しばらく間が開いてしまいました。本業の方が忙しかったり色々あって2ヶ月ぶりですが、マイペースで続けます。兵庫県警へ情報公開請求をしていた公文書が届きましたので、今回はそちらを見ていきたいと思います。

が、その前にいったんあらすじをつけておきましょう。

これまでのあらすじ

「JavaScriptのforループでalertウィンドウを出すだけ」という、いわゆるジョークプログラムへのリンクを張った3人が、兵庫県警によって1名(未成年)が補導、2人が書類送検される予定という事案が発生しました。
本件に対し、兵庫県警の捜査が極めてずさんかつ法律の解釈が曖昧すぎることから、「どのような内容をもって犯罪行為とするかの構成要件等を記載した文書」を兵庫県警へ情報公開請求しました。
請求されるのを待っている間に他にも調べていたところ、警察庁が47都道府県警に対して通達「丁情対発第108号・丁情解発第27号」を出していることが分かりました。そこには、「不正指令電磁的記録に関する罪」について、警察庁から各都道府県警察に対し、「積極的な取締りを実施し積極的な検挙広報をする（＝晒し者にしろ）ように」という通達が出ていました。
同様事例としてCoinHive事案がありましたが、これについての議事録を確認したところ、警察庁を管理する国家公安委員会は委員全員が、検挙を絶賛していました。
待っていた兵庫県警の資料が公開され、郵送されました。ご担当者さま、お手数をおかけしました。

というわけで、今回は5を見ていきます。

なお、「相変わらずお前の記事は分かりにくい。あらすじはモーメントを作れ」と会社の後輩から暖かい言葉を頂いたので、Twitterのモーメントを作りました。以前の記事はこちらで追えますので、合わせてご覧ください。

Twitter Moment: 兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました

兵庫県警より公開された文書

実は既に「IT議論」のSUGAIさんにお渡しして公開して頂いているのですが、改めてこちらでも公開いたします。兵庫県警から公開されたのは、以下の3つの文書です。

「生活安全警察の基本」より、サイバー犯罪対策課４頁「コンピュータ・ウイルスに関する事案認知事のフローチャート」
サイバー相談対応要領「Case1からCase4」
不正指令電磁的記録に関する罪の取締りの推進及び取締りに当たっての留意事項について」

このうち、2は兵庫県警独自作成の資料です。それ以外は、警察庁からの通達文書など全国47都道府県で共通のものです。

ひとまず順番に見ていきましょう。なお、ここで文書を公開することは、著作権法第13条の2で「著作物としての権利対象とならない」ものとして「国若しくは地方公共団体の機関の告示、訓令、通達その他これらに類するもの」と挙げられていることから、著作権法上問題ありません。

1. 「生活安全警察の基本」より、サイバー犯罪対策課４頁「コンピュータ・ウイルスに関する事案認知事のフローチャート」

見ての通り、ほぼ黒塗りで何も得られる情報はありません。

f:id:ozuma:20190707220334p:plain — コンピュータ・ウイルスに関する事案認知事のフローチャート

しかしこれは珍しいことではなく、通常はこんなものです。何しろこのフローチャートを明かしてしまうと、それこそ警察の手の内を全て見せてしまい、完全に犯罪者が有利になってしまいますからね。（兵庫県警はこういう捜査をするなら、先にこの証拠を消しておこう、とかヒントになっちゃいますから）。

ですから、「まぁそうでしょうね」という感想です。お手数をかけて公開いただき、ありがとうございました。

2. サイバー相談対応要領「Case1からCase4」

これは兵庫県警の独自作成の文書です。そのため、他の46都道府県とは違う独自文書であり、兵庫県警の行動のベースとなっているかもしれない貴重な資料です。

ただし本文書は「サイバー相談対応要領」です。今回の無限アラート事件では、「被害者はゼロ」という報道が出ています（ITmedia 神戸地検、「ブラクラ貼った」と書類送検された男性2人を起訴猶予処分に　「ウイルス罪に該当」との認識は変わらず）。すなわち「サイバー相談」は無かったはずですが、サイバー犯罪対策課がふだんからこの対応要領で動いていることは確かですから、その考えのベースとしてきちんと見ることに意味はあるでしょう。

公開されたのは以下8ページ、16スライドです。

PDF一括ダウンロード（1.1MB）

f:id:ozuma:20190707221422p:plain — (一部抜粋：スライド5, スライド6)

さて、この内容について皆さんは何を思うでしょうか。

あまり失礼にならないように私の感想を控えめに述べると、「ショボっ!!」ですね。そして、なぜこの対応要領をもとに無限アラートを検挙しようと思ったのか、私は読み取ることができませんでした。

