先週から、「ドコモ口座不正引き出し事件」の原因として、被害の発生した銀行が4桁数字の暗証番号で認証処理していたことが取りざたされており、リバースブルートフォース攻撃の手口が暗証番号特定の手段として使われた可能性について、テレビのワイドショーでも扱われるなど、世間での認知がかつてなく高まっている。
そこで、この機会に、昔から存在していたテレフォンバンキングの危険性について、銀行側に抗議すれば今ならご理解いただけるのではないかと考えた。この問題は十数年前にも銀行側に伝えているが、サービスを止めるわけにもいかないし、電話経由での自動処理による攻撃は考えにくいと当時は考えられたのか、対処されることはなかった。2020年の今日、電話経由のサイバー攻撃は技術面で十分に容易に可能となっていると考えられ、この機会にサービス終了を含め見直すべきときであろう。*1
本日午前、三井住友銀行のコールセンターに電話して尋ねたところ、以下の展開となった。
質問:お尋ねしたいのは、テレフォンバンキングのサービスがありますが、これを使えなくしたいのですが。
回答:インターネットバンキングはそのままご利用になって、テレフォンバンキングをお止めになるということですか?
質問:どちらも止めてもいいのですが、テレフォンバンキングは中止、廃止できるのですか。
回答:インターネットバンキングのログイン後の画面から、テレフォンバンキングを利用しないという設定に、ご自身で変更ができるところがございます。
質問:ほほうなるほど、そうなっているんですね。インターネットバンキングを利用開始しないとできないということですか。
回答:さようでございます。インターネットバンキングやテレフォンバンキングをご利用いただける「SMBCダイレクト」のサービスの中でのテレフォンバンキングだけを止める手続きになります。
質問:なるほど、これってインターネットバンキングを契約している人だけしかテレフォンバンキングは使えなくなっているということですか?
回答:説明が複雑になって申し訳ないのですが、SMBCダイレクトの利用開始をされていない方も、キャッシュカードのATMを使うときの暗証番号をお電話のボタンで押していただいて、例えば残高の確認ですとか、入出金の明細のご案内を自動音声でお聞きいただけるようにはなっております。
質問:なるほど、最初からテレフォンバンキングは使えるようになっていたということですね?
回答:テレフォンバンキングという名前ではないのですけども、自動音声でのご案内をお聞きいただけるのは、皆様、キャッシュカードをお持ちの方にはご利用いただけます。
質問:ああ、名前が違うんですか。
回答:はい、お電話での自動音声でのサービスということになってきます。
質問:内容は同じなんですか? テレフォンバンキングと電話での自動音声での案内というのは、サービスは同じなんですか。例えば、残高照会ができる部分は。
回答:残高・入出金明細は、キャッシュカードをお持ちの方はご契約ありなしにかかわらず皆様お調べいただけるようになっていまして、入力いただく暗証番号の設定などがご契約によって違ってきます。
質問:ほほう。どう違うのでしょうか。
回答:ご契約のない方は、キャッシュカードで使うときの4桁の暗証番号でご本人様確認をさせていただいております。インターネットバンキングなどのご利用ができるSMBCダイレクトのご利用登録をされていらっしゃる方の場合は、第一暗証と申します暗証番号でご本人様確認をとらせていただきます。
質問:第一暗証って、パスワードではないんですか?
回答:第一暗証は、固定の番号で、お申し込み当初にご自身で決めていただいた数字になっています。
質問:えーと、第一暗証は数字でしたっけ?(調べる)第一暗証は、4桁から8桁の英数字って書いてありますけど。
回答:そうですね、インターネットでログインされるときには、インターネット専用暗証というものを設定できますので、おっしゃっていただいた4桁より長いものを登録できるようになっております。
質問:そうすると、テレフォンバンキングのときに、電話でどうやって入力するんですか? 英数字を。
回答:お電話の場合は、インターネット専用暗証ではなく、数字4桁だけの暗証番号で確認いたします。
質問:それは、キャッシュカードの暗証番号ではないと先ほどはおっしゃいましたが、話が矛盾しているのでは?
回答:キャッシュカード暗証とは連動しておりませんで、インターネット専用暗証をインターネット上で設定される前までお使いだった、4桁の数字だけの第一暗証になります。
質問:……。ええ? 3つあるということですか?
回答:そうですね、ネット専用暗証を設定されている方は、そうですね、お電話用のものが4桁の数字の暗証番号があります。
質問:……。うーん……。それで……そうですか。前の? 今のダイレクトを申し込むと最初の初期設定は、キャッシュカードの暗証番号が第一暗証として設定されているわけですよね。
回答:申し込み方法によっても異なるのですけども、同じになっている場合も多いです。
質問:でー……、それを? パスワードに変更すると、8桁の英数字に変更すると、テレフォンバンキングでは何を入力することになるのですか?
回答:そのインターネット専用暗証を設定する前までにお使いだった4桁の数字だけの第一暗証になります。
質問:それはキャッシュカードの暗証番号と同じということじゃないんですか?
回答:連動しておりませんので別々にも登録されています。
質問:別々にも登録ができる? どこでできるんですか?
回答:インターネットの画面の方で、変更などしていただいて、インターネット暗証を登録されると、ネット専用のものがまた別にできるということになります。
質問:んー? 設定で変えちゃうと前のはもうなくなっていると普通は思うんじゃないですか? つまり、第一暗証を英数字のパスワードに設定変更したら、前にたまたま使ってた4桁数字の何かは、もう消えてなくなっている……キャッシュカードは別で連動していないのでいいとして、 変更してもうなくなったはずの4桁数字というのはテレフォンバンキングでは使えるままになっているということですか?
回答:左様でございます。
質問:はー。それはちょっと普通わかんないんじゃないですかね?
回答:少し分かりづらいかもしれないです。
質問:それで、最初の質問に戻りますけど、テレフォンバンキングをやめたい、使えないようにしたいっていう場合に、SMBCダイレクトを利用開始をしている人でないとテレフォンバンキングを止めることはできないということですか。
回答:はい左様でございます。
質問:それって、インターネットも使えないような人たちはどうやってテレフォンバンキングを止めればいいんですか?
回答:インターネットも使わずに、お電話のテレフォンバンキングも使わないということでございますね? そうしますと、そのときの状況をおうかがいしてということになるんですが、SMBCダイレクトのサービス自体をお止めになったりですとか、そういった手続きになるかと思います。
質問:……。さっきも確認しましたけども、SMBCダイレクトの契約がある人はそれで廃止すればいいと思うのですけども、ダイレクトの契約のない人も最初からテレフォンバンキング……いや名前が違うんでしたね、電話自動応答の残高照会機能はあるということでしたよね?
