パスワードを忘れた? アカウント作成
14106333 story
インターネット

東京高裁、Coinhiveはウイルスだとして設置者に対し有罪を言い渡す 332

ストーリー by hylom
動画広告はセーフなのに 部門より

Webサイトに仮想通貨のマイニングを行うスクリプトを設置し、閲覧者がそのサイトにアクセスするとその閲覧者のWebブラウザ上で採掘が行われる仕組み(Coinhive)を運営するサイトに設置していたとして不正指令電磁的記録保管の罪で摘発されていた男性の控訴審が東京高裁で行われた。東京高裁は被告に対し、罰金10万円の有罪判決を言い渡した(弁護士ドットコムニュースNHK日経新聞)。

一審の横浜地裁は被告に対し無罪を言い渡していたが(過去記事)、控訴審では判断が覆される結果となった。弁護側は上告する方針を明らかにしている。

判決では、「プログラムはサイトを見た人に無断でパソコンの機能を提供させて利益を得ようとするもので、社会的に許される点は見当たらない。プログラムによってサイトを見た人のパソコンで電力が消費されるといった不利益が認められる」、「PCの機能が提供されていることを知る機会や実行を拒絶する機会も保障されていない」、「コンピューターウイルスとは使用者のパソコンを破壊したり、情報を盗んだりするプログラムに限定されない。今回のプログラムはウイルスに当たる」などと判断している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 「インターネットの分野でイノベーションが起こせなくなってしまうおそれがある。」
    これに繋がる意味が分からない。
    なぜイノベーションが起こせなくなるのか?

    • Re:とても不思議なのが (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2020年02月07日 18時25分 (#3758169)

      今回の件、ちょっとした実験で設置して、やっぱやーめた、って撤去したのに摘発されてるんだよ。
      実験的な行為が罰せられる恐れが強いってのは、萎縮に繋がるよね、
      って話。

      これは違法の可能性が高いからやめろ、って感じの指摘が先にあったわけでもなく、いきなり摘発ってのも反発を招いてるところ。
      まぁ要するにまた県警が暴走してる、勘弁してくれ、ってのが本音だな…。

      親コメント
      • Re:とても不思議なのが (スコア:3, すばらしい洞察)

        by Anonymous Coward on 2020年02月07日 20時00分 (#3758253)

        他人のPCでちょっとした実験すんな
        ローカルでやるか最初に許諾出せば良いだけ

        親コメント
      • Re:とても不思議なのが (スコア:3, すばらしい洞察)

        by Anonymous Coward on 2020年02月08日 0時29分 (#3758425)

        被告人は、100%CPUを使うのはまずそうだから全部使わない設定でやっていたわけでしょ。100%使ったらまずいことは本人も自覚しているわけ。当人も自覚しているものを、「いきなり摘発」といっても通りませんわな。「いや、あんた自分でもまずいってわかってるじゃん」と言われて終わり。

        設定が50%だろうと複数走れば問題だし、問われているのは「不正指令電磁的記録保管罪」なので、実際に100%CPUを使う設定にしたかどうかは問題になってないのよ。そういうことができるソフトを使うために保管していたところが問われてんの。

        親コメント
      • 実験的な行為って言っても、今回逮捕された人が「Coinhive」を作成したわけじゃないでしょ。
        これまた「イノベーション」との繋がりが分からない。

        親コメント
      • Re:とても不思議なのが (スコア:2, すばらしい洞察)

        by Anonymous Coward on 2020年02月07日 18時58分 (#3758205)

        どっちかって言うと、
        「当サイトではこのような実験を行っています。ご協力下さい」的な一文(利用者の知る機会)が無かったのが問題なんじゃないかなと。

        そこをスルーして、イノベーションの萎縮がーとか言うのはちょっと飛躍してると言うか自己中心的過ぎるかなと。

        親コメント
      • まあ「目に見えて無い部分で閲覧者が期待した以上の処理を行うことはけしからん」ということなんでしょうね。
        ただ,不正指令電磁的記録保管の罪が問えるのかしらん,という気はするのだけど。
        いくら法律は運用と解釈次第といっても,ちょっとやり過ぎてるかなあ,というか。
        これを取り締まるには新しいのを立法するしかないんじゃないかとか。
        親コメント
      • by Anonymous Coward on 2020年02月07日 18時30分 (#3758175)

