オルタナティブ・ブログ > 秋山大志のそれとりあえず作ってみようか。 >

あれこれ考えるよりも作ってしまった方が早いんじゃね?と思う、ギークなサラリーマンのアジャイルな日々。

コインハイブ(Coinhive)摘発とCANVAS fingerprint.jsについて

»

お昼休みももう終わりですが、皆さんいかがお過ごしでしょうか?
群馬県南牧村エヴァンジェリスト、日本ロマンチスト協会宣教師、BenQアンバサダー【NEW!】の秋山です。

ちまたで話題となっている「コインハイブ(Coinhive)」の各県警による摘発ですが、事件の詳細や何が問題なのかについては、当事者や識者のブログに譲るとして、インターネット黎明期からWEB技術やネットメディアの運営やマネタイズに長く関わり、今もその業界でそれを糧として生きている人間として、これは大きな問題であり、もっと議論を尽くすべきと考えています。

■モロさん@doorts:仮想通貨マイニング(Coinhive)で家宅捜索を受けた話
https://doocts.com/3403

■高木浩光@自宅の日記:懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」
http://takagi-hiromitsu.jp/diary/20180610.html

そもそも、今回の警察に摘発された犯罪の構成要件として以下があげられるのであれば、我々デジタルマーケティング業界がサイト上でやっていること自体がグレー(犯罪の可能性・摘発の可能性有り)となってしまう。

刑法19章の2は、168条の2で、不正指令電磁的記録を「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」と定義し、それをそのような実行の用に供する行為を供用罪(同条2項)とし、それをそのような実行の用に供する目的で取得・保管する行為を取得・保管罪(168条の3)として規定している。

高木浩光@自宅の日記:懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」
http://takagi-hiromitsu.jp/diary/20180610.html から引用

特に、「意図に反する動作をさせるべき不正な指令」に関しては、fingerprintjs(fingerprint.js)の方が悪質とも言える。

例えばAppleのSafariが広告等の目的によるブラウザトラッキングをユーザーがブロックできる機能であるITP(簡単に言うと3rd Party Cookieをブロック)を導入した際に、デジタルマーケティング業界のプラットフォーマー、ツールベンダーはそのITPを乗り越える対策をいろいろと考えてきた。

その中でも、HTML5のCANVAS機能を用い端末固有の情報(癖)を抽出する「fingerprintjs」は2014年くらいからITP超えの技術として使われているわけだが、

■GIZMODE:クッキーより怖いcanvas fingerprintingって何?迂回方法は?
https://www.gizmodo.jp/2014/07/canvas_fingerprinting.html

■2015 明治大学齋藤研 Fingerprint解説サイト制作委員会 Ver 1.0.3:Web Browser Fingerprint解説ページ
https://www.saitolab.org/fp_site/

※実際のfingerprint.jsはこんな感じ(実際に大手自動車メーカーのサイトに読み込まれていたもの)
https://cdn.jsdelivr.net/fingerprintjs2/1.4.4/fingerprint2.min.js

今回のコインハイブ(Coinhive)の事件と比べても、摘発の対象に成り得る内容である。

なぜならば、

【コインハイブ(Coinhive)】
・JSにより、サイトを閲覧したPCのCPUパワーを使って仮想通貨採掘の計算をし、その結果を第三者に送る。
 そして、その第三者は仮想通貨として利益を得る。

【fingerprintjs】
・JSにより、サイトを閲覧したPCのCPUパワーを使って端末固有の情報を採るための計算をし、その結果を第三者に送る。
 そして、その第三者はその情報を活用して利益を得る。

CPUパワーをサイト閲覧中に継続して使うか、端末固有の情報を採るために必要な時間だけ使うか、
直接的な利益か、得られた情報によって広告等を表示することによる間接的な利益か、

の差はあるものの、今回のコインハイブ(Coinhive)が犯罪として摘発され、それが有罪になるとすると、fingerprintjsの方も摘発に足る構成要件を持ち得るのではないだろうか。

2014年当時に比べてもITP等のCookieを用いたブラウザトラッキング(個人の行動履歴取得)がやり難くなっている中でfingerprint.jsについても、一部上場企業や有名サイトも含めて使われることが多くなってきた。
なぜ、やり難くなって来たかといえば、それは消費者、ユーザーが自分の行動履歴を勝手に取得されて、ユーザーの意志不在の中でビジネスに活用されてしまうことに違和感・気持ち悪さ・嫌悪を持っているからである。

そんなユーザーの意志に「反して」、CPU負荷を利用して、トラッキング(に必要な情報を取得)しようとするCanvas fingerprint jsはコインハイブ(Coinhive)よりも悪質性が高いと言われる可能性があるのではないだろうか。

ただ、ユーザーの行動履歴取得が悪いと言いたいわけでもなく、今のデジタルマーケに大きな問題ある、fingerprintjsを導入しているサイトを摘発せよと言っているわけではないことはご理解いただきたい。

言いたいことは、簡単に言うと以下、

・新しい技術が出てきたときに多くの専門家やステークホルダーの議論を果たさずに、規制や摘発を急ぐべきではない

・摘発⇒有罪の既成事実が一度出来てしまうことにより、多くの可能性のある技術やビジネスの芽が摘まれ、委縮する方向に進んでしまう

・メディア運営や情報発信にもコストがかかっており、何らかの形で収益をあげていかなくてはいけないが、サイト運営で金を儲けるということ自体が悪という流れにしたくない

・ただし、今回、神奈川県警に摘発されたモロさんに指摘したTwitterユーザーと同意見で、利用者の同意(オプトイン)や説明を果たした上で、ユーザーにとっても社会にとってもより良いカタチにしていかなければいけない

まとめにしては、少し長文になってしまったが、そろそろ昼休みも終わるのでこの辺にしておきます。
また、何か思うところがあれば追記します。

※プロフにも書いてありますが「本ブログの記事および内容は個人の意見であり、必ずしも著者の所属している組織の見解と一致しているわけではございません。」
※悪しからずご了承ください。

Comment(0)