デジタル

これってコンピューターウイルス?

これってコンピューターウイルス?

2018.12.26

インターネットやスマートフォンを使うときコンピューターウイルスが心配になったことはありませんか?

コンピューターウイルスやサイバー攻撃による個人情報の流出などのニュースを目にすることは少なくありません。そんな中、起こったある事件に、情報セキュリティー業界から戸惑いの声が上がっています。一体何が起きているのでしょうか?

“ウイルス情報”掲載で摘発 広がる波紋

ことし3月、インターネットの情報サイト、いわゆるWEBマガジンを運営していた、当時関西在住の男性管理者が検察から不正指令電磁的記録提供の罪で略式起訴され、罰金50万円の略式命令を受けました。

WEBマガジンの名前は「Wizard Bible」

閉鎖したサイト

情報セキュリティーに興味を持つ人たちの情報交換の場として、業界ではよく知られたサイトで、研究者やプログラマーなどから寄せられたセキュリティーに関する記事を掲載していました。問題とされたのは、このサイトに掲載された1本の記事です。

タイトルは「トロイの木馬型のマルウェアについて」

トロイの木馬型のマルウェアというのは、簡単に説明すると、役に立つデータのように見せかけて、その中に外部からパソコンを操作するなど悪意のあるプログラムを仕込んだソフトのことです。記事はこのソフトについての基本的な解説でした。

しかし、記事の中に書かれていたプログラムのソースコード(プログラムを文字列で記載したもの)が、ウイルスに当たるとされたのです。

閉鎖したサイトの管理者

記事は、サイトの読者から寄せられたもので、男性管理者が内容をチェックして掲載していました。15年前からこのサイトをボランティアで運営してきたという男性管理者は、NHKの取材に対して、「記事の内容は、悪用が難しい初歩的なプログラムで、ウイルスにあたるとは思わなかった」と話しています。

押収されたパソコン

しかし、管理者は、パソコンが警察に押収されて仕事に支障が出たことなどもあり、早く終わらせたいと罰金50万円を納め、ことし4月にサイトを閉鎖しました。

管理者は「略式起訴されたことは重く受け止めている。ただ、ウイルスとして摘発される基準がよく分からず、草の根でのセキュリティー研究が難しくなる」と話しています。

研究者からは疑問や戸惑いの声。いったい何が問題?

「トロイの木馬型のマルウェアについて」
この記事のタイトルだけ見ると、ウイルス(ここでは悪意のあるプログラムを含む広い意味で「ウイルス」という用語を遣っています。)が含まれていてもおかしくないように感じます。

では、一体何に対して研究者は疑問や戸惑いを感じているのでしょうか?

それは記事に掲載されていたプログラムの内容でした。複数の研究者がこのプログラムを検証したところ、その機能は、サーバーの遠隔管理などに使う一般的なものだったのです。

もちろん「離れたところにあるコンピューター」を操作するためのものですから、ウイルスに同様のプログラムの一部が利用されることもあるかもしれませんが、少なくとも、記事に載っているプログラムを使って、悪用を目的とした「トロイの木馬」を作成するには、ほかにも専門知識や技術がないと難しいと言います。

さらに同じような機能のプログラムはサーバー管理や通信などの入門書などにも載っているというのです。

プログラムは刃物と同じで、使い方次第で、役に立つ場合もあれば、悪用される場合もあります。単純にウイルスに利用できるかどうかという部分だけで判断されると、役に立つプログラムまで規制されることにならないかなどの懸念が出てきているのです。

また、当然ですが、セキュリティー研究では、プログラムについての情報を研究者どうしで交換することも珍しくありません。本当にウイルスとして危険なものは厳重に管理していますが、このプログラムは危険性のあるものとは捉えられていなかったのです。

立命館大学 上原哲太郎教授

検証した研究者の1人で立命館大学の上原哲太郎教授は「サイバーセキュリティの研究では攻撃手法などの情報共有は非常に重要だ。今回のようなことが続くと研究の萎縮を招くおそれがある」と指摘しています。

コンピューターウイルス 法改正で摘発年々増加

コンピューターウイルスをめぐっては、個人情報の流出やシステムの停止などいった被害が深刻化していることから平成23年の刑法改正で「不正指令電磁的記録に関する罪」として盛り込まれました。

法律で禁止されているのは、
正当な理由なく他人のパソコンで勝手に実行する目的で
不正なプログラムを作ることや提供すること、それに保管することなどです。

法律の条文にはウイルスという言葉は使われていません。どこまでが「正当な理由」にあたるのか、どこまでのプログラムが「不正な」プログラムに当たるのかなども明確には示されていません。

一方で、法律が施行されてから、警察に摘発される件数は年々増え、去年1年間で75件となっています。もちろん、多くは悪意のある「ウイルス」などに関係するものと考えられます。

ただ、最近では、例えば、ホームページを閲覧した人のパソコンに無断で仮想通貨を獲得する「マイニング」をさせるプログラムを組み込んでいたとして全国の16人が摘発されたケースがありました。

ちなみに、このケースに使われた「マイニング」のプログラムは相手のパソコンの処理能力を無断で利用しますが、何か目に見える大きな被害をもたらすことは無いと言います。

インターネット上では同様の仕組みを利用して広告を表示させるプログラムが普通に使われているため、「マイニング」だけを規制することができるのか、専門家の間でも意見が分かれています。

ガイドライン作りの議論も

情報セキュリティーの研究者らで作る学会の研究会(10月)

以上のようなケースが起こる1つの原因としては、一般の人たちが考えるウイルスと専門家や研究者が考えるウイルスに違いがあることが挙げられます。

情報セキュリティーについて詳しい知識を持っていると、そのリスクや扱い方を正しく認識できますが、知識を持たない多くの一般ユーザーは、実際に損害が出なくても不安になったり、対応に追われたりします。法律がどこまで取り締まるべきなのか、難しい問題ですが、これまでのところ明確な基準は示されていません。

研究者やプログラマーなどからは次のような声が聞かれました。

「大学の研究室で収集したコンピューターウイルスが、管理ミスで外部に感染を広げた場合の刑事責任はどうなるのか?」

「便利な管理ツールとして公開したプログラムが、 遠隔操作やシステムの書き換え機能を持っていて悪用できしてしまう場合は?」

「技術者向けの書籍にウイルスのコードの解説記事を掲載した場合は?」

「本当に悪意あるウイルスは検挙が難しいので、結果的に、悪意が無いケースばかりが検挙されてしまうのではないか?」

ことし10月に開かれた情報セキュリティーの研究者らで作る学会の研究会では、コンピューターウイルスなどを研究するにあたって、学会としてのガイドラインや相談窓口の設置、倫理教育の充実が必要だとする声が上がっていました。

求められる法律運用の検証

あらゆるモノや情報がインターネットにつながり、コンピューターウイルスが利用者にもたらす被害は年々、甚大になってきています。それだけにルールは必要で、管理も厳格にすべきです。

一方でそうした被害を防ぐためにも最新のウイルスの研究と情報共有、それに一定の情報公開は欠かせません。実際、海外ではこうした情報が活発に交換されています。いまの状況が続くと、研究者を志す人やいわゆる「ホワイトハッカー」を目指す若者は減ってしまうのではないかと懸念する声もあります。

「不正指令電磁的記録に関する罪」の施行から7年。これ以上の萎縮を広げないためにも、技術者と法律家それに捜査機関がいっしょになって、よりよい運用について議論していくことが求められています。

ご意見・情報 お寄せください