高木浩光＠自宅の日記

■ WinnyのDownフォルダをインターネットゾーンにする

いくつかの国々では、貧困層に薬物乱用が蔓延し、注射器の回し打ちで悪性の感染症が広がっているとき、無料で注射セットを配布するのが正義なのだという。

ニートにWinny乱用が蔓延し、Downフォルダのダブルクリックで悪性のトロイの被害が広がっているとき、私達にできることといえば、せめて安全なファイルの開き方だけは伝えていくことではないだろうか。どうしてもWinnyを使いたいならDownフォルダをインターネットゾーンにして使え、と。

Vector Softライブラリに、「ZoneFolder.VBS」というVBスクリプトのパッケージがある。

すると、指定した名前のショートカットがデスクトップに作成されるので、これを開く。

開いたウィンドウの場所は、Intnernet Explorerのcacheフォルダのある場所になっていることがわかる。ここは「インターネットゾーン」である。

このフォルダのパス名「C:\Document and Settings\……\Local Settings\Temporary Internet Files\abcdefg」をコピーし、Winnyの「システム設定」の「フォルダ」タブのところにある「ダウンフォルダパス」のところにペーストして、設定する。

これで、WinnyのDownフォルダはインターネットゾーンとなる*1。

この設定で、Downフォルダに「新しいフォルダ　　　　　　　　　　　　　　　　　　.exe」が格納されたとする。

それを脊髄反射的にダブルクリックしたとしても、

このようになる。これが現れたら（いつもの通り）キャンセルを押す。

ここでテキストや画像、動画、PDFなどのファイルをダブルクリックしたときは、通常通り、警告なしに開く。

■ 「高橋メソッド」的突貫工事と、脆弱性を排除する構造設計は両立するか

こんな記事が出ていた。

• 「3年で陳腐化するWebサイトの構築には軽量言語のほうが向いている」，日本Rubyの会，高橋征義会長, 日経ソフトウェア, 2006年2月10日

高橋氏は「Webサイトは構築してから3年経つと陳腐化する」と指摘する。ただ，壊れたわけでもないWebサイトを3年でリニューアルするには，事前に顧客と話をつけておく必要がある。3年で捨てる予定のアプリケーションの予算は少ない――これが，WebにはPHPやRubyといったLLが向いている理由である。Javaのような重量級の言語だと，10年持ちそうな設計や構造のアプリケーションを作ることになり，費用もそれなりに高額になってしまう。

それは話が逆だろう。「10年持ちそうな」という言葉で比喩されるような、つまり、しっかりとした設計や構造のアプリケーションを作るときには、設計を事前に十分に吟味しておく必要があることから、「費用もそれなりに高額」となるところ、その際に使用言語として、Javaを使わない理由がない（またJavaが向いている）というのが本来の世間で言われていることの筋道だろう。「Javaだと高額になる」ではなかろう。

そのような論理が現場にあるとすると、それは裏を返せば、「PHPやRubyといったLL (Lightweight Language)」が使用されるときは、予算が小額で、事前のしっかりとした構造設計は行われない場合である――ということになる。（本当か？）

まあ、手っ取り早く作り直しするのも結構だけれども、それは、セキュリティを無視しないことが前提であるはずだ。*1

たしかに、現段階でRubyを採用するような、高い技術力を持っている個人に支えられている企業が受注する場合には、十分な設計をしなくても、根性で脆弱性のないシステムが作られるかもしれない。

だが、日曜プログラマなのになぜかハッカー気分の井の中の蛙タイプのPerlプログラマ*2や、Webページデザイナが本屋で立ち読みして勉強しただけでプログラマになった気分のPHPプログラマたちの場合は、「根性で脆弱性のないシステムが作れる」かどうか疑わしい。

Javaを使った重量級の開発では，たいてい「ユーザー企業の情報システム部門がシステムを発注し，大手システム・インテグレータ（SIer）が受注する」という形になる。一方，ツインスパークが請け負う仕事（引用時注: RubyやPHPなどのLightweight Languageでの開発）は「ユーザー企業の営業部門や広報部門がシステムを発注し，大手広告会社が受注する」という形が多いという。

この発言は、いま時分になっても日本ブログ協会に脆弱性が見つかるというような（おそらく）超初歩的な欠陥が見つかる事例が出てくる現状を、端的に示唆しているように思われる。

発注者が情報システム部門ならよい。RubyやPHPで開発するのであっても、受注者が「高い技術力を持っている個人に支えられている企業」であり、「十分な設計をしなくても、根性で脆弱性のないシステムが作られる」かどうかを吟味する能力を持っているかもしれない。

しかし、「営業部門や広報部門がシステムを発注し大手広告会社が受注する」という場合が困る。たまたま「高い技術力を持っている個人に支えられている企業」が受注すれば幸運（高橋氏のように？）だが、まったくそれに期待できないところが受注すると悲惨なことになる。

日本ブログ協会の事例のようなケースは、そういう低レベル技術力の事業者を、営業部門や広報部門や広告代理店のようなところが見分ける能力を持っていないために起きているのではなかろうか。（日本ブログ協会の事例が、どんな人が誰にどのような方法で発注したのかは私は何も知らないけども。）

そのような不幸な事態を解消するためには、やはり、何らかの安全設計基準に適合したシステムとするよう、発注者が発注仕様で要求し、受注者はそれにしたがって設計、施工したことを保証する「構造計算書」を提出するという方向性にもっていくしかないように思われる。

そうすると問題は、

壊れたわけでもないWebサイトを3年でリニューアルするには，事前に顧客と話をつけておく必要がある。3年で捨てる予定のアプリケーションの予算は少ない

という、少ない予算の案件で、そのような「構造計算書」の提出を要求できるのかどうかだ。*3

しかし、そもそも、

10年持ちそうな設計や構造のアプリケーションを作ることになり，費用もそれなりに高額になってしまう。

というのは本当だろうか。設計をしっかりしていても低予算で開発できるように思えるし、Javaによる案件の多くが高コストである理由が、事前の設計のコストにあるわけでもないようにも思える。

ところで、私もRuby on Railsには大変興味がある（PHPやPerlは死滅すればいいのにと思っている）ので、先日以下の本を買った。

• RailsによるアジャイルWebアプリケーション開発, Dave Thomas and David Heinemeier Hansson ほか著, 前田修吾 監訳

