バグ入りソフトで懲役三年?法務省公開諮問資料のバグ 76
ストーリー by yourCat
疑心暗偽の応酬 部門より
疑心暗偽の応酬 部門より
Anonymous Cowboy曰く、"法務省は24日、『ハイテク犯罪に対処するための刑事法の整備に関する諮問』と題する法制審議会資料を公開した。骨子第一条の一は「人の電子計算機における実行の用に供する目的で、人の使用する電子計算機についてその意図に沿うべき動作をさせず、又はその意図に反する動作をさせる不正な指令に係る電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処するものとすること。」とあってたぶんウィルスやトロイの木馬をどうにかしたい、ってことなのだろうけど、この条文のままだとバグやセキュリティーホールのあるソフトを作ったら逮捕っていうふうにも解釈できちゃうんですが。ガクガクブルブル。"
3月4日の記事にも、多くの指摘が寄せられた。パブリック・コメントにはなっていないが、ちゃんと線を引いてくれるのか不安になる。技術革新の早いハイテク関係だけに、線が明確である程、法の網の目を潜られやすくなるのも確かだが……。これ以外にも、差し押さえ関係がいろいろ追加されている。所謂プロバイダー責任法との兼ね合いもあるだろう。
いい事探し (スコア:3, 参考になる)
法律文でさっぱりわからない書き方だが、要するにこれまでは差し押さえは有体物であるHDDを差し押さえなくてはいけなかったのを、コピーでもOKにするという事。
いちいちHDD差し押さえで持って行かれたんじゃたまらんからねぇ...
Re:いい事探し (スコア:1, 興味深い)
>差し押さえなくてはいけなかったのを、コピーでも
>OKにするという事。
>いちいちHDD差し押さえで持って行かれたんじゃ
>たまらんからねぇ...
ふと思った。
ドライブ隠しの手法なら幾らでもあるし、
(物理コピーとか可能なのかな?)
1TBレベルのストレージを沢山保有してある所は
その全てを複写したりするんだろうかと。
(その設備を捜査機関で用意するものかと)(苦笑)
>他の記録媒体に複写し、印刷し、又は移転した上、
>当該他の記録媒体を差し押さえること。
紛らわしい書き方だけれど、「当該」って使われてると
結局現物も押さえますよ?
って言われてるような・・・。
#「」で括って分かり易くして欲しい。
全部差し押さえるけど、バックアップはOK (スコア:1)
・・・という事ではないかと。
物をそのまま差し押さえられると業務に支障がある場合、その物に入ったデータをコピーして使用することを法的に認めるという内容ですね。
要するに、どうあっても本体は押収しますが、業務に支障があるならデータのコピーをしても良いです。ただし物は自分持ちで・・・と。
結局、バックアップサーバ&データが差し押さえを逃れられる機会を与えてくれただけにすぎないと思われます。
--- どちらなりとご自由に --- --
バグは関係ないのでは (スコア:3, すばらしい洞察)
法律はよく知らないのですが、
となっているので、バグは罰せられないのではないでしょうか。
でも、意思を証明しなきゃならないとするなら 内密チャンネル [iij4u.or.jp]のような仕掛になってると大変かも知れないですね。
Re:バグは関係ないのでは (スコア:1)
例えば、これ [srad.jp]とか。
Re:バグは関係ないのでは (スコア:1)
NECはバグがあるのを知っていた
でも、そのバグによって別に不具合が起きる状態にはならないであろうとたかをくくってほっておいていた
しかし実際はとんでもない状態を引き起こしてしまった
悪意があってバグを入れたわけではないが、そのバグによって引き起こされた
自体はご存じの通りの状態です。
まあ、この法律で罰してほしいわけではないのですが
Re:バグは関係ないのでは (スコア:1)
> NECはバグがあるのを知っていた
> でも、そのバグによって別に不具合が起きる状態にはならないであろうとたかをくくってほっておいていた
