<iframe src="//www.googletagmanager.com/ns.html?id=GTM-K8B6VX" height="0" width="0" style="display:none;visibility:hidden"></iframe> (cache)仮想通貨マイニング(Coinhive)で家宅捜索を受けた話 - Webを楽しもう「ドークツ」

仮想通貨マイニング(Coinhive)で家宅捜索を受けた話

Published:2018.06.12

表題の通り、お恥ずかしい限りではありますが、人生ではじめて警察(神奈川県警!)のお世話になる運びとなりました。
罪状としては「不正指令電磁的記録 取得・保管罪」、通称ウイルス罪とのことで、まさに青天の霹靂の思いです。

以下ではこの度起こったことを可能な範囲でありのまま共有できればと思います。

この記事の目的

まず、この記事を公開した目的は「他のクリエイターの人に同じ経験をして欲しくない」という一点に尽きます。

手前味噌ではありますが、私はこれまで多くの尊敬するクリエイターの方々と同じように「良いクリエイターであろう」と腐心し、できうるかぎりの努力をしてきたつもりです。
今回の件に関しても決して私利私欲のためではなく、あくまでユーザーのためにできることを、と模索した結果でした。

それがこのような形で取り沙汰されることとなり、残念という他ありません。

忸怩たる思いではありますが、この件から何かしらの知見を残せたらと願うばかりです。

Coinhiveとは

Coinhiveとは、HTMLに数行のJavaScriptを埋め込むことでユーザーのブラウザからCPUを動かし、仮想通貨「Monero」のマイニングを行うツールです。
今までの広告一辺倒のマネタイズ手法とは一線を画すアプローチが注目を集めており、当時の僕の観測範囲では以下の記事が話題でした。

ご覧の通り賛否両論ありますが、一メディア運営者、一デザイナーとして広告溢れる現状のメディアのあり方には常々疑問を感じており、新たな選択肢として非常に可能性を感じておりました。

刑事事件となるまでにやったこと

以下、時系列順にやったこと、起こったことを書き連ねます。
タイトルが客観的事実、本文が詳細や所感です。

GIGAZINEを読んでCoinhiveの導入

2017年9月下旬、上記で紹介したGIGAZINEの記事でCoinhiveの存在を知り、月間3万PV程度、毎月3,000円程度の赤字を叩き出す所有Webサービスにテスト導入。
あくまで広告をなくしてUXを上げることが目的のためテストを重ね、

  • いつもどおりのブラウジング(UX)を阻害せず、快適に閲覧できる
  • 不自然にCPUが回らない

よう調整しました。
現に下記する専門家の方を除き、一度の苦情やお問い合わせもなく、アクセス解析上でも導入前と同程度のアクセス数、滞在時間を保っておりました。

また、上記の記事等で収益的にあまり期待できないことは察していたため、どちらかというと技術トレンドのキャッチアップが主目的で、10日ほど経過した時点での収益も当時の日本円のレートで300円程度
「導入はないかなぁ」という印象でした。

Coinhiveについての紹介記事を公開

先述の導入と同日、「Coinhive」を紹介する記事を書きました。

現在は削除済みですが、

  • Coinhiveっていう広告を駆逐できるかもしれないイカしたツールがリリースされたよ!
  • 賛否あるからほどほどに使おうね!
  • でもまぁとりあえず使ってみないとわからないから一ヶ月くらい試してみるよ!!

というような内容でした。

導入一ヶ月後、エンジニアらしき人からリプライ

同年10月下旬、WebサービスのTwitterアカウントにリプライをいただき、下記のようなやりとりがありました。

エンジニア「おたくのWebサービスのCoinhive、改ざんとかじゃない? 自分で入れたならグレーだし、一言通知入れたほうがよくない?」
僕「自分で入れたので改ざんではないです! グレーとは思いませんがネガティブな印象も理解できるので同意を得る方向で検討します!」
エンジニア「同意を得ての利用は歓迎です! よろしく~」
僕「わざわざありがとうございます! 新しい収益モデルとしてポジティブに迎え入れられるよう頑張ります!」

