So-net無料ブログ作成
  • ブログをはじめる
  • ログイン
前の30件 | -

刑法の概説 [法律]

刑法について改めて勉強しているので、各章の解説を記載しました。


第一編 総則
第一章 通則
 この章は、刑法がどこにいる誰に適用するのかや、刑が変更された場合の適用は、変更以前か、変更後かを規定しています。例えば、刑法1条1項は、日本国内で犯罪をした者には刑法の適用があることを規定しています。
刑法1条1項
この法律は、日本国内において罪を犯したすべての者に適用する。


 また、サイバーセキュリティに深く関わる電磁的記録についても以下のように定義しています。
刑法7条の2
この法律において「電磁的記録」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。


第二章 刑
 この章は、刑の種類を定義しています。例えば、懲役刑については、刑法12条1項において、「懲役は、無期及び有期とし、有期懲役は、一月以上二十年以下とする。」とし、同条2項は、「懲役は、刑事施設に拘置して所定の作業を行わせる。」として、懲役の定義を規定しています。

第三章 期間計算
 この章は、様々な期間の計算を規定しています。例えば、刑法24条1項は、「受刑の初日は、時間にかかわらず、一日として計算する。時効期間の初日についても、同様とする。」とし、同項前段は、初日の計算を規定しています。

第四章 刑の執行猶予
 この章は、執行猶予や一部の執行猶予を規定しています。執行猶予とは、その期間に新たな犯罪をすることなく猶予期間が経過すれば、言い渡された刑罰を受ける必要はなくなります。

第五章 仮釈放
 この章は、懲役や禁固に処せられた者の仮に釈放することができることを規定しています。

第六章 刑の時効及び刑の消滅
 この章は、刑の言渡し後の時効や刑の言い渡しの効力が消滅することを規定しています。

第七章 犯罪の不成立及び刑の減免
 この章は、違法性阻却事由である正当防衛(刑法36条1項)や緊急避難(刑法37条1項)、正当業務行為(刑法35条)、故意(刑法38条1項)や刑事責任を負わせられない刑事未成年(刑法41条)などを規定しています。

第八章 未遂罪
 この章は、未遂による刑の減免を規定しています。

第九章 併合罪
 この章は、併合罪(刑法45条前段)や牽連犯(刑法54条1項後段)、これらの場合の刑の併科や付加などを規定しています。

第十章 累犯
 この章は、再犯や刑の加重などを規定しています。

第十一章 共犯
 この章は、共同正犯(刑法60条)や共犯、身分犯(刑法65条)などを規定しています。

第十二章 酌量減軽
 この章は、情状酌量を規定しています。

第十三章 加重減軽の方法
 この章は、法律上の減軽の方法(刑法68条)や端数の切捨て(刑法70条)、加重減軽の順序(刑法72条)などを規定しています。

第二編 罪
第一章 削除
 この章は、削除されました。

第二章 内乱に関する罪
 この章は、内乱罪(刑法77条)や内乱予備罪(刑法78条)などを規定しています。

第三章 外患に関する罪
 この章は、外患誘致罪(刑法81条)、同罪の予備罪(刑法88条)などを規定しています。

第四章 国交に関する罪
 この章は、外国国章損壊等罪(刑法92条)、私戦予備罪(刑法93条)などを規定しています。

第五章 公務の執行を妨害する罪
 この章は、公務執行妨害罪(刑法95条)などを規定しています。以下のように、公務員の職務執行を妨害する場合の犯罪です。
刑法95条1項(公務執行妨害罪)
公務員が職務を執行するに当たり、これに対して暴行又は脅迫を加えた者は、3年以下の懲役若しくは禁錮又は50万円以下の罰金に処する。


第六章 逃走の罪
 この章は、逃走罪(刑法97条)などを規定しています。

第七章 犯人蔵匿及び証拠隠滅の罪
 この章は、犯人蔵匿等罪(刑法103条)、証拠隠滅等罪(刑法104条)などを規定しています。

第八章 騒乱の罪
 この章は、騒乱罪(刑法106条)などを規定しています。

第九章 放火及び失火の罪
 この章は、現住建造物等放火罪(刑法108条)、延焼罪(刑法111条)などを規定しています。人が住居に使用していたり、人がいる建造物等への放火は死刑又は無期若しくは5年以上の懲役刑ですが、人が住居に使用しておらず、人がいない建造物等への放火は2年以上の有期懲役刑と大幅に軽くなっています。

刑法108条(現住建造物等放火)
放火して、現に人が住居に使用し又は現に人がいる建造物、汽車、電車、艦船又は鉱坑を焼損した者は、死刑又は無期若しくは5年以上の懲役に処する。
刑法109条1項(非現住建造物等放火)
放火して、現に人が住居に使用せず、かつ、現に人がいない建造物、艦船又は鉱坑を焼損した者は、5年以上の有期懲役に処する。
同条2項(自己所有建造物等放火)
前項の物が自己の所有に係るときは、六月以上七年以下の懲役に処する。ただし、公共の危険を生じなかったときは、罰しない。


第十章 出水及び水利に関する罪
 この章は、出水させて浸害させる現住建造物等浸害(刑法119条)などを規定しています。

第十一章 往来を妨害する罪
 この章は、電車等の往来の危険を生じさせる往来危険罪(刑法125条)などを規定しています。

第十二章 住居を侵す罪
 この章は、住居侵入等罪(刑法130条)などを規定しています。

第十三章 秘密を侵す罪
 この章は、信書開封罪(刑法133条)や医師や弁護士による秘密漏示罪(刑法134条)などを規定しています。

第十四章 あへん煙に関する罪
 この章は、あへん煙輸入等罪(刑法136条)などを規定しています。

第十五章 飲料水に関する罪
 この章は、水道汚染罪(刑法143条)などを規定しています。

第十六章 通貨偽造の罪
 この章は、通貨偽造罪(刑法148条1項)、通貨偽造準備罪(刑法153条)などを規定しています。

第十七章 文書偽造の罪
 この章は、公文書偽造罪(刑法155条1項)、虚偽公文書作成等罪(刑法156条前段)、私文書偽造罪(刑法159条1項)、サイバー犯罪で非常に重要な電磁的記録不正作出罪(刑法161条の1第1項及び2項)などを規定しています。

第161条の2第1項(私電磁的記録不正作出罪)
人の事務処理を誤らせる目的で、その事務処理の用に供する権利、義務又は事実証明に関する電磁的記録を不正に作った者は、五年以下の懲役又は五十万円以下の罰金に処する。


第十八章 有価証券偽造の罪
 この章は、有価証券偽造罪(刑法162条1項前段)などを規定しています。

第十八章の二 支払用カード電磁的記録に関する罪
 この章は、クレジットカード等を不正に作成する支払用カード電磁的記録不正作出罪(刑法163条の2第1項)などを規定しています。

第十九章 印章偽造の罪
 この章は、公務員の印章等を偽造する公印偽造罪(刑法165条1項)などを規定しています。

第十九章の二 不正指令電磁的記録に関する罪
 この章は、サイバー犯罪において非常に重要な不正指令電磁的記録作成等罪(刑法168条の2)などを規定しています。
刑法168条の2第1項(不正指令電磁的記録作成及び提供罪)
正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、3年以下の懲役又は50万円以下の罰金に処する。


第二十章 偽証の罪
 この章は、偽証罪(刑法169条)や虚偽告訴罪(刑法172条)などを規定しています。

第二十二章 わいせつ、強制性交等及び重婚の罪
 この章は、サイバー犯罪でも非常に重要なわいせつな電磁的記録に係る記録媒体を頒布するわいせつ物頒布罪(刑法175条1項)などを規定しています。
刑法175条(わいせつ物頒布罪)
わいせつな文書、図画、電磁的記録に係る記録媒体その他の物を頒布し、又は公然と陳列した者は、2年以下の懲役若しくは250万円以下の罰金若しくは科料に処し、又は懲役及び罰金を併科する。電気通信の送信によりわいせつな電磁的記録その他の記録を頒布した者も、同様とする。


第二十三章 賭博及び富くじに関する罪
 この章は、賭博罪(刑法185条)などを規定しています。

第二十四章 礼拝所及び墳墓に関する罪
 この章は、礼拝所不敬罪(刑法188条1項)、死体損壊等罪(刑法190条)などを規定しています。

第二十五章 汚職の罪
 この章は、公務員が賄賂を収受するなどの収賄罪(刑法197条1項前段)などを規定しています。

第二十六章 殺人の罪
 この章は、殺人罪(刑法199条)、殺人予備罪(刑法201条、自殺関与罪(刑法202条前段)などを規定しています。

第二十七章 傷害の罪
 この章は、傷害罪(刑法204条)、暴行罪(刑法208条)などを規定しています。

第二十八章 過失傷害の罪
 この章は、過失傷害罪(刑法209条)、業務上過失致死傷罪(刑法211条前段)などを規定しています。

第二十九章 堕胎の罪
 この章は、堕胎罪(刑法212条)、不同意堕胎罪(刑法215条1項)などを規定しています。

第三十章 遺棄の罪
 この章は、遺棄罪(刑法217条)、保護責任者遺棄等罪(刑法218条)などを規定しています。

第三十一章 逮捕及び監禁の罪
 この章は、逮捕罪(刑法220条前段)、逮捕等致死傷(刑法221条)などを規定しています。

第三十二章 脅迫の罪
 この章は、脅迫罪(刑法222条1項)、強要罪(刑法223条1項)などを規定しています。

第三十三章 略取、誘拐及び人身売買の罪
 この章は、未成年者略取罪(刑法224条前段)、身の代金目的略取罪(刑法225条の2第1項前段)などを規定しています。

第三十四章 名誉に対する罪
 この章は、名誉毀損罪(刑法230条1項)、侮辱罪(刑法231条)などを規定しています。

第三十五章 信用及び業務に対する罪
 この章は、信用毀損罪(刑法233条前段)、威力業務妨害罪(刑法234条)、電子計算機損壊等業務妨害罪(刑法234条の2)などを規定しています。

第三十六章 窃盗及び強盗の罪
 この章は、窃盗罪(刑法234条)、強盗罪(刑法236条)などを規定しています。

第三十七章 詐欺及び恐喝の罪
 この章は、詐欺罪(刑法246条)、サイバー犯罪で重要な電子計算機使用詐欺罪(刑法246条の2)などを規定しています。

第三十八章 横領の罪
 この章は、横領罪(刑法252条1項)、遺失物等横領罪(刑法254条)などを規定しています。

第三十九章 盗品等に関する罪
 この章は、盗品譲受け罪(刑法256条1項)などを規定しています。

第四十章 毀棄及び隠匿の罪
 この章は、私用文書等毀棄罪(刑法259条)、器物損壊等罪(刑法261条)などを規定しています。
コメント(0) 
共通テーマ:パソコン・インターネット

Webビーコン等のファイル作成 [法律]

没になってしまった原稿なので、ここに書いておきます

Q.わが社のサーバに対して、特定の集団から、継続的な侵入行為が試みられているようです。同業者に対してもサイバー攻撃の情報を共有するためにも、どのような集団から侵入がなされているのかを確かめるために、わざと、攻撃者が窃取したくなるようなファイル名のドキュメントファイルをサーバに保存しておき、サーバに侵入した攻撃者がこのファイルを取得して、内容を確認するために開いた際、攻撃者のパソコン情報を、わが社のWebサーバに送信するようなプログラム、いわゆるWebビーコンプログラムを組み込んでおこうと考えています。このようなことは許されるのでしょうか。

A.攻撃者のパソコン情報を取得するプログラムをドキュメントファイルに組み込んでおき、これを窃取した攻撃者が開くことで、攻撃者のパソコン情報をWebサーバに送信させるようなプログラムを実行させることは、不正指令電磁的記録作成罪及び供用罪が成立する可能性があります。

