見出し画像

Coinhive事件のすべて

Web制作会社でデザイナーとして働いています。最近話題のCoinhive事件について思うところがあるのでこの記事を書くことにしました。

最高裁で逆転無罪判決

最高裁は2022年1月20日、罰金10万円の支払いを命じた2審・東京高裁判決を破棄し、無罪判決を言い渡しました。裁判官5人全員一致の意見です。
本件は、罰金10万円の略式命令を受けたデザイナーのモロさんが、略式命令を不服とし、横浜地裁に正式裁判を請求した刑事裁判です。
モロさんの裁判は地裁で無罪、高裁で有罪の判決が出て、最高裁に上告していました。

最高裁は、閲覧者のPCに与える影響は軽微で、サイト運営者が閲覧を通じて利益を得る仕組みは情報の流通のため重要だとし、今回のプログラムコードは「社会的に許容し得ないものとはいえず、不正性は認められない」と無罪を言い渡しました。

無罪判決について、警察や官公庁などで情報セキュリティーのアドバイザーなどを務めている立命館大学の上原哲太郎教授は次のようにコメントしています。

今回問われた行為は、ウェブサイトを閲覧させることの対価として行われたもので、それがサイトの閲覧者に非常に小さな影響しか及ぼさず実害が大きくないと判断されたことを考えると、妥当な判決だと思う
https://www3.nhk.or.jp/news/html/20220120/k10013441131000.html

本件について、略式命令に対して正式裁判を請求したのはモロさんだけです。初期に捜査を受けた人たちの中には略式手続だけで罰金刑の処分を受けた人が複数名います。
検察は事件が話題になってからは、世論や学界での議論を受けて起訴を見送っています。モロさんの担当弁護人でもある平野敬氏弁護士に依頼していたモロさん以外の方々は全員不起訴が確定しています。

今回の最高裁の無罪判決は、モロさんの事件について無罪と判断したにとどまるため、既に判決が確定している人たちの処分が変わることはないと考えられます。

Coinhive事件に関しては、Web関係の仕事をしている人を中心に、モロさんを応援する声が広がり、モロさんの裁判を応援する寄付には2日間でのべ1,000人以上から総額1,000万円以上の寄付金が集まりました。
コインハイブが刑事事件として扱われたのは世界中で日本だけです。

最高裁判決について金沢大学の永井善之教授による判例解説が公開されています。

コインハイブ事件における弁護活動

モロさんの弁護人を務められた電羊法律事務所の平野敬弁護士がコインハイブ事件の弁護活動について寄稿記事を公開しています。

また、弁論において弁護人が述べた内容も公開されています。

Coinhive事件について読んでおきたい記事

Coinhiveとは

Coinhive(コインハイブ)はサイト閲覧者のパソコン・スマホでマイニングをしてサイト運営者が収益を得るツールです。

サイト閲覧者がCoinhiveの設置されたサイトを訪れると、サイト閲覧者のパソコン・スマホでマイニングが行われます。マイニングによる報酬はCoinhiveの運営会社とCoinhiveを設置したサイト運営者が得ることになります。

マイニングはJavaScriptという仕組みを使って、サイト閲覧中にのみ行われます。サイトを離れたり、他のタブに切り替えたり、ブラウザを閉じたりするとマイニングは行われません。

2017年9月に登場し、広告に代わる新たな収益化手段として注目されました。

Coinhive事件って何?

Coinhive事件とは、仮想通貨マイニングツール「Coinhive」を自身のサイトに設置したなどの理由により、2018年に全国で21人が不正指令電磁的記録保管容疑などで摘発された事件です。(出典:毎日新聞

多くの方は公判手続を伴わない略式手続で略式命令(罰金数十万円)を受け入れ、正式裁判にはなっていません。

このうち、罰金10万円の略式命令を受けたデザイナーのモロさんが、略式命令を不服とし、横浜地裁に正式裁判を請求しました。

<参考>
読売新聞:他人のPC「借用」仮想通貨計算 ウイルスか合法技術か(Internet Archiveより)

モロさんの裁判結果はどうなったの?

一審(地裁)では無罪判決となりました。二審(高裁)では10万円の罰金刑の逆転有罪判決となりました。現在、弁護人が最高裁に上告しています。(2020年2月25日時点)

一審判決(横浜地裁・無罪):判決全文
二審判決(東京高裁・逆転有罪):判決全文

被告弁護人は平野敬氏と髙井雅秀氏です。検察側は、一審を担当したのは横浜地検検事の髙島麻子氏と青木健剛氏、二審を担当したのは横浜地検次席検事の竹内寛志氏です。

何が問題なの?