前田さんの監訳だ。本屋でパラパラと見たところ、セキュリティに関する記述がけっこうある*4ようだったので買った。まだ読んでいない。

追記

上で、「この発言は……現状を端的に示唆しているように思われる」と書いたのと同様の現状認識が、@ITの以下の記事の表にも書かれていた。

• Webシステム開発でセキュリティが軽視される理由, JNSA セキュアシステム開発ガイドライン作成ワーキンググループリーダー 株式会社ラック 丸山司郎, @IT, 2006年1月25日

Webシステム作成業者	特徴
システムベンダ（SIer）	Webシステムをプログラムとして考える。見た目よりも、使い勝手や、機能や、パフォーマンスを重視する傾向にある。セキュリティ対策については、技術的に前向きであるが、凝り過ぎの傾向がある。
ホームページ制作専業	Webシステムを、ホームページ作成ととらえ、企業の顔としてのデザインと、機能や、パフォーマンスのバランスを考慮する。セキュリティについての意識は高いが、規模的に小さい企業が多く、各社の対応のバラツキが大きい傾向にある。
広告代理店・デザイン会社	Webシステムというより、広告媒体の一種類として考える傾向にある。機能や、パフォーマンスよりもデザイン重視であり、セキュリティについての意識は低い傾向にある。

「凝り過ぎの傾向」というのはよくわからないが……。何のことだろう？

■ ブログからFUDへ？ 眞鍋かをりは30個の「スパイウェア」のうちcookieの数を明らかにせよ

• CA、スパイウェア撲滅キャンペーンに眞鍋かをりらが参加, INTERNET Watch, 2006年3月9日

  最近までスパイウェア対策をしていなかったという眞鍋かをりは、CAのスパイウェア対策ソフト「eTrust PestPatrol アンチスパイウェア」でPCをスキャンしたところ、約30のスパイウェアが検出されたと告白。「目に見えてPCが故障するわけではなかったので意識していなかったが、気付かないうちに感染していて驚いた。何も対策をしていない人は、絶対感染しているはず」と訴えた。

また言ってるのか。一回目は黙っておこうと思ったが、繰り返すつもりなら、もうこれは黙認していくわけにはいかないだろう。

現在日本において「スパイウェアの被害」といえば、銀行から預金が盗まれる被害が連想される。昨年夏から報道各社は、スパイウェアが原因の預金不正送金被害をたびたび大きく伝え、銀行が対策を講じようとしていることや、犯人が検挙されたことなども伝えている。

• イーバンク銀行の顧客がスパイウエアにより13万円の不正振り込み被害, 日経IT Pro/日経コンピュータ, 2005年7月2日
• スパイウェアによる不正送金被害が拡大、みずほ銀行やジャパンネット銀行でも, ITmedia, 2005年7月6日
• スパイウエア撃退へ　銀行界で対策導入相次ぐ, CNET Japan, 2005年8月2日
• スパイウエア作成の男逮捕・ネット銀預金詐取事件, 日本経済新聞, 2006年1月26日

しかし、スパイウェア検出ソフトを使って自分のコンピュータをスキャンしてみたときに、たくさん検出されてびっくりしてみたら、大半がcookie*1で（あとはせいぜいJWordとAlexaが検出されるという程度で）拍子抜けしたという人も多いだろう。スパイウェア検出ソフト売り業者たちは、製品を実行しても何も検出されないという事態を避けるため、わざとcookieをスパイウェアに含めることにしている。

しかし、「銀行の預金被害の原因がスパイウェア」という危険イメージからすれば、トラッキングcookieは、ちっとも危険でない。トレンドマイクロにいたっては、cookieが検出されたユーザたちに「ご安心ください」となだめてさえいる。

質問： スパイウェア検索をすると「COOKIE_・・・・」が多量に検出されるのですが、大丈夫ですか？

答え： "COOKIE"からはじまる名前のファイルが見つかった場合、実際にスパイウェアが見つかったわけではありませんのでご安心ください。（以下略）

ウイルスバスター相談室, トレンドマイクロ

眞鍋かをりは、11月にも「私のパソコンから何十個もスパイウェアが出てきた」という発言をしていたが、また「約30のスパイウェアが検出された」と吹聴しているようだ。

その大半がcookieなんじゃないのか。そうじゃないというのなら、cookie以外のものが何個なのかを明らかにするべきである。

■ 公正取引委員会は日本でこういうFUDを許すのか

公正取引委員会は不当景品類及び不当表示防止法に基づき、不当な表示を指定しているが、スパイウェア検出製品の表示方法の問題についても検討するべきではないか。

• 不当景品類及び不当表示防止法

  （不当な表示の禁止）

  第４条　事業者は、自己の供給する商品又は役務の取引について、次の各号に掲げる表示をしてはならない。

  一　商品又は役務の品質、規格その他の内容について、一般消費者に対し、実際のものよりも著しく優良であると示し、又は事実に相違して当該事業者と競争関係にある他の事業者に係るものよりも著しく優良であると示すことにより、不当に顧客を誘引し、公正な競争を阻害するおそれがあると認められる表示

  二　商品又は役務の価格その他の取引条件について、実際のもの又は当該事業者と競争関係にある他の事業者に係るものよりも取引の相手方に著しく有利であると一般消費者に誤認されるため、不当に顧客を誘引し、公正な競争を阻害するおそれがあると認められる表示

  三　前２号に掲げるもののほか、商品又は役務の取引に関する事項について一般消費者に誤認されるおそれがある表示であつて、不当に顧客を誘引し、公正な競争を阻害するおそれがあると認めて公正取引委員会が指定するもの

• 「コンピュータ1台あたり平均28個のスパイウエアがひそんでいる」，米EarthLink調査, 日経IT Pro 海外ニュース, 2004年4月17日

  ■スパイウエアの調査結果（期間：2004年1月1日〜3月31日）
  ----------------------------------------------------------------
  SpyAuditでスキャンしたパソコン台数：            1,062,756
  検出したスパイウエアの総数：                   29,540,618
  パソコン1台あたりのスパイウエア数：                  27.8
  
  検出したアドウエアの総数：                      5,344,355
  検出したアドウエア・クッキーの総数：           23,826,785
  検出したシステムモニターの数：                    184,559
  検出したトロイの木馬の総数：                      184,919
  ----------------------------------------------------------------
  出典：Earthlink社

