兵庫県警のブラクラ女子中学生補導ニュースを徹底考察

さすらいの匿名ツイッタラー、空色即是(そらいろそくぜ)と申します。突然昨日からITジャーナリストを名乗ることにしました。すぐやめます。(もうやめました)パソコン・スマホを使うすべての人に本記事をお読み頂けたら幸いです。この記事はあくまで個人の見解です。

「一般社団法人日本ハッカー協会」が支援を表明し寄付を募集

※このnoteへのサポートは不要ですので、もしこの記事が何かのお役に立てたのであれば、ぜひ容疑者とされた方々の支援にご協力ください。現金振込だけでなく、ビットコインやモナコインでの寄付も可能なようです。

※容疑者とされた方々は弁護士を雇うこともままならない経済状況のようです。ハッカー協会でも「罰金や裁判以外は支援できない」などの制約があります。「自分に何か出来ることはないか」とお考えの方は、ハッカー協会にコンタクトを取ってみてはいかがでしょうか。

※開始から24時間で合計612名から700万円の寄付が集まり、2019/3/28に募集は終了しております。


事件の概要:2019年3月上旬、ネット掲示板に“不正なプログラム”を書き込んだとして、「不正指令電磁的記録の罪」(供用未遂)の疑いで、兵庫県警サイバー犯罪対策課により愛知県の13歳の女子中学生が家宅捜索ののち補導され、同容疑で別の掲示板を利用していた山口県の39歳男性と鹿児島県の47歳男性2人も家宅捜索と取り調べを受けた。同課は女子生徒を児童相談所に通告し、男性2人は神戸地方検察庁に書類送検され、検察の取り調べを待っている段階である。被害届けは出ておらず、警察が独自に発見し情報開示で個人情報を得て摘発した。摘発された容疑者3名は“不正なプログラム”とされるスクリプトの作成者ではなく、スクリプトが設置されたサイトへのURL(リンク)を掲示板に投稿した容疑である。

女子中学生がリンクを投稿し警察が巡回していた掲示板「ミナコイチャット」

※女子中学生は児童相談所に通告されている。これは多くの人が想像するような一般的な「補導」ではなく、14歳未満で刑事事件を起こしても少年法に問えない「触法少年」であるための措置で、まだ今後児童相談所の判断によっては家庭裁判所の審判を受ける可能性がある。

※各メディアが今回報道で「ブラクラ」という言葉を使っている。ブラクラとは、ブラウザクラッシャーの略で、WEBブラウザやOSの脆弱性・バグを利用して異常を起こさせるもの。今回のJavaScript記述型無限アラートは20年前にブラウザ側で対策されており、現在の基準・環境では異常が回避されるため厳密にはブラクラに当たらない。ジョークサイトに限らずホラー画像などを貼る行為をブラクラと呼称するネット文化もある。このスクリプトによる電子機器への直接的な実害はない。こういった直接的な害がなく人を驚かせるようなプログラムを「ジョークスクリプト」と呼ぶ。広義のマルウェア(悪意のコード)に含まれる可能性はあるが、一般に周知されている「コンピュータ・ウイルス」とは明確に区別されている。

当該スクリプトの概要:サイトを開くとページ内にふざけたアラート(ポップアップ)が表示され、OKボタンを押しても閉じられない。(アラート内に「何回閉じても無駄ですよ」と書かれている)検索する、タブを閉じる、ブラウザを終了する、アプリを閉じる、ホームに戻る等の操作が問題なく使用できる。このジョークスクリプトが設置されたサイトは長年放置されており、今回もサイトの運営者(プログラムの作成者)が摘発された訳ではない。

摘発されたスクリプトの挙動が確認できる動画(imgur)(英語)

兵庫県警サイバー対策課の見解:「いたずらだったことは重々承知しているが、現行法では懲役、もしくは罰金刑になる犯罪」「個人を攻撃する意図があったものではない」「安易に行っている者への警鐘とインターネットモラルの向上を意図していた」

※摘発された3人の他にも、掲示板にジョークサイトのリンクを投稿したユーザーが散見される。2/1~3/18は政府が提唱する「サイバーセキュリティ月間」であったため、摘発しやすい相手を選んだ検挙数の水増しで、PR効果を狙ったのではないかとの批判もある。

ねとらぼに掲載された39歳男性のインタビュー記事

法務委員会での松平議員と警察庁、法務省、法務大臣の質疑応答(00:52:18)


最初に結論から:

1.「不正指令電磁的記録の罪」での摘発は明確な事実誤認であり冤罪

2.国家賠償法上違法に当たらない場合、誤認逮捕は合法であり逮捕手続き自体は適法(今回の場合は書類送検であるので逮捕ではなく摘発)※ただし倫理上の問題から報道機関や市民から糾弾される

3.「不正指令電磁的記録の罪」という法律自体に問題があり、誤認しやすい

4.日本人のITリテラシーの低さを世界に露呈したこと、技術発展を萎縮させる法の運用であったことなどにより社会全体に悪影響を与えた

5.今回摘発された3人のモラル、悪意の有無、ネット文化の是非、予想される間接的な被害などはそもそも罪状が間違っているので、そこを議論するのは論外である


1.「不正指令電磁的記録の罪」での摘発は明確な事実誤認であり冤罪

「不正指令電磁的記録の罪」で想定されている「不正プログラム」とは、「いわゆるコンピュータ・ウイルス」である。これは、参議院法務委員会の付帯決議、法務省、警視庁、警察庁が明示している。

法務省による「不正指令電磁的記録の罪」の解説(PDF)

IPAによるコンピュータ・ウイルスの定義

警視庁による説明

サイバー犯罪に関する条約

コンピュータ・ウイルスの日本政府による公式な定義は、IPAを所管する経済産業省の定める「コンピュータウイルス対策基準」で示されており、今回のJavaScriptコードはその定義に含まれない。本法律制定のキッカケとなった、日本を含む主要国48ヶ国が締約している「サイバー犯罪条約」の定める非常に広範な「サイバー犯罪」の要件にすら抵触しない。広義のマルウェアに含まれるかどうかは議論の余地があるが、今回のスクリプトは悪質性の観点から、恐らくマルウェアの定義にすら含まれない。

法務省の解説では「いわゆるコンピュータ・ウイルスにも様々な種類のものがあるが、一般にトロイの木馬、ワーム、スパイウェアなどと呼ばれるものであっても、前記のように定義される不正指令電磁的記録に当たるのであれば、対象となり得る」と例示列挙されている。Aの定義において、仮にBであっても、CであるならばAとなり得る。つまりCの条件を満たす場合には、例外的にBなどはAと見なされる可能性がある。保護法益であるCの条件を満たすものがすべてAであると書かれている訳ではない。つまりコンピュータ・ウイルス以外で対象となり得る例として、トロイの木馬、ワーム、スパイウェアなどに類似する悪質なマルウェアを適用範囲として示している。今回のスクリプトはサイバーセキュリティ上の観点において、例に挙げられている3点の「など」に同一定義として分類(類似)するプログラムではない。(あえて例えるなら「凶器となり得る武器」として拳銃、ナイフ、日本刀などが例示列挙されており、今回のものはピコピコハンマーである)

「不正」の定義として法務省が示す「社会的に許容し得るものであるか否か」という点においても、サイバーセキュリティ上社会的に許容できない(不正である)と言えるほどの脅威は認められない。 掲示板にURLを投稿したことが「供用(提供)の罪」に問われている点についても疑問を呈する法律家がいる。

故意があったかという点について、今回のジョークスクリプトで唯一ブラクラと呼べる症状が出るのはWindows7+IE11という環境だけであるが、これはソフトウェアのバグが原因であり、男性2人はこれを知らない。つまり本人たちの認識として「不正プログラムによりブラウザをクラッシュさせよう」「意図に反する動作をさせるべき不正な指令を与える電磁的記録を供与しよう」ということは意図するどころか知りようもない。当然ながら保護法益である「社会一般の者の信頼」を害そうとしたかについて「害せるかどうか」がそもそも分からない者に、そんな故意は持てない。さらに今回のジョークスクリプトは保護法益である「信頼」を害さないという見解もある。タブやアプリを閉じる方法が分からない、そもそもそれが何であるか理解できていないのに、そこに信頼などあるだろうか。少なくとも、コンピュータやスマートフォンを信頼するに足る知識を有する社会一般の者は、今回のジョークスクリプトをある程度理解できるため、その信頼が社会レベルで害されることはない。「よく分からないがきっと思った通りに動くだろう」という幻想を信頼とは呼ばない。男性2人にコンピュータやプログラムの知識は皆無である。刑法第38条の「罪を犯す意思がない」「事実を知らなかった」「法律を知らない」すべてに該当する。