警察・検察は、Coinhiveはユーザーの許可を得ずに動作しており、本来、Webサイトの閲覧に必要のないものであるという判断のもと、不正指令電磁的記録に該当するとして摘発、起訴しています。地裁はこの判断を否定して無罪としましたが、高裁はこの判断を肯定して有罪としています。

これに対して、インターネット業界(特に、プログラマーやWebサイト制作に携わる人達)を中心に、警察や検察、高裁の判断はインターネットの技術的な前提や一般的な感覚と大きくズレているのではないかとの批判的な声が上がっています。Coinhive自体には否定的な立場でも、不正指令電磁的記録や刑事罰の対象になるようなものではないという意見も多く見られます。

WebサイトではCoinhive以外にもユーザーの許可を得ずに動作しているプログラムは多数あり(例えば、アクセス解析ツールや広告表示のプログラムなど)、これらは本来Webサイトの閲覧には不要なものであるため、Coinhiveだけが刑事罰の対象になるのは説明がつかないという意見が中心です。

また、法学者やセキュリティ研究者などの有識者からも疑問の声が上がっています。

法学者の鈴木正朝教授(新潟大学法科大学院教授)は、以下のようにコメントしています。

公判では高木浩光氏(国立研究開発法人産業技術総合研究所 情報セキュリティ研究センター 主任研究員、一般財団法人情報法制研究所 理事)が弁護側証人として出廷しました。

モロさんを応援する寄付に1,000万円以上が集まる

Web関係の仕事をしている人を中心に、モロさんを応援する声が広がり、モロさんの裁判費用を助成する寄付には2日間でのべ1,000人以上から1,000万円以上の寄付金が集まりました。

最高裁へ47件の意見書が寄せられる

最高裁への上告にあたり、弁護側が最高裁への意見書を募集しました。企業や官公庁勤務、会社経営者、フリーランスなど、様々な立場のエンジニアから47通の意見書が集まりました。一部の意見書は一般社団法人「日本ハッカー協会」のサイトで公開されています。この他、刑法学者や憲法学者、情報法学者ら研究者からの意見書も合わせて提出される予定です。

意見書では、エンジニアから「多くのインターネット広告と本質的には同じものです。仮想通貨(暗号資産)が与える一部の悪いイメージと混同されるべきではない」、「曖昧な基準による処罰が横行してしまうと、当社も新技術の開発に消極的にならざるを得ず、たいへんな萎縮効果がある」、「もはやIT技術者に限らず一般の方が普段生活のために利用しているほとんどすべてのアプリケーションに影響がある」など有罪判決に懸念する声が多数寄せられた。(出典:弁護士ドットコムニュース

Coinhiveを開発したのは誰?

開発したのはドイツのプログラマーです。その後、企業がサービスを買収し、運営を引き継ぎました。(出典:HOTforSecurity

収益性の問題からCoinhiveは2019年3月にサービスを停止しています。

Coinhiveの収益性は?

収益性は既存の広告よりもかなり低いと言われています。1,000ページビューあたり約1.5円という試算があります(出典:ITmedia NEWS)。別の試算では1,000ページビューあたり約0.4円という結果があります(出典:Qiita)。一般的なWeb広告の収益性は代表的なGoogleAdsenseの場合で1,000ページビューあたり約200円~1,000円程度と言われています。

Coinhiveで電気代は増える?

CoinhiveはCPUを使用するので電気代は増えます。どれくらい増えるのかと言うと、例えば一般的なデスクトップの場合、CPU0%の状態に比べてCPU100%の状態では1分間で電気代が約0.0126円増加します。10分間同じサイトを見続けると、電気代は0.126円増加することになります。1時間では0.756円になります。(計算の前提条件等は下記参照)

<計算の前提条件・計算方法>
・CPU0%に比べてCPU100%の状態で消費電力が28W増えるとする。(参考:ysklog
 ※Coinhiveの入っていないサイトを見ているだけでもCPUはある程度動いているのでこの消費電力は最大値の想定です。
・電気料金を1kWh単価27円で換算すると、1分間の電気代は次のようになる。(1kWh単価27円 → 1W1分で0.00045円)
 電気料金:28W × 27円/1kWh = 0.0126円

Coinhiveの導入に高度な知識は必要?

Coinhiveの導入に高度な知識は不要です。Coinhiveのサイトにユーザー登録をしてコードをコピペでサイトに設置すれば導入完了です。GoogleAnalyticsなどのアクセス解析ツールを設置するのとほぼ同じ手順です。昔よくあった、ブログパーツ(アクセスカウンターとか)にも近いイメージです。ブログやサイトを運営している人ならば、専門知識がなくても簡単に設置できます。

Coinhiveは海外でも使われていた?

Coinhiveは海外発のサービスのため、日本よりも海外で多く使われていました。

国連機関ユニセフのオーストラリア支部がCoinhiveを寄付ページに設置したことで話題になりました。(出典:iTnews

また、ユニセフのフランス支部は、Coinhiveではありませんが、イーサリアムという仮想通貨をマイニングする寄付キャンペーンを展開しました。(出典:ねとらぼ

海外でも事件になっている?

