第二回公判
開廷
証人尋問
宣誓
(略)
証人の職業、所属について
国立産業技術総合研究所 サイバーフィジカルセキュリティ研究センター 情報法制研究所 理事 主任研究員 情報セキュリティと法律について研究 Webのセキュリティと脆弱性について研究
現在は個人情報保護法について研究 情報以外に法律にも知見がある
学歴
(略)
著書
ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ GPS捜査とプライバシー保護 : 位置情報取得捜査に対する規制を考える
本件と関係する論文
CPUの設計についての論文
講演
依頼多数
その他
(メモり切れず) 刑法改正時、2011年6月 参議院に参考人招致された 不正指令電磁的記録に関する罪の新設について、自己増殖する古典的なウイルスを規制するとの話 情報を暴露する様なトロイの木馬はどうするか-意見を述べた コンピュータウイルスと不正指令電磁的記録は違う
トロイの木馬やスパイウェアは個人のPCに感染するが広まっていくものではない 衆議院議員によってはバグも法律の範疇に含むかと解釈が違った 2004年の情報処理学会でバグは問題なのかと議論、否定された
条文の曖昧さ
HDDを削除する様なプログラムも説明書がなければユーザーの意図に反することになる ジョークプログラムは問題なのか曖昧 ジョークとあるように笑って済ます様なものもある 曖昧なままで処罰を行えば、プログラムの作成等が萎縮する 経産省も懸念している
解釈を明確にしてほしい 法務大臣も上記のことを考えており、法案成立時の付帯決議に周知徹底されるべきとしている 問題となる解釈は実行に供する人のPCで意図に反することをするプログラム 実行に供する人のPCで動くという意味ではなく、意図に反する動きを指す
JavaScriptについて
JSとはどんな仕組みか
WebコンテンツをHTML上に~ サイトを開くと同時に閲覧者側のPCで走る~ 今日では全てのサイトで使われていると言っても良い 使用目的は様々ですべては把握しきれない 閲覧者はどのようなJSが動くか事前に分からない 一定の範囲内での動きしかしない
広告のJS、閲覧者の履歴を勝手に集めるもの、アナリティクス、どこをクリックしたか収集するもの、プライバシーの問題はある そのためEU加盟国でGDPR、e-プライバシーといった規制が出来ている(厳密にはe-プライバシーはまだ)
歓迎されない動きをするJSがあるが許されてよいのか →致命的な挙動はしないためこれを直ちに刑事罰にしている訳にはいかない 刑事罰にしている国はない JSが終了するタイミングは、 タブを閉じる、リンクを踏んで別のページへ行く、ブラウザ自体を終了する等
ネイティブアプリとの違い - Wordや一太郎等のネイティブアプリとJSの違い
プログラミング言語ではあるが、機能に制限がなされている PCのデータにアクセスできない様になっている バックグラウンドでもあえて動かない様になっている 1995年、HTML上でプログラムが動いたら便利と開発された
Webページとは、リンクをたどって色々なページをたどっていくものである、データが取られたら困る-その為安全に作られている
ChromeのJS
ChromeにもあるJSを切るボタンはどのブラウザにもある JS黎明期、JSのバグが多く脆弱性があったためそれの対策として設定された
最近のサイトではJSを切るとほとんど機能しなくなるためオフにする人はいない 一般論として、JSが動くのに許可を取る事はないが、Cookie等についてはヨーロッパの規格に対応するため許可を求めることがある 脆弱性を突かないとPCを破壊する様なことは出来ない
クレジットカード番号を盗む様なことも出来ない ただしフィッシングサイト等で自分で打ってしまうと盗まれる
Coinhive .comについて
デモ画面、募金サイト等で試した Coinhiveには設定値がある スロットル設定で利用するCPU使用率を絞ることができる
以後知人から私へメモ交代 メモの形式が変わる
以後Q(弁)→A(証人,高木先生)となっている場合が多いが一部その限りでない
(交代中の為一部メモ無し)
~の弊害→無し
何のアプリの性能が下がる→実験をした
甲7号証 17p. モロさんの当該サイトのHTMLソースコード
スクリプトと書かれた部分の中にCoinhiveが設置されている スロットル0.5とはCPU使用率50%ということ
50%は一般にどれくらいの程度の負荷なのか
→PCにもよるが、ワープロは10%程度、逆に重いのは動画の書き出し/エンコードやOCRでそれらは90~100% 50%というのは、ブラウザで新しいページを開いたとき、直後等
Coinhiveの50%の影響
