2019年03月26日 10:11 弁護士ドットコム
自身のウェブサイト上に他人のパソコンのCPUを使って仮想通貨をマイニングする「Coinhive(コインハイブ)」を保管したなどとして、ウェブデザイナーの男性(31)が不正指令電磁的記録保管の罪に問われている事件。判決が3月27日、横浜地裁で言い渡される。
【関連記事:「有休義務化」を回避する裏ワザ、企業の悪用は認められるか?】
検察側は罰金10万円を求刑したのに対し、弁護側は無罪を主張している。
今回、コインハイブの摘発を巡っては、エンジニアや専門家から刑法犯で処罰されることに懸念の声が広がっていた。
また、コインハイブ摘発の前後には、簡単なプログラムが「不正指令電磁的記録に関する罪」(通称ウイルス罪)の取り締まりの対象となった事案もあり、エンジニアが活動を自粛する動きも出ている。
コインハイブの摘発を専門家たちはどう評価するか。これまでの公判を振り返りたい。(編集部・出口絢)
コインハイブの一斉摘発が明るみに出たのは、2018年6月だった。マイニングに絡んだ立件が初めてということもあり、新聞などで大きく報じられた。
公安委員会の定例委員会資料(2018年6月14日)によると、コインハイブに関する捜査は10県警(神奈川・宮城・茨城・栃木・千葉、埼玉・新潟・愛知・滋賀・福岡)で行われ、6月13日までに不正指令電磁的記録作成・同保管・同供用罪などで16人が検挙された。
18年6月14日に行われた公安委員会定例委員会の議事概要によると、委員から「このプログラムを利用した不正採掘は明らかに犯罪だと思う」、「県警察による良い検挙事例」、「目に見えない犯罪への注意喚起という面からも、一般の方にも分かるように丁寧に広報を」などと活動を評価する声が大多数をしめた。
警察庁の官房審議官は2019年3月8日、衆院法務委員会で「平成30年中、28件21人検挙している」と説明。2018年6月以降も検挙を進めていたとみられる。
この検挙された21人の中に、被告人の男性も含まれるとみられる。男性の代理人で男性以外に4人の相談を受けている平野敬弁護士によると、4人はいずれも捜査中で刑事処分が決まっていないという。
男性は2017年9月下旬、自身が運営するウェブサイトにコインハイブを設置。10月下旬にツイッターでサイトの閲覧者から「ユーザーの同意なくコインハイブを動かすのはグレーではないか」といった指摘を受け、11月上旬にサイトからコインハイブを削除した。
男性は2017年10月30日~11月8日の間、仮想通貨モネロの演算を行わせるプログラムコードをサーバー上に保管したことが、不正指令電磁的記録保管の罪にあたるとして罪に問われている。
今回の事件が法廷で争われることになったのは、横浜簡裁が罰金10万円の略式命令を出した後、男性が命令を不服として正式裁判を請求したからだ。略式手続とは、正式裁判によらないで、検察官が提出した書面で審査する裁判手続のことをいう。
つまり、男性が正式裁判を申し立てなかった場合、「不正指令電磁的記録保管罪」の解釈について法廷で争われることはなかった。
男性は被告人質問で、正式裁判を請求したことについて「負担はあります」と打ち明けている。悩んだ末に「こういう形でクリエイターが取り締まられると、IT業界に良くない」と裁判することを決断したという。
千葉大学大学院専門法務研究科の石井徹哉教授(刑事法学)は「罰金や科料の軽微な犯罪は、争われることが少なく、簡易裁判所レベルの法解釈に止まってしまうことがみられる。そうした裁判例を根拠に警察が捜査をすることもある」と懸念する。
今回、被告人の男性が問われている罪は「不正指令電磁的記録保管罪」(刑法168条の3)というものだ。
不正指令電磁的記録保管の罪は、
(1)正当な理由がないのに
(2)人の電子計算機における実行の用に供する目的で
(3)人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、またはその意図に反する動作をさせるべき不正な指令を与える電磁的記録(刑法168条の2第1項第1号)、または、同号の不正な指令を記述した電磁的記録その他の記録(同項第2号)を
(4)保管した
場合に成立する。法定刑は2年以下の懲役または30万以下の罰金となっている。
聞きなれない言葉が多いが、これらの条文をどう解釈すれば良いのか。
立法担当者による学術論文「杉山徳明・吉田雅之『情報処理の高度化等に対処するための刑法等の一部を改正する法律』について(上)」(法曹時報64巻04号)によると、まず、不正指令電磁的記録に当たるかどうかの判断は「意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える」かどうかがポイントになるという。 この際の「意図」については、「一般に認識すべきと考えられるところを基準として規範的に判断する」としている。
