分かっている,買った人は,そんなものが動くとは思っていない。(略)
●まず,保護法益の関係でございますが,(略)
また,意図に反するものであっても,正当なものがあるのではないかというような御質問もあったかと思いますが,その観点からは,この要綱の案におきましては,対象とする電磁的記録を「不正な指令に係る電磁的記録」に限定しておりまして,例えば,アプリケーション・プログラムの作成会社が修正プログラムをユーザーの意図に基づかないでユーザーのコンピュータにインストールするような場合,これは,形式的には「意図に反する動作をさせる指令」に当たることがあっても,そういう社会的に許容されるような動作をするプログラムにつきましては,不正な指令に当たらないということで,構成要件的に該当しないと考えております。
●基本的に,コンピュータの使用者の意図に沿わない動作をさせる,あるいは意図している動作をさせないような指令を与えるプログラムは,その指令内容を問わずに,それ自体,人のプログラムに対する信頼を害するものとして,その作成,供用等の行為には当罰性があると考えておりますが,そういうものに形式的には当たるけれども社会的に許容できるようなものが例外的にあり得ると考えられますので,これを除外することを明らかにするために,「不正な」という要件を更につけ加えているということでございます。
しかし、何をもって「不正な」とするべきなのかは、はっきりしない。刑法改正に際して法務省が示した「いわゆるコンピュータ・ウイルスに関する罪について」では、「プログラムによる指令が「不正な」ものに当たるか否かは、その機能を踏まえ、社会的に許容し得るものであるか否かと言う観点から判断することとなる。」と説明されているだけである。立案担当者らにより法学誌に発表された解説においても同様である。
学説では、石井徹哉「いわゆる「デュアル・ユース・ツール」の刑事的規制について(中)」(千葉大学法学論集、2012)が、この「不正な」を一定の基準で限定的に捉えるべきものとして、78頁注89で、「プログラムの動作に対する信頼を第一次的な保護法益としつつも、その背後に情報セキュリティの保護が存在することを考慮するのであれば、「不正の」の解釈にあたっては、たんに意図に反する動作をするだけでは足りず、情報セキュリティ上の脅威となる実体が必要と解すべきことになる。園田寿『情報社会と刑法』(2011年)73頁は、日本語入力ソフトの変換プログラムにおける誤変換をもって、当該プログラムを不正指令電磁的記録にあたるとするが、これは「不正の」の文言解釈をいたずらに無視するものであって、不当である。」*5としていた。
この説に基づくと、今回の読売新聞の記事で弁護人が「閲覧者のパソコンを壊したり情報を盗んだりといった不正な動きはしない」と述べている理由(加えて言えば、ワームとしての挙動もない)により、「不正な指令」に当たらないということになる。
他方、上記の石井説の引用中で批判されている「日本語入力ソフトの誤変換」も不正指令電磁的記録となり得るとする説を示したことのある園田寿教授は、今回の読売新聞の記事で以下のようにコメントした。
「クロに近いグレー」とみるのは刑法が専門の園田寿・甲南大法科大学院教授だ。「技術者にとっては常識的な技術でも、一般の利用者にすれば、自分のパソコンが他人に道具のように使われているとは想像できないだろうし、そうされたいとも思わないだろう」として、「社会的に許容されているとは言い難い」と話す。
[解説スペシャル]ウイルスか合法技術か 他人のPC「借用」 仮想通貨計算 サイトに設置 摘発相次ぐ, 読売新聞2018年6月9日朝刊
こちらの説では、「そうされたいとも思わない」という程度、すなわち、人々が嫌な思いをするようなものでも、「不正な」に該当するということになる。もっとも、これは、ある一人が「俺は嫌な思いをした」というだけで該当するわけではなく、社会一般の評価として「許容し得るもの」でない場合に該当するという話である点に注意が必要である。
もし、石井説のように限定的に捉えることはできないのだとすれば、Coinhiveが「社会一般の評価として許容し得るもの」か否かを、真正面から検討しておく必要がある。
前回の日記で「Coinhive使用を不正指令電磁的記録供用の罪にしてはいけない」と予告したところ、意外にも素人ではない読者の方々の反応として、「不正指令電磁的記録に該当しないことになったら、あれが困る、これが困る」という声が数多く見られた。世間の評価としては、Coinhive憎しの声は多いようである。そうすると、Coinhiveは「社会一般の評価として許容し得るもの」ではないということになるのだろうか。
Webサイトに貼って暗号通貨の採掘をするというアイデアは、2013年にMITの学生が起業したBitcoinを採掘する「Tidbit」の先例*6があった。Tidbitは登場すると批判があったのであろうか、ニュージャージー州の消費者詐欺防止法に違反し得るとして州の司法当局の調査対象となり、EFFが助けに入って、和解に至った*7という事案があったようだ。
Tidbitが、Webサイトの収益源として広告の代わりになるという構想であった*8のと同様に、Coinhiveもその目的が想定されている*9。今回のウェブデザイナーのAさんも、サイトの運営費が必要なところ、見苦しい広告を貼りたくないという状況の中で、Coinhiveに活路を見出したという状況があった様子だった。そのようなコンセプトが広く受け入れられるなら、Coinhive(と後続して登場した他の類似品)は爆発的に普及する可能性を秘めている。
ここで私の感情を述べると、実は私も、Coinhiveが爆発的に普及した世の中は来ないで欲しいと思っている。どこのサイトに行ってもCoinhiveが設置され、新聞を読みに行っても、テレビニュースを見に行っても、Coinhiveによって自分のCPUが使われるという世の中が来てしまうのは、嫌だ。
この感情には、そもそも暗号通貨自体が馬鹿げたもので、猫も杓子も何ちゃらコインと熱を上げているのは実に馬鹿馬鹿しいと、そういう偏見が作用している面もあるかもしれない。そんなくだらない連中を利するのはごめんだという感情が私にもないわけではない。