回答:はい。
質問:それを止めたいのに、ダイレクトを廃止すればそうなるんですか?
回答:SMBCダイレクトの利用開始をされていない方で、自動音声残高サービスをお止めになりたい場合は、恐れ入りますがお近くの支店の窓口の書面で承っております。
質問:なるほど、そういうルートは用意されているんですね。
回答:左様でございます。
質問:ところで、テレフォンバンキングを止めたいっていう要望はけっこうあるんですか?
回答:そうですね、まあ、はい、あるかと思うんですけども。
質問:なんで、止めたいなんて、言うんですかね?
回答:えと、まあ、その方それぞれですけども、セキュリティを気にされたりですとか、あまり口座をご利用にならなかったりですとか、様々理由があるかと思います。
質問:なるほど、やっぱりセキュリティの問題が認識されているということですかね。
回答:そうですね、はい。気にされる方もいらっしゃるかと思います。
質問:あの、いま、Webサイトを見たら、テレフォンバンキングのご利用方法のところに、「テレフォンバンキングのセキュリティ」と書いてあるんですけども、「以下の対応を行なっています」とのことで、「ご入力時、背後でスクランブル音(ピポパ音)を発信します」ということですけど、これで……何の意味があるんですかね?
回答:どういった番号か推測することができるかもしれないので、ピポパという音を背景に流すことで、押された番号を隠すようになります。
質問:……。暗証番号は、キャッシュカードの暗証番号と連動しているんですよね?ダイレクトの利用開始をしていない人。
回答:はいそうです。
質問:そうすると、4桁の数字の暗証番号なので、1万通りしかないわけですけど、
回答:はい。
質問:何回も試されたら当てられちゃうんじゃないですか?
回答:あ、そうですね、回数は開示できませんが、一定の回数を超えてお間違えなられると、サービス自体が使えないようにロックがかかるようになっております。
質問:だけど、口座番号の方もプッシュで入力するんですよね?
回答:左様でございます。
質問:そうすると、あのー、いろんな口座番号を順々に試されると、ロックされないんじゃないですか?
回答:それぞれの口座番号に対して所定の回数を超えるとロックがかかります。
質問:一つの口座に一つの暗証番号を試して、次の口座を試していくというふうにヤられると、ロックかけられないんじゃないですか?
回答:1回で通ればということになりますけどね。
質問:通ったり通らなくてもいいんですけど。例えば5963という暗証番号で、順番に口座番号を試していくと、いつか当たるんじゃないですか。
回答:上の者に確認したいことがございますのでお待ちいただいてもよろしいですか。
質問:はい。
(音楽)
回答:大変お待たせして申し訳ございません。今お聞きいただいたことは上の者に確認させていただいたんですけども、試しに総当りでされて一度で通ってしまうかもしれないというところには、恐れ入ります、私どもで対応は何もできていないということでございます。
質問:う、なるほど。そうなっちゃうということですね。
回答:左様でございます。
質問:うー、それは大変危険ではないですか?
回答:左様でございますよね、そういうお声があったということは上の者に上げさせていただきます。
質問:それ、危険でも、わかってて使いたい人がいるのしょうけど、使いたい人だけに使わせればよいのではないですか? 全員使えるようになっているというのは、みんな知らないと思いますけどー、
回答:あー、左様でございますよねー。
質問:こんな機能、使う人、います?
回答:そうですねえ、恐れ入ります。
質問:ん? こんな機能を……ていうか存在も知らない人が多いと思うんですが、知らないところでそうやって自分の暗証番号がたまたま当てられるかもしれないリスクに晒されているわけですよね?
回答:左様でございます。
質問:あのー、使いたい人だけに使えるようにすればいいんじゃないですか。
回答:あー、左様でございますねー。その点もお声として上に上げさせていただきます。
質問:でこれ、当てられちゃったら、残高照会が見られるということですね?
回答:左様でございます。
質問:まあ、振込まではできないわけですね?
回答:できないです。
質問:だから残高照会くらい見られてもまあいいんじゃないか、ていうことですかね。
回答:……見られてもいいということではないんですけども、当てられてしまうと通ってしまう仕組みにはなっています。
質問:でーこれ、ダイレクトを開始していない人の場合はキャッシュカードの暗証番号と連動しているんですよね。
回答:はい。
質問:そうすると、キャッシュカードの暗証番号を当てられてしまうってことですよね。
回答:はい左様でございます。
質問:そうすると、口座番号とキャッシュカードの暗証番号が手に入る、例えば1万回試せば一人くらい以上だいたい見つかるということですけど、その2つの情報があれば、偽造キャッシュカードを作られるんではないですか?
回答:あー、偽造で作られてということですか。
質問:口座番号があればキャッシュカードが作れて、あとは暗証番号が要ですけど、このテレフォンバンキングで特定された暗証番号で、ATMで下ろされてしまうんではないですか?
回答:途中になって申し訳ございません、私の方ではセキュリティ面で少しご案内がこれ以上難しい内容になりますので、上の者からお話を伺えればと思いますので、お電話すぐにおつなぎいたしますのでお待ちいただけますか。
質問:はい。
(音楽)
(上席に交代)
(これまでの内容を説明)
質問:(略)ありがちな暗証番号5963とかでいろんな口座番号を試していくと1万個のうちの何百個か何十個かわかりませんが、いくらかは5963の人がいるので当たってしまうんじゃないかという質問をしたところ、そうだ、ということでした。
回答:そうですね、今はい、そういったのがテレビなども私拝見していますと、そういったお話が、まあ、流れてますので、実際そうなのかなというところは、はい、思いますね。
質問:なるほど。それは危険なので……それでどう危険かというのが、暗証番号を突破されて、残高が見られてしまうというのはあるとしても、振込はできないようになっていると、これは危険性を認識されていて、振込は許さないけど残高くらいだったらいいだろうとか、あるいは犯人の方も残高見てもしょうがないじゃんということなのかなと思いますけども、
回答:ええ。
質問:しかし問題は、こうやってヤられると、暗証番号のわかっている口座番号が抽出できてしまうので、その口座番号をキャッシュカードに焼いて、ATMに持っていけば、その暗証番号で引き出しができてしまうのではないですかね?
