パスワードを忘れた? アカウント作成
13603062 story
YRO

Coinhiveを設置したサイトの運営者が不正指令電磁的記録供用の疑いで捜査されるトラブルが発生中? 101

ストーリー by hylom
何が悪いんだ 部門より

Webブラウザ上で仮想通貨の採掘(マイニング)を実行させるサービス「Coinhive」を利用したWebサイトの運営者が警察に捜査されるというトラブルが発生しているとして、セキュリティ研究家の高木浩光氏が情報提供を呼びかけている

Coinhiveについては海賊版サイトなどが収益のために採掘コードを設置するケースがあったほか(過去記事)、広告ネットワークを経由して不正に採掘コードを第三者のWebサイトに埋め込むといったトラブルが発生していた。

一方でサイト運営者が広告などに代わる収益源として、利用者の同意を得た上で利用するケースも少なくない。たとえば豪UNICEFはCoinhiveを利用して仮想通貨を採掘し、その結果を寄付するWebサイトを開設しているほか、広告を表示する代わりに仮想通貨の採掘をさせるという試みも登場している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年05月21日 18時52分 (#3412163)
    > 近日中*1に、なぜCoinhiveの使用を不正指令電磁的記録供用の罪としてはいけないのかについて、ここで論ずるつもりです。
    だそうなんでそれ出てからの話ではあるけど
    Twitterの発言とか見る限りではCoinhiveは「不正」な指令じゃないってのが根拠みたいだね
    いやいや明示的な合意なしでの通信の最適化は違法って言ったその口で、
    明示的な合意なしでの仮想通貨の採掘は不正じゃないは通らないでしょ
    ましてやCoinhiveにはユーザーの明示的な合意を必要とするオプションもあるんだから
    • by Anonymous Coward on 2018年05月21日 22時05分 (#3412286)

      通信の経路上の話と通信の相手方がやる話をごっちゃにするやつがあるか

      親コメント
    • by Anonymous Coward on 2018年05月21日 23時38分 (#3412333)

      これを不正とするなら勝手に動画を再生する広告も不正扱いにできそう

      親コメント
    • by Anonymous Coward

      そもそもソフトウエアそのものが不正かどうかって関係が無いような

      遠隔操作ソフトって正当な理由でいくらでも使われるけど、それを他人のスマフォに黙って入れ込むと当然罪になる。逮捕もされてる

      https://www.bengo4.com/internet/n_3023/

      • ウェブページ上のJavaScriptは「黙って入れ込む」と言えるかな。
        アプリはインストールまえに確認されるし、PCの常駐ソフトとも違って、
        一般的に、
        ページ提供者が用意したスクリプトが実行されて当然だし、
        サンドボックス内の実行コードで危険なものでないなら、
        能動的にページを開いた人の責任の範疇では

        親コメント
        • by Anonymous Coward

          それはない。

          ソフトウエアの性質を考えずに「ページ提供者が用意したスクリプトが実行されて当然」で一点突破しようとすると、サイトの運営者が入れるウイルスなどはみんな合法になっちゃうでしょ。

          「サンドボックス内の実行コードで危険なもので

          • 現在は悪意のある広告スクリプトによって有害ラインがすごく押し上げられているけど、押し戻しちゃっていいの? ってところが論点ですかね。
            既存の一般的な悪意のある広告スクリプトや宣伝手法と比べると、技術的な視点から見ても運営者の収入から見ても採掘スクリプトはかなりシロに近いです。

            使うCPU時間の絶対量が多いという点を悪質さの根拠にするならCPU時間が少なければいいことになっちゃいますし、収入源になるということなら広告も同じです。
            コンテンツに関係のないプログラムが問題だというなら、他の枝でも言われてますが、もっと悪質かつ放置されているものが数多くあります。採掘スクリプトを
            問題視するなら、広告も同じ枠組みで潰すべきです。しかし、広告は必要悪として黙認されている現状があります。

            暗号通貨だから何が何でもいけないんだ、というのは筋の通らない話で、前例の積み方として問題があるんですよ。

            親コメント
          • いや、ウイルスを仕込んだら当然だめですよ。
            提供者が用意したからOKではなくて、
            提供者が用意したサンドボックス上で行儀よく動くJSならOKの範疇でしょうといいたかったわけです。
            あくまで、ウェブページ上のJavaScriptであって特に脆弱性やブラウザの不具合などを突いているわけでもなければ、コードの寿命はページの表示期間だけですし。
            ブラウザ外のシステムへの被害を無くすためのサンドボックスなのです。

            親コメント
      • by Anonymous Coward
        条文にあるんだから君がどう思うかに関係なく当然関係がある
        • by Anonymous Coward

          どれのこと?