さて「IT議論」のSUGAI様が公開されていますが、同様の資料として山口県警は「生活安全捜査（応用編）不正指令電磁的記録作成等事件捜査」という資料を作っています。

【山口県警】「不正指令電磁的記録に関する罪」における構成要件に関する開示結果について

f:id:ozuma:20190707215938p:plain — 山口県警生活安全部資料より抜粋（赤線部はozumaが追加）

こちらはなかなかしっかりしており、法律の条文をきちんと噛み砕いた上で、捜査現場の人間が参考にできるマニュアルです。実に「分かっている」人が書いた感があります。どなたが書かれたのかは分かりませんが、この山口県警生活安全部の「生活安全捜査（応用編）不正指令電磁的記録作成等事件捜査」を書かれた方には敬意を表します。

3. 不正指令電磁的記録に関する罪の取締りの推進及び取締りに当たっての留意事項について

まず、文書は以下となります。

こちらについて、その前提は前回のその5で詳しく書きました。ですが誰も覚えていないと思いますので、もう一度おさらいしておきます。

(a)は、警察庁から各47都道府県警察への通達「丁情対発第108号・丁情解発第27号」です。Web上には「概要」しか公開されておらず、情報公開請求をしてやっと本文が出てきました。忘れてしまった方はその5を読み直して頂ければ良いのですが、要するに「不正指令電磁的記録に関する罪」の「積極的な取締り」へ警察庁から47都道府県警へハッパをかけ、そして恐ろしいことに「積極的な検挙広報」をして晒し者にしろ、という通達です。

(b)(c)(d)は、法務省からの通達文書です。なぜこれが? と思うでしょうが、(a)の中で「本罪の解釈等については、法務省から各検察庁に対して通達（別添参照）が発出されているところであるが、……(以下略)……」とあることから、警察庁の通達「丁情対発第108号・丁情解発第27号」にはこの法務省通達も含まれており、それがそのまま公開されたようです。

(b)(c)(d)も重要な資料で、実はこの通達はWebには公開されておらず、はじめて出てきました(私の検索力が足りなかっただけで本当はあったかもしれませんが、そうだとしても以下の議論に影響はありません)。というわけで読んでみましょう。

(b)(c)(d)法務省刑制第４１号（例規）

これは平成23年7月8日の法務省からの通達、"情報処理の高度化等に対処するための刑法等の一部を改正する法律」（罰則整備関係部分）の施行について（依命通達）"です。

本通達の宛先は検事総長殿・検事長殿・検事正殿となっており、要するに検察です。当然のことながらすべての検察庁職員（横浜地検と神戸地検もですよ、もちろん）は本文書を熟読し、起訴および裁判においてはこの法務省の通達に従わなければなりません。

どうやらこの文書の要約版が、法務省でWeb公開されている「いわゆるコンピュータ・ウイルスに関する罪について」のようです。同じ文章が双方に出てきます。ただし、一番大事な「別紙2」がWeb上の法務省公開文書には付いていません。

条文の曖昧さ

不正指令電磁的記録に関する罪については、これまで何度も「条文の曖昧さ」が指摘されてきました。

この法律制定時にも、プログラムのちょっとしたバグで有罪になるのか? という点が不安視され、多くの議論がなされました。高木浩光先生が弁護士と議論したブログが残っていますし、情報処理学会はソフトウェアのバグ等を処罰対象としないようにする声明を出しています。

法務省も当初ここを汲み取っていたようで、(b)(c)(d)では十分にここを配慮するように、という文書となっています。しかし結局、「曖昧すぎる条文」はそのままにして「運用でカバー」することにして法律が施行されてしまいました。

ITエンジニアの方ならお分かりでしょうが、こうして「運用でカバー」することにしてしまったのがそもそもの誤りでした。「運用でカバー」は必ず破綻します。事実、平成23年に制定されたこの法律は、Wizard Bibile事件、CoinHive事件、そして無限アラート事件と、警察による数々の冤罪事件を生み出しました。

