法務省:「いわゆるコンピュータ・ウイルスに関する罪について」を読む

不正指令電磁的記録に関する罪(コンピュータ・ウイルスに関する罪)が制定されたときに、「いわゆるコンピュータ・ウイルスに関する罪について」という文章を法務省が公開している。突然「不正指令電磁的記録に関する罪」に問われた時に備え、自営のためにも読み解いておこうと思う。肝心の法文の方は法律関係者もコンピュータ系技術者も聞いたことのない造語が羅列されていて意味不明なので、唯一これが理解しうる文章でかかれた公式な資料と言える。

要約

<不正指令電磁的記録作成・提供罪(刑法第168条の2第1項)

この罪が成り立つには以下の4つの要件を満たす必要があるそうだ。
・ 「正当な理由がないのに (正当な理由の不存在) 」
・ 「人の電子計算機における実行の用に供する目的で (目的) 」
・ 「 第1号又は第2号)に掲げる電磁的記録その他の記録を (客体) 」
・ 「作成し,又は提供した (行為)

この法律で最大の争点となっているのが、「 第1号又は第2号)に掲げる電磁的記録 」、いわゆる「不正指令電磁的記録」とは何かという点になる。長々と書かれているが次の二点に集約される。
・(不正指令電磁的記録であるか否かは)その機能を踏まえ,社会的に許容し得るものであるか否かという観点から判断する。
・(プログラムの作成者/提供者が)不正指令電磁的記録であることを認識していなければ,同供用罪は成立しない。

次に争点となっているのが「正当な理由がないのに」の「正当な理由」である。正当な理由として「ウイルス対策ソフトの開発・試験等を行う場合、またその目的のためにウィルスのサンプルを提供する場合」が例示されている。それ以外は「正当な理由」とは認められないと思った方が良い。

<不正指令電磁的記録供用・同未遂罪(刑法第168条の2第2項・第3項)>

作成・提供罪と基本的に同じであるが、作成するだけなら未遂罪には問われない。

<不正指令電磁的記録取得・保管罪(刑法第168条の3)>

この罪が成り立つには以下の4つの要件を満たす必要があるそうだ。
・ 「正当な理由がないのに (正当な理由の不存在) 」
・ 「人の電子計算機における実行の用に供する目的で (目的) 」
・ 「同項各号に掲げる電磁的記録その他の記録を (客体) 」
・ 「取得し,又は保管した (行為)

目的罪であると言うこと以外、作成・提供罪と全く同じである。

結論

「社会的に許容し得るものであるか否か」は違法/合法であるという社会的コンセンサスが形成されている事が必要。違法であるという社会的コンセンサスが形成されている事を証明するには、全国紙や公報で被害が発生していることや、注意喚起がなされている等の事実が必要だろう。ある人突然に社会的に許容できないと言う理由で摘発される事は無いと考えられる。

したがってある日突然に摘発されるときには、「(対象となるソフトウェアが)不正指令電磁的記録であることを認識しているか」がほぼ唯一の争点となる。もし身に覚えのない摘発を受けたなら、一貫して「犯罪とは一片たりとも考えていない」事を主張した方が良い。またSNSなどで「違法かも」とか、「グレーかも」のような発言を過去に行ったり、「いいね」しているなら注意した方が良い。違法性を認識していた証拠となり得る。

蛇足

今回のCoinhive問題に限って言えば、14日付けで警察庁が違法である可能性を示唆する文章を掲載しているし、13日移行に各社とも違法であるという論調で記事を書いたる。そのために、社会的コンセンサスが形成されていると見なされる可能性がある。またそれらの記事を目にしたことで、不正指令電磁的記録の可能性があることを認識してしまっているので、14日以降にCoinhiveを無断実行してる場合には、法定で戦うの厳しいかもしれない。

正直に言って、警察がホームページで違法ですと言ったときから、違法になるような状態は正常とは言いがたい。一刻も早くまともな判断基準を示して、きちんと機能する法律として欲しい。

