« April 2004 | Main | June 2004 »

May 07, 2004

office裁判傍聴記 第一回(SCAN 2004年5月)

 社団法人コンピュータソフトウエア著作権協会(ACCS)を舞台にした不正アクセス事件で逮捕されたofficeこと河合一穂被告の刑事裁判が、東京地裁で5月26日からスタートする。罪名は不正アクセス禁止法違反。弁護側は「office氏の行為は不正アクセスには当たらない」と徹底的に争う方針だ。果たしてoffice氏のやってきた“脆弱性指摘”行為が不正アクセスに問われるのかどうか――日本のセキュリティ業界にとってはきわめて重要な判断が、この裁判で下されることになる。

 この連載では今後、office氏の裁判傍聴を通じ、この問題の裏側に潜む問題や事件の本当の姿などについて検証していきたい。

■事件の発端と経緯

 その前にまず、事件の経緯をざっと振り返ってみよう。

 発端となったのは、昨年11月8日に渋谷のライブハウス「O-West」で開かれたセキュリティ関連イベント「A.D.2003」である。「インターネット利用者のコンピュータ・セキュリティに対する意識の向上、およびソフトウエア開発者やネットワークサービス提供者の技術力の向上を目的としている」(主催者説明)というこのイベントには、ネットワークエンジニアなど約250人が出席していた。office氏は短いプレゼンテーションを行い、ACCSのWebサイト「ASKACCS」の脆弱性について説明した。

 本当はoffice氏はPHSでインターネットに接続し、実際に会場で実演を行おうと考えていたようだが、O-WestはPHSの電波受信状態が悪く、直前に手順を説明したパワーポイントファイルを作成し、これを上映しながらのプレゼンテーションとなった。

 office氏の行った説明は以下の通りである。著作権とプライバシーに関する質問サイトであるASKACCSでは、相談や情報提供の質問フォームがCGIによって提供されている。office氏はASKACCS上で動作しているCGIプログラムのひとつである「csvmail.cgi」に注目した。このcsvmailは入力確認のために用意されたデータ表示用プログラムだったとみられる。そしてデータを渡すためのHTMLをダウンロードし、csvmail.cgiのデータ名を引数としてcsvmail.cgiに返してみたところ、CGI自体のソースが表示されてしまったのだという。
 そのソースの中には、ASKACCSの質問内容が記録されているらしいcsvmail.logというログファイル名があった。office氏はこのファイル名を再びcsvmail.cgiに返し、ログの中身を閲覧することができた。中には、①IPアドレス②氏名③年齢④住所⑤電話番号⑥メールアドレス⑦質問内容、を含む1184人分の個人情報があったのである。

 この脆弱性が放置されている事実を、office氏はイベントの日の夜に「コンピュータセキュリティインシデント報告様式」(JPCERT/CCがWebで公開しているテンプレート)を使い、JPCERT/CCにメールで通知。この際、ACCSとASKACCSのレンタルサーバ会社であるファーストサーバ社などに同報している。

 この連絡を受けてACCSはASKACCSをいったん閉鎖。数日後に記者会見して脆弱性があった事実を公表している。

■問われなかった個人情報漏洩

 実はoffice氏はA.D.2003の会場で、ASKACCSから読み出した個人情報の画面をキャプチャし、それをパワーポイント化して会場で上映した。キャプチャには、ASKACCSの質問者4人の名前や住所、電話番号などが上映時間は数秒程度でさほど問題にはならなかったが、後にパワーポイントファイルが会場で無線LANを使ってダウンロード可能な状態になっていたことが発覚。実際に年が明けて1月末、このファイルが何者かによって2ちゃんねるにアップロードされてしまう事件が起きている。

 だが今回の刑事裁判は、この個人情報流出問題は俎上には上がっていない。office氏を摘発した警視庁の逮捕容疑は、発表によれば(1)office氏の指摘により、ACCSがASKACCSの閉鎖を余儀なくされた威力業務妨害(2)CGIの脆弱性を突いた不正アクセス禁止法違反――の2件である。office氏は23日間にわたって拘留され、このうち不正アクセス禁止法違反罪のみで東京地裁に起訴された。威力業務妨害罪が起訴罪名から外された理由は公にはされていないが、関係者によれば、「裁判を進めていく中で、罪名をひとつに絞った方がいいと検察は判断したようだ」という。

■不正アクセス事件としては希なケース

 起訴状は、次のように書かれている。
 「被告人は法定の除外理由がないのに、平成15年11月6日午後11時23分55秒ごろから同月8日午後3時47分50秒ごろまでの間、合計7回にわたり、京都市内ほか数カ所において、パーソナルコンピュータから電気通信回線を介して、アクセス管理権者であるファーストサーバ社が大阪市内に設置したアクセス制限機能を有する特定電子計算機であるサーバコンピュータに、当該アクセス制御機能による特定利用の制限を免れることができる指令を入力し、上記特定電子計算機を作動させて上記アクセス制御機能により制限されている特定利用をしうる状態にさせ、もって不正アクセス行為をしたものである」

 この「特定利用の制限を免れることができる指令を入力し」という部分が、裁判の争点となる可能性が高い。office氏が今回行ったcsvmail.cgiにそのファイル名自体を引数として渡すという行為が、果たして不正アクセスになるのかどうかということである。

 不正アクセス禁止法では、不正アクセスを満たす要件として3条2項で以下の3号を定めている。
 (1)他人のID、パスワードを入力した場合
 (2)ID盗用以外の方法でアクセス制御を免れることのできる情報や指令を入力した場合
 (3)ネットワーク上の端末に侵入するため、そのネットワーク上にある別のコンピュータのアクセス制御を免れる情報や指令を入力した場合

 office氏の弁護団のひとり、若槻絵美弁護士は「1号と3号のケースは数多くあるが、2号で立件されたケースはきわめて少ない。現時点でわかっているだけでも2件しか前例はなく、しかもその2件とも裁判は争われずにすでに判決が出ている。またどちらもCGIの脆弱性を突いたものではない」と話す。つまり今回のoffice事件は、純粋な不正アクセスの立件としては過去に例を見ないケースであると言えるのだ。

 若槻弁護士は「不正アクセス禁止法では、アクセス制御という機能を有する電子計算機が法律上対象物となっている。だがそのアクセス制御機能が今回の事件では存在していなかったと考えている。現時点では、そこが争点になると考えている」と話す。現在は保釈されているoffice氏も、みずからの行為が不正アクセスではないことを法定で主張していきたい、と話しているという。

 初公判は5月26日午前10時、東京地裁でスタートする。果たして初公判の罪状認否で、office氏はどう発言するのだろうか。

| | Comments (0) | TrackBack (0)

Winny開発者ついに逮捕(iNTERNET magazine 2004年5月)