          刑法168条の2(不正指令電磁的記録作成等)第一項にある条件は「OR」条件だよ。

          1.正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
          (1)人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
          (2)前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
          2.正当な理

          • by Anonymous Coward
            「AND」条件だぞ。間違えるな。
            法務省の解釈では、第1号((1)ね)の条件は以下のように読む。
            ・「その意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」-AND-
            ・「不正な指令を与える」
            だったらンなところに点打つなよって思うけどな
            • by Anonymous Coward

              それは完全に間違い。
              第一項の1は「その意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」ものが「不正な指令」と言う意味だから。不正と言うものの意味を先に与えているだけで、悪意で作られたものだけに限ってるわけじゃない。

              それで逮捕者がでて判例もあるんだから、今さらこんな初歩的な解釈を争われても困るんだけど。

              この辺りはjbeef先生も言っている

              https://takagi-hiromitsu.jp/diary/20110609.html#p01 [takagi-hiromitsu.jp]

              で、こ

              • by Anonymous Coward on 2018年05月21日 19時51分 (#3412203)

                法務省がだしているいわゆるコンピュータ・ウイルスに関する罪について [moj.go.jp]の、「■客体」(P4~5)では、

                ○ いわゆるバグについては,プログラミングの過程で作成者も知らないうちに発生するプログラムの誤りないし不具合をいうものであり,重大なものも含め,コンピュータの使用者にはバグは不可避的なものとして許容されていると考えられることから,その限りにおいては,「意図に沿うべき動作をさせず 又はその意図に反する動作をさせる」との要件も 「不正な」との要件も欠くこととなり,不正指令電磁的,記録には当たらないこととなる。

                とあり、「その意図に沿うべき~反する動作をさせる」と「不正な」は別の要件のように
                書いてあるように見えるのですが(ANDなのかORなのかは明記されてないけど)、どうなんでしょう?

                # 日本語じゃなくてフローチャートで定義すれば良いのに

                親コメント
              • by Anonymous Coward
                バグでしたテヘペロはこいつのせいだったのかー
    • by Anonymous Coward

      Coinhiveの挙動が、「アクセスしたブラウザ上で計算を行わせる」という挙動だから、ということでは。

      クライアント端末に何かの変更を加えるわけではないし、ユーザ情報を収集するわけでもない。
      当然ユーザから金銭を搾取することもない。
      では、何を以てして不正だと判断するのか?

      PCのリソースを使うから?
      じゃあ画像一枚テキスト一行表示するごとに、合意を得る必要があるの?

      マイニングという行為に犯罪性がない以上、それをユーザのブラウザ上で同意なく実行することが
      不正だと判断するのは難しいと思う。

    • by Anonymous Coward

      > いやいや明示的な合意なしでの通信の最適化は違法って言ったその口で、
      > 明示的な合意なしでの仮想通貨の採掘は不正じゃないは通らないでしょ
      混ぜるな危険

  • by Anonymous Coward on 2018年05月21日 21時49分 (#3412278)

    俺のPCのリソースを勝手に使って広告を表示するのも違法では

  • 部門名 (スコア:0, すばらしい洞察)

    by Anonymous Coward on 2018年05月21日 18時50分 (#3412162)

    勝手にやるのが悪い。
    それ以上でも以下でもない。

    • by Anonymous Coward on 2018年05月21日 18時54分 (#3412166)

      道義的に悪いからといって、直ちに違法とは限らない。
      # この件が違法か合法かは知らん。

      親コメント
    • by Anonymous Coward

      同意を得ていればOKで、得ていなければNGってことでいいよね。

      http://www.keishicho.metro.tokyo.jp/kurashi/cyber/law/virus.html [tokyo.jp]

      人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録

      社会通念的に、Websiteを見ようとする人が、マイニングをさせられることを意図しているとは考えられないから、これに引っかかるね。

      おそら

      • by Anonymous Coward

        社会通念的に、Websiteを見ようとする人が、マイニングをさせられることを意図しているとは考えられないから、これに引っかかるね。

        その理屈で言うと「Websiteを見ようとする人が、ページにある広告を見ることを意図してるとは考えられない」とも言えちゃうから、srad.jpとかも違法サイトってことになるね。