このように、「スパイウェア」が検出された！と騒がれているもののうち、80.7％がcookieである。

「あなたの銀行預金が危ない！」と人々を不安に陥れるのに相応しい「システムモニター」と「トロイの木馬」の合計は、全体の 1.25％にすぎない。

これを踏まえて以下などのサイトを訪れてみる。

• 眞鍋かをりさんとテレンス・リーさんが、“非常に危険な”スパイウェアの撲滅を呼びかける！ CA 春のスパイウェア撲滅キャンペーン

  家庭のパソコンの約80%に侵入しておりインターネット・ユーザの新たなセキュリティ脅威として社会問題化している“スパイウェア”をわかりやすく解説し（略）

  スパイウェアは、サイバー犯罪の中でも特に個人資産に繋がる重要な情報、決済、資産管理などに関わるネットサービスの情報が狙われる危険性が高いとして問題となっており、金銭被害の報告もされています。

• CA noSpy.jp / スパイウェアって何？：スパイウェアを知ろう

  スパイウェアを知ろう！

  ご家庭のパソコンの80％がスパイウェアに感染！

• スパイウェア対策・駆除はスパイゼロ2006で決まり！

  緊急案内 あなたの口座番号や、パスワードは盗まれていませんか？

  スパイウェア対策室はあなたのパソコンに忍び込み個人情報、口座情報、クレジットカード情報を漏洩させてしまうスパイウェアからあなたの大切な資産をお守りするソフトウェアを紹介するホームページです。

  日本経済新聞 2005年（平成17年）7 月3日（日曜日）
  「ネット銀行に預金 パソコンの情報 盗まれ引き出し」

  最新の調査によりますと家庭用パソコンの約80％にスパイウェアが侵入しているとの結果がでています。（2004年10月　米国NCSA/AOL調べ） 非常に危険ですので、スパイウェア検出は、今すぐに行ってください！

■ トラッキングcookieがスパイウェアなら、EZwebの携帯電話は100％がスパイウェア入り

「トラッキングcookie」とは、閲覧者に固有のID番号を振り当てる第三者cookieのことである。

これがいくらかのプライバシー上の問題を有することは、過去に書いてきた通りである。だが、その危険性は、「あなたのパソコンに忍び込み個人情報、口座情報、クレジットカード情報を漏洩させてしまう」という性質のものから比べれば、格段に小さい。

「閲覧者に固有のID番号を振り当てる」と言えば、携帯電話のサブスクライバーIDがまさにそれである。

トラッキングcookieの場合は、そのcookie発行元がアドウェア的にcookieを利用している場合のみ、「スパイウェア」に分類されるようだが、EZwebのサブスクライバーIDは、すべてのサイトに送信されてしまうのだから、アドウェア的に利用するサイトがどこかに存在すれば、そのIDはトラッキングcookieと同一の（もしくはそれ以上の）効果を発揮する。したがって、EZwebのサブスクライバーIDは常にトラッキングcookieであろう。アドウェア業者が発行するまでもなく、IDははじめからKDDIによって携帯電話に埋め込まれているのであり、誰でも共通に使える、万能のスーパートラッキングcookieである。

「家庭のパソコンの約80%に侵入、非常に危険です」とか言ってるスパイウェア検出ソフト売り業者は、携帯電話も駆除したらどうか。

総務省情報通信政策局総合政策課の認識でもcookieはスパイウェアらしい。

• スパイウェアの定義について, 総務省情報通信政策局総合政策課, 2006年2月21日

  “アドウェア”や“トラッキング・クッキー”、“キーロガ−”、“リモートアクセスツール”等は、本来は正しく使用されているプログラムであるが、環境や使途、活動内容によって不正なプログラム（マルウェア）として働く場合もある。このような場合には、スパイウェアの範疇に入るものと考えられる。

そう言うのなら、100％がトラッキングcookieを有するKDDIの携帯電話をまずなんとかしてもらいたい。それができないのなら、トラッキングcookieをスパイウェアと呼んではいけない。

予想される反論として、

サブスクライバIDを発行しているKDDIに悪意はなく、不正なプログラム（マルウェア）として用意されたものではない。

というのが想定されるが、そういう問題ではない。トラッキングcookieでは発行者と悪用者が同一であるのに対し、携帯電話のサブスクライバIDは、発行者とは別の者が悪用可能となっているという、ダメアーキテクチャなのだから、そういうものを発行していること自体が「スパイウェア」である。

■ 「不正指令電磁的記録に関する罪」に「作成罪」はいらないのではないか

先週勤務先で日経新聞のインタビューを受けたものが、昨日掲載されていた。

• 【インタビュー】法制的な対応も必要――産総研の高木浩光主任研究員, NIKKEI NET IT+PLUS, 2006年3月13日

最後の部分で、刑法改正案の「不正指令電磁的記録等作成等の罪」について触れているが、プログラムの作成という行為自体を罪とすることに、ソフトウェア技術者として、どうしても違和感を覚える。これについては一昨年にも書いた。

• サイバー犯罪条約関連刑事法改正のセミナーに行ってきた, 2004年5月15日の日記

今読み直してみると、ほとんどの論点は一昨年の時点で既に書いていた。しかし最近では、別のいくつかの論拠から、作成罪は不必要であり、削除したほうがよいと思うようになった。（「人の電子計算機における実行の用に供する行為」（供用罪）だけを対象とするべきという考え。）

このところ急速に問題が深刻に受け止められ始めている、「仁義なきキンタマ」や「山田オルタナティブ」と呼ばれる不正プログラムは、他人を騙すことによって他人に自らそれを実行するよう仕向けるもので、その結果として、騙された人たちに本当に気の毒な被害をもたらすものである。

他人を騙して不正なプログラムを実行させるという行為は、倫理的規範に反するというだけでなく、法により処罰されるべき行為だと考えるのは自然と思う。

「不正指令電磁的記録に関する罪」は、このような「他人を騙して不正なプログラムを実行させる行為」のことを次のような文で正確に規定している。

人の使用する電子計算機についてその意図に沿うべき動作をさせず、又はその意図に反する動作をさせる不正な指令……を与える電磁的記録を人の電子計算機において実行の用に供する行為

人を騙してプログラムを実行させることは罪である。だが、人を騙して実行させることにも使うことのできるプログラムを作成することは、罪なのだろうか？

しかし、「作成した者こそが主犯格である」という印象はどうも根強いもののようで、たとえば、先週掲載された岡村久道先生のコラムでも、次のように述べられている。

ウイルス感染によって他人の情報が漏洩して損害を与えたケースで、民事責任をめぐって裁判に発展する場合があることは前回説明した。このように、不注意で感染して損害を与えた場合であっても責任を問われることがあるのだから、悪意でウイルスを作って配布した者が損害賠償責任を負うことは当然である。