 ファイル交換ソフト「Winny」の開発者だった東京大大学院の金子勇助手(33歳)があ5月10日、著作権法違反(公衆送信権侵害)の幇助容疑で京都府警ハイテク犯罪対策室に逮捕された。直接の逮捕容疑は「2002年5月ごろ、従来のファイル交換ソフトよりも匿名性を高めようとWinnyを開発し、自分のホームページで無料公開し、昨年9月、群馬県高崎市の男性らがWinnyを使い、アメリカ映画などをネット上で公開するのを手助けした疑い」というものだ。
 昨年9月の事件というのは、群馬県高崎市の自営業の男性(当時41歳)と、愛媛県松山市の無職の少年(当時19歳)の2人が、アメリカ映画「ビューティフルマインド」やゲーム「スーパーマリオアドバンス」などをWinnyネットワークにアップロードした容疑で京都府警に逮捕された事件を指す。金子助手はこの2人の犯罪の幇助を行ったというのである。
 しかし高崎市の自営業者ら直接の実行者はともかく、ソフト開発者が逮捕されるというのは前代未聞の事態である。このためコンピューター業界の有識者や弁護士、法学者などはこぞって「逮捕は行き過ぎではないか」と批判し、インターネットベースの支援グループもすぐに立ち上がった。金子助手の友人である支援者のひとりは「親しい友人、昔の知人から見知らぬ人まで、驚くほど多くの反響がありました。みな京都府警の暴走とみて、危機感を抱いているようです。とくに技術者の間での危機感はとても強い」と話す。
 一方、桂充弘弁護士を団長とする総勢10人の弁護団も結成された。弁護団は5月14日に京都市内で記者会見し、声明文を発表した。少し長くなるが、次のような内容である。
 「金子勇の逮捕および拘留について、弁護団は京都府警の強引なやり方に憤りを禁じ得ないものであります。(中略)WinnyはP2P型ファイル交換ソフトであり、特定のサーバに負担をかけることなく効率よくファイルを共有化するために開発されており、今後のネットワーク化社会にとって非常に有用なシステムであります。またファイル交換システムは広く用いられており、これらのソフトが違法視されたことはありません。アメリカでは適法とされた裁判例もあります。金子勇はWinnyを技術的検証として作成したに過ぎず、このソフトを悪用したものを幇助したとして罪に問われることは、明らかに警察権力の不当公使であります今回の逮捕・勾留がクリエーターの研究活動に与える萎縮的効果は計り知れず、今後の日本におけるソフトウェアー開発環境を揺るがせるものですらあります」
 この声明文が作られたのは起訴前の時点のもので(本当に起訴されるかどうかもまだはっきりしていないが)、検察庁からの証拠開示はいっさい行われておらず、弁護団が裁判方針を立てる段階には至っていないだろう。だが少なくとも、声明文からは、弁護団が「Winnyの作成目的はあくまで技術的検証であり、違法物の交換を幇助する目的で作ったのではない」という論点で争おうと現時点で考えていることがうかがわれる。警察が「匿名性を高めようとWinnyを開発し、犯罪を幇助した」と断じているのとは、真っ向から対決しているのである。果たして幇助目的で開発したのか、それとも技術的検証のためだったのか――この部分が裁判の争点となる可能性は高いだろう。
 少し過去の経緯を振り返ってみよう。Winny開発がスタートしたのは、京都府警の逮捕事実にもあるとおり、2002年5月のことである。
 P2Pのファイル交換ソフトは1999年、Napsterの登場によってブレイクした。だが全米レコード協会などからの激しい攻撃で、Napsterは2001年7月にサービスを停止してしまう。その後、NapsterベースでOpenNapサーバを使ったさまざまなファイル交換ソフトが乱立したが、その中でもっとも人気の高かったのがWinMXだった。WPNP (WinMX Peer Networking Protocol)という独自のプロトコルを搭載し、日本語化の改変を行わなくとも、そのまま日本語が通ったことも大きかった。結果、日本国内のアングラシーンで爆発的に流行し、ポストNapstarのデファクトスタンダードの地位を得るにいたるのである。
 だが2001年11月、WinMXでビジネスアプリケーションを交換していた学生2人が、京都府警に逮捕される。この直後から2ちゃんねる上などで、匿名性を高めた新たなP2Pソフトを求める声が高まった。そんな中で翌年4月、こんな書き込みが2ちゃんねるのダウンロード板に書き込まれたのである。
 「暇なんでfreenetみたいだけど2chネラー向きのファイル共有ソフトつーのを作ってみるわ。もちろんWindowsネイティブな。少しまちなー」
 この書き込み番号から「47」氏と呼ばれるようになったのが、金子助手だった。そしてこの書き込み通り、Winnyは約1カ月後の5月6日に最初のベータ版がリリースされ、ジオシティーズにサポートサイトが開設されたのである。
 開発途中、ダウンロード板で金子助手はさまざまな書き込みを行っている。
 「著作権含むけど、それと知らない人が単にデータを中継しただけでも捕まるってのなら逮捕可能かもしれないけど、それってルーター使ってたら逮捕と同じなわけで、システム使ってるだけで無条件で逮捕可能にしないと、捕まえられんだろう」
 「個人的な意見ですけど、P2P技術が出てきたことで著作権などの従来の概念が既に崩れはじめている時代に突入しているのだと思います。お上の圧力で規制するというのも一つの手ですが、技術的に可能であれば、誰かがこの壁に穴あけてしまって後ろに戻れなくなるはず。最終的には崩れるだけで、将来的には今とは別の著作権の概念が必要になると思います。どうせ戻れないのなら押してしまってもいいかっなって所もありますね。」
「あと作者の法的責任に関しては、情報公開を要請されるとか公開停止程度の勧告はありえますが、逮捕というのはまずありえないだろうと考えています」
 一方、新聞報道などによれば、金子助手は逮捕後、「結果的に自分の行為が法律にぶつかってしまうので逮捕されても仕方ない」と供述したという。
 今後、金子助手と弁護団はどのような主張を展開していくのか。仮に起訴され、刑事裁判ともなれば、非常に注目される事態となるのは間違いない。

| | Comments (0) | TrackBack (0)

事件簿「セキュリティ技術者がテロリストとなった顛末」(iNTERNET magazine 2004年5月)

今年2月、インターネットのセキュリティ業界に激震が走った。企業や官公庁の脆弱性を外部から指摘し、活発な活動を続けてきたoffice氏が不正アクセス禁止法違反などの容疑で逮捕されたのである。彼が脆弱性を指摘したコンピュータソフトウエア著作権協会との間で、いったい何があったのか。そしてなぜ、個人情報はネットに流出してしまったのか。事件の背後には、関係者たちの壮絶なぶつかりあいがあった。