1 Webビーコンファイルの活用
 本件設問のように、特定の集団から継続的な侵入行為を試みられることは、高度な技術力を有する企業や、防衛産業、航空産業の企業等の最先端技術保有企業に対してよく見られるサイバー攻撃です。このような最先端技術を有する企業は、高度なサイバー攻撃を受けやすいため、どのような集団がどのような攻撃手法でサイバー攻撃を仕掛けてくるのかを同業者間で情報共有を行い、防御対策を検討することは、非常に有効な連携であると考えられます。
 さらに一歩進めて、サイバー攻撃を行う集団の属性や攻撃元を特定し、攻撃者が狙っている標的を把握したり、国家の関与の有無を特定し、外交戦略の一つにしたりするために、ドキュメントファイルを活用する方法が検討されています(複雑化、巧妙化、高度化及び多様化されたサイバー攻撃から保護するためには、サイバー攻撃の情報収集や情報共有、攻撃者の属性把握、攻撃対象、攻撃目的等を把握し、攻撃者の攻撃コストを増加させる等のアクティブディフェンスが注目されています。https://en.wikipedia.org/wiki/Active_Defense)。これは、わざと脆弱な状態にしたおとりサーバであるハニーポットを構築したり、標的型攻撃としてマルウェア付きのメールが届いた際に、この添付されたマルウェアをおとりサーバであるハニーポットで実行して感染させたりすることで、攻撃者をおとりサーバにおびき寄せて情報を収集します。ハニーポットには、攻撃者が窃取したくなるようなファイル名のドキュメントファイルを保存しておき、攻撃者がこのファイルを取得し、攻撃者のパソコンで開いた際、用意したWebサーバに攻撃者のパソコン情報を送信するようにプログラムを組み込んでおき、攻撃者の情報を入手する手法です。
 このようなドキュメントファイルはWebビーコンと呼ばれ、例えば、Wordファイルを開いた際、企業が用意したWebサーバ(ハニーポットでも構いませんし、別のサーバを構築することでも構いません。)に対して、1x1ピクセルの画像ファイルを取得するように埋込んでおく方法が考えられます(例えば、〈img src="http://[企業のURLアドレス]/test.png" width="1" height="1" />などと記載します。)。これによって、企業が用意したWebサーバに対して、画像を取得するためにアクセスしてきたIPアドレスが保存されるため、攻撃者のIPアドレスを把握することができます。さらに、Webサーバから取得するデータを画像ではなく、Webページ自体をWordファイル上に表示させるような場合には、Webページに情報を収集するためのJavaScriptを組み込んでおき、攻撃者のパソコン上で動作させることによって、攻撃者の様々なパソコン情報を取得できる(HTML5のデバイスAPIを使用すれば様々なデバイス情報を取得することが可能になります。)ようにしておけば、より多くの攻撃者のパソコン情報を取得できる可能性があります。他にも、Webページにアクセスするようにした上で、当該Webページ上に、情報を収集するプログラムが勝手にインストールされるようにしている場合も考えられます。
 では、このようなWebビーコンファイルを攻撃者に窃取させ、開かせることは法律上問題は無いのでしょうか。Webビーコンファイルが不正指令電磁的記録に該当する場合には問題が生じますので、検討する必要があります。

2 不正指令電磁的記録作成及び供用罪
 このWebビーコンファイルについて、㋐「正当な理由がないのに」、㋑「人の電子計算機における実行の用に供する目的で」、㋒「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」を㋓「作成」した場合は、不正指令電磁的記録作成罪が成立し、㋐「正当な理由がないのに」、㋒このような電磁的記録を㋔「人の電子計算機における実行の用に供した」場合は、不正指令電磁的記録供用罪が成立します。
 不正指令電磁的記録作成罪は目的犯であり、㋑「実行の用に供する」目的が必要とされていますが、これは、パソコン等の使用者の意思とは無関係に勝手に実行されるようにする目的のことをいいます。一方、不正指令電磁的記録供用罪の場合は、㋔の「人の電子計算機における実行の用に供」する必要があります。これは、パソコン等の使用者が不正プログラムと認識せず、かつ、実行しようとする意思がないのに実行され得る状態に不正プログラムを置くことをいい、不正プログラムを電子メールに添付して送信し、受信した第三者のパソコン上で実行され得る状態にしたり、Webサイト上のファイルを第三者にダウンロードさせて、第三者のパソコン上で実行され得る状態にしたりすることをいいます。

3 Webビーコンファイルは不正指令電磁的記録作成罪に該当するか
(1) 不正指令電磁的記録該当性
 Webビーコンファイルは、Wordファイル等が有している機能を活用して実現することができます。Wordファイルを開いた際、画像ファイルを用意したWebサーバ上から取得し、Wordファイルに表示させる行為は、本来の機能を活用しているだけであり、一般的に認識すべき動作ともいえるため、意図に反せず何ら問題がないとも考えられます。
 しかし、例えば、ハードディスク上のデータを消去させるプログラムは本来問題がありませんが、攻撃者がこのプログラムを、画像ファイルを綺麗に表示させるプログラムであるとだまして、事情を知らない第三者に提供し、誤信した第三者が実行し、ハードディスク内のデータを全て消去させたという場合には、第三者である使用者の意図に反する動作をさせる不正な指令を与える電磁的記録に該当し、処罰対象になり得ます(「いわゆるコンピュータ・ウイルスに関する罪について」(2011、法務省)3頁参照、http://www.moj.go.jp/content/000076666.pdf)。
 このことからすれば、機密情報と信じた攻撃者がWordファイルを開いた際に、企業が用意したWebサーバ上から取得した画像ファイルをWordファイルに表示させることで、Webサーバのログに攻撃者のIPアドレスが保存され把握することができるため、このような指令の使い方は一般的な使用者の意図に反する動作とも考えられるように思います。しかし、IPアドレスを把握することができるのは、画像ファイルを取得した際の付随的効果であるため、画像ファイルを取得することができること自体を考えれば、やはり一般的な使用者が認識すべき動作と考えられるでしょう。
 仮に意図に反する動作といえる場合には、次に問題となる点は、このような画像ファイルを取得する指令が「不正な」ものに該当するかどうかであり、これは、当該指令が、社会的に許容し得るものであるか否かという観点から判断されます。不正指令電磁的記録が、「不正な」指令がある場合に限定されているのは、パソコン等の使用者の意思とは無関係に勝手に動作するプログラムであっても、社会的に許容し得るものが存在することから、このようなプログラムを除外するために設けられています。例えば、ソフトウェア制作会社がユーザーのパソコンに無断で修正プログラムをインストールし、バージョンアップしたプログラムでは機能が一部削除されたような場合には、ユーザーの意図に反することもあり得ますが、それが一般的に行われるものとして社会的に許容される場合には、不正な指令とはいえないと考えられます。
 画像ファイルを表示するWordファイルは、機能自体には何ら問題がないとしても、ファイルを開いた使用者の意図に反して無断でIPアドレスを取得することも含んでいます。もっとも、当該使用者が接続した時に、使用者のIPアドレスを取得することができるのは、画像ファイルを表示する機能に付随して可能になるため、社会的に許容されると判断される可能性は高いと考えられます。
 しかし、さらに進んで、画像ファイルを取得する際に、画像ファイルのパスを埋め込むのではなく、スクリプトが実行されるURLを埋め込み、当該ページにデバイスAPI等を用いて、接続した際に様々なデバイス情報を収集する場合や、別途情報収集のためのプログラムを勝手にインストールさせるような場合には、社会的に許容されるものとはいえず、「不正な」指令に該当する可能性が高いと考えられます。

(2) 正当な理由がない
 Webビーコンファイルが不正指令電磁的記録に該当するとしても、行為者に「正当な理由がな」ければ、不正指令電磁的記録作成罪は成立しません。ここで、「正当な理由がな」くとは、違法にという意味と解されていますので、違法性阻却事由の有無を検討する必要があります。
 違法性阻却事由には様々な事由がありますが、本件の場合は、サイバー攻撃の情報共有をするためや、どのような集団から侵入がされているのかを確かめるために実施することになりますので、正当防衛における「急迫不正の侵害」(刑法第36条第1項)や緊急避難における「現在の危難」(同法第37条第1項)には該当しないため、「正当な業務による行為」(同法第35条)かどうかが問題になります。
 正当な業務による行為、すなわち、正当業務行為は、犯罪の構成要件に該当したとしても違法性を阻却する事由として正当化されるため、厳格に考えるべきであり、行為の目的、手段・方法等の行為態様を考慮し、法秩序全体の見地から当該行為の違法性を判断すると考えられます。そうすると、自己のサーバを保護するためにおとりサーバを用いるというわけではなく、どのような集団から侵入がされているかを確かめる目的や攻撃者に関する情報の共有目的というだけでは、正当な業務目的ということはできないと判断される可能性が高いと考えられます。また、Webビーコンを用いた情報収集は、本来のWordの機能を用いて取得していますが、ファイルを開く攻撃者に秘匿して行われているのであり、その態様においても正当化されるとはいえない可能性が高いと考えられます。攻撃者は元々企業の情報を窃取しようとしていますが、だからといって、おとりサーバを用いて、不正プログラムであるおとりファイルを攻撃者に取得させ、実行させることによって情報を収集しようとすることが正当業務行為として許容されるわけではないと考えられます。
 これらのことから、設問のような理由では、正当な業務とはいえず、正当業務行為による違法性阻却事由が認められない可能性が高いと考えられます。

4 設問について
 Webビーコンファイルが不正プログラムに該当するかどうかが問題となり、これに該当する場合には不正指令電磁的記録作成罪が成立し、Webビーコンファイルを攻撃者に取得させて、攻撃者のパソコン上に保存され、いつでも実行され得る状態になった時点で同供用罪が成立する可能性があります。

コメント(0) 

ヤフーオークション事件(私電磁的記録不正作出罪事件)大阪高判平19.3.27 [法律]

オークション事件(大阪高判H19.3.27)
(1)ヤフー会員3名分のIDとパスワードを使用して不正アクセス行為をした
(2)ヤフー会員2名分のパスワードの変更処理をした
(3)ヤフー会員に成りすましてヤフオクにて入札を行ってこれを「落札した旨等の虚偽の情報を送信」したこと

・事務処理を誤らせる目的で、被害者のヤフーID及び被告人が不正に変更したパスワードを使用
・ある商品に対して合計22回、別の商品に対して各1回、いずれも虚偽の入札情報を送信し、サーバに接続された記憶装置に同情報を記憶蔵置させて、権利、義務に関する電磁的記録を不正に作り、ヤフー及び同会員の事務処理の用に供した
・しかし、各商品の落札情報に関する電磁的記録は、ヤフオクのシステム処理の結果にすぎず、被告人がこれを不正作出して供用したものではない
・(3)の事実について、「入札を行った旨の虚偽の情報を送信し」という変更後の訴因に基づいて有罪とした


本事例とは別の論点で争われ、上告されていたが棄却されたのが、以下の内容です。
不正アクセス罪の不正アクセス行為を手段として私電磁的記録不正作出の行為が行われたのは、牽連犯の関係であるかどうかについて、最高裁判所は、
「不正アクセス行為の禁止等に関する法律3条所定の不正アクセス行為を手段として私電磁的記録不正作出の行為が行われた場合であっても,同法8条1号の罪と私電磁的記録不正作出罪とは,犯罪の通常の形態として手段又は結果の関係にあるものとは認められず,牽連犯の関係にはないと解するのが相当である」
と判示し、上告棄却判決を出されている。

http://www.courts.go.jp/app/files/hanrei_jp/038/035038_hanrei.pdf
コメント(0) 
共通テーマ:パソコン・インターネット

電磁的記録不正作出罪の検討 [法律]

電磁的記録不正作出罪を調査しましたので、メモを残しておきます。

まず、適用される対象として、刑法3条をチェック
■刑法3条柱書
「この法律は、日本国外において次に掲げる罪を犯した日本国民に適用する。」

■刑法3条13号
「第159条から第161条まで(私文書偽造等、虚偽診断書等作成、偽造私文書等行使)及び前条第5号に規定する電磁的記録以外の電磁的記録に係る第161条の2の罪」

前条第5号は、刑法2条5号のことですので、
■刑法2条5号
「第154条(詔書偽造等)、第155条(公文書偽造等)、第157条(公正証書原本不実記載等)、第158条(偽造公文書行使等)及び公務所又は公務員によって作られるべき電磁的記録に係る第161条の2(電磁的記録不正作出及び供用)の罪」

刑法3条13号の前条第5号に規定する電磁的記録以外の電磁的記録は、公務所や公務員によって作られるべき電磁的記録ではない電磁的記録という意味になります。

つまり、日本国外において私電磁的記録不正作出罪及び供用罪を犯した日本国民に適用する隣、国民の国外犯適用があります。

■刑法161条の2第1項
「人の事務処理を誤らせる目的で、その事務処理の用に供する権利、義務又は事実証明に関する電磁的記録を不正に作った者は、5年以下の懲役又は50万円以下の罰金に処する。
■刑法161条の2第2項
「前項の罪が公務所又は公務員により作られるべき電磁的記録に係るときは、10年以下の懲役又は100万円以下の罰金に処する。」
■刑法161条の2第3項
「不正に作られた権利、義務又は事実証明に関する電磁的記録を、第一項の目的で、人の事務処理の用に供した者は、その電磁的記録を不正に作った者と同一の刑に処する。」
■刑法161条の2第4項
「前項の罪の未遂は、罰する。」

■「人の事務処理」
・人の事務処理の用に供する権利、義務又は事実証明に関する電磁的記録
・権利、義務に関するものは、オンライン化された銀行元帳ファイル記録、乗車券の磁気ストライプ部
・事実証明に関するものは、
 ・パソコン通信のホストコンピュータ内の顧客データベースファイル(京都地判H9.5.9)
 ・ネットオークション運営会社が管理するサーバコンピュータ内の会員情報に関する記録(大阪高判H19.3.27)
・事務処理とは、他人の財産上、身分上その他の人の社会生活に影響を及ぼし得ると認められる事柄の処理
→業務性、法律的事務、財産上の事務かは不要
■「目的」
・人の事務処理を誤らせる目的であり、不正に作出された電磁的記録を用いて他人の事務処理を誤らせる目的のこと
■「不正に作」出(不正に作った)
・不正に作出とは、権限なく又は権限を濫用して電磁的記録を作出すること
→記録の作出に関与する権限がない、あるいは権限があってもこれを濫用して記録を作出した場合
・作出には、記録を作り出すことのほか、既存の記録を部分的に改変、抹消することによって新たな電磁的記録を存在させた場合も含む

