カジノの不正の話はたいてい、隠し装置や印の付いたカード、あるいは明らかにやってはいけないことをした誰かから始まる。だがこの話は、機械そのものが押すことを許していたボタンを、ある男が押したことから始まった。
2009年、ジョン・ケインは一部のビデオポーカー機に驚くべき欠陥があることを発見した。プレイヤーが当たり役を出したあと、換金する前に賭け金額を変更すると、その機械はあたかも最初から高いベット額が設定されていたかのように配当を支払うことがあったのだ。[1] つまり、少額を賭けて勝ち、そのあとで賭け金を引き上げ、実際にははるかに少ない金しか危険にさらしていないのに、大きく賭けたかのように受け取ることができた。これは幸運の連続ではなかった。ゲームの顔をしたソフトウェアの誤りだった。
ケインらはこのバグを使い、ネバダ州のカジノで数十万ドルを勝ち取った。[1] 当然の反応は、こんなものは犯罪に違いない、というものだった。人は会計上の抜け穴でカジノを打ち負かしてよいはずがない。だがこの件が連邦裁判所に持ち込まれたとき、不穏な論点は、ケインが抜け穴を見つけたかどうかではなかった。彼が見つけたことは明らかだった。問題は、その抜け穴を利用することがコンピュータシステムへの違法アクセスに当たるのか、それとも彼は単に、その機械のソフトウェアが許すやり方で機械を使っただけなのか、という点だった。[1]
いつ賭けが行われたのかを忘れた機械
ビデオポーカーは、本来きわめて秩序正しく動くはずのものだ。賭け金を置き、手札を受け取り、どのカードを残すか決め、交換札を引き、そして賭けた額に応じて支払いを受ける。まず賭けがあり、そのあとに配当が来る。その順序こそが、このゲーム全体の構造だ。
ところがケインが使った機械は、その論理を壊していた。[1] そのソフトウェアは、あるベット額で当たり役を確定させたあと、換金の操作に入る前に賭け額を引き上げることを可能にしており、その結果、実際に最初に賭けた低い額ではなく、あとから上げた高い額に結びついた支払いを生み出していた。[1] こんなバグは一見ありえないように聞こえる。だが、どれほど華やかでも、カジノとは結局ソフトウェアで埋め尽くされた部屋にすぎないと思い出せば、話は違ってくる。
しかもソフトウェアには、奇妙な弱点がある。力ずくよりも、むしろ従順さに弱いことが多いのだ。機械があるボタンを提供し、そのボタンが特定の順序で押されたときの結果を誤って処理するなら、利用者は侵入する必要すらないかもしれない。必要なのは、忍耐と反復、そして他の誰も気づかないことに気づく意志だけだ。
グリッチであって、ハッキングではない
この区別こそが、事件全体の核心になった。連邦検察は、ケインをCFAA、すなわちコンピュータ詐欺及び濫用防止法という、広範で物議を醸している米国の反ハッキング法に基づいて起訴した。[1] 彼らの理屈では、ソフトウェアバグを悪用することで、彼は保護されたコンピュータへの認可されたアクセスを超えたというのである。[1] つまり政府は、カジノにおける機会主義をコンピュータ犯罪へと翻訳しようとしていたわけだ。
だがそこには問題があった。ケインはパスワードを突破していなかった。コードも改変していない。機器を取り付けたわけでも、機械を開けたわけでも、隠された管理者権限にアクセスしたわけでもない。[1] 彼はただ、画面上のボタンを機械が許す順番で使い、そのあと機械が差し出した金を受け取っただけだった。そのことが、この事件をいかにも現代的な仕方で法的に厄介なものにした。
なぜなら、コンピュータが何かをすることを許しているなら、いったいいつ、利用とハッキングの境界を越えたことになるのか、という話になるからだ。
ボタン操作に突き当たった法
United States v. Kane の連邦裁判所で問われていたのは、ケインの行為が巧妙だったかどうかではなかった。それは明白だった。問われていたのは、政府がCFAAの下で本当に犯罪を十分に主張できていたのかどうかだった。[1] 具体的には、検察は、ケインが詐欺を働くために保護されたコンピュータへの認可アクセスを超えたことを示さなければならなかった。[1]