 昨年11月9日。日曜日の昼だというのに、冬を間近に控えた東京の街には肌寒い曇り空が広がっていた。
 飯田橋の駅からほど近いビルの4階に、有限会社ヨセフアンドレオンはある。書籍や雑誌、ウエブ制作などを手がけている編集プロダクションである。駅から歩いて出勤してきた社長の中川文人氏は、メールボックスに見慣れない受信メールがあることに気づいた。
 「コンピュータセキュリティインシデント報告様式」と書かれたそのメールには、ネットワーク用語が散りばめられ、専門家ではない中川氏には一読して意味を図りかねた。だが二度、三度も読み返すうち、そのメールは重要な内容を含んでいることがわかってくる。ヨセフアンドレオンが制作を請け負っている財団法人コンピュータソフトウエア著作権協会(ACCS)のウエブサイト「ASKACCS」から、個人情報が漏れているという内容だったのだ。メールはセキュリティインシデントの対応組織として知られるJPCERTコーディネーションセンター(JPCERT/CC)と、ASKACCSのウエブサーバ運営会社であるファーストサーバ(本社・大阪市)、それに同社の親会社であるクボタに同報されていた。後に、メールの「コンピュータセキュリティインシデント報告様式」というのは、JPCERT/CCが公開しているインシデントの報告テンプレートであることが判明する。
 中川氏はあわててACCSの久保田裕専務理事に電話連絡を取り、そして同時に「office」と署名のあるメールの送信者に対し、ヨセフアンドレオン名で返信した。「どなたからこのメールをいただいたのでしょう?」。返事は、夜になって戻ってきた。「あなたは本当にACCSの人間ですか? それが確認されない以上、詳しいことはいっさい申し上げられません」。office氏は後にこう語っている。「ACCSの署名ではないメールが来て、いたずらではないかと思った」
 この日、夕方から降り出した雨は夜半になって徐々に冷たく、激しさを増した。そしてofficeと名乗るメール送信者を含め、関係者はこの日から事件に翻弄されることになった。

 話はいったん、この前日の土曜日夜にさかのぼる。東京・渋谷のライブハウス「O-West」で、「A.D.2003」と題したセキュリティ関連イベントが開かれた。非営利で2001年度から計4回開かれていたこのイベントの目的について、A.D.200X実行委員代表の鵜飼裕司氏は「インターネット利用者のコンピュータ・セキュリティに対する意識の向上、およびソフトウエア開発者やネットワークサービス提供者の技術力の向上を目的としたイベント」と説明する。
 この中のショートプレゼンテーションで、ACCSのウエブサイトの脆弱性についての発表が行われた。スピーカーはoffice氏である。office氏の指摘した脆弱性は、かいつまんで言えば次のようなものだ。
 著作権とプライバシーに関する質問サイトであるASKACCSでは、相談や情報提供の質問フォームがCGI(Common Gateway Interface)によって提供されている。office氏はASKACCS上で動作しているCGIのひとつ「csvmail.cgi」に注目した。このcsvmailは入力確認のために用意されたデータ表示用CGIだったとみられる。データを渡すためのHTMLをダウンロードし、csvmail.cgiのデータ名を引数としてcsvmail.cgiに返してみたところ、CGI自体のソースが表示されてしまったのである。
 ソースの中には、ASKACCSの質問内容が記録されているらしいcsvmail.logというログファイル名があった。ビンゴ!というところだろうか。office氏はこのファイル名を再びcsvmail.cgiに返し、ログの中身を閲覧することができた。中には、①IPアドレス②氏名③年齢④住所⑤電話番号⑥メールアドレス⑦質問内容――を含む1184人分の個人情報があったのである。
 office氏がこの脆弱性に気づいたのは、約4カ月前の2003年夏のことだったという。彼はA.D.2003のプレゼンテーションでこの件を紹介するにあたって、当初は会場でノートパソコンとPHSを使ってネットに接続し、実演を行う予定だったという。ところが会場内でPHSの電波を受信できなかったため、その場で急いでパワーポイントファイルを作成。csvmail.cgiのソースや閲覧できた個人情報の一部を含む画面キャプチャーなどを上映した。
 当日、会場にいた参加者のひとりは話す。「office氏のプレゼンが始まると、会場から『おおっ』という声が上がった。かなりセンセーショナルな発表だったのは確かだ」
 イベントには、ネットワークエンジニアやセキュリティエンジニア、ソフトウエアエンジニアを中心に約250人の参加者がいた。終了後、office氏はこの脆弱性の報告書を用意し、JPCERT/CCに送信するとともに、ACCSやファーストサーバなどに同報した。午後8時23分。ACCS側がこのメールに気づく約16時間前のことである。

 11月9日以降、ACCS側とoffice氏で交わされたメールは、激しいやりとりに終始した。原因は、お互いの行動目的について当初の段階で大きな誤解があったことだった。
 ACCSは週が明けて月曜日朝、緊急の対策会議を開いた。最大の論点は、閲覧されてしまった1184人分の個人情報の漏洩をどのようにして防ぐか。ACCS関係者は「最初の段階ではわれわれはofficeという人物がどこの誰なのかも知らず、個人情報を閲覧した目的も図りかねた。メールの書き方も非常に高飛車で、しかも匿名とあって信用できなかった」と証言する。ヨセフアンドレオンの中川氏も話す。「ACCSあわてふためいてオロオロしているのを見て、楽しんでいるように見えた。おまけに1184人分の個人情報という“人質”を取られ、いつ流出するのかわからない状態で、これは脅迫ではないかと思った」
 対策会議では、記者会見による事態の公表を急ぐべきだという意見があった一方で、「officeという人物はどんな人間かわからない。下手に公表すれば相手を刺激してしまい、インターネットなどに個人情報を流出させられるのではないか」「まずどういう人物かを確認すべきだ」という声も出た。
 一方、office氏は、まさか自分が脅迫者のように思われているとは、夢にも思っていなかった。逆に、脆弱性をせっかく指摘しても、公表されないままもみ消されてしまうのではないかという不安につきまとわれていたのである。office氏には、大企業や公的機関などに対する抜きがたい不信感があった。実際、今年1月4日付の朝日新聞でも、office氏自らが取材に対してこう語っている。「個別に通告するよりも、騒ぎを起こして、全サイト運営者に手直しを迫る必要があった。それには『証拠』を見せることが必要だ。ネットのセキュリティー問題を扱う民間団体に、様々なサイトの欠陥を指摘しても、「証拠を出せ」と門前払いされるばかり。だから、だんだん指摘の仕方が過激になった」
 ACCSは、閲覧した個人情報を消去するよう要求した。だがoffice氏は「証拠隠滅のようなことはできない」と拒否。そしてメールの中で「私の行動の優先順位は、①自分の身を守る②自分自身の手による情報公開により、インターネット全体の安全性向上を図る③ACCSのユーザを守る、ということになります。わたしの身が守られ、情報公開が行われない限り、情報の削除はできません」と説明した。office氏は逮捕後、接見した弁護士にこう話している。「ASKACCSはとんでもないCGIを使っていて、目も当てられないひどい状況だった。それなのに個人情報を削除しろと執拗に迫られ、ACCSは自分の落ち度をごまかそうとしているように見えた」
 一方、A.D.200X実行委の側も10日になってACCSとoffice氏の間で起きている事態に気づき、ACCS側に即座に連絡を取った。

