(その1)「不正指令電磁的記録に関する罪」について、最高裁判所へ情報公開請求をしました

兵庫県警が「不正指令電磁的記録に関する罪(刑法168条の2および3)」について起こした無限アラート事件について、前回の続きです。

今回は、兵庫県警ではなく最高裁判所へ情報公開請求をしました。そのためナンバリングを(その1)と振り直しました。二つは並列して進めていきます。これまでの動きを追いたい方は、Twitterのmomentにまとめてあるのでこちらで追ってください。

今回の概要 - 最高裁判所への情報公開請求

前回の記事、(その6)兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしましたでも書きましたが、今回の無限アラート事件のひとつの要因は法務省が曖昧すぎる法律の条文を放置しているという点もあります。

現在の「不正指令電磁的記録に関する罪」は、この曖昧な条文を「運用でカバー」している状態です。そして「運用でカバー」はいつか必ず破綻します。立法時、既に「単なるバグを出した開発者が逮捕されるなど、条文が拡大解釈されてしまうのでは……」と懸念されていましたが、それは現実のものとなり、無限アラート事件では兵庫県警による冤罪事案が発生しています。

ただ、法務省の責任と言っても広いため、少しずつ絞ってやっていきましょう。そのため今回は、以下2点をはっきりさせていきたいです。

  1. 裁判所は、不正指令電磁的記録に関する罪の各種令状(捜索、差押、逮捕など)について警察等から請求があった場合、発行に必要なチェック(令状審査と呼びます)をきちんと行っているのか?
  2. 現在の日本において、サイバー犯罪を裁くことのできる知識を、そもそも裁判官は持っているのか?

令状については裁判所が管轄するため、今回は最高裁判所に対して、以下2つの公文書公開請求を行いました。ちょっと長いですが、正確性を期するためにきちんと書きます。

  1. 令状審査に関する統計
     平成23年度から平成30年度までの期間における,刑法168条の2及び168条の3の罪に関する令状(逮捕状,勾留状及び捜索,差押,検証許可状)の請求数及び審査結果が記載された文書。
  2. 刑事裁判官のIT研修
     平成23年度から平成30年度までの期間において、刑事事件を担当する裁判官を対象として実施された,情報技術(IT)についての研修に関する以下の文書。
     (1)研修の表題,実施期間並びに外部講師を招聘した場合にはその講師名及び所属が記載されたもの。
     (2)各研修において裁判官に提示または配布された資料。

開示結果について

以下が通知書です。

f:id:ozuma:20190715030111p:plain

まぁ予測通りですが、延長通知が出ました。令和元年5月16日に受付されましたが6月17日に延長通知です。なおこの通知は「文書用意するから待っててちょ」ではなく、「開示・不開示の判断」を含めた通知であることに注意してください。

なお、通知の予定時期につきましては、本日から3か月程度かかる見込みです。

とのことですので、ここまでそもそも開示されるのか? しないのか? そこすら分かりません。3ヶ月後、「やっぱり不開示です」もアリです。というわけで次のこちらの更新は9月になりそうです。

もともとこちらも長期戦の構えです。問題ありません。とはいえ待つだけではムダですから、きちんとこの背景を解説しておきましょう。

警察と裁判所の関係 - 刑事訴訟

兵庫県警の話をしていたのに、なぜいきなり裁判所が出てきたのか。とまどう方もいると思うので、ここで警察が捜査を行う際の裁判所との関係を少し記しておきましょう。

家宅捜索、差押え、逮捕と令状

警察は、ちょっと踏み込んだことをしようとすると、何をするにも裁判所の令状が必要です。令状は、裁判所の裁判官が発行します。このあたりの決まり事は、すべて「刑事訴訟法」および「刑事訴訟規則」で定められています。法令なのでネットで公開もされていますし、全部タダで読めます。嬉しいですね。弁護士の方などは、毎日ウヒョウヒョ言いながら法令をネットで読んで楽しんでいます。タダで楽しめる素晴らしい娯楽です。(ITエンジニアが、APIドキュメントを読んでウヒョウヒョ言っているのと同じです)

警察で捜査が進むと、容疑者の家宅捜索を行う場合があります。この家宅捜索を行うには裁判所の捜索令状が必要です(*1)。また差押えをするにも裁判所の差押え令状が必要です。警察の捜査では、フツーは家宅捜索&証拠物件を差押さえるので、この2つが悪魔合体した「捜索差押許可状」を警察が裁判所に請求し、裁判官がその内容を審査した上で発行するのが一般的です。同様に、逮捕するには「逮捕状」が必要ですが、これはまぁ分かりますね。

(*1) 逮捕時には同時に家宅捜索できるなど、一部例外はあります。刑事訴訟法第220条等を読んでください。

さて、今回の無限アラート事件で家宅捜索を行ったのは兵庫県警サイバー犯罪対策課です。ということは家宅捜索の令状を発行したのは、サイバー犯罪対策課の所在する神戸市の、神戸地方裁判所または神戸簡易裁判所のはずです。なぜなら礼状は、刑事訴訟規則 第二百九十九条により、「所属の官公署の所在地を管轄する地方裁判所又は簡易裁判所の裁判官に」請求するためです。

(裁判官に対する取調等の請求)

第二百九十九条 検察官、検察事務官又は司法警察職員の裁判官に対する取調、処分又は令状の請求は、当該事件の管轄にかかわらず、これらの者の所属の官公署の所在地を管轄する地方裁判所又は簡易裁判所の裁判官にこれをしなければならない。但し、やむを得ない事情があるときは、最寄の下級裁判所の裁判官にこれをすることができる。

ちなみに上にある通り、令状の請求は警察だけでなく、検察官や、司法警察職員(例えば海上保安官や、麻薬取締官いわゆるマトリ)も出せます。

最高裁判所への情報開示請求の意義

このブログを書き始めてより、メールで何人かの方から、「裁判所の令状発行にも問題がある」とご指摘いただきました。これは私もその通りだと思います。神戸地裁または神戸簡裁は、今回、兵庫県警の出した請求を本当にちゃんと令状審査したのでしょうか?

裁判官は令状を発行する際、警察が出した請求が妥当であるか審査し、不正であれば却下しなくてはいけません。今回の兵庫県警の無限アラート事件について、裁判所は兵庫県警の言い分を正当であると判断して、捜索差押許可状を出しています。その判断は本当に正しいのでしょうか。そもそも、「不正指令電磁的記録に関する罪」の礼状を発行する際、神戸地裁・神戸簡裁の裁判官はその請求内容を正しく判断できるだけの知識を持ち、正しく審査できるのでしょうか。

ただし、個別の事案について情報公開請求をしても、様々な理由を付けられまず間違いなく非開示となります。そこで今回はもっと一般的な内容を聞くこととしました。今回請求する「令状審査に関する統計」……つまり「不正指令電磁的記録に関する罪についての令状の請求数と審査結果」が開示されれば、その内容が数字の裏付けをもって明らかになります。

また同時に、裁判官へのIT教育資料(法律関係だと基本的に全角なので、気持ち悪いけどITは意識的に全角にしています)も公開請求することとしました。もしこのような教育資料や研修が無い場合、「ITの専門家でもなんでもない裁判官が、『不正指令電磁的記録に関する罪』の令状を正当に審査できるだけの判断材料なんて無かったのでは?」ということになります。つまり客観的に、「事実上、無審査で令状を発行していたのでは?」と裏付けることができます。

これまで何度か書きましたが、不正指令電磁的記録に関する罪は、いったい何をしたら逮捕されてしまうのか、現在、国民は全く知ることができていません。もし上記の教育資料や研修も無いのであれば、ひょっとしたら日本の全ての裁判官、誰ひとりとして「不正指令電磁的記録に関する罪」が成立する構成要件を分かっていないし判断できない状態ではないのか? とさらに突きつけることができます。

よくある質問

ここまで読んで、ムズムズしている人もいるでしょう。もうちょっとです。ガマンして読んでください。

裁判所は、警察の出す書類なんてろくに見ないでバンバン令状を出してるよ! 知らんのか!

