刑法感覚のなさと技術感覚のなさの合体が事件を起こした　判断基準が曖昧な「社会的に許容し得ない」をどう扱うか

EVENT

2022年01月31日に開催

2022年1月20日、最高裁にて逆転無罪判決が下されたコインハイブ事件。IT技術者の勉強会や研究発表が自粛され、日本のIT技術者の萎縮を招くきっかけとなりかねない事件だったことから、多くの方々が感心を寄せていました。「不正指令罪、どうしてこうなった？これからどうなる？」では、高木氏が一般財団法人情報法制研究所の理事の視点で語ります。続いては、これからどうなるかについて。前回はこちらから。

スピーカー

高木浩光

一般財団法人情報法制研究所理事

平野敬 Guest

「社会的に許容し得ない」の判断基準は曖昧なまま

高木浩光氏：これからどうなるかについて少し述べようと思います。このような社会的に許容し得ない判断基準になった、判断方法になったことはいいのですが、どういう場合に社会的に許容し得ないと言えるかという判断基準自体は、依然、曖昧なままだという批判があると思います。

最高裁判決の判断方法を見ても、社会的に許容し得ないと言いながら、その判断に当たっては、動作の内容と機能や情報処理に与える影響の有無・程度、利用方法等を考慮すると言っているけれど、どのように線引きするのかはなにも言っていない。程度問題となっているわけです。

というわけで、先ほど「論文を書いた」というところでお話したように、多くの学説が際要件を絞るべきであると主張をしています。要件は、サイバー犯罪条約の範囲や、私の提案としては動作の類型です。これはほかの先生も言っていて、その挑戦をしたわけですが、それは通らなかった。失敗に終わったと言えるかと思います。

とは言っても、3年前にも話しましたが、大本に戻って考えれば、結局賛否両論ある。社会的に許容し得ないというのは、否定されると言っていいのではないかというのが追加的な感想です。

今回は、あくまでもモロさん事案について個別に判断されたに過ぎません。50パーセントのCPU使用率に抑えていたので、広告と変わらない程度という判断が出ています。では、ほかの事例で100パーセントにしていた人たちはどうなんだ、とか。

（スライドを示して）実は別タイプの事案がありました。便利なブログパーツで、たくさんの人に使われていて、Webサイトにいっぱい貼られています。

ブログパーツが使われるようになってから、何万か何十万かは知りませんが、Coinhiveを埋め込むといっぺんに大量のアクセスが発生するので、ブログパーツを開発している人がかなり儲かったのではないかと思います。

「この事案はどうなのか」「これが社会的に許容し得ないと言えるかどうか」という時に、「これはダメだろう、やってはいけないと思います」。でも、何の信頼を害しているかと考えると、実は話がややこしくなってきます。

（スライドを示して）これについては2019年にブログに書いているので、詳細はこちらを確認してもらえればと思います。ブログパーツを設置する時は、信頼できるコードかどうかを確認してつけているわけです。その信頼を裏切ってみんなに嫌われるようなCoinhiveが埋め込まれているとなると、それは大きく信頼を裏切っていますよね。

自分で設置して、自分のWebサイトが嫌われることはかまわないと思ってやるうちはいいけれど、そんなのうちは設置したくないと思っているようなサイトも一斉に埋め込まれるということが起きるわけで、これは大問題です。

ちなみに、類似事案としてかつて「はてなブックマーク」がそういうことをやらかしましたが、みなさん覚えているでしょうか。

はてなブックマークボタンは、便利だからみんながあちこちに何十万、何百万と設置したのですが、いつの間にか知らないうちに、マイクロアドのターゲティング広告用のトラッキングコード、ビーコンを送信する機能を埋め込んだんです。これが炎上して、（はてなブックマークの）社長が「辞めます」と言って辞めた事案がありましたが、私は犯罪的だと思います。

でも、何の罪かはよくわからないです。今回の不正指令電磁的記録に当たるかというと、不正指令電磁的記録は、あくまでも実行の用に供する、つまり、Webサイトを閲覧した人にとって意図に反しているところを問題にしています。しかし、この事案で怒っている人は、Webサイトの設置者です。“意図に反している”は設置者に反しているのであって、そこでは実行されていない関係にあるわけです。そうすると、話は簡単ではありません。

Coinhive事件、なぜ不正指令電磁的記録に該当しないのかその2 / 高木浩光＠自宅の日記

もしこの事案だけが最初に検挙されて表ざたになって、「おっと、これは」と議論が始まっていたとすると、違う展開で、もっと面倒くさい、ややこしいことになっていたかもしれません。