 ACCSは11月11日夜、個人情報が流出した人に対して事実の説明とお詫びを記したメールを送信した。ほぼ同時に、ACCSが「ACCS運営ホームページのセキュリティ問題について」と題する文書を公式サイトで公開し、12日夕に記者会見を開くことをメディアに通知した。
 文書は「ASKACCS上の質問フォームから記入いただいた方の個人情報が、他のインターネットユーザーによって入手できる状態に置かれていたことを確認いたしました」とある。この時点では、ACCSはoffice氏だけが漏洩した個人情報を見ている思いこんでいた。だがこの後のメールのやりとりの中で、office氏が「方法はA.D.2003で公開しました。他の人も同じようなことをやっているかもしれないので、他の人も個人情報を入手している可能性があります」と説明し、初めてA.D.2003のショートプレゼンテーションで個人情報が公開されていた事実を知ることになる。
 ACCS関係者の証言。「office氏のメールの中にA.D.200X実行委のメンバー名があり、その人が偶然ACCS会員企業の社員だった。このためすぐに連絡を取り、仲介に入ってもらった」。この直後、office氏は「個人情報を削除しました」というメールをACCSに送ってきている。この関係者は「仲介してもらったことでoffice氏が態度を軟化させたのかもしれない」と推測している。
 この一連のやりとりで、双方の誤解は若干は解消する。office氏も後にACCSに送ったメールの中で、「ACCSが、わたしが情報を流すと疑っているとは想像もしていなかった。私自身の自信が肥大していたのかもしれない。そんなことは露とも思わなかった」と書いているのである。

 office氏とは、どんな人物なのだろうか。
 40歳、京都大工学部卒。文化庁長官で京都大名誉教授の河合隼雄氏の甥でもある。事件当時、京都大学国際融合創造センターの非常勤研究員だった。だが彼の実名や肩書きよりも、セキュリティ業界では「office」の名前の方が通りは良かった。官公庁や大企業などのウエブの脆弱性を次々と指摘し、イベントで公表したり、雑誌に寄稿するなどの活発な活動を長く続けてきたからである。
 彼の行動が注目されてきた背景には、日本独自のセキュリティ事情がある。日本の組織はセキュリティに関する意識が低く、監査を受けたがらず、発見された脆弱性を隠そうとする体質は依然として蔓延している。公にされている数倍のセキュリティインシデント(事故)が起き、しかしひそかにもみ消されているのではないかともささやかれている。そんな状況の中で、office氏の活動は日本の「隠蔽風土」に風穴を開ける存在として脚光を浴びてきた。
 そしてその活動の一環として、A.D.2003におけるショートプレゼンテーションがあったのである。office氏は後に、弁護団のひとりである若槻絵美弁護士にこう語っている。「ASKACCSの脆弱性を指摘することになったのは、セキュリティとプライバシーというキーワードで検索し、検索結果を順に見ているうちにたまたまぶつかっただけだった」

 11月20日、office氏は謝罪のために東京・護国寺にあるACCS事務局を訪れた。応対に出たのは、久保田裕専務理事。だがこの会談は、双方の誤解を解消するどころか、結果的に逆効果だったようだ。
 久保田氏は少年ラグビーの指導も行っているスポーツマンで、非常に精力的な人物である。技術者気質のoffice氏とは、お互いに分かり合える部分は少なかったのだろうか。久保田氏は後に、ニュースサイト「INTERNET watch」のインタビューにこう答えている。
 「警察からはできれば応じないでほしいと言われたが、謝罪したいのなら人として会おうと判断した。しかし残念ながら、そのときの彼の言動からは謝罪の意志がまったく感じられなかった」
 この場には、ヨセフアンドレオンの中川氏も同席していた。中川氏が「脆弱性の指摘なら、ほかにも方法はあったんじゃないですか?」と聞くと、office氏は「事件を起こさないといけないと思ったんです」と答えた。
 「私は『犠牲になる人のことを考えたんですか? それじゃあテロリストの考え方じゃないですか』と反論した。それに対して、office氏はこう言ったんです。『前から私はテロリストでした。これまでもそういうやり方をしてきたんです』と。私には開き直りに思えた」

 11月下旬、事件は再び転回点を迎える。office氏が入手した個人情報が、実は不特定多数に対して公開されていたことが明らかになったのである。
 きっかけは、ACCSに届いた1通のメールだった。A.D.2003の参加者だったと名乗るそのメールには、こう書かれていた。「会場では、office氏の上映したパワーポイントファイルが無線LAN経由でダウンロードできました。私もダウンロードしたひとりです。たいへん申し訳ないことをしたと思っています。ファイルはハードディスクから削除しました」
 データはoffice氏しか持っていないと信じ込んでいたACCS側は、驚いてA.D.200X実行委に問いただした。実行委からは「パワーポイントファイルは確かに会場のファイルサーバに入っていたが、スタッフがダウンロードしただけで、不特定多数には公開していない。すでに削除してある」と返事が来た。
 しかしこの後、ACCSは警視庁から「当日、捜査員が会場に内偵に入っていて、無線LANでダウンロード可能な状態にあったことを認識していた」と知らされる。このころから、A.D.200X実行委とACCSの関係もぎくしゃくし始めた。ACCS関係者は「この時期から、A.D.200X実行委をどこまで信用していいのかわからなくなり、積極的にはこちらから連絡を取らなくなった」と証言する。
 この件は、事件を収拾しようと動いていたA.D.200X実行委にとっても後々悔やまれる結果となった。実行委の鵜飼氏は「ダウンロードの状態の把握に誤りがあった。だが実行委としてACCSへの報告を怠り、これが後日、愉快犯による意図的な情報流出を引き起こした要因となったと思う」と話すのである。
 いずれにせよ、データは外部に流出していた可能性が浮上した。最悪のケースも想定しなければならない。年末が押し迫っていた。12月3日、ACCSは弁護士やセキュリティ専門家などを集めた「事故調査委員会」を設置し、事件の原因や問題点についての本格的な調査を開始した。