裁判所は、その点が十分に示されていないと結論づけた。[1] ケインはプレイヤーとしてその機械にアクセスする権利を持っていた。提示されたインターフェースをそのまま使っていた。システム内の禁止区域に入り込んだわけでもなければ、許可されていない情報を取得したわけでもない。通常の操作の外側から機械に何かを強制したわけでもない。彼はただ、通常のユーザー体験の内側にある、利用可能な順序を見つけただけだった。[1]
これは狭い技術論に聞こえるかもしれない。だが現代生活のどれほど多くが、この区別に依存しているかを考えれば話は変わる。コンピュータの不正利用をめぐる多くの法廷闘争は、「無許可」とはシステムに侵入することを意味するのか、それとも利用可能なシステムを好ましくないやり方で使うことまで含むのか、という問いに行き着く。ケインの事件は、より狭い解釈の側に落ち着いた。悪い行為は、たとえ非常に利益を生む悪い行為であっても、それだけで自動的に無許可アクセスになるわけではない。[1]
コンピュータ問題の中に隠れていたカジノ問題
カジノは非対称性を嫌う。彼らのビジネスモデルは、ルールが固定され、公にされ、しかも数学的に自分たちに有利であることに依存している。ケインが見つけたのは、逆向きに働く非対称性だった。機械にはハウスエッジがあったが、それは自分自身のソフトウェアが賭けの時系列を忘れるまでの話だった。
それこそが、この物語をこれほど痛快なものにしている。ケインは確率を打ち破ったのではない。実装を打ち破ったのだ。彼は新しいギャンブル戦略を発見したのではない。機械の内部帳簿に穴があることを見つけたのである。カジノにとっては、それはイカサマのように感じられたかもしれない。だが裁判所にとっては、カジノ自身の機械が取引の価格を間違えていたように見えた。
こうした事件が制度を神経質にさせるのには理由がある。多くのシステムにおける本当の力が、書かれたルールではなく、それを運用に落とし込むコードの中にあることを暴いてしまうからだ。もしコードがルールを誤って適用すれば、そのシステムは平然とナンセンスな支払いを始めることがありうる。
なぜ彼は金を保持できたのか
この話の一般向けの要約は、「ケインはその金を保持できた」というものだ。そして大まかに言って、それがこの事件が記憶されている理由である。[1] だが、より深い理由は、裁判所が彼の行為を称賛したからではない。政府が選んだ法理が、事実に十分うまく当てはまらなかったからだ。訴えの却下申立てが認められたのは、検察がCFAAにおける「認可されたアクセスの超過」という要件を満たせなかったからだった。[1]
これはカジノの外でも重要な意味を持つ。この事件は、コンピュータ犯罪法をどこまで広く読むべきかという、より大きな争いの中に位置している。[1] バグのある機械で、許されたボタンを許されたままの形で、ただ順番を工夫して押しただけのことが連邦レベルのハッキングになりうるなら、日常的な日和見的行動のかなりの部分が、比喩だけで犯罪化される方向へ滑り出してしまう。ケイン判決は、その流れに歯止めをかけた。
要するにそれは、ソフトウェアの欠陥は施錠された扉と同じではない、と言ったのだ。そして欠陥のある手順を利用することは、自動的に立ち入り禁止の空間への侵入と同じにはならない、と。
機械に決めさせることの奇妙な倫理
この一件には、ほとんど哲学的とすら言えるものがある。カジノは、機械が「あなたは負けた」と告げるとき、プレイヤーにその機械を信じることを求める。ケインは、機械が「あなたは勝った」と告げたとき、その機械を信じた。カジノは、その信頼が一方向にしか働かないことを望んでいたのだ。
結局のところ、そこにこそ United States v. Kane の核心にある緊張がある。コンピュータ化されたシステムが、そのシステム自身によって可能になった結果を、一人の利用者に提示した。利用者は所有者よりもその欠陥をよく理解していた。所有者はそれを詐欺と呼んだ。だが法は、少なくともこの事件においては、それをハッキングと呼ぶ用意がなかった。[1]
こうしてジョン・ケインは、デジタルシステムの目に見えないひび割れを見つけ、技術的には何も乗り越えることなくその中を通り抜けた人々のために用意された、あの稀な歴史の一角に収まることになった。彼が機械をこじ開けたと非難されたのではない。理解しすぎたと非難されたのだ。
