Coinhiveを設置したサイトの運営者が不正指令電磁的記録供用の疑いで捜査されるトラブルが発生中? 101
ストーリー by hylom
何が悪いんだ 部門より
何が悪いんだ 部門より
Webブラウザ上で仮想通貨の採掘(マイニング)を実行させるサービス「Coinhive」を利用したWebサイトの運営者が警察に捜査されるというトラブルが発生しているとして、セキュリティ研究家の高木浩光氏が情報提供を呼びかけている。
Coinhiveについては海賊版サイトなどが収益のために採掘コードを設置するケースがあったほか(過去記事)、広告ネットワークを経由して不正に採掘コードを第三者のWebサイトに埋め込むといったトラブルが発生していた。
一方でサイト運営者が広告などに代わる収益源として、利用者の同意を得た上で利用するケースも少なくない。たとえば豪UNICEFはCoinhiveを利用して仮想通貨を採掘し、その結果を寄付するWebサイトを開設しているほか、広告を表示する代わりに仮想通貨の採掘をさせるという試みも登場している。
いや普通に不正指令電磁的記録供用罪だろ (スコア:1, 興味深い)
だそうなんでそれ出てからの話ではあるけど
Twitterの発言とか見る限りではCoinhiveは「不正」な指令じゃないってのが根拠みたいだね
いやいや明示的な合意なしでの通信の最適化は違法って言ったその口で、
明示的な合意なしでの仮想通貨の採掘は不正じゃないは通らないでしょ
ましてやCoinhiveにはユーザーの明示的な合意を必要とするオプションもあるんだから
Re:いや普通に不正指令電磁的記録供用罪だろ (スコア:2, すばらしい洞察)
通信の経路上の話と通信の相手方がやる話をごっちゃにするやつがあるか
Re:いや普通に不正指令電磁的記録供用罪だろ (スコア:2)
Web屋連中とそれを批判してる者をごっちゃにするやつがあるか
Re:いや普通に不正指令電磁的記録供用罪だろ (スコア:1)
これを不正とするなら勝手に動画を再生する広告も不正扱いにできそう
Re: (スコア:0)
そもそもソフトウエアそのものが不正かどうかって関係が無いような
遠隔操作ソフトって正当な理由でいくらでも使われるけど、それを他人のスマフォに黙って入れ込むと当然罪になる。逮捕もされてる
https://www.bengo4.com/internet/n_3023/
Re: いや普通に不正指令電磁的記録供用罪だろ (スコア:2)
ウェブページ上のJavaScriptは「黙って入れ込む」と言えるかな。
アプリはインストールまえに確認されるし、PCの常駐ソフトとも違って、
一般的に、
ページ提供者が用意したスクリプトが実行されて当然だし、
サンドボックス内の実行コードで危険なものでないなら、
能動的にページを開いた人の責任の範疇では
Re: (スコア:0)
それはない。
ソフトウエアの性質を考えずに「ページ提供者が用意したスクリプトが実行されて当然」で一点突破しようとすると、サイトの運営者が入れるウイルスなどはみんな合法になっちゃうでしょ。
「サンドボックス内の実行コードで危険なもので
Re: いや普通に不正指令電磁的記録供用罪だろ (スコア:2)
現在は悪意のある広告スクリプトによって有害ラインがすごく押し上げられているけど、押し戻しちゃっていいの? ってところが論点ですかね。
既存の一般的な悪意のある広告スクリプトや宣伝手法と比べると、技術的な視点から見ても運営者の収入から見ても採掘スクリプトはかなりシロに近いです。
使うCPU時間の絶対量が多いという点を悪質さの根拠にするならCPU時間が少なければいいことになっちゃいますし、収入源になるということなら広告も同じです。
コンテンツに関係のないプログラムが問題だというなら、他の枝でも言われてますが、もっと悪質かつ放置されているものが数多くあります。採掘スクリプトを
問題視するなら、広告も同じ枠組みで潰すべきです。しかし、広告は必要悪として黙認されている現状があります。
暗号通貨だから何が何でもいけないんだ、というのは筋の通らない話で、前例の積み方として問題があるんですよ。
Re: いや普通に不正指令電磁的記録供用罪だろ (スコア:2)