回答:キャッシュカードを焼いてということなんですが、昔はスキミングとかで読み取って、複製されてみたいなお話があったようなんですが、現時点でICチップの機能を使ってキャッシュカードが作られていることがあって、キャッシュカードの複製というのは、もうほとんど聞いたことがないお話なので、キャッシュカードの複製は難しい。キャッシュカードの口座番号と暗証番号だけで現金を引き出せるかと言われると、まあ難しいと思いますね。
質問:うん、複製はできなくなったと、ICカードで。それはわかります。しかし今問題になっているのは、ある口座番号のキャッシュカードを偽造することで、ICカードの偽造ができないのはわかるんですが、昔ながらの磁気ストライプ型のキャッシュカードとして磁気ストライプに口座番号を書き込むということをすれば、ICカードじゃないキャッシュカードは今でも使えるんですよね?
回答:それもちょっとお話が難しい形にはなるんですが、設定次第というか、それ以上のお話になりますと、コールセンターでの回答も難しいので、お取引店とかで、お時間作っていただいて、ご相談いただけないでしょうか。
質問:なるほど、例えば、もしかすると、申し出れば、 自分の場合はICカードのキャッシュカードを使っているのでそういう偽造ができないように磁気ストライプの場合は拒否するようにして欲しいとか、要望が通ったりするんですかね。
回答:はい、基本設定では、現在、ICチップで引き出すのみという形の設定で私どものキャッシュカードも発行しておりますので。
質問:ほほう、ICカードに切り替えた人については、磁気ストライプではおろせなくなるということですか。
回答:設定を変更されていなければ、はい。
質問:デフォルト設定ができないで、やりたい人がたまにいれば、そういうことも可能、申し出ればできると。
回答:そうですね、はい。
質問:なるほどね。先ほどお伝えしたように、テレフォンバンキングなんて使っている人はごくわずかではないかと考えられるので、どうしてもテレフォンバンキング使いたいという人だけに使わせるようにするべきじゃないんですかね。つまり、オプトインかオプトアウトかっていうことですけど。ICカードにおいて磁気ストライプも使えるようにするのはオプトイン、それは妥当だと思うんですけど、テレフォンバンキングをオプトアウトで提供しているというのは、先ほどの危険性を承知されているのであれば、いけないのではないか、オプトインに変えるべきではないでしょうか。
回答:すみません勉強不足で「オプトイン」「オプトアウト」がわからなくてですね……
(オプトイン・オプトアウトを説明)
回答:お客様からそういうお話があったというところを、申し訳ありません、こちらでは報告をあげるということでさせてはいただきます。
質問:わかりました、ありがとうございます。聞きたかったのはそこでしたが、せっかくちゃんと対処していただいているので、意見を伝えておきたいと思うんですけど、SMBCダイレクトのログインの方法がですね、契約者番号によるものと口座番号によるものとどっちでもよいようになっていて、口座番号と第一暗証でログインすることができると、ここで、第一暗証の変更をしていない場合は、口座番号とキャッシュカードの暗証番号でログインができてしまうわけですよね。
回答:ええ。
質問:そうするとさっきのテレフォンバンキングと同じで、同じ危険があるということですよね?
回答:……。まあ試される方が、まあ言ってしまえば犯罪ですよね?そういった形、悪用しようとする第三者がそういったことをするということがあれば、まあ、テレフォンバンキングでは全部にかけれないといけないので、なかなかな作業だとは思うのですが、可能ではあるかと思います。
質問:ええ、テレフォンバンキングの問題を認識されているのであれば、ここのログインもですね、口座番号と第一暗証の4桁数字というこの画面があるということは、第一暗証を5963とかにして、口座番号の方を変更して試されると何人かは当たっちゃう。当たったものを使って偽造キャッシュカードというルートもあるという同じ話なので、テレフォンバンキングをオプトインにするべきであるとの意見を上げていただけるということですが、そうであればここも同様に問題があるということではないんですかね。
回答:そうですね、申し訳ございません、私どもの部署がご意見を承る部署というわけではないので、もしよろしければそういったご意見を承る専用のダイヤルがございますので、そちら申し上げてもよろしいでしょうか。
(略)
こういった問題があるので、私のSMBCダイレクトの第一暗証はロック(第三暗証を素で間違えてロックされた経緯であるが)されたままあえて放置してある。ATMは使えるが、テレフォンバンキングもロックされていて使えないようになっているのを確認した。
自衛策は自分の口座をロックしてしまうこと。これ最強。三井住友銀行はもはや信用できなくなったので長年ロックのまま放置してある。 pic.twitter.com/FropAhKYqQ
— Hiromitsu Takagi (@HiromitsuTakagi) September 8, 2020
三井住友銀行の場合、暗証番号を特定されても、今回のドコモ口座の件では、別途ワンタイムパスワードがないと口座振替できないようになっていたので、被害に遭うことはないようである。上記の問い合わせでのやり取りで、キャッシュカードを磁気ストライプで偽造されてもICカード利用者のほとんどには問題がないとのこと(そうか?)だったが、仮に、暗証番号を特定されてもそれ自体で不正送金が起きないようになっているのだとしても、問題がないとか問題が小さいとは言えない。
今回のドコモ口座事件で、暗証番号がどこかから漏えいしていたのか、それともリバースブルートフォースにより特定の暗証番号が一致する口座番号の抽出が行われたのかが問われているが、リバースブルートフォースによって暗証番号が一致する口座番号が抽出されるというのは、当該口座番号の利用者について暗証番号が特定されるということに等しい。それはつまり、当該利用者についての暗証番号が漏えいしたということでもある。
これまであまり考えたことがなかったが、これは個人データの漏えいであり、個人情報保護法第20条(安全管理措置義務)違反ではないだろうか。4桁数字暗証番号しか設定できない認証機能をインターネットや公衆電話網に開放しているサービスを提供している事業者の全てが個人情報保護法第20条違反というべき*2ではないだろうか。
ドコモ口座対応銀行の「Paypayへの」Web口振条件+α
— とどたん(todotantan) (@todotantan) September 14, 2020
参考情報として。 pic.twitter.com/eVA5zUVHQm
とどたん氏のこの調査によれば、テレフォンバンキングをここ数年で終了した銀行も結構あるようだ。「申込制」のところもあるようで、最初からそうだったのかも気になる。なぜそうなったのだろうか。公表されていない事件が起きているのではないのか。