        実験ならなんでもやっていいって話でもない

        親コメント
  • by Anonymous Coward on 2020年02月07日 18時17分 (#3758160)

    同じ理屈でユーザーを特定するためにスクリプトを埋め込んでいたらアウトな気もする。
    広告を見て魅せを訪れたか調べるサービスってあったよ思うけど、駄目になるかも。

    • by Anonymous Coward on 2020年02月07日 19時13分 (#3758221)

      判決について、説明している記事があるけども [bengo4.com]、

      ・閲覧者にマイニングによってCPUの機能が提供されていることを知る機会やマイニングの実行を拒絶する機会も保証されていない

      と、利用者が動作している事を意図する手段がないことが問題らしいです。

      上記を踏まえると、例えば、GoogleAnalysisのようなトラッキングサービスはプライバシーポリシーへの記載を規約として求めており [impress.co.jp]、
      それに従っていたなら、(プライバシーポリシーを必ず見ることが社会的常識か解りませんが)知る機会は保証されるため
      同じ理屈をできないのではないでしょうか?

      親コメント
    • by Anonymous Coward on 2020年02月09日 2時00分 (#3758822)

      ユーザーに許可を取らずにユーザーのPCを金儲けに利用してるんだから充分に邪悪じゃん?

      「コレが違法なら動画広告も違法になる」とかいって擁護してるヤツはアホなのか?
      社会通念が許すものと許さないもののラインってのがあるだろ
      動画広告やクッキー程度ならそれほど怒るやつはおらん

      親コメント
  • by Anonymous Coward on 2020年02月07日 18時29分 (#3758174)

    仮想通貨を掘るなら、閲覧者に掘ってる事を周知して堂々と掘れって判決だな。
    SPAMですらオプトインが求められてる時代なのに、不正指令に対して甘く見すぎだったな・・・

    • by Anonymous Coward on 2020年02月07日 18時41分 (#3758186)

      たとえばスラドにアクセスしたときに動くJSすべてに明示的に同意した覚えあるか?

      親コメント
      • by Anonymous Coward on 2020年02月07日 19時25分 (#3758226)

        「してない」と回答が返ってきたら
        「じゃああれもこれもどれも同意する必要ないじゃん!」とか言い出しそうだな。。。w

        親コメント
        • by Anonymous Coward on 2020年02月07日 21時02分 (#3758290)

          いや、そういう話。

          Web業界がなんも言わず、警察も一切摘発しなかったことで
          「社会通念上、意図しないプログラムはジャンジャン動かして良い」って認識が、
          京都府警をハブった複数県警の先走りと東京高裁の不用意な動きで掻き乱されてるわけ。
          だって東京駅前から500m圏内にあるあらゆる企業があれもこれも動かしてるんだもん。
          今この瞬間も。

          親コメント
      • by Anonymous Coward on 2020年02月07日 23時33分 (#3758399)

        そのJSとやらが、
        ・Webサイトの表示に関係ない用途で
        ・許容できないほど大きな負荷を与える

        のなら問題になるだろうね。

        親コメント
    • by Anonymous Coward on 2020年02月07日 18時51分 (#3758195)

      まぁ、何らかのペナルティはあってもいいかと思っていたが

      「コンピューターウイルスとは使用者のパソコンを破壊したり、情報を盗んだりするプログラムに限定されない。今回のプログラムはウイルスに当たる」

      と、勝手にウィルスを再定義する必要はなかったんじゃないかなぁと思う。

      親コメント
  • by nnnhhh (47970) on 2020年02月07日 20時01分 (#3758254) 日記

    納得できないし他に明確なそういうコメントもないので意見を表明しておこう

    理由の色々はもう過去に書いたのでパス

    • by LARTH (14573) on 2020年02月07日 22時04分 (#3758342) 日記

      そうだね。
      他人のCPUリソースと電気をこっそり頂いて小金稼いだだけだもんな。
      今までに広告業界に吸われたのに比べりゃ軽い軽い。

      親コメント
  • by Anonymous Coward on 2020年02月09日 17時03分 (#3758966)

    Coinhiveで考えるべきは3点だと思ってる。

    (1)そもそもが窃盗罪で起訴しない時点で「ウイルス罪」で裁く意味がない。
    (2)「Web広告」とCoinhiveは何一つシステム的には変わらない
    (3) 無知な人が裁く裁判は「魔女狩り」

