最新 追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 1792   昨日: 2734

2008年05月05日

単純所持刑罰化ならウイルス罪を同時施行しないとセキュリティバランスが悪化する

私は、著作権のあり方に関心がないのにWinnyの問題について意見を述べてきた。これは、著作権が情報セキュリティに影響を及ぼしていたからだった。著作権法による規制の強化が、制御不能な流通システムを誕生させ、人々に維持し続けさせ、その結果、漏洩情報の拡散も抑制不能になるという情報セキュリティ上の深刻な問題を引き起した。(関連記事1関連記事2

このところ、児童ポルノの単純所持の刑罰化や、青少年に対するコンテンツ規制の法制化の機運が高まっているようだ。私は、それらの是非については専門外であり、とくに意見を持ち合わせていない。しかし、それらが情報セキュリティに及ぼす影響について関心を持っている。

従来は、データ(すなわちコンピュータ上のファイル)を持っていることそのものが違法性を構成するという事態はなかった。著作権法的にも、猥褻物罪的にも、あるいは現行の児童ポルノ禁止法、その他の各種コンピュータ関連、ネット関連の法令においても、データを送信ないし送信可能にする、あるいは提供する目的を有することで違法になることはあっても、既存のデータを入手すること自体が違法になることはなかった。刑法改正案のウイルス罪の新設案でも、他人に実行させる目的での取得、保管を違法としているにすぎない。

ここに単純所持という概念が加われば、それは人々に常識の大きな変更を求めることになる。その変化によって、日本社会にどんなことが新たに起きるようになるだろうか。

それについては外国の先例から察することができる。米国の事例として以前からこういう話が聞こえてきている。

  • 児童ポルノを見つけて通報するワーム『ノープト』, WIRED NEWS, 2001年5月25日(元記事公表日)

    インターネットで最近活動しだした新しい電子メールワームは、感染したコンピューターの中に児童ポルノの画像ファイルがないか探索し、もし不審なファイルが見つかれば、当局にそのことを警告する。

    警告メールには、感染したハードディスクをワームが探索して発見した児童ポルノの疑いのあるファイルのうち、どれか1個のコピーが添付されている。また、児童ポルノ所有者の電子メールアドレスも通報する。

  • 政府がハッカーに加担するとき, eWEEK, 2007年2月27日(元記事公表日)

    児童ポルノ所持は重い罪だ。だが、だからといって容疑者逮捕のためにハッカーをあてにしていいものだろうか?(略)

    クライン被告は児童ポルノ画像をダウンロードしたとされており、そのなかには、トロイの木馬を含むものもあった。それは、Citizen Tipster(民間の垂れ込み屋)を名乗るブラッド・ウィルマンという名のカナダ人がオンラインに置いていたものだ。わたしが入手した情報によると、こうした画像はどうやら、コンピュータの脆弱性を利用して悪性コードを実行できるようになっていたようだ。

    クライン被告がそうした画像を自分のコンピュータにロードすると、ウィルマン氏はほかのボット使いと同様、そのコンピュータへのアクセス権限を得て、何でも好きな操作を実行できた。例えば、クライン被告の身元を示す証拠を探したり、それを当局に渡したりといったこともできたはずだ。そして、ウィルマン氏はまさにそれを行った。政府は、明らかに違法な手段により入手されたものであるにもかかわらず、その証拠を進んで受け入れた。そして政府はウィルマン氏を起訴しないとまで明言。そのおかげで、彼はいまだにそうしたハッキング行為を続けている。

1つ目の記事のワームは、日本の初期のAntinnyを彷彿させる。Antinnyの2世代目あたりの亜種は、「私はWinnyを使っています」という趣旨のことを著作権団体(ACCS)のWebサイトに送信するようになっていた。

日本人はあまりコンピュータウイルスを作らないという印象が私にはある。2000年ごろから流行したメールワームや、2002年に猛威をふるったCodeRedやNimda等のワームは、いずれも日本人によるものではないようだった。単に破壊する行為や、落書きしたりといった行為は、日本人には興味をそそるものではないのだと思う。

しかし、2004年以降は、ものすごい数のウイルスの亜種が作成され、Winnyネットワーク等に流されるようになった。そこには「Winny利用者を懲らしめているのだ」という大義名分があって、恥ずかしいと思わなくなってしまっているのだと思う。