全国銀行協会がドコモ口座事件を受けてようやく「資金移動業者の決済サービス等での不正出金への対応について」を発表したが、「キャッシュカードの暗証番号に加え、ワンタイムパスワード等の複数の認証手段を組み合わせることによる堅牢な認証手続きとすることを検討いただきたい。」と書かれており、まだこれからもキャッシュカード暗証番号をWeb(アプリも同じ)に入力させるつもりなのか。
*1 19年前に出版された、不正アクセス対策法制研究会編著『逐条 不正アクセス行為の禁止等に関する法律[補訂]』(立花書房、2001年10月)は、次のように指摘している。「『テレフォン・バンキング』として、金融機関のフリー・ダイアルに電話をすれば金融機関のシステムにつながり、自動音声誘導に従って、口座番号、暗証番号等を逐次プッシュホン機能により入力することにより、残高照会等が行えるシステムが出てきている。このようなシステムについては、そのセキュリティが十分であるかという問題はあるが、口座番号と暗証番号とが識別符号には該当することから、他人の口座番号と暗証番号を電話機から入力してシステムを利用するような行為は不正アクセス行為に該当し得る。」(84頁)
*2 標準的なパスワード認証のサービスでは、リバースブルートフォースによるパスワード特定はほとんどできない。極めて安易な弱いパスワード(キーボード配列のパスワードなど)を設定している利用者のIDについてだけ抽出され得ることになるが、それは利用者の落ち度であり、サービス提供事業者の安全管理措置義務違反とまではいえないと考えられる。パスワードリスト型攻撃についても同様。4桁数字暗証番号しか設定できないサービスの場合は、利用者に落ち度は一切なく、それとは異なる。
IPAの「安全なウェブサイトの作り方」(改定第7版2015年、初版2006年)のHTML版が出ている。項目別にページが作られている。
というのも、4年前にWELQ問題が火を噴いたのと同様に、キーワードWeb検索からの流入を当て込む「いかがでしたか系」の乱造記事のSEO汚染の波が、Webセキュリティの業界にも押し寄せて来たからだ。
そういえば、Web脆弱性のいかがでしたか系記事の乱造現象はその後どうなったのかな。
— Hiromitsu Takagi (@HiromitsuTakagi) May 27, 2020
とても嘆かわしい状況です。特にセキュリティ会社の公開する記事がひどいです https://t.co/I4bmFvIviy
— 徳丸 浩 (@ockeghem) May 27, 2020
えっこれ個人ブログかと思ったらマカフィー公式なんですか。 https://t.co/KL98s3YJiB
— 水無月ばけら (@bakera) June 12, 2018
https://t.co/OwaOzsq3Z5 #security クロスサイトスクリプティングを解説するマカフィーのブログ記事にツッコミが入る
— スラド 公式 (@sradjp) June 13, 2018
ハア?😩https://t.co/wTM9XMNQNc
— Hiromitsu Takagi (@HiromitsuTakagi) June 24, 2018
「クロスサイトスクリプティングの脆弱性は、企業などの組織のWebサイトが影響を受けるのではなく、利用者のWebブラウザ上で悪意あるスクリプトが実行される脆弱性です。」 pic.twitter.com/bHLSHj8H1A
対策も有害。13年ほど遅れている。 pic.twitter.com/YaGUbHDqBT
— Hiromitsu Takagi (@HiromitsuTakagi) June 24, 2018
なぜこうも無理して解説コンテンツが作られているのか。それはセキュリティ用語でググったときトップに出てくるのを狙っているのだろう。つまり、怪しげな医療情報のSEO汚染と同じ波が脆弱性対策界隈にも押し寄せているわけだ。クロスサイトスクリプティングでググったトップはあのトレンドマイクロ。 pic.twitter.com/QfQEQEhRwj
— Hiromitsu Takagi (@HiromitsuTakagi) June 24, 2018
そしてそのトレンドマイクロの解説は?と見に行ってみると、案の定の出鱈目だ。クロスサイトスクリプティングに「不正プログラムの感染」なんぞ関係ない。https://t.co/ItXcioB6tl pic.twitter.com/URWtJBV61p
— Hiromitsu Takagi (@HiromitsuTakagi) June 24, 2018
脆弱性を排除する方法は結局何も説明していない。自社製品を売るための誘導でしかない。https://t.co/Lhv73Le0mf pic.twitter.com/2VpVNu80ON
— Hiromitsu Takagi (@HiromitsuTakagi) June 24, 2018
これに対抗するには、IPAが「安全なWebサイトの作り方」の章ごとに分割したHTMLコンテンツを作成して、SEO対策をがっつりやることだな。(医療情報汚染の事案と同じだ。)
— Hiromitsu Takagi (@HiromitsuTakagi) June 24, 2018
セキュリティ界隈も WELQ みたいになってる。病気も脆弱性も「不安な人は○○を買えば大丈夫」みたいな商売が成立しやすいのかも。
— hanotch (@hanotch) June 24, 2018
どうして医者が WELQ を放置してたか疑問だったのだけど、いざ自分の身に降りかかると、フロントエンドは専門外と言って放置したい気分にもなる。
セキュリティ界隈が WELQ 化している件、IPA が『安全なウェブサイトの作り方』の内容そのままに各トピックごとの個別の HTML ページ作ればいいだけな気がしてきた。予算がないとしても、ボランティアとか。
— hanotch (@hanotch) June 24, 2018
あるいは、改変しなければ各社自由に使っていいことにするとか、やりようはあると思う。
今現在、クロスサイトスクリプティングで検索したトップ(それどころかGoogleが特別に推奨している「強調スニペット」の枠)がサイバーセキュリティクラウドとかいう会社の「攻撃診断くん」とかいうWAF製品の販売業者の出鱈目解説。格納型のことしかわかってないやろ書いたやつ。 pic.twitter.com/WbLVxDgv4G
— Hiromitsu Takagi (@HiromitsuTakagi) August 1, 2020
まだ「サニタイジング」言ってるの?てのも化石級だが、「しかし、この手法はスクリプトの実行を阻止しているだけで、結果としては攻撃者からの攻撃をかわしているだけです。さらにこの攻撃自体を……WAFが必要となります」と尻尾を出した。騙くらかしてWAF売りたいだけやろ。https://t.co/jAXxgELID4 pic.twitter.com/8VRKPQPz3G
— Hiromitsu Takagi (@HiromitsuTakagi) August 1, 2020