コンピュータ・ウイルスの作成や所持などが新たに処罰対象に, 岡村久道, 日経IT Pro IT弁護士の眼

確かに、不正プログラムの作成者と、それを供用した者が同一である場合は多いかもしれない。だから、騙してプログラムを実行させたという事実があったときに、その行為者がそのプログラムの作者であれば、「作者に責任がある」という思考に短絡することになるが、作成者と供用者が別である場合はどうだろうか。

たとえば、昨年からインターネットバンキングにおける被害で特に問題となっている、キーロガーの場合では、作成者には悪意がない場合もあり、それを悪用する者こそが罪に問われるべきであろう。（作成者にとっては不正プログラムのつもりではなかったものが、供用者にとっては不正プログラムとなるという例。）

とはいえ、プログラム作成者が自ら手を下さず、誰かに手を下させている場合に、黒幕である作者が罪に問われないというのでは困るというのは理解できる。

だが、作成者と供用者が申し合わせて行為に及んでいるなら、それは共謀共同正犯になるし、作成者が供用者のことを知らなくとも、誰かが行為に及ぶだろうと考えながらプログラムを作成したならば、作成者の行為は幇助にあたるのではないか。

であれば、ことさらに作成罪を設ける必要がないのではないか。

幇助で起訴するとなると作成者の意図を立証する必要があり、それが難しいから……ということは理解できる。しかし、今回の刑法改正案でも、「人の電子計算機における実行の用に供する目的で」と限定しているのだから、作成罪に問う場合はいずれにせよ、「人の電子計算機における実行の用に供する目的」という意図があったことを立証しなくてはならない。

「Winny」というプログラムの例で言えば、Winnyは良い目的にも悪い目的にも使えるところ、「作者が悪い目的のために作った」とされ、著作権法違反幇助の罪に問われている。

そのような法の運用が現にできているのだから、不正指令電磁的記録に関する罪においても、供用罪だけを規定し、作成については目的を立証した上で供用幇助とすることができるのではないか。それができないというなら、「どうしてWinny作者を幇助罪に問うことができたの？」という疑問がわいてくる。

ところで次に、ウイルスを作成したり保管することを危険犯とみなすという趣旨がこの法案にあるとするなら、それは理解できる。

たしかに、大規模に増殖してネットワーク全体をダウンさせてしまうようなウイルス（ワーム）は、社会にとって危険なものであり、拳銃などと同様に、社会にとって存在しないことが要請されるという考え方は理解できる。

だが、この数年で、そうした考え方の必要性をかつてほど感じないようになってきてはいないだろうか。アンチウイルスゲートウェイや、ファイアウォールが普及したからである。

自己増殖機能を持つウイルスやワームは、その性質から、早い段階でその存在を発見され、アンチウイルスのパターンとして登録される。そして増殖が抑制される。

つまり、作成や保管が社会的な危険犯として扱われるタイプのウイルス（自己増殖型）の問題の解決をこの改正案の法益とするのなら、それはいささか時代遅れではないか。（法案が野ざらしにされている間に、技術的な対策が進んでしまった。）

それに対し、この数年で問題となってきたのは、そうしたセーフティネットにかからないタイプの不正プログラムの被害であろう。「スピア型」などと呼ばれるように、少人数をターゲットに専用にこしらえた不正プログラムによる被害である。被害の内容が、かつての愉快犯的なものから、金銭被害へと移り変わってきていることから、たとえかつてのワームほどに大規模な影響が出なくても、事態は重大な問題として認識されるようになった。

こうした攻撃は、技術で解決することができそうにない。人々が、安全なコンピュータの使い方を学んでくれることに期待するほかなく、攻撃者が処罰されないという状況は、バランスを欠いているように思われる。今こそ必要とされているのは、そのようなタイプの不正プログラムに対して、供用を罪に問うことではないだろうか。

そのとき、そのタイプのウイルスは、自己増殖能力を持たないものであるから、作成や保管を社会的危険犯として扱うのは行き過ぎだと思う。

したがって、「不正指令電磁的記録に関する罪」に「作成罪」、「取得罪」、「保管罪」はいらないと考える。

■ 続・「作成罪」はいらない

昨日の日記について「けったいな刑法学者」様よりご指摘をいただきましたので、ご指摘を踏まえて思考を先に進めてみます。（なぜか今日はですます調。）

このような理解は、端的にいえば、偽造罪は偽造通貨行使罪の共犯で処罰できるから、犯罪化する必要はないというのとおなじことを意味しています。

論点1: 不正指令電磁的記録の作成は、通貨の偽造、支払用カード電磁的記録の不正作出と同じ法論理に基づくものであるとのご指摘

なるほどそのような論理によってこの法案が構成されているのだということは理解しました。供用罪の共犯による処罰でカバーされるからという理由は、たしかに、その論理を否定することができません。

そうすると、なおさら、そのような論理に基づいてコンピュータプログラムの不正な作成を罪とすることは、自然でないものであるように感じます。

第1に、通貨は国家に唯一のものであり、それを特別に取り扱って、偽造すること自体を罪とすることに、なんら不都合はなく、誰もがその正しさを直感できるものであると考えます。それに対して、コンピュータプログラムというものは、国家に唯一のものであるわけではなく、通貨の偽造を罪とすることが正当であるからという理由のみから、同様にコンピュータプログラムを不正に作成することを罪とするのも正当であると導くのは、論理的でないはずです。

第2に、支払用カード電磁的記録は、民間の会社が発行するものですが、ごく限られた会社だけが発行しているものであり、国民はそれが支払い用カードの電磁的記録であることを、客観的に認識しています。そのようなある程度限られたものについて、それを特別に扱って、その不正作出を罪とすることの妥当性は、現在では広く受け入れられていることであると考えます。それに対し、コンピュータプログラムは、特定の民間会社だけが作ることを許されるものというわけではありません。

