>>1 ひろみちゅの記事
高木浩光@自宅の日記 - 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」
http://takagi-hiromitsu.jp/diary/20180610.html
(極一部)(全文読まないと意味を捉えられないかもしれない)
無限ループで無用にCPU負荷を食ってしまうWebサイトは、バグとして従前からあり得たであろう。それを放置していたからといって犯罪になるとは、これまでのインターネット史の中で誰も言っていなかった。仮に今から故意にそのようなサイトを作って公開したら、警察は摘発するつもりなのだろうか。さすがにどんな田舎警察でもそんなことはしないだろう。
---
2011年の刑法改正の際、不正指令電磁的記録の罪の運用は危ういのではないかと議論があった。その一つに、「ウイルス対策ソフト会社が『ウイルス』とラベリングしたものは、作成者も利用者も不正指令電磁的記録の罪で処罰されるのか?」という問いがあったのを記憶している。これの回答は、「当然、そんなことはない。」というものだった。だが、今回の一連の事件は、「トレンドマイクロがウイルスと言っているから」という理由だけで摘発に及んでしまった失態のように見えてならない。
そもそも、ウイルス対策ソフトのCoinhiveへの対応は杜撰極まりない。以下は、Coinhiveを適正に利用して寄付を募っているUNICEFオーストラリアのサイトを訪れたときに、McAfeeが*19、coinhive.min.jsを「マルウェア」と断定し、「トロイの木馬」と断定した様子である。
こういった、善用も悪用もされ得るプログラムは、PUP (Potentially Unwanted Program)(潜在的に望まれないことのあるプログラム)のカテゴリに分類しておくべきものではなかったのか。McAfeeは、2011年に「カレログ」が登場した際、まさにPUPと分類していた*20わけで、あの頃の適切な対応が今はもうできなくなっているのか。
大企業など大きな組織では、今日、セキュリティ対策として、内部からの不審な通信を検知する仕組みを導入していることと思うが、coinhive.comのcoinhive.min.jsにHTTP接続しただけで警報が出るという杜撰なソリューションが出回っていると聞く。まるでbotのC&C通信を見つけたかのような警報が出るそうだが、自らCoinhiveの置かれたサイトを見に行く分には何の問題もない。
確かに、トレンドマイクロのレポート「日本と海外の脅威動向を分析した「2018年第1四半期セキュリティラウンドアップ」を公開 サイバー犯罪の狙いは「ランサムウェア」から「不正マイニング」へ」(2018年5月29日)*21が言うように、Coinhiveを悪用したサイバー犯罪は急増しているのだろう。そのため、coinhive.min.jsへのアクセスを検知することによって、内部への侵入が見つかるとか、Webサイト改竄が見つかるという効用があるのは理解できる。しかし、だからと言って、本来の正規の用途での利用まで、マルウェア扱いするのは間違っている。
コインマイナーの登場自体が新たな犯罪なのではなく、Webサイト改竄とかサーバ侵入という従来型のサイバー犯罪を実行することの目的として、新たな換金の手段ができたということに他ならない。その結果として従来型のサイバー犯罪が拡大しているわけである。
そういった真の犯罪こそ、神奈川県警は、摘発すべき役目を負っているにもかかわらず、そういう難しい案件はこれっぽっちもやる気はないのだろう。Coinhiveの正規の用途での設置者が供用罪だというのなら、Coinhiveのコード配信元を作成・提供罪で摘発してみたらどうか。そんな気はさらさらないだろ