Hatena::ブログ(Diary)

ものがたり RSSフィード

[Mono] [monogatari (en)]

2009-01-14

続: Winny研究者がなぜウィルスによる情報漏洩の責任を問われうるか  続: Winny研究者がなぜウィルスによる情報漏洩の責任を問われうるかを含むブックマーク

前回のエントリは15分くらいで率直な思考を手短にまとめただけだったので、はてブコメントを見る限り、いろいろと拡大解釈されたり、表現が安易でよろしくない部分もあったようだ。後者については単純にわたしの書き方の問題でそこは反省するとして、前者は払拭して、話がワープしないように長々と書いておこう。

まず、誰もセキュリティ対策として既に流出したものを消すようにしろとか出来るとか書いているわけではない。この意味で「『出来るはず』なんて言っているが出来るわけがない」という主張には意味がない。セキュリティ対策とは現実的なコストにおいて問題発生の可能性を低めることであるはずで、出来ないことを出来るようにしろというものではないはずだ。少なくとも法は不可能を要求しない。また、「出来ない」と主張しつつ、Winnyの作者に何とかしろと対応を要求する人がいるとすれば、それはダブルスタンダードである。

改善可能なのは、脆弱な実装の修正であろう。id:MarriageTheorem:20090113:1231831137 より

じゃあ、何もせずに現状を放っておいてよいのかというと決してそんなことはないわけで、元記事でも触れられていたように、(完全な解ではないにせよ)少しでも技術的な対処が可能となるように法律的に工夫することは重要だと私も思います。

法律には詳しくないですが、少なくともセキュリティ強化版Winnyを作者本人ないしセキュリティ研究者の有志が(情報漏洩事故の抑制を目的として)作成・配布しても法律に引っ掛からないようにするぐらいの対応が可能になるといいんじゃないかなぁ、と思います。法律的な制限が取り払われれば、現在よりもより突っ込んだ活動を行うセキュリティ研究者はきっと現れるのではないでしょうか。

セキュリティ対策は「できるはず」が無いと書いている当人自ら対策案を示されている。いや、もちろん「対策」の意図する内容について錯誤があるからであって、書いてある内容が矛盾しているわけではない。「できない」の部分では、わたしが主張してもいないことを批判しているから、こうなるのである。

以下のコメントの「…」以前の部分も要はセキュリティ対策を勝手に思いこんだ例だろう。

comzo 何が「“安全な”winnyのバージョン」なんだか…安全?誰が?誰の?何の脅威に対しての?そこを「自分の頭で考えろ」と仰せであるとすれば

katzchang 「自分が何をアップロードしてるかわからない」っていうWinnyの設計思想そのものに脆弱性があるわけで、パッチでどうこうできるものじゃない。

それ自体は上記の「流出したものを消せない」要因のひとつではあっても、情報流出を決定づける脆弱性ではない。公開のファイルホスティングサービスにファイルをアップロードし、2chなどにリンクを書き込む実装によっても、情報流出は発生しうる。

mohno 匿名でやってるんじゃなきゃ、こうはならなかったと思うよ。普通の研究者としてやっていたなら、皆から「外でやるのは、やめとけよ」って言われただろうし。

開発者が匿名かどうかは(という文脈だと解釈しておくけど)、法律行為の評価に何かしらの影響を及ぼすものではないように思う。

joker1007 不真正不作為犯の成立には保証人の立場であることが要件だが、セキュリティホールについて研究するだけで、そんな作為義務が生じるとは思えん。そもそも行為の難易度が違いすぎ。

tairada 遺棄致死等は自分の手で危険を作り出したからこそ問題になる例で、文中のそれとは異なるのでは?各技術者は、自分で漏洩可能性のあるソフトを作ったわけでなく、故意も欠くだろうし。

cubed-l その論理だと漏洩した情報がwinnyネットワークに流れていることを知りながらwinnyを利用している人の責任はどうなるのかな?

