もっと身近にセキュリティ

Coinhive事件はどこへ向かうか

今月、インターネットのセキュリティ関係者界隈はCoinhiveの話題でもちきりだったと言ってもよいでしょう。
経緯などについてはニュースサイトにまとまっていますので、そちらを参照ください。

CoinhiveはWebサイトに設置するJavaScriptで、閲覧者がサイトにアクセスした際に実行され(JSなので当たり前ですが)、閲覧者のCPUリソースを使って仮想通貨のマイニングを行うというものです。
これを設置・利用しているサイトの管理者に対して、今年に入ってから家宅捜索が行われ、書類送検されたり逮捕される人が複数出ていることが話題になっています。

警察がここまで全国規模での立件に動いている動機は現在のところ明確になっていませんが、不正指令電磁的記録供用や保管容疑での立件という点に鑑みると、Coinhiveをウィルスとして扱うことによる、いわゆる「ウィルス作成罪」で動いているというのが建前のようです。
それでいて警察庁は「閲覧者に明示せずに設置した場合、犯罪になる可能性があります」とアナウンスをしており、「じゃあ明示をすればいいのか」というツッコミの余地を残している部分も炎上に拍車をかけています。

一方でCoinhive自体は「広告に変わるWebサイトの新たな収益モデル」「仮想通貨の新しい可能性」という意見もあり、その評価は分かれていることも実情です。
それでいてほとんど儲からないという声も上がっており、総合的な評価は微妙なところなのかもしれません。また、社会的にも技術的にも実験中というのが正直なところではないかと思います。

一部の逮捕者は正式裁判にまで行っているようなのですが、最終的な司法の判断が出るにはもう少し先になりそうです。ただ仮に(その可能性は大いにあるように思いますが)無罪判決が出るような結果になった場合、警察としての落とし前はどうなるのか気になります。

問題の論点を整理すると、そもそも「Coinhiveはウィルスなのか?」がスタート地点ではあります。
一部のセキュリティベンダーがウィルス扱いしていることも事実ではありますが、他の本物のウィルスに比べてそこまで悪意のある挙動をしているわけではなく、ベンダーに対する否定的な見解も多く存在します。
それを踏まえて「CoinhiveをWebサイトに設置することがウィルス作成罪の構成要件を満たしているのか」が次の議論でしょうか。

第168条の2では「正当な理由がないのに、人の電子計算機における実行の用に供する目的で(略)電磁的記録その他の記録を作成し、又は提供」することが罪になると規定されています。
またその定義として「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」とされています。
確かにWebサイトの閲覧者(の端末)に対して「その意図に反する動作をさせる」プログラムと言えなくはないのですが、それ以外も含めたJavaScript等に対して閲覧者の意図や、はたまた同意があるのかと言えば否でしょう。
また法律は得てして最新の技術についていけないということが往々にしてありますが、今回のような立件・運用が想定されていたのかどうかも、罪刑法定主義の観点から重要になるようにも思います。
加えて「仮想通貨のマイニング」をさせてサイト管理者が利益を得るという点が悪者にされている印象を受けますが、例えばWorld Community GridやSETI@homeのような公益性のある分散コンピューティングだったらどうなのかというのも興味深いところではないかと思います。

Web系のメディア以外では取り上げ方が小さいことも気にはなりますが、いずれにせよ今後のWeb業界に大きな影響を与える判例が生まれる可能性があり、今後の展開に目が離せません。現段階ではWebサイト上のJavaScriptに対して、ウィルス作成罪の観点からセーフ・アウトの線引が不明確なところだけでも明らかにして欲しいものです。