つまり、たとえば、電子行政手続き専用として政府から提供されているコンピュータプログラムに限定して、その不正な作成を罪とするとか、民間の携帯電話会社の携帯電話上でだけ実行可能なプログラムに限定して、不正なプログラムを作成することを罪とする――という場合であえば、通貨偽造や支払用カード電磁的記録不正作出と同じ論理で正当化するというのは、まだわかならくもありません。しかし、不正指令電磁的記録は、世の中に存在し得る任意のコンピュータプログラムを対象範囲としています。

支払用カード電磁的記録に関する罪を新設する際に、なぜ、すべての磁気ストライプカードを対象としなかったのでしょうか。社員証カードや電気錠用カードの磁気ストライプの電磁的記録も、容易に不正作出できるところ、不正作出されることにいくらかの危険性が認められると思われますが、なぜそれらが対象から外れているのでしょうか。子供の玩具の磁気ストライプカードはどうでしょうか。コンピュータプログラムは、あらゆる目的のものとして存在し得るものです。

論点2: 文書偽造とも同じ構造だとのご指摘

文書偽造の罪はたしかに広範な用途の文書を対象としていますが、文書の種類により細分化されて、そのぞれの定義も明確にされ、罪の重さが個別に規定されています。また偽造が罪とされる文書は、限定されているように思います。なのに、コンピュータプログラムは、あらゆる用途のものをひとくくりにして不正指令電磁的記録作成罪としてしまってよいのでしょうか。

行使の目的をもっておこなう偽造通貨の作成行為それ自体に、社会的な信用に対する危険があるから、偽造罪が処罰されているのであって、

偽造という行為が、（行使の目的で）偽造した時点で社会的信用に対する危険を生むというのはわかりますが、コンピュータプログラムの作成という行為についても同じだとするには、理由が足りないように思えます。もし、コンピュータプログラムが常に何かを証明するものであるといえるならば、その類推は理解できますが、はたしてその仮定は正しいでしょうか。

文書は、作成された時点でその文書がどのように使われるものかが確定すると思います。しかし、コンピュータプログラムはそうとは限りません。作成者が作成した際に想定した使われ方と、供用者が人に供用する際に想定した使われ方が同一とはならない場合があります。この性質から、作成を供用と一体にすることが正しくないと感じます。

論点3: 不正指令電磁的記録作成罪は自己増殖型のみを特段処罰の対象としているわけではないとのご指摘

自己増殖型に限らず人を欺いてプログラムを実行させる行為を処罰することに賛成なのですが、自己増殖型に限らずあらゆるプログラムを対象とすると、まさに、「format c:」のような内容の1行からなる「お宝画像.vbs」といったファイル名のプログラム（およびそれを紙に記したもの）も対象となり得るように思います。

ここで、現法案がコンピュータプログラムに対する社会的信頼を保護するという趣旨で組み立てられていることから一旦離れて、法案ができる前から人々がイメージしていた「ウイルスは取り締まるべきだ」という感覚は、「自己増殖型は社会的に危険」という考えに基づいていて、「そんなもの作るなよ！」という感覚からくるものだっただろうと思います。そのとき、ファイルを消すという処理をする1行のコードからなるプログラムが、ファイル名を変えて供用されたときに、「そんなもの作るなよ！」と言う人はいなかったと思います。せいぜい、「そんなものを人を騙すような形で実行を誘うなよ！」という思いだったはずです。

そして、自己増殖型に対する「そんなもの作るな！処罰せよ！」という声を、最近はほとんど耳にしなくなりました。昨日の日記で「そうした考え方の必要性をかつてほど感じないようになってきてはいないだろうか。アンチウイルスゲートウェイや、ファイアウォールが普及したからである。」と書きました。

つまり、現法案の組み立てとは別に、人々が期待する規制というものを考えたときに、現在では、作成する行為よりも、騙して実行させる行為の規制が望まれているのではないかと、昨日書きました。

話を戻して、現法案が、コンピュータプログラムに対する社会的信頼を保護するという趣旨で組み立てられていることを話の前提としたときに、

コンピュータが社会のいろいろな局面で使用されるようになってくると、普通の人たちはコンピュータが正常に動作するのを信頼して使用するのに、不正なプログラムはそれを裏切るものであるということが、不正指令電磁的記録に関する罪の処罰根拠になると思われます。

とのことですが、コンピュータプログラムには、「作成者が作成した際に想定した使われ方と、供用者が人に供用する際に想定した使われ方が同一とはならない場合がある」という性質があります。（通貨偽造、支払用カード電磁的記録の不正作出、文書偽造と違って。）

ファイルを消すプログラムを「お宝画像だよ」と言って「普通の人」に供用したとき、その「普通の人」の意図に沿うべき動作をさせず、又はその意図に反する動作をさせる結果となったとき、つまり、消えては困るファイルを消す結果になったとき、それは、「不正な指令に係る電磁的記録その他の記録」となると思いますが、そのファイルを消すプログラムを作成した人は、作成罪に問われてしまうのでしょうか。「人の電子計算機における実行の用に供する目的」で作成しているときに。

要検討：「不正な指令」とは？

■ 続・作成罪はいらない その2

一昨日の日記にも引き続き「けったいな刑法学者」様よりご指摘をいただきましたので、さらに進めます。

法案は、不正なコンピュータプログラムの作成を罪とするものなのです。「不正」の意味は、ひとまずおくとして、「コンピュータプログラムの不正な作成」と「不正なコンピュータプログラムの作成」というのは同じなのでしょうか。偽造罪との対比がわかりやすいということで、若干ミスリーディングだったのかもしれませんが、不正電磁的記録作成罪では、「不正な電磁的記録」の作成が処罰の対象であるという理解をすべきではないかと思います。解釈した結果、電磁的記録の不正な作成と同義だ、ということはあるかもしれませんが、議論の前提としては区別しておきます。

続・「作成罪」はいらない？, 続・けったいな刑法学者のメモ, 2006年3月16日

はい。あえて違えて書いてみました。偽造罪から類推させる論法でご説明を頂いたため、類似点のみ一致させるために偽造罪にあわせた表現（指令電磁的記録の不正作成）にしました。

つまり、偽造罪とは証明や権利を示すもの（通貨、支払い用電磁的記録、文書の一部、電磁的記録の一部）の偽モノを作ることを指すところ、それらにおける、行使罪と作成罪の法理念上の関係を教えていただきました。そのような理念が存在することは理解しましたが、指令電磁的記録に対しても同じ理念を適用するべきかどうかを検討するにあたっては、まず、指令電磁的記録の偽造（不正な作成）というものについて、同じ理屈の適用を検討し、その後に、不正な指令電磁的記録の作成について検討するべきだと考えたためです。