        • by Anonymous Coward

          「社会通念的に」ってのを外しちゃ駄目。それじゃ「ボクがそう思うから駄目」って事になっちゃうだろ。そうじゃない。

          広告で運営している事は社会通念的に当然のことでしょ。雑誌も新聞もやってるか

          • by Anonymous Coward on 2018年05月21日 19時58分 (#3412210)

            「社会通念的に」ってのを外しちゃ駄目。それじゃ「ボクがそう思うから駄目」って事になっちゃうだろ。そうじゃない。

            たかだか20年かそこらのWeb業界で「社会通念的に」の定義もままならない現状、そんなの主張すること自体が「ボクがそう思うから駄目」と変わらないじゃん。
            「広告を表示するサイトなんか言語道断、ブロックソフト使う」という人から「無料で見れれば何でもいいよ」って人まで、なんでもいるし。
            「広告の表示」だって端にテキストが少しあるだけの広告から、スマホのタップやフリックに割り込んで誤爆させようとするのや、勝手に動画をガンガン再生してバッテリー削っていくのまで各種あるのに、一緒くたにしても説得力ないし。

            親コメント
            • by 90 (35300) on 2018年05月21日 22時57分 (#3412315) 日記

              このツリー丸々が「広告は永遠に存在する大企業がやっているんだからきっとブランケットに中身もまともなものに違いないけど、暗号通貨は後ろめたいから違法でも仕方ない。それが社会通念だ」
              ……みたいなげんなりする水掛けでげんなりですね。できるものなら根っこに-8ポイントして沈めたい。

              親コメント
              • by kcg (26566) on 2018年05月22日 12時32分 (#3412528) ホームページ 日記

                話が上位すぎるのでは。
                技術的には、使用者の意図に沿うべき動作の範疇だと思いますよ。
                リクエストされてレスポンスがあって、ブラウザがレスポンス内容に従って画面表示やスクリプト実行を行ったという事に過ぎません。
                WWWの一般的な動作の範疇であって、逸脱行為とはならないと思います。
                エンドユーザーの知識範囲で想像しきれない内部の動作なんていうのは山程あるわけです。

                親コメント
          • Re:部門名 (スコア:1, すばらしい洞察)

            by Anonymous Coward on 2018年05月21日 20時32分 (#3412227)

            それに異を唱える人はいないでしょ。

            なんで「居ない」と決めつけるの?

            現にいる、俺がそう。ハイ論破。

            「〇〇だと考える人は居ない」と断言すると、例外が1人居ただけで論破されるので、そういう物言いはやめた方が良いよ。

            Webサイトに広告を載せるのが当然なんていうのは、ここ最近だけだよ。

            平成生まれは知らないかもしれないけど、Webの歴史を考えれば、広告が無いのが当たり前だった期間の方が長い。

            Webというのは学術・研究・軍事目的のものであり、本来は金儲けの道具ではない。

            親コメント
          • 「社会通念的に」ってのを外しちゃ駄目。それじゃ「ボクがそう思うから駄目」って事になっちゃうだろ。そうじゃない。

            広告で運営している事は社会通念的に当然のことでしょ。雑誌も新聞もやってるから認められる。それに異を唱える人はいないでしょ。

            一方マイニング、サイトにアクセスしたら裏でプログラムが動いて、スマホの電池が猛烈に減っていく事を当然とは言えないよ。

            アクセス解析の結果を統計情報として販売、もしくは広告目的で使用しているサイトも結構ありますが、それはOKですか?

            雑誌は新聞はやっていないし、Web業界やIT系の人を除く一般人は、アクセス解析のことを知らない人の方が多いので、社会通念上当然とはいえません。

            ほぼ誰も読まない、利用規約やプライバシーポリシーに書いてあればOK? ならば、マイニングも利用規約(事実上誰も読まない)に書いとけばOKですよね。

            • by Anonymous Coward on 2018年05月21日 20時00分 (#3412211)
              >マイニングも利用規約に書いとけばOK
              当たり前だろ何言ってんだお前。
              親コメント
              • >マイニングも利用規約に書いとけばOK

                当たり前だろ何言ってんだお前。

                こういうこと言い出す時点で、素人丸出し。
                例えば、スラドのフッターに「利用規約」があるけど、これ法的に有効だと思ってる?