その後、「通知を出す方向で」と伝えたもののそれほど工数がかけられないこともあり、10日後にCoinhiveを削除する形で対応しました。

やったことまとめ

  • Coinhiveの導入(約一ヶ月超)
  • Coinhiveの紹介記事作成

なお、最終的にCoinhiveから得た利益は日本円で1,000円に満たない程度(振込は約5,000円からなので実質収益0)でした。

刑事事件となるまでに起こったこと

上記のCoinhive導入が9月下旬で、削除が11月上旬。
警察からの連絡はそれから約三ヶ月後、2月上旬でした。

警察から入電

2月上旬、10時頃に警察を名乗る入電。

警察「とある事件の捜査に協力してもらいたいんですが」
僕「なんの事件ですか?」
警察「それは明かせません」
僕「え……、仕事あるけど一時間くらいなら……」
警察「一時間じゃ足りないですね。もう家の目の前にいるんで出てきてもらえますか?」
僕「いま仕事で渋谷なんですけど……」
警察「じゃあ今から向かいますね。11時頃に着きます」
僕「えっ」

警察からの電話が「070」から来るなんて夢にも思っていなかったので「これ詐欺では?」と警察署に電話するもどうやら本物の様子(名乗っていた名前が平凡すぎて不安しかなかった)。
この時点では「友人とかが何かに巻き込まれたりしたんやろか……」とか思ってました。

ちなみにもし協力を断っていたら「逃亡の恐れあり」とみなされて逮捕だったそうです。怖い。

家宅捜索

それから何の説明もないままワゴン車で自宅に輸送され、令状を見せられて家宅捜索開始。
罪状を告げられてもまったくピンときておらず、ただただ指示されるまま端っこでボーッと突っ立って、訳もわからないままパソコンが操作されるのを見守っていました。
聞かれるがままに運営しているサイトの情報等をポツポツと答えていると、ここぞという単語単語で東京フレンドパークの関口宏ばりに復唱され、数時間の問答でどうやら「Coinhive」が原因らしいことを察しました。

そこからはひたすらサーバー情報や各アカウント情報等を確認したりして、21時頃になって「後日連絡」という形でようやく解放されました。

怒涛の10時間拘束……!

私ごとですがこの日は翌週に結婚式を控えたタイミングで、アホみたいに泣きながら妻に謝罪しました。齢30のおっさんが。

なお、デスクトップPC1台、ノートPC1台、スマートフォン1台が押収されたました。

警察署で取り調べ

3月上旬、早朝から神奈川県まで出向いて警察署での取り調べを受けました。
内容のほとんどは家宅捜索の復習です。

詳細としては、

警察「全ページでCoinhiveを動作させるためにhead内でスクリプトを読み込んだね?」
僕「いえ、head内で読み込んでいるのは読み込みのタイミングの話なので全ページうんぬんとの因果関係はありません」
警察「は? 全ページで読み込んでるでしょ?」
僕「そこじゃなくて因果関係にない、って話です」
警察「適当なこというと不利になるよ?(威圧)」
僕「適当に言いたくないから言ってるんでしょう!?」
(以下一時間繰り返す。)

みたいな問答が多々ありました。サイバー課とは……。

午後は指紋をとったり身体測定を挟みつつ、相変わらず調書作成が進み、まもなく終了かと思えば突然私服の男が取調室に乱入してきて、

男「モロさんよォ? 反省してんのか?(入室)」
僕「!?」
男「お前がやってることは法律に引っかかってんだよ! わかんだろ?」
僕「え、それは」
男「反論してんじゃねぇよ! 引っかかってんだよ、法律に」
僕「……」
男「だから警察がガサやってんだよ! お前がどう思おうが関係ねえんだよ。わかるか?」
僕「はい……」
男「結婚して奥さんもいるんだろ? またやんの!?」
僕「やらないつもりです……」
警察「やんねぇだろ。だったらちゃんと反省しろよ(退室)」

みたいな一幕もあり、衝撃的極まりなかったです。
他の刑事さんはコンプライアンス的な問題なのか黙秘権の説明とかいろいろ慎重な感じだったのに、このご時世にこういうのまだあるんだなぁ……これはやってなくても自白するわ……。