技術面で言えば、ある一つのWebサイトでCoinhiveが動いている程度なら、CPU負荷も13%程度しか食わない(2コア4スレッドのCPUで、1スレッド使用、スロットル0.5設定のCoinhiveが1つ動いた場合)から気にならないにしても、複数のタブやウィンドウで開いている各サイトでこれが動くと、CPU負荷が累積されて100%になる*10ことも起きそうである。
識者の人々がCoinhiveに嫌悪感を抱くのは、そうした残念な未来が見えているからではなかろうか。
つまり、言いたいのは、Coinhiveが「社会一般の評価として許容し得ない」ものであるとすれば、それは、Coinhiveが広く普及した社会が到来した場合のそれ全体についてであって、一つのWebサイトが動かしている時点での個々の事例についてではないはずだということである。
すなわち、もし、Coinhiveの普及を「社会一般の評価として許容し得ない」ものとして刑事処分により排除することで社会秩序を維持するのが妥当だとしても、それは、Coinhiveを作成して広く普及させようと企てている者を作成罪で処分して解決するべきことであり、その個々の設置者を供用罪(及び供用目的取得・保管罪)に問うことは失当であるというのが、私の意見である。Tidbitのケースでも、設置者ではなく作成者が問題とされていた。
このことは、昔ながらの狭義のコンピュータウイルスのような、自己伝染機能を持つワーム型ウイルスの場合と対比してみるとよい。ワーム型ウイルスは作成者が作成罪に問われるのは当然として、ワーム型ウイルスであると知りながら故意に他人に実行させた者も供用罪に問われるのは当然である。これに対し、Coinhiveの上記の整理では、コンセプト普及を企てた作成者が仮に作成罪に問われるとしても、個々の実施者は供用罪に当たらないという考え方である。この違いが生じるのは、ワーム型ウイルスはその実行自体が危険を現実化するのに対して、Coinhiveの設置はそれ単独では危険を現実化しないからである。
このような見解に対して反論もあり得る。「Coinhiveの設置はそれ単独では危険を現実化しない」と言えるのかである。
Coinhiveの設置が不正指令電磁的記録供用だとする人は、「自分のパソコンのCPUを勝手に使われてマイニングさせられる」ことが不正だと言うのだが、ここで問いたいのは、不正だとするのは「自分のパソコンのCPUを勝手に使われる」こと自体なのか、「マイニングさせられる」こと自体なのか、それとも、両方が連なって初めて不正だという話なのか、どの意味で言われているのかである。
「マイニングさせられる」こと自体を不正とするのは、暗号通貨自体を嫌悪する個人的感情に基づくものに過ぎないのではないか。金儲けが気に入らないというのであれば、広告の設置を含め、マネタイズそれ自体が不正ということになってしまう。金を盗み取られているような感覚を覚える人もいそうであるが、それは誤解というほかない。機会損失だというのなら話はわかる。すなわち、もし皆がみんな、自分のパソコンで暗号通貨の採掘を日々行う世の中が到来した場合に、採掘しながらWebサイトを閲覧すると、Coinhiveとその設置者に採掘の機会を奪われることになるから、その分の金銭的損失が出るという理屈である。しかし、現在のところ社会はそのような状況にない。
「自分のパソコンのCPUを勝手に使われる」こと自体を不正とするのは、どうか。それを言うのなら、いかなるWebサイトの閲覧についても「あなたのパソコンのCPUを勝手に使われていますよ」と指摘しなくてはならない。
程度問題としてはどうか。Coinhiveが設置されているとCPUが100%食われるものと思い込んでいる人たちがいるようで(今回捜査している警察にはその様子がある)、その思い込みに基づけば、「自分のパソコンのCPUを勝手に使われ」不正だというのも理解できなくもないが、実際には、Aさんの場合、スロットルは0.5に設定され、スレッド数も制限されていたから、今時の2コア4スレッド以上のCPUでは、25%以下の負荷しか食わない。その程度の負荷で不正だというのであれば、勝手に動画再生をぶち込んでくる広告も同罪ということになろう。
そもそもCPUは使うためにある。昔の(1990年代までの)CPUでは、今のような電力制御が行われていなかったから、電源が入っている限り、空いているCPUは使わないと勿体無いと考えられる時代もあった。WebサイトでCPUを勝手に使うと犯罪になるなどという常識はなかった。それが、今日のCPUでは、使われていないときは消費電力を抑えるように設計されており、モバイルPCも普及したことから、CPU負荷はバッテリの残量を減らすことに直結しており、無用に電力を消費するWebサイトは嫌われるという面はある。
実際、私も2005年に「環境負荷の高いIBM広告」という日記を書いて、CPU負荷を食い過ぎなFlash広告の蔓延を皮肉ったことがある。このIBM広告のFlashオブジェクトは、現在も以下のURLに置かれている。これを開いてみれば、Aさんの設置していたCoinhiveと同程度の負荷を食うことを確認できる。派手なアニメーション表現を使ったことでCPUを食っていた*11のである。
http://ad.jp.doubleclick.net/954254/IBM_STG-AD_xSeries_X3_90x728_30k_mugen_IT-Pro_0530.swf
この広告を製作したデザイナーは、CPUは使うものだと思っていたに違いない。しかし、時代の移り変わりとともに、こうした広告は嫌われるようになっていき、現在は見られなくなった。(他方で、現在は動画広告が蔓延しているが。)
Webのコンテンツについて何が迷惑なものとされるかは、その時々の様々な前提によって変わり得る。迷惑なものを出したからといって刑罰に処されるというのは、あまりに過酷ではないか。「重いWebサイトはやめよう」というキャンペーンを展開するのはよいだろう。それはマナーの問題であって、犯罪として処断する話ではない。
では、「自分のパソコンのCPUを勝手に使われる」ことと「マイニングさせられる」こととが連なって初めて不正なものとなるのであろうか。それぞれ単独では不正でないのに?