 年が明けた。そしてお屠蘇気分も抜けない1月4日、朝日新聞が驚くべき記事を掲載した。1面トップに掲載されたその記事は、こんな見出しだった。
 「個人情報守れぬサイト 危険性指摘の研究員が1200人分引き出す」
 office氏の活動に焦点を絞ったその記事は、リードに「警視庁は不正アクセス禁止法違反の可能性があるとして情報収集している」とあり、警察の本格捜査が進んでいることが初めて明らかになったのである。
 この記事に関連し、社会面にはoffice氏のインタビューも掲載された。見出しはこうだ。「研究員のサイト侵入、警鐘逸脱し過激化 手直し迫ろうと騒ぎ」。その中にはoffice氏自身の言葉として、こんな発言も紹介されている。
 「(サイトに入るための)攻撃コマンドが決まったときはすかっとする」
 若槻弁護士が話す。「朝日の記事は、office氏が取材を受けた際に予想していた記事とはまったく違っていた。そもそも『すかっとする』というのは、『そういうことを言うクラッカーもいる』という意味で言っているだけで、自分がすかっとするとは言っていない。office氏は抗議の内容証明郵便を朝日の本社に送っている」
 しかしこの記事は、一般社会だけでなくセキュリティ業界にもたいへんな波紋を巻き起こした。「果たしてこうした方法による脆弱性指摘は是なのか」「office氏という一個人をバッシングすれば世の中の危険なCGIがなくなるわけではないだろう」。さまざまな議論が方々で行われた。
 一方、流出させてしまった個人情報に苦慮していたA.D.200X実行委も、苦渋の選択を迫られていた。鵜飼氏は「A.D.2003の参加者の中に、実行委に対してさまざまな嫌がらせを行っていた人物が一部混じっており、そうした人物に事態が知られれば、愉快犯的に個人情報を公開される可能性が非常に高いと考えていた。このため参加者全員に連絡を取ることを躊躇していた」と話す。だが朝日の記事によって、事態は公になってしまったのである。
 実行委は最終的に、個人情報の流出が懸念されているため、すみやかにパワーポ員とファイルを削除してほしいという内容のメールを参加者全員に送った。だがこれは、結果的には裏目に出たのかも知れなかった。インターネットの匿名掲示板に、office氏の作成したパワーポイントファイルがアップロードされてしまったのである。
 ファイルが「2ちゃんねるアップローダ」に出現したのは、1月27日午後8時43分。約1時間後には、2ちゃんねるのセキュリティ板にこの件についての書き込みが行われた。
 「あぷろだにあるファイルは本物でつか? ADに逝った人、確認きぼんぬ。怖いのでまだダウソしてないへたれでつ」
 ACCSもA.D.200X実行委もすぐにこの書き込みに気づいた。そして間もなく、アップロードされたファイルが個人情報を含む“本物”であることが確認された。かねてから恐れていた事態が、とうとう現実になってしまったのである。
 A.D.200X実行委の鵜飼氏は、すぐに2ちゃんねるの該当スレッドに「アップロードされた方、およびダウンロードされた方は至急削除願います」と書き込み、削除依頼版でも削除を要請した。だが情報は急速に広がる。午前11時過ぎには、2ちゃんねるのレンタルサーバ版にもアップロードされたファイルへの直接リンクが書き込まれた。2ちゃんねる側の対応によって、ファイルが削除されたのは午後4時になってからだった。約21時間あまりにわたり、4人の個人情報が掲載されたパワーポイントファイルが無防備に晒されてしまったのである。
 鵜飼氏は「一斉連絡による資料削除の要請が、逆に2ちゃんねるでの流出につながった可能性は否定できない。被害者の方々に対して非常に心苦しく思う」と苦渋の胸の内を打ち明ける。

 それにしても、なぜこのファイルはA.D.2003の会場でオープンにされてしまったのだろうか。
 officeが発表を行ったショートプレゼンテーションは、参加者が誰でも気軽にコンピュータ・セキュリティに対する話題を発表できるようにと用意されたコーナーだった。このため「内容の事前査読などは行わない」と事前に参加者に告知されていた。とはいえ、実際には発表資料については実行委スタッフが一度は目を通していた。しかしoffice氏が電波受信の不具合から現場でパワーポイントファイルを急きょ作成し、発表直前にプロジェクタ投影用のパソコンにファイルを転送したことなどから、時間的問題もあって査読は行われなかった。
 しかしプロジェクタによって上映された時間は、長くとも十数秒程度である。上映されただけでは、個人情報漏洩は大きな問題にはなっていなかっただろう。最大の問題は、このファイルが無線LANによって会場の誰にもダウンロード可能な状態になっていたことだった。
 これについてA.D.200X実行委の側はこう説明する。「プレゼンテーション資料を参加者用のサーバにアップロードすることは以前から話し合われていた。過去のイベントでも、同様の目的で参加者用サーバが設置され、office氏の資料もアップロードされていた。A.D.2003でも、当然彼は了解していると思ったし、彼からもその件に関する事前連絡はなかった」
 一方のoffice氏は、まったく逆の受け止め方をしていた。彼の供述。「資料を会場でダウンロードできるとは知らなかった。以前のイベントでは事前にダウンロードできるようにしていいかどうかを聞かれたので、今回もダウンロードできるようにする場合は問い合わせがあると思っていた。プロジェクタ投影用パソコンにデータを移すのも拒否したが、5分間で次々と発表するショートプレゼンテーションの効率上無理だと言われ、しかたなく了解した」
 不幸な行き違いだったというべきだろうか。しかしいったん流出した個人情報を、完全にサルベージするのは不可能に近い。A.D.200X実行委とACCSは、現在も問題のパワーポイントファイルがインターネット上に流出していないかどうかの監視活動を続けている。今のところ、これ以外にネット上に出現した形跡は見つかっていない。

