Last Upated:April 30,2024
英国では2006年11月8日に国王の裁可をもって「2006年警察及び司法の適正化法(the Police and Justice Act 2006)」(筆者注1)が成立した。同法の主たる目的は警察・治安・司法制度等の改正であるが、その一環としていわゆるDoS攻撃の処罰が追加された。
DoS(Denial of Service Attacks))といえば、わが国における不正アクセス禁止法(正確には「不正アクセス行為の禁止等に関する法律」(平成11年8月13日法律第128号(平成13年2月13日施行))について思い出す場合が多かろう。
DoS攻撃(DDoS(筆者注2)を含む)は、筆者が親しい?サイバー法の専門家たるスタンフォード・ロー・スクールのゲルマンCIS事務局長等が中心となって取組んでいるサイバー犯罪専門サイトやハーバード・ロー・スクールのバークマン・クライン・センター(Berkman Klein Center )でもしばしば引用されるテーマである。
サイバー犯罪の範囲が日々拡大する昨今、内外を問わず刑罰等をもって罰則の対象となる「何が不正アクセスなのか」の定義をめぐり、迷うのは犯罪捜査担当者や刑事司法の専門家だけではなかろう。
一方、わが国の不正アクセス禁止法3条では3類型を定めている。1つは不正ログイン行為であり、2、3はコンピュータ・システムのセキュリテイ・ホール(アクセス管理機能が攻撃対象)の脆弱性をつく行為である。一体、DoS攻撃はそれらのいずれに該当するのであろうか。実はこの点についてサイバー法の専門家の中でも意見が分かれるし、さらに厄介なのは司法・捜査当局自体が曖昧な表現で解説している点である。(筆者注3)
これらの悩ましい問題に法改正をもって前向きに取組んだ英国政府の姿勢は評価出来ようが、刑法の大原則である「罪刑法定主義」の観点からは極めて課題の多い法改正を行っているとも思われる。
通信技術の進歩と犯罪行為の多様化(筆者注4)(筆者注5)という相反する問題に立法・司法や法執行機関がどのように取組むか、各国においてその姿勢が問われる時期に入ってきたと言えよう。今回は米国のDoS攻撃の処罰に関する法律も紹介しながら、英国のDoS対策法等の仮訳を行った。関係者の参考になれば幸いである。
1.英国のサーバー犯罪立法と法改正の経緯
(1) 英国の不正アクセスに対する従来の規制法
英国では従来コンピュータ犯罪の処罰のための規制法として「1990年コンピュータの不正使用に関する法律(the Computer Misuse Act of 1990)(以下「旧法」という)」がある。同法の中心となる犯罪類型は3種(1条~3条)に分類される。①コンピュータに対する無権限アクセス(1条)、②更なる犯罪を意図したコンピュータに対する無権限アクセス(2条)、③コンピュータの内容に対する無権限の改変(3条)である。以下、逐条的に解説する。(筆者注5)
【1条1項】次の行為を行った者は有責とする。
(a)コンピュータに蓄積されたプログラムまたはデータにアクセスする意図を確保し(secure)たうえでコンピュータを作動させること。
(b)その意図したアクセスが無権限(unauthorised)であること。
(c)コンピュータを作動させる時において、当該アクセスが無権限であることを認知(knows)していること。
【1条2項】本条において犯罪行為を犯す意図とは、次のいずれかに向けられることを必要としない。
(a) 特定のプログラムやデータ。
(b) 特定の種類のプログラムやデータ。
(c) 特定のコンピュータが蓄積するプログラムやデータ。
【1条3項】本条において有責とされる者は、略式裁判(summary conviction)により
6月以下の拘禁刑または標準量刑基準におけるレベル5以下の金額の罰金に処し、またはこれを併科する。
【2条1項】前条(無権限アクセス犯罪)の犯罪を犯す次の意図をもち、かつ本条の以下に定める行為を犯すまたは助長する意図をもって本条に定める犯罪行為を行った者は、有責とする。
(a)本条が適用される犯罪行為を犯すこと。
(b) 行為者本人または第三者により当該行為を行うことが助長(facilitate)されること。
【2条2項】本条は次のいずれかに定める犯罪行為に適用する。
(a)法律が定める処罰(sentence)に関するもの
(b)行為者が21歳以上(有罪の前科がない場合)でイングランドおよびウェールズで5年の禁錮刑に該当するもの
【2条3項】本条の目的に関し、更なる犯罪行為は無権限アクセスの同一の起因または今後の起因となるか否かは重要ではない。
【2条4項】本条において、更なる犯罪行為の実行が不可能であった場合においても有責となる。
【2条5項】本条において有責とされる者は、次の刑罰に処される。
(a)略式裁判により6月以下の拘禁刑または法律に定める最高額の罰金刑に処し、またはこれを併科する。
(b)正式起訴(conviction on indictment)により5年以下の拘禁刑または罰金刑に処し、またはこれを併科する。
【3条1項(a)号および(b)号】「必要要件とされる意図(the requisite intent)」および「必要要件たる認識(the requisite knowledge)」をもってコンピュータの内容を無権限で改変した者は、有罪とする。
【3条2項】前項(b)号にいう「内容の改変を行う意図」とは次のいずれかの場合をいう。