→大した影響ではない、仮に100%だった場合あたかも他のプログラムが動かない様に思えるが、実際は違う CPUを100%利用するプロセス(プログラム,どちらか忘れた)が2つ存在した場合、療法の動作が50%ずつとなるだけであるので、最大でも2倍遅くなるに留まる
50%設定のCoinhiveの場合、ほかのアプリが残り、50%しか使わないのであれば変わらない その場合でも(ボトルネックが存在するので, だった様な気がする)多少遅くなる可能性はあるが
PCに負荷がかかるという事
→CPU使用率と負荷は違う、負荷をロードといったりする ロードとCPUの使用率は別の話
警察の、甲3号証 p22. : 警察がCoinhiveを設定し実験した記録
甲3号証 写真3: CPUの使用率の推移の写真(タスクマネージャーのスクリーンショット) を出す
(警察の実験のソースコードに)絞りの値は設定されているか
→設定されていない、設定なしは(デフォルトの)絞り0、100%利用する設定だったはず
絞り(スロットル)0.5の時も同じ結果になるか? →なりません 証拠は妥当ではなく、誤った実験結果によって起訴されたと言えるのではないか? →そう言えます
平成30年8月9日(最後の日付は違うかも)~~ 2p. 〇1号証 本件での 1.PC等のCPUの処理速度 2.CPUの劣化 3.消費電力 への影響に関しての質問
-
スロットル0.5であれば、CPU利用50%以下のアプリなら影響なし 先述の通り、最大でも2倍だが、実験してみた所(確かGeekbench4?)実際はそれほどでもなく、影響は10%程度であった PCの再起動直後等で重くなるのは、複数のプロセスが同時に動いているから]
重くなるのはHDD等へのアクセスがボトルネック(CPU? プロセス?は増えたがドライブは1つで変わらない云々と言っておられた気がする) CoinhiveはCPUだけしか使わない(少しは使うが、メモリも固定で、通信やディスクアクセスはとても少ない)
-
CPUの短命化 報道ではCPUが焼き切れるなどという話があった 90年代とは違う ファンであれば動作部なので日々回っている (経験上)何千何万枚のOCRをかけても特に何ともない 発熱はCPU設計の想定内
-
消費電力 →上がるようです MBP(2016)での実験 Coinhiveのスロットル0、100%使う設定のとき 7W→27Wへ スロットル0.5、50%使うの設定のとき7W→17Wへ 利益窃盗は不可罰、罪に問えない 電気料金は1時間1円以下だったと思う
CryptoJackingについて
CryptoJackingとは→他人のサイトに勝手にCoinhive等を設置すること 従来型の犯罪の利益を得る手段として使われる それは不正アクセス禁止法に当たる 区別すべき
主尋問、弁護側からの尋問はここまで
以下反対尋問、検察側からの尋問 (質問(検察)→回答(証人,高木先生)となっている)
法律を専門で学んでいた訳ではない?
→そうです
法律について大学等で教鞭を取ったことはあるか?
→新潟大(学部メモ忘れ) 非常勤講師で3年間個人情報保護法を教えていた
参議院の法務委員会での答弁に関して、技術者として答弁してほしいと要望があったのか?
→直接そうとは言われていないが、そういう主旨だと認識している
同答弁に関して、技術者として答弁をしたのか、それとも法律家として答弁したのか?
→技術者としてだと思うが、法律家としての質問もあったと思う
Coinhiveの登場はいつであったか
→2017年の9月と記憶している
Coinhiveの登場は法務委員会での答弁から6年後だが、その時点でCoinhiveの様な物が想定されていたか?
→いいえ
HPの多くにJSが使われている~ 使うと負荷が掛かる~ (メモ不足で意味不明)
コンピュータのバッテリーの残量が減少するか
→デスクトップ型にバッテリーは存在しないが、ノートPCの場合、充電コードを外していると減少する
CPUが損耗(原文ママ)する?
→ありません、シリコンが損耗することはありません
負荷はOSのロードの話 CPUの利用率とは別物 CPU(使用率?)とはOSの概念であり~ 使用率に~(メモ不足)
CoinhiveはJSで作成されているから安全、合法なの?
→フィッシングサイト等でもJSが使われていたりする、それは違法では
(JSの利用へ許可を求める事に関して)全てのウェブサイトを調べたの?
→(Coinhiveに対しての捜査の)抗議でこれを実現した人もいるが、通常のサイトではない
全てのサイトを調べることは不可能
個別的承諾~~ 効果的承諾~~(メモ不足)
JSを動かす事に対しての包括的同意があるか?
→あると考えている
どのような?