ここで考えてみたいのは、以下のツイートをする人がいたように、マイニングせず、ただ空転するだけの無限ループを設置したWebサイトの公開は犯罪なのかという思考実験である。
無限ループで無用にCPU負荷を食ってしまうWebサイトは、バグとして従前からあり得たであろう。それを放置していたからといって犯罪になるとは、これまでのインターネット史の中で誰も言っていなかった。仮に今から故意にそのようなサイトを作って公開したら、警察は摘発するつもりなのだろうか。さすがにどんな田舎警察でもそんなことはしないだろう。
それが、暗号通貨を採掘するとなると途端に犯罪と思ってしまう人が出てくるのは、いったいどういう思考の結果なのか。
空転してCPUを浪費するWebサイトは、バグとして稀に存在するかもしれないが、無益であるが故に、真似して多くのサイトがそのようにするということは起きない。そのようなサイトは見に行かないようにすればよい。それに対して、Coinhiveの場合は、金になるから多くのサイトが真似をして導入するという性質がある。どこのサイトに行ってもCoinhiveが設置されている世の中が来ると、「見に行かないように」することができず、逃げ場がなくなる。そのような将来を予感させることこそが、Coinhiveをなんとかしてくれ(警察が取り締まってくれ)という感覚を生じさせるのだろう。しかし、一つひとつのWebサイト(Coinhive設置者)に責任があるわけではない。
「皆がやりだすと社会的に迷惑となるが、一人がやっているうちは何の害もない。」そういう性質の事案である。社会的迷惑を避けるには、行政規制で対処すること*12にはなり得ても、一人ひとりを刑罰で排除するのは間違っている。前記の繰り返しになるが、仮にCoinhiveの作成者を作成罪に問うことがあり得るとしても、個々の設置者を供用罪(及び供用目的取得・保管罪)に問うことは失当なのである。
次に、前記で「後述する」とした、「意図に反する動作をさせる」ものにも当たらないとする論点について。
法制審議会の議事録を見ると、「意図に反する動作」というのは、少しでも閲覧者の意図にそぐわない動作をすれば該当するというものではなく、「電子計算機のプログラムに対する社会一般の信頼を害するという観点から規範的に判断されるべきもの」であり、「仮に使用者がかかる機能を現実に認識していなくても、それに基づく電子計算機の動作は、「使用者の意図に反する動作」には当たらないことになる」とされていた。このような説明は、改正法成立後に法学誌に発表された解説においても引き継がれている。
次に,「人の使用する電子計算機についてその意図に沿うべき動作をさせず,又はその意図に反する動作をさせる不正な指令」につきましては,「その意図に反する」とはどのように解釈するのか,あるいは一般のユーザーには事前に分からないような機能を有するプログラムは「その意図に反する指令」に当たるのかについて御質問がございました。
本罪は,ただいま御説明いたしましたとおり,電子計算機のプログラムに対する社会一般の信頼を保護法益とする罪でございますので,電子計算機を使用する者の意図に反する動作であるか否かは,そのような信頼を害するものであるかどうかという観点から規範的に判断されるべきものでございます。すなわち,かかる判断は,電子計算機の使用者におけるプログラムの具体的な機能に対する現実の認識を基準とするのではなくて,使用者として認識すべきと考えられるところを基準とすべきであると考えております。
したがいまして,例えば,通常市販されているアプリケーションソフトの場合,電子計算機の使用者は,プログラムの指令により電子計算機が行う基本的な動作については当然認識しているものと考えられます上,それ以外のプログラムの詳細な機能につきましても,プログラムソフトの使用説明書等に記載されるなどして,通常,使用者が認識し得るようになっているのですから,そのような場合,仮に使用者がかかる機能を現実に認識していなくても,それに基づく電子計算機の動作は,「使用者の意図に反する動作」には当たらないことになると考えております。
これを本件に当てはめれば、Webサイトを閲覧するからには、一般に、CPUをある程度使われることは、あり得ることとして当然に認識されているものと言える。個々の閲覧者が、あるサイトを閲覧する際に、「そんなに重いサイトではないだろう」と期待しながら閲覧したものの、実はそれ以上に重いサイトであったという、個別の事案における認識が「意図に反する動作をさせるもの」と法的に評価されるわけではない。
重いサイトというのも、それを含めた当該サイトの表現物である。Webは、サンドボックスにより安全が確保されてきたことから、安心してどんなサイトでも閲覧してよい(リンクをクリックしてよい)という常識で成り立っている。しかし中には、グロ写真や蓮画像など、閲覧した人の気分を害するコンテンツもあり得るだろう。だが、それ自体が犯罪となるわけではなかろう。Webサイトは「サイト開設者の庭」であり、「庭を見に行ったところ不愉快になった」のなら、「戻る」ボタンを押してその庭から離脱すればよいのである。Coinhiveも、サイトを離脱した時点で計算処理が停止するのだから、嫌なら二度と行かないようにすればよい。