 そして1週間後、office氏は逮捕された。逮捕したのは警視庁ハイテク犯罪対策総合センターと池袋署。容疑は不正アクセス禁止法違反と威力業務妨害である。officeのメールによってASKACCSが閉鎖を余儀なくされたことについて、ACCSの業務を妨げた業務妨害であると判断されたのである。
 朝日新聞の報道によって警察の捜査が進められていることが明らかになって以降、関係者たちにとっては予想通りの展開だった。
 しかしひとつ、水面下で一見小さな転回点があった。A.D.2003に始まる一連の事件は、流出してしまった個人情報の保護が焦点だった。しかしこの逮捕によって、事件の展開はすこしずつねじれ始めるのである。以降、office氏の行為が不正アクセスだったかどうかという論点へと、位相がずれていく。
 office氏は京都市の自宅から遠く、東京の池袋署で23日間にわたって拘留された。当初、office氏は黙秘し、住所氏名や経歴などしか明らかにしなかった。途中からは接見に日参していた若槻弁護士の薦めで、ASKACCSのCGIに対しての行為自体は認め、しかし不正アクセスであることは認めないという路線へと転換した。だが警察の取り調べは厳しかった。
 「あんたは妻も子もいるだろう。叔父さんも有名な人じゃないか。自分の問題じゃないんだぞ。家族に迷惑をかけていいのか」
 そんなことを言いながら執拗に迫る取調官に対し、office氏は「あれは絶対不正アクセスじゃない」と主張し続けた。
 若槻弁護士は「調べのきつさには本当に音を上げかけていた。だが検事とも不正アクセスについて議論し、最後まで何とか防ぎきった。供述調書は本人もそれなりに納得のいくものになった」と話す。
 拘留満期後の2月24日、office氏は東京地裁に起訴された。罪名は不正アクセス禁止法違反。起訴状は、次のように書かれている。
 「アクセス制御機能を有するサーバコンピュータに、アクセス制御機能による特定利用の制限を免れることができる指令を入力し、制限されている特定利用をしうる状態にさせ、もって不正アクセス行為をした」
 これから長い裁判を戦おうとしていたoffice氏と弁護団には、嬉しい誤算があった。起訴の罪名から、威力業務妨害が省かれていたのである。警察関係者によると「裁判を進めていく中で、罪名をひとつに絞った方がいいと検察は判断したようだ」という。
 再び若槻弁護士。「過去の刑事裁判を見れば、威力業務妨害で戦うのは難しく、被告側にとっては明らかに不利だった。だが検察が不正アクセス一本に絞ったことで、裁判を戦いやすくなったと思う」
 公判では、弁護側はセキュリティの専門家の意見書などを証拠として申請していく方針だ。HTMLを書き換えてCGIを操作したoffice氏の行為は、不正アクセスには当たらないということを全面的に主張していくという。

 ACCSは2月27日、パワーポイントファイルによって個人情報を流出された3人とともにoffice氏を相手取り、総額約750万円の損害賠償請求を東京地裁に起こした。久保田専務理事はINTERNET watchのインタビューに「賠償金が欲しいというのではなく、彼がやった行為の責任を法的に明確にしたい」とその動機を説明している。
 一方、A.D.200X 実行委員は、今後のカンファレンス活動のいっさいを無期限に取りやめると宣言している。代表の鵜飼裕司氏は話す。「今回の個人情報漏洩を引き起こしたoffice氏の発表を予測して防ぐ事ができなかったことを、被害に遭われた方々に深くお詫びしたい。また、カンファレンスでの河合氏の発表に注意を向けず、その結果、発表と資料配布の中止を実現できなかったということについても重ねてお詫びしたい。河合氏の行為は、該当者の方々のプライバシーを著しく損なうものであり、非常に遺憾に思う。また同時に、そのような発表の場を結果的に提供することになってしまったA.D.200Xは、被害の拡大を防ぐためにも、個人情報の漏洩拡大防止に全力で取り組むべきであると強く認識している」

 office氏の行為は、何をもたらしたのか。
 ヨセフアンドレオンの中川氏は「衝動に駆られてやったのか、本当に戦略があってやったのか、それとも引っ込みがつかなくなってやったのか。本当の真意を聞きたいと思う。公判ですべてを明らかにしてほしい」と話す。しかし若槻弁護士は、office氏の人柄をこう話す。「彼は一貫して、みずからの正しさを信じている。ただそれについて他人がどう思うのかとか、どう受け止められるのかといった点については、気持ちの上で後回しになってしまう傾向があるかもしれない。真実に対し、徹底的にこだわっていく気持ちがとても強い人だと思う」
 ACCS関係者のひとりは事件後、「彼はヒロイックで孤独なテロリストに見えた」と打ち明けた。
 初公判は、5月26日にスタートする。

CGIの脆弱性はなぜ放置されたか

 office氏の裁判で争点となるのは、CGIの脆弱性を突いて個人情報を含むログファイルを閲覧した行為が、果たして不正アクセスに当たるかどうかという点である。弁護団は「問題のCGIにはアクセス制御機能はなく、不正アクセスではない」として全面的に争う方針だ。
 このCGIは、大阪に本社のあるレンタルサーバ企業、ファーストサーバ社が顧客に「標準CGI」という名称で提供されていたものである。なぜ脆弱性が放置されていたのだろうか。
 ファーストサーバがACCSやヨセフアンドレオンなどに説明した内容によれば、同社は事件発覚1年前の2002年末、社内セキュリティ監査によって標準CGIの脆弱性を発見していたという。この時点で暫定対応版を作成し、年内にプログラムを置き換え作業を進めた。だが置き換えは一部の顧客に関しては行われていなかったという。
 ACCS関係者が説明する。「ファーストサーバは、標準CGIをカスタマイズしていた顧客のプログラムは置き換えを行っていなかったと説明している。しかしASKACCSで使われている標準CGIはカスタマイズされていなかった。ひょっとしたら置き換えは行われたが、その後何らかのタイミングでACCS側が古い標準CGIを上書きしてしまったのかもしれない。いずれにせよ、今となっては原因は突き止めようがない」
 年が明けて2003年3月、ファーストサーバは標準CGIの改良版をリリース。さらにoffice事件直前の同年8月には、旧標準CGIについてサポートを終了することを顧客にメールで通知した。そのメールには、こう書かれている。
 「8月18日をもって旧標準CGIの新規インストール機能のご提供を終了し、同時にサポートについても終了させていただきます。※インストールはできなくなりますが、セキュリティ上の問題が発見されない限り、そのまま継続してご利用いただくことは可能となっております」
 ヨセフアンドレオンの中川氏は「年内にASKACCSの質問コーナーをリニューアルする計画を進めており、その段階でまとめて更新を行った方がいいと考え、そのままにしていた」と話す。ACCS関係者も「こちら側のタイミングの問題に加え、ファーストサーバのメールに『セキュリティの問題が発見されなければ継続して利用できる』とあったので、問題なく使い続けられると思った。不適切な表現だったのではないか」と指摘する。
 いずれにせよ、重大な脆弱性を放置したまま標準CGIは使い続けられ、結果的にoffice氏の事件を引き起こす結果となった。
 この件について、ファーストサーバ社の広報担当は筆者の取材に対し、「現在、刑事裁判が進行中との事情から、残念ながら、コメントさせていただくことができません」とだけ答えている。

| | Comments (0) | TrackBack (0)

地場IT企業はどう生き残るか――長野電算(e.Gov 2004年5月)