事例)オークション事件(大阪高判H19.3.27)
・インターネットオークションを運営管理するヤフーのサーバコンピュータに対し
 ・3名の会員のID及びパスワードを盗用し、計100回の不正アクセス
 ・2名の会員のパスワードを不正に変更したという虚偽の情報を送信
 ・会員に成りすましてオークションに出品された商品に対して入札した事実がないのにこれを落札した旨の虚偽の情報を送信
 ・情報をサーバコンピュータに記憶蔵置させた

コメント(0) 
共通テーマ:パソコン・インターネット

電磁的記録不正作出罪等 [犯罪]

電子計算機使用詐欺罪と電磁的記録不正作出・供用罪との違いについて、色々検討しました。

まとめられれば、記載します。
コメント(0) 
共通テーマ:パソコン・インターネット

不正指令電磁的記録作成等罪によって押収された電子データ [技術]

不正指令電磁的記録作成等罪によって押収された電子データを返還する際、消去して良いかどうかの疑問点について調査しました。

刑訴法498条の2が適用できるかどうかです。

同条第1項の「不正に作られた電磁的記録」とは、権限がないのに、又は権限を濫用して、記録媒体上に存在するに至らしめられた電磁的記録のことをいうため、不正指令電磁的記録とは異なる意味で、「不正に」が用いられていることが分かります。

そのため、電磁的記録不正作出罪(刑161条の2第1項・2項)や支払用カード電磁的記録不正作出罪(刑163条の2第1項)の犯罪行為によって作られた電磁的記録等がこれに当たることになり、不正指令電磁的記録作成等罪に該当する不正指令電磁的記録が該当するのかどうかは明らかではありません。


http://www.seirin.co.jp/pdf/009100s-rev-2.pdf
電磁的記録の没収として制定された刑訴法498条の2の解釈。
重要なので以下に引用します。

++++++++++++++++++++++++++++++++++++++++++++++++
第498条の2〔電磁的記録の消去等〕
1 不正に作られた電磁的記録又は没収された電磁的記録に係る記録媒体を返還し、又は交付する場合には、当該電磁的記録を消去し、又は当該電磁的記録が不正に利用されないようにする処分をしなければならない。
2 不正に作られた電磁的記録に係る記録媒体が公務所に属する場合において、当該電磁的記録に係る記録媒体が押収されていないときは、不正に作られた部分を公務所に通知して相当な処分をさせなければならない。

本条は、不正に作られた電磁的記録に係る記録媒体を返還等する場合には、当該電磁的記録を消去等しなければならないこととするものである。

⑴ 趣旨等

ア 電磁的記録とは、刑法7条の2において規定されているとおり、一定の記録媒体上に情報ないしデータが記録・保存されている状態を表す概念であり、電磁的記録は、常に、有体物である記録媒体上に記録・保存されている状態で存在するものであるから、刑法上、その没収は、文書偽造における偽造部分の没収と同様に、有体物の一部の没収として行うことができると考えられる。
 しかしながら、文書偽造における偽造部分の没収については498条においてその執行方法が規定されているのに対し、電磁的記録の没収についてはこのような規定が設けられておらず、その執行方法は必ずしも明らかでないと言わざるを得ない。
 そこで、これを明確にするため、498条と同趣旨の規定として本条が新設された。

イ 有体物の一部没収として電磁的記録のみを没収する場合、刑法19条2項前段の「犯人以外の者に属しない物」に当たるか否かは、当該電磁的記録に係る権利関係によって判断することになる。したがって、当該電磁的記録が犯人に属するのであれば、その没収は可能であると考えられる。

ウ 110条の2による電磁的記録の移転が行われた場合、元の記録媒体に記録されていた電磁的記録は、移転先の他の記録媒体上に移転後の電磁的記録として存在するに至っているものと評価されることから、元の記録媒体に記録されていた電磁的記録が没収の対象となるべきものであった場合には、これに対応する移転先の他の記録媒体上の電磁的記録が没収の対象となることとなる。
 他方、同条による電磁的記録の複写が行われた場合には、複写後も、原本たる電磁的記録は元の記録媒体上に存在しているのであって、元の記録媒体に記録されていた電磁的記録が複写先の他の記録媒体上に複写後の電磁的記録として存在するに至っていると評価されるわけではないことから、複写によって存在するに至った電磁的記録は没収の対象とはならないこととなる。

⑵ 第1項

ア 本項の処分をしなければならないのは、「不正に作られた電磁的記録又は没収された電磁的記録に係る記録媒体を返還し、又は交付する場合」である。
 「不正に作られた電磁的記録」とは、権限がないのに、又は権限を濫用して、記録媒体上に存在するに至らしめられた電磁的記録のことをいう。例えば、電磁的記録不正作出罪(刑161条の2第1項・2項)や支払用カード電磁的記録不正作出罪(刑163条の2第1項)の犯罪行為によって作られた電磁的記録等がこれに当たる。「没収された電磁的記録」が別途掲げられていることとの関係上、ここにいう「不正に作られた電磁的記録」には、「没収された電磁的記録」は含まれないこととなる。
 また、「没収された電磁的記録」とは、没収の言渡しの対象とされた電磁的記録のことをいう。
 「返還」は、その相手方が当該記録媒体の被押収者である場合を前提とするものであり、「交付」は、その相手方が当該記録媒体の被押収者ではない場合(例えば、110条の2により捜査機関の所有する記録媒体に移転された電磁的記録の一部について没収の言渡しがあった場合において、捜査機関が当該記録媒体の所有権を放棄するときなど)を前提とするものである。

イ 本項の処分としては、「当該電磁的記録を消去」するか、「当該電磁的記録が不正に利用されないようにする処分」をしなければならない。
 「消去」とは、消すことであるが、通常の方法では電磁的記録の内容を認識し得ない状態にすることによって行われることとなる。
 「当該電磁的記録が不正に利用されないようにする処分」としては、例えば、電磁的記録に複雑な暗号をかけて利用できないようにすること等が考えられる。

⑶ 第2項

 本項は、基本的に498条2項ただし書に相当する規定であり、同項本文に相当する、不正に作られた電磁的記録に係る記録媒体が公務所に属するものでない場合に当該記録媒体を提出させることについては規定していない。これは、電磁的記録は、物とは異なり、容易に複写できる性質を有していることから、あらかじめ、没収の対象となるべき電磁的記録が記録されている記録媒体の押収又は110条の2による当該電磁的記録の移転をしておかなければ、当該電磁的記録と没収の裁判時に存する電磁的記録との同一性を判断することは困難であることによる。
++++++++++++++++++++++++++++++++++++++++++++++++

コメント(0) 
共通テーマ:パソコン・インターネット

不正アクセス禁止法における不正アクセス罪の保護法益 [法律]

不正アクセス禁止法では、第3条に「何人も、不正アクセス行為をしてはならない。」規定し、不正アクセス罪を定義している。

不正アクセス行為は、第2条4項各号に定義がある。
2条4項
この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。
1号 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
2号 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
3号 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為


この不正アクセス罪を理解するために保護法益や罪質について検討しなければ、正確な理解をすることができないため、メモっておく。


本罪は、行政上の目的達成のためにする命令、禁止に違反するために犯罪とされる行政刑罰法規違反と考えられている。これは、行政上の目的自体が保護法益であり、犯罪の抑止力として機能している。また、アクセス制御機能に対する社会的信頼が保護法益である(同法1条)。

他の見解として、
・住居侵入罪の対比で捉える、アクセス制御機能に対する社会的信頼
・社会的機能に着目した公共危険罪
・本質は個人的法益であるアクセス管理者のシステム管理権であるが、公共的性格もあるため、アクセス制御機能に対する社会的信頼
・ネットワーク内部でのデータ処理の確実性とそれへの信頼、あるいはコンピュータ・データの処理に利害関係を有する不特定多数の者の、データ処理の確実性に対する信頼であり、最終的には利害関係人の個人的法益に還元されるべきであるが、このような個人が極めて多数人に及ぶため、社会的法益に対する罪
・アクセス制御機能の侵害を実質的な違法とする個人的法益に対する罪
がある。

なお、不正アクセス罪を不正利用や情報の窃取のための準備段階、予備的行為と位置付ける考え方もできなくはないが、予備という以上、不正アクセス行為の先に想定される犯罪の立法が先決と考えられるし、予備罪は本来重大な犯罪(殺人予備や放火予備等)に限定されているため、不正アクセス罪を予備的行為と見ることはできない。


コメント(0) 
共通テーマ:パソコン・インターネット

セキュリティキャンプ2018募集 [セミナー]

22歳以下の学生なら誰でも応募できるセキュリティキャンプ2018の募集が開始されました。

トップレベルのセキュリティ技術者から色々な話や実践的なことも体験できる素晴らしい取組みです。
費用もかからず、日本のすごい人たちが集まって切磋琢磨する5日間です。

期間
2018年8月14日(火)~18日(土)
場所
クロス・ウェーブ府中(東京都府中市日鋼町1-40)
募集人数
80名程度
参加費
無料
コメント(0) 
共通テーマ:パソコン・インターネット

オーディオテクニカ ATH-A700のイヤーパッドを交換 [音楽]

もう10年ぐらい使っている安いヘッドフォンのオーディオテクニカ ATH-A700ですが、イヤーパッドを交換できるというのを先日知って、早速購入して交換してみました。

イヤーパッドを外したところ
汚い。外側の合皮はボロボロになって全部剥がれました。
DSC_0843.JPG

本体側
DSC_0845.JPG

イヤーパッドの交換品
DSC_0846.JPG

出したところ
DSC_0847.JPG

開封したところ
DSC_0848.JPG

取扱説明書
DSC_0849.JPG

カラーのがネットにアップされていました。
オーディオテクニカのページ

向きのLRが縫い目で分かるそうなんですが、左右どちらも縫い目が分かりませんでした…


新しいイヤーパッドを片方ずつかぶせていくのですが、結構難しかったです。かなり強めに引っ張らないとカバー部が隙間に入らず、時間も両方で30分ぐらいかかりました。

無事に装着できました。
DSC_0850.JPG


久しぶりにヘッドフォンで聴いたので、良い音がして3時間ぐらい聴き入ってました。
コメント(0) 
共通テーマ:パソコン・インターネット

犯罪収益等収受罪 [法律]

犯罪収益等収受罪において、組織的犯罪による犯罪収益等に該当しなければならないかについて、大阪地判平成19年2月7日では、

「同法11条の文言上,犯罪収益等収受罪の成立要件として組織犯罪を誘発ないし助長するおそれが生じたことは必要とされていないこと,同法2条も,前提犯罪が組織的な形態で行われたことを犯罪収益が生じる要件とはしていないこと,さらに,同法が犯罪収益等の規制を設けた趣旨は,組織的な犯罪に経済的側面から対処するにとどまらず,合法的な経済活動に対する悪影響を防止するという目的も含まれると考えられること等に鑑みると,同法11条は,犯罪収益等にかかわる資金洗浄等の反社会性,法益侵害性の観点から,犯罪収益を収受する行為を一律に禁じたものであると解すべきである。したがって,暴力団等の組織的な犯罪を誘発,助長するおそれがないことが犯罪収益等収受罪の適用を排除すべき理由となるとは解されない」

と判示しており、犯罪収益を収受する行為は全て禁止されているとしています。

また、「同法11条所定の「情を知って」とは,その文言や,同条の趣旨に照らして,前提犯罪の行為状況及び収受に係る財産がその前提犯罪に由来することの認識を意味すると考えられ,その行為が違法であることの認識までも求めているものとは解されない」と判示しています。

参考
大阪地判平成19年2月7日
コメント(0) 
共通テーマ:パソコン・インターネット

犯罪収益移転防止法 [法律]

犯罪収益移転防止法は、主に特定事業者(銀行等の金融機関や仮想通貨交換業者(資金決済法2条8項))が行為の主体に該当しますが、一般顧客も行為の主体になる場合があります。

■1 顧客が特定事業者に対し、本人確認事項を偽ることをした者は、1年以下の懲役・100万円以下の罰金のいずれか、または両方が科されます。

■2 自己又は他人名義の口座等を譲り受け又は譲り渡した者は、1年以下の懲役・100万円以下の罰金のいずれか、または両方が科されます。
また、口座の譲渡等をするように、人に働き掛けたり、インターネットなどに広告を載せた者も同様です。

■3 自己又は他人名義の仮想通貨交換用情報等を譲り受け又は譲り渡した者は、1年以下の懲役・100万円以下の罰金のいずれか、または両方が科されます。
また、仮想通貨交換用情報等の譲渡等をするように、人に働き掛けたり、インターネットなどに広告を載せた者も同様です。

犯罪収益移転防止法

法27条
「顧客等又は代表者等の本人特定事項を隠蔽する目的で、第4条第6項の規定に違反する行為(当該顧客等又は代表者等の本人特定事項に係るものに限る。)をした者は、1年以下の懲役若しくは100万円以下の罰金に処し、又はこれを併科する。」