あとコンプライアンス的にいろいろいうものの「いうて意にそぐわない態度なら平日でもいつでも何度でも呼び出して社会的に潰すけど?」的な圧は要所要所で感じられました。

今にして思えば、

  • 前例がない事件のため調書の上で可能な限り「金にがめつい悪人」のように演出する必要があった
  • 調書のためにどんな形でも「反省してます」の一言が必要で、苦肉の策として私服の男が導入された

という背景が想像できます。
私としては「Coinhiveの利用は間違いのない事実だがウイルスとは思わない」というスタンスで、不用意な発言はCoinhiveを制作したクリエイターにも失礼だと感じていたため慎重に対応したつもりでしたが、調書の上では上記のやりとりで十分だったようです。

そして取り調べ終了後、デスクトップPC以外の押収品が返還され、17時頃に解放されました。
(デスクトップPCはOS含む全データ削除の上後日返還。)

検察庁で取り調べ

3月下旬、検察庁での取り調べ。
取り調べ自体は警察のものと違って「裁判できるけどする? しないよね? はい罰金10万円〜」くらいのノリであっという間に終わりました。

この辺りでもう心身ともに疲れ果てており、さながら糸の切れた木偶人形の様相で粛々と流れに身を任せておりました。

起こったことまとめ

  • 家宅捜索とネットワーク機器全押収
  • 警察で取り調べ
  • PC全データ削除の上返還
  • 検察で取り調べ
  • 罰金10万円の略式命令

Coinhive利用の罪状

なお、Coinhiveの利用は不正指令電磁的記録 取得・保管罪、通称「ウイルス罪」にあたるそうです。

不正指令電磁的記録作成・提供罪(不正指令電磁的記録作成等)
第168条の2
正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、3年以下の懲役又は50万円以下の罰金に処する。
一 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
二 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録

不正指令電磁的記録取得・保管罪(不正指令電磁的記録取得等)
第168条の3
正当な理由がないのに、前条第1項の目的で、同項各号に掲げる電磁的記録その他の記録を取得し、又は保管した者は、2年以下の懲役又は30万円以下の罰金に処する。

警察の人からは「事前に許可(もしくは予感させること)なく他人のPCを動作させたらアウト」というような説明を受けたのですが、解釈がめちゃくちゃアバウトで「不正な指令」についてまるで考慮されていないことがわかると思います。
これだとアドセンスどころかアナリティクスやオプティマイズ、世の中のいろいろなJSがアウトですし、予感というのもリテラシーによって大いに幅があります。

そしてこれを「略式起訴」で言い渡すということは、上記のさまざまな「アバウトさ」をすべてほぼ警察の独断で裁けるということになってしまいます。

ウイルス罪については昨年のアドベントカレンダーで上原哲太郎さんが書かれた「3つの事件で振り返る「何をやったらウイルス罪で捕まるか2017」がとてもわかりやすかったです。
もっと早く読んでいれば……後発だけど……。

所感

本記事について、極力ポップになるよう努めましたが家宅捜索後は「なんか車にひかれたりしないかな?」以外なにも考えられないくらいのドン凹みでした。
家宅捜索の翌週に結婚式、各取り調べに結婚披露がサンドされるクソをクソで煮詰めたようなクソスケジュールとなってしまい、一生で一度のイベントを最悪の思い出に変えてしまった妻への申し訳なさで一月で三キロくらい痩せました。

「自分の両親が同じ目に遭ったらどう思う?」との問いに「どうも思わないと思います……」としか返せず、「あなたの感覚はおかしいよ」と人格否定まがいのことまで言われたのも印象的でした。

また、先述のCoinhiveを紹介した記事の削除を提案したにも関わらず「下手に動くと不利になる」の一点張りでなかなか許可がおりなかったことにも不審の思いを隠せません。
Coinhiveが罪に問われるものなら、紹介記事を削除することで間違いを犯す人を事前に止めたい、という思いでしたが、そこにストップがかかる意味がまるで理解できませんでした。
うがった見方をするなら、まるで検挙の対象を増やしたいかのようですらあります。
説得の末、2月8日に削除済みではありますが、理由を書くことは許されていないため不格好を晒しております。
単にページを削除するのではなく、「削除した」というページを残すことが僕にできるせめてもの抵抗でした。

神奈川県警にはもう一生関わりたくない……!