ようやくIPAの「安全なウェブサイトの作り方」のHTML版が出てきた*1ので、各ページにリンクジュースを注ぎ込むことで*2、検索上位に出るようになるといい*3のだが。
Law & Technology誌に、板倉先生から解題をいただき、横浜地裁のコインハイブ事件無罪判決についての評釈を書かせていただいた。
横浜地裁でモロさん事案が無罪判決となり、その後、検察側が東京高裁に控訴し、公判が未だ開かれない状況にある中、ここ(日記)に書こうと思っていたことを、法学雑誌の判例評釈スタイルで書いた。内容は基本的に4月26日の日本ハッカー協会のセミナーでお話し*1したこと*2(の一部)であるが、いくつか新たな根拠も見つけたのでそれを含めている。「検討」として挙げた論点は以下の5つ。
このうち、1.の論点について、これは、判決前に「検察官は解説書の文章を読み違えていたことが判明」(3月19日の日記)と書いていた件が、判決においても(検察官の論告に引きづられたのか)同様の読み違えに基づく判断となってしまったことについて書いているのだが、詳細は評釈を見ていただくとして、ここでは2点だけ、そこにも書いた「新たな根拠」について解説を加えておきたい。
まず、背景となるのは、3月19日の日記で示していた以下の整理である。
大コンメンタール刑法*3は、「(3)」の節(345頁)で、「プログラムに対する社会の信頼を害するもの」に限り「意図に反する」と解釈される(引用ではなく私の意訳)(図1左の赤の枠に相当)と解説した上で、続く「(4)」(346頁)の節で、「不正でない」(図1左の赤枠の中の青の枠)場合が除かれることを説明しており、そのことを、「社会的に許容し得るものが例外的に含まれることから、このようなプログラムを処罰対象から除外するためである」との文で解説していた。問題は、その直前の文が、そこだけ抜粋すると誤解させる文章になっていたところにあり、それは以下のように書かれていた。
「『不正な』指令に限定することとされたのは、……意図に反する動作をさせるべき指令を与えるプログラムであれば、多くの場合、それだけで、その指令の内容を問わず、プログラムに対する社会の信頼を害するものとして……当罰性があるようにも考えられるものの、そのような指令を与えるプログラムの中には、社会的に許容し得るものが例外的に……」(前掲の文に続く)
この、「多くの場合、それだけで、その指令の内容を問わず」というのは、前の「(3)」の節で、「プログラムに対する社会の信頼を害するもの」に限り「意図に反する」と解釈されるとしているのを受けて言っているもので、その前提なのだから、その意味での「意図に反する」について当然に「意図に反する動作をさせるべき指令を与えるプログラムであれば……プログラムに対する社会の信頼を害するものとして……当罰性がある」ということになることを述べ、「……ようにも考えられるものの……例外的に……」と述べたものにすぎない。
それに対し、検察官の論告は、「(3)」節を引用せず、「(4)」節のみ抜粋し、「意図に反する動作をさせるべき指令を与えるプログラムであれば、通常、それだけで、その指令の内容を問わず、プログラムに対する社会の信頼を害するものとして……当罰性があると考えられる。ただ……など社会的に許容し得るものが例外的に含まれることがあり得るため、不正性の要件が設けられたものであり、不正性の要件に該当しないとして構成要件該当性が否定されるのは、そのようなプログラムの中で例外的なものに過ぎない。」と主張していた。「プログラムに対する社会の信頼を害するもの」に限り「意図に反する」と解釈されるとの前提を飛ばしているため、「意図に反する」の意味を限定することなく「意図に反する」ものは「プログラムに対する社会の信頼を害する」という意味の主張(図1右の赤の枠がこれに相当)になってしまっていた。「通常、それだけで、その指令の内容を問わず」*4の文がそう読まれるわけである。
判決もこれに釣られてしまったようで、「意図に反する」を、規範的な観点で検討することなく、単に「マイニングのことは世間で知られていない」(引用ではなく私の意訳)という程度の検討で、認めてしまった。(その上で「不正な」を否定して無罪とした。)
このような分析を、4月26日のハッカー協会でのセミナーで説明したところ、北条弁護士*5が以下の反応をしていた。
不正指令電磁的記録作成等罪の客体について、反意図性が認められれば当罰性があるようにも考えられるものの、社会的に許容し得るものが例外的に含まれるから、除外するために不正な指令に限定している。このように解した場合、反意図性が認められた段階で不正性が否定されなければ客体に該当するはず。
— jem (@jemsecurity) April 29, 2019
大コンメンタール刑法第3版第8巻では168条の2で「ソフトウェアの製作会社が修正プログラムをユーザーの電子計算機に無断でインストールした場合、当該修正プログラムによる動作」が、なぜに意図に反するものに当たり得るかを考えると、反意図性を意外に広く捉えているようにも思える。
— jem (@jemsecurity) April 29, 2019
これは、大コンメンタール刑法に、意図に反する動作の例として、「ソフトウェアの製作会社が修正プログラムをユーザーの電子計算機に無断でインストールした場合、当該修正プログラムによる動作」が掲載されていることからの類推で、「意図に反する」はかなり広く捉えられているはずだ(だから図1左の範囲はおかしく右の方が正しい)という指摘のようだった。
この例は、「意図に反するけれども不正でない」場合の例として大コンメンタール刑法に書かれているもので、このことについては、3月19日の日記の「なぜこのような誤解が生じるのか」で詳しく述べており、「なぜこの例が書かれているかは、法制審議会刑事法部会で揉まれていた原案の時点から、説明に例として挙げられていたから」で、要するに、例が悪かったのがそのまま残ってしまったのだろうと書いていた。
「例が悪かったのだ」と言ったところで説得力に欠けていたわけだが、今回のLaw & Technologyの評釈では、これについて、新たに以下のことを書いてみた。
筆者のこのような指摘に対しては、次のような反論が想定し得る。大コンメには、「意図に反する」が「不正な」に該当しない指令の具体例として、「ソフトウェアの制作会社が不具合を修正するプログラムをユーザーの電子計算機に無断でインストールした場合における当該修正プログラムがこれに当たると考えられる」と書かれており、これを通常のWindows Updateのような一般的な自動修正プログラムと捉えると、「プログラムに対する社会の信頼を害する」か否かという規範的判断なしに、単に文字どおり意図に反するものは須らく該当するとの解釈でなければ辻褄が合わないように思われる。
これは、例示すべき具体例の選択が今一つ適切でなかったことによる齟齬にすぎないと筆者は考えるが、この具体例は、より詳細に説明したならば次のような状況のものであったとも考えられる。