法28条
「他人になりすまして特定事業者(第2条第2項第1号から第15号まで及び第36号に掲げる特定事業者に限る。以下この条において同じ。)との間における預貯金契約(別表第2条第2項第1号から第37号までに掲げる者の項の下欄に規定する預貯金契約をいう。以下この項において同じ。)に係る役務の提供を受けること又はこれを第三者にさせることを目的として、当該預貯金契約に係る預貯金通帳、預貯金の引出用のカード、預貯金の引出し又は振込みに必要な情報その他特定事業者との間における預貯金契約に係る役務の提供を受けるために必要なものとして政令で定めるもの(以下この条において「預貯金通帳等」という。)を譲り受け、その交付を受け、又はその提供を受けた者は、1年以下の懲役若しくは100万円以下の罰金に処し、又はこれを併科する。通常の商取引又は金融取引として行われるものであることその他の正当な理由がないのに、有償で、預貯金通帳等を譲り受け、その交付を受け、又はその提供を受けた者も、同様とする。
2 相手方に前項前段の目的があることの情を知って、その者に預貯金通帳等を譲り渡し、交付し、又は提供した者も、同項と同様とする。通常の商取引又は金融取引として行われるものであることその他の正当な理由がないのに、有償で、預貯金通帳等を譲り渡し、交付し、又は提供した者も、同様とする。
3 業として前2項の罪に当たる行為をした者は、3年以下の懲役若しくは500万円以下の罰金に処し、又はこれを併科する。
4 第1項又は第2項の罪に当たる行為をするよう、人を勧誘し、又は広告その他これに類似する方法により人を誘引した者も、第1項と同様とする。」

法30条
「他人になりすまして第2条第2項第31号に掲げる特定事業者(以下この項において「仮想通貨交換業者」という。)との間における仮想通貨交換契約(資金決済に関する法律第2条第7項各号に掲げる行為を行うことを内容とする契約をいう。以下この項において同じ。)に係る役務の提供を受けること又はこれを第三者にさせることを目的として、仮想通貨交換業者において仮想通貨交換契約に係る役務の提供を受ける者を他の者と区別して識別することができるように付される符号その他の当該役務の提供を受けるために必要な情報(以下この条において「仮想通貨交換用情報」という。)の提供を受けた者は、1年以下の懲役若しくは100万円以下の罰金に処し、又はこれを併科する。通常の商取引として行われるものであることその他の正当な理由がないのに、有償で、仮想通貨交換用情報の提供を受けた者も、同様とする。
2 相手方に前項前段の目的があることの情を知って、その者に仮想通貨交換用情報を提供した者も、同項と同様とする。通常の商取引として行われるものであることその他の正当な理由がないのに、有償で、仮想通貨交換用情報を提供した者も、同様とする。
3 業として前2項の罪に当たる行為をした者は、3年以下の懲役若しくは50万円以下の罰金に処し、又はこれを併科する。
4 第1項又は第2項の罪に当たる行為をするよう、人を勧誘し、又は広告その他これに類似する方法により人を誘引した者も、第1項と同様とする。」
コメント(0) 
共通テーマ:パソコン・インターネット

ネットワーク型監視カメラと不正アクセス禁止法 [法律]

ネットワーク型監視カメラがデフォルトパスワードで運用されている場合、このカメラに第三者がアクセスし、ログインした場合は、不正アクセス禁止法の不正アクセス罪に該当するかどうかが明確ではないと考えられることから、考察してみたいと思います。

あくまでこれは私見であり、この考察に基づいた結果に対する責任を負うものではありません。


アクセス制御機能とは、
特定利用に係るアクセス管理者によって電子計算機に付加されている機能であり、特定利用をしようとする者により入力された符号が特定利用に係る識別符号(識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。)であることを確認して、特定利用の制限の全部又は一部を解除するもの(不正アクセス禁止法2条3項)


不正アクセス禁止法とネットワーク型監視カメラへのアクセス

1 監視カメラが公開されている場合

1-1 監視カメラの制御画面にパスワードが付されている場合(管理者1名)

1-1-1 当該パスワードがデフォルトの場合
 前提としてネットワーク監視カメラは電子計算機に該当するものとする。
 公開されている=不特定多数の人が閲覧可能
 制御画面にパスワードが付されている=制御画面は管理者のみアクセスできる
 公開されている画面と制御画面へのアクセスはパスワードを用いて区別しているため、パスワードは識別符号に該当する。
 よって、アクセス制御機能を有する電子計算機と考えられる。

 しかし、パスワードがデフォルトパスワードの場合、アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号(2条2項1号)に該当しない可能性がある。すなわち、第三者に知らせている符号と同視できることになる。この「第三者に知らせてはならないものとされている」とは、デフォルトパスワードは含まれないと考えられるが、どのような状況であれば第三者に知らせてはならないものとされているとはいえないとなるかは明確ではない。例えば、市場に流通している監視カメラであり、取扱説明書が公開されており誰でも当該説明書を入手でき、このデフォルトパスワードは一般的な名称であり、少し考えれば判明するほど流通している文字列であり、様々な掲示板等にも貼られて認識されているような場合は該当するといえそうである。しかし、ユーザ登録をしなければ取扱説明書を入手することはできないとか、監視カメラ自体が市場に流通せず、特定の製品とセットで付属するような監視カメラのような場合や特注品のような場合はどうだろうか。制御のためのURLアドレスやポート番号も通常とは違うものが使用されている場合もあるだろう。どの程度であれば、第三者に知らせてはならないものとされているとはいえないことに該当するかは、評価に該当すると考えられるため、慎重な検討が必要である。
 デフォルトパスワードが第三者に知らせてはならないものとされている符号ではない場合は、2条2項1号に該当せず、識別符号に該当しない。

 もっとも、デフォルトパスワードが識別符号に該当しないからといって、アクセス制御機能がない監視カメラにはならないと考えられる。アクセス制御機能は、パスワードの性質によって変わるものではなく、入力された符号が識別符号であることを確認して制限された特定利用を一部又は全部解除することなので、アクセス制御機能はあるかないかであり、パスワードによってその機能の有無が変わるのは不自然だと考える。

 デフォルトパスワードの場合はこれを入力しても、識別符号ではないけれども特定利用の制限を解除することができるのであり、デフォルトパスワードから異なるパスワードに変更していた場合は識別符号に該当し、これを入力して識別符号であることを確認して特定利用の制限を解除するものであり、アクセス制御機能はやはり存在する。

 そうすれば、デフォルトパスワードは識別符号ではなく、情報(識別符号であるものを除く)(2条4項2号)に該当し、2号不正アクセス罪の適用が考えられる。
 もっとも、デフォルトパスワードのまま監視カメラの管理者が放置しているのであれば、管理者の承諾があったものと認められ、2号不正アクセス罪の適用がないといえる可能性もある。
 
 以上をまとめると、
パターン1
①デフォルトパスワードは識別符号に該当しない場合→2号不正アクセス罪の可能性
②管理者の承諾があったと認められれば不正アクセス罪不成立

パターン2
①デフォルトパスワードは識別符号に該当しない場合→2号不正アクセス罪の可能性
②管理者の承諾があったと認められない→2号不正アクセス罪成立

パターン3
①デフォルトパスワードは識別符号に該当する場合→1号不正アクセス罪の可能性
②管理者の承諾があったと認められれば不正アクセス罪不成立

パターン4
①デフォルトパスワードは識別符号に該当する場合→1号不正アクセス罪の可能性
②管理者の承諾があったと認められない→1号不正アクセス罪成立


1-1-2 当該パスワードがデフォルトから変更されている場合
 公開されている=不特定多数の人が閲覧可能
 制御画面にパスワードが付されている=制御画面は管理者のみアクセスできる
 公開されている画面と制御画面へのアクセスはパスワードを用いて区別しているため、パスワードは識別符号に該当する。
 よって、アクセス制御機能を有する電子計算機と考えられる。

 識別符号に該当するパスワードを用いて制限されている機能を利用可能な状態にしているため、1号不正アクセス罪成立

1-2 監視カメラの制御画面にパスワードが付されている場合(管理者複数名)
 1-1と同様に考えられる。

2 監視カメラが公開されていない場合

2-1 監視カメラの確認画面、制御画面にパスワードが付されている場合(管理者1名以外は想定されていないと仮定)

2-1-1 当該パスワードがデフォルトの場合
 公開されていない=不特定多数の人が閲覧することはおよそ想定していない
 制御画面にパスワードが付されている=制御画面は管理者1名のみアクセスできる
 管理者1名のみがアクセスするためのパスワードは、他人と区別していないため、パスワードは識別符号に該当しない。
 アクセス制御機能は、入力された符号が識別符号であることを確認して特定利用の制限を解除するものであり、アクセス制御機能には識別符号を確認する必要がある。しかし、管理者が1名しかいない場合は、他人と区別していないため識別符号に該当しない。また、アクセス制御機能についても、入力された符号を「識別符号」かどうかを確認していないことになるから(1名しかいない場合はそもそも識別符号ではなくなるため)、アクセス制御機能の定義から外れる。
 よって、アクセス制御機能を有する電子計算機と考えられないとの結論になる。

 入力されたパスワードがデフォルトであり、第三者に知らせてはならないものとされている符合であっても、上記の検討から、このパスワードは識別符号に該当しない。
 
 識別符号に該当しないパスワードを用いて制限されている機能を利用可能な状態にした場合でも、不正アクセス罪は成立しないとの結論になる。
 
2-1-2 当該パスワードがデフォルトから変更されている場合
 2-1-1と同様に、アクセス制御機能がない電子計算機に該当するため、不正アクセス罪は成立しないとの結論になる。

2-2 監視カメラの確認画面、制御画面にパスワードが付されている場合(管理者複数名)

2-2-1 当該パスワードがデフォルトの場合
 管理者が複数いる場合は、識別符号に該当するため、アクセス制御機能が存在する電子計算機といえ、デフォルトパスワードが識別符号に該当するかどうかが問題となり、1-1-1と同様に考えられる。

2-2-2 当該パスワードがデフォルトから変更されている場合
 1-1-2と同様である。

コメント(0) 
共通テーマ:パソコン・インターネット

不正アクセスによる被害 [犯罪]

日産化学工業株式会社が7月5日に不正アクセスを受け、情報流出しています。

http://www.security-next.com/083583

4500件の氏名、メールアドレス、電話番号、住所、会社名、所属です。
7月4日に個人情報保護委員会に報告しているとのことで、迅速な対応だと思います。

世間的に一般ユーザが存在する著名な企業であればニュースになりますが、BtoBのような企業はそれほどニュースにならないのでしょうか。


この件は、あまり取り扱われていないようでした。ただ、現時点では、流出した人に対して連絡を取っていないように見えます。
どのような攻撃だったのでしょうかが、気になります。

SSD [パソコン]

現在デスクトップ用のメインドライブとしてSSDの128GBを使用しているが、色々インストールしてきたせいで空き領域が18GBになっている。

もう3年ぐらいは使っていると思うが、最近妙に速度低下をしてきた気がしている。

ベンチマークの結果
-----------------------------------------------------------------------
Sequential Read (Q= 32,T= 1) : 545.065 MB/s
Sequential Write (Q= 32,T= 1) : 259.954 MB/s
Random Read 4KiB (Q= 32,T= 1) : 358.817 MB/s [ 87601.8 IOPS]
Random Write 4KiB (Q= 32,T= 1) : 80.078 MB/s [ 19550.3 IOPS]
Sequential Read (T= 1) : 489.864 MB/s
Sequential Write (T= 1) : 203.600 MB/s
Random Read 4KiB (Q= 1,T= 1) : 18.378 MB/s [ 4486.8 IOPS]
Random Write 4KiB (Q= 1,T= 1) : 90.184 MB/s [ 22017.6 IOPS]


これを見るとWriteはやはり遅いと思うが、調子の良い時を知らないのでなんともいえないが。

イカタコウイルス [法律]

イカタコウイルスの第1審と控訴審を調べました。

第1審は東京地判平成23年7月20日、控訴審は東京高判平成24年3月26日です。

第1審は、ハードディスクをイカタコウイルスによって感染させたことは器物損壊罪に該当するとして、懲役2年6月を言い渡しました。
被告人は、ハードディスク自体の効用は害されていないとして控訴しましたが、控訴審では、原審の判断は正当であり、誤認等はないと判示しましたが、原判決後の事情等により原判決を破棄し、懲役2年4月を言い渡しました。

判決によりますと、器物損壊罪は、物理的に物の全部又は一部を害し、あるいは物の本来の効用を失わせる行為をいい(最判S25.4.21刑集4巻4号655頁)、①物自体を物理的に破壊する態様と、②物が持つ効用を侵害する態様があり、②は客体の効用を可罰的な程度に侵害したかどうかによって判断すべきであり、原状回復の難易をも考慮して検討すべきであると判示しています。

そして、ハードディスクの効用を害したとしてというには、読み出し機能及び書込み機能のいずれかの機能が失われて容易に回復できないのであれば、ハードディスクは本来の効用を失ったというべきであるとの具体的規範を述べています。

このような判決文の概要からは、ハードディスクに保存された電磁的記録の現状をも保護するように考えており、物理的なハードディスク+電磁的記録を一体として捉えているようにも思えます。電磁的記録だけの損壊と考えると、公用電磁的記録か、権利又は義務に関する私用電磁的記録でなければ処罰できないですし、ハードディスクのみと捉えると、被告人が主張していたように初期化すれば使用できるため、一体として捉えてその間隙を器物損壊罪で構成しようとしたように思えます。

当時の判決に対する解説・論考を読みますと、判決は不当とか、平成23年に新設された不正指令電磁的記録作成罪はこの器物損壊罪が成立しない状況を打破するためだったので無罪とした方が良かったとかが見受けられます。

しかし、物理的ハードディスクは初期化すれば使えるという被告人の主張は、ハードディスクと記録されたデータを一体として捉えるのであり、この初期化の仮定がない状態で考えるべきですので、初期化していない現在のウイルスに感染したハードディスクの状態を見て、効用を害したかどうか判断したように思います。
そうだとすれば、判決もあながち不自然なことを述べていないように見受けられます。

また、判決文でも指摘されているように、不正指令電磁的記録作成罪はプログラムに関する社会の信頼という社会的法益を保護法益としており、器物損壊罪とは異なる保護法益であり、影響を及ぼさないと思われます。


Microsoft MVP [セキュリティ]

この度、Microsoft MVPを受賞しました。

「Microsoft Most Valuable Professional(Microsoft MVP)とはマイクロソフトにより認定された、同社製品やテクノロジーに対して高度な知識と経験を持ち、コミュニティーやメディアにおいてその技術を幅広いメンバーと共有している個人を対象とした表彰制度、またその受賞者のこと。」
https://ja.wikipedia.org/wiki/Microsoft_Most_Valuable_Professionalから引用

自薦と他薦がありますが、今回は自薦です。

1年間の活動を対象に審査されるのですが、1年間色々なところで、サイバーセキュリティと法律を絡めた講演とかをしたので、それが評価されたようです。

今まで応募したことがなく、ダメ元で初めての応募をしてみたところ、無事に通過できましたので、非常に嬉しいです!