読売新聞の前掲の園田教授のコメントは、以下のように続き、締めくくられている。
……として、「社会的に許容されているとは言い難い」と話す。
広告と同じ仕組みであるという点についても、「広告も、利用者が実態をよく理解しないうちに広がってしまったが、勝手に情報を取得する広告はクロに近い」とする。
だが、画期的な技術やサービスが次々と登場する時代には、新技術がすぐに社会に受け入れられない可能性もあり、不正の判断はますます難しくなるとも指摘する。「不正と認定されないためには、利用者に丁寧に説明し、同意をとりながら進めていく以外にないのでは」と話している。
[解説スペシャル]ウイルスか合法技術か 他人のPC「借用」 仮想通貨計算 サイトに設置 摘発相次ぐ, 読売新聞2018年6月9日朝刊
これを見て「同意を得ないでCoinhiveを動かしたんだったら犯罪だ」と短絡思考する読者がいないか、心配になる。園田先生のこの終わりのコメント「同意をとりながら進めていく以外にない」は、新しい技術に手を出すときに違法とされないための守りの手段として、一般論が述べられたものだろうと思う。
「同意を得ておけば犯罪でなくなる」が真だからといって、同意を得ないでする行為の全てが犯罪ということになるわけではない。そんな当たり前の論理が通用しない……というのが、今回の神奈川県警の捜査のようなのだ。
Aさんによると、警察の聴取はまさにそんな調子で、同意を得ないでやったんだからお前の行為は犯罪なんだと言わんばかりだったようである。具体的には以下のようなことを言われたそうだ。
最後の「ツイッターで指摘されたから」というのは、違法性の認識があったとするための言質を取ろうとしたものだろう。しかし、この「ツイッターで指摘」という実際のやりとりを見に行ったところ、およそそのようには見えないやり取りだった。
指摘をしたのは、最近Cryptojacking*13ウォッチャーとして活動されている*14「にのせき」氏(@ninoski)で、その指摘は、以下のように、「改ざんされてませんか?」という趣旨のものであった。
(注:実際のやり取りを要約したもので、原文通りではない。)
にのせき氏「あなたのWebサービスにCoinhiveあるけど、改竄されてない? 自分で入れてるのならグレーでは?」
Aさん「お知らせありがとうございます! 自分で入れたものなので大丈夫です。グレーとは思いませんが、おっしゃることもわかるので、同意を得るように検討します!」
にのせき氏「了解です。個人的には同意を得たCoinhive利用は歓迎です。ご検討よろしく。」
Aさん「ありがとうございます! 広告に代わる新しい収益モデルとしてポジティブに迎え入れられたい一心なので早急に対応します!」
このやり取りを見て不正指令電磁的記録供用の故意*15があったとみなそうというのだから、信じがたい。
Aさんは、前向きに同意を得る方法に切り替えるよう努力したが、当時、自力で同意を得る仕組みを作りこむ必要があって、すぐには作れそうになかったため、このやりとりの10日後に、諦めてCoinhiveの設置を取りやめたそうである。
当時(2017年10月下旬)は、まだ、Coinhiveのことはあまり世間で話題になっておらず、これを違法だとする報道もなかった。したがって、行為のあった時点で、違法性の認識があったか(Coinhiveが客観的に不正指令電磁的記録に該当するものであるとの認識があったか)が、犯罪として成立するための要件となる。
警察は、取りやめたことをもって故意があったと捉えている様子がある。というのも、情報提供のあった他の被疑者の方々の状況を聞くと、むしろ、止めずに放置していた(家宅捜索で中止した)というケースの方が、捜査の進行が後回しにされている様子がある。つまり、他人から指摘を受けた様子もなく、やめた様子もない場合には、違法性の認識があったと言い難いのだろう。
その結果、最も善良な対応をしていたとも言えるAさんが、真っ先に起訴された(略式だが)わけである。 善良な対応をしていた人を犯罪者に仕立て上げることに、いったいどんな正義があるというのだろう? 神奈川県警のサイバー課はどういう教育を受けているのか。全員揃って基礎的な正義感覚からして狂っているのではないか。
また、Aさんによると、聴取ではしきりに「反省した」と言わされそうになったそうで、違法だとは納得していなかったAさんに、警察はこう畳み掛けてきた*16という。
警察官「〇〇さんよう、な、お前がやっていることはぁ、法律に引っかかってんだよ。な、分かんだろ? そこまでは。」
Aさん「……。」
警察官「引っかかってんだよ、法律に。」
Aさん「……はい。」
警察官「な? だから警察ガサやってんだよ。お前がどう思おうが関係ねえんだよ。引っかかってんだよ。わかるか?」
Aさん「……はい。おっしゃってることは……。」
警察官「引っかかっちまったんだからぁ、やっちまったことはしょうがねえ。な? あとはちゃんと反省しろよ。今後どうすんだよ、またやんの?」
Aさん「や、やらないつもり……です。」
