ハッカー協会のCH事件意見書
お久しぶりです。ここ1か月ほどtwitterのアカウントがロック/凍結され、まったく近況報告ができずにいましたが、中の人は元気に引きこもって積み本を消化したりベランダで枝豆を栽培していました。(手軽な袋栽培がおすすめです, 今(5/5)から始めてもギリギリ間に合うはずです。)
アカウントロック/凍結解除の過程で得た知見については、また別の機会にまとめたいと思います。
本題です。前述のアカウント凍結によりnote等へのログインもできず、大変遅くなってしまいましたが、3/31まで募集されていた日本ハッカー協会の最高裁判所宛Coinhive事件意見書の、私が送付したものを公開します。
もう少し色々と書けないかギリギリまで粘っていたのですが、書きたいことが多すぎてごちゃごちゃになってしまったので、結局、最終日に白紙から一気に書き上げました。それにしては、悪くない感じにまとまったと思っていますがどうでしょうか。
全体的な主題としては、高裁の判示では、行為を客観的に見て後からみて法律を適用する裁判所(&法執行機関)と、実際に行為を行う時の被疑者の主観の違いから起きる、捉え方のずれ・すれ違いが起きているのでは? という点を考えて書きました。
(以下本文, 名前等を隠したり他のものに置き換えている。)
意見書
令和2年3月31日
最高裁判所 御中
住所
所属
署名
私は○○大学でコンピュータサイエンスを学ぶ学生です。現在20歳で、プログラミングを学び始めてから3年弱になります。学び始めてからの年数こそ少ないものの、IPA(情報処理推進機構)の基本情報技術者試験、応用情報技術者試験、国の情報処理安全確保支援士試験に合格しています。技術の活用方法としては主に、趣味のウェブサイトを管理したり、自分が使いたいプログラムを作成したり、気になった新しい技術を自分の環境で試してみたり、他の学生にコンピュータに関する技術を教えたりしています。
私自身、2017年秋に被告人のモロさん同様、Coinhiveを自分のウェブサイトで利用したことがあり、その結果▲▲県警による捜査を受け、最終的に審判不開始処分となりました。
本件とは微妙に状況が異なるものの、Coinhive登場当時の状況・雰囲気を知る一技術者、Coinhiveとその裁判の記録を残す活動を行なっている者として、意見を申し上げます。
1. プログラムに対する世論とその社会的許容性について
あるプログラム・サービスについて賛否両論があるにも関わらず、それの実際の利用を行うことは、私や他のエンジニアの多くが普段から行っているものであり、何ら不審・悪質な状況や行為ではありません。以下で説明します。
賛否両論という点について、高裁の判決では「本件は,(中略) プログラムを使用するかどうかを使用者に委ねることができない事案であるから,賛否が分かれていることは,本件プログラムコードの社会的許容性を基礎づける事情ではなく,むしろ否定する方向に働く事情といえる(高裁判決12頁)」との判示がなされました。
前半の「使用するかどうかを使用者に委ねることができない事案」については後述しますが、後半の「賛否が分かれていることは (略) 否定する方向に働く事情といえる」という点について、日頃から様々な技術に触れている身として、どのように解釈すれば良いものなのか、にわかに理解できないものでした。
あるプログラム・サービスに対して賛否両論が存在するからといって、必ずしも誰から見ても悪質・不正とされる、害悪なプログラムであることを示しているということはあり得ません。特に、当時のCoinhiveのような登場直後であって、かつ新しい「機能」の概念が含まれるそれに対して完全な賛意を得ることは難しいでしょう。(「機能」については、次の節で議論します。)
もし、あるプログラムに対する世論というものが100%の賛意が基本である、あるいはコンピュータのプログラムは100%の世論に応えるべきものである、といった前提が存在するのであれば、私も、この判示を容易に理解することが可能です。しかしこれは、否定的な意見を不当に優遇していて、実際に多くのプログラムの機能について賛否両論があることからも、現実に即していません。現在当たり前のように利用されているプログラム・サービスの全てが、最初から心地の良い意見だけに囲まれて育ってきたということは、あり得ません。
そこで、私を含む多くのエンジニアは、普段から100%の賛意は存在しないという前提で技術の利用を行っています。これが一部でも認められないとすると、コンピュータのプログラムの多くがこれに該当することとなってしまいます。
加えて、通常この法を以て取り締まられるべきプログラム、及び実際に過去取り締まられてきたプログラムを考えても、例えばランサムウェア(勝手にファイルを暗号化し、その復号に代金を要求するマルウェア)や機密情報を盗むウイルスといったプログラムについては、賛成・賛同のような意見は一切存在せず、誰から見ても社会的に認められない害悪とされることは明らかであると思います。子供の位置情報監視のためのアプリを無断で恋人のスマートフォンにインストールする行為等、プログラムの悪用事例についても、その悪用例についての考えは同様のものになるでしょう。