> しかし実際はとんでもない状態を引き起こしてしまった
それは、人命に関わらない限り民事で解決してほしいな、と思います。もちろん、バグを放置していたら飛行機が落ちた、とかそういう事態だったら業務上過失致死になるんじゃないかと思いますが。
ちどりの「ち」きっての「き」…
Re:バグは関係ないのでは (スコア:1)
刑法第二百十一条 業務上必要な注意を怠り、よって人を死傷させた者は、五年以下の懲役若しくは禁錮又は五十万円以下の罰金に処する。
なんで罰せられます。
Re:バグは関係ないのでは (スコア:1)
本人はそんな目的なんか全く持ってないのに、「目的を持っていた」って言われるんだろうね。
ふざけてブラックユーモアとして、「目的」を持っていたような話を何処かでするとやばいかも。
ソフト作っている奴は冗談で「バックドア、マンセー」とか言えば、バグで穴開けたら逮捕。
目的 (スコア:1)
「目的」は、「法が作られた(る)目的」と言う意味じゃなく、「人の電子計算機における実行の用に供する目的で」の「目的」の方を言いたかったのだが。
刑事罰を科すのは、この法を守らなければ罰せられる。と言う展開になるので、「え?それも含むの?」みたく思われては駄目なんですよ。だから、狭義でしか適用出来ない。
「他人のコンピューターで実行用に提供する目的で」、提供するだけじゃなく作っても駄目よ。と、この「目的」にかかってくるはず。
「目的」と言えば、「故意」のみが対象で「重過失」は含まない。と、言う意味なんじゃないのか?
と言う前提で、ブラックなジョークやユーモアを述べていたらマズーってことを書きました。
Re:バグは関係ないのでは (スコア:1)
確かに、こういう場合どうなるんでしょう。 私ではどうにもわからないです。
詳しい人いたらフォローしてくれると助かります。
民事で裁くべきってのは同意です。
Re:バグは関係ないのでは (スコア:1, 興味深い)
よくありがちな安全上問題に関わるバグは、 設計や実装などそれが作り上げられる段階で 「んー?やばいかな?まーいいや」 という、およそ分かっていながら楽をするために *故意に安易な手段を選んだ* など、 開発時に発生した何等かの意図が原因となっております。
安全上問題に関わるバグが発生したとき、 そこに未必の故意が *含まれていない* ことを立証するのは、 多くの場合困難だと思われます。
そして、まだバグの発生していないソフトウェアの場合でも、 そこにバグが存在していないことを立証するための証拠資料を揃えることは困難です。 完全な証拠資料を揃えるどころかわずかな資料すら存在しないような開発現場まであります。
基本的にコンピューターはプログラムの指示通り動作、 すなわち *プログラマーの指示通り* 動作します。 指示しておきながらその指示が故意ではないと主張すること自体不自然です。
「ミスだった」という言い訳も存在しますが、 そのミスを検出するシステムをあらかじめ用意せず、 ミスの存在を前提としたバックアップシステムも用意せず、 ミスによって誤った動作があった場合でも被害を最小限に食い止める用意を していないという重過失が重なった場合のみ、重大なバグが露見します。 それら対策を何もしないという意図があるなら、 その結果が未必の故意ないし故意と看做されて当然だと思います。
ということで、 「そのバグには一切意図が含まれていない」ということを証明するのは ほぼ不可能というのが持論であります。
どこかのOSはユーザーの個人情報をユーザーが知らないうちに (ユーザーが望んでもいないのに) 盗み出すようなことをしていたそうですが、 これは完全に故意であり、 現法案であればこの手のプログラムは今後有罪になることでしょうし、 これで悪質なメーカーが次々と潰れてくれると社会に良い影響を与えそうです。
というメリットもあるかもしれないと思えますが、 しかし、定義が曖昧すぎる現法案のままでは 当局の匙加減ひとつで全てが決定し、別件逮捕や生贄逮捕に最適という カンペキな悪法です。
