パスワードを忘れた? アカウント作成
13620239 story
セキュリティ

サイトにCoinhiveを設置していたサイト管理者、不正指令電磁的記録取得・保管罪で摘発される 221

ストーリー by hylom
裁判にして司法の場で争うべきでしょうね 部門より

Webブラウザ上で仮想通貨の採掘を実行させる「Coinhive」を自身の管理するWebサイトに設置していたとあるWeデザイナーが、不正指令電磁的記録取得・保管罪で家宅捜索や取り調べを受け、罰金10万円の略式命令を受けていたことを報告しているITmedia)。

この問題についてはセキュリティ研究家の高木浩光氏がまとめているが、Coinhiveの設置が不正指令電磁的記録取得・保管罪に該当するかどうかは明確ではなく、今回の摘発は不適当である可能性がある。

こういった「Coinhiveの摘発」はこの一件だけではなく、「合同捜査本部があって複数の県警に事件が割り振られており、結構な人数が検挙されているらしい」という話があるようだ。また、ウイルス対策ソフトウェアなどを提供しているメーカーがこういった仮想通貨採掘スクリプトについて過剰に危険だと煽っているとの指摘もある。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 10万の罰金よりこれがきつすぎだろ・・
    これ何か訴えられないんだろうか

  • by uxi (5376) on 2018年06月15日 12時44分 (#3425794)

    動作を意図する主体が誰かという問題があるんですけど、ここを踏み外してもらっては困るんですよね。

    Web の場合その仕組み上、クライアント側で閲覧している人(閲覧者)はサーバー側でサービス提供している人(サービス提供者)に意図する動作を一任する以外に方法がありません。
    つまり、閲覧者が意図している動作は、サービス提供者が意図した動作をすることです。
    この前提がなければ、JavaScript などを用いてクライアント側で動かすコードはすべて不正指令電磁的記録になってしまいます。

    ただし、ローカルファイルの操作をはじめとして、ソフトのインストールなど、無制限に行われては困る動作もあります。
    このため、JavaScript などを web ブラウザ上で動かす当たっては、意図に反する動作を防ぐための制限を設けています。
    つまり、その制限の範囲内であれば、それは意図した動作です。

    セキュリティホールなどを利用して、それらの制限を迂回した場合は、閲覧者の意図した動作に反します。
    XSS なんかはブラウザから与えられた制限の範囲内で動いてますけど、(閲覧者が動作の意図を一任している)サービス提供者の意図した動作に反します。
    Coinhive などをサービス提供者に無断で仕掛けた場合も同様なので、意図した動作に反します。

    サービス提供者は、何らかの規則に反しない限り、サービス提供に必要なスクリプトを自由に設置出来ます。Coinhive もそのようなスクリプトの1つに過ぎません。
    閲覧者に Coinhive の設置を周知する義務があるか否かは今のところルール化されていません。それは他のスクリプトについても同様です。同様にルールが無い中で Coinhive のみ特別扱いして周知せよというのはおかしな話です。

    広告などは閲覧者の意図に動作に反する場合も多いのですが、意図を一任しているサービス提供者の意図なので仕方がありません。Web ページにも運営費は必要ですから、これはギブ・アンド・テイクの問題でもあります。サービス提供者の意図を容認できないならそのページを見ないという自由が閲覧者にはあります。
    サービス提供者が自ら Coinhive を設置した場合も広告と同様です。Coinhive が意図に反するなら、見る見ないは閲覧者の自由です。

    以上のように Coinhive 自体は技術的にも刑法の文言的にも、本来、不正指令電磁的記録になりえません。

    ただし問題をややこしくしているのは、ウイルス対策ソフト各社が https://coinhive.com/lib/coinhive.min.js [coinhive.com] (5d514880ad502302dd4bf0ef8da5d38356385d1c43689f6739f6771ed7a4ef73) を名指しでマルウェア扱いしている点です。
    しかも時系列的に見るとマルウェア扱いしているところが増えてさえいます。
    2018-04-11 12:44:01 UTC [virustotal.com] 30/60
    2018-06-15 00:00:17 UTC [virustotal.com] 33/60