一方のCoinhiveは、モロさんや私が導入を行った当時も今も、(実際に使用した当事者以外の)肯定的な意見やアイデアに賛同する意見が存在しており、その存在については検察の主張や地裁・控訴審の判示でも認めています。
先に挙げた、プログラムの悪用事例という点についても、本事例はプログラムの公開元であるCoinhive Teamの意図・説明通りに、自分のウェブサイトでプログラムを使用した事例ですので、「悪用」ではありません。(Coinhiveの「悪用」は、地裁の判示にある「他人が運営するウェブサイトを改ざんして専用スクリプトを埋め込みマイニングを実行させるような場合(地裁判決9頁)」、高裁判決の「より違法な事例(高裁判決10頁)」です。)
真に害悪なプログラムならば、今回のCoinhiveのような賛成意見は一切発生していないはずです。私は、そのようなプログラムについて、「明らか」であるとか「社会的に許容されない」と、刑法で取り締まられるべき害悪として一方的に断罪することは、理にかなっておらず、適当な判断ではないと考えています。
2. 「機能」と「動作」の違いとそれが実現される「場所・所」について
反意図性や不正性の判断基準を考えるときに何を捉えているかという点について、地裁判決ではその「動作」を、控訴審判決では「機能」を中心に考えることが示されており、それぞれ、Coinhiveの「動作」「機能」は「マイニング」であるとして、判断が行われています。
私は後者の捉え方について、コンピュータのプログラムに対する捉え方として不適切であり、自分が実際に行い感じている、判断や感覚ともずれがあるものと感じています。
「機能」は、目的本位の考え方、何を実現するものか(What)を捉えるもの、「動作」は、過程本位の考え方、その「機能」をどのように実現するものなのか(How)であると考えられ、コンピュータのプログラムにおいて、前者は「表計算」「メモ帳」といったそのプログラムの名前として利用・入れ替え可能なもの、後者は「画像を表示する」「データを変更する」「CPUを使う」といったそのプログラムが実際に行っている、客観的な観察が可能である状態の変化についてのものであると言うことができるかと思います。
新しい「機能」の登場直後や、一般的なユーザは認知していないけれども、裏で動作している多くのプログラムについて、積極的に社会的な認知や同意を求めることは行われていません。新しい概念を含むプログラムについて、その公開前に「機能」の社会的な許容を判断することは、大企業のような力を持っていない個人開発者にとって、不可能に近いことです。
多くのユーザには認知されていない新「機能」である、「マイニングによる収益化」自体についての認知を求めると、複雑・高度なものや理解に前提知識を必要とするプログラムで、一般ユーザがその中身を理解できないものについても、認知と許容を求める必要性が生じることになります。
条文が「その意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき」としていることからも、私はプログラムの「動作」を捉えた判断が行われるべきと考えます。
加えて私は、その「動作」について、それが実現される「所・場所・環境」のようなものについての検討をする必要があると考えます。
ユーザのコンピュータ上で直接動作・実行されるプログラムは、そのコンピュータの権限が許す限りの動作を行うことができ、ユーザの意図に反してデータが削除されたり、個人情報が流出したりするなどして、危険が具現化される可能性があります。
一方、ウェブブラウザ上で実行されるプログラムは、特に明示的な許可や同意を必要とせず (一般に見かける許可を求める表示は、プログラムの動作自体についてではなく個人情報の利用のためのもの。) リンクのクリック又はURLの入力を行いページを開いた時点で、直ちに動作が行われるため、最初から、開いたページ内で許される動作が制限されたサンドボックスと呼ばれる環境となっています。
ブラウザで開かれたウェブサイトは、安全なサンドボックス内、言わば屏風の虎であり、ブラウザの製作者(やWebの規格を定めている標準化団体等)が意図していなかった脆弱性を利用する等の例外的なものを除いては、そこから虎が飛び出して、ユーザのコンピュータ内で危険を具現化することは考えられません。(詐欺サイト等が具現化している危険はそのコンテンツ自体の危険であって、コンピュータのプログラムの危険ではありません。)
今回の事件は、そのサンドボックスにより保障された信頼の枠の中で発生している事案ですが、ウェブ上での、不快・好ましくないといった程度の表現についても、刑事罰を以てして罰せられるべきなのでしょうか。ほとんどのブラウザがインストール時の利用規約で、ソフトの使用によって、不快・好ましくないコンテンツに接する可能性がある旨の同意を求めていることにも、このウェブの性質が表れていると思います。