指令電磁的記録の不正な作成（プログラムの偽造）というものを考えると、そもそも、ニセのプログラムとか本物のプログラムとはいったい何か？ という疑問に至ります。そのようなものに該当し得るものの可能性として、一昨日の日記では以下を挙げて検討しました。

つまり、たとえば、電子行政手続き専用として政府から提供されているコンピュータプログラムに限定して、その不正な作成を罪とするとか、民間の携帯電話会社の携帯電話上でだけ実行可能なプログラムに限定して、不正なプログラムを作成することを罪とする――という場合であえば、通貨偽造や支払用カード電磁的記録不正作出と同じ論理で正当化するというのは、まだわかならくもありません。

しかし法案が指すのはそういう話ではないので、偽造ではないのに偽造罪と同じ構造を持たなければならないのか？ という疑問を持ちました。

また、あるものについて「偽造」が生じ得るのは、それが証明や権利に関するものである場合だけではないかと思うところ、コンピュータプログラムは必ずしもそういう性質のものではないとも述べました。それに対し、

不正指令電磁的記録に関する罪は、プログラムの証明機能に着眼して、その信頼を保護するわけではなく、プログラムの動作に対する信頼を保護するものといえます。 （略） 信頼の対象は偽造罪とは異なるものであり、それゆえにこそ、新たな立法がなされたものだということです。

続・「作成罪」はいらない？, 続・けったいな刑法学者のメモ, 2006年3月16日

とのご説明を頂きました。私としては、「プログラムの動作に対する信頼」などというものを法律で保護するのは誤りであると思いますので、

(i) 人々の期待する規制

現法案の組み立てとは別に、人々が期待する規制というものを考えたときに、現在では、作成する行為よりも、騙して実行させる行為の規制が望まれているのではないか

ということですので、不正指令電磁的記録罪がプログラムの動作に対する信頼を保護するためのものであるという前提にあるという限度では、共通の基盤に立っているものとみてよいのではないかと思われます。

続・「作成罪」はいらない？, 続・けったいな刑法学者のメモ, 2006年3月16日

いえ、私が想定している人々の期待する規制というものは、そのようなものではありません。

「プログラムの動作に対する信頼」と、「プログラムを供用されることに対する信頼」とは別であり、「プログラムを供用されることに対する信頼」が求められているのだと考えます。

なぜなら、コンピュータプログラム（指令電磁的記録）というものは、存在した時点ではどのような処理をするものかは定まっていません。それを実行する人がどのような状況で実行するかによって初めて定まります。これが、スタティックな性質しか持たない「文書」、「電磁的記録」との違いです。

これまで、プログラムを実行したことにより起きる結果はすべては実行する人に責任がありました。しかし実際には、どんな場合でも供用者がいて、悪質な供用者は、意図に反する動作をさせることを企んで、巧妙な誘い文句を添えたり、状況からして人が誤解するような場所に置くといった手口を使います。こうした悪質な行為にも責任があるというのが、人々の期待する規制であると私は考えます。

そこで挙げたのが、「format c:」のような内容の「お宝画像.vbs」という名前のファイルです。ここで重要なのは、ファイル名はプログラムの一部ではないということです。ファイル名は、プログラムではなく、プログラムの説明（暗黙的な）です。

このことについて、

立法者の考えからすると、「format c:」という内容の「お宝画像.vbs」という電磁的記録を供用目的で作成した場合には、不正指令電磁的記録作成罪が成立すると考えてよいでしょう。その際、立法担当者による決まり文句が、意図に反するかどうかは、当該電磁的記録を使用した具体的な人の意図を問題にするのではなく、コンピュータの利用に関心を持つべき社会、ないしは、コンピュータ・プログラムを利用するであろう不特定多数の者の観点から、客観的に判断されるべきであるというものです。「普通の人」は「お宝画像」といえば喜んで開けるから、ということで、不正な指令を与える電磁的記録だという判断になるだろうということです。

続・「作成罪」はいらない？, 続・けったいな刑法学者のメモ, 2006年3月16日

との説明を頂きました。そこで、類似の別の例を挙げます。

「format c:」のような内容の「delall.vbs」というプログラムを作り公開した人（甲）（作成者）がいたとします。公開しているのですから、甲が「人の電子計算機における実行の用に供する目的で」作成したことは明白です。（おそらく、ファイルを消去するためのプログラムとして公開したのでしょう。）それを、別の人（乙）（供用者）が不特定多数の人に積極的に実行させようと企てて、delall.vbsを「取得」してそのファイル名を「お宝画像.vbs」に変更し、「うｐろだ」にアップロードし、「エロい」人たちが集まる掲示板にURLを貼り付けたとします。

このとき不正指令電磁的記録「作成罪」に問われるのは、乙でしょうか、甲でしょうか。つまり、乙（ファイル名を変更してアップロードし宣伝した）はプログラムを作成したと言えるでしょうか。

「ファイル名を変更しただけでもプログラムを作成したと言え、当該不正指令電磁的記録の作成者は乙であり、甲ではない」という主張が想定されますが、ここでポイントとなるのが、紙に書いたプログラムです。紙に書いたプログラムにファイル名はありません。一昨年5月の「サイバー犯罪条約関連刑事法改正のセミナーに行ってきた」に書いていたように、山口厚先生の解説として、

不正指令電磁的記録作成等、取得等の罪について、「紙に書いたものも該当するのか？」という質問が会場から出たときに、パネリストの方々から、当然ながら該当するという回答があった。法文に「次に掲げる電磁的記録その他の記録」とあるように、わざわざ電磁的記録以外のものも含めているのは、紙に書いたものも意図しているということだった。

とのことでした。甲が紙に書いて公表して、乙がそれをバイナリコード化した場合であっても、甲が作成者だというのです。したがって、delall.vbsの作者が作成罪に問われます。

それは理不尽です。これはひどい。

じつは、過去にそうした事態を予感させる事件が起きているのです。2002年6月のこと。「マンキン.exe」というファイル名のプログラムがどこかのWebサイトに置かれ、そのURLが２ちゃんねる掲示板に貼り付けられました。これをクリックしてダウンロードし、ダブルクリックで実行する輩が少なからず現れ、騒ぎとなりました。実行するとすべてのファイルが消去されるものだったからです。

