2011 年 8 月 15 日、アプリテック株式会社は、株式会社シマンテック (東京都港区赤坂 1-11-44) を被告訴人とし、不正指令電磁的記録作成罪 (刑法168条の2第1項)、不正指令電磁的記録取得・保管罪 (刑法168条の3)、器物損壊罪 (刑法261条) を罪名とする告訴状を赤坂警察署長宛に送付しました。
アプリテック株式会社の担当者は、次のような談話を発表して、サイバー世界 (インターネットの世界) においても、警察・検察組織が市民からの信頼を獲得することを求めると述べました。
(談話の内容)
コンピュータウイルスの作成・保管・提供行為などを罪に問ういわゆる「ウイルス作成罪」が 2011 年 7 月から施行されたのは、喜ばしいことです。これまで、リアル世界 (非インターネットの世界) でその必要性、有効性が認められ、市民の信頼を獲得してきた警察・検察組織が、サイバー世界 (インターネットの世界) へと活躍の場を広げることになるからです。サイバー世界は、これまで法の整備が不十分であったために警察・検察が手を出せない部分もあり、無法地帯の様相を呈していました。これが今回の法改正で少し改善されたことになります。もちろんこれだけで十分とはいえませんが、法の整備が一歩前進したことは確かです。
今回の刑法改正の前にも、2010 年 8 月 4 日、警視庁は、「タコイカウイルス」を作成し、パソコンを壊したとして、器物損壊の疑いで大阪府泉佐野市の会社員の男を逮捕しています。ウイルスによるハードディスク破壊に対して、まだ十分に世間の合意が形成されていない器物損壊容疑を適用しての一歩踏み出した逮捕です。
今回の刑法改正の後の 2011 年 7 月 21 日、警視庁は、P2Pファイル共有ソフト「Share」ユーザーに感染させる目的でウイルスをパソコンに保管していたとして、不正指令電磁的記録保管容疑で岐阜県大垣市の無職の男を現行犯逮捕しました。
警察のこうした活躍が皆無ということではないのですが、ウイルスの猛威に比べると、もっと活躍があってしかるべきではないでしょうか。今後の活躍が期待されますし、サイバー世界での信頼を警察・検察の組織が得るためには、この分野の要員の増強など組織的な対応が求められるところです。
さて、これまでのところでは、警察・検察の組織に頼るだけでは不十分だったので、善良なる市民は、ウイルスチェックソフトに頼ることになりました。ウイルスチェックソフト会社からウイルスチェックソフトを購入して、いや購入ではなく、いわば一種の「みかじめ料 (注1)」を毎年毎年払うことによって、ウイルスからの守りを固めることになりました。これは、江戸時代のリアル世界における親分衆の役割に似たところがあります。警察の活躍が不十分だった昔、それぞれの土地の親分衆に「みかじめ料」を払って守りを固めたのと、似た構図です。
注1:みかじめ料とは、用心棒としてのサービスを受けるために飲食店などが暴力団に支払う金品という意味に使われることが多い。実際には、その暴力団からの嫌がらせを受けないようにする“用心”のために支払われることが多い。ここでは、「みかじめ」を取締り、あるいは後見という本来の意味に捉えて、暴力団に限定せずに、ある組織または個人からの 「広い意味でセキュリティを守るというサービス」 を受けるための代金という意味に使っている。
親分衆がいわゆる任侠道に則り、公平公正で、彼らの提供するセキュリティサービスに対する「みかじめ料」が妥当なものであれば、問題は少ないかもしれません。しかし、リアル世界においては、親分衆が暴力団に育ってしまったという苦い歴史がありますから、ウイルスチェックソフト会社には、特別な注意を払っていくことが必要です。
私どもソフト会社の仲間内では、次のようなことをささやくことがあります。「ウイルスチェックソフト会社は儲かっているようでうらやましい。ウイルスチェックソフト1本につき毎年数千円の売上が立つのだから、儲かるはずだ。ところで、誰がウイルスをばらまいているのだろうか。その裏には、ウイルスチェックソフト会社の関与があるに違いない。」これは単なる仲間内のささやきであって、証拠があってのことではありません。ですから、こうしたうわさ話は慎むべきでしょう。少なくとも私どもでは、こうしたことを言わないようにしています。