Coinhiveを自分のサイトに設置して刑事事件として扱われているのは日本だけのようです。海外で同様の事例を警察が捜査したという話は聞きません。

類似の事例としては、アメリカのMITの学生が、ビットコインで類似のツールを作り、州の司法当局の調査が入りましたが、EFF(電子フロンティア財団)が仲介に入り和解に至った事案があるそうです。(参考:https://www.iwsec.org/mws/2018/20181024/5_css2018-ethics-panel.pdf

Coinhiveを使っていたのはどんな人たち?

Coinhive自体はおおやけのサービスとして公開されていました。導入も簡単だったため、一般のブログユーザーの間でも試しに使ってみたというケースが多く見られました。今回、罰金刑を受けた人たちの多くも一般的なブログやサイトの運営者だったと想像できます。そのため、警察も簡単な捜査で身元を割り出すことができたはずです。

一方で、ブラック・ハッカーが他人のサイトをハッキングしてCoinhiveを設置して収益を得るという手法も登場しました。Web広告でも同じような手法が使われてきましたが、最近のWeb広告は「ads.txt(アズテキスト)」という仕組みを使っており、ブラック・ハッカーが以前のように他人のサイトに設置しただけで収益を得るのは難しくなっていました。そこで、目をつけられたのが新しく登場したCoinhiveです。これは、他人のサイトをハッキングしている時点で間違いなく犯罪行為です。しかし、今回起訴された人たちの中に、こういった使い方をしている人はいなかったようです。Coinhiveを他人のサイトに設置するようなブラック・ハッカーが起訴されていないのは、ブラック・ハッカーは身元を隠しているので警察が簡単には捜査できないためだと思われます。

Coinhiveはコンピューターウィルス?

多くのセキュリティ対策ソフトではCoinhiveをコンピューターウィルス(マルウェア)としては扱っていません。

例えば、トレンドマイクロ、シマンテック、ESET、AvastはCoinhiveをマルウェアとして扱っていませんでした。

また、NTTコミュニケーションズも最新セキュリティ情報として「Coinhive は、訪問したユーザの CPU を利用して Monero を発掘することで Web サイトを収益化するための JavaScript のコードであり、決して不正な目的のツールではありません。」と明確に述べています。

しかし、ブラックハッカーが他人のサイトをハッキングしてCoinhiveを設置して収益を得るという手法が流行したため、セキュリティ対策ソフトでは「Coinhive」をマルウェアとしてではなく、グレーウェアとして検出してブロックするルールを設けるようになりました。

これはCoinhive自体の動作というよりも、他人のサイトに勝手にCoinhiveを設置するという使われ方に対する対処です。

それでは、肝心の「Coinhive」に対し、実際はどのように対応しているかと言えば、同社によると「マルウェア」ではなく、「グレーツール」と分類しているという。
同社は「Coinhive」について「不正とは言えない目的で作成されたと判明している」としており、「マルウェア」としての検出を否定する回答だった。一方「詐欺サイトによる利用」「広告による配信」「ウェブサイトの改ざん」など、悪用されるケースが多く見られることが、「グレーツール」として取り扱う理由だと述べている。
(出典:「Coinhive」はマルウェアか - ベンダーの意外な対応 - Security NEXT

略式命令って何?

略式手続は非公開の簡易な手続きで罰金を科す刑事手続です。100万円以下の罰金刑にのみ適用されます。略式命令は略式手続で出される命令のことです。略式命令を受け入れた場合、正式裁判が開かれることはなく、罰金を支払うことで刑事手続は終了します。

略式手続は「必ず有罪」になります。略式命令を受け入れるということは、検察官の提示した罰金刑を無条件で受け入れ、裁判で無罪を主張する機会を放棄することになります。

モロさん以外はどうして略式命令を受け入れたの?

日本の刑事裁判の有罪率は極めて高く、約99.9%(出典:LEGALMALL)とも言われています。裁判は多額の費用がかかり、精神的にも大きな苦痛を伴います。最終的な判決が確定するまで数ヶ月から数年の時間がかかります。

略式手続は裁判所への出廷が不要で、裁判で検察官から罪を追及されることも、傍聴席から裁判の様子を観られることもありません。時間や労力がかからず、精神的な負担も少ないです。弁護士費用もかかりません。逮捕・勾留された場合でも、略式請求になると身柄がすぐに解放されます。

そのため、多大な時間と労力をかけて裁判でほとんど可能性のない無罪を主張するよりも、無条件で略式命令を受け入れる人の方が圧倒的に多くなり、日本では略式手続が可能な100万円以下の罰金刑はその多くが略式手続で処理されています。

今回、モロさん以外の人たちが何故略式命令を受け入れたのか、その個別の事情はわかりませんが、一般的にはこのような理由で略式命令を受け入れたと考えられます。

一方で、略式手続は「必ず有罪」になります。略式命令を受け入れるということは、検察官の提示した罰金刑を無条件で受け入れ、裁判で無罪を主張する機会を放棄することになります。

モロさんに悪意はあった?