さて、開示された(b)(c)(d)文書を見ると、色々と重要なことが書いてあります。

(b)の一番最後に、以下の文章があります。日本のすべての検察官の方、これをちゃんと遵守しているでしょうか。法務省の通達ですよ。

参議院における付帯決議　本法の国会審議に際し、別紙２のとおり、参議院法務委員会において付帯決議がなされているので、捜査等に当たっては留意されたい。

というわけで、(d)の別紙2は重要です。本法は立法時、やはりすったもんだがあり、参議院付帯決議をなした上で立法という形になりました。その内容が以下です。

政府は，本法の施行に当たり、次の事項について特段の配慮をすべきである。　一　不正指令電磁的記録に関する罪（刑法第１９章の２）における「人の電子計算機における実効の用に供する目的」とは，単に他人の電子計算機において電磁的記録を実行する目的ではなく，人が電子計算機を使用するに際してその意図に沿うべき動作をさせない電磁的記録であるなど当該電磁的記録が不正指令電磁的記録であることを認識認容しつつ実行する目的であることなど同罪の構成要件の意義を周知徹底することに努めること。また，その捜査等に当たっては，憲法の保障する表現の自由を踏まえ，ソフトウェアの開発や流通等に対して影響が生じることのないよう，適切な運用に努めること。

繰り返しますが、この別紙２は「本法の国会審議に際し，別紙２のとおり，参議院法務委員会において付帯決議がなされているので，捜査等に当たっては留意されたい」として付いているものです。つまり上記の引用文は国会審議での付帯決議であり、当然のことながら警察庁、検察庁、そして兵庫県警・神戸地裁も留意しなくてはいけません。今回の無限アラート事件において、冤罪による家宅捜索を行った兵庫県警と、その令状を発行した地裁簡裁は、「憲法の保障する表現の自由を踏まえ，ソフトウェアの開発や流通等に対して影響が生じることのないよう，適切な運用に努め」ていたのでしょうか。

また、四、五も重要ですね。

四　サイバー犯罪が、容易に国境を越えて行われ、国際的な対応が必要とされる問題であることに鑑み、その取締りに関する国際的な捜査協力体制の一層の充実を図るほか、捜査共助に関する締結推進等について検討すること。　- 五　本法の施行状況等に照らし、高度情報通信ネットワーク社会の健全な発展と安全対策のさらなる確保を図るための検討を行うとともに、必要に応じて見直しをすること。なお、保全要請の件数等を、当分の間１年ごとに当委員会に対し報告すること。

はい、というわけで、「国際的な捜査協力体制の一層の充実を図る」ことに警察庁は何をしたのか、「本法の施行状況等に照らし、高度情報通信ネットワーク社会の健全な発展と安全対策のさらなる確保を図るための検討を行うとともに、必要に応じて見直しをする」ために法務省は何かしたのでしょうか。その検討資料、報告書があるはずです。これは情報公開請求により、きちんと公開してもらい、本当に「必要に応じて見直し」をしているのかを確認しなくてはいけません。

やり方は色々ありますが、長くかかりそうなので気長にお待ちください。

最後に言っておきたいこと

サイバー犯罪は、県境は関係ありません。兵庫県警がその気になれば、東京都在住の一般市民を逮捕することができます。結局は想像力の問題です。皆さんは、「自分が逮捕されるかもしれない」と考えたことはありますか?

今回の問題で、何度も「いたずらしたのだから警察に検挙されて当然」「悪意があってやったのだから、しょうがないでしょ」という意見を頂きました。何度も何度も何度もです。その回答はその3の「無限ループスクリプトで、他人にイタズラしたことは事実でしょ。それを肯定するの?」に書いていますが、重要なことなのでもう一度書きます。

警察が「こんなことしたら、あかんで」とメッと叱ることと、検挙することは全く違います。私はこの問題を、刑法犯として扱うことが間違っていると言っているのであり、悪意だとかマナー違反だとか倫理的によくないとか、そんなことは話していませんしそんなことは今はどうでもいいのです。

もう一度繰り返しますが、皆さんは、「自分が逮捕されるかもしれない」と考えたことはありますか?

私はあります。それも何度も。私は脆弱性診断・ペネトレーションテストを行うという特殊な職種のため、検証／解析のために本物のマルウェア（いわゆるコンピュータウイルス）や、本物の攻撃ツールを所持しているためです。

なお、日本で一番逮捕されたがっているはむかずさんも「自分が逮捕されるかもしれない」とお思いでしょうが、ちょっと話がややこしくなるので置いておきます。（なお、はむかずさんのアプローチは私と大きく違うため、一緒に何かやろうとはあまり考えておりませんが、目指すゴールは同じですので、彼の行動については敬意を持っています）