先に後述するとした「使用するかどうかを使用者に委ねることができない事案」についても、以上の通り、ブラウザという「場所」は、そのプログラムを使用するかどうかをユーザに委ねている空間ではありません。許諾を得るとしても、多くのプログラムは既に動作が行われた後となってしまう為、これを認めると、プログラムの動作についての表示や動作後の事後許諾さえあれば害悪なプログラムの動作をも認める事になってしまいます。私は、これは害悪なプログラムに対する考え方として不適切であると考えます。
弁護人による「JavaScriptはサンドボックスにより安全性が確保されているため安全で、信頼を害することはない」という主張は、地裁判決、控訴審判決の両方で否定されています。しかし私は、以上の理由から、プログラムの動作について、一種のTPOのようなものとして、ブラウザのサンドボックス・JavaScriptという制限が存在していると考えています。そして、その下での動作の規範については、ユーザのコンピュータ上で直接動作・実行されるプログラムやATM上で動作するような厳格性が求められる「場所」のそれとは異なっているという点を踏まえた判断がなされるべきであると考えます。
3. ツイートで指摘を受けた点について
高裁の判決では「グレーなのではないか」との指摘ツイートを受けて、不正指令電磁的記録該当性を基礎づける事実について認識した。結果、実行の用に供する目的があったとされています。
「グレー」との一意見を見ただけで直ちにこの事実を認識するものなのか(2.の議論同様の前提があるならばこれも理解が可能かもしれない)、それを見てから検討・行動するまでの時間が一切考慮されていないのではないか、という疑問を呈さずにはいられませんが、ここでは主に、当時の事情を知る当事者としての立場から感じた点についての話をします。
具体的には、このツイッター上でのやり取りについて、私は、モロさんとツイートを送った「■■■■」さんとの、把握している事実の違い・認識のすれ違いが発生しており、客観的にこのやり取りを見て、検討を行うだけでは、読み取ることのできない事情がある。不正性の判断にて「プログラムに対する賛否は,そのプログラムの使用に対する利害や機能の理解などによっても相違があるから,プログラムに対する賛否が分かれていること自体で,社会的許容性を基礎づけることはできない(高裁判決10頁)」と判示されている点が、実行の用に供する目的の判断には役立てられていないと感じました。以下でその理由を説明します。
まず、このやり取りを行ったtwitterユーザ「■■■■」さんは、正当なアクセス権を持たない他人のウェブサイトを改ざんしCoinhiveのようなマイニングスクリプトを埋め込む行為(高裁判決でより違法な事例とされたもの)の調査活動として、世界のウェブサイトに埋め込まれたCoinhiveや類似のプログラムの状況を追っていた人で、ただCoinhiveの存在を知っていたり、利用したりする人とは異なる立場でした。
一方のモロさんは、「ニュースサイト等で(賛否の有無を問わず)プログラム・サービスを紹介する記事を読み、それを試しに利用した」という、Coinhive開発者の意図の通りに自己のウェブサイトで利用した、典型的なCoinhiveの利用者です。私はこの2人の立場の差による認識のすれ違いが発生したと考えています。
地裁判決の事実認定にもある通り、このツイートがなされた2017年10月30日より前の同年10月16日時点で既に、Coinhiveの開発者は「オプトイン方式でエンドユーザーに使用を明示する方策を検討する(地裁判決4頁)」、「ユーザーの同意なしには決してマイニングを開始しない新たな実装を導入(同)」を行っていました。
「■■■■」さんは、先述の通り、Coinhiveの調査活動を行っていた人ですから、このような変化についても知っており、この同意を得るバージョンのCoinhive(以下「AuthedMine」)の存在を認知していた可能性が高いと考えられます。
しかし、ユーザ側については、当時、Coinhiveのアカウントを保有していた私に、Coinhive側からお知らせのメールを送られてきたりするようなことはなく(結局、今まで登録時のメールアドレス確認以外は何も知らせを受け取っていません。) 、この新たな実装の存在は、ずっと後になってから、ニュースサイトでその存在を知りました。調べてみると、Coinhiveウェブサイトのスクリプトの使用方法についての説明がなされているページに、1項目新しい説明のページが増えただけだったようです。
この点を考慮した上で、「グレーではないか」というやり取りを再度読むと、
「(AuthedMineが登場した今、あえて許可を求めないものを利用するのは) グレーなのでは」
「許可を求めることを検討します (AuthedMineの存在を知らないため、自分でCoinhiveスクリプトを改良・改造し、スクリプトを一時停止することが技術的に可能であるのかの検討をしようとしている)」