警察官「やんねーだろ? だったらちゃんと反省しろよ。」
Aさん「そう……なんですけど、先ほどお話し出たように……」
警察官「だからなんでそこで言葉返って来んだよ。反省してんの?」
Aさん「変に伝わったらまずいかなと思って。ホントに、お騒がせしたことは悪いと思っています。」
警察官「お騒がせじゃなくてぇ、法律に」
Aさん「法律に関しては、現段階ではわからないということです。」
警察官「だから引っかかってるていうの教えてやってんじゃんかよ。」
Aさん「……警察の方ですよね?」
警察官「警察だよ。だからー、反省しろよって言ってんの。」
Aさん「んー、法律についてのことは警察の方は述べられないと聞いたんですけど。」
警察官「裁判所が令状出してんだろ。」
Aさん「そうですね。」
警察官「そうだろ? だから引っかかってんだよ。それについて反省しろよって言ってんの。」
Aさん「はい。」
警察官「わかった?」(以下略)
そして、検察はどうしたかというと、「裁判する?しないよね?じゃあ略式。」という程度の対応で、一瞬で済ませられてしまったのだという。
それにしても、なぜこんなことになってしまったのだろうか。その原因が、マスコミの過去の報道から垣間見える。昨年12月10日、日経新聞が以下の記事を飛ばしていた。
インターネット上で仮想通貨を獲得できる手段の一つ「マイニング(採掘)」作業を、無断で閲覧者のパソコン(PC)に手伝わせる不正サイトが急増している。サイトにはプログラムが仕込まれ、閲覧者のPCに指示する仕組み。PCの不調、電気代の過度な支払い、個人情報の漏洩などが懸念されている。専門家は「違法の可能性がある」と指摘している。
(略)
こうした動きを悪用しているのが、他人の端末に無断でマイニングをさせるプログラムを仕込んだサイトだ。サイトは仮想通貨情報を紹介するなどの内容で、接続するとプログラムが閲覧者の端末にマイニングを始めるよう指示する。計算作業を終えて得られた仮想通貨はサイト運営者らに送られる。こうしたプログラムは複数あり、大半が海外製とされる。
情報セキュリティー大手トレンドマイクロによると、閲覧者に告知せずマイニングをさせる国内サイト数は、2017年4~6月は計149件だったが、同年7~9月は約12倍の計1749件と急増している。
自らのブログに告知せずマイニングのプログラムを仕込んだ関西地方の男子大学生(21)は「興味本位でやった。2週間でやめたが、約700円分の仮想通貨が手に入った」と話す。
個人情報漏洩も
サイトの閲覧者には多くのリスクが生じる。PCのCPU(中央演算処理装置)の使用率は、マイニング時は100%近くになる。動作が遅くなるほか、バッテリーの過熱状態が続くことで製品寿命も短くなり、電気代もかさむ。プログラムを改造し、個人情報を盗んで犯罪に悪用する恐れも出ている。
ただ、PCに最新のセキュリティーソフトを入れれば、サイト閲覧時に警告が表示されるケースも多いという。トレンドマイクロの岡本勝之さんは「動作が急に遅くなったり発熱したりするなどの異変があれば疑ってみるべきだ」と話す。
現時点でこうしたサイト運営者が摘発された例はないとされるが、仮想通貨技術などに詳しい斎藤創弁護士は「サイトの閲覧者に告知せず意図に反してマイニングをさせる行為は、不正指令電磁的記録供用罪などに当たる可能性がある」と指摘している。
いろいろデマが満載だ。実際に試してみればわかる*17ことだが、「PCの不調」など生じないし、CPUが100%になることもない(ように設定がされ得る)し、「動作が遅くなる」こともない。「個人情報の漏洩などが懸念」は完全にフェイクニュースであり、「プログラムを改造し、個人情報を盗んで犯罪に悪用する恐れも出ている」などというナンセンスセンテンスは噴飯もの以外の何物でもない。
この記事について当時、私は以下のようにツイートしていたのだが、今思えば、このときにもっと全力を出していればよかったのかもしれない。
前回の日記「緊急周知 Coinhive使用を不正指令電磁的記録供用の罪にしてはいけない」を掲載したところ、日経新聞の記者から取材があった。「暗号通貨について報じてきた」というので、もしや?と思い尋ねたところ、この記事を書いた記者だった。そこで早速、逆取材を試みた。
記者に取材したのは、なぜ「プログラムを改造し、個人情報を盗んで犯罪に悪用する恐れも出ている」などと書いたのか?である。いかなるプログラムも改造すれば「個人情報を盗んで犯罪に悪用する」ことは可能であるし、いかなるプログラムを改造せずとも「個人情報を盗んで犯罪に悪用する」ことは可能である。すなわち何の意味もない言及である。
すると、「セキュリティの専門家がそのように説明したからだ」とゲロった。取材源の秘匿があるのだろう、その専門家が誰かというのは答えてもらえなかった。それは想定内だ。しかし、記事を見れば、それがトレンドマイクロの岡本勝之社員であることは容易に推測できる。
そして、このような記事は一回では終わらなかった。続いて12月22日に毎日新聞が、24日に読売新聞が同様のことを報じ、5月にも特集記事に出てくるが、いずれにもトレンドマイクロと岡本勝之社員が登場する。