《ソフトウェアに重大なセキュリティ脆弱性が発見され、直ちに修正プログラムを適用しなければ外部からの攻撃によって甚大な被害(インターネット全域に被害が及ぼすような)が出かねないというときに、修正プログラムをインストールすると元のソフトウェアの一部または全部の機能が働かなくなるような対策となっている場合には、その機能を利用し続けたい利用者は修正プログラムのインストールを拒否することもあり得るところ、社会的意義を優先して、利用者の拒否する意思に反してでも強制的にその修正プログラムを自動インストールさせるという状況》。
このような例であれば、「プログラムに対する社会の信頼を害する」との観点から規範的に判断しても「意図に反する動作をさせる」ものに該当し、しかし「不正な」には該当しないとする例外的なケースとして理解することができよう。この例がふさわしいのであれば、前記の筆者の指摘は矛盾がない。
高木浩光, コインハイブ事件で否定された不正指令電磁的記録該当性とその論点, Law & Technology No.85
つまり、2003年の法制審議会刑事法部会の当時から例示されていた「ソフトウェアの製作会社が不具合を修正するプログラムをユーザーの電子計算機に無断でインストール」というのは、当該ソフトウェアの機能の一部又は全部を停止させてしまうような修正が想定されていたのだろうというわけだ。そうであれば、破壊的なマルウェアと結果は同じなのだから、そういったものはまさに、保護法益を害する程度に「その意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」ものに他ならないところ、脆弱性を攻撃されて生じる被害を防止するためという社会的意義からすれば「不正な」に当たらないという「例外的な」ケースなのだというわけである。*6
このように理解すると、「意図に反する動作をさせる」を保護法益を害する程度に意図に反するものとして限定的に捉えても、この「ソフトウェアの製作会社が修正プログラムを……」が「意図に反する動作」の例として解説書に記載されていることと矛盾しないわけである。
以上が1点目である。解説書も、説明不足であったなら、誤解を招かないように、この例の意味をより詳しく書くようにした方がよいのではないか。
次に、2点目だが、3月19日の日記の「なぜこのような誤解が生じるのか」で、以下のように述べていた件に、新たな根拠が見つかっている。
大コンメンタール刑法の前掲の引用部の「(略)」の部分には、括弧書きで、「(「意図に反する」か否かは規範的に判断するため、同じく規範的な要件である「不正な」に当たるか否かの判断と重なるようにも思われるが、前者は、あくまで、(略)のに対し、「不正」か否かの判断は、(略)という観点からなされることとなる。(略)このように、「意図に反する」か否かの判断と「不正」か否かの判断は、個別の観点からなされるものであり、両者は必ずしも完全に重複するものではない)」と書かれていて、これは以前の解説にはなかったものであるだけに、こんなことをわざわざ書いているのは、そこへのツッコミがどこかからあったのではないかと推察する。「不正な」で除く意義がどこにあるのかについて、どこかしらで疑問視されているのではないだろうか。
そういえば、法制審議会刑事法部会の議事録でも、「「不正」というのは余り意味がない」のでは?との問い掛けがあって、以下のように議論されていたのだった。
(略)
検察官は解説書の文章を読み違えていたことが判明, 2019年3月19日の日記
このことについて、渡邊卓也, ネットワーク犯罪と刑法理論, 成文堂(2018年11月)が、次のように指摘していた。
なお、立案担当者は、「『意図に反する』か否かの判断と『不正』か否かの判断は、別個の観点からなされるものであり、両者は必ずしも完全に重複するものではな」いとする。確かに、両者を別個の要件と解することも可能だが、「意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令」という文言からは、むしろ、「意図に反する」か否かの判断と「不正」か否かの判断は、連動すると解するのが自然であろう。また、「意図」を規範的に理解しつつ、「不正」についても当該プログラムが「社会的に許容し得るものであるか」という規範的な観点から判断するのだとすれば、両者の区別を維持することは事実上困難であるし、その必要性も乏しいように思われる。
渡邊卓也, ネットワーク犯罪と刑法理論, 成文堂, p.269
この説に立つと、検察官の言う「構成要件該当性が否定されるのは……例外的なものに過ぎない」との理屈は成り立たなくなる。この点についても今回の評釈に書いておいた。
さて、最後に、今回の評釈には書いていないが、6月21日に衆議院に提出されていた質問主意書への答弁に興味深いものがあったので、それを分析しておきたい。
質問は、衆議院法務委員会での3月26日の法務大臣答弁と、3月8日の法務省刑事局長の答弁を問題視している。
3月8日の法務省刑事局長の答弁の危うさについては、3月19日の日記の「現在の法務省の理解は大丈夫なのか」でも以下のように書いていた。
この答弁は横浜地検の検事の論告と同じ間違いに陥っているように聞こえる。強調部分は、大コンメンタール刑法の解説からの引き写しのように見えるが、肝心の、前掲で緑で強調した「その「意図」についても、そのような信頼を害するものであるか否かという観点から規範的に判断されるべきである」という前提を飛ばしてしまっている。「不正な」について質問されたから、「意図に反する」について答えなかったというだけならいいのだが……。
検察官は解説書の文章を読み違えていたことが判明, 2019年3月19日の日記
質問主意書は、その冒頭で、以下のように、大コンメンタール刑法の飛ばされた部分を示して、3月の答弁を問題視している。
不正指令電磁的記録に関する罪(刑法第168条の2)についての大コンメンタール刑法の解説を参照すると、同罪の「その意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき」との要件について、
「不正指令電磁的記録に関する罪は、電子計算機のプログラムに対する社会一般の信頼を保護法益とするものであるから、あるプログラムが使用者の「意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」(中略)ものであるか否かが問題となる場合における、その「意図」についても、そのような信頼を害するものであるか否かという観点から規範的に判断されるべきであると考えられる。すなわち、その「意図」については、個別具体的な使用者の実際の認識を基準として判断するのではなく、当該プログラムの機能の内容や機能に関する説明内容、想定される利用方法等を総合的に考慮して、その機能につき一般に認識すべきと考えられるところを基準として規範的に判断することとなる。」
との解説(大コンメンタール刑法第3版345頁。以下、「本件解説」という。)がなされている。先日の衆議院法務委員会において、本件解説による理解と一部相違する解釈が可能な答弁があったことから、疑義を解消すべく以下質問する。
