読者です 読者をやめる 読者になる 読者になる

無気力生活 (ノ ´ω`)ノ ~゜

脱力系エンジニア。てきとーに生きてます。

ウイルス作成法案に伴う、ソフトウェア開発者死亡のお知らせについて

追記
本記事の続きを書きました。 http://gdgd-shinoyu.at.webry.info/201107/article_1.html



最近、Twitterクライアントの調子が悪くて、完全にTwitter難民化しております。私です<^o^>
ニュースフィードだとかそっちメインで使っていた節があるため、普段活動している環境で使えなくなるとすぐに浦島太郎になってしまいます。
これ知ったのも一昨日くらいだしw

で、なにが問題なの?

昔のエロイ人が、「悪法もまた法なり」との言葉を残しておりますが、飯の種がなくなるのは勘弁願いたい(´・ω・`)

情報処理の高度化等に対処するための刑法等の一部を改正する法律案
http://www.moj.go.jp/keiji1/keiji12_00025.html
2011/04/011に提案された法律案で、5/25-5/27に衆議院での審議にかけられました。

5.25の議事録
http://www.shugiin.go.jp/itdb_kaigiroku.nsf/html/kaigiroku/000417720110525013.htm
※問題となった5.27の議事録はまだ公開されていません。

正直、今回の答弁が法案成立の決定案として盛り込まれると大層面倒くさいことになります。
概要については、ウイルス罪法案、バグ放置が提供罪に該当する事態は「ある」と法務省見解を読んで頂ければ、大方理解できると思います。
ただ、この方の5.29の記事では、

ウイルス罪法案の国会答弁でバグ放置が提供罪に該当する事態は「ある」とされた件について、多くの疑問の声があがっている。ただ、その声の多くは、どんなバグでも罪になると誤解している様子がある。議員の質問では「重大なバグ」と、状況を限定して尋ねたものだった点に注意が必要である。「重大なバグ」とは、たとえば、電子計算機が動かなくなってしまうような、そういう破壊的な結果をもたらすものなどを指すのだろう。
と前置きされている通り、答弁の内容も「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」となりますので、「ボタン押しても何も動作しないよ!」といった些細なバグは問題になりません(多分)

バグってなによ( ´゚д゚`)

個人的に気になった点が、衆議院で言及された”バグ”が何を指すか?について。
Wikiバグの項目見て貰えればわかるんですが、バグにはセキュリティホールを含みます。
仮に答弁で述べられているバグが同じ定義だったとしましょう。

有名なところでは皆さんがよく使っているWindows
あれ、Windows 2000含めた以前の過去バージョンには、セキュリティホールを塞ぐためのパッチが適応されていません。
これは、外部からウイルス侵入によって、パソコンが予期せぬ動作を勝手に行われてしまう可能性がある重要な脆弱性を放置する状況に合致するため、不正指令電磁的記録提供罪の対象となります。
この問題を避けるためには、すでにサポート終了した製品であっても、日本国内で使われる限りは永久的にサポートしなければならなくなります。
プログラマなみなさんはわかると思いますが、製品の保守コストって安いもんじゃないんですよね。誰かが使う限り、半永久的にバグや脆弱性0を維持するのは相当に大変です。
結果として、バグ放置すると捕まるし、かと言って常に最善を維持し続けるコストがかかるとなると、新しい製品を産み出そうとするモチベーションを挫くことになりかねません。

Web系のサービスはどうなんだろ?

そのサービス自体にバグがなくても使っているライブラリやサーバー側にバグがあったら、不正指令電磁的記録提供罪が適応されてしまうんだろうか?
記憶に新しいのはSony Conputer EntertamentのPSN顧客情報流出の障害ですね。
あれは確かアメリカの管理会社が、
PSNのWebサーバーとして使っていたApacheのパッチ当ててない上に、Firewall無効化していた話
がありました。
(なんか問題発生の2ヶ月か三ヶ月前にSony従業員による指摘があったとか。)
この記事の内容が正しいのであれば、となりますので、不正指令電磁的記録提供罪の対象になってしまうわけですね。
…刑事事件に発展したら、関係するすべてのサービスは停止した上で、原因究明と訴訟関連の準備にコスト割かれるので、被害への対応とサービス再開ができなくなるなぁ…
あれ?Web系にとっても致命傷じゃね?

大臣の知識が足りないなら官僚を使えばいいじゃない

外部有識者でもいいです。せめてITに詳しい人に決定権を与えてあげてください。orz
今回の答弁には、予想してなかったとか、政治主導なんとか、大臣の面子とかそのへんの話があったかは分かりかねますけど、そもそも、ソフトウェア関連の知識が無い人に、業界全体に波及しかねない法案の決定権を持たせる時点でおかしい話で。
実際、江田法務大臣は、なんのことかさっぱり分からないんだと思います。なので、
こういう時こそ、専門の官僚なりを使うべきです。せっかく商務情報政策局なんて用意してるんだから。

そして私が望むこと

昨今、コンピューターウイルスによる被害が世界各国で上昇傾向になると考えております。
海外では、世界最大のBotネットである、Rustockが潰されて、スパムメールで生計を立てていたサイバー犯罪者が新しい稼ぎ場所を探しております。最近は常時高速ネットワークに接続できるスマートフォンがより使われ、おそらく今度のターゲットになる確率が非常に高い。

また、Stuxnetのように莫大な感染力を持ち、特定のハードウェアに直接ダメージを与える高度なウイルスも発生しております。
このような背景から考えると、国内でもウイルス作成法案を制定して対策を取ることは非常によいことだと思います。
しかし、法を成立する際に明確な指針や知識がないまま立法されてしまうと、とんでもない問題が発生します。
法律を制定する側はしっかりこのことを認識して頂きたい。少なくとも、「それほど詳しい知識を持っていない」とおっしゃられる方に決めて貰いたくはありません。
ちゃんと、問題に詳しい方を呼んで、その方からしっかりと話しを聞いて立法してください。

これは、ソフトウェア業界で生きる一人の開発者としてのお願いです。