■ - hoshikuzu | star_dust の書斎

■個人情報漏洩の幇助未遂

個人情報漏洩幇助未遂

個人情報を盗み出すことを禁止する法律の策定・運用開始に向けて急ピッチで準備が進んでいるようです。個人情報が電子情報だけを対象にしているわけではないだろうなぁとも思います。個人情報の盗み出しを明確に規定し処罰する法律は必要だと思っています。

先頃Winnyの開発者が著作権がらみの幇助の容疑で逮捕されました。この件で司法が幇助という刀を抜いたことに違和感を強く感じますが法律的には恐らくそれほど強引ではないといった見方もあるようです。インターネットの成熟と法律との間に乖離がありますので違和感は確かに拭えないのですけれど。Winnyの件は別角度から考えて見たいということもあり別記することとします。ここでは幇助という刀が抜かれたということに力点をおいてあれこれ考えて見ます。

仮に、個人情報の盗難について法律で既にしっかり決まったいたとしましょう。この仮定において幇助とはなんぞや、ということを考えて見たいのです。私の場合は泥棒はしませんが、個人情報漏洩幇助未遂について考えて見るのです。

具体例

仮定の上での具体例ですが。昨日の日記で私はOperaのアドレスバーの偽装についてごく簡単に書いています。実は、詳細なレポートを１度は昨日の日記で書きまして公開しています。数時間ぐらい公開してましたのでご覧になった方はいらっしゃるかもしれません。その後思いなおして記事は削除し簡単なものに置き換えています。

詳細なレポートは、具体的にどのようにOperaのアドレスバーの表示が偽装されるのかを誰でも検証できるようにとHTMLをまるごと書き下したものです。私は日経BP社のIT Proの報道を見て５分後にはアドレスバーの偽装の再現に成功していました。一から作ったわけではありません。元ネタがあったのです。昨日の段階で同脆弱性についての一次情報はSecuniaさんのアドバイザリーでした。IT Proの報道の参考記事に書かれていたのですぐに追いかけました。そして、Secuniaにはコードレベルのexploitは書いてありませんでした。meta要素でリダイレクトするとその時点でアドレスバーが書き換わってしまうこと、onunloadでリダイレクトを無効にするとアドレスバーだけが先走って変わったままで実際のページの内容は元のママだということ。そのことがIT Proの日本語記事とSecuniaの英文アドバイザリーから読み取れたことの全てです。技術力がある人ならば即時に内容を再現できることでしょう。しかし私には実力がありません。それでも５分後にはソースをひねり出し再現テストに成功しています。それは何故か。

私はセキュリティー系のMLやらは加入してませんしBUGTRAQの記事も追いかけていません。だいたい読んでもわかりませんし。でも、さきのSecuniaさんのアドバイザリーを見ているうちに既視感を覚えたのです。あれぇ？これってあれじゃん。Operaの脆弱性のお話しのはずなのですが同じ話しをIEでつい最近見た覚えがあるのです。自分の記憶を頼りに某日本語のセキュリティー系ニュースサイトを確認。そこからBUGTRAQの記事を確認。そこにはIE用の具体的なソースコードのexploitが書いてありました。このIEの記事は国内ではあまり注目されていないので不思議には思っていたのです。そういうわけで、既視感があったのですね。あ、補足します。IEの場合にはアドレスバーの偽装の話ではありません。ステータスバーの鍵マークのお話しですが私の環境では再現しなかったものです。さて、というわけで、コピー＆ペイストしてHTMLファイルを作成しOperaで動作確認し、ＯＫ。この日記においてそのソースを書き下しておいたのです。

あわせて対策はOpera7.50にアップグレードで良いからただちにダウンロードしましょう、みたいなことを書きましたね。危険性と対策の同時告知っていうスタイルです。で、しばらくお出かけして帰ってきてあらためてIT Proの記事を見たらOperaの最新版って日本語バージョン出てないことに気がついて真っ青になったのです。駄目じゃん。ということ。

フィッシング詐欺に使われる手法を具体的に書き下していてしかも対策がないとして、それってどうなんでしょ。仮にですよ、個人情報保護法なるものが施行されていて運用されていてですね、Operaのこの脆弱性を使ったフィッシング詐欺が行われてクレジットカード情報が盗まれて即刻犯人が捕まったとしましょう。で、その犯人が自白するわけです。スターダストの書斎とかいうはてなの日記でやりかたを覚えたと。その瞬間、私は幇助の罪をおかしていたことになるのでしょうか。

幇助？

つまらない幇助の具体例ですみません。でもありそうな話なんです。私がいくら善意で日記を書いていても法で言うところの形式的においては幇助になってしまいますか？

私は昨日の日記で個人情報漏洩の幇助未遂を行っていたのでしょうか？

おそらく個人情報保護法案はやはり形式のみで犯罪を定義することでしょうねぇ。。。そうなるとexploitを具体的に書いてしまうと幇助になりかねません。これは大変なことなんです。それどころか、あるサイトなりプロダクトに（具体的なexploit抜きで）脆弱性があったこと、そして、それらは未修正であるかまたは修正済みである、などの情報を公に知らしめることすら幇助です。これは大変なことなんです。サイトに脆弱性があったことそしてキチンとなおしたということを正確に具体的に公にし、それらの情報を社会的に共有化することで日本全体のセキュリティー強度は上がる事でしょう。他人のフリ見て我が身を正す風土が大事です。利用者は、脆弱性があったことに驚かず、むしろ反対に、きちんと公にしてきちんと素早く対処しているサイトなりプロダクトなりを選んで行く風土が大事です。その反対に何もかも陰に隠すならば、セキュリティー強度はどんどん下がるでしょう。なにしろ何も処置を行わなくても誰にもわからないのですから。放置していても平気みたいな風土がますます加速していく。そのうちに三菱のタイヤみたいに全部捏造すらするようになる。たとえば病院で使われる機械にワームが巣食っても誰も対処できなくなるのです。