「マンキン.exe」へのリンクがどのような説明とともに書かれていたかは覚えていません。「女神降臨！」とか「おまいら実行してください」などと書かれていたのか、それとも脈絡なく単なるリンクだけが書かれていたのか、覚えていません。

ここは、「そんなの実行する奴がバカ」という世論になるべきところでした。しかし私の願いに反して、「ウイルス騒動」という事態になってしまったのです。なぜなら、（日本での手厚いサービスが他社との差別化となる）トレンドマイクロ社が、これを（こんなものを）ウイルスとしてパターン登録した（しやがった）ためです。

• HDD内を即削除する新種ウイルス、国内で感染報告, ITmedia, 2002年6月25日

  トレンドマイクロは6月25日、HDD内の全ファイルを削除する新種ウイルス「TROJ_DELALL.F」（デルオール）について警告した

• トレンドマイクロ、新種のトロイの木馬型ウイルスを確認 TROJ_DELALL.F（デルオール）国内で感染を報告, ASAHIパソコン ホット・ニュース, 2002年6月26日

  トレンドマイクロは25日、新たなトロイの木馬型不正プログラムの感染を国内で確認した、と発表した。同社によれば、TROJ_DELALL.F（デルオール）と名づけられたウイルスは、特定のファイルを実行するとハードディスク上のすべてのファイルを削除する。25日の午後5時の時点で、国内で10件以上の感染報告があり、26日の時点では収束に向かっているという。

ファイルを消すプログラムを単に実行する人がいたときに、それを「国内で感染」などと報じるこのマスゴミたちは、ITド素人か？ と我が目を疑ったものです*1。

普通の機能のプログラムが、供用者によって特定の文脈上に乗せられ、それに意味付けをする信頼ある企業が現れる。そしてマスコミが「事実」として報道する。そういうことは今後も起き得るのでしょう。

（略）その際、立法担当者による決まり文句が、意図に反するかどうかは、当該電磁的記録を使用した具体的な人の意図を問題にするのではなく、コンピュータの利用に関心を持つべき社会、ないしは、コンピュータ・プログラムを利用するであろう不特定多数の者の観点から、客観的に判断されるべきであるというものです。

続・「作成罪」はいらない？, 続・けったいな刑法学者のメモ, 2006年3月16日

「コンピュータの利用に関心を持つべき社会の客観」とは、マスコミが映すものであり、実際にはアンチウイルス販売会社の営利的な都合を含んだ基準により決定されていくと思われます。

現在の法案にしたがった場合、不正な指令を与える電磁的記録といえるかどうかということは、当該電磁的記録が、実際にどのように動作するのかということと、社会的な観点からどのように動作すべきものと考えられるのかということのギャップを基礎として判断されるべきであり、現に不正な結果を惹起したから「不正な指令を与える電磁的記録」になるわけではありません。

続・「作成罪」はいらない？, 続・けったいな刑法学者のメモ, 2006年3月16日

「どのように動作すべきものと考えられるのか」は、作成された時点ではなく、供用された時点でしか確定しません。作成された時点で明らかに確定している場合もありますが（たとえば、BlasterワームやAntinnyトロイなど）、そのようなケースがすべてではないのです。

立法者の考えからすると、「format c:」という内容の「お宝画像.vbs」という電磁的記録を供用目的で作成した場合には、不正指令電磁的記録作成罪が成立すると考えてよいでしょう。

続・「作成罪」はいらない？, 続・けったいな刑法学者のメモ, 2006年3月16日

立法者や法学者たちは、あるときは、「作成された時点で明らか」なケース（BlasterワームやAntinnyトロイ）を想定して「紙に書いた場合も当然ながら該当する」と答え、またあるときは、作成された時点では不確定なケースに対してファイル名に錯誤させる記述があれば作成罪が成立するとおっしゃる。そうすると、不確定かつ紙に書いた（ファイル名がない）ケースも作成罪にあたるということになってしまう。

それはおかしいのではないか。

要検討：「実行の用に供する目的で」の「実行」とはどのような実行を指すのか。

■ 次は「汝のcacheを開いて鏡に映して見よ」と国民に呼びかけてはどうか

先週、とうとう内閣官房長官が「Winny使わないで」と国民に呼びかけたという。これに対し、ニート達からは「お願いする相手が違うだろ。警察官にお願いしろよ」といった反発がみられたが、官房長官の呼びかけの趣旨は、情報漏洩事故を起こさないためにというよりも、誰かが今後も起こすかもしれない万が一の事故のときに、その後の被害（被害者は漏らされた一般市民である）の広がりを小さく抑えるために「使わないで」というものだろう。

それは、チェーンメールが酷く広がっているときに、メールの転送をやめるように呼びかけるのと類似している。

チェインメールは比較的早い時期から、いわゆる「ネチケット」において、「絶対にやってはいけないこと」とされてきた。たとえ献血が必要であっても、すべて駄目だとされている。これに反対する人はほとんどいない。ネチケットなどという、個人の主観に左右されがちなブレブレの道徳モドキにおいて、これほどまでに全員一致で「絶対やってはいけない」とされているものも珍しい。

キャッシュと嘘とファイル放流, 2004年8月14日の日記

他人のプライバシーを侵害するだけのファイルをチェーンメール的に躊躇なく転送する人は、そう多くはないと思われる。チェーンメールがわざわざ「絶対にやってはいけないこと」としてネチケット化されているのは、それが人々の善意に乗っかって広がる仕掛けになっているから（言われないとわからないから）だ。

Winnyネットワークとチェーンメールの類似性を考えるとき、Winnyネットワークは、人々の善意で駆動されているわけではない。しかし悪意で駆動されているわけでもないだろう。

Winnyネットワークに放流されたファイルは、チェーンメールと異なり、人手を介さず自動で広がる。転送するかしないかの判断を人が行わないため、チェーンメールなら人々の良心によってかかるはずのブレーキが、Winnyではかからない。そのような性質のWinnyネットワークは存在自体が危険である。このことは以前に書いた。

• 市民の安全を深刻に害し得る装置としてのWinny, 2004年5月16日
• 日経産業新聞の記事に補足, 2004年5月28日
• 良心に蓋をさせ、邪な心を解き放つ ―― ファイル放流システム, 2004年6月8日
• キャッシュと嘘とファイル放流, 2004年8月14日