新しいアイデアの罠でウイルスを頒布し、それにひっかかって実行してしまう人が続出して、それがマスコミに取り上げられ、社会が騒ぐという展開は、ある種の人間性の人たちにとっては愉快なことなのだろうから、大義名分があればやってしまうという人がいるのだろう。

2月にウイルス作者が著作権法違反と名誉毀損で起訴された事件の公判では、被告が「Winny利用者を懲らしめてやろうと思った」と述べる一方、検察側が「自己顕示欲に基づく犯行で常習性も高い」と主張する構図になっているようで、弁護側は「感染者はウィニーの使用者に限定され、結果は重大とは言えない」という主張を出しているようだ(報道1報道2報道3)。もちろんこれらの主張が判決でどう評価されるかわからないけれども、少なくとも、「違法性の疑われる行為をしている相手がターゲットならトロイの木馬を仕掛ける行為の責任もいくらか軽減され得る」という考え方が、弁護人の弁護方針として使われる程度には、いくらか社会に存在しているのだということがわかる。

「ウイルスのおかげでWinny利用者が減っていて、それは良いこと」という考え方をする人はけっこういるようで、目的が正義であれば手段が不適切であってもかまわないという考え方が世の中にはいくらか広まっているようだ。

2002年にCodeRedやNimda等のワームが流行したときも、「ワームを止めるためのワームを作って流せばいいんじゃないか」という声が少なからず出ていた。情報セキュリティを専門にしている者からすれば、そのようなやり方が不適切であることをすぐに理解できるが(事例)、素人の人々にとっては直感的にはわからないことなのかもしれないと、そのとき思ったのを覚えている。

同様に、トロイの木馬を使って犯罪を見つけ出すというやり方が不適切なものだということが、一般の人にはそれほど簡単にわかることではないかもしれない。

この状況は危ういと思う。これは、トロイの木馬を他人に実行させる行為を罰する法律(刑法改正案のウイルス罪)が成立していないために生じている状況であろう。このような状況においてこそ、社会常識を法律によって明文化することが有効なはずだ。

ウイルスに関する罪を新設する刑法改正案が国会に提出されて、もう4年が過ぎた。2月のウイルス作者が起訴された事件は、著作権法違反と名誉毀損が公訴事実であるという特殊な事例であり、著作物を使わなければ、名誉を毀損するようなことをしなければ、罪に問われないと言われており、今も暴露ウイルスはWinnyネットワークに流されて続けている。

このままの状況で児童ポルノの単純所持が刑罰化されれば、米国の先例にあるように、児童ポルノ画像を自動的にハードディスクから探し出してどこかに暴露するタイプのウイルス(トロイの木馬)が、日本でも登場するだろうと予想する。

最近のOSでは、高速な検索を実現するインデックス機能が標準搭載されているので、ある種のファイルをプログラムで見つけ出すことは1秒以下で可能になっており、そうした特定目的の暴露ウイルスは容易に実現可能な状況になりつつある。

おそらく、最初はWinny利用者がターゲットにされるだろうが、そこにとどまらず、Winny等を使用していない人もターゲットにされるだろうと予想する。なぜなら、現在の暴露ウイルスのターゲットがWinnyネットワーク等の利用者に概ね限定されているのは、ウイルス作者の大義名分が「Winny利用者は違法なことをしている」というものだからであり、単純所持が刑罰化されれることにより、「違法なことをしている」の対象がWinny利用者等に限定されなくなるからだ。

2002年3月の京都府警の警察官がトロイの木馬を踏んで捜査資料を漏洩させるという、小説より奇なる信じ難い事件が起きたことによって、喜んで真似する人が出たであろうのと同様に、たとえば、国会議員の児童ポルノ所持がトロイの木馬によって暴露されるというような事態が発生すれば、狂喜乱舞して、電子メールによる標的型攻撃で、特定人物を狙ってトロイの木馬を送りつけたり、脆弱性を突いてトロイを実行させるWebサイトにアクセスを誘うといった行為が横行するようになる恐れがある。

誰が狂喜乱舞するかといえば、ひとつには、マスコミとその関係者が考えられる。Winny等における暴露ウイルスの騒動は、もう4年も続いている。この4年の間に、ウイルスを作る者、ウイルスを.zipファイルに入れて放流する者、ウイルス入りファイルに興味を引くファイル名を付けて放流する者、流出したファイルを収集して内容を分析する者、分析結果を掲示板に書き込んで報告する者、掲示板の報告を読んでファイルを入手する者、流出したファイルを再放流する者、分析の裏付けを取るためにmixiを調べる者、流出ファイルの一部を掲示板にアップロードして多くの人の目に触れるようにする者、まとめサイトを作る者、事実関係が確認されるのを待って報道に踏み切る夕刊紙、反発がないのを確認してから報道する一般紙と、これらの役割分担が確立し、システム化してしまっている。これらの役割の一部は、実は同じ人たちが担っているのかもしれないし、もしかすると、誰かによる依頼や、報酬で雇われた人によって行われている可能性すらあるのではないかと疑うほど、システム化している。