パソコン(PC)やスマートフォン、家庭用IoT(モノのインターネット)機器が仮想通貨獲得の手段に利用される--。第三者が無断で端末を動かし、仮想通貨を得る手段の一つ「マイニング(採掘)」作業をさせる不正サイトが横行している。閲覧しただけで利用されるサイトもあり、端末の動作が遅くなったり、同時に個人情報が漏えいしたりする恐れがある。情報セキュリティー会社は注意を呼びかけている。【関谷俊介】
個人情報漏えいの恐れも
(略)情報セキュリティー大手のトレンドマイクロによると、投資マネーが流入して「ビットコイン」が高騰し、他の仮想通貨の種類も増加。これを背景に、国内でもプログラムを送られて勝手にマイニングをさせられる不正サイトの報告が今年5月から増え始め、9月には848件に上った。また、サイトを閲覧しただけでマイニングに利用されるサービスを悪用した偽サイトも確認されている。
(略)トレンドマイクロは「最新のセキュリティーソフトを入れ、OSを最新に更新しておくことで防ぐ*18ことができる」としている。
他人のパソコンやスマートフォンを勝手に使い、ビットコインなどの仮想通貨を入手する「マイニング」(採掘)と呼ばれる作業を行わせる不正サイトが急増していることが分かった。
(略)
情報セキュリティー会社トレンドマイクロ(東京)は、今年7~9月に計1749の不正サイトを確認。4~6月と比較して約12倍になった。(略)
トレンドマイクロは、「パソコンを勝手に使われると、不正サイトの開設者が収益を得ることに加担させられることになる。OSなどに欠陥があると、他のウイルスを送り込まれる危険性もある」と指摘し、ソフトを常に最新の状態に保つように呼びかけている。
昨年12月、大津市にある社団法人「滋賀グリーン購入ネットワーク」のサイトを閲覧していた滋賀県庁の職員のパソコンが異常を検知した。専門業者が調査すると、サイトが改ざんされ、「コインハイブ」と呼ばれるプログラムが無断で仕込まれていた。
(略)この社団法人のサイトにコインハイブが仕込まれていたのは3日間。担当者は「月間の閲覧数は13万件ほどあり、気づくのが遅れれば多くの方に迷惑をかけるところだった」と話す。
他人のパソコンなどをマイニングに無断で使う不正行為が広がっている。以前はメールや不正サイト経由でパソコンをウイルスに感染させ、マイニングを行っていたが、昨秋、ネット上で公開されたコインハイブは「広告に頼らずに収益が得られる」とうたい、誰でも利用できる。これをサイトに仕込み、閲覧者のパソコンやスマホを無断で使う手口が急増している。
情報セキュリティー会社トレンドマイクロは、人気漫画などを無断で掲載していた海賊版サイト「漫画村」にも、コインハイブが仕込まれていたことを確認した。漫画村の運営者か、別の誰かが仕込んだのかは不明だが、多くの人が長時間、閲覧する漫画村は、マイニングには好都合だ。
ツイッターには一時期、「漫画村を見るとスマホのバッテリーがすぐに減る」などの書き込みが並んだ。トレンドマイクロは「マイニングに利用されていた恐れがある」と推測する。
トレンドマイクロの岡本勝之氏は「サイトを閲覧させるだけで仮想通貨が入手できるので、従来のサイバー攻撃に比べて不正な利益を手にすることが容易になった」と分析。「ネット空間での不正行為のハードルが下がってきている」と懸念する。
最後の記事、前半は、大津市の社団法人のWebサイトが改竄されたという、Cryptojackingのサイバー犯罪ニュースで、それは真っ当な報道である。ところが、そこから話が移り変わって、自分のサイトにCoinhiveを置いている人たちについてまで、「手口」と称して犯罪扱いをしてしまっている。
最後の段落で、岡本勝之社員が、完全にCoinhiveの自主設置を犯罪とみなしている様子がはっきりと出ている。この記事が5月上旬のものであることからして、神奈川県警らの合同捜査のことを知っていたのではないか。
そして極め付けは、「北朝鮮の資金源」と称した産経の記事であった。そして、これにつられたAbemaTIMESは、「強制マイニング」「怖いです」と、脅し全開だった。
結局、簡単な話なのだが、ウイルス対策ソフト販売会社は、人々を脅せば脅すほど儲かるのである。このように、何でもサイバー犯罪だと煽って、「セキュリティーソフトを入れれば……」と、自社製品を宣伝するわけだ。
これが、神奈川県警を、犯罪者でっち上げに動かしたのだとすれば、前代未聞の大問題である。
警察のサイバー犯罪捜査能力の欠如は、2012年の遠隔操作事件の際に完膚なきまでに露呈した。その際に最も技術的に杜撰だったのが、他ならぬ神奈川県警ケースであり、アクセスログの時刻を見れば手入力でなくCSRF攻撃によるものと容易に推測ができたはずのところを、これに気づかず、少年を自白させて保護観察処分に追いやっていた。
あの事件を受けて、警察庁と全国の都道府県警察は本気で反省したのだと理解している。検察のサイバー犯罪への対応能力の欠如も検察庁で認識され、当時、最高検から相談があった。各地の都道府県警察は、民間の協力を求めるようになり、私も、上原先生が座長を務めた京都府警の研究会に参加したし、新潟県警のサイバー犯罪対策アドバイザーに委嘱されたこともあった。京都府警では、新人のサイバー犯罪特別捜査官向けの講義を担当し、岡崎図書館事件のケースや、不正指令電磁的記録罪の適用の難しさについてレクチャーしたし、新潟県警でも2回にわたり同様のレクチャーをしていた。
