「『できるのにやらない』はけしからん」に潜む、「できるはず」という誤解 (一部修正あり)

Winny研究者がなぜウィルスによる情報漏洩の責任を問われうるか - ものがたりより。

刑法の世界だと、死にそうな奴を発見したところで、助けなくても、犯罪にはならないが、いったん助けて、それからやっぱり無理だと言って放置したら、遺棄罪や遺棄致死罪になる。これはいったん手を出したことで作為義務が生じるから。(下手に助けなければ他の人が助けてくれたかもしれないわけだから、手を出したことでかえって状況が悪化している。)

それと同じように、Winnyリバースエンジニアリングして、プロトコルやネットワークを研究して、それに対するセキュリティ対策ソフトや何らかの成果を公開しているセキュリティ研究者に対しては、もはやWinny作者と同様の作為義務があって(これを不思議に思うことがないよう、わざわざ上の例を示していることに思い至るべし)、ごく簡単にセキュリティ対策を講じることができるのに、それをせずに、自らのソフトウェアのみを改良する行為は、セキュリティホールを悪用した情報漏洩に対する、積極的な幇助行為があると認めることができるのではないかと思われる。

えーと、これ、全然「それと同じように」じゃないと思うんですが・・・。

「それと同じ」じゃない理由

引用部にあります「死にそうな人」の喩えで言いますと、Winnyの件での登場人物は

  • Winnyの作者:「新しい橋を作りましたよ〜、便利ですよ〜」と宣伝して大勢の利用者を集めたものの、所々床が非常に滑りやすくなっていたため周りを巻き込みつつ転倒する人が(本人の落ち度の有無はともかく)続出、手抜き工事と訴えられる。
  • 暴露ウィルスに感染した人:最初に滑って転倒した人。重症な場合も、意外と軽症の場合(漏洩した情報が本人と関係ない場合)もあり。
  • 感染者に情報を漏洩されてしまった被害者:転倒の巻き添えを食った人。概ね重症。

といった具合の立ち位置ですよね。で、この喩えにWinnyに関するセキュリティ研究者を当てはめると、

  • セキュリティ研究者:橋の欠陥に気がついて、転倒の発生件数を調査したり、橋を渡るのに適した靴の滑り止めを考案したり、橋の滑り易さを周知すべく活動している人。勿論、自分は危険性を知っているので慎重に渡るか、そもそもその橋を使わない。

という感じになると思います。
つまり、この件での「セキュリティ研究者」は、決して転倒やその巻き添えで重症に陥っている橋の利用者を直接救護しようとしていたわけではありませんし、ましてや一旦救護した上で放置に転じたわけでもありません。

(これを不思議に思うことがないよう、わざわざ上の例を示していることに思い至るべし)

という但し書きまで付けておられますが、Winnyの件におけるセキュリティ研究者の立場と、重症の人を(少なくとも一旦は)救護した人の立場は本質的に異なると私は考えます。
そもそも、Winnyの作者ですら、Winnyを介した情報漏洩の蔓延に対する責任はあるにせよ、その責任は「重症の人を救護した人」の作為義務とは異なる性質のものでしょう。元記事の話の展開は、非常に誤解を生みやすいものだと思います。

「できる(はず)」という誤解

元記事のブログでは、その記事の書かれた日付全体の題名として「『できるのにやらない』はけしからんという率直な立場」という表題がつけられています。
でも、本当にセキュリティ研究者は「できる」んでしょうか?


そもそも「何を」できるのかできないのか、ということが重要ですが、元記事では「(ウィルス感染自体ではなくその後の)情報流出による被害」が重大である旨を強調されておられますので、「何を」の候補としては大別すると以下の二つが考えられるでしょう。

  1. 一般人の暴露ウィルスへの感染、もしくは感染後の情報流出に対する防御
  2. 情報流出の被害者への対応(被害を最小限に食い止めること)

なお、前者について、「一般ユーザ」ではなく「一般人」と書いた理由は、どうやら近頃の暴露ウィルスにはWinny同梱のものがあるらしく、それに感染すると元々Winnyを利用していなくても強制的に「Winnyユーザ」にされてしまうからです。しかも履歴なども弄って、あたかも「以前からの」Winnyユーザに見えるよう工作されてしまうとのこと。現時点では見受けられないものの、将来的にWinny同梱の暴露ウィルスの登場によって、感染者が元々Winnyを利用していなくても強制的に「Winnyユーザ」にされてしまう(しかも履歴なども弄って、あたかも「以前からの」Winnyユーザに見えるよう工作されてしまう)危険性が指摘されているからです。(2009/1/14 14:54修正)この点はあまり知られていないような気がするので強調のために触れておきます。


さて、前者について、果たしてセキュリティ研究者は一般人の暴露ウィルスへの感染を防ぎ得るでしょうか。はからずも、Winnyを含む情報セキュリティ研究の第一人者である高木浩光さんは先日のご自身の日記で以下のように述べられています。

それでも、「ウイルスにひっかかる奴が馬鹿なんだから、やっちゃえ」とか言う輩が出てきそうだが、ウイルス感染を防ぐことなんてできないんだよ。私だって防げない。そういうウイルスを作ることはソフトウェア開発者であればできてしまう。
(強調は引用時)

高木さんの日記は時々過激な表現もありますが、技術的なポイントは流石に押さえて書かれているように見受けられますので、その高木さんがこう断言してしまうということは、程度問題ではあるでしょうが根本的には「できない」が答えなのだろうと考えられます。
一方、暴露ウィルスへの感染を防げないのであれば感染後の情報流出についてはどうなのか、と考えますと、こちらは更に絶望的と思われます。主な理由は、ウィルス感染による意図しない情報流出と、悪意のあるユーザによる意図的な情報流出を技術的に区別するのが不可能であるか、少なく見積もっても極めて困難であることです。


一方、後者の道についても、そもそもWinnyネットワークで一度流通が始まったファイルはユーザや研究者の個人レベルの努力では(最初にアップロードした本人でさえも)到底削除しきれない、というWinnyの困った特徴が壁となります。プロバイダや警察や裁判所などの組織に相談すればどうにかなるのかもしれませんが、それは「セキュリティ研究者が」できる、とは言いませんよね。


というわけで、「『できるのにやらない』はけしからん」というご意見に対しては、「そもそもセキュリティ研究者は『できる』わけじゃないみたいですよ」と私見を表明しておきます。

じゃあ、放っておいてよいのか

じゃあ、何もせずに現状を放っておいてよいのかというと決してそんなことはないわけで、元記事でも触れられていたように、(完全な解ではないにせよ)少しでも技術的な対処が可能となるように法律的に工夫することは重要だと私も思います。
法律には詳しくないですが、少なくともセキュリティ強化版Winnyを作者本人ないしセキュリティ研究者の有志が(情報漏洩事故の抑制を目的として)作成・配布しても法律に引っ掛からないようにするぐらいの対応が可能になるといいんじゃないかなぁ、と思います。法律的な制限が取り払われれば、現在よりもより突っ込んだ活動を行うセキュリティ研究者はきっと現れるのではないでしょうか。