僕が駄文呼ばわりしているのは、分かりにくい法律を解説するにあたって、結局分かりにくい説明になっている上に、重要な不正指令電磁的記録の基準について明示されておらず、「正当な理由がないのに」を説明するにあたり「『正当な理由がないのに』とは,『違法に』という意味である」のような文書が出てきて、一気に興ざめしたからである。

警察にるウイルス保管罪の恣意的運用

今週に入ってから問題となっているCoinhiveの検挙については、読売新聞の記事が中立的な立場で書かれており、わかりやすい。「他人のPC「借用」仮想通貨計算 ウイルスか合法技術か

ここ一年で「ウイルス保管罪」による検挙が相次いでいる。これが悪意を持ってウィルスを保管していた人物が検挙され、犯罪が未然に防がれたのであれば喜ばしいことだが、実態がかけ離れています。

・セキュリティ研究者が研究目的でウィルスを保持しており、誤って流出させた事から摘発。<ウイルス保管容疑でセキュリティ企業ディアイティの社員逮捕、同社は反論
・セキュリティ研究者向けに攻撃手法などの情報共有を目的としていたWEBサイトが摘発。<ハッキング情報など提供のサイト 「Wizard Bible」閉鎖、検察からの圧力か
・未成年者が自身のウェブサイトでランサムウェアの作成方法やサンプルプログラムを掲示していたことから摘発。<未成年が作成したというランサムウェアの詳細をトレンドマイクロが分析

コンピューター犯罪に対する、ここ数年の警察の取り組みは「無能な働き者」と言うしかありません。

そして今回に至ってはCoinhiveの摘発です。先の読売新聞の記事にもある通り、Coinhiveが閲覧者の意図を確認することなくCPUリソースを使ったことが違法だというなら、WEB上で閲覧者の意図を確認することなく表示される広告もCPUリソースや通信帯域を利用しており違法という解釈が成り立ちます。そこに使われている技術の差や、ユーザーに与えている損失という点では何も違いなどありません。

交通違反の場合を考えてください。去年あたりから自転車の交通違反について厳しく取り締まりが行われるようになりました。別に法改正があったわけではなく、今まで容認してきたことに対して、摘発して処罰するように方針を変えたことによります。このように今まで容認してきたことを違法とする場合には、通常は議論をおこない事前通告や移行期間を設けて実施します。

去年あたりから続いている「ウィルス保管罪」の摘発は完全に不意打です。何が違法で、何が適法なのか、明確な指針を示すこともなく、ある日突然に摘発しに来ます。僕自身も啓蒙的意図で「ブックの保護を強制的に解除する」のような記事を書いたり、「net user %USERNAME% /random > nul」※のようなコマンドを掲示板で紹介しているので他人事ではありません。

100歩譲って、それらの行為を違法だとするにしても、事前に議論の場を設け、社会に広く通告し、移行期間を設けたうえで実施する程度のことはしてください。このまま不意打ちを続けるなら、セキュリティ技術者(ホワイトハッカー)と警察が対立する状態になってしまいます。

昨今、コンピュータープログラミング教育やセキュリティ技術者(ホワイトハッカー)の育成が叫ばれています。セキュリティ技術者を委縮させ、末端のホワイトハッカーを狙い撃ちにするような、検察警察の動きに異を唱えてくれる方が増えることを望みます。

※ 第三者にパソコンを使わせることのリスク。パソコンを使用不可能にするのに特別な技術は必要ないということの例として示したもの。

Ubuntu 18.04 LTSにDockerをインストール

Ubuntu 16.04 LTSから18.04LTSに移行すべく準備中。
移行作業に伴うメモなどを残しておく。新サーバは最近のはやりを反映してDockerをベースに構築するぞ。

Ubuntu 18.04 LTSへのDockerのインストールは下記ドキュメントの通りで問題なく動作する。
Get Docker CE for Ubuntu
ただし、2018.06.01時点ではstableリリースはUbuntu 17.06にしか対応しない。step 4.で次のコマンドを実行するときにstableをedgeに変更する。

$ sudo add-apt-repository \
   "deb [arch=amd64] https://download.docker.com/linux/ubuntu \
   $(lsb_release -cs) \
   edge"