    これを論拠にすると Coinhive は不正指令電磁的記録と言えてしまいます。
    なぜなら、マルウェア判定されるソフトを自分のコンピュータで動作させることは意図した動作に反するからです。
    しかし、そんなこと論拠にされた日には、誤検出でマルウェア扱いされたファイルまで片っ端から不正指令電磁的記録にされてしまいます。しかもウイルス対策ソフト各社はそれを誤検出と認めてくれるとは限りません。

    そもそもの話で言えば、技術的には全くの白である Coinhive のようなスクリプトをマルウェア扱いしている状況は極めて異常です。
    仮に web サイトのハイジャックで不正に設置される事例が多発しているとしても、例えば jQuery をマルウェア扱いはしないでしょう。
    Ad ware と同一視されている可能性もありますが、ローカルにインストールされるならまだしも web 上で動作している限りは、ウイルス対策ソフトが見向きもしない大半の広告と同様に扱われて然るべきです。

    Coinhive のようなソフトは CPU 時間を消費する以外のほとんど実害はありません。
    画面上に無駄な情報を表示しない点に至っては、閲覧者にとって広告よりも望ましくさえあります。
    広告の代替と考えるなら Ad Block と同様にしてブラウザ側でブロックさせればすべては丸く収まることでしょう。

    これを恣意的な判断で違法行為として検挙するようでは、日本に IT 立国としての未来はありません。

    --
    uxi
  • 酷い話だわ
    高木先生頑張って

  • 本日6月14日付で警察庁はマイニングツールに関する注意喚起を行なってますね。
    http://www.npa.go.jp/cyber/policy/180614_2.html [npa.go.jp]

    自身が運営するウェブサイトに設置する場合であっても、マイニングツールを設置していることを閲覧者に対して明示せずにマイニングツールを設置した場合、犯罪になる可能性があります。

    警察は、閲覧者に対して明示せずに行なうマイニングは不正指令電磁的記録取得・保管罪になるとの見解に自信があるようですね。
    実際に裁判所は罪となると判断して略式命令を出したわけですし。
    私自身も、高木浩光氏の見解よりも警察側の見解に分があるように思います。
    今回の略式命令に対して正式裁判を請求するとのことなので、その判決で答合わせでしょうか。

  • by Anonymous Coward on 2018年06月12日 19時08分 (#3423924)

    ちゃんと「当サイトでは広告表示の代用として仮想通貨の採掘(マイニング)のご協力をお願いしております。」と一言ダイアログ表示させてから採掘しろってことか・・・

    • by Anonymous Coward on 2018年06月12日 19時13分 (#3423926)

      それなら広告も重い動画とかswfは「広告表示のご協力をお願いしております」と一言ダイアログ表示させてから表示してほしいが

      親コメント
    • by Anonymous Coward

      出さなかったとしても、負荷にも気を使ってたみたいだし、ほんと重い広告と何が違うんだって気になる。

      • Radeonクラッシャー(Flash動画で60fps再生)な広告とか未だにあるからなぁ。
        GeForceにしてから気にならなくなったが、たぶんこれRadeonだとブラウザ死ぬんだろうなってのが…。

        親コメント
      • by Anonymous Coward

        広告は存在が一目でわかるからねぇ、わからなければ広告じゃないし。
        今回のこれはこっそり隠れてマイニングさせていたのが問題とされているわけで、そんなもん考えるまでもなく違いは瞭然でしょうよ。

        それが法的にどうかはまた別の話。

        • > 広告は存在が一目でわかるからねぇ、わからなければ広告じゃないし。

          見えない広告ってありますよ。インプレッション(表示)数を稼ぐため [exchangewire.jp]とか、検索エンジンの上位に出すため被リンク数を稼ぐためとか(被リンク数は今は効果が低くなった手法だと思いますが)
          当然ばれたら民事的(規約的)に怒られるでしょうが。

          親コメント
        • by Anonymous Coward

          ハッシュのカウンターでも設置すればよかった?