知ってます。

残念ながら現在の裁判所はWikipediaの表現どおり「令状の自動販売機」で、警察の請求は明らかな書類不備等が無い限り、まず99.9%通ります。本来は警察の暴走を防ぐために裁判所が警察の提出資料をチェックし、家宅捜索なり逮捕なりの必要性をきちんと判断してダメなものはダメと却下すべきですが、実質機能していません。

「じゃぁムダじゃん!」と言われることを承知の上でこれを請求するのは、ひとつは先に述べた通り、私は何をしたら逮捕されるのか、はっきり知りたいのです。この請求をすることで、警察ではなく司法機関が「不正指令電磁的記録に関する罪」の犯罪構成要件についてどう考えているのか間接的に見えてくる可能性があるため、意義はあると考えます。つまり、これまでは警察ばかりを見てきましたから、法務省側もアプローチしていきたいわけです。

同時に、上に書いた通り、今回の公開請求文書がもし無いのならば、「そもそもこの法律は適切に運用されていないじゃないか!」とはっきり言える材料が一つ得られます。どちらに転んでも、私はカードを1枚手に入れますので、どちらでも構わないわけですね。

なんでそこまでして必死なの?

これは兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました(その1)で、一番はじめに書いた通りです。今も同じ考えです。

  • 私は逮捕されたくないからです。
  • 私の大切な友人たちを守るためです。

私は、自身のやっている「すみだセキュリティ勉強会」を一時中止しましたが、これは最近、参加者に若い学生さんが増えたということも大きいです。私のようなおっさんならば、「警察の任意は全て応じる義務は無い」「あらゆる質問に黙秘権がある」「もし調書に『反省しています』という文言が入っていれば、間接的に故意を認めるので絶対にサインしてはいけない」など色々知っています。しかし、兵庫県警が社会的弱者を狙い撃ちにして逮捕してくる可能性があるため(今回の一連の報道でその事実は間接的に証明されましたね)、勉強会を一時中止せざるを得ませんでした。

また私のPenTesterの友人の中には、国際カンファレンスで講演するほどの高い技術を持っている方もいます。私は、そのような日本のトップレベルのセキュリティ人材が逮捕されるという、日本にとって不幸しか生まない事態を危惧しているのです。そしてその危惧は、これまでの兵庫県警のやり方を見る限り、決して「大げさ」でもなければ「怖がりすぎ」でもありません。

前回から繰り返しますが:次に逮捕されるのは「ちょっとしたおもしろプログラム」を書いている、あなたや、あなたの周りの大事な人かもしれないのです。不正指令電磁的記録に関する罪については「警察に目を付けられたらアウト」、それが過去の事件から得られる事実であり現実です。

寄付は受け付けていないのですか?

最近ときどき聞かれるので書いておきますが、寄付は不要です。理由は、確定申告などいろいろ面倒くさくなるからです。面倒くさいのが嫌いなのです。

それでもどうしても寄付したいというワガママな方は、以前に私が書いた以下の本を買ってください。印税額が増えるだけなので確定申告の手間は変わりませんし、版元のSBクリエイティブさん含めて助かります。自分で言うのもなんですが、Linux入門書として優れている自負はあります。「オレは初心者じゃない」とか、「もう持ってる」人は、周りの新人さんや学生さんなどに買ってあげてください。

新しいLinuxの教科書

新しいLinuxの教科書

おわりに

不正指令電磁的記録に関する罪は、法曹界ですらまだ非常にマイナーな法律です。知人のツテで弁護士の方の何人かにヒアリングしましたが、無限アラート事件どころか、この法律の存在を知っている人すらゼロでした。私がヒアリングした弁護士さんは、民事裁判を扱っていらっしゃる方々なので仕方ないといえば仕方ないのですが、このように法曹界ですらまだ知らない方は多い法律です。2019年現在では、弁護士よりもITエンジニアの方が、むしろ認知度は高いかもしれません。

皆さんがすぐにできることは、このような法律があること、そしてそれにより警察が曖昧な根拠をもとに検挙を行っているということを周りに広めることです。ちょっとTweetするだけでも、ちょっと周りの友人と話すネタにするだけでも構いません。よろしくお願いします。

(その6)兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました

しばらく間が開いてしまいました。本業の方が忙しかったり色々あって2ヶ月ぶりですが、マイペースで続けます。兵庫県警へ情報公開請求をしていた公文書が届きましたので、今回はそちらを見ていきたいと思います。

が、その前にいったんあらすじをつけておきましょう。

これまでのあらすじ

  1. JavaScriptのforループでalertウィンドウを出すだけ」という、いわゆるジョークプログラムへのリンクを張った3人が、兵庫県警によって1名(未成年)が補導、2人が書類送検される予定という事案が発生しました。
  2. 本件に対し、兵庫県警の捜査が極めてずさんかつ法律の解釈が曖昧すぎることから、「どのような内容をもって犯罪行為とするかの構成要件等を記載した文書」を兵庫県警へ情報公開請求しました。
  3. 請求されるのを待っている間に他にも調べていたところ、警察庁が47都道府県警に対して通達「丁情対発第108号・丁情解発第27号」を出していることが分かりました。そこには、「不正指令電磁的記録に関する罪」について、警察庁から各都道府県警察に対し、「積極的な取締りを実施し積極的な検挙広報をする(=晒し者にしろ)ように」という通達が出ていました。
  4. 同様事例としてCoinHive事案がありましたが、これについての議事録を確認したところ、警察庁を管理する国家公安委員会は委員全員が、検挙を絶賛していました。
  5. 待っていた兵庫県警の資料が公開され、郵送されました。ご担当者さま、お手数をおかけしました。

というわけで、今回は5を見ていきます。

なお、「相変わらずお前の記事は分かりにくい。あらすじはモーメントを作れ」と会社の後輩から暖かい言葉を頂いたので、Twitterのモーメントを作りました。以前の記事はこちらで追えますので、合わせてご覧ください。

兵庫県警より公開された文書

実は既に「IT議論」のSUGAIさんにお渡しして公開して頂いているのですが、改めてこちらでも公開いたします。兵庫県警から公開されたのは、以下の3つの文書です。

  1. 「生活安全警察の基本」より、サイバー犯罪対策課4頁「コンピュータ・ウイルスに関する事案認知事のフローチャート
  2. サイバー相談対応要領「Case1からCase4」
  3. 不正指令電磁的記録に関する罪の取締りの推進及び取締りに当たっての留意事項について」

このうち、2は兵庫県警独自作成の資料です。それ以外は、警察庁からの通達文書など全国47都道府県で共通のものです。

ひとまず順番に見ていきましょう。なお、ここで文書を公開することは、著作権法第13条の2で「著作物としての権利対象とならない」ものとして「国若しくは地方公共団体の機関の告示、訓令、通達その他これらに類するもの」と挙げられていることから、著作権法上問題ありません。

1. 「生活安全警察の基本」より、サイバー犯罪対策課4頁「コンピュータ・ウイルスに関する事案認知事のフローチャート

見ての通り、ほぼ黒塗りで何も得られる情報はありません。

f:id:ozuma:20190707220334p:plain
コンピュータ・ウイルスに関する事案認知事のフローチャート

しかしこれは珍しいことではなく、通常はこんなものです。何しろこのフローチャートを明かしてしまうと、それこそ警察の手の内を全て見せてしまい、完全に犯罪者が有利になってしまいますからね。(兵庫県警はこういう捜査をするなら、先にこの証拠を消しておこう、とかヒントになっちゃいますから)。