Windows7+IE11についはサポート期間中ではあるが、マイクロソフトが公式に旧式のウェブブラウザーInternet Explorer(IE)を使い続けるのは危険だとして、その使用をやめ、最新のブラウザーを使用するよう声明を出している。Windows7+IE11には多くのバグが確認されており、「ウイルスとして用いる意図」がないため「不正指令電磁的記録の罪」にはあたらないが、その責任はマイクロソフトにある。

本法律の「許容」は個人の認識が基準ではないが、実際にスクリプトを確認すれば、自分が許容できないほどの実害を受けるか否かを確認できるだろう。個の集合体が社会であるので、自分が許容できる・できないものにおいて想像だけで社会が許容できるか否かを判断すべきではない。どちらの側に立つにせよ、3年以下の懲役又は50万円以下の罰金という刑事罰に処されるに相当するほどの被害を自分が受けるかどうかを考えて欲しい。今回の件を「許容できる社会」「許容できない社会」どちらが望ましいのかを議論するのは自由だ。

いずれにせよ上で述べたように「不正指令電磁的記録の罪」で司法、立法、行政が想定し公表している「不正プログラム」=「いわゆるコンピュータ・ウイルス」には当たらない。ゆえに事実誤認であり冤罪である。

※「不正指令電磁的記録の罪」という罪に問われ、書類送検を待っている人がいる。「冤罪」は単に無実者が罪に問われることを指す場合もある。不起訴でも「前歴」となる場合があり、略式起訴での罰金刑でも「前科」になる。


2.国家賠償法上違法に当たらない場合、誤認逮捕は合法であり逮捕手続き自体は適法(今回の場合は書類送検であるので逮捕ではなく摘発)※ただし倫理上の問題から報道機関や市民から糾弾される

つまり警察の捜査や摘発に対して今のところ違法性はない。よく話題になる痴漢冤罪事件などの他の冤罪事件も概ね同様である。それはそれでまた別で問題になっている。今回の件は明確な冤罪であり、捜査機関が冤罪であることを頑なに認めず、そして社会や技術発展に与える悪影響が議論の争点である。

容疑者とされた方のインタビュー内容から、不当な取り調べを受けた疑いがあると指摘する法律家もおり、国家賠償請求訴訟に発展する可能性は少なからずある。

冤罪を証明するために上に長々と理屈を書いたが、「不正プログラムを作成する者」「不正プログラムを故意でばらまく者」を取り締まる法律で、ジョークスクリプトを不正プログラムと誤認し、しかもプログラミングの知識のないガラケーユーザーを摘発したこと自体が馬鹿げた冗談のようである。兵庫県警を管轄する警察庁、そして法務省の指導と責任、県警のサイバー犯罪対策課の能力や法律の運用に疑問の声が集まっている。


3.「不正指令電磁的記録の罪」という法律自体に問題があり、誤認しやすい

付帯決議が行われ法務省が長文の詳細な見解を発表しなければならないほど誤認しやすく、濫用される危険があり、現在進行系で社会に悪影響を与えている悪法である。その法務省の解説の内容も非常に曖昧なため多くの誤解を生み、冤罪まで生み出している。

条文だけを読むならば、「正当な理由なくユーザーが意図しない不正な動作をするものはすべて摘発対象」と誤認してしまう内容になっている。何が「正当な理由」で何がなぜ「不正」であるのか、法務省の見解ですら「社会的に許容し得るもの」「一般に認識すべきと考えられる基準」などという曖昧な記述が目立つ。おおよそ人類の論理の集大成であるITに関する法律とは思えない。

これらのことは法律の検討時点ですでに懸念されており、「正当な理由とは何か」「意図に反する動作とは何か」「不正な指令とは何か」などということが議論され、サイバー犯罪の急増で早急に法律が必要であったことから、悪質なサイバー犯罪を取り締まる意義と、対象定義の周知を徹底することで慎重な運用がされるよう留意した。結果はご存知の通りである。以下に法務省の発表を転載する。

「情報処理の高度過当に対処するための刑事法の一部を改正する法律」には,参議院法務委員会において付帯決議が付されており,同法の施行に当たり政府が特段の配慮をすべき事項として,不正指令電磁的記録に関する罪の構成要件の意義を周知徹底することに努めることが掲げられた。

今回の事件やCoinhive(コインハイブ)事件、Wizard Bible事件などで、この時の政府、政治家、有識者、専門家らの懸念が現実のものとなった。そして付帯決議や「いわゆるコンピュータ・ウイルス」というこの法律で最も重要な解釈、公的機関の公式発表・方針・認識・定義が捜査機関の現場で無視されることが常態化している。慎重な運用がされるようどれだけ配慮したとしても、警察が法律を正しく運用しない(できない)となれば、法治国家の崩壊である。