といって、チェーンメールのように「絶対にやってはいけないこと」とネチケット化するのは難しそうだ。

とりあえず、「自分が何をやっているか（やらされているか）を知りなさい」というアドバイスは正当なものではないだろうか。つまり、「自分のWinnyのCacheフォルダに何が入っているかを見てみなさい」ということだ。

たとえば、最近では女性のWinnyユーザも意外に少ないわけではないらしい。「音楽が簡単に無料で手に入るソフト」だと思っているのだろう。女性のユーザ達は、自分のWinnyのCacheフォルダに何が入っているか知っているだろうか？ 一度開いて見てみたらいい。自分のコンピュータがどんな映像を人に提供しているのか、知っておくべきだ。

そのために、Cacheフォルダの内容を全部、その場に復号して展開するツールがあるとよい。（ただし危険性のある種類のファイルは展開しないほうがよい。）

■ 最高裁判所が電話してというので電話した

ボツネタ日記の「新しい裁判所のＨＰにリンクを貼ったときは，その旨を電話で連絡しなければならないようです。」というエントリを見て、裁判所Webサイトがリニューアルしたのを知った。

リニューアルした裁判所Webサイトには新たにプライバシーポリシーのページができていたのだが、その内容に誤りがあるため、それについてメモをとった。

裁判所Webサイトにリンクしたときは電話で連絡するよう留意せよとのことなので、出勤前の朝10時ごろ、指定されている最高裁判所事務総局広報課の番号に電話した。

私: 内線XXXXお願いします。

裁: はいお待ちください。……。ただいまお話し中です。

私: そう……ですか。

裁: 見学ですか？

私: いえ違います。

裁: 少々お待ちください。

…………

裁: はいもしもし。

私: 裁判所Webサイトにリンクを設置しました。その場合電話せよとのことなので電話しているところなのですが。

裁: 事前に……ではなく、もうリンクをはったのでということですね？

私: はいそうです。

裁: ちょっとお待ちいただけますか。

…………

裁: リンク元になるサイトの名称は何ですか？

私: ページのタイトルですか？ ページにタイトルはありません。

裁: トップページにタイトルはありませんか？

私: トップページには……ないですね。

裁: アドレスを教えていただけますか？

私: URLのことですか？

裁: はい。

私: （http://takagi-hiromitsu.jp/Z3JlbGdyZWdyZWwzaHVpZ2VqZXJqa2dscmtlZ2ptbGZka2dtamRmbDtkc2dm.html）
エッチティーティーピーコロンスラッシュスラッシュ、

裁: ……はい。

私: ティー、

裁: ティーですね？

私: はい。エー、

裁: エー

私: ケー、

裁: ケー

私: エー、ジー、アイ、ハイフン、エッチ、アイ、アール、オー、エム、アイ、ティー、エス、ユー、

裁: （同時に一文字ずつ復唱）エー、ジー、アイ、ハイフン、エッチ、アイ、アール、オー、エム、アイ、ティー、エス、ユー

私: ドット、ジェイピー、スラッシュ、

裁: ドット、ジェイピー、スラッシュ

私: 大文字ゼット、

裁: ゼット

私: 数字の三、

裁: 三、

私: 大文字のジェイ、

裁: ジェイ、

私: 小文字のエル、小文字のビー、大文字のジー、小文字のディー、小文字のワイ……

裁: （同時に一文字ずつ復唱）エル、ビー、ジー、ディー、ワイ……

私: えーとどこまで言いましたっけ？

裁: 小文字のビー、大文字のジー、小文字のディー、小文字のワイまでです。

私: はい。次は、大文字のゼット、大文字のダブリュ、小文字のダブリュ、小文字のゼット、小文字のエー、大文字のエッチ、大文字のブイ、小文字のピー、大文字のゼット、数字の二、大文字のブイ、小文字のキュー、大文字のゼット、大文字のエックス、大文字のジェイ、小文字のキュー、小文字のエー、数字の二、小文字のディー、小文字のエス、小文字のシー、小文字のエム、小文字のティー、小文字のエル、大文字のゼット、数字の二、小文字のピー、小文字のティー、小文字のビー、大文字のジー、大文字のゼット、小文字のケー、小文字のエー、数字の二、小文字のディー、小文字のティー、小文字のエー、小文字のエム、大文字のアール、小文字のエム、小文字のビー、大文字のディー、小文字のティー、小文字のケー、小文字のシー、数字の二、小文字のディー、小文字のエム、

裁: （同時に一文字ずつ復唱） ゼット、ダブリュ、ダブリュ、ゼット、エー、エッチ、ブイ、ピー、ゼット、二、ブイ、キュー、ゼット、エックス、ジェイ、キュー、エー、二、ディー、エス、シー、エム、ティー、エル、ゼット、二、ピー、ティー、ビー、ジー、ゼット、ケー、エー、二、ディー、ティー、エー、エム、アール、エム、ビー、ディー、ティー、ケー、シー、二、ディー、エム、

私: ドット、エッチティエムエル。

裁: ドット、エッチティエムエル。これは裁判所のトップページへのリンクですか？

私: いいえ、トップページではありません。

裁: どこにですか？

私: プライバシーポリシーのページです。

裁: プライバシー……ポリシーですか……。では名前を教えていただけますか。

私: 名前を言わないといけないのでしょうか。

裁: ちょとお待ちください。

…………

裁: 名前はけっこうです。

私: でその、これは何なんでしょうか？

裁: 裁判所のWebサイトにリンクを頂いたということでご協力いただいているんですけども。ただそれだけですけども。

私: 意味あるんですか？

裁: 今後のサイト運営の参考にさせていただくためですので。

私: でもさっき名前を聞かれましたね。なぜなんでしょうか。チェックされたりするんですか？

裁: すべてをチェックするというわけではないと思うんですけども。

私: そうですか……。どうも。

裁: どうも。

URLを一文字ずつ読み上げてお伝えしているとき、担当の方は、最後まで少しのためらいもなく一字一字復唱してくださいました。感情に流されることなく職務を全うする。機械のようで人間である。すばらしい事務員であると思いました。敗北です。

こちらのアクセスログを調べたところ、残念ながらまだアクセスは頂いていないようです。

■ URLをもっと工夫しておけばよかった

あんなことになるとわかっていれば、URLをもっと工夫しておいたのに。

http://takagi-hiromitsu.jp/Z3JlbGdyZWdyZWwzaHVpZ2VqZXJqa2dscmtlZ2ptbGZka2dtYMCAymca.html