みんな、ありがとう! これからは技術者として名をはせていけるよう精進するよ(Coinhive事件最高裁解説 後編):刑法感覚のないセキュリティエンジニアと技術感覚のない警察・検察との悪魔合体(2/3 ページ)
Webサイトに設置した「Coinhive」が不正指令電磁的記録保管罪に当たるとされたWebデザイナーのモロさんは、2022年1月、最高裁判所で逆転無罪を勝ち取った。裁判の争点は何だったのか、同様の事件を今後起こさないために必要なことは何か、主任弁護人と弁護側証人が解説する。
刑法感覚のないセキュリティエンジニアと技術感覚のない検察・警察の人たちの悪魔合体
幸運な出会いもあって、諸井聖也さん(通称 モロさん)は無事無罪を勝ち取った。一方で、残念ながら略式判決を承諾し、無念の涙を飲んだ人がいるのも事実だという。
「今から取れる手段は非常に限られています。こうした方々についても、警察を主として何らかの名誉回復の手段が執られるべきではないかと考えています」(平野弁護士)
平野弁護士によると、2003年のWinny事件を皮切りに、「21世紀以降、ITエンジニアが刑事事件に関わることが増えてきました」という。特に日本がサイバー犯罪条約を批准した2011年以降、2017年にWizard Bible事件、2018年にCoinhive事件、そして2019年にはアラートループ事件が起こるといった具合に、立て続けに検挙が行われてきた。
「それまでの事件を第一波と位置付けるのであれば、2011年以降は第二波と位置付けられると考えています。そして、第二波のIT取り締まりにおいて強力な武器となってきたのが、まさに、不正指令電磁的記録に関する罪であったわけです」(平野弁護士)
一方、高木氏は、「これは、刑法感覚のないセキュリティエンジニアたちと、技術感覚のない検察・警察の人たちの悪魔合体で起きた不幸ではないかと思います」と述べた。
刑法感覚の在り方として高木氏が例に挙げたのは、1990年代、インターネットの普及期に急増した「unsolicited e-mail」――今でいうスパムメールへの対応だ。何千、何万通という宣伝メールに受信トレイが埋め尽くされる状態に怒りを覚えた人は多く、高木氏もその一人だった。
だが「そういうときに『これは犯罪である』と考えるような発想が、刑法感覚のないセキュリティエンジニアの発想です。こういう類いの問題はあくまでも行政規制で対処すべきものであり、間接罰にするか、人をだましている場合に直接罰にするのが刑法の相場だと思います。この感覚がエンジニアにないと、Coinhiveの事案を単体で見て、『これは犯罪ではないか』と思ってしまうのではないでしょうか。今回の事案は、Coinhiveの登場直後から警察の捜査が始まったので、セキュリティエンジニアからの通報があったのではないかと思われます」(高木氏)
ただ、今回の判決はあくまでモロさんの件について個別に判断を示したものにすぎない。例えば「ブログパーツに後からCoinhiveを埋め込んだ場合」ブログパーツへの信頼を損ない、反意図性が認められた上で不正性が認められる、といった整理が考えられる。はてなブックマークボタンにターゲティング広告用のビーコンが埋め込まれた事件はこれに該当する。
対する警察や検察、国家公安委員会に欠けているのは、「技術感覚」だ。ITや科学的な常識のないまま、「CPUを50%使うようなサイトを2つ立ち上げたらPCが全く使えなくなってしまう」といった誤った思い込みに基づいて、「Coinhiveの正規設置は犯罪だ」という判断に至ってしまったのではないかと指摘した。
ウイルス対策ソフト事業者が恐怖を煽(あお)る
高木氏は一審の際に証人として法廷に立ち、CPUの使用率とOSの負荷は別の概念であるといった説明を行った。かつてのWindows 3.1のようなノンプリエンプティブ方式のOSならばともかく、21世紀のOSならば、CPU使用率の高いWebサイトを同時に立ち上げたらPCが固まる、といったことは起こらないはずだ。だが、残念ながらまだ混同が多く、技術者の中にも誤解している人が見受けられるという。「このようなえん罪まで起きてしまうので、誤解には注意しなければいけません」(高木氏)