これは個人的な想像ですが、モロさんはじめ、今回罰金刑を受けた人達はCoinhiveが刑事事件の対象になるようなものだとは、一切考えていなかったと思います。もし、考えていたとしたら匿名性の高い海外サーバーを借りるなど、身元を隠して運営していたはずです。実際に、著作権違反のサイトなど、多くの違法サイトがそのように運営されており、警察はそういったサイトの捜査はほとんどできていません。今回、短期間で多くの人を警察が立件できたのは、そもそも、誰もCoinhiveを悪いものだとは思っておらず、当然、身元を隠していなかったからだと思います。

なぜCoinhiveはダメで広告はいいの?

「不正指令電磁的記録に関する罪」の法律が制定された際、経済産業省が法務省に対して質問したやり取りが残っています。(参考:高木浩光@自宅(テレワークを除く)の日記

この中で、経済産業省は「行動ターゲティング広告システム(いわゆる、一般的なWeb広告)は不正指令電磁的記録に該当するのか」という質問をしています。

これに対して法務省は、当初、「一概に答えるのは困難であるが、該当する可能性がある」という趣旨の回答をしていました。

しかし、この回答を受けた経済産業省は「このような機能を利用者の明示的な承諾なしに提供するサービスは現在も実際に提供されており、それらのサービス提供事業者は、本改正法の施行に先立ち、利用者に対して確認を求めるステップを設ける等の改善策を講じることが必要となる。どのように考えるか。」という旨の質問をしています。

これを受け、法務省は「社会通念上、一般に許容されるものであれば、不正指令電磁的記録作成等の罪には当たらないと考えられる」と回答しています。

つまり、法務省側は当初、ターゲティング広告も不正指令電磁的記録に該当する可能性があると述べていましたが、経済産業省のターゲティング広告はすでに一般的であり、これが不正指令電磁的記録に該当するとなると大きな弊害があるという指摘を受け、法務省は一般に許容されるものであれば問題ないと回答を修正しています。

これって、ちょっとおかしいですよね?

ターゲティング広告はすでに一般に受け入れられているから問題ないという理屈だと、もし、現時点で、ターゲティング広告がなかったとして、これからそういったサービスが登場するとすると、当然、最初は一般には受け入れられていない状態からのスタートになるわけで、ターゲティング広告は不正指令電磁的記録に該当する可能性があるということになってしまいます。

法律施行前に既に一般に広がっていたものはOKで、法律施行後に登場したものはまだ一般に広がっていないからNGというのはちょっと不思議な理屈です。

地裁判決(無罪)に対する識者の批評

地裁の無罪判決に対しては法学者、セキュリティ研究者などの識者から次のような批評が出ています。

永井善之(金沢大学 人間社会研究域 法学系 教授)

少なくとも本件で問題とされたコインハイブの利用については、サイト閲覧者が被る影響の実態からしても本罪の成立が認められるような事案ではなかったと思われる。本判決も認めるごとく、このようなプログラムはサイト運営の新たな財政的基盤を形成しうる新技術でもあり、現時点で賛否両論あるその社会評価も今後の改良や活用を経てさらに形成されてゆくものであろう。本罪が新技術の研究開発を萎縮させることがないよう、その厳格な解釈・適用がようせいされよう。
(出典:TCKローライブラリー「新・判例解説 Watch 刑法 No.145」

上原哲太郎教授(立命館大学 情報理工学部、一般財団法人情報法制研究所理事、京都府警察サイバー犯罪対策テクニカルアドバイザー、和歌山県警察サイバー犯罪対策アドバイザー、滋賀県警察サイバーセキュリティ対策委員会アドバイザー)

また、警察や官公庁などで情報セキュリティーのアドバイザーを務めている立命館大学の上原哲太郎教授は、今回の無罪判決について、「インターネットといういろいろな技術が投入される世界で、賛否両論ある課題に対して、警察が一方的に不正と結論づけることに警告を与える意味のある判決だ」と話しています。
上原教授は「コインハイブ」がウイルスではないと判断した点は特に重要だとしたうえで、「ここ1、2年、ウイルスの解釈を広く取った捜査や摘発が相次いでいたが、今回の判決で、技術者が摘発をおそれて新しいプログラムを試せないなどの技術発展のブレーキにならずに済んだ」と指摘しています。
そのうえで、新しい技術と社会とのあるべき関係について、「被害が出たり、利用に支障を感じたりしたら、誰もが声をあげて議論することが大事で、議論の中で規範や相場観が作られていくべきだ。多くの人は、インターネットのサービスを無料で利用することに慣れていると思うが、そこにはプログラムを書いたり、運営している人がいて、常に試行錯誤が行われているということを理解する必要がある」と話しています。
(出典:NHKニュース - InternetArchiveより