そうそう。ユーザの計算機資源はサイト運営者が無償で好きなだけ浪費してよいものという合意は確実にありますし、その中で採掘スクリプトだけ
目に入ったからだめだというのはダブスタですよね。焼くなら全て焼き尽くすべきだし、何を焼いているのかという自覚を持ってもらわないと。
Re: いや普通に不正指令電磁的記録供用罪だろ (スコア:2)
Webページの制作者がユーザに提供させる資源について、制御を渡す必要が今後出てくるのかなと思います。その需要が強く意識された一つの瞬間が今なのではないでしょうか。
GDPRは今の商習慣に情け容赦がなくてすごく嫌だというのと似た話ですが。採掘だからだめだとか、素人に分かるからだめだ、分からなければ良いんだ、ではないでしょう。
Re: いや普通に不正指令電磁的記録供用罪だろ (スコア:2)
いや、ウイルスを仕込んだら当然だめですよ。
提供者が用意したからOKではなくて、
提供者が用意したサンドボックス上で行儀よく動くJSならOKの範疇でしょうといいたかったわけです。
あくまで、ウェブページ上のJavaScriptであって特に脆弱性やブラウザの不具合などを突いているわけでもなければ、コードの寿命はページの表示期間だけですし。
ブラウザ外のシステムへの被害を無くすためのサンドボックスなのです。
Re: いや普通に不正指令電磁的記録供用罪だろ (スコア:2)
「使用者の意図とは無関係に勝手に実行されるようにする目的」で相手に提供するのでなければ合法じゃないですか? 研究用に検体を提供したりしますよね。
Re: いや普通に不正指令電磁的記録供用罪だろ (スコア:2)
社会的道義的な問題はさておき、
サンドボックス内でおとなしく実行されていたなら、
「勝手に実行された」とか「黙って入れ込んだ」いう部分に関しては、
そういう事にはならないと言っていいんじゃないですか。
通常勝手に実行されるものだし、そのためのサンドボックス。
その上で、悪意に基づいて被害につながる処理などは
勝手に実行以外の部分で罪になるなら、何やってもいいとは思いません。
Re: (スコア:0)
Re: (スコア:0)
どれのこと?
刑法168条の2(不正指令電磁的記録作成等)第一項にある条件は「OR」条件だよ。
Re: (スコア:0)
法務省の解釈では、第1号((1)ね)の条件は以下のように読む。
・「その意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」-AND-
・「不正な指令を与える」
だったらンなところに点打つなよって思うけどな
Re: (スコア:0)
それは完全に間違い。
第一項の1は「その意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」ものが「不正な指令」と言う意味だから。不正と言うものの意味を先に与えているだけで、悪意で作られたものだけに限ってるわけじゃない。
それで逮捕者がでて判例もあるんだから、今さらこんな初歩的な解釈を争われても困るんだけど。
この辺りはjbeef先生も言っている
https://takagi-hiromitsu.jp/diary/20110609.html#p01 [takagi-hiromitsu.jp]
で、こ
Re: いや普通に不正指令電磁的記録供用罪だろ (スコア:1)
法務省がだしているいわゆるコンピュータ・ウイルスに関する罪について [moj.go.jp]の、「■客体」(P4~5)では、
とあり、「その意図に沿うべき~反する動作をさせる」と「不正な」は別の要件のように
書いてあるように見えるのですが(ANDなのかORなのかは明記されてないけど)、どうなんでしょう?
# 日本語じゃなくてフローチャートで定義すれば良いのに
Re: (スコア:0)
Re: (スコア:0)
Coinhiveの挙動が、「アクセスしたブラウザ上で計算を行わせる」という挙動だから、ということでは。
クライアント端末に何かの変更を加えるわけではないし、ユーザ情報を収集するわけでもない。
当然ユーザから金銭を搾取することもない。
では、何を以てして不正だと判断するのか?
PCのリソースを使うから?
じゃあ画像一枚テキスト一行表示するごとに、合意を得る必要があるの?