現法案の条文にはこのように書かれています
これによると対象は「コンピューターに対する指令」であり、 ワームやウィルスである必要すらなく、また一般的なプログラムである必要すらありません。 またネットも必要ありません。 他人が所有しているコンピューターが その所有者の「意図に反する動作をする」もしくは「意図通りの動作をしない」 ということになったら、それだけでその原因となる指令の作者が違法となるわけですから、 単純な1行スクリプトでも、ダイアログボックスに入力したちょっとした設定データでも、 何でも対象になってしまいます。
X-BOXの所有者が「任意のOSを動作させたい」という意図を持ったとき 「その意図に動作をさせない」という機能を実現するための指令を作成した人は 三年以下の懲役又は五十万円以下の罰金に処するものとされます。 携帯電話の所有者が「オフィシャルサイトからダウンロードした画像や音声を PCにコピーしたい」という意図を持ったときも同様に妨害するような指令も違法となります。 DVDのコピー防止機能も、ゲームCDのコピープロテクトなども同様で違法となります。 高額なソフトウェアは違法コピーを防止するため、ユーザーの知らぬ間に、 インストール情報をネット経由でメーカーのサーバーに送り込むこともあるそうです。 こういった「知的所有権を守るためにユーザーの望みを叶えない機能」も 高度になればワームとの境界がなくなりますし、 既に述べた悪質なバグもまたワームとの境界があやしいものとなります。
そもそもこのような法律にて日本産のウィルスの発生を抑止しようとしたところで、 現状見ると日本産ウィルスは極めて少数ですので、 日本国内で発生する被害にはほとんど影響がありません。 じゃあ何のための法律かというと、結局のところ、 著作権団体の圧力に屈した警察がP2P少年を別件逮捕をするなど 悪質な使い道が主たるものになるわけですから、 こんな法律できたとしても国が腐るだけといっても過言ではないでしょう。 いや過言です?
Re:バグは関係ないのでは (スコア:1)
細かい話…つーかスラドにモノを書く人なら知らんこと無いと思いたい…ですが、
プログラムという形で計算機に与える「指示」は、もともと作る人が自分の意志で「狙ったこと」と
ぴったり同じである保証が無い、同じかどうか完璧に調べることも出来ない、
ということは計算機の父たちがとうに証明しているのでしたよね。
だから、バグはなくならない。正確にいえば「無くなったと言い切るための手段は存在しない」。
ま、平たくいえば「ミス」って奴だよね。
ええとええと、書物書物。
「あなたはコンピュータを理解していますか?」 [os-omicron.org]の第6章の1が、「チューリングの置き土産■なくなりません、バグだけは」というもののようです。
解けない(ことが証明されとる)問題の1つに「2つのチューリングマシンが同じかどうか」ってのが有るそうですね。
で、するってーと、「プログラマの意思」と「実際書いちゃったコード」とが同じであることも、はっきり確認できないってこと…ですよね?
>「ミスだった」という言い訳も存在しますが、そのミスを検出するシステムをあらかじめ用意せず、ミスの存在を前提としたバックアップシステムも
というわけで、全てのミスを検出するシステムは作れないようです。
バックアップだって同じことで、ある種のミスはカバーしてくれますが、別のミスには無力というだけのこと。
どの手段でも同じことだし多重化しても同じ。「全て」をカバーできた保証は何処にも無い。
結局我々は常に、予算などに見合った「半端なカバー」で妥協せざるを得ない、ということですね。
まあゼロは無理でも少なくすることはしばしば可能なようなので、それを精進することは無駄とは限りませんが。
>「そのバグには一切意図が含まれていない」ということを証明するのはほぼ不可能というのが持論であります。
それはそうですが、「意図が含まれてる」ことも(プログラム読んだだけじゃ)証明出来ない、のでは?