高裁判決(逆転有罪)に対する識者の批評

高裁の有罪判決に対しては法学者、セキュリティ研究者などの識者から次のような批評が出ています。

永井善之教授(金沢大学 人間社会研究域 法学系)

このように考えると、不正性に係る考察につき使用者等の利害等を考慮するという本判決(原判決も)の判断枠組み自体は不適切ではないとしても、本件コードにより実行されるマイニングによる消費電力の増加や処理速度の低下といった(潜在的な者も含む)A閲覧者への影響はサイト上で一般的に用いられるプログラムによる場合と大差ないことに照らせば、本件コードについて不正性を認めた本判決の結論には疑問があるといわざるをえない。
(出典:TCKローライブラリー「新・判例解説 Watch 刑法 No.147」

石井徹哉教授(独立行政法人大学改革支援・学位授与機構 研究開発部)

個人的な感想としては、解釈論としてみた場合、高裁の判断は理論的に一貫したものであるともいえます。
ただし、私見では、不正性はあくまで電子計算機の適正な機能を危殆化するかいなかという点に限定して判断すべきであったのではないかと考えています。
言い換えると、高裁の判断は、社会一般の信頼に重点をおいてプログラム使用の際の安心感を保護することに力点をおいているようにおもわれます。しかし、処罰対象は電子計算機の適正な機能を危殆化するものに限定した方が、より情報セキュリティの確保に資するものと考えます。
弁護側は、JavaScriptにこだわりすぎており、どのように動作するのか、どのように機能するのかが本犯罪で問題となることをあまりにも軽視しているように思われます。168条の2以下の保護法益、罪質等から適切な解釈を展開して事案を評価し、無罪へと導くことが求められると思います。
(出典:弁護士ドットコムニュース

和田宗久教授(早稲田大学 商学部)

今回のケースも、被告のウェブデザイナーさんは、望ましいかそうでないかというレベル、またはマナーやモラル的な観点で言えば、本件において、Yは広告収入の代替手段としてコインハイブを設置していることをウェブサイト上に明示すべきだったたと思うけど、不正指令電磁的記録に関する罪が電子計算機のプログラムに対する「社会一般の者の信頼」を保護法益としていると言われているのに対して、今回の事件では、そもそも、そうした保護法益はYに刑事責任を科さなければならないほど侵害されていないし、仮に何からの規範を設ける必要があるにしても、IT関連の業界に対しては、「業界の自主規制→行政(処分)的な規制とエンフォースメント→刑事責任によるエンフォースメント」って順でやっていくのが新規の技術とかが出てくるのを邪魔しない感じ(こーいう観点はマジで大事だと思う)で、いいんじゃないか??? っていう立場からすると、結論としてやっぱり刑事責任を問うべきではない…
(出典:Wady - note

高木浩光氏(国立研究開発法人産業技術総合研究所 情報セキュリティ研究センター 主任研究員、一般財団法人情報法制研究所 理事)

判決ではその理由が色々述べられていましたが、ちょっとでも賛否両論があったら、否定にはたらくというのは驚きました。最高裁で否定されるべきポイントはここだと思います。
ちょっとでも批判があれば犯罪ということを意味するのでしょうか。例えば、トラッキングクッキーでターゲティング広告のためにウェブ閲覧履歴を盗んでいる人は、全員有罪になってしまいます。
私の意見としては、賛否両論があるプログラムについて犯罪とする趣旨の立法ではなく、あくまでウイルスを対象としていたと思います。ほとんどの人にとって汚らわしいようなもの、社会的に迷惑なものを対象とした立法です。
(出典:弁護士ドットコムニュース

岡部天俊氏(北海道大学 法学研究科 特別研究員)

控訴審判決の検討は他日を期するほかないが、少なくとも同判決においては、不正指令電磁的記録関連罪の趣旨や、当該プログラムを不正指令電磁的記録とすることによりプログラムの開発者や利用者に対し過度に委縮効果を与えかねないということが十分に踏まえられていないように思われる。最高裁においてはこれらを十分に踏まえた検討がなされることに期待したい。
(出典:北大法学論集 第70巻 第6号

Coinhive事件に関連する主な出来事

Coinhive事件に関連する主な出来事を時系列でまとめました。

2017年9月下旬:モロさんがCoinhiveを導入

モロさんが自身で運営するサイトにCoinhiveを導入しました。ウェブメディアでCoinhiveを紹介する記事を読んだのがきっかけだったようです。約1カ月ほどの設置で収益は当時の日本円のレートで約800〜900円程度。少額のため、結局、お金は受け取っていないそうです。