    • (1)そもそもが窃盗罪で起訴しない時点で「ウイルス罪」で裁く意味がない。

      この事件に関して、ほとんどの人が有罪だと思ってる理由は、Coinhive(マイニングツール)が仮想通貨を他人のPCで作成して「窃盗」したと思ってるからだろう。

      だが、今回の「ウイルス罪」での立件では「窃盗」が含まれていない。

      「仮想通貨」は有体物ではないので、物(有体物)を取ったという意味の「窃盗」罪に
      当たらない可能性が高いからだろうけど、そこは重要じゃない。

      負けそうだから実質上「別件で逮捕する」というのは間違ってる。
      本質的な罪は「窃盗」なのだから「窃盗」で裁かれるべきだろう。

      これの影響で「不正性」に関して、刑法としてはかなり強引な理由で有罪にしている。
      強引な理由を賛成している理由は、実質上「窃盗」だからだろう。

      ならば「窃盗」したと書くべきだ。そう書かないから、理由があまりに納得がいかない論理になっている。

    • (2) 「Web広告」とCoinhiveは何一つシステム的には変わらない

      システム的に変わらない理由は、上記の「窃盗罪」で起訴しなかったことも理由の一つになる。

      この事件の場合は「窃盗罪」で起訴しなかった。ならば「仮想通貨」は財物といえない
      。「財物」であることを証明した証拠は一つもないからだ。なぜか「財物」であることを「前提」に置いている人が多いようだが。その前提は間違ってる。

      この意味の「財物」とはそれ単体で金になる、という意味だ。その意味でCoinhiveは金にならないので財物ではない。

      そして、「Web広告」とCoinhiveでの一番の違いは、まさに「財物」たる「仮想通貨」を生成することにある。だから表面上の画像が一つもなくても成り立つのだから。

      なので今「仮想通貨」という単語を使ったが、仮想通貨とはその背後に財物である仮定が含まれている。「Web広告」との対比で言うなら、「広告用データ」と呼ぶべきものになる。

      「Web広告」でいう「広告用データ」とは何か。一番多そうな処理はハッシュ関数というものだ。あるユニーク(世界で一つの)データを計算するのに使う。ある広告をだれがいつ見たか、という意味のユニーク性を計算する際に、よく使われる。

      かたやCoinhiveの「広告用データ」は、まさしく「ハッシュ関数」が使われる。

      つまりに「Web広告」の「広告用データ」とCoinhiveの「広告用データ」はコンピュータシステムとしては、ほぼ同じことをするのだ。Coinhiveの仮想通貨を「財物」として定義しない場合、両者はほぼ変わらないものになる。

      よって「Web広告」とCoinhiveとの違いは、「Web広告」とすればどうでもいいHTML側に画像があるか、ないか、ということしかない。

      紙の媒体の「広告」の印象に引っ張られて「Web広告」を同じものとみなしているのだろうが、それは間違ってる。

      例えば、音楽に無知な人はK-POPだろうがヘビメタだろが同じうるさい音に過ぎないだろうが、ジャンルとして明らかに違うのと同じだ。

      「Web広告」の裏側でやってることが、「Web広告」の本当のところであって、HTMLの画像だろうが、動画だろうが、そんなものは「Web広告」のごく一部でしかない。なくても全然「Web広告」だ。

      「Web広告」の範囲は、紙のように「見せる」ことが目的ではなく、いろいろな目的で設定されてる。そして、その目的も内容も「説明しない」。当然何をしているか「よく分からない」

      Coinhiveの目的は仮想通貨だが、「財物」たる「仮想通貨を作ってる」という理由で差異化は出来ない。上記の通り「財物」ではないからだ。いわばCoinhiveは「マイニング」という「よく分からない」ことをしているという扱いになる。

      その意味で「Web広告」もCoinhiveも「良く分からない」という点で何も変わらない。

      システム的に見て、JavaScriptというサンドボックスを使ってる点、HTMLの背後で「説明せずに」「よく分からない」ことをしている点、HTTPサーバ/ブラウザという意味のWebというシステムを使ってる点。どこから見ても「同じシステム」としかいいようがない。

    • (3) 無知な人が裁く裁判は「魔女狩り」

      このままでは、この事件は、全くの無知な人が裁くのは「魔女狩り」をしているのと変わらない。その当時(中世から近代にかけて)の「魔女狩り」に賛成した人達は、今から見れば明らかに知性が足りなかった。