※罪状や詳細は違うが、今回の件以外にWinny事件、Librahack事件、Wizard Bible事件、Coinhive事件と、警察の検挙基準や捜査方法に疑問の声があがる事件が続いている。


4.日本人のITリテラシーの低さを世界に露呈したこと、技術発展を萎縮させる法の運用であったことなどにより社会全体に悪影響を与えた

今回の件で一定のITリテラシーを持つ人は即座に警察を非難した。上で示した通り冤罪の疑いがあり社会全体、そして日本の技術発展への悪影響は計り知れないので当然である。しかしネット上ですらその意見は賛否両論(所感では警察支持の声が多いように見える)という現実がある。

ヤフコメでは当初、警察支持の声が大きな賛同を集めていた

今回使われたJavaScriptというプログラム言語の生みの親であるブレンダン・アイク氏の耳にまで今回の事件、そしてコインハイブ事件の話が届き「無限アラート(JS iloop)は(1997年の)Netscape 4の時に対策済みで害はなく、助けになるならば専門家証人を引き受ける」とツイートしている。

「一定のITリテラシーを持つ人」はこれが警察の間違いであることが分かるので、当然日本よりも平均的なITリテラシーの高い国の人々は日本を「ITリテラシーが低い国」と認識した。現にブレンダン・アイク氏が反応したことでも分かるように、海外でも話題になり日本という国、そして日本人全体が笑い者にされている。※ブレンダン・アイク氏や海外に情報を広めた人に罪はない。非常識なことをすれば笑われるのは当然である。

この件は世界的に著名なITメディア「ZDNet」(英語)でも取り上げられた

笑い者になっているだけならばまだ良い。「日本はITリテラシーが低い」と世界に広まったということは、世界中のクラッカー(IT技術を駆使して危害を加えるハッカー)の耳にも届いた。今回のジョークスクリプトが小石ならば、核兵器クラスの力を持ったクラッカーもいる。子供に小石をぶつけられるのと、核兵器を落とされるのはどちらの被害が大きいか、ITリテラシーの低い人には理解が及ばない。

あえて大げさに脅かしたが、とは言え大きく状況が変わる訳ではない。影響は限定的だろう。そもそも今回の件が知られる前から日本という国はITリテラシーが低いと世界中に周知されていて、クラッカーにとって美味しい狩場になっている。コインチェック事件や個人情報の大量流出、フィッシング詐欺、ワンクリック詐欺などを知っていれば分かるだろう。本来「不正指令電磁的記録の罪」とは、そういった悪質な犯罪行為を取り締まる法律だが、ほとんど摘発できていないのはご存知の通りだ。

つまり今笑い者になったのではなく、元から笑い者で、そのことに多くの人が気づいてなかっただけの話なのだ。笑い者を卒業し尊敬される国になるためには、今回警察を非難した人々に近い水準のITリテラシーをより多くの国民が身につける他はない。

※日本のサイバー攻撃による被害額は年間1兆円を超えるとも言われ、10秒に1人が被害にあっているという統計もある。その犯人のほとんどが摘発されていない。セキュリティ人材不足という問題もある。

JCIC(一般社団法人日本サイバーセキュリティ・イノベーション委員会)発表の「サイバーリスクの数値化モデル」

サイバー攻撃の件数など統計情報

インターネットは一般に広く普及したが、完璧な「安全」「安心」は決して存在しない。それは国や企業の努力が足りないなどということではなく、「犯罪ゼロの世界」と同じく実現不可能で、社会と同等の複雑性を持ったもう一つの新しい世界なのだ。海外の治安の悪い繁華街に、何らその国の常識を持たずに行けば危険なのと同じことだ。日本国内にだって危険な場所は無数に存在する。インターネットを使うからには、それが日本語のサイトであれ、見知らぬ世界を旅するくらいの心構えと準備が必要なのだ。日本を愛するならば、自らの無知を素直に認め、ぜひ今すぐ「ITリテラシー」や「サイバーセキュリティ」「ネットの常識」について検索し調べ学んで欲しい。

さらに今回は警察という公権力が間違いを犯し、まだそれを公に認めていない。上で述べたように今回の法の運用(濫用)を適正としてしまったら、あらゆる無害な技術まで摘発される恐れがあり、新しい技術を取り入れることも開発することも出来ず、今普及している技術ですら使うことがためらわれる。これが有識者や専門家らが指摘している「萎縮」だ。技術者や技術者を目指す若者を萎縮させ技術の発展を阻害してしまっては、日本人は危険にさらされた笑い者の情報弱者のままだろう。今現在、そして未来の国益を損なっていることをご理解頂き、重く受け止めてもらいたい。