→1994年にJSが登場した~ 得体のしれないウェブサイトを閲覧しても影響を及ぼさないという物
JSがどういったものか知らない一般人はいる?
→それはいるだろう (手の疲れでここ周辺のメモが間に合っていない)
CryptoJackingは、他人のサイトに埋め込むことがいけないのか、知らない閲覧者にマイニングさせることがいけないのか?
→他人のサイトに埋め込むことがいけない
ウェブサイトを訪れると開始され~ 展示会場、閲覧者は自分から見に行く 展示会場のルール~ モラル、評判~
刑法犯(典?)で処罰されるべきではない
Coinhiveを使われる事を望まない人らの思いについて
→想像だが、広告に代わる換金手段なので、どのサイトでもマイニングさせられる事になる未来を想像している。どのサイトに行ってもマイニングさせられる事がいや
仮想通貨自体を嫌っていたり、怪しい仮想通貨を好きな人らに利益が入る事がいや
周りにCoinhiveを望まない声はあるか?
→周りというのがどの様なものを指しているか分からないが、それが職場の同僚達の事を指しているのならば無い(具体的な表現は忘れた)
Coinhiveに批判的な技術者はいるか?
→Coinhiveを批判する人の中には当然技術者もいると思う 特に技術者はそういう未来を想像してしまうのだと思う
複数のウェブサイトを同時に開くと複数のマイニングが同時にされるのか?
→Coinhiveではないと聞いている
しかし同様のマイニングサービスが複数あるためあり得る ただ、1つのサイトしか見ていないのなら、隠れたタブで動作することはない MacOSのSafariなら10秒で停止する 見ている画面上のCoinhive~
Coinhiveに関して何も規制はいらない? →仮想通貨自体あまり好きではない, 長続きする物だと思っていない 新聞社のウェブサイトでもマイニングしたりする事になるのはいや ただその様な未来になった時に行政規制によって解決すれば良い
迷惑メールの登場時の話、一つ一つの迷惑メールは特に害を及ぼさないが大量に迷惑メールが来ると面倒 特定電子メール規制法により規制された
高木浩光 自宅の日記というサイトを運営しているか
→はい
6/17の日記「魔女狩り商法に翻弄された田舎警察 Coinhive事件 大本営報道はまさに現代の魔女狩りだ」を覚えているか
→はい
魔女狩りとは
→Coinhiveの摘発について
田舎警察とは何か、神奈川県警か?(うろ覚え)
→警視庁と京都府警が含まれていない、合同捜査とはいえ中央の捜査指揮にないことをいう
神奈川県警の教育について書いた覚えはあるか
→覚えていない
→(検察)6/10の日記「懸念されていた濫用がついに始まった刑法19章の2(略)」に「善良な対応をしていた人を犯罪者に仕立て上げることに、いったいどんな正義があるというのだろう? 神奈川県警のサイバー課はどういう教育を受けているのか。全員揃って正義感覚から狂っているのではないか」と書いている
→それは「何をやっているのですか」という意味であり教育に口を出している訳ではない
記事内にある、聴取時の録音内容の公開に関して警察の許可を得ていたのか
→弁護士からそういう話は聞いていない
5/19の日記「緊急周知 Coinhive使用を不正指令電磁的記録供用の罪にしてはいけない」の後にあった技術者の反応は
→これは違法ではないかという声もあったが、これは~~~
(上に関して。読売の記事では「クロに近いグレーだと見るのは~園田~教授だ。『(園田教授のコメント)』」という様に、園田教授の直接の言葉としては使われていないが、紹介文にグレーという表現は一応あった。しかし、朝日の記事ではこの表現は存在しなかったのであったとも無かったとも言える)
園田教授のコメント 「PC所有者の意図とは無関係に動作をさせることを禁じた不正指令電磁的記録供用罪などに該当する可能性が高い。」
「自分の利益のために他人のものを無断で使うことが正しいかどうか。使う側も新たなサービスを前に『できるからやる』ではなく、社会的に認められるかどうかをまずは考えるべきだ」
(「ただ判例もなく、いきなり摘発するのは強引ではないか」という文も元の記事にはあるがここも読んでいたかの記憶が無い、飛ばされた可能性?(勘違いかもしれないが))
(あとから調べられる引用部は基本最初と最後の文をメモしているが、この部分のメモは「PCの所有者の~ ~かどうか、使う側も~考えるべきだ」となっているのでどうだったか不明)
→質問は伝聞ではないか? (弁) 園田教授の文の引用の意図は?
質問内容に~~伝聞の問題が生じるが~証人の認識を~なら伝聞に当たらない、そういう意味ですか?
