中学1年生がメルカリでウイルス情報提供、購入した少年らも送検

　まず簡単に事件を整理しておこう。

　奈良県警がメルカリでウイルスをダウンロードする情報が売りに出されていたことを発見した。調べを進めたところ、出品したのは大阪の中学1年生男子。時期は2017年3月ごろだという。さらに14歳から19歳までの少年4人がこの情報を買い、この中学生に代金をポイントで支払っていたこともわかった。

　警察はこの行為に対して、刑法に規定される不正指令電磁的記録に関する罪（刑法第19章の2：第168条の2）に該当するとして、児童相談所に通告することを決めた。告発、送検ではないのは中学生が当時14歳未満という刑事処分受けない年齢だったからだ。刑法第168条は、いわゆる「ウイルス作成罪」と呼ばれているもので、正当な理由なく利用者が意図しない動作をするソフトウェアを作ったり提供したり（第168条の2）、あるいは取得・保管したり（第168条の3）することを禁止する法律だ。

　取得も禁止されているので、この中学生から情報を買った少年4人（いずれも14歳以上）もウイルス取得の罪で書類送検されることとなった。

　以上が事件のあらましだが、「ウイルス作成罪」（作成に限定しないので、この呼び名は適切でないという議論もある）は、2011年に刑法を改正して導入されたものだ。10年ほど前、Winny事件（P2P技術を使ったファイル共有ソフトが著作権コンテンツの不正利用などに使われた事件）をきっかけに生まれたもので、議論段階から、ウイルスの定義が明確でないこと、ソフトウェア開発そのものを委縮させかねない（研究目的やセキュリティベンダーの解析なども制限される）として、運用は慎重に行わなければならないと言われている法律だ。

　この件も刑法168条の適用は適切だったといえるのだろうか。問題点はなかったのか。新聞報道の調査や奈良県警、メルカリへのヒアリングから得られた情報で整理してみたい。

いたずらアプリはウイルスと呼んでいいのか？

　まず、当該アプリはウイルスだったのかという問題がある。NHKや新聞によれば、このアプリは、インストールすると人の顔写真のアイコンが大量に表示されスマートフォンを使いにくくするものと報道されている。知っている人もいるかもしれないが、このアプリは、iPhoneのプロファイルを書き換えることで「野獣先輩」（ネット上の有名人）の顔写真を表示するいたずらアプリだ。削除はデバイスの設定画面からはできないようになっているが、デバッグツールをインストールしたPCに接続すれば可能だ。

　アプリと表現したが、プロファイルの書き換えなので、Jailbreak（日本では「脱獄」とも言われる、ユーザー権限の制限を不正に解除すること）は必須ではない。ただし、App Store以外のサイトから当該ファイルをダウンロードするため、Jailbreakした端末のほうが確実だ。

　新聞など見出しを見ると、中学生がこのアプリを作ったようにも思える記述だが、もともとネット上に存在していたいたずらアプリである。中学生は、ダウンロードできるURLの情報も、ネット上で知り合った別の人から教えてもらったという。

　つまり、中学生は人から聞いた情報をメルカリに出品して、情報を教える代わりにポイントを得ていたことになる。提供されたURLは、野良アプリ等のダウンロードサイトであり、アクセスするとマルウェアを仕込まれるような攻撃サイトではないと思われる。しかも、情報購入者は自らアクセスし、ダウンロードしたうえで自分でインストールしなければ起動しない。

　これを「利用者が意図しない不正な動作をする」ウイルスと呼んでいいのだろうか。報道後、専門家の一部はこの点を指摘し、県警の措置を疑問視している。

【次ページ】大元の開発者やダウンロードサイトの捜査は？ メルカリの対応に問題は？