第569号コラム:上原 哲太郎 副会長(立命館大学 情報理工学部 教授)
題:「ウイルス罪の運用が最近変な方向に行ってないか?」
前回のコラムの最後で、「コンピュータウイルスに関する罪の運用が一段と広がっており、技術者の立場からみて疑問が残る司法判断がいくつか下ってしまった」と書きました。今回はその話を少し掘り下げて書いてみたいと思います。
第546号コラム:「年末のご挨拶:2018年のデジタル・フォレンジックを振り返る」
前回コラムで問題にしたのは、俗に「Wizard Bible事件」「Coinhive事件」と呼ばれる事件でした。さらに、この半年の間にこれに加えて「無限アラート事件」と呼ばれるものが加わってしまいました。Coinhive事件はその後無罪判決が出たことで大きく報じられましたが、罰金刑が確定してしまったWizard Bible事件や、不起訴となった無限アラート事件はそれに比べるとあまり報道が多くないように思いますので、それぞれについて問題点を挙げたいと思います。
まずWizard Bible事件です。これは、セキュリティ研究者にもよく知られたWebサイトであった「Wizard Bible」のサイト運営者が不正指令電磁的記録提供罪(ウイルス提供罪)に問われ、2018年に略式裁判の末、罰金刑とされたものです。その容疑はサイトに寄稿された「トロイの木馬」に関する記事内のプログラムコードが不正指令電磁的記録であり、そのサイトの運営が不正指令電磁的記録の提供にあたるとするものでした。しかし、この判断にはいくつかの問題を感じざるを得ません。
まず第一に、このサイトにあった「トロイの木馬」と称するプログラムのソースコードそのものが不正指令電磁的記録とは呼び難い、という理由です。少なくともこのプログラム自体は単にネットワーク接続して遠隔でコマンドを実行するためのものに過ぎず、サーバ・クライアント型プログラムのサンプルとして教科書にも載るタイプのありふれたものです。このようなプログラムは例えばtelnetやsshなどという形で日常的に使われています。さらにこのプログラムの実行には、操作される側のパソコンで遠隔操作されるためのプログラムを、明示的かつ事前に実行する必要があり、しかもその実行中は画面に旨が表示され続けているので、利用者は容易に「遠隔操作」されていることが認識できます。加えて、このプログラムはいつでも簡単に終了できるのです。このようなプログラムは不正指令電磁的記録であると呼べるでしょうか。そもそも記事自体は「トロイの木馬」の試作の過程であって、ダウンロード機能、感染させる機能など、ウイルスたらしめる機能が欠けていることは記事中にも明記されています。不正指令電磁的記録と呼べるためには、少なくとも反意図性を持った動作をさせるような何らかの仕掛けがあることが必要ではないでしょうか。
第二に、このプログラムの提供の様態に、不正指令電磁的記録たらしめる目的があったと言えるか疑問があるためです。具体的に「人」に実行させる目的があったと読める記述はなく、逆にプログラムの悪用を禁ずることと、悪用した場合に対する免責をうたっています。本プログラムの目的は特に記事中には記述されていないので、研究目的とみることはできます。不正指令電磁的記録に関する罪は目的犯なので、そもそも供用の目的が必要なはずです。このように、少なくとも作成者に供用の目的が明確ではなく、単体では不正指令電磁的記録の機能を満たしていると言えない段階で作成されたプログラムの記述がWebサイトにあることをもって、Webサイトの管理人を提供罪を問うことができるのでしょうか。
第三に、そもそも「Webサイトの運営者」を罪に問うことの是非です。特にWizard Bibleの場合は、サイトの運営者は書籍で言えば出版社のような立場です。この出版社にあたるものを罪に問うのは、表現の自由の観点からも議論があるところではないでしょうか。