プログラマが「不正指令電磁的記録に関する罪」で逮捕されるとき

今回の無限アラート事件に見るように、既に警察の暴走は始まっており、「運用でカバー」は破綻しています。ちょっとした面白プログラムを書いて公開した途端に、兵庫県警に逮捕される可能性があるのです。対岸の火事ではありません。このブログを読んでいる方の中にはITエンジニアで日々プログラムを書いている方もいるでしょう。もしそこで、ちょっとしたジョーク（いわゆるイースターエッグ）を仕込み公開した時点で、あなたは逮捕されるかもしれないのです。

兵庫県警は、貴重なリソースを無駄遣いし、本当に検挙すべきフィッシング詐欺・Tech Support Scam(あなたのPCはウイルス感染してますよと出るアレです)・ECサイト等への不正アクセスを放置し、一般市民を冤罪検挙し続けています。今回の無限アラート事件では不起訴となりましたが、それは「嫌疑なし」「嫌疑不十分」での不起訴ではなく、「起訴猶予」です。ですからこれは逆に、兵庫県警に対して神戸地検は「それは犯罪です」と認めたことになります。この件については、横浜パーク法律事務所が「アラートループ事件の被疑者２名に対する起訴猶予処分を受けて」に声明を書いておりますので私から補足することはありません。

兵庫県警は今後も、「forループでポップアップ出すだけのジョークプログラム」を逮捕し続けます。前例がある限り、彼ら彼女らは同じ過ちを犯し続けて冤罪事案は続きます。止めなくてはいけません。

日本ハッカー協会主催：不正指令電磁的記録罪の傾向と対策セミナー

2019年4月26日に、日本ハッカー協会主催の「不正指令電磁的記録罪の傾向と対策セミナー」が開催されました。ふだん顔なじみのセキュリティエンジニアの知人達が、警察と検察の役割や刑事訴訟法について熱心に質問する姿は実に印象的でした。

内容は各メディアがまとめているので、そちらをご覧ください。動画も公開されています

専門家のお二人が話されているので、私からは1点、補足だけしておきます。

事前の同意にこだわる危険性

CoinHive事件について、「事前の同意を取っていれば問題なかった」という意見が多くあります。しかし私は高木先生と同じく、「誰にとっても実行の用に供されたくないもの」だけが不正指令に当たるべきと考えます(一言でいえばMalwareです)。立法時に、そもそも「いわゆるウイルス罪」として、そういう意図で作っているのですから当たり前です。

もしあらゆることに「事前の同意」を取らねばならないとすると……Google Mapsがはじめて登場したとき、世界中がその「意図に沿うべき動作をしない」ことに驚き、絶賛しました。それまでの地図アプリと言えば上下左右の移動矢印と、拡大縮小ボタンを押して都度ページ遷移するのが当たり前で、あのようにAjaxを縦横無尽に使いスムーズに動くWebアプリはまさに「意図に沿うべき動作をしない」ものでした。Google Mapsが、「地図を動かしてよろしいですか?」「拡大してよろしいですか?」「縮小してよろしいですか?」と出すことを、本当に皆さんは望むのでしょうか?

また「事前の同意」は、上記のような新規技術のみならず、様々な面に影響を及ぼします。ジョークソフトや、びっくり箱を作ることが不可能になります。ファイナルファンタジー7で、エアリスが死ぬことを意図した人はいたでしょうか? 私は意図していませんでした。となると、事前に同意を取らなくてはいけません。

f:id:ozuma:20190708002857p:plain

※もちろんこれは極端な例で、ゲームはそもそもそういうものだから「ユーザを驚かせる」という事前の同意はあるでしょう。ただ、問題を軽く見過ぎな方が多いため、あえて極端な例を出しました。

これからどうするのか

兵庫県警の自浄作用は期待できません。ですから私は行動をやめることはありません。ただ、ここでいったん兵庫県警を直接ではなく外堀を埋めていきたいと思います。

何人かの方からメールでご指摘も頂きましたが、不正指令電磁的記録に関する罪の運用が暴走している背景には、捜索差押許可状(捜索令状と差押え令状が悪魔合体したものです：普通は警察はこれを裁判所へ請求します)を発行している裁判所、そして法務省にも責任があります。そのため次回は法務省に対して行動を起こします。すでに準備はできているのですが、相手が法律のプロということもあり、とても慎重にやらねばいけません。次のブログがいつになるかは未定ですが、気長にお待ちください。意外とすぐかもしれません。

最近は本業が忙しく、私の活動はスローです。しかし、やめることはありません。兵庫県警が正式に「あれは誤りだった」と認めて謝罪しない限り、悪しき前例は残り続け、今後も同じことで逮捕者が出続けます。ですから、私は兵庫県警が正式に誤りであったことを認めない限り、いつまでも活動を続けます。