一 2019年3月26日衆議院法務委員会の私の質疑において、山下法務大臣は、同罪に関し、「(これに関して実害を求めるかどうかということに関しまして、)意図に反する動作をさせるようなものであれば、やはりこれはこの不正指令電磁的記録ということに当たるのであろう(ということは一般人において判断可能であると思います。)」との答弁(以下、「本件大臣答弁」という。)をしている。本件大臣答弁を文言通りに解釈した場合、「少しでも利用者の意図に反していれば」、すなわち、個別具体的な使用者の実際の認識を基準として、使用者の個別具体的な意図に反しさえすれば同罪の「意図に反する」ものに該当するかのような誤解が生じかねない。
この点は、冒頭に示した本件解説によれば、そのような解釈をすべきではなく、同罪の保護法益に照らして規範的に判断し、「電子計算機のプログラムに対する社会一般の信頼を害する」と評価できる程度に至っている場合に限り「意図に反する」ものに該当すると解釈すべきと考えるが、本件大臣答弁もそのような趣旨をいうものであったと理解してよいか。
質問1は、3月26日の法務大臣答弁が、「意図に反する動作をさせるようなものであれば、やはりこれはこの不正指令電磁的記録ということに当たるのであろう」*7というものだったのは、横浜地検の検事と同様に大コンメンタール刑法を誤読し、「プログラムに対する社会の信頼を害するもの」に限り「意図に反する」と解釈されるとの前提を飛ばして大コンメンタール刑法の前掲「(4)」のみを抜粋して答えているからではないのかとの疑いをかけ、大コンメンタールの解説に従えば、違うのではないか?と質問しているのであろう。
これに対する答弁は以下のものであった。
一について
御指摘の平成31年3月26日の衆議院法務委員会における山下法務大臣の答弁は、刑法(……)第168条の2の不正指令電磁的記録作成等の罪(以下「本罪」という。)の構成要件が明確性の点で問題はない旨を述べたものであって、御指摘のような「「意図に反する」ものに該当する」との「解釈」について述べたものではなく、「使用者の個別具体的な意図に反しさえすれば同罪の「意図に反する」ものに該当するかのような誤解が生じかねない」との御指摘は当たらない。
「意図に反する」の解釈について述べたものではないという。まあ、はい。
続いて質問2は、以下のものであった。
二 法務省のホームページ上に掲載されている「いわゆるコンピュータ・ウイルスに関する罪について」(以下、「本件文書」という。)には、不正指令電磁的記録作成・提供罪の客体について、「当該プログラムの機能の内容や,機能に関する説明内容,想定される利用方法等を総合的に考慮して,その機能につき一般に認識すべきと考えられるところを基準として判断することとなる。」(本件文書3、4頁)との解説がなされている。
一方、本件解説においては、「当該プログラムの機能の内容や機能に関する説明内容、想定される利用方法等を総合的に考慮して、その機能につき一般に認識すべきと考えられるところを基準として規範的に判断することとなる。」との解説がなされており、両解説を比較すると「規範的に」という文言の有無に違いがある。
本件文書の解説には「規範的に」との文言がないが、これにより本件解説の解釈との間に相違はあるか、又は両解説は同じ意味に理解してよいか政府の見解を示されたい。
これに対する答弁は以下のものであった。
二について
御指摘の「本件解説」は、法務省が作成したものではなく、その記載内容についてお答えする立場にないが、本罪は、電子計算機のプログラムに対する社会一般の信頼を保護法益とするものであるから、ある電子計算機のプログラムが刑法第168条の2第1項第1号に規定する「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」ものであるか否かが問題となる場合における、その「意図」についても、そのような信頼を害するものであるか否かという観点から、すなわち、個別具体的な使用者の実際の認識を基準とするのではなく、当該プログラムの機能の内容や機能に関する説明内容、想定される利用方法等を総合的に考慮して、その機能につき一般に認識すべきと考えられるところを基準として、規範的に判断されるべきものと考えており、御指摘の「本件文書の解説」はそのような趣旨を述べたものである。
これはつまり、大コンメンタール刑法を書いたのは法務省じゃないので答える立場にないとしながらも、法務省の「いわゆるコンピュータ・ウイルスに関する罪について」についても、「規範的に」の文言が欠けているものの、大コンメンタール刑法が言うように「規範的に判断されるべきもの」と法務省も考えていて、「そのような趣旨を述べたもの」なのだそうだ。全国の検事諸君はこの点を間違えてはいけない。
最後の質問3は、3月8日の法務省刑事局長の答弁を問題視して、「新しいものは例外的にしか許容されないこととなってしまい、そのような解釈が法の趣旨に沿うものなのか疑問」と指摘している。
三 本件文書は、同罪の客体に当たるか否かは、「その機能につき一般に認識すべきと考えられるところを基準として判断する」と解説している。しかしながら、新しく登場したプログラムがまだ世間の多くの者に知られていない場合、その動作は「一般に認識すべき」と言えるのかは疑問もある。このことは、本件文書の解説に「規範的に」との文言がないため、より強く懸念されるところである。
また、2019年3月8日の衆議院法務委員会における私の質疑において、小山政府参考人は「不正な指令」の解釈に関し、「電子計算機の使用者の意図に沿うべき動作をさせず、又は意図に反する動作をさせるべき指令を与えるプログラムであれば、多くの場合、それだけで、その指令の内容を問わず、プログラムに対する社会の信頼を害するものとして、その作成、供用等の行為に当罰性があるようにも考えられてしまいますところ、(中略)社会的に許容し得るものが例外的に含まれるところでございまして、このようなプログラムを処罰対象から除外するためのものでございます。」と答弁(以下、「本件政府参考人答弁」という。)している。
本件文書の解釈により、新しく登場したプログラムは動作が「一般に認識すべき」とは言えないがゆえにすべて「意図に反する」ものとして同罪の客体(すなわち犯罪)とされ、さらに、本件政府参考人答弁が言うように、社会的に許容されるものは「例外的に」許容されるということであれば、新しいものは例外的にしか許容されないこととなってしまい、そのような解釈が法の趣旨に沿うものなのか疑問がある。
この点は、立法趣旨及び本件解説等を斟酌すれば、未だその動作につき一般的な認識がない新しいプログラムであっても、すべてが直ちに「意図に反する」わけではなく、一の問いの通り保護法益であるプログラムに対する社会一般の信頼を害するものでなければ「意図に反する」と解釈されず、同罪の客体(すなわち犯罪)ではないと考えるがその理解でよいか政府の見解を示されたい。