マイニングという行為に犯罪性がない以上、それをユーザのブラウザ上で同意なく実行することが
不正だと判断するのは難しいと思う。
Re:いや普通に不正指令電磁的記録供用罪だろ (スコア:1)
動画とか広告も[動作を悪化]させるしappleはそれを理由にflashを禁止したけど、罪にはなってないな
Re: (スコア:0)
> いやいや明示的な合意なしでの通信の最適化は違法って言ったその口で、
> 明示的な合意なしでの仮想通貨の採掘は不正じゃないは通らないでしょ
混ぜるな危険
これが違法なら (スコア:1)
俺のPCのリソースを勝手に使って広告を表示するのも違法では
部門名 (スコア:0, すばらしい洞察)
勝手にやるのが悪い。
それ以上でも以下でもない。
Re:部門名 (スコア:1)
道義的に悪いからといって、直ちに違法とは限らない。
# この件が違法か合法かは知らん。
Re: (スコア:0)
同意を得ていればOKで、得ていなければNGってことでいいよね。
http://www.keishicho.metro.tokyo.jp/kurashi/cyber/law/virus.html [tokyo.jp]
人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
社会通念的に、Websiteを見ようとする人が、マイニングをさせられることを意図しているとは考えられないから、これに引っかかるね。
おそら
Re: (スコア:0)
社会通念的に、Websiteを見ようとする人が、マイニングをさせられることを意図しているとは考えられないから、これに引っかかるね。
その理屈で言うと「Websiteを見ようとする人が、ページにある広告を見ることを意図してるとは考えられない」とも言えちゃうから、srad.jpとかも違法サイトってことになるね。
Re: (スコア:0)
「社会通念的に」ってのを外しちゃ駄目。それじゃ「ボクがそう思うから駄目」って事になっちゃうだろ。そうじゃない。
広告で運営している事は社会通念的に当然のことでしょ。雑誌も新聞もやってるか
Re:部門名 (スコア:1)
「社会通念的に」ってのを外しちゃ駄目。それじゃ「ボクがそう思うから駄目」って事になっちゃうだろ。そうじゃない。
たかだか20年かそこらのWeb業界で「社会通念的に」の定義もままならない現状、そんなの主張すること自体が「ボクがそう思うから駄目」と変わらないじゃん。
「広告を表示するサイトなんか言語道断、ブロックソフト使う」という人から「無料で見れれば何でもいいよ」って人まで、なんでもいるし。
「広告の表示」だって端にテキストが少しあるだけの広告から、スマホのタップやフリックに割り込んで誤爆させようとするのや、勝手に動画をガンガン再生してバッテリー削っていくのまで各種あるのに、一緒くたにしても説得力ないし。
Re:部門名 (スコア:3)
このツリー丸々が「広告は永遠に存在する大企業がやっているんだからきっとブランケットに中身もまともなものに違いないけど、暗号通貨は後ろめたいから違法でも仕方ない。それが社会通念だ」
……みたいなげんなりする水掛けでげんなりですね。できるものなら根っこに-8ポイントして沈めたい。
Re:部門名 (スコア:2)
話が上位すぎるのでは。
技術的には、使用者の意図に沿うべき動作の範疇だと思いますよ。
リクエストされてレスポンスがあって、ブラウザがレスポンス内容に従って画面表示やスクリプト実行を行ったという事に過ぎません。
WWWの一般的な動作の範疇であって、逸脱行為とはならないと思います。
エンドユーザーの知識範囲で想像しきれない内部の動作なんていうのは山程あるわけです。
Re:部門名 (スコア:1, すばらしい洞察)
それに異を唱える人はいないでしょ。
なんで「居ない」と決めつけるの?
現にいる、俺がそう。ハイ論破。
「〇〇だと考える人は居ない」と断言すると、例外が1人居ただけで論破されるので、そういう物言いはやめた方が良いよ。
Webサイトに広告を載せるのが当然なんていうのは、ここ最近だけだよ。
平成生まれは知らないかもしれないけど、Webの歴史を考えれば、広告が無いのが当たり前だった期間の方が長い。
Webというのは学術・研究・軍事目的のものであり、本来は金儲けの道具ではない。
じゃあ、アクセス解析は? (スコア:0)
「社会通念的に」ってのを外しちゃ駄目。それじゃ「ボクがそう思うから駄目」って事になっちゃうだろ。そうじゃない。
広告で運営している事は社会通念的に当然のことでしょ。雑誌も新聞もやってるから認められる。それに異を唱える人はいないでしょ。
一方マイニング、サイトにアクセスしたら裏でプログラムが動いて、スマホの電池が猛烈に減っていく事を当然とは言えないよ。
アクセス解析の結果を統計情報として販売、もしくは広告目的で使用しているサイトも結構ありますが、それはOKですか?
雑誌は新聞はやっていないし、Web業界やIT系の人を除く一般人は、アクセス解析のことを知らない人の方が多いので、社会通念上当然とはいえません。
ほぼ誰も読まない、利用規約やプライバシーポリシーに書いてあればOK? ならば、マイニングも利用規約(事実上誰も読まない)に書いとけばOKですよね。
Re:じゃあ、アクセス解析は? (スコア:1)
当たり前だろ何言ってんだお前。
法的に無効な利用規約で当たり前って (スコア:0)
>マイニングも利用規約に書いとけばOK
当たり前だろ何言ってんだお前。
こういうこと言い出す時点で、素人丸出し。
例えば、スラドのフッターに「利用規約」があるけど、これ法的に有効だと思ってる?
