違法性の境界を考える3つの事例

　本題に入る前にいくつか前提を明確にしておく。

　「コインハイブ」とは、Webサイトの広告モデルの代わりとして考案された、仮想通貨のマイニングスクリプト（とそれを提供するサービス）。サイト運営者は、自サイトにマイニングスクリプトを埋め込むと閲覧者のWebブラウザ（PC）を利用してマイニングを行い、広告に代わる収入を得ることができる。運営者は、マイニングについて告知するのがマナーだが無断でマイニングさせることもできる。広告は無断でWebブラウザに表示されるし、ページの内部では機能提供のため閲覧者が認識しないスクリプトなどが動いているので、告知はサイト運営者に任されている。

　しかし、2018年初頭、閲覧者に無断でコインハイブを起動させていたWebサイトが、いわゆるウイルス作成罪（刑法168条の2、同条の3）に触れるとして、10県警によって16人が逮捕・起訴された。このとき広告や正規スクリプトとの違い、逮捕の根拠と正当性が問われた。

関連記事

　デンソーウェーブがアララとともに開発したQRコード読み取りアプリが、利用許諾などに明確な記述のない端末情報を読み取っていたと問題になった。ネット上で炎上状態となり、デンソーウェーブは当該アプリから位置情報の収集を中止した。デンソーはQRコードの開発主体でもある。当初はリーダーハードウェアのビジネスを考えていたが、アプリの普及などビジネス環境の変化から、コード作成とリーダーアプリを無料公開しつつ、データ収集と利用スキームを埋め込んだが、収集データや利用方法の告知が明確ではなく、炎上した形だ。

　トレンドマイクロのスマホ向けウイルス対策ソフトが、アップルの公式アプリショップApp Storeからダウンロードできなくなった。トレンドマイクロのセキュリティアプリに、アプリをインストールする直前の24時間以内のWebブラウザ履歴を一度だけ取得する機能が見つかり、アップルがトレンドマイクロのアンチウイルスなどを検索不能、ダウンロード不可とした。トレンドマイクロは指摘された機能を削除し、アップルと調整中としている。

サイバー空間では違法行為が定義しにくい

　以上の問題は、それぞれ背景も異なるので同列に語ることはできないが、ネット上のふるまいやビジネス、研究、新しい取り組みについて、どこまでが許容されるのか、どこからが違法になるのか、という問題を改めて提起したという共通点がある。

　サイバー空間において、違法かどうかの境界は非常にあいまいだ。たとえば、デバッグのためのツールとリバースエンジニアリングツールの間に技術的な違いはない。便利なリモート操作機能と遠隔操作マルウェアも同様だ。トラフィックモニタリングとネットワークの盗聴の違いは目的だけだ。

　コインハイブ問題では、適用された「ウイルス供用・保管罪（刑法168条の2、同条の3）」が問題となった。望まない広告や明示されないスクリプト（内部処理）が合法で、消費するPCリソースは動画広告の比ではなく、収入もアフィリエイト広告以下ともいわれる無断マイニングが違法となる基準は何か、さかんに議論された。

　議論のひとつの基準になったのは、その行為や機能が「一般に認識すべきものであるかどうか」という点だ。しかし、セキュリティの専門家の多くは何が一般に認識すべきものかが明確でないとして、この基準には納得していない。

　ただし、警察が無断マイニングを既存の広告やWebサイトの機能を違うものだと判断した基準を考察することは可能だ。

　コインハイブ問題について、筆者が考察した、警察がこれを違法と判断した考え方のポイントを紹介する。ただし、警察や検察の公式見解というわけではなく、また解釈の仕方、根拠の可能性を示すに過ぎないことはお断りしておく。

　では、具体的に筆者の見解をまとめてみよう。

【次ページ】コインハイブで示されたひとつの基準