ですから、「まぁそうでしょうね」という感想です。お手数をかけて公開いただき、ありがとうございました。

2. サイバー相談対応要領「Case1からCase4」

これは兵庫県警の独自作成の文書です。そのため、他の46都道府県とは違う独自文書であり、兵庫県警の行動のベースとなっているかもしれない貴重な資料です。

ただし本文書は「サイバー相談対応要領」です。今回の無限アラート事件では、「被害者はゼロ」という報道が出ています(ITmedia 神戸地検、「ブラクラ貼った」と書類送検された男性2人を起訴猶予処分に 「ウイルス罪に該当」との認識は変わらず)。すなわち「サイバー相談」は無かったはずですが、サイバー犯罪対策課がふだんからこの対応要領で動いていることは確かですから、その考えのベースとしてきちんと見ることに意味はあるでしょう。

公開されたのは以下8ページ、16スライドです。

f:id:ozuma:20190707221422p:plain
(一部抜粋:スライド5, スライド6)

さて、この内容について皆さんは何を思うでしょうか。

あまり失礼にならないように私の感想を控えめに述べると、「ショボっ!!」ですね。そして、なぜこの対応要領をもとに無限アラートを検挙しようと思ったのか、私は読み取ることができませんでした。

さて「IT議論」のSUGAI様が公開されていますが、同様の資料として山口県警は「生活安全捜査(応用編)不正指令電磁的記録作成等事件捜査」という資料を作っています。

f:id:ozuma:20190707215938p:plain
山口県警生活安全部資料より抜粋(赤線部はozumaが追加)

こちらはなかなかしっかりしており、法律の条文をきちんと噛み砕いた上で、捜査現場の人間が参考にできるマニュアルです。実に「分かっている」人が書いた感があります。どなたが書かれたのかは分かりませんが、この山口県警生活安全部の「生活安全捜査(応用編)不正指令電磁的記録作成等事件捜査」を書かれた方には敬意を表します。

3. 不正指令電磁的記録に関する罪の取締りの推進及び取締りに当たっての留意事項について

まず、文書は以下となります。

  1. 不正指令電磁的記録に関する罪の取締りの推進及び取締りに当たっての留意事項について (PDF)
  2. 法務省刑制第41号(例規)"情報処理の高度化等に対処するための刑法等の一部を改正する法律」(罰則整備関係部分)の施行について(依命通達)" (PDF)
  3. (b)の別紙1 (PDF)
  4. (b)の別紙2 (PDF)

こちらについて、その前提は前回のその5で詳しく書きました。ですが誰も覚えていないと思いますので、もう一度おさらいしておきます。

(a)は、警察庁から各47都道府県警察への通達「丁情対発第108号・丁情解発第27号」です。Web上には「概要」しか公開されておらず、情報公開請求をしてやっと本文が出てきました。忘れてしまった方はその5を読み直して頂ければ良いのですが、要するに「不正指令電磁的記録に関する罪」の「積極的な取締り」へ警察庁から47都道府県警へハッパをかけ、そして恐ろしいことに「積極的な検挙広報」をして晒し者にしろ、という通達です。

(b)(c)(d)は、法務省からの通達文書です。なぜこれが? と思うでしょうが、(a)の中で「本罪の解釈等については、法務省から各検察庁に対して通達(別添参照)が発出されているところであるが、……(以下略)……」とあることから、警察庁の通達「丁情対発第108号・丁情解発第27号」にはこの法務省通達も含まれており、それがそのまま公開されたようです。

(b)(c)(d)も重要な資料で、実はこの通達はWebには公開されておらず、はじめて出てきました(私の検索力が足りなかっただけで本当はあったかもしれませんが、そうだとしても以下の議論に影響はありません)。というわけで読んでみましょう。

(b)(c)(d)法務省刑制第41号(例規

これは平成23年7月8日の法務省からの通達、"情報処理の高度化等に対処するための刑法等の一部を改正する法律」(罰則整備関係部分)の施行について(依命通達)"です。

本通達の宛先は検事総長殿・検事長殿・検事正殿となっており、要するに検察です。当然のことながらすべての検察庁職員(横浜地検神戸地検もですよ、もちろん)は本文書を熟読し、起訴および裁判においてはこの法務省の通達に従わなければなりません。

どうやらこの文書の要約版が、法務省でWeb公開されている「いわゆるコンピュータ・ウイルスに関する罪について」のようです。同じ文章が双方に出てきます。ただし、一番大事な「別紙2」がWeb上の法務省公開文書には付いていません。

条文の曖昧さ

不正指令電磁的記録に関する罪については、これまで何度も「条文の曖昧さ」が指摘されてきました。

この法律制定時にも、プログラムのちょっとしたバグで有罪になるのか? という点が不安視され、多くの議論がなされました。高木浩光先生が弁護士と議論したブログが残っていますし、情報処理学会はソフトウェアのバグ等を処罰対象としないようにする声明を出しています。

法務省も当初ここを汲み取っていたようで、(b)(c)(d)では十分にここを配慮するように、という文書となっています。しかし結局、「曖昧すぎる条文」はそのままにして「運用でカバー」することにして法律が施行されてしまいました。

ITエンジニアの方ならお分かりでしょうが、こうして「運用でカバー」することにしてしまったのがそもそもの誤りでした。「運用でカバー」は必ず破綻します。事実、平成23年に制定されたこの法律は、Wizard Bibile事件、CoinHive事件、そして無限アラート事件と、警察による数々の冤罪事件を生み出しました。

さて、開示された(b)(c)(d)文書を見ると、色々と重要なことが書いてあります。

(b)の一番最後に、以下の文章があります。日本のすべての検察官の方、これをちゃんと遵守しているでしょうか。法務省の通達ですよ。

参議院における付帯決議   本法の国会審議に際し、別紙2のとおり、参議院法務委員会において付帯決議がなされているので、捜査等に当たっては留意されたい。

というわけで、(d)の別紙2は重要です。本法は立法時、やはりすったもんだがあり、参議院付帯決議をなした上で立法という形になりました。その内容が以下です。

政府は,本法の施行に当たり、次の事項について特段の配慮をすべきである。   一 不正指令電磁的記録に関する罪(刑法第19章の2)における「人の電子計算機における実効の用に供する目的」とは,単に他人の電子計算機において電磁的記録を実行する目的ではなく,人が電子計算機を使用するに際してその意図に沿うべき動作をさせない電磁的記録であるなど当該電磁的記録が不正指令電磁的記録であることを認識認容しつつ実行する目的であることなど同罪の構成要件の意義を周知徹底することに努めること。また,その捜査等に当たっては,憲法の保障する表現の自由を踏まえ,ソフトウェアの開発や流通等に対して影響が生じることのないよう,適切な運用に努めること。

繰り返しますが、この別紙2は「本法の国会審議に際し,別紙2のとおり,参議院法務委員会において付帯決議がなされているので,捜査等に当たっては留意されたい」として付いているものです。つまり上記の引用文は国会審議での付帯決議であり、当然のことながら警察庁検察庁、そして兵庫県警・神戸地裁も留意しなくてはいけません。今回の無限アラート事件において、冤罪による家宅捜索を行った兵庫県警と、その令状を発行した地裁簡裁は、「憲法の保障する表現の自由を踏まえ,ソフトウェアの開発や流通等に対して影響が生じることのないよう,適切な運用に努め」ていたのでしょうか。

また、四、五も重要ですね。

四 サイバー犯罪が、容易に国境を越えて行われ、国際的な対応が必要とされる問題であることに鑑み、その取締りに関する国際的な捜査協力体制の一層の充実を図るほか、捜査共助に関する締結推進等について検討すること。  - 五 本法の施行状況等に照らし、高度情報通信ネットワーク社会の健全な発展と安全対策のさらなる確保を図るための検討を行うとともに、必要に応じて見直しをすること。なお、保全要請の件数等を、当分の間1年ごとに当委員会に対し報告すること。

はい、というわけで、「国際的な捜査協力体制の一層の充実を図る」ことに警察庁は何をしたのか、「本法の施行状況等に照らし、高度情報通信ネットワーク社会の健全な発展と安全対策のさらなる確保を図るための検討を行うとともに、必要に応じて見直しをする」ために法務省は何かしたのでしょうか。その検討資料、報告書があるはずです。これは情報公開請求により、きちんと公開してもらい、本当に「必要に応じて見直し」をしているのかを確認しなくてはいけません。

やり方は色々ありますが、長くかかりそうなので気長にお待ちください。

最後に言っておきたいこと

サイバー犯罪は、県境は関係ありません。兵庫県警がその気になれば、東京都在住の一般市民を逮捕することができます。結局は想像力の問題です。皆さんは、「自分が逮捕されるかもしれない」と考えたことはありますか?