2018年2月上旬:モロさん家宅捜索を受ける

モロさんが自身のブログにCoinhive導入の経緯、家宅捜索を受けた話をまとめて記事にしています。

2月1日~3月18日は警察のサイバーセキュリティ月間にあたります。全国で起訴された他の方々も、多くはこの時期に警察の家宅捜査を受けたようです。

2018年4月上旬:略式命令を不服として正式裁判を請求

モロさんが略式命令を不服として、正式裁判を請求しました。こちらの記事では、正式裁判を決意した経緯がまとめられています。

略式命令を受け入れず、正式裁判を決意した背景には奥様の励ましもあったようです。結婚式の前週に約10時間拘束の家宅捜索を受けたそうです。

2018年6月:全国一斉検挙

神奈川を中心とした10県警で作る合同捜査本部が16人を逮捕・書類送検したと発表しました。(出典:産経新聞)モロさんをはじめ、いずれも自身が運営するウェブサイトにCoinhiveを設置していたそうです。最終的には21人が検挙されました。モロさんのことが話題になってからは、新しい捜査は行われていないようで、検挙数は増えていません。

2018年6月:マイニングツールについて注意喚起

警察庁はウェブサイトへのマイニングツール設置が違法になる可能性があるとする注意喚起を行いました。

公的機関からマイニングツールが違法になる可能性があるとする情報が発信されたのは、この時が初めてです。

2018年12月:公判前整理手続

正式裁判前に、裁判における争点を整理する公判前整理手続が6回開かれました。「罰金10万円の事件で、何回もの公判前整理手続きが行われること自体が極めて異例だ」そうです。

2019年3月8日:Coinhiveサービス終了

Coinhiveが仮想通貨価格の下落を受けて、「18カ月間、プロジェクトに取り組んできたが、もはや経済的に継続困難な状況だ」との声明を出し、サービスを終了しました。

2019年4月1日:神奈川県警にサイバーセキュリティ対策本部が発足

組織改正で神奈川県警にサイバーセキュリティ対策本部が新設されました。併せて、神奈川県警の生活安全部「サイバー犯罪対策課」は「サイバー犯罪捜査課」に改称され、事件捜査が主任務となりました。2018年に全国の警察が摘発したサイバー犯罪9,040件のうち、神奈川県警の摘発は全国最多の1,278件という実績を携えての組織昇格です。

2019年4月:裁判費用助成の寄付に1,000万円

技術者の活躍を支援する一般社団法人日本ハッカー協会がCoinhive事件の裁判費用助成のための寄付を募り、2日間で1,000万円以上が集まりました。最終的な寄付金額は11,405,944円、寄付者数はのべ1,044名となりました。

2019年1月:横浜地裁で公判

横浜地裁で正式裁判がスタートしました。

第2回公判ではセキュリティ専門家の高木浩光氏(国立研究開発法人産業技術総合研究所 情報セキュリティ研究センター 主任研究員、一般財団法人情報法制研究所 理事)が弁護側証人として出廷しました。

2019年3月27日:無罪判決(横浜地裁)

横浜地裁は無罪を言い渡しました。

一審判決(横浜地裁・無罪):判決全文

2019年4月:検察が控訴

検察が東京高等裁判所に控訴しました。

2020年2月7日:逆転有罪判決(東京高裁)

東京高裁は無罪とした一審・横浜地裁判決を破棄し、罰金10万円の有罪としました。

二審判決(東京高裁・有罪):判決全文

2021年6月:弁護団が最高裁に上告

弁護団は東京高裁の有罪判決を不服として上告しました。最高裁への上告にあたり、弁護側が最高裁への意見書を募集しました。企業や官公庁勤務、会社経営者、フリーランスなど、様々な立場のエンジニアから47通の意見書が集まりました。一部の意見書は一般社団法人「日本ハッカー協会」のサイトで公開されています。この他、刑法学者や憲法学者、情報法学者ら研究者からの意見書7通も合わせて提出される予定です。

2021年12月9日:上告審弁論(最高裁第一小法廷)

上告審弁論が最高裁第一小法廷(山口厚裁判長)で開かれました。最高裁は二審の判断を変更する場合に弁論を開くことが多いため、逆転有罪判決を言い渡した二審・東京高裁判決が見直される可能性があります。

2021年1月20日:無罪判決(最高裁第一小法廷)