 電算の創立は1966年3月29日。以来40年近くにわたり、長野県を拠点に市町村の情報システムを支えてきた。電算の歴史は、そのまま日本の地域ベンダーの歴史と重なるといっても過言ではない。
 創立時は、計算センター業務が売り上げの多くを占めていた。税金関係の台帳入力・計算などを市町村から受託し、1週間後に計算結果を納めるといった受託処理サービスである。だが1970年代後半、メーンフレームに漢字が搭載されるようになり、さらにオフコンの登場によって計算センター業務を担っていた地場企業は大きな変革期を迎える。受託業務からの脱皮が求められるようになり、主力ビジネスは自治体の窓口業務を支えるシステム構築へと移行していったのだ。
 各地の計算センターの中には、大手コンピューターメーカーのソリューションやパッケージを導入したり、それらの製品を仕入れて販売する販社へと転換したところも少なくなかった。だが電算はそうした道を選ばなかった。独自に自治体向けの情報システムを開発するという厳しくも誇り高い道を選択したのである。
 電算の取締役・自治体事業本部長である酒井敏夫氏は振り返る。
 「われわれはみずからの力によって、お客様の要望に応えられるような使いやすいシステムを作っていくんだと思ったのです。開発費はわが社にとってたいへんな負担にはなるが、制度改正などがあってもすぐに対応でき、お客様からの要望をすぐにフィードバックできるシステムを提供するには、自前で開発するしかない。そんな考えからでした」
 その取り組みが結実したのが、電算が提供している総合行政情報システム「Reams」である。80年代初頭に開発をスタートさせ、すでに4回のバージョンアップを経ている。顧客は長野県、新潟県を中心に150自治体に上っているという。
 初期バージョンの「Reamsオンライン」は、漢字処理が可能になったメーンフレーム上で住民基本台帳を処理するシステムとして作られた。17の地方自治体がこのシステムを導入したという。そして80年代後半の第2世代「Reams S/A」はオフコンの登場にあわせ、このシステムをオフコン上で稼働できるようにしたものだ。計算センターのマシンをオンラインで使用するスタイルから、庁内にオフコンを設置するスタイルへと変化を遂げたのである。このReams S/Aで電算はシェアを大きく拡大し、採用自治体は130強へと達したのである。
 そして1990年代になると、ダウンサイジングの波とともにパソコンを業務に利用するという流れが出現してくる。電算のReamsもこれにあわせて、「ReamsⅢ」へとバージョンアップした。パソコンを使い、クライアントサーバモデルで構築したシステムである。オフコン時代はコンピューターメーカーが各社それぞれ独自OSを採用し、メーカーの壁は小さくなかった。電算でもメーカーごとに担当技術者を置き、各社のオフコンをそれぞれの担当者が保守するというシステムを採ったという。この負担は小さくなかったようだ。だがパソコンで構築されたReamsⅢではOSにWindows、データベースはOracleを使うなどさまざまな製品を自在に採用できるようになり、メンテナンスの効率は劇的に向上した。
 酒井氏が解説する。「電算は独立系のベンダーとして、どこのメーカーの製品でもいいものを採用し、最大の付加価値を加えてお客様に提供するということをモットーにしています」
 そうした同社の考え方を象徴するのが、電算自慢のサポートアンドサービスだ。サポートを行う専任部署を設置し、「作って納めて終わりではなく、情報システムは常に成長させていかなければならないという考え方の中で、お客様からいただいた要望を常に製品にフィードバックしていくサイクルを作り上げている」(酒井氏)というのである。
 そして今年4月には、第4世代目となる最新バージョンの「Reams.NET」をリリースした。名前を見ればわかるとおり、Microsoft.NETを採用して構築した製品である。そしてこのReams.NETは2003年度マイクロソフト認定パートナーアワードで、.NETアプリケーションアワード優秀賞を受賞している。最先端のテクノロジをふんだんに取り込んだ自信作なのである。電算の自治体事業本部 e-自治体推進部長である高山邦晴氏は、Reams.NETについて、「これまでのクライアントサーバモデルの限界を解消し、.NETフレームワークを使ってさまざまなデータの連携が可能になっている。バックオフィスの中核として、フロントとシームレスに連携できるシステムです」と胸を張る。
 同社はReams.NETを側面から支えるかたちで、昨年には長野県内にセキュアデータセンター(SDC)を建設。震度7の地震にも耐えうる全面免震構造を採用した最先端のビルでハウジングやホスティング、ストレージ、ASPなどのさまざまなサービスを提供し始めている。
 そしてやってくる平成大合併。その荒波を、電算はどう切り抜けていくのか。酒井氏は話す。「自治体の減少の中で生き残っていくためにどうするか。パソコンの時代になって販社も徐々に大手メーカーの系列化が薄れつつあり、そんな中でわれわれとしても販社とスクラムを組んでいきたい。長野、新潟を拠点にして山梨や埼玉にも進出し、合併案件を少しずつ増やしていきたいと考えている」

| | Comments (522) | TrackBack (0)

May 06, 2004

Winny開発者逮捕!京都府警vsインターネットの暗闘(サンデー毎日 2004年5月)

 音楽や映画などをインターネットで違法に交換することができるパソコンソフト「ウイニー」の開発者だった東大助手が、著作権法違反のほう助容疑で京都府警に逮捕された。「逮捕は行き過ぎだ」「開発者は国宝級のプログラマー」と府警を批判する大合唱が置き、まるでインターネット利用者vs京都府警の間の「仁義なき戦い」の様相さえ見せている。いったい何が起きているのだろうか。