このような観点から疑問を感じざるを得ない事件化が行われた結果、Wizard Bibleは閉鎖されてしまったのですが、このようなことが起こるとウイルスの研究を行う研究者はウイルスに関するコードを公表したり互いに交換したりする行為が罪に問われかねないと萎縮してしまいます。このような思いは、NHKの取材の中で申しあげました。
次に無限アラート事件です。これは、JavaScriptの無限ループ内にアラート(警告となるメッセージ)を表示する文を1つだけ挿入したWebサイトを用意してここに誘導するいたずらで、それ自体は昔からよくあるものなのですが、なぜか今回そんないたずらに乗ってしまった、つまりそのようなJavaScriptが掲載されたWebサイトのURLを掲示板に書き込んだ3人が不正指令電磁的記録供用未遂に問われてしまいました。この3人に女子中学生が含まれており補導され、その後はどう処分されたかわかっていません。また、残り2名も実名報道こそされなかったものの、そのうち家宅捜索を受けた1名がネットで名乗り出たことでその捜査の過程が明らかになり、議論を呼びました。
「あなたブラクラ貼ったでしょ?」→39歳男性を書類送検 検挙男性が明かす「兵庫県警“決めつけ”捜査の実態」
この事件も多くの問題を抱えていますが、特に「ブラウザを閉じればすぐにその影響が回避できるような無限アラートは、不正指令電磁的記録にあたるか」という点と「どのような挙動をするか本人がよく認識していないWebサイトのURLを掲示板に書き込む行為に供用目的があると言えるか」という点は十分検討するべきだと思っています。ネットの言説はどちらかというと前者、つまり「無限アラートはウイルスか」に集中していたように思いますが、個人的には不正指令電磁的記録に関する罪は目的をよく検討するべきだと思います。供用目的は構成要件として厳格に評価するべきであると考えており、本件のような場合はリンクを掲示板に書き込んだ時点において、それがもたらす結果をきちんと認識していることを要するだろうと考えています。今回の被疑者となった3人はいずれも同サイトが一体何であるのかを理解していたとは思えず、目的が成立していないのではないでしょうか。なお、これらの事件にCoinhive事件をあわせた3つの事件に共通する問題として、以下のような点が気になっています。
第一に、警察による「ネットパトロール」をきっかけに立件されたものが多い、つまり、被害者による相談から事件化したわけではないと思われることです。ウイルスによる実際の被害がこれほど多く起きている中、被害者のはっきりしない事件の捜査にリソースを割く余裕はないのではないでしょうか。
第二に、各プログラムが一般にどのように評価されているか十分検討をしたか疑わしいことです。いずれの事件でも、少なくとも技術者の間ではあれが本当にウイルスにあたるのかと大きな議論になりました。ある程度の知識があるものであれば各プログラムはウイルスか否か議論になるであろうと予想がつくはずです。そのように技術者的にも議論が割れるようなプログラムに対して司法機関が先回りして不正指令電磁的記録であると線引きしてしまうことは、技術の発展を阻害してしまわないでしょうか。
第三に、Wizard Bible事件や無限アラート事件で使われたプログラムは技術的に稚拙であり、またCoinhiveの場合は別の方向に発達したプログラムであるので、いずれも現在大きな被害を生んでいる高度なウイルスに発展する可能性はなく、微罪でしかない事件を立件したところで実際にもっと高度なウイルスを作成し供用している犯罪者たちへの牽制には全くなっていないことです。小さな事件を捜査していくことで大きな犯罪への抑止効果が産まれる場合は意味はあるのでしょうが、これら3つの事件捜査はそのような意味があると思えません。
このように、そもそも犯罪であるのかどうか議論になるような事件を警察が手掛けてしまうたびに、ネット世論は警察のサイバー犯罪捜査の方向性やその能力そのものに疑問符をつけてしまうでしょう。それを横目で見ているサイバー犯罪者たちにとっては、日本の警察を脅威とは全く感じられないでしょう。警察にはもっと重大な被害が起きている事件に注力していただきたいと思っています。
【著作権は、上原氏に属します】