明日から、Winny作者著作権法違反幇助事件の控訴審が始まるそうだ。個人的心情としては、金子さんには無罪になってほしいと思うが、そのためにWinnyに対する評価がねじ曲げられたり、学究的真理が歪曲されるようなことがあってはならない。このことについては地裁判決が出る前日の日記に書いた。
それから2年もの月日が流れたが、その間にも懸念していた状況は続いた。特に、一審では検察側が、作者がアップデートを続けていたことを幇助とみなす理由の一つとしたことから、アップデートが許されないことによってウイルス被害が続出しているというアピールが展開された。金子氏本人も一審の公判で、フラッシュメモリを手にとって裁判長に見せるアピールをしていた。ソフトウェア作者にとってアップデートを続けるのは当然のことであるというのは、その通りだと思うが、そのアピールが弁護戦術的に世間に広められたことから、世間の人々に「Winny媒介型暴露ウイルスの被害は簡単に防げる」「できるのにやらせてもらえないんだ」という誤解が広がってしまった。先日、敬愛する落合先生さえそのような誤解に基づくことをブログに書かれていて残念に思った。
携帯電話による弊害があるから携帯電話はなくしてしまえ、winnyがあるから家庭が崩壊しかねないからwinnyをなくしてしまえ、といった発想を始めると、飛行機がなければ墜落事故も起きないから飛行機をなくす、家庭で火を使わなければ火事が起きないからガス器具等を使えなくする、といったことになりかねません。(略)
winnyについては、開発者による改善が行われない現状の中で、それを使うべきかということを、まず考える必要があり、使うという選択をする場合も、万が一(千が一以上の確率かもしれませんが)ウィルスに感染した場合にも最悪の結果を招かないため、共用PCでは使わない、流出してはならないファイル等が入ったPCとは別のPCで利用する、といった最低限の注意は欠かすべきではないでしょう。
[話題][P2P]Winny利用の果て――家族崩壊した銀行マンの悲劇, 弁護士 落合洋司(東京弁護士会)の「日々是好日」, 2009年1月14日
なぜ残念なのかは、2006年12月12日の日記に書いた通りである。
また、MIAUの発起人の一人である榎本温氏*1にいたっては、根拠なく「ごく簡単にセキュリティ対策を講じることができる」と断定したうえ、他の研究者らに対して、対策しないのは「情報漏洩に対する積極的な幇助行為があると認められる」などと、身勝手な論が飛び出す始末だ。
「できるのにやらない」はけしからんという率直な立場
刑法の世界だと、死にそうな奴を発見したところで、助けなくても、犯罪にはならないが、いったん助けて、それからやっぱり無理だと言って放置したら、遺棄罪や遺棄致死罪になる。これはいったん手を出したことで作為義務が生じるから。(下手に助けなければ他の人が助けてくれたかもしれないわけだから、手を出したことでかえって状況が悪化している。)
それと同じように、Winnyをリバースエンジニアリングして、プロトコルやネットワークを研究して、それに対するセキュリティ対策ソフトや何らかの成果を公開しているセキュリティ研究者に対しては、もはやWinny作者と同様の作為義務があって(これを不思議に思うことがないよう、わざわざ上の例を示していることに思い至るべし)、ごく簡単にセキュリティ対策を講じることができるのに、それをせずに、自らのソフトウェアのみを改良する行為は、セキュリティホールを悪用した情報漏洩に対する、積極的な幇助行為があると認めることができるのではないかと思われる。
Winny研究者がなぜウィルスによる情報漏洩の責任を問われうるか, ものがたり, 2009年1月13日
「セキュリティホールを悪用した情報漏洩」とあるが、Winnyにセキュリティホールがあるせいでウイルス被害が発生しているわけではない*2。たとえば、メールソフトで添付ファイルをダブルクリックで開けるのをセキュリティホールと呼ぶかといえば、(技術論としては)呼ばないわけで、Winnyでダウンロードしたファイルを開けるのは、Winnyのセキュリティホールではないし、たとえば、hostsファイルを自由に書き換えられることをセキュリティホールと呼ぶかといえば、(技術論としては)呼ばないわけで、Winnyのアップロードフォルダに自由にファイルを入れられることがセキュリティホールかといえば、それは普通の機能であってセキュリティホールではない。
