開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2019/04/02

コインハイブやJSブラクラで“失笑”される県警の「サイバー課」、改善策はあるか

先日、横浜地裁で無罪判決が出たコインハイブ事件。類似の事件として、JavaScriptによる「ブラクラ」(ブラウザークラッシャー)で中学生が補導された事件もあった。どちらも県警のサイバー課による稚拙な捜査・逮捕・補導が「警察による法の乱用」「高度なサイバー犯には手をだせず子どもしか摘発できない」といった反感と失笑を買っている。議論は各県警のサイバー捜査能力や体制にも及び、サイバー警察機能の分離・一元化の声も上がっている。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
サイバー警察は必要か? サイバーセキュリティと警察の関係を考える
(Photo/Getty Images)

広告以外のJavaScriptは違法なのか?

 コインハイブ事件の問題は、マルウェアによる無断マイニングと、広告収入の代替手段としてのマイニング(コインハイブの本来の趣旨)の違法性の解釈の違いが争点となった。

 社会的に認知が進んでいないコインハイブが無断でJavaScriptを実行するのと、広告サイトやバナーが背後でJavaScriptを実行させるのは何が違うのか。警察および令状を発行した裁判所は、「社会的な合意の有無」を摘発の根拠とした(社会的合意を違法かどうかの判断にすること自体は、日常を保つ意味でむしろ重要)。

関連記事

 広告がどんなにCPUリソースを消費しても、利用者の望まない挙動をしても合法だが(広告はそういうものだという常識)、広告に比べても無視できる負荷のコインハイブ(無断実行の場合)は違法と考えたのだ。マイニングマルウェアの存在が、マイニング、無断という部分をマイナスに誘導した面もある。

 ブラクラの問題は、JavaScriptの単純なAlert文がループするページのリンクを、掲示板に張り付けた中学生が補導されたことが発端だ。この程度のプログラムは、JavaScriptの入門書に出てくるレベルで、ブラウザ(タブ)を閉じれば終了させることができる。

 そもそもJavaScriptは、ブラウザのサンドボックス内で実行され、PC本体やネットワークから隔離される仕様だ。JavaScriptだけでは文字通り子どものいたずら程度しかできない。レベルの低いハッカーが「スクリプトキディ」と呼ばれる所以だ。

 報道では便宜上「ブラクラ」という表現が使われているが、ブラウザをクラッシュさせる能力など持っていない(JavaScript自体がブラウザの管理下で動いている状態)。

 これなら、悪質なポップアップ広告やアダルトサイトの消えない不正請求画面のほうがよほどタチが悪い。警察のリソースはそちらの摘発に注力すべきだろう。

サイバー犯罪に特化した機関の必要性

 しかし、本来憂慮すべき点は前述のような感情論ではない。

 どちらも刑法168条の2、3の事案で、議論のひとつは同法の本来の趣旨を逸脱した適用と、警察による逮捕などの強制執行の是非が問われている。

 いまは警察のスキルによる誤用で済んでいるかもしれないが、歯止めがなくなれば別件逮捕のツールになったり、政治的な運用に広がる可能性がある。趣味を含めたプログラミングやサイト運営が、体制の都合で逮捕できるようになる。

 もうひとつの問題は、都道府県のサイバー警察能力についてである。各警察のサイバー課は、生活安全課のサイバー担当レベルから専門スキルを持つ部隊までさまざまだ。サイバー課ごとに、関連法の立法趣旨への理解、ITやサイバー空間での常識や技術力にばらつきがあると、今回のブラクラ問題のような行き過ぎた法執行につながってしまう。

 ただ、日本のサイバー警察機能が劣っているというわけではない。

 たとえば警視庁のサイバー犯罪対策課は、1500万円相当のモナコインを不正取得した18歳の少年を摘発している。Torブラウザと匿名性の高い取引を利用していたが、わずかな痕跡から犯人にたどりついている。もちろん、全体を見れば警察は、不正請求サイトや悪質業者を放置していることはなく、実績もあげている。

 しかし、高度化するサイバー犯罪には、相応の人材や組織に加え、全体のレベルを上げて対処する必要がある。いまのように警察庁と警視庁と分かれていたり、警察庁の中でも県警ごとのばらつきがあったりするなら、サイバー犯罪に特化した警察組織が必要という意見が合理性を持つことになる。

【次ページ】メキシコのナショナルCERTは警察の下部組織

セキュリティ総論 ジャンルのセミナー

セキュリティ総論 ジャンルのトピックス

セキュリティ総論 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!