今後もサイバーセキュリティと法律を絡めて色々活動していきたいと思います。

MVP.png

GPS捜査判決の解説 [法律]

とりあえず、GPS捜査のことを書いておけば注目されるらしい。

という邪な考えではなく、現在GPS判決について調べているので、詳細は記載しないがさわりだけ触れてみる。

そもそもGPSとは、Global Positioning Systemのそれぞれの頭文字を取った略語であり、アメリカ合衆国によって、航空機・船舶等の航法支援用として開発されたシステムのことをいう。このシステムは、上空約2万kmを周回するGPS衛星(6軌道面に約30個配置)、GPS衛星の追跡と管制を行う管制局及び測位を行うための利用者の受信機で構成されています。GPS衛星から受信機までの距離は、GPS衛星から発信された電波が受信機に到達した際の時刻差に電波伝搬速度を掛けることにより求められる。衛星から発信される電波には、衛星の軌道情報・原子時計の正確な時間情報などが含まれており、3次元座標(x、y、z)及び正確な時刻(t)を求めるために4元連立方程式により正確な位置を計測できる。

このGPSを利用したGPS捜査には、対象車両にGPS端末を取り付けて監視を行う接触型と、対象者が所有している携帯端末に対して電気通信事業者から位置情報の提供を受ける非接触型とがあり、本件で問題となっているのは接触型の捜査手法である。

GPS捜査には様々な特徴や問題があり、電波の伝搬範囲であれば①常時、②容易に、③相当程度正確に④長期間位置情報を取得できること、⑤プライバシーの保護の期待が強い場所であっても行動を把握できること、⑥対象者に気付かれずに位置情報を取得できること、⑦取得した位置情報を記録として蓄積できること、⑧違法に位置情報を取得された場合に権利回復を図る機会が与えられていないこと、⑨位置情報の探索結果を取得・集積し、他の様々な情報と合わせて分析・利用することによって対象者の親族や交友関係等のプライバシー情報まで網羅的に取得し得ることなどが挙げられる。

このGPS捜査の法的性質について、学説上、色々な争いがあった。
GPS捜査の法的性質について大別すると、GPS捜査は常に強制処分であるとする強制処分説、捜査の在り方次第で任意処分にも強制処分にもなる二分説に分かれ、さらに、GPS捜査を強制処分と考えた場合に、現行法上の令状に基づき実施できるとする積極説、新たな立法措置がなければ実施できないとする消極説に分かれる。

最高裁は、GPS捜査は強制処分であり、令状が必要だとしており、最高裁の判断の特徴は、①GPS捜査手法一般について、GPS端末を個人の所持品に秘かに装着して個人のプライバシーを侵害し得るものであり、公道上を尾行することやカメラ撮影することとは異なり、公権力による私的領域への侵入を伴う捜査であること、②憲法35条は、住居、書類及び所持品に準ずる私的領域に侵入されることのない権利が含まれるとしたこと、その上で、③私的領域である個人のプライバシーを侵害し得るGPS捜査は、個人の意思を制圧して憲法の保障する重要な法的利益を侵害するものであり、令状がなければ行うことができない強制処分であること、を明らかにした点にある。

令状の種類として、GPS端末を取り付けた車両からの電波を受信して、警察官らが操作して車両の所在と移動状況を把握することになるため、刑事訴訟法上の検証と同様の性質を有することになると考えられる。しかし、車両にGPS端末を取り付けることにより、元々存在する情報を収集するのではなく、新たにGPS端末によって位置情報を収集可能な状態にした上で、車両の所在の検索を行う点において、検証では捉えきれない性質をも有する。

また、刑訴法上の各種強制の処分については、手続の公正の担保の趣旨から、原則として事前の令状呈示が求められているが(同法222条1項、110条)、GPS捜査は、被疑者らに知られないようにする必要があるため、事前の令状呈示を行うことはできない。もっとも、他の手段によって同趣旨が図られ得るのであれば良いが、どのような手段を選択するかは、一次的には立法府に委ねられていると解されている。

仮に法解釈によりGPS捜査を許容する場合、裁判官が発付する令状に様々な条件を付ける必要が生じるが、的確な条件の選択を行わない限り是認できないような強制処分を認めることは、法の趣旨に沿うものとはいえなくなる。

結果的に、最高裁は、「以上のとおり、GPS捜査について、刑訴法197条1項ただし書の「この法律に特別の定のある場合」に当たるとして同法が規定する令状を発付することには疑義がある。GPS捜査が今後も広く用いられ得る有力な捜査手法であるとすれば、その特質に着目して憲法、刑訴法の諸原則に適合する立法的な措置が講じられることが望ましい。」として、GPS捜査を行うためには立法的な措置を講じる必要性があると判示した。

GPS捜査は令状なくして行うことのできない強制処分であるにもかかわらず、本件GPS捜査は令状なく行われたのであるから違法であり、第1審判決を支持し、違法収集証拠排除法則により、本件GPS捜査によって直接得られた証拠及びこれと密接な関連性を有する証拠の証拠能力を否定した。しかし、その他の証拠については、本件GPS捜査に密接に関連するとまでは認められないとして証拠能力を肯定した。そしてこれらの証拠能力ある証拠に基づいて被告人を有罪とした第1審判決は正当であること、第1審判決を維持した控訴審判決の結論自体に誤りはないので、上告は棄却され被告人は懲役5年6月の有罪判決が確定した。

GPS捜査判決 [法律]

平成29年3月15日
最高裁はGPS捜査に対して違法の判決を出しました。

これから色々なところで評釈等が出てくるものと思われます。

判決全文
記事

警察にとってはかなり厳しい判決であり、GPS捜査は令状なくしたのは違法、検証令状もダメ。立法措置を講じよ、という内容です。

この争いは違法収集証拠排除法則の適用範囲が問題になり、従前どおりの密接的な関連性がある証拠に限って証拠能力を否定し、通常の関連性だけでは証拠能力は肯定し、これらの証拠能力ある証拠からは被告人を有罪認定できるため、結論としては高裁で問題なしとしました。


そもそもそのような流れになるのを分かっていて弁護人は主張したのであり、GPS捜査を違法かどうかのみを争わせるためだけに上告したといっても良いと思います。

GPS捜査は違法
→重大な違法がある
→だから、違法収集証拠排除法則も変更・拡張して、関連性ある証拠も全部証拠能力を否定して、証拠として採用させないようにしたい

という流れですかね。

役員等の善管注意義務 [法律]

以前からの課題ですが、サイバー攻撃を受けた際の、役員等の善管注意義務違反が発生しないようにするにはどうするのか、というのはかなり難しい問題です。

内部統制システムの問題には2種類あると思います。
1つ目は、事案が発生したことを想定して内部統制システムを構築する義務を果たしていたかという問題
2つ目は、事案が発生したときに適切な対応を取るための内部統制システムが適切に機能していたかという問題

内部統制システムの本でかなり色々記述されて分析されている本
内部統制システムの法的展開と実務対応
は、まだ一部分しか読んでいませんし、情報セキュリティとは少し異なりますが、内部統制システムの判例の詳細な分析がスゴイです。

旬刊商事法務 No.2117 (11月25日号)情報漏えいと取締役の内部統制システム構築義務」は、ガイドライン、事例を用いて分析されていますが、抽象的な話にならざるを得ません。


ネットの記事は、色々ありますが、薄いのが多い印象です。

この辺りをもっと詰めて行きたいと思います。

労働法 [法律]

労働法は、企業法務をしていると色々なところで出くわします。

そもそも、労働法という法律はなく、労働基準法、労働契約法、労働組合法が基本的な法律に男女雇用機会均等法、最低賃金法なども含めて労働法と呼ばれているにすぎません。

行政法も同じで、行政法という法律はなく、行政事件訴訟法、国家賠償法などを含めて行政法と呼ばれているにすぎません。

労働法の簡易な冊子があります。
冊子のリンク



労働法が色々絡んでくるのは、企業は従業員を雇うのが通常なので、雇用契約による雇用関係が発生し、色々な規則・規程を定めて拘束して、義務を課す代わりに権利を保障しています。また、これはしてはいけない、これはしても良いという予測可能性を与え、違反したら処分等の手続きが適切かどうかを定めて、事後対策を行うためにも必要です。


パワハラ案件、セクハラ案件、懲戒処分案件、退職案件、刑事事件の対応も含めて労働関係問題って色々あります。


以前記事に書いた裁判例として、不正アクセスと公益通報制度の関係は、懲戒解雇をした従業員は、内部通報目的のため、情報を収集する必要があり不正アクセスをしたのであるから違法では無く、違法では無いから、懲戒解雇をする根拠となる懲戒該当事由が不存在という主張の事案でした。

それ以外にも内緒で副業(兼業や二重就職ともいいます。)をした従業員に対する処分のための要件、さらには、退職後に在職中の懲戒処分事由が存在したため、退職金返還請求が可能かというのもよく出てきます。

リモートアクセスによる複写の処分の違法(リモート差押え) [法律]

平成28年3月17日に横浜地裁で判決があった、リモートアクセスによる複写の処分が違法であり、違法収集証拠として検証結果を排除しました。

今度、某所でこの判例を含めて話をしますが、当時の警察官も決裁官も検事も責任は重いと思うなぁ。

・携帯電話不正利用防止法違反及び偽造有印公文書行使幇助により通常逮捕
・被告人のコンピュータを差押えた
・捜索差押許可状には、リモートアクセスによる複写の処分の許可あり(218条2項、219条2項)
・捜索差押時にログインパスワードが不明
・検証許可状を請求し、送受信メールをダウンロード
・218条2項は、差押えに伴う処分=差押えに先立って行われるもの≠差押終了後に行うことは想定外
・検証許可状はあくまでパソコンに対して許可≠ンターネットに接続し、メールサーバにアクセスすることが当然に認められることではない
・本件検証はメールサーバの管理者等の第三者の権利・利益を侵害する強制処分にほかならない
・必要な司法審査を経ずに行ったのは違法
・メールサーバコンピュータが他国に存在する可能性
・他国の主権に対する侵害が問題となり得るもの
・外国に存在すると認められる場合には、基本的にリモートアクセスによる複写の処分を行うことは差し控え、国際捜査共助を要請する方法が望ましい


http://mainichi.jp/articles/20160318/k00/00m/040/142000c


ポイントは、リモート捜索差押が認められたのは、差押えに先立って行われる場合であり、かつ、国内にサーバがある場合。
差押え後にリモート差押えをしたいのであれば、国際捜査共助を要請すべきであるし、国外にある場合も同様である。

検証令状でリモート差押えと同一のことができると考えたのは、どうしてなのかは分かりません。過去にも別の捜査で同じようなことをしていたのかもしれません。
裏話をどこかで聞いてみたい。


最後に、国外にある場合になぜ国際捜査共助を要請すべきであるとされるのかは、サイバー犯罪条約32条が重要になるため、記載しておきます。
第32条 蔵置されたコンピュータ・データに対する国境を越えるアクセス(当該アクセスが同意に基づく場合又は当該データが公に利用可能な場合)締約国は、他の締約国の許可なしに、次のことを行うことができる。
a 公に利用可能な蔵置されたコンピュータ・データにアクセスすること(当該データが地理的に所在する場所のいかんを問わない。)。
b 自国の領域内にあるコンピュータ・システムを通じて、他の締約国に所在する蔵置されたコンピュータ・データにアクセスし又はこれを受領すること。ただし、コンピュータ・システムを通じて当該データを自国に開示する正当な権限を有する者の合法的なかつ任意の同意が得られる場合に限る。