#そうでなきゃ「フリー」ソフトなんて怖くて作れないのでG7
で、このかたはさておきなんですが、もし立法サイドもが、こんな既知の物理(?)原理すら無視して立法しようとしてるなら、
マヂで危険どころの騒ぎじゃない(なにせ回避不能な事柄を違法と見なすのだから、誰もがひっかかってしまう!!)のですが、
実際どうなんでしょうか?よく読んでないんですが…>読んだ人
Re:バグは関係ないのでは (スコア:1)
ことは刑法がらみなので、意図があったことは原告(検察)側に立証責任があると思います。
「そのバグに意図が含まれて *いる* 」ことを明確に立証できなければ、故意ではなく、過失扱いになると思われます。
したがって、検察側も、よほどの証拠がなければ立件しないでしょうし、裁判所も常識に照らし合わせて「疑わしきは罰せず」で推定無罪とするのではないでしょうか。
(もちろん、業務上過失うんぬんは、当然ありえます)
もっとも、こういうことは、司法判断に任せずに、立法側でキチンと整理しておいてほしいものですね。
設計レベルの場合 (スコア:2, 興味深い)
「これはセキュリティホールをついた攻撃でもしなきゃ作れないっすよ」
とか言ってるような気がするんですが、
こういうのの場合、今までだと仕事としては作るしかなかったんですけど、
これからは、こういう設計したSEはもちろん、
分かっててもSEがヤレといったから作った人も捕まるんでしょうねぇ…
つーことは、ボクとかは確実にしょっ引かれますな。
しょっ引かれたくないからAC
Re:設計レベルの場合 (スコア:2, 興味深い)
そういう答えをしてはいけません。
将来セキュリティーホールが塞がれて、自分の首を締める事になります。
素直に「仕様上できません」と言うのが吉
# 何とかすればとりあえず動くと言う事を知ったら「やれ」って言うバカが必ずいる
Re:設計レベルの場合 (スコア:1)
が顧客の場合まだかわいげがあるのですが、
自分の部署のマネージャーだったりするとかなり切ない。
# マネージャーが捕まってもいいのでID。
Re:設計レベルの場合 (スコア:1, 参考になる)
Javaアプリからメモリデータを自由にアクセス出来たりメール送れたり出来る追加仕様を作っておきながら、
ユーザーがJavaアプリを作ってネットに公開したりメールで送ったりできるようにしようとした…。
仕様案を見たときは呆れを通り越して笑いが出たものです。 ( - -)…→トオイメ
#最終的には事業者のチェックを通ったアプリだけがDLできる仕組みに落ち着きましたが。
ヤバすぎAC
Re:設計レベルの場合 (スコア:0)
# ↑でもツッコミどころ満載ですけど、、
Re:設計レベルの場合 (スコア:2, 興味深い)
・本来扱えないはずのサイト間でクッキーを扱いたい。
・IEのオートコンプリートの候補を自動で設定したい。
・PCのローカルファイルを、自動でHTTP転送したい。
、、、とか?
#すべて言われた事が有るのでAC
Re:設計レベルの場合 (スコア:1)
自分の(ベンダーへの)提案のヤバさを頓着せず、メリットだけが旨く機能すると期待して、
その提案、つまり無茶、をベンダーに要求してくるものように感じてます。
で、後で"逆切れ"するのもお客。
こっちとしても逆切れされると困るばかりでメリットゼロなので、事前に駄目なことや困難なことは警告するんですが、きかねーんだよなあ…(T_T)
何でも傍受(盗聴)できる条文 (スコア:2, 参考になる)
「第七 保全要請等
一 捜査については、電気通信を行うための設備を他人の通信の用に供する事業を営む者又は自己の業務のために不特定若しくは多数の者の通信を媒介することのできる電気通信を行うための設備を設置している者に対して、その業務上記録し、又は記録すべき電気通信の送信元、送信先、通信日時その他の通信履歴の電磁的記録のうち必要なものを特定し、九十日を超えない期間を定めて、これを消去しないよう求めることができるものとすること。」
には、原案となった欧州評議会「サイバー犯罪条約案」 [meiji.ac.jp]の21条1項にある、
「第21条 コンテント・データの傍受
1. 締約国は,国内法によって規定される重大犯罪の範囲内で,自国の権限ある機関に対し,自国の領土内においてコンピュータ・システムという手段によって伝送される特定の通信と関連するコンテント・データを,リアルタイムで,(以下略)」
・・・という部分が、全く盛り込まれていないのですね。
さらに、
「 二 捜査関係事項照会及び一の保全要請を行う場合において、必要があるときは、みだりにこれらの要請に関する事項を漏らさないよう求めることができるものとすること。」
・・・と、操作が行なわれた事実を口封じする事ができるという項目まで盛り込まれています。
案の定というか・・・確信犯ですかね?