最高裁は2022年1月20日、罰金10万円の支払いを命じた2審・東京高裁判決を破棄し、無罪判決を言い渡しました。裁判官5人全員一致の意見です。

最高裁第一小法廷(破棄自判/無罪判決):判決全文

私の考え

簡単に言ってしまうと、「Coinhiveは好きじゃないけれど、刑事罰になるようなものではないでしょ」と言うのが素直な意見です。

Web広告はうざいから好きじゃないけど、だからといって刑事罰の対象にはなりません。中には広告ばかりのサイトやあえて誤クリクを誘導するようなサイトもあります。動画広告が勝手に流れてパケットまで大量に消費するサイトもあります。パケットを消費する勝手に流れる動画広告などは全国紙のニュースサイトなどでもよく見られます。Coinhiveなんかよりもそちらの方がよほど悪質だと思います。そういったサイトに比べればCoinhiveの方がずっと健全だと思います。

はじめに述べておきますが、私はCoinhive反対派です。正確には、非推奨派です。面白い仕組みだとは思いますが、自分のサイトに導入しようとは思いません。ただ、他の人が試しに使ってみるというのは、それはそれでありだと思います。今のネット社会はそういった試行錯誤を無数に積み重ねることで出来てきたものだからです。

もちろん、悪質なものはダメですが、Coinhiveが現在普通に使われている広告やアクセス解析ツールに比べて特別悪質なものだとは思いません。それなのに、新しく登場したCoinhiveだけが、ある日突然、刑事事件として立件され、モロさんをはじめとした全国のブログやサイトの運営者が罰金刑を受けたことには、正直、衝撃を受けました。中には未成年の方もいたようです。ほとんどの人がそれまで犯罪とは無縁の生活を送っていた普通の人だったはずです。それが、ある日突然、前科者になってしまうのです。

私もモロさんと同じく、Web制作業界でデザイナーとして働いています。私自身はエンジニアではないので積極的にコードを書くことは少ないですが、それでも、Webサイトがどのような仕組みで動いているのかは理解しています。そして、現在、多くのWebサイトにはサイト運営者のための様々なツールが設定されています。代表的なものではアクセス解析、広告のためのクッキーやそれを分析するコードなどです。これらはサイトを運営、維持、改善していくために必要なものではありますが、ユーザーがWebを閲覧するためには本来、必要のないものです。また、ユーザーの直接の利益にはなりません。かつ、ユーザーのパソコンのリソースを消費して動作します。高裁判決をそのまま当てはめると、これらも違法になってしまいます。私にはこういったインターネットで広く使われているアクセス解析やターゲティング広告の仕組みと、Coinhiveにどのような違いがあるのか、明確な差があるとは思えません。むしろ、仕組みとしてはほとんど同じものだと思います。確かに、Coinhiveの方がサイト運営者に直接的な利益をもたらすため、それを感覚的に嫌だと感じる点は理解できます。だからといって、他の様々なツールと明確な区別ができないCoinhiveだけを違法とするのは無理があると思います。

また、個人的に衝撃だったのはJavaScriptで作られ、おおやけに公開されているプログラムが違法になったということです。JavaScriptはブラウザ上で動作するプログラム言語で、ほぼ100%のWEBサイトで利用されています。今どき、JavaScriptが使われていないWEBサイトなんてまず見かけません。当然、警察や裁判所のサイトでも使われています。そして、色々なサイトで使われるものであるからこそ、JavaScriptはとても安全に作られています。CoinhiveもJavaScriptで一般的にできることを組み合わせて作られただけのサービスです。JavaScriptの脆弱性をついたコンピューターウィルスのようなものではありません。そして、Coinhiveのサービスは一般に公開されており、IT系のネットニュースなどでも広告に代わる新しいサービスとして紹介されていました。Coinhiveの導入手順は、昔のブログパーツ(アクセスカウンター)を導入するのと同じような仕組みで、誰でも、簡単にできるものです。実際に、一般のブログユーザーの間でもそれなりに流行していたようで、私自身も購読しているブログで「Coinhiveを導入してみた」というような記事をいくつか見かけました。モロさん以外にも多数の方が捜査を受けたようですが、ほとんどの人がまさか刑事罰の対象になるとは夢にも思っていなかったのではないでしょうか。もちろん、法律を知らなくても、ダメなものはダメです。しかし、Coinhiveについては賛否両論ありましたが、否定的な立場の人でさえ、刑事罰の対象になるようなものだとは考えていなかったのではないでしょうか。一般的にとても安全だと考えられているJavaScriptで作られたサービスであり、賛否両論あるもののIT系のネットニュースなどで広告に代わる可能性のある新しいツールとして紹介されており、しかも、誰でも簡単に導入できるサービス。面白そうだなと思って試しに導入してみた人たちはたくさんいたはずです。そして、そんな大勢の中から、一部の人たちだけがたまたま警察の捜査対象となり、略式裁判で罰金刑になる。正直、こんな状況では、安心してWeb制作業界で働いていくことができません。