誤解を解くために一番いいのは、実際に自分で試してみることだ。事実、一審の裁判長は公判前整理手続き中に、自宅でCoinhiveを動作させて試してみたという。
ちなみに「試してみることが別の問題を引き起こすことがあります。裁判所でCoinhiveを試そうとしたら、恐らくアラートが出るでしょう」(高木氏)。高木氏自身も、Coinhiveが埋め込まれたユニセフのサイトに職場からアクセスしたところ、翌朝、「ウイルスを検出したんですが、一体どうしたんですか」と担当者がやってくるという騒動があったという。
その背景として、ウイルス対策ソフト業界の姿勢もあると高木氏は指摘した。「恐らく、企業ネットワークに侵入してCoinhiveを設置している事案もあるので、その検出のためでしょう。しかし何でもかんでもブラックリストにぶち込み、全てウイルス扱いしていくことで、ありもしない危険なものに対する妄想が広がってしまいます。そういうところにも、技術者でさえ誤解してしまう原因があると思います」(高木氏)
さらに「ウイルス対策ソフトの事業者は、ビジネスとしてもうかるのだから、悪いものをどんどん増やしていこうとします。皆さんを恐怖に陥れれば入れるほどもうかります。『知らないうちにCPUを使われて、ちょっと嫌だな』程度のことを、『もうアウト』という感覚で脅す人もいます」(高木氏)。今回の最高裁の無罪判決を受けて早速、「ブラウザ保護機能が必要ですよ」と売り込みを始めたセキュリティ業者もあるほどだという。
関連記事
- 逆転無罪を決定付けた「反意図性」と「不正性」の解釈(Coinhive事件最高裁解説 前編)
市井のエンジニアが不正指令電磁的記録保管罪に問われた「Coinhive裁判」において、最高裁判所は2022年1月、無罪判決を言い渡した。東京高裁での有罪判決から逆転無罪を勝ち取れたポイントは何だったのか、主任弁護人と弁護側証人が解説する - 被告弁護士と高木浩光氏は何と闘ったのか、そしてエンジニアは警察に逮捕されたらどう闘えばいいのか(Coinhive事件解説 前編)
Coinhive、Wizard Bible、ブラクラ補導――ウイルス作成罪をめぐる摘発が相次ぐ昨今、エンジニアはどのように自身の身を守るべきか、そもそもウイルス作成罪をどのように解釈し、適用すべきか。Coinhive事件の被告人弁護を担当した平野弁護士と証人として証言した高木浩光氏が詳しく解説した - 高木浩光氏が危惧する、「不正指令電磁的記録に関する罪」のずれた前提と善なるエンジニアが犯罪者にされかねない未来(Coinhive裁判解説 後編)
一審無罪となったCoinhive裁判。しかし判決の裏には、条文の誤読や残された論点がある。裁判で被告人証人となった高木浩光氏が、裁判、法律解釈について詳しく解説した - 「『一回転』でググれ」と言ったら、逮捕されますか?
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第13列車は「不正指令電磁的記録供用罪」です - ブラクラ補導問題を題材にしたエンジニア小説、@ITに爆誕
セキュリティ業界のご意見番といえば、高村ミスズ先生ですよね - 高村ミスズの事件簿 ブラクラ篇(小説)
さあ、今週も始まりました。ピーター斎藤のイマ・トピ・ザ・ニュース! 今日もたくさんのアクセス、ありがとー! このコーナーはネット界隈でバズってるバズってないに関係なく、元SE のボクが興味深いなーとか、これどうなの、とか思ったり感じたりした話題をテーマに、ゲストと議論する30 分です
Copyright © ITmedia, Inc. All Rights Reserved.