Coinhiveと呼ばれるスクリプトをウェブページに仕掛けて、閲覧者が気づかないように閲覧者の端末で仮想通貨のマイニングを行なわせた一審無罪の事件に関して、控訴審で有罪が出たことにエンジニア寄りの人々から批判の声が上がっている*1。
ウェブページ作成者に収益をもたらす一方で閲覧者に利益は無いと言う意味で、広告と同様で犯罪性が無いというそれらの論調にはある程度の道理があるのだが、無断マイニングと広告の相違点は確かにあり、東京高裁はその違いを検討した上で不法としている。判決自体は、恐らく不当ではない。
1. 無断マイニングも広告と同じ・・・とはいかない
判決文で東京高裁は色々な角度から議論している*2が、「一般的なプログラム使用者が,機能を認識しないまま・・・」「プログラム使用者に無断で・・・」と、秘密裏に実行していることを問題にしている。これは、技術的には当初から予想された観点だ*3。
広告も閲覧者の計算機資源を使って無理やり見せるわけだが、そんな事をしたら広告にならないので、秘密裏に実行されることはない。秘密裏に実行と言うのはやはり問題で、今はブラウザーのセキュリティーが強化されてそんな事は無理だが、秘密裏に閲覧者のブラウジング履歴をトラッキングをして収益を上げているサイトがあったとしたら、やはり不正と思われるであろう。
クリックしようとしたら広告がびよーんと伸びて誤クリックさせようとしたり、リンク表示と無関係に広告画面に飛ばされるほうがユーザー体感は悪い気がするが、まぁ、秘密裏に実行と言うのは確かに大きなポイントである。
2. 問題は閲覧者に与える被害の甚大さ
何か納得いかないよね? — 我々が思う受忍範囲と、裁判所が認定した受忍範囲が大きく異なっているのが原因だ。
下手が書いた悪意の無いJavaScriptでCPU占有率が100%近くになって、画面が固まったかのようになる現象も往々にある。ごめん。しかし、ブラウザーもしくはタブを閉じたら回復するような問題は、実際的にはいちいち気にすべきではない。大目に見て。ところが、「不正指令電磁的記録が電子計算機の破壊や情報の窃用を伴うプログラムに限定されると解すべき理由はない」と、東京高裁は判断している。
ソフトウェア・エンジニア的に懲役や罰金に値する重大な不正とは、計算機の処理を中断させるという意味で可用性を損なうこと、保存しているデータが破損することによりシステムが正しく運用できなくなると言う意味で完全性を失うこと、利用者の秘匿情報を勝手に盗み出したり、第3者への攻撃の中継地点として使われるなどの意味で機密性が犯されることになるが、Coinhiveと言うスクリプトはこれら重大な問題は生じさせない。
「不正指令電磁的記録に関する罪」を作成するときに、官僚や国会議員が刑罰に値する不正の程度、不正の範囲の判断を裁判官に丸投げした結果、程度判断がおかしい事になってしまった。可用性、完全性、機密性に問題を生じさせるものに限るように、法律の文面を変えるべきだと思う。そうしないとプログラマと言うか、プログラマに指示を出す人々に萎縮効果が生じてしまう。MS-Windowsの隠しスタッフロールのような“イースター・エッグ”も違法になる・・・と冗談を言っていたら*4、なんだか悪人とは言い切れない人が有罪になる結果となってしまった。
ところで警察の皆さん、トロイの木馬的にユーザーを騙してマルウェアをインストールさせようとするウェブページの方を先に取り締まってもらえないもんですかね?
*1なぜCoinhive事件でプログラマが怒っているかを一般向けに解説したい。 - かもブログ
*2コインハイブ事件控訴審判決 東京高判令2.2.7 - IT・システム判例メモ
*4関連記事:愚法から広告モデルとイースター・エッグを救え!
さすがにウェブ広告を違法と言うような裁判官は希望通りいなかったわけだが、色々な形式のソフトウェアが出てくるものである。なお、2011年の私の提案どおりに改編していたら、マルウェアは有罪にできる一方、無断マイニングは無罪である。
0 コメント:
コメントを投稿