例えば、ポップアップ広告は「インターネットの利用に随伴するものであり、そのようなものとして一般に認識すべきと考えられる」として、「意図に反する動作」に当たらないとする。
そして、指令が「不正な」ものかどうかは、「社会的に許容し得るものであるか否か」という観点から判断するとする。
バグについては、「不可避的なものとして許容されている」ため「不正な」要件を欠き不正指令電磁的記録に当たらず、ソフトウェア制作会社が不具合修正のプログラムを無断でインストールした場合も「意図に反する」可能性があるが、不正ではないとの見解を示している。
また、不正指令電磁的記録保管の罪は、故意および実行の用に供する目的がなければ成立しない。「実行の用に供する」というのは、PC使用者が不正指令電磁的記録を実行しようとする意思がないのに実行され得る状態に置くことだとしている。
この罪が処罰対象とする行為は「保管」だ。この「保管」とは、不正な指令を与えるソースコードなどの電磁的記録を、パソコンのハードディスクや自分で自由にダウンロードできるサーバに保存しておく行為があたりうるとしている。
この裁判の争点は、以下の3点だ。
1)コインハイブは不正指令電磁的記録にあたるか
2)「実行の用に供する目的」があったと言えるか
3)故意があったと言えるか
それぞれの争点について、検察側と弁護側の主張は過去の記事にまとめている。 https://www.bengo4.com/c_1009/n_9261/ 専門家はこの事件をどうみるか。
前述の石井教授は、コインハイブは不正指令電磁的記録にあたらないとみる。
「この犯罪はコンピューターを使う際の社会的な信頼を保護するもので、プログラムの使用にあたりセキュリティ上の問題がないことへの信頼を核にしている」とした上で、「一般論として、あるサイトを見た時にプログラムがどのように動作するか。それがセキュリティを侵害する態様で意図に反するかどうかがポイントになる」と話す。
広告については、「一般の人はバナー広告かスクリプトで動くデジタル広告か区別がつかない人も多いと思うが、どちらにせよサイトを見る際に広告はあるものとして社会的に認識されている」とする。
これに対して、トラッキングコードやコインハイブなどブラウザを開いた際に動作しているか分からないものについては「今は明確な法解釈がない。セキュリティの観点から問題ないかどうかは、設置や動作状況から、プログラムごとに判断するしかない」と指摘し、そのプラグラムが社会的に認識されていないとしても一概に不正性を認められるものではないと考える。
加えて、検察側が「PCが遅くなるなど一方的に負担を強いられた」としている点については、「動作が遅くなることは広告でもある」とも指摘。「これを持って規制してしまうと、どのようなPCであってもあらゆるウェブサイトを問題なく見られるようにしなければならなくなる」と話している。
一方、中央大学法学部の四方光教授(刑事法学)は「自分のパソコンが知らないうちに他人に使われていることは、社会的に認められていない」とし、コインハイブは不正指令電磁的記録にあたると考える。「社会通念上、皆がそのプログラムの作動を許容しているか」が判断の分かれ目だといい、「こうした定義は時代によって変わり得る」と話す。
「新しい技術が世間一般に許容されるかどうか、技術者と国民の認識にズレがある場合もあり、国民が勉強しなければいけないところもある。新技術の取り締まりを行政法でおこなうという議論はあるが、悪質性が高く切迫性がある場合に、どう対処するのか懸念が残る」(四方教授)
この公判で争点以外に弁護側が主張していることがある。それは捜査のずさんさだ。
男性は被告人質問で、家宅捜索について証言。2018年2月に警察からの電話で「とある事件の捜査に協力してほしい」と言われ、男性が被疑者とは告げられないまま自宅に移動したという。
自宅到着後も令状を吟味する時間はなく、捜査官も「コインハイブについて調べている」と言わなかったため、男性は当初「クリプトジャッキング」など他人の犯罪に巻き込まれていると考えていたそうだ。
9時間に及んだ警察での取り調べでも、コインハイブの何が違法にあたるのかは詳しく説明されなかったという。男性が話す技術的な内容について「理解している人がおらず、伝わっていない感じがした」と振り返り、捜査官からは「反省してんのか」と怒鳴られ「裁判所で令状が出ている以上、犯罪なんだから」と言われたと証言している。