福井地裁平成28年3月30日判決(公益通報と不正アクセス) [法律]

信用金庫の従業員らが理事長らのメールファイルに無断で多数回にわたりアクセスし、大量の文書を閲覧、印刷する等し懲戒解雇された場合において、公益通報目的が否定され、懲戒解雇が有効とされた事例

第1 請求
 A信用金庫に雇用されてA信用金庫の業務に従事していた原告ら(X1及びX2)が、職務上の必要も権限もないのに、A信用金庫理事長らのメールファイルに無断でアクセスを行い、メールに添付されていた機密文書を印刷する等不正アクセス行為の禁止等に関する法律に違反する行為をしたとして、A信用金庫が原告らに異動を命じた上、平成25年12月17日に懲戒解雇をした。
 原告らは、上記移動命令の発令等が不法行為に当たり、上記懲戒解雇は懲戒権を濫用したものであるから無効かつ原告らに対する不法行為に当たるなどと主張して、原告らが吸収合併によりA信用金庫の権利義務を包括的に承継した被告に対して労働契約上の権利を有する地位にあることの確認を求めるとともに、被告に対し、労働契約に基づき、同日までの賃金及び賞与並びにこれらに帯する各支払日の翌日からの商事法定利率年6部の割合による遅延損害金の支払、不法行為に基づき、慰謝料200万円及びこれに対する不法行為の日からの民法所定の年5分の割合による遅延損害金の支払をそれぞれ求めた。

第2 争点及び当事者の主張
1. 争点
(1)ア 原告らは公益通報を目的として本件アクセス等を行ったか。
(1)イ 本件懲戒解雇が社会通念上相当でないといえるか。
(2)ア 本件異動命令の発令等が不法行為に当たるか。
(2)イ 本件懲戒解雇が不法行為に当たるか。
(2)ウ 原告らの損害額
(3) 原告らに対する未払及び本件判決確定までの賃金及び賞与の額


2. 当事者の主張
(1) 争点(1)アについて
 ア 原告らの主張
 ・原告X1は、職員間のうわさで耳にしていたA信用金庫の不正を糺す目的で、公益通報の用に供するための不正融資の情報を得ようと、業務の合間にA信用金の理事長らのメールファイル等を閲覧していた。
 ・平成22年11月中頃、X1は、X2が自分と同様にA信用金庫の不正融資について調べていることに気付き、X2に対し、本件メールファイル等にアクセスすることができる旨を伝えた。
 ・原告らは公益通報を行うことを目的として、本件不正アクセスを行った。
 ・本件アクセス等は、A信用金庫における不正融資の証拠資料を取得して公益通報を行うことを目的とするものであるから、就業規則69条1項、公益通報者保護法ないしその趣旨からすれば、懲戒事由に該当せず、仮に該当しても違法性が阻却されるべき。

 イ 被告らの主張
 ・原告らが印刷した文書には本件融資問題とは全く関係のない不祥事関係の文書や不祥事とも関係しない文書も含まれていた。
 ・原告らは、2年以上前に作成された資料等にもアクセスが可能であったにもかかわらず、それをしていなかった。
 ・原告らが実際に公益通報を行った事実はない。
 ・本件懲戒解雇に先立つ事情聴取において、原告らは興味本位で本件アクセス等を行った旨述べていたことからすれば、原告らが公益通報を目的として本件アクセス等を行ったものでないことは明らかである。

(2) 争点(1)イについて
 ア 原告らの主張
 ・ログインIDとパスワードはいずれも職員番号を入力するという、簡易のものである。
 ・原告らが添付ファイルを印刷したのは、支店の端末からアクセスした添付ファイルを閲覧して内容を把握するには時間的制約があったこと、公益通報のためには証拠化しておく必要があったことによるものであって、悪意を持って多数印刷を行ったわけではない。
 ・不正融資問題にかかわらない内容であるものは、すぐにシュレッダーにかけて廃棄した。
 ・本件懲戒解雇後に警察に提出などしたことから、A信用金庫の不正融資が明らかになった。
 ・本件懲戒解雇は社会通念上相当ではないというべきである。

 イ 被告らの主張
 ・本件アクセス等は、金融機関であるA信用金庫の対外的信用を大きく損なうものであり、重大な非違行為である。
 ・原告らは、A信用金庫による事情聴取に対し、当初は不正アクセスの事実自体、全く覚えていないと完全に否認し、A信用金庫から調査結果を突きつけられてようやく認め、不正にアクセスしたファイルを印刷していたことについても否認していたが、防犯カメラの録画映像等を突きつけられてようやく認めるなど、ひたすら事実を隠し続け、客観的証拠により否定できなくなった部分のみをその都度認めるという不誠実な態度を取っていた。
 ・本件アクセス等が公益通報者保護法とは何の関係もないものであるのに、自らの行為を正当化するためにそれが公益通報を目的とするものであったなどと主張するに至った。
 ・本件懲戒解雇は社会通念上相当な処分である。

(3) 争点(2)アについて
 ア 原告らの主張
 ・原告らに対し、本件異動命令により総合企画部への異動を命じ、原告らを電話等外部との通信手段が断絶され、監視カメラが設置された机一つの部屋に隔離し、損券、損貨の処理等の無意味な雑務を強いた。
 ・A信用金庫は、原告らの賞与につき明らかに不当な減額査定を行うとともに、原告らに対し、退職金を支払うから諭旨退職の扱いで辞めてくれないかと執拗に迫った。
 ・本件異動命令は、原告らに対して報復し、制裁を加えるため、原告らを単純労働に従事させ、評価や給与を下げて業務を制限するなどして、原告らが自ら退職を申し出るような環境に置くことを目的とする不当な退職勧奨であり、その発令等は不法行為に当たる。

 イ 被告らの主張
 ・原告らは、懲戒解雇に相当する犯罪的行為をした職員であるから、処分が決まるまでは、原告らに通常の業務を任せるわけにはいかず、他の職員と同じ職場に置くわけにもいかなかった。
 ・原告らを自宅待機とすることも考えられたが、事実関係の調査にはかなりの時間がかかると見込まれた。
 ・原告らから更に事情聴取をする必要もあった。
 ・A信用金庫は、当面の措置として本件異動命令を発令した。
 ・本件異動命令は、処分が決まるまでの一時的かつ臨時のものであったから、結果として原告らに雑務的な業務を行わせざるを得なかったものである。
 ・A信用金庫は、原告らに対して諭旨退職を打診したが、原告らを慮って非公式に行ったものに過ぎず、退職を強要したわけではない。
 ・本件異動命令の発令等が不法行為に当たるとはいえない。

(4) 争点(2)イについて
 ア 原告らの主張
 ・本件アクセス等は公益通報を目的として行われたものであるから、懲戒解雇事由には該当しない。
 ・A信用金庫は原告らに対して報復し、また、組合の中心人物であるX1を解雇して組合を弱体する目的をもって原告らを懲戒解雇したものであり、本件懲戒解雇は原告らに対する不法行為に当たる。

 イ 被告らの主張
 ・本件懲戒解雇は、原告らが本件アクセス等を行ったことを懲戒事由とするものであり、適法かつ有効であるから、不法行為には当たらない。

(5) 争点(2)ウについて
(略)

(6) 争点(3)について
(略)

第3 裁判所の判断

1.争点(1)ア
 ・本件アクセス行為は、不正アクセス禁止法違反の行為であるから、本件就業規則68条の2第4号所定の懲戒解雇事由の一つである犯罪行為に該当するものと認められる。
 ・原告らは、本件アクセス等は、公益通報をするために行ったものであり、懲戒事由に該当せず、該当するとしても違法性が阻却されると主張する。
 ・しかし、
①H23.11.1~H24.5.28までの約7カ月間に原告らが文書ファイルの印刷を行ったのは合計で7日間にとどまっていること、
②印刷頻度は著しく低いこと、
③本件不正融資に関する文書を印刷したのは1日のみであり、それ以外はおよそ無関係と思われるものが多く、不正融資とは全く関連性のないものまで含まれていること、
④H24.5.29以降はアクセス等の頻度や回数が増えているが、やはり不正融資とは関連性が薄いと思われる不祥事に関するものが大量に印刷されていること、
⑤過去に遡ってこれに関係する資料を探索することが考えられるし、かつ、それが不可能又は困難であったことをうかがわせる証拠はないのに、原告らは、過去に遡って閲覧・印刷することは一切行っていないこと、
⑥警察からの求めがあっても本件アクセス等によって取得した資料を警察等には一切提出していないこと、
など、公益通報の目的に供されたことを裏付ける客観的な事情や的確な証拠は見当たらない。
 ・本件アクセス等が、公益通報を行うことを目的とするものであったとは認められない。

2.争点(1)イ
 ・金融機関は、顧客の信用情報その他の機密情報を厳格に管理・保持すべき重大な義務を負う。
 ・機密情報が外部に流出することは、顧客との信頼関係を害し、金融機関としての信用を損ね、事業の遂行を著しく困難ならしめる事態を招きかねない。
 ・原告らが本件アクセス等によって閲覧・印刷した文書には、不正融資に関するものの他、金融庁検査に関する文書やA信用金庫職員の不祥事に関する文書等が多く含まれていることが認められる。
 ・これに関する文書には、顧客の信用情報その他の機密情報が多分に記載されている可能性が高い。
 ・原告らの行為は、A信用金庫の金融機関としての信用を損ね、事業の遂行を著しく困難ならしめる危険を有するものといえる。
 ・原告らの本件アクセス等の期間、回数、範囲等をも考慮すると、その非違行為の態様及び結果は重大であると評価せざるを得ず、原告らがA信用金庫の不正を糺すという正当な目的・動機を有していたとしても、そのことのみをもって正当化されるものではない。
 ・原告らの本件アクセス等が公益通報目的で行われたとは認められない。
 ・本件懲戒解雇が社会通念上相当でないものとは認められない。
 ・本件懲戒解雇は、懲戒権を濫用してしたものとは認められず、無効であるとはいえない。

3.争点(2)ア
 ・本件アクセス等はA信用金庫の信用を毀損する重大な非違行為である上に、本件異動命令の発令当時、本件アクセス等の動機、目的、経緯等について、原告らから合理的な説明が得られたとはいい難い状況にあったのであるから、A信用金庫が、原告らに対する処分が決まるまでの間、通常業務に従事させることはできないと判断したとしてもやむを得ない。
 ・A信用金庫は、本件異動命令を発令するに当たり、三回にわたって原告らに対する事情聴取を行い、本件アクセス等に係る原告らの弁解・弁明を慎重に確認していることから、本件異動命令には合理的な理由があった。
 ・諭旨退職という扱いでの退職勧奨をしたことが認められるが、本件アクセス等が重大な非違行為であって、処分の選択肢として懲戒解雇も十分に考えられる状況において、懲戒解雇という重大な処分を選択する前に自ら退職するように勧めることが直ちに不当であるとはいえない。
 ・本件異動命令の発令等が、原告らに対する報復・制裁を目的とする不当な退職勧奨であるとは認められず、不法行為に当たるとはいえない。

4.争点(2)イ
 ・本件懲戒解雇は、A信用金庫が懲戒権を濫用したものとは認められず、違法とはいえないから、本件異動命令の発令等及び本件懲戒解雇は、いずれも不法行為に当たるとはいえないから、原告らの不法行為に基づく損害賠償請求は理由がない。

5.結論
 原告らの請求には理由がなく、棄却。

第4 補足
1.公益通報保護制度
(1) 目的
 公益通報保護法の目的は、公益通報者の保護を図るとともに、国民の生命、身体、財産その他の利益の保護にかかわる法令の規定の遵守を図り、もって国民生活の安定及び社会経済の健全な発展に資すること。

(2) 公益通報
 労働者が、不正の目的でなく、労務提供先等について通報対象事実が生じ又は生じようとする旨を、通報先に通報すること。

(3) 公益通報者の保護
 保護要件を満たして公益通報した労働者(公益通報者)は、以下の保護を受ける。
 ・公益通報をしたことを理由とする解雇の無効・その他不利益な取扱いの禁止
 ・公益通報者が派遣労働者である場合、公益通報をしたことを理由とする労働者派遣契約の解除の無効・その他不利益な取扱いの禁止

2.不正アクセス禁止法
(1) 目的
 不正アクセス行為の禁止等に関する法律(以下「不正アクセス禁止法」という。)は、不正アクセス行為を禁止するとともに、これについての罰則及びその再発防止のため不正アクセス行為を受けたアクセス管理者に対する都道府県公安委員会による援助措置等を定めることにより、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与すること。

(2) 適用条文
 本件において適用される条文は、不正アクセス禁止法第3条であり、同条は、「何人も、不正アクセス行為をしてはならない。」と規定し、同法11条は「第3条の規定に違反した者は、3年以下の懲役または100万円以下の罰金に処する。」と規定されている。
 また、不正アクセス行為は、同法2条4項各号に規定され、本件に該当するのは、同項1号である。
「アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)」」