      疫病が流行るのは、衛生管理ができてないからであって、その人が魔女だからではない。
      この問題も同じ欠陥を抱えてる。全くの無知な人がどんなに「冷静」「公平」
      に判断しても、いや、だからこそ盛大に間違ってる。そもそもの立脚点が間違ってるからだ。

      根本的な間違いとしては、「Web広告」とCoinhiveは何一つシステム的には変わらないのを理解できないことだ。その事実を知らないのだから「全くの無知」と言える。はっきり言ってお話にもならない。

      衛生概念を知らない人が、無実な人を「魔女」だと弾劾したように、コンピュータを知らない人が無実な人を弾劾しているようにしか見えない。

    • by Anonymous Coward on 2020年02月09日 22時49分 (#3759111)

      >>(3) 無知な人が裁く裁判は「魔女狩り」

      ここらへんはばっさり省略。京大研究員ACCS不正アクセス事件でも似たような趣旨の事を言っていた。

      おそらくこう言った趣旨の主義主張は「プログラマやIT技術者の考えそうな事だ」と社会的評価が定まりつつあるだろう。

      むしろ、京大研究員ACCS不正アクセス事件や今回の事件で

      『プログラマやIT技術者の、法律的・社会的ガバナンスの弱さ』が一般社会で固定評価されつつあり、それはむしろ彼らにとって『非常に不利な』方向に働き続けるだろうな(★)。

       ★の点は、 特 に 強 く 警告しておくが。

      何度も言う。逃げ場は95%ない。

      親コメント
    • by Anonymous Coward on 2020年02月09日 22時30分 (#3759100)

      >>負けそうだから実質上「別件で逮捕する」というのは間違ってる。

      別件逮捕じゃないよ(ウィキってね)

      >>これの影響で「不正性」に関して、刑法としてはかなり強引な理由で有罪にしている。
      >>強引な理由を賛成している理由は、実質上「窃盗」だからだろう。
      >>ならば「窃盗」したと書くべきだ。そう書かないから、理由があまりに納得がいかない論理になっている。

      ん?だったら、例えば
      『普通のウェブサイトのフリしてJavascriptで閲覧者PC内に存在する機微情報(閲覧者が持ってるパスワードなり個人ファイルなりetc.)を無断で盗み出すコードを送信して実行し、実際に機微情報を無断で盗み出す』
      こう言うのって、明らかに不正指令電磁的記録関連罪が成立するよな?
      (まさかそれも成立しないって人間いないとおもうが)

      だったら同じ論理で
      『普通のウェブサイトのフリしてJavascriptで閲覧者PC内でマイニングスクリプト実行させて仮想通貨データを生成し、そのデータを無断で盗み出すコードを送信して実行し、実際に仮想通貨データを無断で盗み出す』
      こう言うのも明らかに不正指令電磁的記録関連罪が成立するだろ。

      だから結局「無断で盗み出すデータ」がどう言う性質のものかで線引きができるんじゃないかな?

      んで線引きをどこにするかと言えば「一般的なプログラム使用者が、機能を認識しないままプログラムを使用することを許容していないと規範的に評価できる場合」と判決で明記してるから。

      一般的なプログラム使用者が、無断でデータを盗み出す行為に対し、許容していないと規範的に評価できる場合、有罪となる要件の一つを満たす訳だ。(要件の全部じゃないぞ?しつこい人多いけど)。

      つまり「一般的な使用者が許容していないと規範的に評価できる」かどうかの線引きはこうだろう。

      ×…無断でマイニングした仮想通貨データ
      〇…明文で許可を得てマイニングした仮想通貨データ
      ×…閲覧者PC内に存在する機微情報(閲覧者が持ってるパスワードなり個人ファイルなりetc.)を無断で取得
      〇…予め規約上で同意させたその他のブラウザから取得できるデータ(Cookieほか、Chromeで言えば詳細設定→プライバシーとセキュリティ→サイトの設定の各項目にあるようなデータ)

      何度も言うけどさ、「プログラマやIT技術者の考える「同じ」「違う」は社会じゃ通用しない」ってことだよ!

      京大研究員ACCS不正アクセス事件をもういちど1から10まで勉強しなしてくれとしか言いようがない。

      親コメント
typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...