不正アプリは許されないが、事件化は難しい……警察庁サイバー課の人が語る

　東京・秋葉原の富士ソフトアキバプラザで開催された「Internet Week 2012」。例年通り、IPv6やDNSなどインターネットの基盤を成す技術が大きな話題の1つであることに変わりはなかったが、例えばIPv6については今年はチュートリアルやハンズオンセミナーで取り扱うなど、より実践場面に対応するフェイズに移行した感がある。その一方で、インターネットの最新動向を扱うセッションで多くテーマに据えられたのが、法律や制度面での話題だ。

●不正アクセス禁止法の改正で、ID・パスワードの不正取得行為を取り締まり可能に

　21日に開催されたセッション「サービス事業者に関する法的問題の実例とサイバー犯罪の実態2012」では、警察庁生活安全局の吉田光広氏が講演。改正不正アクセス禁止法と、刑法の「不正指令電磁的記録に関する罪（ウイルス罪）」について解説し、代表的な検挙事例を紹介した。

　吉田氏は2012年3月に通称“サイバー課”と呼ばれる現在の部署にに赴任。不正アクセスやフィッシング詐欺、ウイルス罪などの犯罪捜査に関する都道府県警の指導・調整を担当しているが、静岡県警察本部サイバー犯罪対策室管理官だった2011年には、Yahoo! JAPANの会員がターゲットになった大規模フィッシング詐欺事件を捜査した実績を持つ。

　この事件は、東京都豊島区に拠点を置いていた詐欺組織が、2010年10月から2011年6月までの間に約32万通のフィッシングメールをYahoo! JAPAN会員に送信。だまし取った約2000件のクレジットカード情報を使ってオンラインショップから購入した高額商品や電子マネーを換金し、約1億円を荒稼ぎしていたというもの。静岡県警のほか、茨城、千葉、広島、熊本の5県警による合同捜査で87人の捜査員が投入された。

　今回の講演では、不正アクセス禁止法の検挙事例の1つとしてこの事件を紹介。詐欺組織のアジトを見下ろすマンションの一室を借り、カーテンのすき間から望遠レンズで監視していた張り込み拠点の内部の様子や、アジトに出入りする組織のメンバー、購入した商品を保管していたレンタル倉庫の近くで外国人の故買屋と取り引きする場面の写真など、まるでテレビドラマのようなシーンも紹介された。

　なお、この事件の検挙は、改正不正アクセス禁止法（2012年5月施行）でフィッシング行為そのもの、ID・パスワードの不正取得行為そのものが処罰の対象として禁止される前だった。それ以前は不正取得した他人のID・パスワードを使った不正アクセス行為による被害が発生しないと警察も手を出せなかったとし、今回の改正により、その前の段階での取り締まりが可能になったことを説明した。

●利用者の意図に反する動作をさせる「ウイルス」、作成・提供行為が処罰対象に

　ウイルス罪は、2011年の刑法の一部改正で新設・施行された。不正指令電磁的記録の作成・提供・供用に対して3年以下の懲役または50万円以下の罰金、取得・保管に対して2年以下の懲役または30万円以下の罰金を規定して処罰の対象とし、それぞれ禁止する。

　不正指令電磁的記録とは、「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」のこと。いわゆる“コンピュータウイルス”を意味しており、その構成要件として「意図」「不正な」という部分の解釈がポイントになる。

　「意図」については、「個別具体的な使用者の実際の認識を基準として判断するのではなく、当該プログラムの機能の内容や、機能に関する説明内容、想定される利用方法等を総合的に考慮して、その機能につき一般的に認識すべきと考えられるところを基準として判断される」という。また、「不正な」については、「その機能を踏まえ、社会的に許容し得るものであるか否かという観点から判断される」としている。

　例えば、ハードディスク内のファイルをすべて消去するプログラムを、その機能を適切に説明した上で公開した場合は処罰対象にならない。一方、なりすましメールなどで何かの文書ファイルを装ってプログラムを送り付け、アイコンも偽装するなどし、受信者に誤信させて実行させることでハードディスク内のファイルを消去させた場合は、処罰対象になり得る。