しかし、ウイルスチェックソフト会社の中には、絶大なる権力を獲得したと勘違いして、横暴な態度になりつつある会社も見受けられます。具体的に述べると、彼らの気に入らないソフトは、ウイルスであろうがなかろうが、削除してしまって、「安全になった」と平然としているのですから困ったことです。つまり、罪のないソフトをウイルスだと偽って、勝手に削除してしまうことがあるのです。これは、証拠がある事実です。まさにウイルスチェックソフト会社が暴力団に変身しつつある現場ではないでしょうか。恐ろしいことです。
ここで、ウイルスチェックソフトの仕組みと誤認について簡単に述べておきます。どこかでウイルスが見つかると、ウイルスチェックソフト会社の人々は、その手配書を作成して彼らのコンピュータ (サーバ) に格納します。ウイルスチェックソフトは、通常その手配書を取り込んで (ダウンロードして) 手配書に基づきウイルスかどうかの判定をします。このときに、手配書の作り方が悪かったりして、ウイルスではないプログラムを誤ってウイルスだと誤認することが、ある低い確率ですが発生します。いわば、犯人ではないのに犯人だと誤って逮捕するようなものです。こんなことが発生すると、誤認されたプログラムの製造元や販売元は、大変な迷惑ですから、ウイルスチェックソフト会社に手配書の修正を求めます。そして、良心的なウイルスチェックソフト会社であれば、誤認したことを詫びるとともに、手配書の修正に全力で取り組むものです。プログラムの製造元や販売元は、ある確率で誤認が発生するのは仕方のないことだと考えるのが普通ですから、つまり寛容な精神を持っていますから、手配書の修正によって誤認が発生しなくなれば、それ以上の追求はしないものです。
完璧を求めるのは難しいでしょうから、ウイルスチェックソフト会社が誤認への対応をきちんと行ってくれれば、ウイルスチェックソフトのことをウイルスの一種だと言うのは、いきすぎかもしれません。しかし、誤認への対応が不十分であり、かつ誤認を起こしても構わないとウイルスチェックソフト会社が考えているとしたら、話は違います。ウイルスチェックソフトが無実のプログラムを削除するならば、そのウイルスチェックソフトのことをウイルスだと認識すべきです。暴力から守る役割のガードマンが善良なる市民に暴力をふるったとしたら、そのガードマンは暴漢以外の何者でもありません。ウイルスが行う典型的な悪さは「プログラムやファイルを勝手に削除する」ことですが、ウイルスチェックソフトは、まさにこれを実行するのです。
以下では、ウイルスチェックソフト会社であるシマンテック社の誤認への対応の悪さ、およびシマンテック社が誤認を起こしても構わないと考えている証拠などを述べます。
その前に、ウイルスチェックソフト会社間の競争を概観しておきます。ウイルスチェックソフト会社は、割の良いビジネスでしたから、そこに新規参入する企業も多くあり、競争は熾烈になっています。また、マイクロソフト社は、Security Essentials というウイルスチェックソフトを今のところ無料で出荷していますので、単なる価格競争ではないというビジネス上の難しさがあります。各ウイルスチェックソフト会社は、ウイルスの脅威などを大々的に宣伝して、自社のウイルスチェックソフトの優秀さを訴えています。そして、彼らに都合のよいことに、ウイルスによる攻撃は、猛威をふるっているのです。
ちなみに、ウイルスチェックソフトは、作成されたウイルスを検出して、削除するものですが、ウイルスを作成した犯人を処罰するものではありません。ですから、単なる対処療法であって、ウイルスによる攻撃を静める働きは薄いといえます。ウイルスによる攻撃を静めるには、ウイルスを作成した犯人を処罰することが有効でしょう。ここに警察の活躍が求められています。警察にそれなりに税金をまわして、この分野で警察が活躍しやすいようにする政策・政治が求められます。
ところで、ウイルスチェックソフト会社はウイルスに関する情報を多量に持っていますが、それを警察に知らせてウイルス作成犯の逮捕に協力しているでしょうか。ウイルスチェックソフト会社の多くは、表面的にどう見えるか分かりませんが、内心は警察への協力を渋っているのではないでしょうか。もしそうなら、それはウイルスの攻撃が沈静化して、彼らのウイルスチェックソフトが販売不振になることを恐れてのことでしょう。きっと彼らは、ウイルスの攻撃が猛威をふるうことを歓迎しているように思われます。ウイルスチェックソフト会社は、警察に協力するという社会的責任を果たして欲しいものです。