→後者ですので継続します(確かそんな感じの事を言っていた)
(????は)社会的に許容されているか
→問題ない (この点メモが出来ていないのでわかる方教えてください)
(確か読売の記事、園田教授のコメントの引用した質問、恐らく 「技術者にとっては常識的な技術でも、一般の利用者にすれば、自分のパソコンが他人に道具のように使われているとは想像できないだろうし、そうされたいとも思わないだろう」として、「社会的に許容されているとは言い難い」という部分だが、具体的にどこからどこまでの引用だったかは分からない)
→がっかり、法律家が~~(確か理解)して下さらない 今回もどうか理解されていない
ウェブサイトは展示会場、 CPUを損耗せず、処理速度へも大きな影響が無く、~しないので問題ない (恐らく入るのは消費電力の話か、PCの劣化の話)
オーストラリアUnisefのウェブサイトを訪れたことはあるか
→あります
その際にセキュリティ対策ソフトが反応したか
→マルウェアと判定した
ウイルスバスターでも試そうとした?
→試そうとしたが、ウイルスバスターをインストールしようとしたときに何度も再起動を繰り返す不具合? でインストールが出来なかった
ウイルスバスターをインストール出来なかったのはCoinhiveのせい?
→ありえない、CoinhiveはHTML上で動くので関係ない、インストールをするのはCoinhiveを試す前だ
Coinhive以外での誤検知という物はあったか
→自分は遭遇した事ないが、そうなった他の人のケースを見に行ったことがある
古い話だが、スマホの紛失を探すアプリがあった 悪用することも出来るので、一部の会社はこれをウイルスとみなした 一部の分かっている会社はPUP(Potentially Unwanted Program、潜在的に望まれないプログラム)だと区別した Coinhiveはその様にラベリングされるべき
マカフィーはどの様な判定をしていたか →確かトロイの木馬と判定していた
(アンチウイルスソフトのウイルス,マルウェア,PUP判定に関して) 共通の基準というものはあるのか →ない
反対尋問、検察側からの尋問ここまで
以下職権(補充)尋問、裁判官側からの尋問
ウェブサイトにCoinhiveが設置されていて、作動している事に気付くことは出来るか
→スロットル0(100%)だとファンの音で気付くことも出来るだろうが、スロットルが小さいと、普通にしていると気づかない
私のMBPの場合、耳を近づけないと気づかない(スロットル低め、確か0.5?) (モロさんの当該サイトのコンテンツ)を表示するJSと、マイニングをするJSに違いはあるのか
→質問の意図がよく分からない、当然プログラムは違うが、JSとしての違いはない(うろ覚え)
IIJの月次の観測レポートを知っているか
→知っている (上記のIIJに関しての質問のイントロ部はよく覚えていないので不正確)
(インターネット関連のエンジニアの間で)セキュリティレポートは意識されているのか
→それほどでもない
→IIJのセキュリティ事業の出しているレポート、周知されているレポートではないが、インターネット関連企業としてIIJは老舗
老舗という事は信用できるのでは? レポートの質は? →レポートを見ていないので(どのレポートかわからないので)なんとも言い難い
ウイルス対策ソフトウェア会社は脅せば脅すほど儲かるので、 ユーザーに本質的な対策を伝えないことを昔から批判している ウイルス対策ソフトウェア会社とは違うセキュリティ会社としてのコメント そういった意味ではウイルス対策ソフトウェア会社よりは正確といえるかもしれない
職権(補充)尋問、裁判官側からの尋問終わり
以上
次回以降の予定
1/17 14:00 401号法廷 被告人質問 2/18 10:00 論告弁論 結審
分かっていない点、注意して読んで頂きたい点
- 反対尋問、職権(補充)尋問というワードを聞き取れなかったのでこれで合っているか分からない (裁判官まで遠いのと、一言だけなので耳をそちらへ集中させる前に言い終わられてしまった, 特に流れを見るのには問題無いと思う)
- 知人と私が交代している間の尋問についての情報は一切持っていない
- 内容の順番が合っているか
- 大体書いた気もするが、いくつか飛ばしている気がする…
- モロさんの意向により、当該のサイトに関連する情報は意図的に隠している
- 特に後半は手の疲れによりメモのクオリティが更に悪くなっているので抜けが…
当公判での「伝聞」についてはこちらの記事をあわせて読むのがおすすめです。
Special Thanks to メモを取ってきてくれた知人A & 修正にご協力頂いた@shonen_mochiさん
このウェブサイトのコンテンツは クリエイティブ・コモンズ 表示 4.0 国際 ライセンスの下に提供されています。