他の県警はどうなっているのだろう?と心配していたが、2018年になってこのザマである。神奈川県警がトレンドマイクロ社に協力を求めていたのかどうかは知らないが、警察は、ウイルス対策ソフト会社に頼るということは、その会社の利益に誘導されるリスクがあるということを、もっと警戒する必要があるだろう。
2011年の刑法改正の際、不正指令電磁的記録の罪の運用は危ういのではないかと議論があった。その一つに、「ウイルス対策ソフト会社が『ウイルス』とラベリングしたものは、作成者も利用者も不正指令電磁的記録の罪で処罰されるのか?」という問いがあったのを記憶している。これの回答は、「当然、そんなことはない。」というものだった。だが、今回の一連の事件は、「トレンドマイクロがウイルスと言っているから」という理由だけで摘発に及んでしまった失態のように見えてならない。
そもそも、ウイルス対策ソフトのCoinhiveへの対応は杜撰極まりない。以下は、Coinhiveを適正に利用して寄付を募っているUNICEFオーストラリアのサイトを訪れたときに、McAfeeが*19、coinhive.min.jsを「マルウェア」と断定し、「トロイの木馬」と断定した様子である。
こういった、善用も悪用もされ得るプログラムは、PUP (Potentially Unwanted Program)(潜在的に望まれないことのあるプログラム)のカテゴリに分類しておくべきものではなかったのか。McAfeeは、2011年に「カレログ」が登場した際、まさにPUPと分類していた*20わけで、あの頃の適切な対応が今はもうできなくなっているのか。
大企業など大きな組織では、今日、セキュリティ対策として、内部からの不審な通信を検知する仕組みを導入していることと思うが、coinhive.comのcoinhive.min.jsにHTTP接続しただけで警報が出るという杜撰なソリューションが出回っていると聞く。まるでbotのC&C通信を見つけたかのような警報が出るそうだが、自らCoinhiveの置かれたサイトを見に行く分には何の問題もない。
確かに、トレンドマイクロのレポート「日本と海外の脅威動向を分析した「2018年第1四半期セキュリティラウンドアップ」を公開 サイバー犯罪の狙いは「ランサムウェア」から「不正マイニング」へ」(2018年5月29日)*21が言うように、Coinhiveを悪用したサイバー犯罪は急増しているのだろう。そのため、coinhive.min.jsへのアクセスを検知することによって、内部への侵入が見つかるとか、Webサイト改竄が見つかるという効用があるのは理解できる。しかし、だからと言って、本来の正規の用途での利用まで、マルウェア扱いするのは間違っている。
コインマイナーの登場自体が新たな犯罪なのではなく、Webサイト改竄とかサーバ侵入という従来型のサイバー犯罪を実行することの目的として、新たな換金の手段ができたということに他ならない。その結果として従来型のサイバー犯罪が拡大しているわけである。
そういった真の犯罪こそ、神奈川県警は、摘発すべき役目を負っているにもかかわらず、そういう難しい案件はこれっぽっちもやる気はないのだろう。Coinhiveの正規の用途での設置者が供用罪だというのなら、Coinhiveのコード配信元を作成・提供罪で摘発してみたらどうか。そんな気はさらさらないだろう。*22
結局、2018年になっても日本のサイバー犯罪捜査の現実は、弱い個人や少年をしょっぴいで「反省しろ」と悦に入ることしかできないということだ。あまりに情けなくて涙が出る。*23
*1 岡崎図書館事件のときにも見られた世間の初期反応として「他に悪いことをしていたのではないか」などという声があったように、そうでなければ警察が摘発するはずがないと信じている人たちが一定数いるようなので、そういった背景がないことはあえて明らかにしておく必要がある。
*2 読売新聞の記事では神奈川県警、宮城県警、栃木県警、茨城県警が挙がっているが、これらに限られないようだ。
*3 ここで、枝葉の論点として、本件ではそもそも保管していないのでは?という指摘もできよう。Coinhiveをサイトに埋め込むには、coinhive.comに置かれているcoinhive.min.jsを<script src="……">でHTMLにインクルードするわけだが、coinhive.min.jsの本体自体はAさんのサイトに置かれているわけではないから、取得も保管もしていないことになる。そうすると、これを保管罪に問うているということは、<script src="……">というタグ自体が不正指令電磁的記録の本体だとでもいうのであろうか。(供用罪ならば、タグを貼れば該当ということなのだろうが。)
*4 余談になるが、ダウンロードの事実を立証せずとも、供用未遂罪で立件する手もあり、そちらの方が本質に迫ることになるのではと、以前から他の事件を見ていて思っていたのだが……。