さて、老舗のシマンテック社は、新興の会社などが台頭する中で、ウイルスチェックソフト会社間の激しい競争にさらされました。そして、その対応策の一つとして、まだウイルスであることが確認されていないウイルスを見つけて削除する SONAR という機能を開発しました。そして、シマンテック社は、SONAR を同社のウイルスチェックソフト Norton の中に組み込んで、技術的な先進性を訴えたのです。
この SONAR は、いわば未完成の人工知能をウイルスの検出に使おうというあぶないものです。具体的に言うと、彼らの研究所で SONAR に機械学習をさせます。つまり「プログラムがかくかくしかじかの動作をしたら、それは怪しいからセキュリティ上の脅威だとみなして削除するように」と SONAR に教え込みます。こうしたことを機械学習した SONAR は、各パソコンの中でその動作状況を監視して、怪しいプログラムを勝手に削除することになります。
手配書に従ってウイルスを検出した場合は、通常、何々のウイルスが検出されましたとウイルス名が表示されます。しかし、SONAR が検出したセキュリティ上の脅威の場合には、ウイルス名は表示されずに、削除されてしまいます。前者は、いわば警察官が指名手配された犯人を逮捕するようなものですが、後者の SONAR は怪しい行動をとる人に警察官が職務尋問をして、最終的に現行犯逮捕に結び付けたようなものです。適切な職務尋問は、犯罪を未然に防ぐ効果もあり、有効だと思いますが、職務尋問の対象者をすべて逮捕するようでは、明らかにいきすぎです。職権乱用ですし、誤逮捕も増えることでしょう。
そもそも SONAR は、経験を積んだ警察官に似ているというより、怪しい行動とは何かを教えられただけの素人のようなものですから、見誤ることも多い上に、さらに困った事に、怪しいと判断すると、それを即、削除してしまうのです。本来であれば、SONAR が怪しいと判断したプログラムは、シマンテック社の適切な社員の方々などに詳しく判断をしてもらうようにと、パソコンユーザにうながすべきでしょう。しかし、そんな正当なやり方をするには、シマンテック社において数多くの社員を雇うことが必要でしょうから、それを省略して怪しければ即、削除としているのです。
シマンテック社の SONAR 開発の責任者の話では、SONAR の誤認率は、0.2 %から 0.3 %とのことです (私どもの経験では 25 %)。また、その責任者は、機械学習の詳細は、シマンテック社以外の会社のソフトを用いて行っているのでわからないなどと、平気で述べるのですから無責任極まりません。
誤認率の測定方法の詳細は分かりませんが、いずれにしても相当に高い誤認率ですし、広く用いられている手配書に従ったウイルス検出方式に比べても桁違いに大きな誤認率だといえます。
こんな高い誤認率ですと、誤認問題が騒ぎになってしかるべきですが、インターネット上の書き込みにちらほら見られる程度です。これは、性犯罪の被害女性からの告訴が少ないのと同様のことです。中小ソフト会社のプログラムが誤認された場合に、風評被害などを恐れて、中小ソフト会社は誤認問題を表沙汰にしないことが多いのです。
シマンテック社は、これをいいことに、誤認を直したければ、英語で誤認レポート書けとか、最初の1回目の誤認は直すが、2回目以降は彼らのホワイトリストに登録せよとか、誤認が発生しないプログラムに直せとか、横暴な態度をとっています。誤認問題が発生したときに、修正すべきはウイルスチェックソフトであるにもかかわらず、誤認されたプログラムの製造元の責任であるかのごとく言うのですから、酷いものです。
ただし、大手のソフト会社のプログラムは、機械学習の際に誤認しないように SONAR に教え込んでいるためか、誤認が少ないように思われますし、誤認が発覚した場合に、すぐに修正するためか、問題になることが少ないようです。
しかし、中小ソフト会社のプログラムが誤認された場合には、上記のような有様なのです。シマンテック社は、表沙汰にされないだろうと、中小ソフト会社を見透かしているように見受けられます。
この背景には、シマンテック社では、誤認対応にかかる費用を少なくして、儲けを増やそうという方針があるようです。SONAR の誤認の件数は、相当に多いはずです。だから、SONAR を作ったものの、誤認対応をまともに行ったのでは、費用がかかりすぎることでしょう。ですから誤認対応を合理化したいと考えるのも無理のないことです。考えるだけなら自由ですが、他社の迷惑をかえりみずに行うのですから困ったことです。つまり、シマンテック社は、中小ソフト会社のプログラムが誤認された場合は、表沙汰になりにくいことを見透かした上で、SONAR を直すのではなく、誤認されたプログラムの製造元が、セルフサービスで直す方向に誘導しているように見受けられるのです。