 今回の逮捕劇のきっかけとなった「ファイル交換ソフト」というのはどのようなものなのか。まず簡単に説明しておこう。
 ファイル交換は文字通り、自分の持っている音楽CDや映画のDVD、テレビで録画したビデオなどを「P2P」と呼ばれる種類のソフトを使ってインターネット上で公開し、他の人々の持っているものと交換するシステムのことである。音楽CDや映画のDVDははデジタルデータになっているため、パソコンに取り込むのはたやすく、インターネットを通じて他人に提供するのもたやすいのである。ファイル交換ではカネの受け渡しは行われず、いわば「互助会」のようなものといえるだろう。だがこうした行為は、たとえば日本の著作権法では「公衆送信権侵害」という違法行為であり、れっきとした犯罪である。
 最初にファイル交換が大ブームとなったのは1999年。アメリカのナップスターという企業がファイル交換サービスを提供したのが最初だった。無料で音楽データが手に入るとあってナップスターは若者たちから喝采をもって受け入れられ、あっという間に世界中に普及した。だが「無料でCDの中身を交換されたらCDが売れなくなる」と全米レコード協会などが激しく非難して大規模な民事訴訟を起こし、ナップスターは2年余りでサービス停止に追い込まれたることになる。
 この後は、延々とイタチゴッコが続いている。新手のファイル交換ソフトが出現すると、著作権団体が民事訴訟を起こしたり、捜査当局が摘発し、そして再び新手のソフトが出現し……という繰り返しだったのだ。そしてそんな中で、日本でもっともファイル交換の摘発に力を入れているのが、京都府警なのである。
 京都府警はまず2001年11月に、「WinMX」というファイル交換ソフトを使っていた2人を著作権法違反容疑で逮捕。さらに昨年11月には、ウイニー利用者だった別の2人を同容疑で逮捕している。この時、京都府警の高瀬基彰ハイテク犯罪対策室長(当時)は筆者の取材に対しこう話していた。
 「私がいちばん恐れているのは、第2、第3のウイニーが登場してくることだ。今回の逮捕は単なる一罰百戒ではなく、今後も摘発を続けていくつもりであることをファイル交換ソフトの利用者に理解してもらいたい」
 この時の「今後も摘発する」という意思表明が、今回の逮捕劇につながっていたということだろうか。
 金子容疑者は、東大大学院の情報理工学系研究科で特任助手を務め、文部科学省の予算で「戦略ソフトウェア創造人材養成プログラム」を担当していた。次世代のコンピューターを担う新たなソフトを開発できる人材を育てようという教育コースで、いわばエリート養成機関である。金子容疑者はその教官のひとりだったのだ。
 実際、金子容疑者の才能は途方もなく高かった。逮捕後、「金子勇を支援する会」を立ち上げた知人のソフト開発会社社長、新井俊一氏は、
 「金子さんは技術者として、とても尊敬されている人物です。しかも優秀な技術者にありがちな傲慢なところがまったくなく、性格はとても気さくで親切なんです。技術者としては幅広い分野に知見を持っており、ひとつの分野や既存の枠組みにとらわれない発想と能力を持った希有な人物です」
 と、べた誉めなのである。
 彼が匿名で開発していたウイニーについても、そのプログラムの凄さには多くの専門家が息を飲んだ。それまでのファイル交換プログラムと比べ、徹底的な暗号化が行われており、だれが違法ファイルを提供し、それをだれが入手しているのかはまったく突き止められないように精巧に組み上げられていたのである。
 それだけに、金子容疑者の逮捕についてはコンピューター業界からも「才能のあるプログラマーをつぶすのか」という批判が巻き起こった。前出の新井氏は、金子容疑者が逮捕された5月10日の夜に早くも支援を表明。匿名掲示板などを通じて支援の動きが広がり、10日間で600万円以上の支援金が集まったというから驚くしかない。総勢10人からなる弁護団(団長・桂充弘弁護士)も結成された。
 「ウイニーは技術的検証として作成されたにすぎず、このソフトを悪用したものを幇助したとして罪に問われることは、明らかに警察権力の不当行使だ」(弁護団声明文)
 しかし金子容疑者は、ウイニーを弁護団の言うように「技術的検証」の目的だけに開発したのだろうか。本人はウイニーの開発途中、2ちゃんねるにさまざまな書き込みを行っている。
 「P2Pが出てきたことで、著作権などの従来の概念がすでに崩れはじめている時代に突入しているのだと思います。お上の圧力で規制するというのも一つの手ですが、技術的に可能であれば、誰かがこの壁に穴あけてしまって後ろに戻れなくなるはず」
 「作者の法的責任に関しては、逮捕というのはまずありえないだろうと考えています」
 何とも過激なアジテーションではないか。
 金子容疑者はウイニー開発をスタートする際も、「フリーネットみたいなソフトを作ってみる」と掲示板で発言している。フリーネットというのは1999年、政府のインターネット監視に対抗するために作られた完全匿名を保証する掲示板ソフトで、各国政府や著作権団体から「テロ活動の支援になる」「違法ファイルの流通を加速させるものだ」などと非難されている。
 金子容疑者のこうした発言を見れば、彼がある種の反体制的思想を持ったプログラマーであることは間違いないだろう。端的に言い切ってしまえば、彼の思想は「革命家」のそれであり、今回の事件は明らかな「確信犯」だったのではないか。そして金子容疑者が起訴されることになれば、裁判では彼の行動の正否が激しく争われることになるだろう。著作権問題に詳しい法曹関係者は、
 「過去、ソフトや機器類を作ったというだけで有罪判決を受けたケースはたぶん皆無でしょう。今回の事件では、著作権侵害の幇助という罪が本当に成り立つのかどうかという微妙な判断が争われることになりそうです。場合によっては、京都府警の今回の逮捕が行き過ぎだったという結果にもなりかねないでしょう」
 と指摘する。知的財産権に詳しい三好高文弁護士も、
 「包丁を作った人は殺人罪の幇助になるかという議論もあり、かなり難しいですね。ウイニーには著作権違反の使い道しかなかったということを検察側は立証していかなければならないでしょう」
 と解説する。いずれにせよ、難しい裁判にはなりそうなのだ。
 ではなぜ、京都府警はコンピュータ業界までをも敵に回し、ここまで突っ込んだ摘発を行ったのだろうか。今回の事件について京都府警広報は「捜査中のためノーコメント」と答えるのみだが、捜査関係者はこう明かす。
 「府警からウイニー経由で捜査資料が漏洩する事件があり、府警幹部はこれでカンカンになったようです」
 漏洩事件というのは今年3月、京都府警下鴨署の交番勤務の男性巡査が私用のパソコンに保存していた捜査報告書などの文書が、突然インターネット上に大量に流出した事件のことである。実はこの漏洩は、ウイニーのソフト自体に感染する特異なコンピューターウイルス「アンティニー」が原因だった。このウイルスは感染すると、ウインドウズのデスクトップ画面のコピーとデスクトップ上に置いてある文書などのファイルをひとまとめに包み、インターネットに放出してしまうのである。この巡査はこっそり自宅でウイニーを使っていて、アンティニーに感染してしまったらしい。
 「府警は昨年11月にウイニー利用者2人を逮捕した際、金子容疑者の自宅を家宅捜索し、参考人として取り調べも行っています。この時金子容疑者は『今後はウイニーの開発は行いません』と約束し、その後2人の裁判でも『迷惑をかけて申し訳なかった』という上申書を裁判所に提出しています。府警も金子容疑者を立件するつもりはなかったようです」(前出の捜査関係者)
 だがその後、アンティニーウイルスが蔓延し、府警にまで被害が及んだことで、当局の空気ががらりと変わってしまったというのである。
 もっと不穏な噂もある。
 「アンティニーウイルスは金子容疑者の周辺人物が、開発して流布したのではないか」
 というのである。これがもし本当であれば、金子容疑者に対する態度を京都府警が急に翻した理由も確かに納得がいく。
 だが現時点では、まだ真相ははっきりしない。いずれ金子容疑者が起訴されれば、法廷でさまざまな事実が明らかにされていくことになる。インターネットの世界にとっては、まさに“世紀の裁判”となるだろう。
(ジャーナリスト・佐々木俊尚)

| | Comments (17) | TrackBack (0)

« April 2004 | Main | June 2004 »