みんな、ありがとう! これからは技術者として名をはせていけるよう精進するよ(Coinhive事件最高裁解説 後編)刑法感覚のないセキュリティエンジニアと技術感覚のない警察・検察との悪魔合体(2/3 ページ)

» 2022年03月01日 05時00分 公開
[高橋睦美@IT]

刑法感覚のないセキュリティエンジニアと技術感覚のない検察・警察の人たちの悪魔合体

 幸運な出会いもあって、諸井聖也さん(通称 モロさん)は無事無罪を勝ち取った。一方で、残念ながら略式判決を承諾し、無念の涙を飲んだ人がいるのも事実だという。

 「今から取れる手段は非常に限られています。こうした方々についても、警察を主として何らかの名誉回復の手段が執られるべきではないかと考えています」(平野弁護士)

 平野弁護士によると、2003年のWinny事件を皮切りに、「21世紀以降、ITエンジニアが刑事事件に関わることが増えてきました」という。特に日本がサイバー犯罪条約を批准した2011年以降、2017年にWizard Bible事件、2018年にCoinhive事件、そして2019年にはアラートループ事件が起こるといった具合に、立て続けに検挙が行われてきた。

 「それまでの事件を第一波と位置付けるのであれば、2011年以降は第二波と位置付けられると考えています。そして、第二波のIT取り締まりにおいて強力な武器となってきたのが、まさに、不正指令電磁的記録に関する罪であったわけです」(平野弁護士)

 一方、高木氏は、「これは、刑法感覚のないセキュリティエンジニアたちと、技術感覚のない検察・警察の人たちの悪魔合体で起きた不幸ではないかと思います」と述べた。

 刑法感覚の在り方として高木氏が例に挙げたのは、1990年代、インターネットの普及期に急増した「unsolicited e-mail」――今でいうスパムメールへの対応だ。何千、何万通という宣伝メールに受信トレイが埋め尽くされる状態に怒りを覚えた人は多く、高木氏もその一人だった。

 だが「そういうときに『これは犯罪である』と考えるような発想が、刑法感覚のないセキュリティエンジニアの発想です。こういう類いの問題はあくまでも行政規制で対処すべきものであり、間接罰にするか、人をだましている場合に直接罰にするのが刑法の相場だと思います。この感覚がエンジニアにないと、Coinhiveの事案を単体で見て、『これは犯罪ではないか』と思ってしまうのではないでしょうか。今回の事案は、Coinhiveの登場直後から警察の捜査が始まったので、セキュリティエンジニアからの通報があったのではないかと思われます」(高木氏)

 ただ、今回の判決はあくまでモロさんの件について個別に判断を示したものにすぎない。例えば「ブログパーツに後からCoinhiveを埋め込んだ場合」ブログパーツへの信頼を損ない、反意図性が認められた上で不正性が認められる、といった整理が考えられる。はてなブックマークボタンにターゲティング広告用のビーコンが埋め込まれた事件はこれに該当する。

 対する警察や検察、国家公安委員会に欠けているのは、「技術感覚」だ。ITや科学的な常識のないまま、「CPUを50%使うようなサイトを2つ立ち上げたらPCが全く使えなくなってしまう」といった誤った思い込みに基づいて、「Coinhiveの正規設置は犯罪だ」という判断に至ってしまったのではないかと指摘した。

ウイルス対策ソフト事業者が恐怖を煽(あお)る

 高木氏は一審の際に証人として法廷に立ち、CPUの使用率とOSの負荷は別の概念であるといった説明を行った。かつてのWindows 3.1のようなノンプリエンプティブ方式のOSならばともかく、21世紀のOSならば、CPU使用率の高いWebサイトを同時に立ち上げたらPCが固まる、といったことは起こらないはずだ。だが、残念ながらまだ混同が多く、技術者の中にも誤解している人が見受けられるという。「このようなえん罪まで起きてしまうので、誤解には注意しなければいけません」(高木氏)

 誤解を解くために一番いいのは、実際に自分で試してみることだ。事実、一審の裁判長は公判前整理手続き中に、自宅でCoinhiveを動作させて試してみたという。

 ちなみに「試してみることが別の問題を引き起こすことがあります。裁判所でCoinhiveを試そうとしたら、恐らくアラートが出るでしょう」(高木氏)。高木氏自身も、Coinhiveが埋め込まれたユニセフのサイトに職場からアクセスしたところ、翌朝、「ウイルスを検出したんですが、一体どうしたんですか」と担当者がやってくるという騒動があったという。

 その背景として、ウイルス対策ソフト業界の姿勢もあると高木氏は指摘した。「恐らく、企業ネットワークに侵入してCoinhiveを設置している事案もあるので、その検出のためでしょう。しかし何でもかんでもブラックリストにぶち込み、全てウイルス扱いしていくことで、ありもしない危険なものに対する妄想が広がってしまいます。そういうところにも、技術者でさえ誤解してしまう原因があると思います」(高木氏)

 さらに「ウイルス対策ソフトの事業者は、ビジネスとしてもうかるのだから、悪いものをどんどん増やしていこうとします。皆さんを恐怖に陥れれば入れるほどもうかります。『知らないうちにCPUを使われて、ちょっと嫌だな』程度のことを、『もうアウト』という感覚で脅す人もいます」(高木氏)。今回の最高裁の無罪判決を受けて早速、「ブラウザ保護機能が必要ですよ」と売り込みを始めたセキュリティ業者もあるほどだという。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。