今回の問題で、何度も「いたずらしたのだから警察に検挙されて当然」「悪意があってやったのだから、しょうがないでしょ」という意見を頂きました。何度も何度も何度もです。その回答はその3の「無限ループスクリプトで、他人にイタズラしたことは事実でしょ。それを肯定するの?」に書いていますが、重要なことなのでもう一度書きます。

警察が「こんなことしたら、あかんで」とメッと叱ることと、検挙することは全く違います。私はこの問題を、刑法犯として扱うことが間違っていると言っているのであり、悪意だとかマナー違反だとか倫理的によくないとか、そんなことは話していませんしそんなことは今はどうでもいいのです。

もう一度繰り返しますが、皆さんは、「自分が逮捕されるかもしれない」と考えたことはありますか?

私はあります。それも何度も。私は脆弱性診断・ペネトレーションテストを行うという特殊な職種のため、検証/解析のために本物のマルウェア(いわゆるコンピュータウイルス)や、本物の攻撃ツールを所持しているためです。

なお、日本で一番逮捕されたがっているはむかずさんも「自分が逮捕されるかもしれない」とお思いでしょうが、ちょっと話がややこしくなるので置いておきます。(なお、はむかずさんのアプローチは私と大きく違うため、一緒に何かやろうとはあまり考えておりませんが、目指すゴールは同じですので、彼の行動については敬意を持っています)

プログラマが「不正指令電磁的記録に関する罪」で逮捕されるとき

今回の無限アラート事件に見るように、既に警察の暴走は始まっており、「運用でカバー」は破綻しています。ちょっとした面白プログラムを書いて公開した途端に、兵庫県警に逮捕される可能性があるのです。対岸の火事ではありません。このブログを読んでいる方の中にはITエンジニアで日々プログラムを書いている方もいるでしょう。もしそこで、ちょっとしたジョーク(いわゆるイースターエッグ)を仕込み公開した時点で、あなたは逮捕されるかもしれないのです。

兵庫県警は、貴重なリソースを無駄遣いし、本当に検挙すべきフィッシング詐欺・Tech Support Scam(あなたのPCはウイルス感染してますよと出るアレです)・ECサイト等への不正アクセスを放置し、一般市民を冤罪検挙し続けています。今回の無限アラート事件では不起訴となりましたが、それは「嫌疑なし」「嫌疑不十分」での不起訴ではなく、「起訴猶予」です。ですからこれは逆に、兵庫県警に対して神戸地検は「それは犯罪です」と認めたことになります。この件については、横浜パーク法律事務所が「アラートループ事件の被疑者2名に対する起訴猶予処分を受けて」に声明を書いておりますので私から補足することはありません。

兵庫県警は今後も、「forループでポップアップ出すだけのジョークプログラム」を逮捕し続けます。前例がある限り、彼ら彼女らは同じ過ちを犯し続けて冤罪事案は続きます。止めなくてはいけません。

日本ハッカー協会主催:不正指令電磁的記録罪の傾向と対策セミナー

2019年4月26日に、日本ハッカー協会主催の「不正指令電磁的記録罪の傾向と対策セミナー」が開催されました。ふだん顔なじみのセキュリティエンジニアの知人達が、警察と検察の役割や刑事訴訟法について熱心に質問する姿は実に印象的でした。

内容は各メディアがまとめているので、そちらをご覧ください。動画も公開されています

専門家のお二人が話されているので、私からは1点、補足だけしておきます。

事前の同意にこだわる危険性

CoinHive事件について、「事前の同意を取っていれば問題なかった」という意見が多くあります。しかし私は高木先生と同じく、「誰にとっても実行の用に供されたくないもの」だけが不正指令に当たるべきと考えます(一言でいえばMalwareです)。立法時に、そもそも「いわゆるウイルス罪」として、そういう意図で作っているのですから当たり前です。

もしあらゆることに「事前の同意」を取らねばならないとすると……Google Mapsがはじめて登場したとき、世界中がその「意図に沿うべき動作をしない」ことに驚き、絶賛しました。それまでの地図アプリと言えば上下左右の移動矢印と、拡大縮小ボタンを押して都度ページ遷移するのが当たり前で、あのようにAjaxを縦横無尽に使いスムーズに動くWebアプリはまさに「意図に沿うべき動作をしない」ものでした。Google Mapsが、「地図を動かしてよろしいですか?」「拡大してよろしいですか?」「縮小してよろしいですか?」と出すことを、本当に皆さんは望むのでしょうか?

また「事前の同意」は、上記のような新規技術のみならず、様々な面に影響を及ぼします。ジョークソフトや、びっくり箱を作ることが不可能になります。ファイナルファンタジー7で、エアリスが死ぬことを意図した人はいたでしょうか? 私は意図していませんでした。となると、事前に同意を取らなくてはいけません。

f:id:ozuma:20190708002857p:plain

※もちろんこれは極端な例で、ゲームはそもそもそういうものだから「ユーザを驚かせる」という事前の同意はあるでしょう。ただ、問題を軽く見過ぎな方が多いため、あえて極端な例を出しました。

これからどうするのか

兵庫県警の自浄作用は期待できません。ですから私は行動をやめることはありません。ただ、ここでいったん兵庫県警を直接ではなく外堀を埋めていきたいと思います。

何人かの方からメールでご指摘も頂きましたが、不正指令電磁的記録に関する罪の運用が暴走している背景には、捜索差押許可状(捜索令状と差押え令状が悪魔合体したものです:普通は警察はこれを裁判所へ請求します)を発行している裁判所、そして法務省にも責任があります。そのため次回は法務省に対して行動を起こします。すでに準備はできているのですが、相手が法律のプロということもあり、とても慎重にやらねばいけません。次のブログがいつになるかは未定ですが、気長にお待ちください。意外とすぐかもしれません。

最近は本業が忙しく、私の活動はスローです。しかし、やめることはありません。兵庫県警が正式に「あれは誤りだった」と認めて謝罪しない限り、悪しき前例は残り続け、今後も同じことで逮捕者が出続けます。ですから、私は兵庫県警が正式に誤りであったことを認めない限り、いつまでも活動を続けます。

私への連絡先

再掲です。

淡路島ネタ

尽きてしまったので一回お休みです。次は私の故郷である徳島県を、微妙にdisりながら褒めていきたいと思います。

(その5)兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました

目次

はじめに:前提知識

CoinHive事件に皆さん夢中になっているので、誤解されないよう再確認です。

いま私が追求している兵庫県警の案件は、CoinHive事件とは別です。いわゆる「無限アラート事件」です(Wikipedia-無限アラート事件)。これは兵庫県警が、無限ループでポップアップを出すだけのジョークプログラムへリンクを張った3名を家宅捜索し、2名を書類送検、1名を補導(その後、児童相談所へ通告)した事案です。