　吉田氏は、新設されたウイルス罪の事件の事例を紹介した。アダルトサイトを開設してスマートフォンの動画再生アプリを装ったウイルスを配布し、これをダウンロードした端末から端末識別番号やGPS位置情報、電話番号やメールアドレスを収集したり、アダルトサイト利用料の架空請求画面を表示させていた事件では、警視庁が6月、被疑者6人をウイルス供用・詐欺の事実で逮捕。すでに首謀者ら2人に対して懲役2年6月・執行猶予3年、サイト作成・ウイルス供用の実行役ら2人に罰金50万円の処分が出ているという。9252人が個人情報を収集され、架空請求で現金を振り込んだ人は211人・総額約2115万円に上ったという。

　また、同じくスマートフォンに関連して、「通話無料」「電波改善」「電池長持ち」といった名称で複数のアプリを配信し、これをインストールしたスマートフォンから裏で個人情報を収集していた事件では、京都府警が10月末に被疑者2人をウイルス保管の事実で逮捕。アプリ5種類・8個を発見したという。約3500人がダウンロードし、収集された個人情報は約400万件に上るとみられている。

　なお、この事件はその後も全容解明に向けて捜査が継続され、この講演のちょうど前日の11月20日、ウイルス作成で1人、ウイルス提供で1人が追加逮捕され、検挙者は計4人となった。

●パーミッション画面を出していれば、「意図しない動作」でなくなるのか？

　直前で大きな動きのあった事件としては、「○○ the Movie」などの名称で動画再生アプリを装ってGoogle Playで公開されていたアプリによって、やはり同じようにスマートフォンから個人情報を収集されていた事件がある。警視庁が5月に関係場所を捜索し、PCなどを押収。証拠品の分析結果などから被疑者5人を割り出し、10月30日にウイルス供用の事実で逮捕していたものだ。約9万人がインストールし、1100万件以上（うちメールアドレスが約600万件）の個人情報が収集されたとみられている。

　吉田氏は今回の講演でこの事件も紹介する予定でおり、事前に配布されていたプレゼンテーション資料にも概要が記載されていたが、当日は詳しい解説を控えることになった。講演前日の11月20日、東京地検が被疑者を処分保留で釈放したことが明らかになったためだ。

　ご存じのように、Androidアプリをダウンロードする際にはパーミッションの確認画面が表示され、そのアプリが例えば電話帳のデータへアクセスすることや、インターネット通信を行うことなどが列挙され、それを確認した上でダウンロードされる手順になっている。そのため、この画面を経た以上は、利用者の意図しない動作に該当しないのではないかという考え方もあるという。「○○ the Movie」アプリではこの画面を表示していたことから、意図しない動作に当たらないのではないかという部分が問題となり、東京地検では慎重な捜査が必要と判断した模様だ。

　この点に対して吉田氏は、警察の今までの考え方としては、多くの利用者はそういった画面を素通りしてしまい、しっかりと確認していないために、知らない間にメールアドレスなどの個人情報が裏で取られていることになっていると指摘。そうして収集されたメールアドレスが出会い系サイトのスパムメール送信などに使われていることから、「それを許してはいけないということで、何とか事件化を図ろうと努力しているところだが、うまくいかないところがある」と説明する。

　吉田氏によると、前述の2つの事件では、「裏で個人情報を取る以外に、実際にそのアプリ自体が当初説明してあるような機能を有していないことなどを証明できて、なんとか事件化できている」という。「なかなか事件化するのは難しいということが分かっていただければ」と語った。

●「利用者の意図に反して」の解釈が「軟弱化」しているとの指摘も

　このセッションでは、弁護士の高橋郁夫氏（BLT法律事務所／株式会社ITリサーチ・アート）が2012年のサイバー関連法律の動向を振り返る講演も行われた。その中で、裏で個人情報を抜き取っていたAndroidアプリのパーミッション画面についても言及があった。

　高橋氏はこうしたアプリを「お行儀が悪いことは悪い」と表現する一方で、仮にパーミッション画面で警告を出していたとすれば、「利用者の意図に反して」の解釈が「軟弱化」され、犯罪が成立するものとみなされてしまうことに疑問を示す。

　高橋氏によると、法律家の解釈では、こうした同意をとるための書面などに全くの虚偽が記載されている場合や、利用者が自由な意志で判断したとは言えないような場面であれば、「同意をしたとしても、その同意は無効と解釈することはあるにはある」。

　一方、「アプリがこういう内容だと言っているのだから、こういうふうに出ている掲示を『読むはずがないでしょう』というところまで、同意が無効だという理論を広げるのかどうか、ちょっと正直言うと分からない」という。これまで法律家が積み上げてきた概念と、こうしたネットの部分がどこまで対応しきれるのかといった問題があるとしている。