これらのことから、SONAR は、一種のウイルスであり、中小ソフト会社の善良な (ウイルスでない) プログラムを「セキュリティ上の脅威だ」と嘘をついて勝手に削除するもの、つまりウイルスに他ならないと言えます。ウイルスの中には、ある条件のときに悪さをするものがありますが、SONAR は相手を見て表沙汰にしないだろうとの予想のもとに弱い者いじめをする (結果的にこのように機械学習させた) 悪質極まりないウイルスだといえます。
シマンテック社は、できれば誤認をなくしたいと考えているようですが、中小ソフト会社のプログラムを SONAR が誤認して削除することがあっても仕方がないと考えていますから「未必の故意」があることは明らかです。シマンテック社は「平成 22 年 3 月 14 日付のご連絡書にて要望している弊社のプログラムを根本を直す予定は一切ありません。」と述べているのです。このプログラムとは SONAR のことなのです。
これらのことから、シマンテック社を厳しく取調べて、SONAR 関係者を器物損壊容疑または不正指令電磁的記録保管容疑で立件することを、警察に求めたのです。
第 177 回国会 衆議院法務委員会 平成 23 年 5 月 27 日 質疑応答
─ いわゆるウイルス作成罪に関する審議で ─
大口委員:(・・・ 省略 ・・・。) それから、プログラム業界ではバグがつきものだと、バグのないプログラムはないと言われております。
そして、たとえば無料のプログラムですね、このフリーソフトウェアを公開したところ、重大なバグがあると、ユーザからですね、そういう声があった、
それを無視してですね、そのプログラムを公開し続けた場合は、それを知った時点で (注:それが発覚した時点で、という意味か)
少なくとも未必の故意があってですね 提供罪が成立するという可能性があるのか、おうかがいしたいと思います。
江田法務大臣:あると思います。
バグとウイルスとは、かなり明確に区別できるので、バグをウイルス関係の刑法の処罰対象にしないで欲しいというのが、ソフト業界の大半の人々の意見ではないだろうか。 ある日、突然に逮捕されるような悪夢は、歓迎したくないからである。
しかし、バグかウイルスかの判別が難しいものが存在するのも事実である。 こうしたものに対して、バグという言い訳を許すのは問題だから、上記の答弁 (未必の故意で犯罪成立) は妥当であろう。 こうしないと、クラッカー (ウイルス作成の犯人) がバグだといえるようなウイルスを作成することに成功すると、それを罰することはできなくなるからである。
そもそも、販売されるようなソフトは、そのテストの段階で、ファイルを削除するなどのウイルスが行うような種類の悪行を行わないように細心の注意を払うし、もしもこうしたバグが見つかったら、非常に重大なバグとして、すぐにアナウンスし修正をするものである。 だから、大口委員が上述の悪夢を心配しているとすれば、そうしたことは少なくとも販売されるようなソフトにはないといえそうである。 つまり、そうした悪夢を心配するには及ばないのである。
しかし、素人の開発したフリーソフトウェアの場合など、開発者がこうしたプラックティス (作法) を知らないかもしれないので、「後は野となれ山となれ」とばかりにバグを放置すると、上述の悪夢があり得るということなのである。 ただし、大抵のバグはそのプログラム自体を機能不全にするのであって、他のプログラムなどへの悪行という結果になることはまれですから、そう心配するには及びません。
この論理を、ウイルスチェックソフト会社が販売するウイルスチェックソフトに適用すると、次のことがいえる。
ウイルスチェックソフトのバグまたは構造的な欠陥などによって、ウイルスチェックソフトが無実のプログラム (ウイルスではないプログラム) を勝手に削除したとしよう。
あるいは、ウイルスチェックソフトが相当の率で、誤認によって誤ったファイルを削除するなどの構造的な欠陥が明らかになったとしよう。
こうした問題に対して、修正するとか、撤収するとか、積極的に問題解決に取り組まないウイルスチェックソフト会社があれば、それは処罰の対象になり得るということである。
そして、シマンテック社は、ウイルスチェックソフトの根本を直す予定はないというだけでなく、アプリテック社のプログラムを誤認する問題の調査を拒否しているのである。
以上