※サイバー犯罪の実例やシステムの脆弱性の紹介・共有だけで逮捕につながるという懸念があるため、セキュリティに関する勉強会を自粛する動きも見られる。日本のセキュリティ技術者の人材不足を加速させることになりかねない。

すみだセキュリティ勉強会:勉強会の活動休止のお知らせ


5.今回摘発された3人のモラル、悪意の有無、ネット文化の是非、予想される間接的な被害などはそもそも罪状が間違っているので、そこを議論するのは論外である

「(無知な人が)驚くかもしれない」という想像上の被害者や「コールセンターがパンクする」「ケータイショップに人が殺到する」などの想像上の二次被害、「自分がやられたら腹が立つ」「悪意があって悪質」という感情論ももちろん理解できる。ただ今回問題になっているのは、法の運用を間違えている点であることをご理解頂きたい。その議論は今回の件とは別である。さらに言えば割れ窓理論を持ち出して「こんなイタズラをするヤツは将来犯罪者になる(これを許すと犯罪が増える)」なんて理屈はおおよそ現代人の考えとは思えない。※ちなみに割れ窓理論は専門家の間でも懐疑的に見られている。

ジョークスクリプトが設置されているサイトのURLを、掲示板に貼ることに罪があるかもしれない。しかしそれは決して「不正指令電磁的記録の罪」ではない。法律を誤認して冤罪で子供のイタズラを捕まえている場合ではない。年間1兆円にも及ぶ莫大な金銭的被害を与える犯罪者を逮捕し、ネット上の本物の脅威から国民を守るための法律なのだから。

今回の件は、迷惑行為として何らかの条例で取り締まるべきか、ネット上のマナー違反として啓蒙すべきか、国民のITリテラシーを上げることで本当の脅威から身を守り、ネット上に溢れる冗談を受け流せるようになるべきか、技術発展の観点からある程度のジョークスクリプトを許容するのかは議論の余地がある。その議論をするためにはまず、最も重要な問題を解決してからにして欲しい。今回の事件の本質はそこではない。

冤罪であること、摘発された冤罪被害者がいること、日本人のITリテラシーの低さ、公権力による法の濫用、法律の不備、社会や技術発展に対する悪影響、損なわれる国益について深く考えて欲しい。国益を損なうというのは、政治家も警察官も関係ない。すべての日本人が今、損害を受けているということだ。


あとがき:長文をお読み頂きありがとうございました。徹底的に調べ、目をシパシパさせながら世のため人のために書いたつもりです。可能な限り正確な情報確認を行ったつもりですが、事実誤認があった場合にはツイッターでお知らせください。(ネットに書いてあることは、本記事も含めてまず疑ってかかりましょう)扇動的だったり、過激な表現があった点は心より謝罪します。ただこれも表現の自由です。個人も社会も、秩序と自由のバランスが大事。


警察官の皆様へ:警察官の皆さんが市民の平和と生活を守るため、日々一生懸命働いていることを知っています。尊敬もしています。素晴らしい取り組みをしていることも知っています。ただ今回のように社会に悪影響を与えてしまうような間違いを犯した場合は、偉い方が迅速に内容を把握し、パッと撤回しパッと謝罪した方が現代的で好印象です。「警察の威信」であるとか「抑止力」ももちろん大事ですが、今回の場合はむしろそれを損なうものと思います。応援していますので、頑張ってください。


私的な感想:悪いことをしたら怒られるのは当たり前だけど、やってもいない重い罪で責められるのは違うよね。それが注意じゃなくって、突然警察が来て家中ひっくり返されたり、書類送検するぞって脅されたらこんな恐怖はないよね。しかもそれをみんなが支持してたら僕なら自殺も考える。間違って摘発しちゃった警察も、ニュースを読み間違えてうかつな発言をしちゃった人も、当初はニュースを読み間違えて「書類送検」を「逮捕」だと思ってた僕も、みんなで一緒にごめんなさいしよ?反省しない人が他人に反省なんて求められないよね。間違いを認めてちゃんと謝ろ?


空色即是(そらいろそくぜ) @sorairosokuze

この記事が気に入ったら、サポートをしてみませんか?気軽にクリエイターを支援できます。

216
コメントを投稿するには、 ログイン または 会員登録 をする必要があります。