 同法3条は、「不正アクセス罪」であり、本罪が成立するためには、
㋐電気通信回線(インターネット等)に接続されているコンピュータに対して、
㋑電気通信回線を通じてコンピュータへのアクセスが行われ、
㋒他人の識別符号又はアクセス制御機能による特定利用の制限を免れることができる情報又は指令が入力され、
㋓アクセス制御機能によって制限されている特定利用をすることができる状態にさせたもの(セキュリティホールを衝いた攻撃のように、特定利用をすることができる状態だけではなく、特定利用ができる行為も含む。)
を満たす必要がある。

(3) あてはめ
 本件は、電気通信回線に接続されているメールサーバに対して、電気通信回線を通じてメールサーバへのアクセスが行われ、理事長の識別符号である職員番号のID及びパスワードを入力し、アクセス制御機能によって制限されていたメールシステムを利用することができる状態にさせている。そして、原告らは、メールシステムを閲覧しようとしてメールシステムへアクセスするために識別符号を入力しており、故意に欠けるところはない。
 不正アクセス禁止法において、ID及びパスワードという識別符号の入力行為だけで不正アクセス罪は成立するのであり、その後の、添付ファイルを閲覧したり印刷したりしたことは、不正アクセスが行われたことを事後的に確認するものに過ぎず、これらの行為をもって不正アクセスというわけではないと考えられる。

(4) 参考裁判例
 本件の参考となる判例として、福岡高宮崎支判平成14年7月2日(以下「参考判例」という。)がある。
 参考判例は、Y信用金庫の従業員X1、X2がその管理している顧客に関する信用情報等の記載されている文書を業務外の目的でしようするために許可を得ないで取得した行為などが就業規則所定の懲戒事由に該当するとしてYがXらに対してした懲戒解雇の効力が争われた事案につき、第一審判決が、Xらの行為は、信用金庫内の不正行為を摘発する目的によるものであったとしても、懲戒解雇事由である窃盗(職場内外における刑事犯又はこれに類する行為)に該当するとして、懲戒解雇を有効としたのに対し、Xらの行為は、形式的に窃盗に該当するとしても、直ちに窃盗罪として処罰される程度に悪質なものとは解されないので、懲戒解雇事由である職場内外における刑事犯又はこれに類する行為に該当しないか、仮に該当するとしても、Xらを懲戒解雇する相当性を欠き、権利の濫用に当たるなどとして、懲戒解雇を無効とした控訴審判決である。

 Xらは、平成7年の秋頃から、Yの職員から、顧客とY支店職員との不正な関係の疑惑について事情を聴取し、一方でオンライン端末機を利用してY管理に係るホストコンピュータにアクセスし、平成8年2月7日に本件信用情報を印刷して当該印刷文書を取得するなどして、事実関係の確認及び資料の収集を行った。
 これら各印刷した文書及び写しは、いずれもYの所有物であるから、これを業務外の目的に使用するため、Yの許可なく業務外で取得する行為は、形式的には窃盗に当たるとはいえなくはない。
 しかし、就業規則の表現上、懲戒解雇事由として予定しているのは、刑罰に処される程度に悪質な行為であると解される。
 Xらが取得した文書等は、その財産的価値はさしたるものではなく、記載内容を外部に漏らさない限りはYに実害を与えるものではないから、これら文書を取得する行為そのものは直ちに窃盗罪として処罰される程度に悪質なものとは解されず、就業規則規程には該当しないというべきである。

 本件と比較すると、本件アクセス等は、形式的には不正アクセス罪に該当し、期間、回数、範囲等から、その態様、結果についても実質的に重大であり、悪質なものと解することができ、刑事犯又はこれに類する行為に該当する可能性が高いといえる。また、IDとパスワードが職員番号であり簡易なものであるとしても、これをもって直ちに制御機能がないとまではいえないことから、結論を左右するものとはいえない。

 したがって、参考判例とは異なり、懲戒解雇することが無効とまではいえないのではないだろうか。

 軽微な窃盗と不正アクセス行為との関係性、本来の不正行為の摘発の目的の有無などが大きく異なるといえそうである。

2016年10月最近のサイバー攻撃等事犯 [セキュリティ]

■東急ハンズの通販サイトに不正アクセス、カード情報など861人分流出か
http://itpro.nikkeibp.co.jp/atcl/news/16/100302878/

■エンファクトリーで個人情報約3万8000件流出の可能性 クレジットカード情報も流出か
http://www.excite.co.jp/News/it_g/20161003/Itmedia_nl_20161003072.html
カード含む個人情報3.8万件が漏えいか。イードの子会社エンファクトリーのECサイトで
https://netshop.impress.co.jp/node/3544
雑貨通販サイトの個人情報3万8313件が流出の疑い
http://ascii.jp/elem/000/001/244/1244093/

■Spotifyの無料プランでマルウェア感染の報告。ブラウザーを勝手にポップアップ、Win / Macに加えLinuxでも発生
http://japanese.engadget.com/2016/10/06/spotify-win-mac-linux/

■関西学院大、1466人分の情報流出 フィッシング被害
http://www.asahi.com/articles/ASJB765QJJB7PTIL026.html

■核融合研究成果、サイバー攻撃で情報流出か
http://toyokeizai.net/articles/-/139695

■メールサーバに不正アクセス、顧客情報が流出か - 優良住宅ローン
http://www.security-next.com/074630

■図書館のパソコン紛失=利用者情報19万件記録-秋田市
http://www.jiji.com/jc/article?k=2016101100770&g=soc

■鳥取県の観光サイトに不正アクセス 50万件メール送信か
http://www.sanspo.com/geino/news/20161013/tro16101317500009-n1.html

サイバー攻撃の種類 [攻撃]

サイバー攻撃の種類

以前書いた記事ではサイバー攻撃は、3種類のことを書きました。

改めて検討したみましたが、サイバー犯罪をも含みますが、もっと広く犯罪を構成せずとも含む概念です。

その種類は以下の4種類になると考えています。



・サイバークライム
金銭等を目的にした攻撃

・サイバーインテリジェンス
諜報活動、スパイ活動を目的にした攻撃

・サイバーテロ
重要インフラや政府に対する思想を持った攻撃

・サイバーストーカー
嫌がらせ目的で行われる攻撃
恋愛感情がなくても別のことを目的にした攻撃

当番弁護 [法律]

当番弁護で酷い目に遭ったので、手続きを書いておく。

被疑者国選対象事件で、逮捕段階で当番弁護士として派遣された場合。
◆資力が50万円以下の場合(50万円以上の場合は、援助制度も国選制度も使わないだろうから、以下の話は不要)

初回接見時
1刑事被疑者弁護援助制度の紙の□被疑者国選勾留前援助にチェックを入れて、被疑者に署名させる
2弁護人選任届に被疑者に署名させる
3国選弁護人選任請求書・資力申告書(当番・援助事件→被疑者国選移行用)に被疑者に署名させる

差し入れ、宅下げして署名させる。

これらは、逮捕後勾留前の段階では、被疑者国選にならず、勾留前の私選弁護人扱いになり、お金がないため刑事被疑者弁護援助制度を利用させることになる。

色々なところに書いてあるのは、国選対象事件ではない場合に、弁護人選任届に署名させると書いてあり、この逮捕後勾留前の弁護人選任届のことをきちんと書いていない。
弁護士会が配布しているマニュアルも、援助制度が別に書かれているため、本当に分かりにくい。

これはなぜか。

法テラスとやり取りしたのだが、弁護人選任届を出さない場合には、法テラスの審査によって当番弁護士の日当しか出さないという扱いになるらしいので、出せば弁護士報酬(1万7,000円?)、出さなければ日当(1万円?)の可能性という扱いだそうだ。
ただ、弁護人選任届を出さなくても弁護士報酬として支払われる場合もある訳で、特段弁護士にとって不利益にはならないからだと思われる。

これが、一番目の分かりづらい理由であり、理解するのにものすごく苦労した。


■二番目の分かりづらい点

法テラスからチャート式の1枚紙をくれるのだが、国選対象事件には「2つの受任方法がある。」としか書いておらず、どちらを選択しても良いと読める。

一つ目は、当番後、不受任で、私選弁護人選任申出書の氏名下の余白に「被疑者国選で受任予定」と記載し、勾留質問日午前11時までに、国選弁護人請求書・資力申告書と国選弁護人の選任に関する要望書の写しを裁判所に提出し、法テラスに国選弁護人の選任に関する要望書をFAXする。
二つ目は、勾留決定まで援助制度利用で受任する、その後、辞任届の写し、資力申告書を地裁14部へ提出し、要望書を法テラスへFAXする。


これはマジ分からなかった!マジで分かる人いるなら、知っている人だから見ないし、知らない人は見ても分からない!!

当番弁護士がどちらかを自由に選択するものだと思っていた。
一つ目は、逮捕後勾留前の段階で弁護活動をしない場合に当てはまる話。
これを選ぶと、勾留までは何もしないことになるし、国選弁護人の選任に関する要望書には、受任しなかった理由を書けとかあるし、刑事弁護ビギナーズには、受任しないなんてあり得ないとか書いているクセに、チャートにはこの方法を先に書いているというカオス。

二つ目は、逮捕後勾留前の段階で私選弁護人として弁護人選任届に署名させ、被疑者弁護援助制度を利用し、その後、辞任届を出して、裁判所にも国選弁護人請求書・資力申告書を提出する、という意味。



きっちり書くと以下の通り。なぜこれをマニュアルに分かるように書いていないのか!!!!!!!!!!!!

◆被疑者国選対象事件で、逮捕段階の接見で、資力が乏しい被疑者の接見時に必要なもの
1逮捕後勾留前の段階では、私選弁護人しか付けられないため、弁護人選任届が必要になるため、署名させる。
2資力が50万円以下の場合は、刑事被疑者弁護援助制度を利用するため、この書類に署名させる。
3裁判所に提出する国選弁護人請求書・資力申告書に署名させる。

◆提出関係
1接見後、法テラスに接見報告書をFAXする。
2接見後、法テラスに刑事被疑者弁護援助制度をFAXする。
3勾留請求後(前でもOK)、法テラスに国選弁護人の選任に関する要望書をFAXする。
4勾留請求後、弁護人選任届を検察庁(警察署はトラブルの元)に提出する。コピーも渡してコピーに受領印を押してもらう。
5勾留請求後、辞任届を検察庁に提出する。コピーを渡してコピーに受領印を押してもらう。
6勾留請求後、辞任届のコピーと国選弁護人の選任に関する要望書のコピーを添付書類として、国選弁護人請求書・資力申告書(これ1枚)を裁判所に提出する。

※弁護人選任届の受領印をもらったコピーは手元で保管するだけ。
※法テラスにFAXするのかもしれない。

注意点
・弁護人選任届には、要指印証明というのが必要であり、これは警察署の留置係が記載してくれる(これもマニュアルには載っていないと思われる)。
☆提出先がややこしい。
 送検前は警察署、送検後は検察庁と書いてある本もあるが、送検前でも警察署の留置係では受けてくれない。担当の刑事だと受けてくれるかもしれないが、夜9時を過ぎて弁護人選任届を担当刑事に出そうと思ってももう帰っていていない。そして、仮に警察署に提出する場合でも、コピーを取って受領印を押してもらえと書いてある本もあるが、留置係の人は受領印はどんな印なのかも分からないし、こちらも分からない。
 結局受け取り方がわからないし、提出の仕方も分からない。というわけで、自分は夜9時に弁護人選任届を作成しに行ったのに持ち帰った。
・上述のように送検前に弁護人選任届を作成したのに、送検後に検察庁に提出して良いのかどこにも書いていない。こういうのが分からないと本当に混乱する。調べても出てこない。
  →実際は、送検前に作成したものを検察庁に提出して構わない。

・接見の翌日、又は翌々日、検察庁に送検され、検察庁から勾留請求がされる。
・この段階でまだ弁護人選任届を提出していなくても、勾留請求後提出しても構わない。弁護人選任届を検察庁に出しに行き、辞任届も一緒に出す、と言うと受領してくれる。
 弁護人選任届、辞任届ともに原本とコピーを持って行き、受領印を押してもらう。
・これらをもらったら、そのまま裁判所に行って、辞任届のコピーと国選弁護人の選任に関する要望書のコピーを添付書類として、国選弁護人請求書・資力申告書(これ1枚)を提出する。

◆ここでさらに注意点。
・午後6時を過ぎていたり、勾留請求日が土日の時はどうするのか。
・検察庁も裁判所も夜間受付けがあるが、調べても出てこない。
 東京の場合、検察庁は夜間、通常の受付に行って聞くと教えてくれるらしい。裁判所は、駐車場側から守衛さんに聞くと案内してくれる。ホームページに載せてくれよ!!!調べても出てこないから焦って色々人に聞いたりしたが、経験している人はほとんどいないので、わかないことだらけで、ストレスが溜まる。
・裁判所の夜間受付けは、受け付けるだけであり、書類のチェックはしてくれない。そのため、不備があっても関係なく受け取り、何もこちらはもらえず、提出した書類類は手元から一切なくなる。実際、自分は、国選弁護人の選任に関する要望書のコピーではなく、原本を渡してしまった。
 法テラスには予めFAXしたが、FAXをしていなかったら、(再度作成すれば良いだけだが、)焦った。