これからのこと

以上が僕の身に起こった顛末のすべてで、現在のステータスとしては恐れながら裁判をやることになりました
略式起訴での罰金10万円に異議を申し立てての刑事裁判移行で、国内初(海外も?)のCoinhive裁判となる模様です。

正直なところ、黙って10万円支払うのが一番安上がりではあるのですが、僕がこの件をすごすご受け入れるとろくに調査もされないまま「Coinhiveは違法」という前例だけが残ります。
そしてこの小さな前例は、当然のように「Coinhiveはウイルス」と解釈を変え、さらにそれがCoinhiveだけに留るとは限りません。

先述のように現状「ウイルス罪」は、「不正な指令」の解釈次第のふわっとしたものです。
例えば、このままいけば「Coinhive」はふわっとウイルス認定を受け、広告に代わるポテンシャルを秘めたまま跡形もなく潰されるでしょう。
でも 「Coinhive」はうざいからいい
Coinhiveをあらかた潰し終えたら、次は「スマホの下のほうからふわっと出てくる広告」。これもうざいからいい。
その次は「アドセンス広告」。うざいからいい。「Ptengine」。よくわからんからいい。

そして最後はどこにいきつくでしょう。
どのレベルのユーザーを想定したものかもわからない「予感させずに動作するJS」なんていくらでもあります。
「jQuery」かもしれないし「Vue.js」かも知れません。
「今までにない新しい体験!」を予感できないと解釈するなら「Three.js」なんかも皮肉がきいているかも知れません。

さながらかの有名な「彼らが最初共産主義者を攻撃したとき」です。

「彼らが最初共産主義者を攻撃したとき」

ナチスが最初共産主義者を攻撃したとき、私は声をあげなかった
私は共産主義者ではなかったから

社会民主主義者が牢獄に入れられたとき、私は声をあげなかった
私は社会民主主義ではなかったから

彼らが労働組合員たちを攻撃したとき、私は声をあげなかった
私は労働組合員ではなかったから

そして、彼らが私を攻撃したとき
私のために声をあげる者は、誰一人残っていなかった

この狂った流れの一歩目が、今回のCoinhiveのように思えるのです。
大げさに聞こえるかもしれませんが、コピーペーストさえ右クリックでこなし、headheaderの区別もつかないサイバー課にVue.jsとCoinhiveの区別がつくとは感じられませんでした。

誤解を恐れずに言えば、「裁判だー!」と息巻いては見るものの、もう僕個人の処遇はあまり重要ではない段階です。
新しい技術を試してもしそれが罪に問われたとしても、被害者のいない本件に恥じるところはありません。

家宅捜索がなされ、仕事道具を奪われ、平日に何度も呼び出された時点こそが僕にとってしんどさのピークで、そういう意味ではもう喉元は過ぎていて、もっといえば裁判なんてそのしんどさのおかわりみたいなものです。

その裁判の勝ち負けさえ重要ではなく、今後の「ウイルス罪」運用を健全なものにし、新しい価値を生み出そうとするクリエイターが割を食うことのないよう、できることをしたいと思っています。

謝辞

最後に、警察による口止めでろくに事情も説明できない状況だったにも関わらず、仕事道具を押収され途方に暮れていた私に声をかけてくれた以下の方々にお礼申し上げます。

また、その他ご心配とご迷惑をおかけした方々にも謝罪とお礼を申し上げます。
失意のどん底といっても過言ではない状況で、かけていただいた言葉のひとつひとつに大いに救われました。

今後少しずつにはなりますが、何かしらの形で恩返ししていけたらと心から思います。

また、この場ですべての事情をお伝えできて、ようやくひとつの義務を果たした思いです。
現在は口止め等もなく、可能な限りご質問にもお答えできればと考えておりますので、お気軽にTwitter(@moro_is)までリプライください。

以上、よろしくお願いいたします。

追記

本件について、高木浩光先生や読売新聞様にも多大なご助力をいただきました。
この場を借りてお礼申し上げます。

最新の記事

お知らせ

:)