混同しないでくださいね。繰り返しますが、CoinHive事件ではなく、無限アラート事件です。

「無限アラート事件」という呼び名は正しいのか(集合論

いきなり余談ですが、私は理系の大学院を一応出ているので、こう簡単に「無限」という言葉を使われることに非常に抵抗があります。皆さんは無限というと「なんかすごいデカいのがある」程度にしか思っていないでしょう。しかし「無限」にはいくつか種類があり、大小関係があります。たとえば自然数全体の集合は「数えられる無限」なので可算無限であり\aleph_{0}アレフゼロと読みます)で表します。一方、実数全体の集合は「数えられない無限(非可算)」なので、\alephアレフ。ゼロが付かない)です。そして\aleph_{0}\aleph はちゃんと証明されています。そうです、無限にも「大きい無限」と「小さい無限」があります。

ですから数学者は、無限の大小を表現するために「濃度」という概念を使います。今回の無限アラート事件は、forループでincrementに回すだけですから明らかに可算無限、アレフゼロです。ですから数学的に正確に、「可算無限アラート事件」と呼ばないと、大学でこの辺をうるさく言われたA教授に私は怒られてしまいます。

しかし長いので、渋々ですが「無限アラート事件」と以後は書きます。A教授には見つからないようにします。

進捗報告

前回の公開決定を受け、兵庫県警へコピー代など料金を添えて正式に送付依頼を郵送しました。おさらいになりますが、依頼した文書は以下です。

兵庫県警において刑法第百六十八条の二又は第百六十八条の三(不正指令電磁的記録に関する罪)に基づく取締りその他の運用を行うにあたり、どのような内容をもって犯罪行為とするかの構成要件等を記載した文書(具体例を含む)

なお料金は定額小為替が指定されていたため郵便局に行きましたが、「定額小為替の支払いは現金のみ」というトラップにかかってしまい、完全キャッシュレス生活を送っている私は「350円が払えない!」という重大インシデントが発生してしまいました。これは「コンビニATMに走る」という、非常に難しい作業を成功させることで乗り切りました。

なお、「ATM」「ターミネーター2」という2つの単語を組み合わせると、このブログから突然にして犯罪臭がしてしまいますので、はてブでコメントを付けられる場合も「ターミネーター2」は禁句でお願いします。

というわけで、今回の進捗はこれだけです。なお郵便追跡しましたが、まだ日曜なので到着していません。月曜日に到着して、そこから数日で処理されて返送されると、来週末くらいでしょうか。

f:id:ozuma:20190414225028p:plain

よくある質問

質問というか、単に私が言いたいことだけコーナーになりつつありますが続けます。自分のブログなので好き勝手にやります。

CoinHive事件は(控訴されたけど)無罪が出たから、少しは安心できる?

いいえ。全く安心できません。

検察側が控訴したことも、大きな理由の一つです。なお、横浜地検の控訴に対して言いたいことはテキストでも10MB以上ありますが、今後の裁判に影響があるとモロさん含め関係者に多大な迷惑を与えてしまうため、敢えて私は裁判に関しては何も言いません。

しかしそれよりも、CoinHive事件と私が危惧している「セキュリティエンジニアや研究者が逮捕されるのではという危惧」は、ケースが全く異なるからです。

本記事の「その1」に書きましたが、私や友人のエンジニアは脆弱性診断(セキュリティ診断・セキュリティテスト)やペネトレーションテストを専門としています。ペネトレーションテストでは悪意のある攻撃者が実際に侵入できるかを試すため、本物のマルウェアや本物のHackingツールを用い、またその場で侵入のためのコードを書いたりします。その研究・検証のため、自宅にも本物のマルウェアや本物のHackingツールを持っています。Pen Testは本物の攻撃者と同じ、いやむしろそれ以上の技術力を持って行わないと意味が無いためです。

つまり私や友人のエンジニアは、検証・研究のため、実際に「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」……すなわちマルウェアを、作成・提供・供用・取得・保管しているのです。

また現在、若い人の間でセキュリティに興味のある方が多いことは皆さんもご存じでしょう。技術レベルの高い方は、実際に脆弱性を突いて攻撃を行うExploitコードを書き、ブログに公開などしています。しかし、それらExploitコードは、法律上は「その意図に沿うべき動作をさせず,又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」にあたるマルウェアです。

ここで、法律策定時に法務省が掲載した以下のガイドラインがあります。

8ページの、「正当な理由について」を見てみましょう。

ウイルス対策ソフトの開発・試験等を行う場合には,自己のコンピュータで,あるいは,他人の承諾を得てそのコンピュータで作動させるものとして,コンピュータ・ウイルスを作成・提供することがあり得るところ,このような場合には 「人の電子計算機における実行の用に供する目的」が欠けることになるが,さらに,このような場合に不正指令電磁的記録作成・提供罪が成立しないことを一層明確にする趣旨で「正当な理由がないのに」との要件が規定されたものである

引用元:法務省刑事局 「いわゆるコンピュータ・ウイルスに関する罪について」(なお本引用は法務省の出したガイドラインから行っており、これは著作権法第13条の2に従い違法ではありません)

全体の文章も読めば分かりますが、このガイドラインは簡略化しすぎており、ウイルス対策ソフトの事例しかありません。「不正指令電磁的記録に関する罪」の法律は非常に曖昧な条文であり、「運用でカバー」を前提としているため、法務省はこのガイドラインを令和元年のこの時代に合わせて更新するべきです。それに続き、条文の変更を前提として動くべきです。それをしないで警察の冤罪逮捕を見て見ぬフリをするのであれば、法務省にも重大な責任があります。私はこれも見逃すつもりはありません。

また私のようなPen Tester以外にも、マルウェアを扱う仕事はセキュリティ業界に数多くあります。代表的なところでは、SOCアナリストやフォレンジックエンジニアでしょうか。彼ら彼女らの多くもセキュリティ大好きなので、研究目的でマルウェアの動作や通信先を探るため、自宅でもマルウェア解析をする人は多いです。当然ながら、自宅に本物のマルウェアを保管しています。彼ら彼女らの仕事を、今の警察官に理解させられる自信は、私にはありません。(警察捜査でフォレンジックは行うため、そちらは多少理解がある、かも、しれません)

ですからこのまま放置していると、私や友人は逮捕されます。会社で業務中ならばともかく、自宅で検証・学習しているところに踏み込まれ逮捕されれば、今の警察のやり方では「正当な理由」と「目的」をでっち上げることは簡単でしょう。「これで××を攻撃しようとしたんじゃないの?」「でも、誰かを攻撃するために作ったんだよね?」「試してみたかったんじゃないの?」「反省している?」「こんなの作ってること、親はどう思う?」。そうして「自白」して調書を取られてしまう状況が簡単に想像できます。実際にCoinHive事件は、そうして報道されているだけでも16人が検挙されているのです。

Pen Testerの友人の中には、国際カンファレンスで講演するほどの高い技術を持っている方もいます。私は、そのような日本のトップレベルのセキュリティ人材が逮捕されるという、日本にとって不幸しか生まない事態を危惧しているのです。そしてその危惧は、これまでの警察のやり方を見る限り、決して「大げさ」でもなければ「怖がりすぎ」でもありません。前にも書きましたが、逮捕歴が付くだけでもアメリカはESTAでの渡航が不可となり都度ビザの申請となります。略式起訴で有罪判決を受け前科が付けば、H-1Bビザは絶対に降りないでしょう。将来アメリカで働きたいと思っている人は、人生を破壊されます。

「何も法律違反していないのに警察に目を付けられたらアウト、そして人生が破壊される」。それが過去の事件から得られる事実であり現実です。

前回の記事で、都道府県警の上は警察庁って書いてたけど、運営上は各都道府県だよ?