暴露ウイルスのやり口もこの4年で徐々にエスカレートして、ファイルを流出させるのと同時に、受信・送信済みのメールを同時に流出させるようにしたり、Winnyをどのように使っていたかの証拠となる検索履歴を同時に流出させるといった仕掛けを持つようになっていった。

4年前なら、こんな破廉恥なことが可能とはマスコミの人たちは想像に及んでいなかっただろう。それが今では常識的に理解できるようになっている。新たな開拓地が生まれれば、どんな新たな騒ぎが起き得るか想像できるようになっている。2007年5月にはとうとう、「ウィニーはもはやジャーナリズムになったのだな」、「僅かな楔を打ち込むだけで、ジャーナリズムが調べて報じるべきだった情報が手に入ってしまう」などと公言するジャーナリストまで現れてしまった(2007年6月1日の日記参照)。

だから、単純所持を刑罰化するなら、ウイルス罪も施行しないといけないと私は言いたいわけだが、そう言うと、「ウイルス罪を作ったところで、全てのウイルス作者がやめるわけじゃない」という声が出てくるだろう。たしかに、この4年の経験で、身元がばれない方法を確立してしまったウイルス作者は、ウイルス罪が施行されても頒布し続けるかもしれない。

しかし、トロイの木馬を他人に実行させる行為が違法行為であると明文化されることに意義がある。「ウィニーはもはやジャーナリズムになったのだな」などといった発言は出てこなくなるだろうし、たとえば、マスコミの記者がウイルスを撒くとか、マスコミの記者に雇われた人物がウイルスを作ったり撒くといったことも起きなくなるだろう。

いや、もしかすると、違法化されても記者に雇われてウイルスを撒いていたという事件が発覚するかもしれないが、もしそうなれば、それはそれで大騒動で、新聞社ないし出版社の管理責任が厳しく問われるであろう。また、そういうスキャンダラスな事実がないかと嗅ぎ廻る人たちも出てくるだろう。

ウイルス罪が違法化されていない現状では、そうした抑止力が働いていないのではないか。

ところで、そうは言っても、暴露されるのは児童ポルノ愛好家なのだから同情できないし、べつにかまわないんじゃないかという声も出てくるかもしれない。しかし、そういう問題ではない。

日経新聞の記事によれば、今般の児童ポルノ法改正案では、単純所持に「性的好奇心を満たす目的で」という限定を付けることが検討されているらしい。

与党の改正案では単純所持を一律に禁止するが、一方的に画像がメールなどで送りつけられることもあるため、罰則は「性的好奇心を満たす目的」で所持している場合に限定した。

児童ポルノ、所持だけで懲役1年以下・与党PT , 日本経済新聞, 2008年5月2日

このような目的限定が付けば、暴露ウイルスは、「性的好奇心を満たす目的」を証明するような情報も同時に流出するような仕掛けを導入してくるだろう。Winnyの暴露ウイルスが、しだいにエスカレートして、送受信メールやWinnyの検索履歴も同時に流すようにしたのと同様にである。「性的好奇心を満たす目的」を証明する情報としては、大人のポルノ画像の所持状況や、Webの検索履歴やアクセス履歴(これらはWebブラウザ等に記録されている)などがターゲットにされるだろう。個人を特定するためには、送受信メールがターゲットにされる。

そうなると、児童ポルノ愛好家でなくても、たとえば、児童ポルノ画像が1枚紛れ込んだ多数の大人のノーマルなポルノ画像のようなファイルないしフォルダを流出させられて、「性的好奇心を満たす目的」が認定されて児童ポルノ法違反で検挙という事件が起きるであろうし、検挙されないにしても、大人のポルノの所持者が巻き添えでトロイの木馬によって晒されるまくるという事態が生じたり、恥ずかしい画像を所持していなくても、検索履歴を流出させされるなどによって、機密が漏洩するといった事態も新たに起きてくるかもしれない。付け加えれば、送受信メールが暴露されることによって第三者の秘密までもが暴露されるということが、これまでと違ってWinny等の利用に関係なく、誰の身にも生じ得るようになる恐れがある。