*5 この注は、本文中の「重要なことは、解釈にあたって、社会的信頼の保護といった抽象的な法益のみに依拠するのではなく、副次的ないし最終的に保護されている取引きの安全といった利益を十分に反映させていくことである。」とする文の肩に付けられたもの。
*6 Bitcoinがページにコードを貼るだけでゲットできる「Tidbit」, Gigazine, 2013年11月12日
*7 New Jersey Division of Consumer Affairs Obtains Settlement with Developer of Bitcoin-Mining Software Found to Have Accessed New Jersey Computers Without Users’ Knowledge or Consent, The State of New Jersey, 2015年5月26日
*8 New Jersey Drops Investigation Into Tidbit, Electronic Frontier Foundation, 2015年5月27日
*9 Tidbitに後続するものがしばらく現れなかったところ、昨年になってCoinhiveが登場したのには、WebAssemblyの普及が関係している。暗号通貨採掘のためには、JavaScriptによる計算では実行速度が遅すぎて実用にならなかったところ、WebAssemblyによるコードであれば高速に計算できる。WebAssemblyは、2017年3月にFirefoxに搭載され、2017年11月までにSafariとEdgeにも搭載されたことで、主要なブラウザはサポートしているという状況になった。この環境変化が、再びWebでの暗号通貨採掘を現実化した。
*10 Coinhiveでは、同時に1つしか動かないようにする設定があるようだが、そのような制御が可能だとしても、Coinhiveとそれ以外の乱立する類似品の複数が同時に動くようになると、そうした制御は期待できないだろう。
*11 Coinhiveは広告と違って目に見えないということを問題視する向きもあるが、この「環境負荷の高いIBM広告」も、当時、これが原因だとはすぐにはわからなかった。複数のタブで同じサイトを開いて気づいたもので、このときの日記でも、そこを示して皮肉っていた。
*12 本件の場合は、技術によって解決する道が王道であろう。それは、Webブラウザの機能が強化されて、利用者にとって無用な計算は途中で止まるような機能が搭載されるとか、負荷の高い計算は、一つのウィンドウ、一つのタブに限られるように制御されるようになるとか、そういった発展が考えられる。
*13 Cryptojackingとは、他人の運営するサイトを違法に改竄するなどして、そこにCoinhive等を埋め込むことによって換金手段としているという、最近流行のサイバー犯罪のことである。
*14 にのせき氏のCryptojackingへの取り組みは、「公共機関を含む4,000+のWebサイトにCoinhiveが仕込まれた件についてまとめてみた」(2018年2月12日)、「そろそろCoinhiveについて振り返るか」(2018年1月8日)、「WordPress改ざん事例(管理者権限の奪取 & フィッシング & Cryptojacking)紹介」(2018年1月5日)、「ac.jpドメイン上のWebサイトが改ざんされてCoinhiveを埋め込まれてしまった話」(2017年12月1日)などで見られる。なお、「Cryptojackingについてまとめてみた」(2017年10月28日)では、冒頭「Cryptojackingとは」として、「意図せずに端末上/ブラウザ上で仮想通貨のマイニングを実行させられる攻撃のこと。」と書かれているが、この定義は広げすぎであり、誤解を招くものであろう。いや、よく読むと、ご本人もこの時点では区別がついていない様子がある。
*15 取得・保管罪においては、そのような供用の目的。
*16 弁護人から提供いただいた任意聴取時の録音音声から再現した。
*17 Coinhiveの動作テストは、coinhive.comで試すことができる。
*18 OSを最新にすることでどうして防げるんだ?
*19 ウイルスバスターで試そうとしたところ、iMacがカーネルパニックで落ちてインストールできなかった。2回目も同じ結果になり、破壊されてしまいそうなので、テストを断念した。
*20 「マカフィー、Androidアプリ「カレログ」を不審なプログラムとして検出対象に」, INTERNET Watch, 2011年9月6日
*21 このレポートは、問題のある記述が見当たらない。前回の日記(5月19日)の後だからだろうか。
*22 スマホ監視アプリ等のPUP型の不正指令電磁的記録が、供用罪が成立して作成罪が成立しない形で摘発の実績が積まれた結果、供用罪で摘発するのに作成罪に問わなくていいことへの疑問を感じなくなってしまったのかもしれない。
*23 京都府警を除く。