加えて、弁護人は証拠のずさんさも指摘。検察側が提出した証拠書類は、技術に関する初歩的な誤解や誤記があったため何度も訂正を行い、英語で書かれたコインハイブ公式ブログのページはGoogle翻訳したものが出されたという。
平野弁護士は「人の有罪、無罪を裁く場の証拠として機械翻訳とは信じがたいこと」と批判している。
日本では2~3年ほど前から、不正アクセスによりウェブサイトが改ざんされて勝手にマイニングされる「クリプトジャッキング」の事例があった。しかし、今回の男性の事例は、他人のウェブページを改ざんした訳ではなく、自身のサイトに設置したものだ。
なぜ今回、こうしたコインハイブの事案が捜査対象となったのだろうか。
国際大学GLOCOM客員研究員の楠正憲さんは、コインハイブの報酬であるモネロが匿名性が高い仮想通貨(暗号資産)であることから「犯罪収益やテロに加担することに繋がるという捜査機関側なりのストーリーがあったのではないか」とみる。
コインハイブはサイト訪問者のCPUを使って仮想通貨モネロのマイニングをさせ、収益を得るサービスだった(3月8日に終了)。モネロは匿名性の高い通貨で、日本で取り扱っている取引所は現在ない。 楠さんは「マネーロンダリングやブラックマネーに対する警察の感覚は、ネット広告のようなグレーが認められやすい世界の許容度とは大きく違う。捜査機関側はマイニングという行為が間接的に幇助するものに対して問題意識があったのではないか。そうした意向を技術者側が読み違えて起こった悲劇だ」と話す。
一方、コインハイブの存在を知っている人からも、同意を得ない形でマイニングするのは「マナー違反」「心理的に嫌だ」という声もある。
楠さんは「コインハイブなど見えないところで動くものについては、有効な同意を取ることがベストではある」としながら、「アクセス解析のタグなど全てで事前同意取得を義務付けると、産業へのインパクトが大きい。社会のコンセンサスをどう作っていくのかが課題だ」と難しさを口にする。
こうした新しい技術への取り締まりに対し、ネットでは懸念の声が上がっており、すでに自粛する動きも出ている。
「何を書いたら、何をしたら逮捕されるのか全く分からないことが怖い。ならば全ての活動を止める以外の選択肢が無い」。2013年から「すみだセキュリティ勉強会」を主催するセキュリティエンジニアのozumaさんは、しばらくの間、勉強会の活動を休止すると決めた。 ozumaさんは実際に攻撃者が利用する方法を使って擬似攻撃を行い、サービスに情報セキュリティー上の欠陥がないかどうか調べる脆弱性診断を専門としている。勉強会では実際に攻撃者が利用する手法を解説することもあり、「自分が逮捕されること、そして大切な友人や勉強会に来てくれる人たちが逮捕されるのが怖い」と話す。
勉強会休止決定の背景には、不正指令電磁的記録に関する罪の取り締まりに対する疑念もある。
2018年3月、情報セキュリティーに関するウェブマガジン「Wizard Bible」を運営していた男性が、遠隔操作によって外部からコマンドを実行できる簡単なサンプルコードを公開していたことで、不正指令電磁的記録提供の罪で略式起訴され、罰金50万円の略式命令を受けた事件があった。
2019年3月には、インターネット掲示板に無限にアラートが出るページへのURLを書き込んだとして、兵庫県警が不正指令電磁的記録供用未遂の疑いで、13歳の女子中学生と男性2人の自宅を家宅捜索している。 いずれの事件もエンジニアからは「一般的なプログラムだ」「これで検挙されるのか」と驚きの声があがっていた。
ozumaさんは「不正指令電磁的記録に関する罪はマルウェアだけが対象になると考えていた。こうした検挙がなされるとは思っていなかったし、警察を信用しすぎていた」といい、「どこに地雷が埋まっているか分からず、しかもその地雷の爆発条件も分からないため、全ての活動を止める以外の選択肢がなかった」と悔しさをにじませる。
今回のコインハイブの裁判は、毎回1時間ほど前に到着しても、いつも10人ほどが法廷の前に並んでおり、開廷時間直前に来た人は法廷に入れないこともあった。テレビで連日報道されたわけではない事案で、このように傍聴人が殺到する事件は異例だったと感じる。
こうした関心の高さは、男性が2月18日の最終陳述で述べたとおり、今回の事件が「これからのIT業界やインターネットに深刻な影響を与える問題」と考えている人が多いことのあらわれだろう。
コインハイブは不正指令電磁的記録にあたるのか。裁判所がどのように判断するか、注目が集まっている。 (弁護士ドットコムニュース)