仮に、トロイの木馬が、児童ポルノファイル判定の精度を向上させて、児童ポルノ愛好家に対してしか流出を起こさないように工夫されたとしても、児童ポルノと無縁の人たちにとっても、トロイの脅威からくる不安が広がるだろう。

重要なことは、不正アクセス禁止法にせよ、ウイルス罪新設刑法改正案にせよ、その法の趣旨は、個人の被害から保護することではなく、社会の秩序を維持することが目的とされているという点である。

第1条

この法律は、不正アクセス行為を禁止するとともに、これについての罰則及びその再発防止のための都道府県公安委員会による援助措置等を定めることにより、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することを目的とする。

不正アクセス行為の禁止等に関する法律

何故,社会的法益に対する罪として構成したのかということでございますが,もちろん,コンピュータウイルスが,個々の人が使っている個々のコンピュータの機能を害するという個人的法益の侵害をしている,そういうウイルスが多数あることはそのとおりでございます。しかしながら,既に御説明をさせていただいておりますように,それとともに,コンピュータやプログラムの機能を考えますと,プログラムに対する社会の信頼というものを保護することが,電子計算機の社会的機能,電子計算機による情報処理の円滑な機能を維持するために必要であり,また,現実にウイルスが社会に広く蔓延して被害を与えているという実態がありますから,社会的法益に対する罪という構成も十分に考えられ,そういう形で保護する必要があるというように考えているということでございます。

法制審議会刑事法(ハイテク犯罪関係)部会 第3回会議 議事録

まず,保護法益の関係でございますが,コンピュータ・ウイルスは,他人が使用しているコンピュータで実行されて,データの破壊などの実害を与えるものでありまして,その意味でコンピュータ・ウイルスは個々のコンピュータ利用者の利益を害するという側面があって,それについても刑法的な保護が必要であると考えておりますが,それとともに,コンピュータのプログラムというのは容易に広範囲の電子計算機に拡散するという性格がある上に,コンピュータの使用者は,プログラムがどのように機能するかというのを容易には把握できないので,プログラムが変な動作をしないと信頼して利用できないと,コンピュータの社会的機能が保護できないということになります。また,現実にコンピュータ・ウイルスが広範囲に社会に害を与えているという実態がございますので,そういうことを考えますと,電子計算機のプログラムに対する信頼という社会的法益を害する罪として構成するのが相当だと考えているところでございます。

法制審議会刑事法(ハイテク犯罪関係)部会 第1回会議 議事録

つまり、ウイルスの被害者が犯罪者なら相殺されるといった性質の話ではない。よその国ではどうだか知らないが、日本では、人が騙されて実行してしまうようなプログラムが(そのような目的で)存在すること自体を社会的危険とみなし、そのようなプログラムを「不正指令電磁的記録」として文書偽造等と同列に刑法典に盛り込むとする法案が提出され、その趣旨に反対している人はいない。(出ている反対意見は、法文の曖昧性を小さくするべきだというもの)。

この法案がたなざらしにされてきたことで、Winny等で悲惨な情報漏洩事故が多発し、既に社会不安が広がっているが、このまま、単純所持の刑罰化が加わることによって、ウイルスのターゲットがWinnyネットワーク等の外にまで広がる事態となれば、いよいよ、コンピュータやインターネットの利用に対する人々の不安は広がり、ネット利用自体を控える人が増えるなど、高度情報通信社会の発展は阻害されることになってしまうだろう。

1月のウイルス作者逮捕(著作権侵害容疑、名誉毀損容疑)事件の際には、新聞各社はウイルス罪の整備を急げとする社説を出していた。

その後、国会はどうなっただろうかと、国会議事録を「ウイルス」で検索して調べてみたところ、2月22日の衆議院法務委員会3月18日の参議院法務委員会に発言がそれぞれ1回あっただけで、しかもこれらはいずれも法務大臣が所信を述べたもので、議論は全く行われていないようだ。

追記(15日)

ちょうど先日、上の2007年2月の記事の続報にあたる記事が出た。

  • サイバー・セキュリティ[罪と罰]第1回 トロイの木馬を仕込んで児童ポルノを摘発, Computerworld, 2008年5月13日

    Computerworld米国版は最近、Willman氏に当時のことを電話取材した。(略)