「許可を求めての利用は歓迎です (AuthedMineの存在を知っているので、直ちに改善が実行可能で、そちらの方が良いと思っている)」
と考えることも可能であると思います。
高裁の判示においては、この様な、やり取りの具体的な内容や背景に関する検討を一切行っておらず、「グレー」との指摘を受けた事実のみを切り取った判断を行っていますが、私は、この点についても当事者の目線に立った検討も行われるべきだと考えています。
また、この「指摘」を受けて不正指令電磁的記録に該当するとされることについては、2011年の法改正時に、重大な影響を与えるバグの存在をプログラムの公開後に知って、その上で公開の状態を放置したときに、行為不真正不作為犯が成立するのか、という疑問(結局、参考人の答弁の時間の都合等により質問がなされなかった)、 「供用」や「(供用目的)保存」といった話は、プログラムを実際に公開したその瞬間だけのものであるのか、公開後ずっと継続しているものなのかといった議論にも繋がる話ですので、この点についても慎重な検討を行った上での判断をされるよう、お願い申し上げます。
4. 自分の事件について
私事ですが、自分が取った行動について、この様に司法の判断を仰ぐ事態になってしまったことは、本当に残念に感じています。というのも、私は、このCoinhiveを利用する以前から、情報の分野を学ぶ者として注意しなければいけないこととして学んでおこう、また、面倒な事件に巻き込まれたくないというある種の自衛の思いから、若干ではあるものの、コンピュータ・情報分野に関する法律を勉強し、立法時の議論も読んだりしていたからです。
そうであっても、私は当時、特にピンとくるようなことはなく、その利用を許してしまいました。なぜその様なことになったのかについて、自分が考える理由を以下で話します。事件の理解に役立てて頂ければ幸いです。
(プログラムの利用時に限らず、自然犯的なものは、普段の生活で起こる全ての行為について法的な判断を毎回行っているのではなく、実際のところは、何かしら変に思う、ピンとくるかこないかという気づきに近いものであると思い、このような表現としています。)
その原因として一番大きいのは、1.2.で議論したように、導入の経緯・行動の流れやプログラムの動作が、普段から行って・見かけている、よくある行為・状況の下であったからと考えています。
ネット上の記事を読んで新しいサービス・プログラムの存在を知ることは当然ながら、プログラム・サービスに対して賛否両論が存在することも全くもって通常のことでしたので、賛否両論の否定的意見の存在は、私がプログラムのお試しを止める理由には一切なりませんでした。
コンピュータの世界ではよくあるトライ&エラーと言えばよいのか、まずは試してみて評判を見て、結果が悪かったら削除すればよい(実際に、私も導入から約1ヵ月後に削除しました)と考えており、その削除した時点においても、まさか半年後になって家に警察がやってくるなどとは思ってもいませんでした。
プログラムの動作自体についても、Coinhiveの動作であるCPUのリソースを消費するという点について、他のプログラムと何ら違う点は無く、普通のプログラムとして許されている、当たり前のものであると思っており、これも特に導入を妨げる壁にはなりませんでした。
(結局どちらも、刑法犯になるとは思わず、自サイトにおけるCoinhiveの評判やCoinhive自体の評判を受けて、導入継続か削除を決めれば良いという話であると思っていた という話になるでしょうか。)
(ちなみに、私のCoinhive削除の理由は、
① 評判の悪いブロガーが類似のスクリプトを利用したことによる、評判の低下を懸念した
② アンチウイルスソフトがCoinhiveを検知するようになり(これは、より違法な事例 とされたものを防ぐための対応であり、正規のCoinhive利用に対するものではありません)、Coinhiveをよく知らないユーザからの評判低下を懸念した
③ 容易に明示的な許可を求められる類似プログラムを知った
④ ①~③の理由から、削除又は許可アリへの置き換えを行おうとして、Coinhiveウェブサイトを確認したところ、予想通りほとんど収益が得られておらず、無駄であると判断した
です。)
私の思う普通の感覚が狂っているだけなのかもしれませんが、この判断ができなかったことは、今でも当時について、何かしら気づくことができる点があったのだろうか、どこかに踏みとどまれるタイミングがあったのであろうかと悩んでいます。
高裁の判示は、どれも後から客観的に話を見ていて、その基準を一方的に押し付けている判断のように感じます。当時のCoinhive利用者として、もう少し、実際の行為当時の主観に立った検討も行っていただけるよう、お願い申し上げます。
(以上)
(追記)
2021年10月3日: typo部分を修正
この記事が気に入ったらサポートをしてみませんか?