当番弁護士のマニュアルの改訂を強く希望し、法テラスから送信されるFAXのチャートも改善を強く希望する。

サイバー攻撃 [法律]

法律的な視点で、サイバー攻撃の話を書いているのですが、厳密にサイバー攻撃って言葉の定義は無いみたいです。


私が過去に肌感覚で用いていたときは、

サイバークライム(サイバー犯罪)
サイバーテロ
サイバーインテリジェンス(サイバー情報窃取)

を全部まとめてサイバー攻撃としていました。

政府や国に対する攻撃だけを定義するのではなく、国、地方公共団体、企業、組織、個人を狙うもの全てだと思います。
インターネットを介した攻撃全般といっても良いと思います。

デジタル大辞林では、
「コンピューターネットワーク上で、特定の国家、企業、団体、個人に対して行われるクラッキング行為。政治的、社会的理由に基づき、社会に混乱をもたらしたり、国家の安全保障を脅かしたりすることを目的とする破壊活動は、特にサイバーテロともいう。 」
としており、上記の概念と一致します。

ランサムウェアウイルスとその支払い [ウィルス]

ランサムウェアウイルスが流行し始めた。

製品を売り込みたいベンダーは、バックアップの重要性を説いて、バックアップ製品を購入させようとしている気がするのは気のせいだけではない気がする。


ランサムウェアウイルスに感染したからといって、攻撃者に金銭を払うかどうかについても議論されている。

企業が攻撃者に金銭を払う場合、色々と問題が出てくる。


攻撃者は、何罪か。

そもそもランサムウェアウイルスといっても身代金の定義からは、略取、誘拐の拐取された人と引き換えに支払われるものであることから、ファイルを人質と捉えること自体が不適当である。なお、刑法上は身の代金である。

刑法225条の2は、
「1 近親者その他略取され又は誘拐された者の安否を憂慮する者の憂慮に乗じてその財物を交付させる目的で、人を略取し、又は誘拐した者は、無期又は3年以上の懲役に処する。
2 人を略取し又は誘拐した者が近親者その他略取され又は誘拐された者の安否を憂慮する者の憂慮に乗じて、その財物を交付させ、又はこれを要求する行為をしたときも、前項と同様とする。」

としており、2項がランサムウェアウイルスに当たりそうだが、前述のとおり、人が対象になっておらず、適用外である。

そうすると、恐喝罪、脅迫罪、ウイルス作成罪、ウイルス供用罪あたりが適当であろうか。
#器物損壊罪や電子計算機損壊等業務妨害罪もあり得るとは思うが、ウイルス作成罪でカバーしきれているとして法条競合になるのではないだろうか。


金銭を支払う企業は、これらの行為の被害者たり得る。脅迫罪、ウイルス作成罪、ウイルス供用罪は、払うまでもなく成立しているが、恐喝罪については、金銭等の支払がなければ、未遂罪である。

被害者である企業等が畏怖して金銭を支払えば、恐喝罪が成立する。


さて、この企業の代表者は、株主らから損害賠償請求され得る(423条1項、429条1項)。理由は以下のとおり。
1 反社会的勢力の可能性がある攻撃者に金銭を支払った。
2 金銭的損害が生じた。
3 管理体制に不備があった。

復号できるかどうかわからない攻撃者に対して金銭を支払うことは、あまりにも不適切な行為と言わざるを得ない。
これが、支払うことによって復号できる可能性が95%程度あるという統計的確証が存在しているのならば、話は変わってくるかもしれない。
しかし、現段階でそのような統計は存在せず、復号できればまだしも、復号できない可能性が高いのに金銭を支払うとなれば、それは取締役等の任務懈怠の一つとして捉えられかねないだろう。



さて、もう一つ課題がある。

それは、被害者がビットコインで支払う方法を知らないため、攻撃者にビットコインで支払うサービスを企業が提供できるかというものである。

このような反社会的勢力の可能性がある攻撃者に金銭を支払うサービスは、恐喝罪の幇助犯と取られかねないおそれがある。
なお、他の脅迫罪、ウイルス作成罪、ウイルス供用罪は、何ら当該第三者企業が加担行為をしていないため、これらの幇助犯にはならない。

先ほどの復号できる確率がどのくらいかによっても、このサービスの正当性が変わってくるかもしれないが、現時点では、復号できるかどうかは分からない割合であり、そうであれば、復号できない可能性があるにもかかわらずそれを知って、犯罪の構成要件該当性に加担する行為を第三者である企業が行うサービスである。

これは、恐喝罪の片棒を担いでいるとのそしりを免れないのではないだろうか。

また、倫理上の問題も存在するし、このようなサービスを行う企業の株価が下がる可能性もあるだろう。そうすると、このようなサービスを提供した企業の取締役等も株主らから損害賠償請求をされるおそれがある。

あと問題は、仮想通貨を取り扱うことになるのであるから、資金決済法の適用の有無も調査すべきであろう。

CCCD [技術]

2002年、CCCDという悪しきCDが発売されました。

コピーコントロールCDという音質低下が叫ばれたCDです。

2006年ぐらいにはCCCD自体は販売されなくなっていたんですね。

自分の好きなアーティストのCDは買い続けていますが、当時CCCDで発売されたCDを買う気にはならなかったです。

何のための技術開発だったのか。CDを購入していたユーザはこの時にかなり離れていったのか、オンラインで購入することにしたのかは分かりません。けど、少なくとも新たにCDを買うユーザはいなくなったでしょうね。

著作権者の保護のためだったのかもしれませんが、ユーザが離れてしまい、結局は著作権者の害になってしまったのではないでしょうか。著作権者団体を構成し、著作権者の投票みたいなもので可否を決断するようにしても良かったはずなのに、それはせずに一方的な押し付けで進んでいった記憶があります。

CCCD


DDoS攻撃と電子計算機損壊等業務妨害罪 [法律]

2016年1月15日(金)に天空の城ラピュタが放映されるようです。

パズーとシータが唱えるラピュタ崩壊の呪文であるバルスのタイミングでツイートをしようというのがバルス祭りです。最近は,おそらくサーバの増強等で対応ができていると思いますが,以前は2ちゃんのサーバがダウンしたこともあるようです。

バルス祭り

twitterのサーバは,新年のあけおめツイートでダウンしたことがあり,バルス祭りでダウンしたとは聞いたことがありませんが,バルス祭りによってダウンしてしまう可能性がある場合(実際にダウンしなくても犯罪行為には影響しません)には,電子計算機損壊等業務妨害罪の可能性があり,これを呼びかけること自体も同罪の教唆犯の成立が考えられそうです。


条文は,
(電子計算機損壊等業務妨害)
「234条の2
第1項 人の業務に使用する電子計算機若しくはその用に供する電磁的記録を損壊し、若しくは人の業務に使用する電子計算機に虚偽の情報若しくは不正な指令を与え、又はその他の方法により、電子計算機に使用目的に沿うべき動作をさせず、又は使用目的に反する動作をさせて、人の業務を妨害した者は、五年以下の懲役又は百万円以下の罰金に処する。
第2項 前項の罪の未遂は、罰する。 」
です。

これによると,損壊,虚偽情報,不正指令,その他の方法の行為が必要になります。

バルスとつぶやくことは,これらのうち「損壊」と「その他の方法」が考えられます。

「損壊」は,効用を喪失させる一切の行為をいいます。バルスとつぶやくことで他の人が書き込めなくなりますが,これは一時的であり,効用を喪失したといえる程度の損壊といえる可能性は低いと考えられます。

「その他の方法」は,損壊,虚偽情報,不正指令に類似する行為のことをいうため,バルスとつぶやくことがこれに類似するかです。本来は正規のつぶやきをしているだけですが,大量に行うことによってtwitter社がサービスを提供することができなくなり得ますので,「電子計算機に使用目的に沿うべき動作をさせず」にも該当,すなわち,人の業務に使用する電子計算機を正常な状態ではなくさせる行為に該当するおそれがあり得そうです。

※行為の客観面を検討しているだけですので,犯罪が成立するには,つぶやいている人たちがtwitter社のサーバをダウンさせようとする故意等が必要になります。


と,ここまで検討したところ,以前パズドラ社に対する一斉ログイン事件があったようで,その際の見解がありました。バルス祭りはこれと似ていました。
パズドラへの「同時ログイン攻撃」 ネットで呼びかけたら罪になる?


シンポジウム「情報セキュリティ事件の近時の動向」のまとめ [セミナー]

以下に参加してきました。弁護士の方々が発表した内容の簡単なまとめを記載します。

情報セキュリティ事件の近時の動向~政策・マネジメント・法的分析~

1 近時の情報セキュリティ事件のケーススタディ
(1) 大手通信教育会社情報漏えい事件
○流れ
・顧客情報データベース→業務用PC→(USBケーブル)スマートフォン→名簿業者
○対応
・初動対応は早かった。
 6月27日緊急対策本部→7月7日危機管理本部→7月17日逮捕

○事件
・刑事事件
 元社員は不正競争防止法違反(営業秘密の複製,開示)
 名簿業者社長は不正競争防止法違反(営業秘密の取得,開示)

・民事事件
 個人情報漏えい被害者の会 原告:1万729名
 個人情報漏えい被害対策弁護団 原告:1,224名(4次訴訟)

○情報漏えいの原因
・問題点
 ①アラートシステムの対象範囲が明確ではなかった。
 ②外部メディアへの書き出し制御機能がない状態であった。
 ③一度付与されたアクセス権限の見直しが定期的に行われていない状況であった。
 ④データベース内の個人情報の抽象化,属性化が行われていなかった。

・組織の問題点
 ①組織体制の不備
  チェック体制の甘さ,個人情報管理の責任部署の不明確
 ②役職員の意識の低さ

○対応
・ジャストシステムは,適法かつ公正に入手したものであることを条件とした契約を締結したと主張
・名簿業者を不正競争防止法違反で処罰するには困難が生じる。

(2)米国映画会社への大規模攻撃事件
○概要
11月21日映画会社幹部への脅迫メールが来て,放置した。
11月24日システム障害が発生
12月1日経営陣の給与が公開
12月5日Sony Picturesは崩壊するとのメールが従業員に対して送付される。
12月16日the interviewを上映する映画館は9.11テロを思い出せという脅迫
12月17日映画の公開の中止決定

○FBIによる北朝鮮関与の認定
・北朝鮮が使っていたマルウェアとの関連性が認められる。
・攻撃に使われた環境と北朝鮮と直接関連するとした攻撃の際の環境とが重要な点で一致
・今回の攻撃のツールと北朝鮮による韓国の銀行やメディアに対する攻撃に使われたDDoSツールとの間に類似性がある。

○攻撃方法
①事前調査
②権限取得
③不正実行
④後処理

○機密情報の流出
従業員等の個人情報,未公開の映画フィルム等100TB

(3)日本年金機構情報漏えい事件
○概要
 2015年5月8日~20日
 4度に渡る標的型メール攻撃
 124通を受信,5人の職員が開封
 氏名,基礎年金番号3万1000件
 125万件のうち,およそ70万件にはパスワードが設定,55万件はパスワードの設定なし。

○時系列
・4月22日厚生労働省年金局にメール送付
 NISCが検知し,通信遮断を指示。
・5月8日第1回攻撃
 調達用のメールアドレスに対して送付された。感染端末から職員のメールアドレスを収集された。
・5月18日第2回攻撃
 第1回攻撃で収集したメールアドレスに送付。
・5月18~19日第3回攻撃
・5月20日第4回攻撃
 ローカル端末の管理者権限を取得し,他のPCも同じIDとパスワードを使いまわしていた。

○原因
・個人情報がインターネット環境下に置かれていた。
・現場のPCのOSやサーバに既知の脆弱性が残り,端末の管理者権限は,他の端末と同一のID・パスワードが設定されていた。

○インシデント対応
・緊急対応の明確な合意がない。
・インシデント対応手順書も定められていなかった。
・実質的なリーダーシップを発揮できなかった。
・外部の専門家の登用がない。

2 法的見地からみた近時の情報セキュリティ事件
○近時のセキュリティ事件
・エストニア事件(2007年)
・グルジア事件
・韓国銀行,メディアの一斉停止事件(2009年)
・中国からの大規模なDDoS事件(2011年9月18日)
・三菱重工等に対する攻撃
・アノニマスのOp.Japan
・ベネッセ情報漏えい事件
・ソニーピクチャーズエンターテインメント事件
・日本年金機構事件

○世界の法律家
・タリンマニュアル(エストニア)武力レベルと同等に達するのはどのような場合か。
・世界的には,アトリビューション(属性)は,誰が攻撃者なのかということを重要視している。

○サイバー攻撃の諸相
・国家間でのサイバー攻撃が行われた場合に,責任の所在はどうなるのか。
・国家から委託を受けた民間組織はどうなるのか。
・国家間の攻撃であれば,サイバー戦争になり,武力行使される可能性がある。

○対策
・基本に返り,敵を知り,トレーニングの重視
・情報共有→中々上手くいかない

○情報共有のハードル
・狙われている情報の性質は貴重な秘密かもしれない。
・NDAが締結されているかもしれない。
・漏えいが疑われて株価が下がるかもしれない。
・国が,情報公開の対象になるのか。
前の30件 | -