例えば、それが有罪だとなった後、次に単にWebサイトに設置しているだけの人が検挙されたらそこに口を挟めるのか、という事態になっていたかもしれません。

今回の事件が起きた原因

あらためて、今回どうしてこうなったのかを一言で言うと、私は次のように思います。これは、刑法感覚のないセキュリティエンジニアの人たちと、技術感覚のない検察、警察の人たちが悪魔合体したことによって起きた不幸なのではないかと。

刑法感覚のないエンジニアとはどういうことか。これは初期の頃からブログに書いていますが、1990年代にインターネットが普及すると、すぐに迷惑メールというものが出てきました。当時はそういう言葉もなくて、Unsolicited e-mailと呼ばれていた。望まないメールです。

企業の人が、自分のところの製品を紹介しようと思って、スパムメールを送ってくるわけです。最初はものすごく怒りを覚えました。インターネットを育ててきた立場からすると、自分は単発でやって許されると思っているだろうけど、みんながやり始めたらどうするんだと。

「毎日、何千、何万とメールが来て、捨てるしかないとなるのは目に見えているのに、自分だけは許されると思うんですか」というようなことを、かつて返信したことがありました。そういう時に、「これは犯罪である」と考えるのが、刑法感覚のエンジニアの発想だと言いたいわけです。

こういう類の問題はあくまで行政規制で対処するもので、実際に迷惑メール規制法ができました。間接罰にするか、騙している場合は直接罰にするというのが刑法の相場だと思います。この感覚がエンジニアにないと、Coinhiveの単体の事案を見た時に、「これはブタ箱に入れられるのではないか」と思う人たちがいたと思います。

裏で何があったかは知りませんが、Coinhiveが登場して非常に早い時期から警察は動いていたという証言があります。絶対、エンジニアが大量に通報していると思います。

お互いの誤解の都合がいいところを取ると、コインハイブ事件も犯罪になる

HTMLソースで「coinhive.com」と検索すると、世界中の埋め込んでいるサイトがリストされるサイトがあります。

これはセキュリティエンジニアがよく使っているサイトで、いろいろな攻撃が起きているのを、そのサイトを使って探している人たちがいます。その調べ方を警察に伝えた人がいると思うんです。最初から自力でわかるわけがないので、誰かがアドバイスしたと思います。おそらくその人は犯罪だと思った、ということです。

一方、警察、検察、あと国家公安委員会の委員も「これは犯罪だ」と言っていましたが、この人たちは技術感覚がないので、パソコンが壊れる、CPUが焼き切れる、損耗する、操作が重くなる、使えなくなるという思い込みがあります。こうしてお互いの誤解をそのまま都合のいいところだけ取ると、Coinhiveの正規設置は犯罪だとなってしまうということではないかと思うのです。

おそらく、いまだに検察の人たちは、今回の結果は一審が立証に失敗しただけであって、ちゃんと一審からパソコンが壊れるとか、損耗するとか、操作が重くなるということを立証しておけば勝てたと思っているかもしれないです。これは、今否定しておかないといけません。

今回の最高裁の弁論の際に、最高検察庁が次のように述べました。これは傍聴者によるレポートですが「50％使っているだけだから大丈夫と言うけれど、そんなサイトを2つ立ち上げたらパソコンがまったく使えなくなってしまう」という発言があったとのことです。

「本当ですか」と、弁論要旨を見せてもらったところ、もう少し慎重な言い方がしてあります。2つ閲覧しただけでも、コンピュータの日常的な使用に相当の影響が生じることは想像に難くないと。それは単なる思い込みで、そんなことは起きないわけです。

こういった科学的な常識がわからないまま思い込んでしまった事案としては、ガソリン発火冤罪事件があります。ガソリンが気化して風呂釜に引火したという、科学的にあり得ないことをシナリオとして用意して弁護側の見解に反論する事案です。「科学的な常識がないままの検察の対応が、こういうことを引き起こす」と、当時言われたのを聞いた記憶がありますが、よく似ています。

CPUの使用率とOSの負荷についての誤解

コンピュータの動作に対する思い込みが原因ではないかということは、一審の時に証人に呼ばれたので、このあたりも質問に答えて説明したところです。CPUの使用率とOSの負荷は別の概念ですが、混同されることが多いです。

CPU使用率が100パーセントならば、OS負荷が重いのではありません。OS負荷は、同時に何本のプロセスやスレッドが今走ろうとしているかという本数のことです。

（スライドを示して）例えばこれは同じ条件ではないので、直接比べられませんが、左のグラフはCPUが50パーセント使われている例で、将棋のプログラムをWebで動かした時の挙動です。OSの負荷、ロードがどんどん上がって、ピークロードが48になっています。作った人はスレッドが32本まで動くようにしてあると言っていました。