はい。実は前回、その辺は面倒なので説明をバッサリ省いちゃいました。誰かに突っ込まれるかな〜と思いましたが、誰にも突っ込まれませんでした。寂しいので自分でツッコミます。

もう一度、みなさん警察のしくみを見てみましょう。「国の警察機構図」と、「都道府県の警察機構図」がありますね。そして、警察庁都道府県警察を「指揮監督」し、一方で都道府県公安委員会は都道府県警察を「管理」と書かれています。

そう、実は運営上は兵庫県警は警察庁ではなく、兵庫県公安委員会の下にあります。そして組織図を見ると、トップは兵庫県知事です。では兵庫県警は、兵庫県公安委員会を通じて兵庫県知事の通達を受けて動くのでしょうか? でも、現実には警察庁から通達を受けていますね。なぜでしょう?

答えは、警察法にあります。あんまり一般の方には知られていない法律ですが、警察官になるには学ばないといけない法律なので、警察官は必ず法律の存在は知っています。

警察法 第十六条の2

警察庁長官(以下「長官」という。)は、国家公安委員会の管理に服し、警察庁の庁務を統括し、所部の職員を任免し、及びその服務についてこれを統督し、並びに警察庁の所掌事務について、都道府県警察を指揮監督する。

はい、この通り、法律ではっきりと「警察庁長官都道府県警察を指揮監督する」と書かれています。だからこそ警察庁のWebページでも条文に合わせて「指揮監督」すると書いていたわけです。

このような「ねじれ」が起きている理由は、私は法律の専門家ではないので正直背景はよく知りません。ただ、警察法は第二次大戦後にGHQが国家警察を解体してその後の策として作られ、改正の際も国会で乱闘騒ぎが起きるなど相当揉めた法律のため、その辺に何かあるのかもしれません。法律に詳しい方がいれば、note.muなどで解説してください(他力本願)。

警察庁の責任

さて、実は情報公開請求をした「その1」からずっと書くのをガマンしていたのですが、IT議論のSUGAI様が警察庁の通達「丁情対発第108号・丁情解発第27号」の全文入手に成功したためようやく好き勝手に書きます(これまでは、Webサイトに「概要」しか掲載されていなかったのです)。

f:id:ozuma:20190414230955p:plain

引用元:警察庁の施策を示す通達(生活安全局) - 情報技術犯罪対策課 (なお本引用は著作権法32条に定められた適切な範囲で行っており、これは違法行為に当たりません)

まず第一に押さえるべきpointは、今回の兵庫県警による「無限アラート事件」冤罪事案の原因は、確実に警察庁にもあるということです。

検挙数とノルマ

皆さまご存じの通り、警察は検挙数のノルマがあります。今回の兵庫県警による摘発も、間違いなくノルマ達成のためです(推測にすぎないのですが、敢えて断言しちゃいます)。つまり去年から今年にかけての、大量のサイバー犯罪(その多くは冤罪ですが)大量摘発は、この検挙数ノルマの通達が原因です。

47都道府県警それぞれに、無意味に分割された47個のサイバー犯罪対策課の惨状が分かっていれば、そんなに簡単にサイバー犯罪の検挙数を上げられるわけが無いことは自明です。それなのに、敢えて厳しいノルマを通達すれば、当然のことながら発生するのは微罪逮捕、冤罪逮捕などの「でっちあげ検挙」です。でっちあげが発生することを承知の上でGoサインを出したのならば、通達した組織・人物の責任は極めて重いと言わざるを得ません。

そして、中でも決定的となった通達が、平成31年2月15日付の警察庁丁情対発第108号・丁情解発第27号、「不正指令電磁的記録に関する罪の取締りの推進及び取締りに当たっての留意事項について」です。

警察庁通達 丁情対発第108号・丁情解発第27号

問題の通達ですが、全文3ページは、IT議論のSUGAI様が「丁情対発第108号・丁情解発第27号」として公開されています(SUGAI様のページのPDFは26ページありますが、これは法務省刑事局平成23年に通達したものも奈良県警が一緒に公開したため、オマケに付いているためです)。なお概要版は、警察庁のWebページで公開されています。こういう場合は概要版の方が「結局何をどうしたいのか」がはっきり分かるので、まずは概要版を見ることをおすすめします。

さて概要版は非常にシンプルなもので、以下の1行だけです。

近年のサイバー犯罪情勢を踏まえ、「不正指令電磁的記録に関する罪」について、運用上の留意事項を示した上で、各都道府県警察において積極的な取締りを実施するよう指示したものである。

上記引用元:丁情対発108号等「不正指令電磁的記録に関する罪の取締りの推進及び取締りに当たっての留意事項について」概要より(なお本引用は警察庁通達から行っており、これは著作権法第13条の2に従い違法ではありません)

つまり、警察庁から全国47都道府県警に、「不正指令電磁的記録に関する罪」の「積極的な取締り」へハッパをかけたわけです。ここまでの理解は簡単ですね。

では本文の方を読んでいきましょう。評価すべき点としては、「国際捜査共助の枠組みの活用」として、「国外サーバの場合はICPOルート等を活用し、関係する外国治安機関に積極的に情報提供せよ」というものがあります。素晴らしいですね。ただし日本の警察にはTransparencyが無いので、どのくらいやっているかは見えません(データを公開していたら私の見逃しでありミスです。すみません)。なお私は国外サーバにフィッシングサイトがある場合などは、JPCERT/CCを通して該当ホスティング会社等に積極的に情報提供し、また該当先のAbuse contactにメールもしています。ですからこの通達を見ると、警察から表彰してもらってもよいですね。

もう一つ評価すべき点があります。「2 不正指令電磁的記録に関する罪の取締りに当たっての留意事項」として、本罪が成立しないケースを例示して釘を刺していることです。ただ、穿った見方をすれば、これは現場が暴走したときに「警察庁としてはきちんと留意するよう通達した」という単なる保険・アリバイかもしれません。これは推測でしかないのでこれ以上ツッコミません。

さて一方、気になる文章は多数出てきます。ITmedia岡田有花記者により記事化されていますので、そちらを見る方が分かりやすいかもしれません。ITmedia「『不正指令電磁的記録の罪』積極的な取り締まりを」警察庁の2月の通達、奈良県警が全文開示

1 積極的な取締りの推進

...(snip)...被害が拡散しやすい不正指令電磁的記録、挙動があまり認知されていない不正指令電磁的記録等を重点的に検挙するなど、犯罪抑止効果も企図した積極的な取締まりを推進すること。

3 積極的な検挙広報の推進

...(snip)...該当する行為の取締まりを通じて法の趣旨が広く国民に周知されるよう積極的な検挙広報を実施し、本罪に抵触する違法行為の蔓延防止に努めること。

とても恐ろしい通達です。検挙された者を、積極的に「晒し者」にして国民を脅せ。と警察庁が全国47都道府県警に正式に通達しているのです。そもそも逮捕された時点では無罪推定が原則であり、有罪かどうかを決めるのは警察では無く裁判所です。なぜ警察庁は、勝手に検挙した国民を有罪と決めつけて晒し者にしようとするのでしょうか。

おそろしい。本当に恐ろしい通達です。私はこれを読んで、背筋がゾッとしました。

さて、警察庁は2019年2月、誇らしげにサイバー犯罪の検挙数をtweetしました。

f:id:ozuma:20190330025251p:plain

引用元:警察庁tweet 17:38-2019年2月14日 https://twitter.com/NPA_KOHO/status/1095965518870134784

(たぶんそのうち警察庁はこのツイートを消すので、スクリーンショットで引用します。なお引用は著作権法32条に定められた適切な範囲で行っており、これは違法行為に当たりません。)

これは何を意味するのでしょうか。まだ裁判もせず、有罪か無罪かも分からない、冤罪で検挙したかもしれない人達を晒し者として、国民を脅すことが目的でしょうか。とても恐ろしいことです。