                答えはNo
                同意画面も無く、利用者が同意した上でサービスを利用したわけでもないので、完全に無効だ

                同意していない利用規約に意味などない
                (鉄道などの約款は、法令に基づく政府の承認を受けているので例外)

              • by Anonymous Coward

                そのあたりの改正がはいった民法はまだ施行されてません。2020年の4月1日から。

              • 約款に関する民法の改正以前の問題で、スラドなどの利用規約については、
                そもそも契約が成立していないケースなので現行の民法でも無効です。

                「利用規約に同意してアカウントを作成する」といった手続きがない利用規約については、
                当事者の申込みと承諾の合致がないことから、契約が成立しておらず、意味がありません。

                # スラドだと、アカウントの作成画面にも規約の同意確認のチェックボックスがないですし
                # アカウント作成には規約への同意が必要だという説明もありません

                署名していない契約書が無効なのと同じことです。

              • by Anonymous Coward

                んなわけない。じゃあなんで民法改正したと思ってんのさ。

                現行民法だと、読めとも言われていない利用約款があり、同意した覚えがなくても、利用した時点でその約款に拘束を受ける、これは不公正だというのが問題になって改正することになったんだぜ。

                あんたの言ってるのは契約の話で規約や約款の話じゃない。

              • んなわけない。じゃあなんで民法改正したと思ってんのさ。

                現行民法だと、読めとも言われていない利用約款があり、同意した覚えがなくても、利用した時点でその約款に拘束を受ける、これは不公正だというのが問題になって改正することになったんだぜ。

                あんたの言ってるのは契約の話で規約や約款の話じゃない。

                オンラインサービスの利用規約を有効なものにするためには [bengo4.com] などを読んでくださいね。

                「ウェブサイトの利用につきサイト利用規約への同意クリックも要求されていない場合」は、そもそも契約が成立しているとはいえません。

                民法改正で変わるのは、読みもしないのに「約款に同意する」というチェックボックスを入れて契約した場合や、約款改正時の処理などです。

              • by Anonymous Coward

                現状では有効か無効かは都度争うしかなく、判断が分かれるから明文化したって話なので、確実に有効化するにはこういう方法をとれと指南した話を持ってきても的外れ

              • 自分にレスしてるのが一人だと思うとおかしいことになるから気をつけたほうが良いよ
                親コメント
              • by Anonymous Coward

                お前もレスしてんが一人だって前提で話してるじゃねーか

            • by Anonymous Coward

              >アクセス解析の結果を統計情報として販売、もしくは広告目的で使用しているサイトも結構ありますが、それはOKですか?

              端末にソフトを突っ込んでるわけじゃないから、不正指令電磁的記録共用にはならんのじゃないでしょうか

              • 端末にソフトを突っ込んでるわけじゃないから、不正指令電磁的記録共用にはならんのじゃないでしょうか

                いえ、今時のアクセス解析は、マイニングと同程度には「端末にソフトを突っ込んで」いますよ。Google がやっているのも含めてね。

                JavaScriptで画面の解像度やらブラウザの解像度、言語設定、OSの詳細バージョン等抜ける限りあらゆる情報を抜くし、

                それどころかコンバージョン率を高めるため、マウスの動きやスクロールの状況、ページのどこまで読んで離脱したかなどを収集するため、

                nミリ秒ごとに処理を行うなどしてPCに負荷をかけているものも多いです。

                そこまでされていることを知らない人が大半なので、マイニングスクリプトの埋め込みが不正指令電磁的記録共用ならば、アクセス解析スクリプトの埋めこみも不正指令電磁的記録共用ですね。

                ならば、スラドに埋め込まれているGoogleアナリティクスもアウトということになります。

                親コメント
              • by Anonymous Coward

                ならば、利用規約やプライバシーポリシーに書いてあればいいんじゃないでしょうかね。当然程度によって有効かどうかは訴えられたときに個別に判断されるとして、最低限なきゃ話にならない。

                つか、飲酒運

        • by Anonymous Coward

          逆にローカルアプリだったらどうよ?
          インストールしたソフトウェアにこっそりマイニングして送金するプログラムが入ってたらマルウェアだと思わない?

    • by Anonymous Coward

      同意を得ないと、なぜダメなんだろうね。

      単に
      ・「他人のリソース」を(同意を得ないで)使うから?
       →これだと、妙にJavaScriptで凝った作りのサイトもNGだよねぇ。
      それとも、
      ・金稼ぎ(もしくは、自分の目的達成)のために、「他人のリソース」を(同意を得ないで)使うから?

      もし、同意を得ないでサイト訪問者のリソース使って「宇宙人からの通信解析」してたら
      (金稼ぎではない)それもNGなのかな?

    • by Anonymous Coward

      俺はWeb広告を許可した覚えはないぞ?

typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...