脆弱性を分析した結果を積極的に公開*1していても、保証人的立場に無いと言えるだろうか。情報の流し方によっては、ウィルス作成の幇助となりうるようにわたしには思える。その態様は、特に営利性などからも判断されうる。

これには、Winnyの特殊性もある。通常であれば、IPAガイドラインにて提示し報告を受け付ける脆弱性情報は、アプリケーション等の作者等に連絡され、相応の対応期間を経て対応が為されない場合は公開される。しかし、作者等が対応不能であることが明白である場合(これには、Winnyのように作者が訴追を受けている場合のみならず、作者が死亡している場合や逮捕勾留されている場合を含む)については、ガイドラインは想定していない。対策が施されないことが明白であり、かつ、この脆弱性の放置そのものによって被害が生じるわけではなく、むしろ公開によって情報流出の危険性が生じると考えられる以上、情報を公開することでかえってウィルス作成に積極的に貢献している(情報を公開しなければウィルス作成は為されなかった)と認められる状況もありうる*2というのが、わたしの指摘である。

同問題に関連するコメントとして

chromegreen Winnyの危険性(暴露ウィルスの驚異(ママ)、Winny使用により発生し得る著作権侵害行為)を示しWinnyを使うなと主張するコトが研究者の相応の作為義務ではないだろうか。それは研究者はしていると思うが。

bunoum 著作権侵害の幇助⇔情報漏洩の幇助、というジレンマ。研究者は全力で見て見ぬふりをせよ。

Winnyを研究しているセキュリティ技術者に*すべからく*責任が認められるなどという恐ろしい主張は、わたしはしていない。表題に「責任を問われうるか」と書いているところにもう少し注意してもらいたかった。

さて。最後にはてブコメントとは関係のない補足を書いておこう。

わたしが先のエントリを書いた時に特に念頭にあったのは、(人の自由を売り渡して金にする規制利権はけしからんという基本的立場はおいておくとして)Winnyの作者にどうにかしてほしいという声がちらほら見られたことである。Winny自体は中立的道具であるから、そのauthority(創作者)が誰であるかは、本質的な問題ではないと考えている。Winny作者は改良を加えたことを理由に逮捕されたが、加工したバージョンを使用・公開したのが他の者であったとしても、理論的には同じことになったはずだ(これは特にWinnyではなく、オープンソースなど共同でソフトウェアを開発する場合や、フリーソフトウェアのパッチを作成する行為などに置き換えて考えると分かりやすいだろう)。

積極的改良という点を要件として言及したのは、もちろんWinny作者が幇助罪に問われた地裁判決とパラレルに捉えているためである。この地裁の判断が正しくないということであれば、この議論も前提の大きな部分が問い直されることになるだろうと思う。

別に、後ろ暗いところが無ければ、過剰反応するような話ではないはずだと思うのだけどな。

あと某所に投げたメールは、わたしの著作物だし、気が向いたら公開します。

追記: 新しく飛んできたTBについて。作者が修正版を公開することには期待可能性が無いとわたしが書いているのは、純粋に当事者として法廷で係争中だからであって、これはセキュリティ技術者には当てはまらない。修正版の作成・公開は緊急避難であると信じて実行した場合、それについて相当の理由がある場合は誤想防衛、あるいは故意に欠ける、あるいは違法性の意識の可能性に欠けるとして犯罪にならない可能性は高い(相当の理由がない場合はそうは言えないだろう)。したがって(2.)にかかる解釈は誤りである。なお、この観点で情報漏洩が重大なものであるかどうかという点について最初の雑考に言及もしてある。

あと最後にいい物を貼っておきます。

追記: まだTBが来ているけど、

  • 1. Winny作者が緊急避難に値しないと認識しているなら(作者自身は憂慮はするけど大問題だと言って騒ぎ立てている身分ではないもの)緊急避難を信じようがないし、その場合もし緊急性がないということになったら誤想非難にならないんだから危険でしょう。もちろん、同じことが「騒ぎ立てているわけでも何でもない」セキュリティ研究者について言えます。
  • 2. 違法性の意識不要説はあくまで古典的・伝統的な発想であって、盪害惰犹辧峺琉佞醗稻\の意識」の指摘に加え、2008年12月に刊行された井田良「講義刑事学・総論」P.374では「判例の主流は、違法性の意識不要説をとってきたが、最近の最高裁は、上のような学説の見解を排斥することなく、将来において従来の立場を再検討する可能性を示唆している。…」と指摘し、その他下級審において違法性の錯誤に相当の理由があることを理由として犯罪不成立を認めた事例もいくつか紹介されています。

追記: またTBが来ている。誤想避難とかわざわざキーワードを並べ立てたのに。主観的要件を満足しなければ犯罪が成立しないってこと、わかってますかね。

*1:ここでいう公開とは誰でもアクセスできるWWW上でとは限らない

*2:作者自ら対策を施すことが認められるべきであるという立場のセキュリティ技術者には、当てはまらないかもしれないが、当人の主観的事情をどう法的に判断するかは自明ではないので明言は避けたい