最後に、「Coinhiveが広まったら、あちこちのサイトにアクセスする度に電力やパソコンのリソースが消費される。だから、Coinhiveは社会悪だ。それを防止するためには刑事罰も妥当だ。」みたいな論法をよく見かけますが、そもそもCoinhiveは当時、そこまで広く利用されていません。一部のユーザーが試験的に導入していたという程度です。「もしこうなったら困るから~」という仮定の話で刑事罰の対象とするのは行き過ぎではないかと思います。確かに私もCoinhiveがあちこちのサイトに導入されていたらそれはそれでどうかと思いますが、それを規制する必要があるのなら、必要なタイミングで新しい法規制を設けて明確に規制すべきです。悪意がなく、実害がほぼゼロの実験的な取り組みが社会悪という理由で処罰されるのは行き過ぎだと思います。

Coinhiveを自分のサイトに設置した人が刑事罰を受けたのは日本だけのようです。そもそも、海外では警察が捜査したという話さえ聞きません。ネット社会の常識と日本の司法・警察には大きなズレがあるように思えてなりません。

日本では他にもIT関連の珍事件として、Winny事件(高裁・最高裁で無罪)やライブラハック事件(不起訴)、パソコン遠隔操作事件(4人を誤認逮捕)、アラートループ事件(不起訴)が起こっています。いずれも、Web業界に携わる者としては、「えっ?警察はそもそも何でこれが犯罪にあたると考えたの?」と不思議でなりません。特に、一般的なクロールプログラムを違法としたライブラハック事件、ジョークプログラムを違法としたアラートループ事件は常識的に考えてあり得ないと思います。パソコン遠隔操作事件の誤認逮捕は完全な技術不足です。

<参考>
・アラートループ事件:「いたずらURL貼って補導」がIT業界の萎縮をまねく理由 - ITmedia
・ライブラハック事件(岡崎市立中央図書館事件):「岡崎市立中央図書館事件 - Wikipedia
・Winny事件:「日本が失った天才、金子勇の光と影 - WIRED.jp
・パソコン遠隔操作事件:「パソコン遠隔操作事件 - FSS.jp

世界でも類を見ない珍事件ばかりです。警察や検察の情報技術についての常識感覚の欠如、技術不足は甚だしいと思います。

確かに、インターネットの世界には違法サイトも無数に存在します。個人的には、ものづくりに携わる人間として、漫画やアニメなどのコンテンツを転載している著作権違反のサイトは特に許せません。警察にはぜひ、そういった、明らかに悪質なサイトを取り締まって欲しいと思います。

ですが、そういった悪質なサイトは匿名性の高い海外サーバーで運用されているため、警察は身元を突き止めることができません。一方、今回のCoinhiveなどは一般の人たちが使っていたので、簡単に身元を特定できたはずです。

今回、モロさんをはじめ検挙された多くの方が家宅捜索を受けた2月は警察のサイバーセキュリティ月間に当たるそうです。また、神奈川県警は今回の捜査にあたり10県警で作る合同捜査本部を立ち上げています。そして、翌年の4月には、組織改正で神奈川県警にサイバーセキュリティ対策本部が新設されました。併せて、神奈川県警の生活安全部「サイバー犯罪対策課」は「サイバー犯罪捜査課」に改称され、事件捜査が主任務となりました。2018年に全国の警察が摘発したサイバー犯罪9,040件のうち、神奈川県警の摘発は全国最多の1,278件という実績を携えての組織昇格です。(参考:神奈川新聞

陰謀論とかは好きじゃないので、実績作りのための合同捜査本部立ち上げ、数字稼ぎのための大量検挙、というのは言いすぎですが、ちょっとタイミングがいいような気もします。

その他ネット上の意見

<岩永利彦弁護士>
なので,当罰性は低く,裁判例から考えると,こんなので,検挙すんの!ってことになると思います。
とは言え,上記のコンメンタールのことを考えると,ちょっとまずいわけです。
規範的というのは,どういうことかと言いますと,早い話,それは裁判官の胸先三寸で決まる,ということです。当否はともかくも,日本の刑事裁判では起訴されたらほぼ100%有罪ですから,裁判官の胸先三寸がコンメンタール的に判断する可能性は極めて高いと思いますよ。
(出典:ちょっとまずい状況になってきた~コインハイブ(coinhive)の件 - 理系弁護土の何でもノート
<なぜCoinhive事件でプログラマが怒っているかを一般向けに解説したい。>
まとめると
プログラマが怒っているのは、
Coinhiveと広告は同じものなのに片方だけウイルスはおかしい。
・Coinhiveは別に悪いことをしているわけでもない。そこらの「ウイルス」とは全然異なっている。
・新しい技術はみんなの知らないものなのに、それを「人々の意図に反するもの=ウイルス」というのはひどい。
ということ。みなさんに伝わったでしょうか...? おかしい。と怒っていただけたら嬉しいです。
(出典:なぜCoinhive事件でプログラマが怒っているかを一般向けに解説したい。 - かもブログ

いいなと思ったら応援しよう!