もう、ネットでも議会でも祭りは必至かと思われます。(w
--- どちらなりとご自由に --- --
Re:何でも傍受(盗聴)できる条文 (スコア:1)
まぁ、実際に正義のためと考えて制定しているでしょうから、「悪い事」とは全く考えていないと思いますけど・・・。
政治の側が法律を制定する行動なので、法的にも政治的にも糾弾できないところが口惜しいですね。
条約原案には、プライバシー保護の重要性についても書いてあるのになー。
--- どちらなりとご自由に --- --
思惑通り? (スコア:1, 興味深い)
汎用性高かったら取り合えずしょっぴくのに使えるし。
# しかしここ数年で法律が増殖して、それも決して良い網のかけ方とは言えず、どんどん面倒&潜在リスクが増える&窮屈になってきているような、、気のせいですか。勉強が足りないだけかな。
チート対策にも応用可? (スコア:3, 参考になる)
これまで、チート対策というと、著作権の同一性保持権とかでこじつけに近い解釈をして無理矢理違法化していましたが、この法律ができればチートツールを作ったり配布した段階で、「ゲームソフトに意図しない動作をさせるものを作った」として問答無用でしょっぴけるわけですから。
Re:チート対策にも応用可? (スコア:1, すばらしい洞察)
その解釈がまかり通るなら、web掲示板のオフラインリーダーも掲示板設置者の意図しない挙動を引き起こす違法プログラムになるぜ。
ウィルスやトロイとは話が違う。
Re:思惑通り? (スコア:0, 余計なもの)
それをメリットととらえる層がいるんだな。
専業主婦と役人。
#専業主夫ならまだこれらを「潜在リスク」ととらえる
#メンタリティに理解があるような気が。
#偏見ですか?
Re:思惑通り? (スコア:1)
“主夫”と区別されてる点も含めて解説していただけるとありがたい。
Re:思惑通り? (スコア:1)
というかマスメディアに対して盲目的な層の代表として[主婦]を挙げてるのでしょう。
# 実際そういうのは少なくないと思うが、[おやぢ]層だって...
役人は...末端の人間はともかく...ごにょごにょ
条文は確かにアレだが・・・ (スコア:1)
思ってるユーザーは回りにも多数居る様な気が(苦笑)
それはさて置き,「不正指令電磁的記録等作成等の罪」が
「懲役又は罰金」でその最高額も 50万円なのに対して
「わいせつ物頒布等の罪(改正)」は懲役及び罰金を併科出来て
更に罰金・科料額が最高 250万円って随分と差をつけてるなぁと。
まぁ「わいせつ物頒布」は商売と見て罪状を重くしてるのだとは思うが
迷惑を被るという点ではウィルスやセキュリティホールの方が・・・
Re:条文は確かにアレだが・・・ (スコア:1, おもしろおかしい)
Re:条文は確かにアレだが・・・ (スコア:0)
とりあえず「研究用」と言えば何しても構わんと思ってexploitバラ撒いてるバカ者共を何とかしてくれ。
それだけでScript Kiddyがやる悪ふざけぐらいは防止できる。
Re:条文は確かにアレだが・・・ (スコア:1)
もちろん先に開発元に報告して修正されて/修正されるだけの期間をおいてから一般公開されるのがフツーだろうが
それともそーゆーのを攻撃用スクリプトに仕立てる(侵入した後なんか悪さする)ことか?