        • by Anonymous Coward

          極端な話、広告を表示していいか、なぜ聞かなくてよいと思うの?

        • by Anonymous Coward

          一目で広告と分からずコンテンツの一つとして誤認するようなスタイルの広告もありますよね。
          考えるまでもなく違いが一目瞭然というのは間違い。

  • by Anonymous Coward on 2018年06月12日 21時27分 (#3424026)

    不正指令電磁的記録に関する罪は詐欺罪に近い犯罪類型なので、
    「他人のPCで、その人が意図しないプログラムを動かす」行為が該当する。
    今回のケースは文理解釈によって当然に該当する。

    高木氏は「不正な」という一言にこだわっているようだけど、高木氏自身が言及しているように、
    これは社会通念によって認められる程度の行為を除外するための文言で(例としてワードプロセッサであるWordに邪魔なイルカが出てくる)、
    この文言の適用範囲をやみくもに拡大するのは条文の趣旨に反している。

    無限ループを出している人がいるけど、嫌がらせの目的で無限ループを実行するプログラムを埋め込む行為は
    当然に構成要件に該当するので、反例になっていない(というか、素朴なマルウェアなのは明らかだろう)。
    単に、可罰的違法性(質的・量的な重要性を勘案して、処罰に値する行為であるかどうか)が阻却される余地があるというだけだ。
    もちろん、バグで意図せず無限ループが実行されてしまうのは犯罪ではない。

    Webサイトを開いて広告が表示されるのは、本人が広告と認識できる以上、犯罪ではない。
    処理の重さをうんぬんするのはミスリードだ。繰り返すが、詐欺罪に近い犯罪類型なので、外観との不一致が本質的だ。
    それが広告のように見え、実際に広告であれば、犯罪ではない。

    しかし、Webサイトを開いたつもりの人のPCで、知らないうちにマイニングが実行されていたら、それは犯罪だ。
    別にあいまいなところは何もなく、高木氏が何を言っているのかよくわからない。

  • by Anonymous Coward on 2018年06月12日 19時16分 (#3423929)

    we are the world!!

  • by Anonymous Coward on 2018年06月12日 19時27分 (#3423935)

    警察も警察ですが、高木先生はブログでトレンドマイクロの社員のメディア発言を問題視されていますね。

    これ業界的に大きな問題になるかも。

  • by Anonymous Coward on 2018年06月12日 20時09分 (#3423955)

    他人のPCを勝手に使うのは法的にNGじゃないのか?
    NGだけどこの法律を適用するのは危険ってこと?

    • 例えば、ウイルスバスターなんて、パターン更新のついでに広告ダウンロードして勝手にセールスしてますが。

      マイクロソフトのIMEも、誤変換の修正操作を人の記録しておいて、「協力してください」の一言の断りだけで「ごちそうさま」してる。

      そんなこと問題なのじゃ無い。

      神奈川県警が、その上の合同捜査本部が何をとち狂ったか、犯罪の動機も具体的な被害者も存在しないフツーの出来事を「犯罪」に仕立て上げたっていうこと。

      これ、冤罪以外の何者?

      --

      “人生の大半の問題はスルーカで解決できる...

      親コメント
    • by Anonymous Coward on 2018年06月12日 20時33分 (#3423974)

      つまりあれだろ、

      「図書館に了解を求めることなく、繰り返しアクセスしたことが問題だ」ってことなんだよ。

      親コメント
  • by Anonymous Coward on 2018年06月12日 20時16分 (#3423958)

    クッキーに許諾が必要なら、これもいるんちゃうか

typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人

読み込み中...