その他の通達

平成31年2月15日付の警察庁丁情対発第108号・丁情解発第27号以前から、警察庁からは通達が出ています。ちゃんと公開されています。

警察庁の施策を示す通達(長官官房)

https://www.npa.go.jp/laws/notification/kanbou.html

これらを読んでみてください。「お前ら、サイバー犯罪の検挙数を上げろ」という警察庁から各都道府県警への指示が透けて見えてきます。

無限アラート冤罪事件を生み出した根本原因は、できもしないことが分かっており、「でっちあげ検挙」「冤罪」が発生することが十分予測される状態で「サイバー犯罪の積極的な取締り」を指示した、警察庁の一連の通達です。ですから警察庁にもとても重い責任があります。

兵庫県警の責任について

ここまで長々と警察庁の責を問いましたが、もちろん、今回強引な捜査を行い国民の人権侵害を行った兵庫県警の罪が消えるわけではありません。無限アラート事件は完全にでっちあげ検挙であり冤罪です。

兵庫県警は兵庫県警で、今回の「でっちあげ検挙」を正式に謝罪し、責任者がきちんと責任を取り、そして二度とこのような冤罪事案を起こさないよう、再発防止策を講じなくてはいけません。そうしなければ、同じ過ちを繰り返し続けます。

そのActionが無い限り、私は兵庫県警への追及をやめることはありません。

私への連絡先

再掲です。

【PR】淡路島観光

兵庫県ではなく徳島県固有の領土である淡路島ですが、「淡路島観光ガイド・あわじナビ」がよくできているかと思います。もっとも有名な話としては、やはり「古事記」にてイザナギイザナミが海をかき回して最初に生まれた島が淡路島である、というものでしょうか。上記あわじナビで、神話ゆかりの観光名所が紹介されています(淡路島の歴史と神話)。

なお淡路島へ渡る際は、徳島県大鳴門橋から渡ることをおすすめします。ここには渦の道と呼ばれるちょっとした観光スポットがあり、床がガラス張りとなっているため、なかなか壮観な景色を見ることができます。有名な鳴門の渦潮は、写真で見られるような立派な大渦はなかなか見られませんが、ちょっとした渦はいつもできているので満足できるかと思います。

なお本州から渡る場合は、兵庫県を経由して明石海峡大橋を渡ることになります。注意して頂きたいのは、淡路島は徳島県固有の領土であるため、明石海峡大橋を渡り淡路島に着けばそこは徳島県です。道路標示などが「兵庫県」となっていますが、騙されてはいけませんよ。

(つづく)

(その4)兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました

breaking news

最初に、ニュースを入れておきます。

既にご存じの方も多いでしょうが、CoinHive事件について、一審で無罪判決だったモロさんに対して横浜地検が判決に不服として控訴しました(コインハイブ事件で検察側が控訴 無罪判決に不服)。これにより高等裁判所で裁判が続くこととなりました。非常に、非常に残念です。

今後の裁判に影響があると多大な迷惑をかけると思いますので、具体的な問題点の指摘等は私からは控えます。ただ、やはり、本当に残念です。

これで日本のIT分野における国際競争力は、確実に遅れることでしょう。既に取り返しの付かないレベルに達しつつあります。

これまでのあらすじ

友人から、最近、以下のような意見を頂きました。

最近のお前の記事は、似たようなタイトルでよく分からん。まず、「そのn」は記事先頭に書かないと後ろが切れてキレる、前に書け。それから毎回、あらすじリンク集を付けてくれ。前の記事が追いにくい。

なるほど。持つべきものは友人です。というわけで、利便性のため今回からあらすじリンク集を付けることにしました。ORDER BY date DESC(降順ソート; 新しいものが上)です。

進捗報告

前回の情報公開請求で期限が4/10でしたが、本日に兵庫県警から封書が届きました。その気になる中身ですが……部分公開ではありますが、「公開決定通知書」が届きました。これは完全に予想外でした。

てっきりもう一度延長してくるかと思っていたので、迅速に処理してくださった兵庫県警職員の方には、お礼申し上げます。

内容について

以下に全て公開します。公開決定通知書1枚+「別紙2枚」の3枚です。

別紙1の冒頭に書かれておりますが、公開されるのは以下の文書です。

  • 生活安全警察の基本
    • サイバー犯罪対策課4頁「コンピュータ・ウイルスに関する事案認知時の対応チャート」
  • サイバー相談対応要領
    • 「Case1からCase4」
  • 不正指令電磁的記録に関する罪の取締りの推進及び取締りに当たっての留意事項について

公開決定通知書

f:id:ozuma:20190410234249j:plain
公開決定通知書

f:id:ozuma:20190410234336j:plain
別紙1

f:id:ozuma:20190410234428j:plain
別紙2

考察

まず今回、一部で兵庫県警独自作成の文書が公開されるようです。私は警察庁の通達には基本的に目を通していますが、そこに過去掲載されていたことが一度もない文書があります。(かつ、検索しましたが見つかりませんでした)。

ということは、「不正指令電磁的記録に関する罪」の取締りを行うにあたり、兵庫県警は他の都道府県警とは違う独自基準を持っている可能性があります。また純粋に、犯罪構成要件を兵庫県警がどう考えているのかも、大変気になります。何度も書いていますが、それを知るために私は情報公開請求をしたのです。私と私の友人が逮捕されないためです。

文書が開示されましたら、無限ループJavaScriptへのリンクを貼っただけの行為に対して家宅捜索を行ったことが法律的に妥当かどうか、キッチリと見させていただきます。

また今回、一部が非公開となりました。内容を見ないとなんとも言えませんが、現時点では納得できる理由かと考えます。なお全体的に、一時延長をしてきた時と比べ、文書が「しっかり」しています。分かりやすく言えば、「官公庁慣れした人が書いた文章」っぽいです。バックに策士のブレーンが付いたのかもしれませんね。

Next Action

あとはコピー代を支払って取り寄せるだけですので、速やかに支払います。全文が届きましたら、こちらのブログでまた公開します。

またこれとは別に、前回書いた「第2の矢」は進めております。ただちょっと時間がかかりそうなので、これは相当先になるかもしれません。内容は書きませんし、聞かれても答えません。

さらにこれとは別に、「第3の矢」を用意しています。これはdiscloseの時期が難しいので、IT議論のSUGAI様と相談して決めます。(IT議論-「不正指令電磁的記録に関する罪」 各都道府県警への構成要件等の開示請求状況

また本日、CoinHive事件について横浜地検が控訴しました。これで私も覚悟を決めたので、「第4の矢」も用意することにしました。これも相当時間がかかりますが、成功すれば確実な効果をもたらせるので、やろうと思います。やはり内容は書きませんし、聞かれても答えません。ただしひとつ言うならば、私は「一匹狼」なのでずっと一人でやる予定でしたが、そのポリシーをこの第4の矢では捨てます。

今回言っておきたいこと:兵庫県警の現場の方を過剰に責めるのはやめましょう

「大事なことははじめに書け」と何度も教育されましたが、文章の構成上、後ろになってしまいました。A教授、すみません。

これまでと真逆のことを突然言うようですが、皆さん、兵庫県警の現場の方を過剰に責めるのはやめてください。意地悪をして「たたく」のもやめてください。それでは何も解決しません。

一番ダメな幕引きは、兵庫県警が今回の事件の担当者を懲戒し、「誤った判断をした捜査だった。担当者は処分した。」でオシマイにすることです。そして残念ながら、この幕引きとなる可能性が非常に高いと考えています。こうなってしまうと、繰り返しますが問題は何も解決しません。また数年経ったら、どこかの県警で同じ事件が発生し、叩かれ、担当が懲戒を受けます。それが永久に繰り返されます。

