日本ハッカー協会がセミナー開催、情報法制研究所の高木浩光氏、平野敬弁護士らが登壇【後編】
ウイルス罪の解釈と運用はどこが「おかしくなっている」のか
2019年05月27日 07時00分更新
2019年4月26日夜、日本ハッカー協会主催によるITエンジニア向けセミナー「不正指令電磁的記録罪の傾向と対策」が東京・渋谷で開催された(後援:IPA/情報処理推進機構)。
この日のテーマとなった「不正指令電磁的記録に関する罪」(いわゆる“ウイルス罪”)は、コンピューターウイルスをはじめとする不正なプログラムの作成や提供などを禁じ、罰する目的で作られた法律だ。
しかし最近になって、「Coinhive(コインハイブ)事件」(自らのWebサイトに仮想通貨のマイニングスクリプトを組み込んだことで検挙された事案)、「アラートループ事件」(無限アラート事件、アラートダイアログが繰り返し表示されるWebページへのリンクを掲示板に貼ったことで検挙・補導された事案)、「Wizard Bible事件」(セキュリティ研究のためのWebマガジンが初歩的なリモートコマンド実行コードを掲載したことで管理者らが検挙された事案)など、ウイルス罪が問われた検挙が相次いでおり、同時にセキュリティ研究者やITエンジニアからはその“検挙範囲の曖昧さ”と拡大を懸念する声も高まっている。影響を懸念し、有志により行われてきたセキュリティ技術勉強会が休止する動きすら出ている。
前編記事でお伝えしたCoinhive事件担当弁護士の平野敬氏による講演に続き、セミナー後半では情報法制研究所(JILIS)理事の高木浩光氏が登壇。「不正指令電磁的記録の罪が対象とすべき本来の範囲とは」と題し、Coinhive事件の横浜地裁判決文に対する評釈から、同罪の条文解釈における警察・検察側の「誤解/誤読」とWizard Bible事件やアラートループ事件への影響、そして立法時に意図されていた本来の対象範囲などを解説し、現在の法運用について警鐘を鳴らした。
なお高木氏の解説は詳細にわたったため、本稿ではその要旨を抜粋してお伝えする。同セミナーはYouTubeでライブ配信され、アーカイブビデオも公開されているので、併せてご覧いただきたい。
JILIS高木氏:ウイルス罪をめぐる状況が「いろいろとおかしくなっているのでは」
高木氏はまず、不正指令電磁的記録罪をめぐる現在の状況が「いろいろとおかしくなっているんじゃないか」と切り出したうえで、その原因を探りたいと述べ講演をスタートした。まず、今年3月に無罪判決の出たCoinhive事件(その後検察側は控訴)の横浜地裁判決文を題材として、同罪に問われるケースのポイントを解説し、自身の見解を説明する。
ここでは話の前提として、不正指令電磁的記録罪の条文(刑法168条の2および3)を確認しておきたい。なお条文中の「人の電子計算機における実行の用に供する」とは「第三者のコンピューターやスマートフォンで実行させる」、「電磁的記録」とは「コンピュータープログラム」という意味である。
(不正指令電磁的記録作成等)
第168条の2 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、3年以下の懲役又は50万円以下の罰金に処する。
一 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
二 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
(……中略……)
(不正指令電磁的記録取得等)
第168条の3 正当な理由がないのに、前条第1項の目的で、同項各号に掲げる電磁的記録その他の記録を取得し、又は保管した者は、2年以下の懲役又は30万円以下の罰金に処する。
ポイントは「意図に反する動作」や「不正な指令」という言葉の解釈だ。本来はウイルス、トロイの木馬、ワーム、スパイウェアなどを対象に指定するための言葉だが、これらをより広く解釈すれば、開発者や提供者がそれに該当するとは考えていないようなプログラムも対象範囲に入ってしまうおそれがある。横浜地裁におけるCoinhive事件裁判でも、この条文解釈が争点となった。
判決文では、被告人が自身のWebサイトに設置したCoinhiveについて、サイト閲覧者の意図に反する動作をさせるという意味で「反意図性」は認められるものの「不正な指令」とは言えないと判断し、無罪としている。
この判決について高木氏はまず、「一般向けに、一言で評価するならば『賛否両論』のものは不正指令に該当しないという判決だと思う」「本来のウイルス罪の趣旨に立ち戻れば当然」と説明する。
横浜地裁が言う「賛否両論」とは何か。判決文ではCoinhiveについて、承諾を得ることなくサイト閲覧者のPCにマイニングを実行させる点を問題視する否定的立場がある一方で、サイト運営者の新たな収益化手段としての利便性を重視する肯定的な見方もあったことを認めている。高木氏は、事件当時から「賛否両論があった」その事実を核心として、裁判官はCoinhiveが「不正な指令」を与えるプログラムとは言えないと判断したのではないかと述べる。
だがCoinhiveほど著名ではない、たとえばまったく新しい手法/ジャンルのプログラムであれば賛否両論すら存在しないはずだ。したがって賛否両論の有無に頼るのも適切ではない。より具体的に「不正な指令」に該当するか否かはどう線引きされるべきか。
高木氏は自身の意見として、「誰にとっても実行の用に供されたくないものだけ」が不正指令プログラムに該当するべきだと語る。それは「法律の世界で言う『一般人基準』、つまり常識的・平均的な人ならば誰もこんなものは動かしたいとは思わないようなもの」、さらにその特徴をまとめて「要するに『後戻りできないような結果』を引き起こすもの」に限定されるべき、という見解だ。
「たとえば自己増殖機能を持つワーム、情報漏洩を引き起こす暴露ウイルス、電話帳を盗むスマホアプリ、GPSやLINEを監視するアプリ、掲示板に“爆破予告”を書き込むクロスサイトリクエストフォージェリ(CSRF)――こうしたものは誰も動かしたいとは思わないし、危なくて触れたくもないだろう。一方で、Coinhiveはまったくそういうものではない。試して何ら問題がない(ブラウザを閉じれば停止する)、ただCPUが少し使われて、誰かが少し儲かっているというだけのもの」