ファイルを開き難くするとか、設定ファイルを書き換え難くするという対策は、やらないよりやった方がよいが、効果は限定的であろう*3。また、それはWinnyの改良によって行うしかないわけではなく、外付けのソフトウェアによって実現することもできる。ウイルス対策ソフトが一般的に実施している対策と同様である。しかし、対策ソフトを作ったとしても使ってもらえるかという問題がある*4。第三者の対策ソフトが出ても使わない人はかなりの数にのぼると思われるから、Winny開発者自身がバージョンアップとして出せば普及するだろうということはあるかもしれない。
「Winnyをリバースエンジニアリングして、プロトコルやネットワークを研究して、何らかの成果を公開しているセキュリティ研究者」は、今現在、数十人くらいいるだろうと思う。それぞれ、情報漏洩被害を食い止めたいと願って研究を進めているところで、何人かの人の事例を私は知っているが、それを榎本温氏は「情報漏洩に対する積極的な幇助行為」と非難する。
彼がそのように言い出したのは、Winny作者が対策しないことを「けしからん」と言う人がいたからなのだろうか。しかし、「Winny研究者」でそのようなことを言う人を私は知らない。「Winny研究者」は、効果が限定的となる可能性やいたちごっこになる可能性*5を踏まえて行動しているので、Winny作者が対策しないことを「けしからん」などと考えるはずがない。
一般の人の中には、Winny作者が対策しないことを「けしからん」と言っている人はいるかもしれない。たしかに、匿名掲示板などで罵詈雑言としてそのように言う人を見かけるが、それは、作者ら自身が「簡単に対策できる」とアピールしてきたことが、ブーメランとなって返ってきていると言えるのではないか。
本来、係争中のこの事件において、被告の責任に関して情報漏洩問題は関係がないはずだ。情報漏洩のことでWinnyに対する無根拠の悪印象が生じて、その悪印象に基づいて判決が下されるようなことがあってはならない。だからといって、それを阻止しようと、Winnyがもたらす不利益(漏洩情報の無限流通とそれが人々にもたらすモラル崩壊の問題)の原因から目をそらそうとする行いは慎むべきである。
控訴審が始まることで再び様々なWinny論が展開されるようになるだろう。結論ありきのトンデモ論が出てきたら、ちゃんと批判していくことが大切である。わかっている人たちには、そうした労を惜しまないようお願いしたい。
関連
*1 法律の専門家であるかのような発言をされているが、この方は本当に法律の専門家なのだろうか? 所属や経歴が不明なのでよくわからない。
*2 Winnyにはバッファオーバーフロー脆弱性の存在が確認されている(JVN#74294680)が、暴露ウイルスはそれを突いて起動するわけではない。
*3 ファイルを開き難くしても、開く人は開くだろうし、設定ファイルを書き換え難くしても、高度な方法で実現しないと回避されてしまう。抜本的な対策は、ウイルスの流通を阻止することであり、それについては2006年7月2日の日記「ウイルス駆除のためWinnyのCacheフォルダを仮想ドライブ化してはどうか」に書いた。これを個人で実現した人もいる。
*4 私もこれまでに、対策ソフトの開発を検討したことがあるが、広く使ってもらうためにはそれなりの信頼あるところからリリースされる必要があり、また継続的メンテナンスが必要であることからタダでできることではなく、適切なパートナーが確保できず断念したことがある。
*5 新たな別のWinny風ソフトウェアに移行してしまう可能性を含む。
ちょっと今日は往復500kmの旅に出てくるので、ちょっと時間的に余裕が無い。日帰
「新しい技術を開発することが、どうして罪になるんだ」と被告は問う。呆れた。 判決が書いているのは、新技術の開発ではなくて、このソフトをバラまいたことだ。