この質問は、「本件文書」(「いわゆるコンピュータ・ウイルスに関する罪について」)に「規範的に」の文言が欠けていることを前提に、刑事局長答弁が、「意図に反する」の意味を限定することなく「意図に反する」ものは「プログラムに対する社会の信頼を害する」と述べたように聞こえる旨を指摘し、「本件解説」(大コンメンタール刑法)からすれば、そうではなく、「プログラムに対する社会の信頼を害するもの」に限り「意図に反する」と解釈されるはずではないのか?と問いかけているようだ。
これに対する答弁は、こうだった。
ある電子計算機のプログラムが刑法第168条の2第1項第1号に規定する「意図に反する」ものといえるか否かを含めて、犯罪の成否については、捜査機関が収集した証拠に基づいて個々に判断されるべき事柄であるため、「同罪の客体(すなわち犯罪)ではないと考えるがその理解でよいか」とのお尋ねについて一概にお答えすることは困難である。
「意図に反する」についての一般論が質問されているだけなのに、個別具体的事案(「ある電子計算機のプログラム」が云々)には答えられないなどという、場違いな回答がなされている。
ここは、質問2に「大コンメンタールと同じ意味」と答えたのだから、質問3が疑問の前提とする「本件文書に『規範的に』の文言が欠けている」ことを誤解だとして否定して回答すればよく、そうすれば、最後の「プログラムに対する社会一般の信頼を害するものでなければ「意図に反する」と解釈されず……」には「貴見の通り」と答えられたはず(質問2にそう答弁しているわけで)なのだが、答えたくなかったのであろうか。それはべつに、3月8日の刑事局長の答弁が間違っていたことになるわけではなく、単に「『不正に』について尋ねられたので『不正に』に係る解説を読み上げただけで『意図に反する』の意味については何も言及していなかっただけ」と答えればいいだけなのだが。理解が追いつかなかったのであろうか。
*1 セミナーへの反応の様子として、日本ハッカー協会セミナー「不正指令電磁的記録罪の傾向と対策」(Togetter, 2019年4月27日)など。セミナーの様子を報じたものとして以下がある。
*2 情報処理学会電子化知的財産・社会基盤研究会(EIP)第84回EIP研究発表会での招待講演「いわゆるマイニングスクリプトと不正指令電磁的記録に関する罪〜コインハイブ事件の論点と課題〜」でもお話しした。
*3 大塚仁ほか編『大コンメンタール刑法〔第三版〕第8巻』
*4 「多くの場合」が「通常」に差し替えられてもいるわけだが。
*5 元警察庁技官である北条弁護士は、Coinhive使用者の摘発が各地で進行中かつ表沙汰になる前の2018年5月9日の時点(「緊急周知」はその10日後)で、読売新聞で以下のコメントをしていた。
他人のパソコンなどをマイニングに無断で使う不正行為が広がっている。以前はメールや不正サイト経由でパソコンをウイルスに感染させ、マイニングを行っていたが、昨秋、ネット上で公開されたコインハイブは「広告に頼らずに収益が得られる」とうたい、誰でも利用できる。これをサイトに仕込み、閲覧者のパソコンやスマホを無断で使う手口が急増している。
情報セキュリティー会社トレンドマイクロは、人気漫画などを無断で掲載していた海賊版サイト「漫画村」にも、コインハイブが仕込まれていたことを確認した。漫画村の運営者か、別の誰かが仕込んだのかは不明だが、多くの人が長時間、閲覧する漫画村は、マイニングには好都合だ。
(略)
ネットに詳しい北條孝佳弁護士は「他人のパソコンに勝手にマイニングさせることは、意に反する動作をさせる不正な指令にあたる恐れがあり、不正指令電磁的記録供用罪になる可能性がある」と指摘する。
トレンドマイクロの岡本勝之氏は「サイトを閲覧させるだけで仮想通貨が入手できるので、従来のサイバー攻撃に比べて不正な利益を手にすることが容易になった」と分析。「ネット空間での不正行為のハードルが下がってきている」と懸念する。
「[追跡 仮想通貨](5)「採掘」知らぬ間に…」読売新聞2018年5月9日朝刊第2社会面
*6 実際にこれに当たるような事案が、7月にあった。「アップルがビデオ会議システムZoomの隠しサーバーを削除するアップデートを静かにプッシュ配信」(TechCrunch, 2019年7月11日)の事案は、macOS用のZoomというサードパーティ製アプリの致命的な脆弱性をAppleが強制的に排除するもので、「Appleは既知のマルウェアを退治するために無言でアップデートを配信することがしばしばあるが……一般アプリに対して公に行動を起こすことは稀だ。」という。
*7 198回国会衆議院法務委員会会議録6号(平成31年3月26日)
○松平委員 そうなると、恐らく、先ほどの資料三、この書き方が余りよくないのかなというふうに思うんですね。並んでいる、今話した例が、これは害のあるものばかりなんですよ、スパイウエアとかトロイの木馬とか。なので、これは勘違いさせる要因になっていると思うんですね。
(略)それで、一般的なコンピューターウイルスの理解それから今のこの経産省の定義、そういったものがやはり、定義は一般的に近いものだと思っているんです。
ですので、今回の、すぐに消せるような、害のない、いたずらのプログラムをコンピューターウイルス罪で摘発したいのであれば、このコンピュータープログラムを、害のない、いたずらのプログラムが入るような定義を示してもらわないと、これは誤解を生じると思うんです。
今回、これは刑法なんですね。業法とかじゃないんです。なので、やはり罪刑法定主義というところをきちんとやってもらいたいと思っています。
今お話しさせていただいた、社会的に許容されないという解釈でこのような事態となってしまっている現状、それから、今お話をしたコンピューターウイルスの定義についての部分。実際に、今回のような、無限アラートの事案のようなことが現に起こってしまっているのは、これはやはり、コンピューターウイルス罪というものが不明確であるということに全て起因しているというふうに思っています。
大臣、今までの話を踏まえて、いかがでしょうか。
○山下国務大臣 まず、経産省ホームページによる定義に関しましては、所管外ということで、明確なお答えは差し控えさせていただきたいんですが、(略)ちょっとこれは所管外でございますので、経産省がこういうふうに定義している意図、こういったものを出している意図は、若干、申し上げられないところでございます。
コンピューターウイルスという形ではこれは定義しておらないんですが、刑法においては、不正指令電磁的記録という形でこれは定義がありまして、それにつきましては先ほど局長が申し上げたとおりでございます。
こうしたことについて、これらの構成要件の明確性からすると、これは一般人であればその意義を十分理解し得るものであろうというふうに考えております。
これに関して実害を求めるかどうかということに関しまして、意図に反する動作をさせるようなものであれば、やはりこれはこの不正指令電磁的記録ということに当たるのであろうということは一般人において判断可能であると思いますので、ちょっと御指摘のところとは見解を異にするというところでございます。