こうなると、若干のろのろっと反応が鈍い感じがしてきます。右側はCoinhiveの動作を検証した時の記録で、そのつもりで作っていなかったのでちょっと怪しげというか、単純に比べられませんが、見たいのはOSの負荷というところです。ピークロードが18となっています。

Coinhiveのソースコードは今でも確認できるので、あらためて見てみました。

throttleで待ち時間を設定していますが、50にすると、前回の経過時間だけスリープする感じの作りです。

何スレッドで起動するかは、その環境で使えるCPUのコア数、スレッド数を返す機能がJavaScriptにあるので、その数だけ動かしているみたいです。

私のこの時のマシンだと、4か8だと思います。OSで動いているスレッドがもともと10個ぐらいある中で、それにちょっと足されただけなのに対して本当に負荷が重くなるのは、もっとたくさんのプロセスが動いてロードが上がった時です。CPU100パーセントでほかが動かなくなることはありません。

「いつの時代の話をしているんですか」「ノンプリエンプティブ方式ですか」と言っても、今はみなさん知らないと思います。1990年代まではノンプリエンプティブマルチタスキングOSが普通で、Mac OSだと9まで、Windowsだと3.1、95の16ビットの場合までだったそうですが、当時はプログラム自身が自分で制御を返さないとほかのものが動かない時代でした。

そういう発想をしている……わけはない。そんなことは知らないと思うので。プリエンプティブが当たり前になった21世紀以降のOSは、何個のプロセスが動こうとしても、入れ替わり立ち替わり動くわけです。CPU100パーセントのところに同じくCPU100パーセントを必要とするものが来たら、それぞれスピードが半分になるということですが、お互い50パーセント同士のものだったらぴったり入って、ほとんど性能低下は起きません。

こういった思い込みが技術者にさえあるようで、こういうことをTwitterで言っていたら「いやいや、OS起動時だと遅くなるじゃないですか、見てないのか」みたいなことを言われました。いや、OS起動時は、スレッドやプロセスがいっぱい立ち上がろうとしているから遅くなるんです。

もっと言うとOSが重くなる主な原因は、1本しかないI/Oで、ファイルシステムに対するI/Oが複数のプロセスで同時に取りあう時です。ほかに、メモリ不足などもあると思います。ウイルス対策ソフトが一番重くなる原因で、ファイルの全スキャンをやっていると重くなります。

そういう経験をした人が、そういう時にCPUが100パーセントになっているのを見ているから、逆に考えて「CPUが100パーセントだったら重くなる」という思い込みをしています。

このような冤罪まで起きてしまうので、誤解には注意してもらわないといけません。これは、やってみればわかることです。最高検の弁論で、「動かなくなる」と言いますが、「やってみたんですかあなたは」と。単純なことです。

もちろん裁判上は、立証されていなければ採用されないのは当たり前ですが、感覚として影響するかもしれません。その点、偉いなと思うのは、一審の裁判長は公判前整理手続中に、実際にご自宅ででか、試してみたという話を聞きました。やってみると、Coinhiveを100パーセントで動かしても、別に何も遅くはならないわけです。実は試そうとするとまた問題になります。自宅で試せば別に問題ないのですが、もし裁判所の中でアクセスしていたら、たぶん警報が出ます。当時はcoinhive.comにアクセスしただけでアラートが出るようになっていました。

今でもTwitterには書き込めないでしょう？　coinhive.comとうURLを含むツイートができません。何をやっているんだと思います。ウイルス対策ソフト業界のある種の悪いところですが、なんでもかんでもブラックリストにぶち込んで、全部ウイルス扱いしていきます。

coinhive.comへのアクセスを検出してアラートを出す目的は、おそらく、実際に企業のネットワークに侵入してCoinhiveを設置している事案があるから。そこさえ検出すれば見つけられる、気づくという効果があるので、そういう機能を入れたんだろうと思います。

その結果、当時ユニセフの募金もCoinhiveを使っていたのですが、見にいっただけでアラートが出ました。私も出してしまいました。Coinhiveの取材を受けて、もう1回確認してみようかと思って職場でユニセフのサイトにアクセスしたら、翌朝、事務方の人たちが飛んできて、「ちょっともう。ウイルスが検出されましたよ」と大騒ぎになっていました。

部長は技術系の人なので、「いや、そんな事案じゃないですから」と言ってなにごともなかったのですが、これを検察庁でやったら大ごとです。だから絶対アクセスできないですよね。見てもいないわけです。

昔ブログに“魔女狩り”と書きましたが、ありもしない危険な妄想が、ウイルス対策ソフトLOVEな人たちの間にどんどん広がっているわけです。その結果、技術者でさえ思い込んでしまうというところに、「なんでこんなことになったのか」という原因があるのだと思います。