そっち方面は知らんので具体的にどんなんがあるかしらんのだが
Re:条文は確かにアレだが・・・ (スコア:0)
彼らなりに目的があるんじゃない?一概にバカと決め付けるのはどうかと。
// 馬鹿って言う奴が馬鹿なんだ、ってね ;-)
Re:条文は確かにアレだが・・・ (スコア:0)
Re:条文は確かにアレだが・・・ (スコア:1, 興味深い)
細かい話ですが「悪意」ではなく「罪を犯す意思」です。
「罪を犯す意思がある」というのは「悪い事をする」ではなく「法に触れる事をする」という意識があるという事で、善意により法に反する場合も「罪を犯す意思」がある事になります。
たとえば、電話をかけたいけど小銭が無くて困っている人に、賽銭から10円盗んで渡してあげたとします。この場合全くの善意からであって、自分の物にした訳でもなくても「窃盗」です。
exploitというのは、まさに「意図に反する動作をさせる不正な指令」ですから逃れようがないでしょう
Re:条文は確かにアレだが・・・(オフトピ) (スコア:1)
(#286538)氏は恐らくわかっていると思いますが、一応補足させてください。
法律上、「悪意」とは「(法律上の)ある事実を知っていること」あるいは
「他人を害する意志」のことを言います。
一方「善意」とは、「(法律上の)ある事実を知らないこと」です。
つまり、「法に触れるとわかっていてする行為」は一様に「悪意に基づく行為」
なので、元AC氏の書き方で間違いではないと思います。
賽銭の例は道徳的善悪かもしれませんが、法律的には悪意ですね。
#もちろん、法律上の事実を知らなくても、他人に害をなす目的でする行為は
#「悪意」に基づく行為です。
国語辞典にも一応載っているみたいですね。
・ 悪意 [goo.ne.jp]
・ 善意 [goo.ne.jp]
Re:条文は確かにアレだが・・・ (スコア:1, おもしろおかしい)
あなたは「彼ら」を知らない。
そんなこと気にしてたらやっていけないのです。
提供した者の定義 (スコア:1)
> その他の記録を作成し、又は提供した者は、
提供した者っていうのには、ウイルスに感染して
他者に提供してくれる人間も含まれるのでしょうか。
昔の話ですが、政府が掲載したExcelデータがウイルスに感染してて [impress.co.jp]...とかは提供?
ごめんなさい~ (スコア:1)
これまでバグのあるソフトをたくさん作ってきました。
あ、施行前ならいいのかな。
みっともないけどIDで。
----------------------------------------
You can't always get what you want...
過失と恋^H故意 (スコア:1)
この要綱には、【過失】についての記述がないので、【故意】にバグったりしなければ、たぶんセーフですよね。
でも、「オレが作るプログラムには、ある程度の確率でセキュリティー・ホールがあるに違いない」と信じていて、実際に発見されたら、【未必の故意】でアウトですね!!
・・・だったら、いやだなぁ(泣
部門名、s/疑心暗偽/疑心暗鬼/ ? (スコア:1)
何か狙っているのでしょうか?だとすると意図が判りません。
こんなふうにも読めてしまうのでは? (スコア:1)
このような文章で、ウィルスやワームを縛れるのかなぁ?と思います。
せめて"不正指令"の定義ぐらいちゃんすればいいのに。
"骨子"だとそういうもんなんですかね?
ところで、"電磁的記録"って、かなり逸般的な用語だと思うのですが、
どこかに定義してあるもんなのでしょうか?
分かりにくい外来語を日本語に言い換える [srad.jp]より先に
分かりにくい日本語を分かりやすくした方が良いのでは?とか思います.
# 「ハイテク犯罪に対処するための刑事法の整備に関する諮問」
# から始まる文字列は人の読むものではないとしか思えません。
ひょっとして (スコア:1)
バグ発見! (スコア:0)
と言う事はCD-Rで渡したら罪にならない
CD-Rは「光学的記録」であって「電磁的記録」ではない:-D
ちなみに、他の部分では「電磁的記録その他の記録」となっているけど、ここだけ「電磁的記録」になっている。
Re:バグ発見! (スコア:1)
光は電磁波 [goo.ne.jp]です、とか言ってみる。
ってことは、紙テープならオッケー?
あ、もしかして私たちが日常経験する重力以外のすべての力は電磁気力です [www.kek.jp]ってことか!?
# もちろん冗談ですが
Re:バグ発見! (スコア:1)
下げ (スコア:0)
Re:下げ (スコア:1)
うーん, あれも最近は光学センサー使って読み込んでいるから... 対象外になりそうなのはマイクロカンチレバー式記憶装置 [ibm.com]ぐらいかも.
Re:下げ (スコア:1)