答えはNo
同意画面も無く、利用者が同意した上でサービスを利用したわけでもないので、完全に無効だ
同意していない利用規約に意味などない
(鉄道などの約款は、法令に基づく政府の承認を受けているので例外)
Re: (スコア:0)
そのあたりの改正がはいった民法はまだ施行されてません。2020年の4月1日から。
旧民法でも同様です (スコア:0)
約款に関する民法の改正以前の問題で、スラドなどの利用規約については、
そもそも契約が成立していないケースなので現行の民法でも無効です。
「利用規約に同意してアカウントを作成する」といった手続きがない利用規約については、
当事者の申込みと承諾の合致がないことから、契約が成立しておらず、意味がありません。
# スラドだと、アカウントの作成画面にも規約の同意確認のチェックボックスがないですし
# アカウント作成には規約への同意が必要だという説明もありません
署名していない契約書が無効なのと同じことです。
Re: (スコア:0)
んなわけない。じゃあなんで民法改正したと思ってんのさ。
現行民法だと、読めとも言われていない利用約款があり、同意した覚えがなくても、利用した時点でその約款に拘束を受ける、これは不公正だというのが問題になって改正することになったんだぜ。
あんたの言ってるのは契約の話で規約や約款の話じゃない。
民法改正で変わるのは、読んでいないけど消費者が約款の同意したケースなど (スコア:0)
んなわけない。じゃあなんで民法改正したと思ってんのさ。
現行民法だと、読めとも言われていない利用約款があり、同意した覚えがなくても、利用した時点でその約款に拘束を受ける、これは不公正だというのが問題になって改正することになったんだぜ。
あんたの言ってるのは契約の話で規約や約款の話じゃない。
オンラインサービスの利用規約を有効なものにするためには [bengo4.com] などを読んでくださいね。
「ウェブサイトの利用につきサイト利用規約への同意クリックも要求されていない場合」は、そもそも契約が成立しているとはいえません。
民法改正で変わるのは、読みもしないのに「約款に同意する」というチェックボックスを入れて契約した場合や、約款改正時の処理などです。
Re: (スコア:0)
現状では有効か無効かは都度争うしかなく、判断が分かれるから明文化したって話なので、確実に有効化するにはこういう方法をとれと指南した話を持ってきても的外れ
Re: 旧民法でも同様です (スコア:2)
Re: (スコア:0)
お前もレスしてんが一人だって前提で話してるじゃねーか
Re: (スコア:0)
>アクセス解析の結果を統計情報として販売、もしくは広告目的で使用しているサイトも結構ありますが、それはOKですか?
端末にソフトを突っ込んでるわけじゃないから、不正指令電磁的記録共用にはならんのじゃないでしょうか
端末に JavaScript コードを突っ込んで実行させてますよ (スコア:1)
端末にソフトを突っ込んでるわけじゃないから、不正指令電磁的記録共用にはならんのじゃないでしょうか
いえ、今時のアクセス解析は、マイニングと同程度には「端末にソフトを突っ込んで」いますよ。Google がやっているのも含めてね。
JavaScriptで画面の解像度やらブラウザの解像度、言語設定、OSの詳細バージョン等抜ける限りあらゆる情報を抜くし、
それどころかコンバージョン率を高めるため、マウスの動きやスクロールの状況、ページのどこまで読んで離脱したかなどを収集するため、
nミリ秒ごとに処理を行うなどしてPCに負荷をかけているものも多いです。
そこまでされていることを知らない人が大半なので、マイニングスクリプトの埋め込みが不正指令電磁的記録共用ならば、アクセス解析スクリプトの埋めこみも不正指令電磁的記録共用ですね。
ならば、スラドに埋め込まれているGoogleアナリティクスもアウトということになります。
Re: (スコア:0)
ならば、利用規約やプライバシーポリシーに書いてあればいいんじゃないでしょうかね。当然程度によって有効かどうかは訴えられたときに個別に判断されるとして、最低限なきゃ話にならない。
つか、飲酒運
Re: (スコア:0)
逆にローカルアプリだったらどうよ?
インストールしたソフトウェアにこっそりマイニングして送金するプログラムが入ってたらマルウェアだと思わない?
Re: (スコア:0)
同意を得ないと、なぜダメなんだろうね。
単に
・「他人のリソース」を(同意を得ないで)使うから?
→これだと、妙にJavaScriptで凝った作りのサイトもNGだよねぇ。
それとも、
・金稼ぎ(もしくは、自分の目的達成)のために、「他人のリソース」を(同意を得ないで)使うから?
もし、同意を得ないでサイト訪問者のリソース使って「宇宙人からの通信解析」してたら
(金稼ぎではない)それもNGなのかな?
Re: (スコア:0)
厳密に適用すればアウトだが、個別に判断ということでよいのでは。
Re:部門名 (スコア:1)
セーフは稼いだカネを税金として召し上げるだけですからね。
Re: (スコア:0)
俺はWeb広告を許可した覚えはないぞ?