善意の脆弱性指摘者は暗黒の風土のもとでは何もしなくなるか、もしくは地下で耐えるようになるのでしょうか。幇助の罪というのは運用で逃げられるようなシロモノではなさそうですので、早晩、暗黒時代が来てしまうかもしれません。

■ハンドルネームあるいは匿名ということ

匿名禁止の時代がやってくる。ヤァヤァヤァ！

暗黒時代の足音が聞こえてきますが、じきにハンドルネームも禁止になるのではないでしょうか。インターネット上でハンドルを使うことはむしろ自分を守る為に必須とも言える情勢です。誰だってネット上のオカシな人からの攻撃を受けたくありませんから、実名は勘弁してくれと思うのではないでしょうか。しかしながら、自分を守ること、ハンドルを名乗ること、匿名で活動することは、司法にとって非常にやりづらい、邪魔くさいことなのです。実際、（これはあくまで推測ですが）匿名で消費者保護活動しているがゆえに妙な嫌疑をうけたり、色メガネで見られたりすることは極めてありそうなことですよね。匿名性が高ければ高いほど、意地になって犯罪者扱いする不心得な捜査員もじゃかじゃかいるだろうし、これからも増えるのではないでしょうか。

個人情報漏洩幇助未遂な？私も（真剣に探せば実名なんぞすぐにわかりますが）一応、ハンドルであれこれ書いています。時にはこうして社会のありかたについて書いたりもします。hoshikuzuなんていう名前で国家社会の都合の悪いこと（実は一部のヒトビトの都合の悪いこと）を書いていると、それだけで、あいつは邪魔クサイと思われるかもしれません。悪い奴だから摘発されたくないから匿名なのだという妙なバイアスがあるのではないか、そしてこれからますますそうなるのではないかと思われてなりません。

ちょっとWinnyの件で自問自答してみます。

Winnyの罪悪性議論の本質

Winnyが、著作権法違反の幇助になるか否かという議論を見渡してみますと、Winnyが著作権法違反「のみ」を意図したものであることか否か、あるいは主として著作権法違反のためにしか利用できない機能しか持たないか否かが、多くの人々の判断基準になっているように見えます。

しかし、ファイル共有ソフトとしてのWinnyの特徴は高い匿名性と言えるのであって、特段著作権法違反に特化しているわけではありません。

多くの人々の「著作権違反」議論の深層は、実のところ「匿名性」そのものを悪と考えているか否かにかかっているように思われます。

悪マニ−ウェディングの件を見てわかるように、警察は匿名性そのものを悪と考えていますので、Winnyが悪に見えるのはむしろ当然でありましょう。

しかし「匿名」はなにも（道徳的な）悪とは関係するものではありません。むしろ自分の所属する国、組織、社会の真実を明らかにしたり、あるいはさらに批判、告発したりする場合は「匿名」は必要不可欠なものです。

「表現の自由」とは、本質的には自分の所属する社会の真実を明らかにする自由のこととさえ言えるのであって、表現の自由を守るためには、匿名性の確保はその必要不可欠な要素なのです。

かつてマスメディアも、こうした社会の真実を明らかにするための匿名性を確保するために、継続的な努力が必要としていましたが、現在では、「マスメディア」という権威を確保してしまっており、何の努力もなく匿名性が保証されてしまっています。

ここでインターネットという新たな「表現の自由」の担い手が現れて、それがマスメディアと競争的なものと考えられた時、マスメディアは本来自分達にも「匿名性」が必要であるということを棚にあげてしまい、「インターネットの匿名性」を攻撃するようになっているのだと言えます。

警察なり他の司法なりが匿名性を悪として摘発しようとするのは、その国家権力としての志向性から自然なことででしょうけれども、それを批判すべきマスメディアまでがインターネットの匿名性を敵視し、罪悪だと糾弾し、Winnyの作者逮捕は当然のような報道をしている現状は、きわめて憂うべき状況ではないでしょうか。

そしてインターネットの中でも匿名性そのものを悪だと考える人が増えつつある状況は、我々は表現の自由を失い、自分達の社会を改善する唯一の手段を手放しつつあると言えるのではないしょうか。

Winnyの作者逮捕の法的理由を、匿名性が悪という考えをはずして是非、再度考慮してみて頂きたいです。Winnyは善悪中立的な道具でしかないことがよくわかってきます。本質的に著作権違反を特段幇助するような機能は一切ありません。逆に、匿名を保証したP2Pネットワークでは、著作権違反を禁止する事が技術的に出来ないことも明らかです。今回の件では、警察の「匿名」撲滅を著作権問題へ振り向けようという、問題のすり替えにだまされてはいけないのではないでしょうか。

ご都合主義の逮捕劇

だいたい、office氏の件では、（善意悪意を無視し）その行為の形式を重んじて立件に踏み切った警察が、47氏の場合には、彼の（現行の著作権の法的制度がコピー万能のデジタル時代にそぐわないという）意図を重視し、その行為の形式を無視して立件しようとしているのは、はなはだ不整合でありご都合主義としか思えません。

なお、もうしそえますが、私は、誰かがWinnyを使って著作権の違反行為をすることは、著作権者の不利益と重大な関連があると思っています。私はそのようなことはしません。（キッパリ）