エラい人はいつでも責任を現場に押しつけ、そして貧乏クジを引くのはいつも現場の人間です。今回もそうなる可能性が高いため、それだけは無しだよと釘を刺しておかないといけません。組織の責任は組織が取らなくてはいけません。残念ながら、私にできることは、こうしてここでブログに記すだけですが……。

今回の冤罪事件(敢えて断言します)の原因は、多くの要因があると思います。いくつかは隠し球としてdiscloseしませんが、そのうちの一つは、間違いなく「曖昧すぎる法律の条文」です。

「不正指令電磁的記録に関する罪」は、この機会に条文の変更を前提として、きちんと国会・法務省で議論されるところまで持って行きたい。これが私の希望です。兵庫県警を叩くだけで解決する問題ではありません。ですから、そのレベルに到達するまで私は動きますし、現場を叩いて終わり、だけにすることは絶対にいけません。これはむしろ「現場のせいにして幕引き」にしたい人の思惑通りになってしまいます。

もし読んでいれば:兵庫県警の職員の方々へのメッセージ

素直に悪かったことは悪かった、と認めて欲しいです。今回の捜査は、強引すぎる点も多々見受けられます。突然の家宅捜索というのは、警察の皆さまが考えるよりも、ずっとずっと人の心を傷つけるのです。

しかし、あなた達はエラい人のスケープゴートになる可能性があります。自らの保身に注意してください。エラい人が決めたことの責任は、エラい人が取るのです。組織として行った行動の責任は、組織のトップが取るのです。

正しい職務規程に従い、正しい職務を行ったのならば、現場の人間に責任はありません。兵庫県警という組織に誤りがあったのならば、責任を取るのは兵庫県警のトップです。各都道府県警への指示に誤りがあったならば、責任を取るのは警察庁です。そして警察庁の指示に誤りがあったなら、その責任は国家公安委員会にあります。国の警察機構図はそのようになっています。

国家公安委員会

さて、進捗報告がこれだけで終わってしまってはつまらないので、ひとつTopicsを提供しておきましょう。本当は警察庁を取り上げたいのですが、そちらは隠し球がありすぎるので、今は触れるタイミングではありません。今回は国家公安委員会を俎上に挙げてみます。……と、その前に、皆さんは「警察のしくみ」をご存じでしょうか。念のため説明しましょう。

まず各都道府県警の上に、警察庁があります(警視庁は、東京都の警察組織であり、いわば「東京都警」です。間違えないでください)。警察庁のさらに上部組織が国家公安委員会です。国家公安委員会の上は、内閣総理大臣です。よく分からない方は、以下の「国の警察機構図」を印刷して壁に貼っておきましょう。

また、いわゆる「公安」と、国家公安委員会は別です。いわゆる「公安」は公安警察です。一方の国家公安委員会は行政委員会の一つであり、警察庁を管理するお役所です。お分かりいただけたでしょうか? まぁ、分からなくても置いていきます。

サイバー犯罪と国家公安委員会

さて、国家公安委員会の、サイバー犯罪への専門知識はどの程度のレベルなのでしょうか。何しろ攻殻機動隊がある組織ですから期待できそうです。(嘘です。草薙素子やバトーは公安警察であり、組織が違います。というか、あれはアニメとマンガの話なので現実と混同しちゃダメです)

その前に一点、注意しておきます。忘れないでください。CoinHive事件で検挙されたのはモロさんだけでなく、報道で見る限りでも全国10県警の一斉捜査によって最低16人が検挙されています(共同通信:違法マイニングで16人摘発)。報道されていない人もいるでしょうから、警察による日本最大の大量冤罪検挙事案として、歴史に残る可能性もあります。

さて国家公安委員会では、このCoinHive事件による大量冤罪検挙事案について、一斉検挙があった直後の平成30年6月中旬にどう評価されていたのでしょうか。それは以下の定例委員会の議事を見ればお分かりになると思います。

f:id:ozuma:20190330023853p:plain

引用元:国家公安委員会「定例委員会の開催状況」平成30年6月14日(木)

(5)仮想通貨の不正採掘に係る犯罪の一斉集中取締りの実施について

サイバーセキュリティ・情報化審議官から、仮想通貨を不正に採掘させるプログラムを利用した不正指令電磁的記録供用等事件について、宮城県警察等10県警察が6月13日までに一斉集中取締りを実施した旨の報告があった。

北島委員より、「各県警察の活動を高く評価したい」旨の発言があった。

川本委員より、「サイト上の広告と同様だという報道もあるが、このプログラムを利用した不正採掘は明らかに犯罪だと思う」旨の発言があった。

安藤委員より、「広告と仕組みが同じでどこが問題なのかと主張する人がいるとすれば、その違いが分かるように、閲覧者の認識、選択肢、パソコン端末への支障、社会的相当性等の点につき比較して丁寧に説明することで理解が得られるので、更に工夫していただきたい」旨、小田委員より、「県警察による良い検挙事例であることのみならず、このような目に見えない犯罪への注意喚起という面からも、一般の方にも分かるように丁寧に広報をしていただきたい」旨の発言があった。

気持ち悪いほど全員が絶賛です。自分たちは警察法第五条および第十七条にのっとり、警察庁を管理・統轄する立場である、ということをそもそも理解しているのでしょうか。念のため、警察法を以下に引用します。

警察法

第五条 国家公安委員会は、国の公安に係る警察運営をつかさどり、警察教養、警察通信、情報技術の解析、犯罪鑑識、犯罪統計及び警察装備に関する事項を統轄し、並びに警察行政に関する調整を行うことにより、個人の権利と自由を保護し、公共の安全と秩序を維持することを任務とする。

第十七条 警察庁は、国家公安委員会の管理の下に、第五条第四項各号に掲げる事務をつかさどり、並びに同条第五項及び第六項に規定する事務について国家公安委員会を補佐する。

せめて一人くらいは、慎重論を唱える人がいて欲しかったというのが私の素直な感想です。

特に川本委員の「明らかに犯罪だと思う」という発言は最高にアツくてロックですね。これにはクラウザー様もびっくりです。国家公安委員会の定例会議では、専門知識を駆使して刑法の解釈を論じるのでは無く、「自分が犯罪だと思うかどうか」という主観が優先されるのです。私は「日本は法治国家だ」と中学校で習いましたし、そう思っていましたが、どうやら違ったようです。

なお、これら委員のJavaScriptのスキルはどのくらいか、近年のマルチコアCPUはどのように動作しているのか知っているか、チューリング機械の停止性問題を説明できるか、刑法・刑事訴訟法の専門教育を受けているか、そしてそもそもサイバー犯罪に対して意見できるだけの専門知識・経験があるのか、全て謎です。

国家公安委員会警察庁の上部組織であり、警察事務を行う警察庁への管理責任を持つ立場です。その日本の警察を統べるトップ組織は、こんなノリです。残念ながらこれが現実です。こんな中、モロさんは冤罪で検挙され、さらには無罪判決を受けながら検察により控訴されました。

私が矛を向けるべき先が多すぎるので、これからの活動もかなりゆるやかになると思います。でもやめることはありませんので、生暖かく見守って頂けますと幸いです。そしてぜひ皆さん、モロさんへの援助をお願いします。これを放置していると、次に逮捕されるのはあなたかもしれないのです。

【付記】淡路島の帰属について

前の記事で私が四国出身であることと、「淡路島は徳島県に所属する」と書きました。これに対し、大量の「いや、兵庫県のものだ」という意見と、1つの「いや、上沼恵美子のものだ」という意見を頂きました。

このためこれらを踏まえ、次のように謹んで訂正いたします。

「淡路島は、兵庫県では無く徳島県固有の領土ですが、現在、上沼恵美子氏に実効支配されています」

(つづく)