    Willman氏は開発したトロイの木馬型プログラムを駆使し、違法と疑われる児童性愛者を摘発するべく、自警活動に励んだという。その“手口”は以下のとおりだ。

    (1) 複数の児童ポルノのニュース・グループを訪れ、グループのメンバーが好みそうな画像が包含されているように見せかけたプログラムを掲示。このとき、画像が開かれないままプログラムが立ち上げられると、最初はディレクトリにある画像がユーザーに表示されるように“細工”し、プログラムの存在を隠匿。

    (2) グループのメンバーがプログラムをダウンロードすると、プログラムが自動的に起動。

    (3) 遠隔操作で、彼らのファイルの中に違法な文書や画像があるかどうかを徹底的に検索。

    (4) 違法な児童ポルノを証明する情報を押さえたら、その情報をコピーし、児童性愛者を追跡する複数の児童ポルノ監視グループに匿名で送付。

    (5) 違法児童性愛者を検挙。

    (略)

    Willman氏は、一度は警察に逮捕されたものの、警察側に貴重な追加情報を提供したため、実刑は免れた。最終的に同氏は、今後ハッキング行為を行わず、児童ポルノには一切関与しないという同意書に署名し、無事釈放されたという。(略)

    現在、多くの州法/連邦法は、コンピュータへの無許可アクセスを違法と定めている。(略) 「Willman 氏と同様、違法な手段を使ってもインターネット上で犯罪者を追跡する人の数は、増加の一途をたどっている。もしWillman氏が警察に情報を提供しなければ、起訴されていた可能性が高い。ただし、その場合でも、Willman氏は米国内で活動を行っていたわけではないため、米国当局による起訴は難しかったかもしれない」

    Neuburger氏によると、米国の警察官はWillman氏のような人々に対し、「たとえ正義感に駆られてやったとしても、君たちの行為はまちがっている」と警告し、野放しにしないよう努力しているという。ただし彼らに対して積極的に重い刑罰や処罰を科すことはほとんどないようだ。

    しかし、だからといって違法な自警活動は許されるものではない。(略)

司法取引のようなものだろうか。警察の捜査に役立つ情報を提供すると、情報の入手手段が違法なものであってもあまり罪に問われていないというのは、日本ではあり得そうにない話のように感じる。お国柄の違いだろうか。

ところで、記事中で紹介された「手口」は、まずトロイの木馬でターゲットのコンピュータに「穴」を開け、そこから中にアクセスして、ファイルや証拠を手作業で探すというものだったようだ。このうち、開けた穴から中に入る行為(記事中の(3)の部分)は、日本でも、不正アクセス禁止法違反になる場合がある(当該コンピュータがアクセス制御機能を有していた場合)と思われる。

その点では、こうした行為を日本ですれば処罰されるに違いないと思うのだが、もし、(3)〜(4)の部分を自動的に行うプログラムをトロイの木馬として作成し、標的の人物が自分でトロイを実行する(してしまう)ことで、探索から通報までが全自動で処理されるようになっていたとしたら、日本では、そのようなトロイを仕掛けた者を罪に問う法律がないように思う。

その法の抜け穴を埋めるのが、刑法改正案のウイルス罪(不正指令電磁的記録に関する罪)であり、やはり、これが欠けたままというのは危険な状態であると思う。

関連

本日のリンク元 TrackBacks(100)

2008年05月31日

フォクすけをゲット

Mozilla Party 9.0の後の宴会で、フォクすけが3人に当たる大じゃんけん大会。「こういうのってどうせ当たらないんだよなあ」と思いつつ、2体目でなんと勝利!! こういうので初めて勝ったよママン。

フォクすけの写真

職場で活用できるかな。

本日のリンク元 TrackBacks(53)

最新 追記

最近のタイトル

2024年03月16日

2024年03月13日

2024年03月11日

2023年03月27日

2022年12月30日

2022年12月25日

2022年06月09日

2022年04月01日

2022年01月19日

2021年12月26日

2021年10月06日

2021年08月23日

2021年07月12日

2020年09月14日

2020年08月01日

2019年10月05日

2019年08月03日

2019年07月08日

2019年06月25日

2019年06月09日

2019年05月19日

2019年05月12日

2019年03月19日

2019年03月16日

2019年03月09日

2019年03月07日

2019年02月19日

2019年02月11日

2018年12月26日

2018年10月31日

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|10|12|
2019|02|03|05|06|07|08|10|
2020|08|09|
2021|07|08|10|12|
2022|01|04|06|12|
2023|03|
2024|03|
最新 追記