(a) コンピュータの運用能力を阻害する行為。
(b) プログラムへのアクセスまたはコンピュータが保持するデータへのアクセスの妨害行為。
(c) プログラムの運用または当該データの信頼性を阻害する行為。
【3条3項】前述の意図について、(a)特定のコンピュータ、(b)特定のプログラムまたはデータまたは特定の種類のデータ、(c)特定された改変または特定の種類の改変のいずれをもその目的とする必要はない。
【3条4項】本条(1)項(b)号の必要要件たる認識とは、権限なく改変を引き起こす認識をいう。
【3条5項】本条にいう犯罪行為の目的について、無権限の改変か否かまたは、本条(2)項にいう意図した効果が恒久的または一次的なものかは重要ではない。
(2)今回の法改正の内容
35条から38条が改正強化法の内容である。35条は旧法1条の改正に当るがコンピュータの定義を広げ、また刑罰の内容を強化している。36条は旧法3条の置き換え条文でDoS(DDoSを含む)攻撃に対する処罰を新設した。37条は追加条文(3A)で旧法1条および3条の行為を幇助する行為を犯罪行為として処罰の対象に追加したものである。
以下、逐条的に仮訳する
【35条1項】1990年コンピュータの不正使用に関する法律(以下「1990年法」)1条は次の通り改正する。
【35条2項】1項(a)号において「いかなるコンピュータ」の後ろに「またはアクセスの確保可能な」を入れる。
同項(b)号において「確保(secure)」の後ろに「または確保可能な」を入れる。
【35条3項】次の通り置き換える。
(a)項:本条において有責とされる者は、イングランドおよびウェールズにおいては略式裁判 (summary conviction)により12月以下の拘禁刑または法律に定める最高額の罰金に処し、またはこれを併科する。
(b)項:本条において有責とされる者は、スコットランドにおいては略式裁判 (summary conviction)により6月以下の拘禁刑または法律に定める最高額の罰金刑に処し、またはこれを併科する。
(c)正式起訴により10年以下の拘禁刑または罰金刑に処し、またはこれを併科する。
【36条コンピュータの運用に関しその阻害または無謀さをもって行う無権限アクセス行為】
【36条1項】次の行為を行った者は有責とする。
(a)コンピュータに関する無権限な行為を行ったこと。
(b)当該アクセス行為を行った時に行為が無権限(unauthorised)であることを認知していること。
(c)本条2項または3項に該当すること。
【36条2項】本項は次の行為を意図をもって行った者に適用する。
(a)いかなるコンピュータの運用を阻害すること。
(b)コンピュータ内のプログラムまたはデータへのアクセスを阻止すること。
(c)そのプログラムの運用またはデータの信頼性を阻害すること。
(d)前記(a)号から(c)号に定めることを可能にすること。
【36条3項】本項は前項(a)号から(d)号に定める無謀な行為を行った者に適用する。
【36条4項】前記2項にいう意図および3項における無謀については、(a)特定のコンピュータ、(b)特定のプログラムまたはデータ、(c)特定の種類のプログラムまたはデータであることに限らない。
【36条5項】本条において(a)当該行為の原因となる関連した行為、(b)行為とは一連の行為を含む、(c)阻害、阻止行為とは一時的ものを含む。
【36条6項】本条において有責とされる者は、(a)イングランドおよびウェールズにおいては略式裁判 (summary conviction)により12月以下の拘禁刑または法律に定める最高額の罰金刑に処し、またはこれを併科する。(b)スコットランドにおいては6月以下の拘禁刑または法律に定める最高額の罰金刑に処し、またはこれを併科する、(c)正式起訴により10年以下の拘禁刑または罰金刑に処し、またはこれを併科する。
【37条】1990年法1条および3条のコンピュータ不正行為に関する媒体の作成、提供および取得行為
【37条1項】1990年法1条および3条の犯罪行為に関し、媒体の作成、適応、提供の意図をもって行う行為または援助する行為を行った者は有責とする。
【37条1項】1990年法1条および3条の犯罪行為に関し、媒体の作成、適応、提供の意図をもって行う行為または援助する行為を行った者は有責とする。
【37条2項】1990年法1条および3条の犯罪行為に関し、媒体の提供に当ると信じうる行為または援助する行為を行った者は有責とする。
【37条3項】1990年法1条および3条の犯罪行為に関し、犯罪を犯す行為に当るという観点から見て行為または援助する行為を行った者は有責とする。
【37条4項】本条にいう「媒体(article)」とは、あらゆるプログラムや電子的に保持されるデータを含む。
【37条5項】本条において有責とされる者は、(a)イングランドおよびウェールズにおいては略式裁判 (summary conviction)により12月以下の拘禁刑または法律に定める最高額の罰金刑に処し、またはこれを併科する。(b)スコットランドにおいては6月以下の拘禁刑または法律に定める最高額の罰金刑に処し、またはこれを併科する、(c)正式起訴により10年以下の拘禁刑または罰金刑に処し、またはこれを併科する。
【38条】移行等に関する規定(訳は省略する)
2.米国におけるDoS攻撃への法規制の現状と司法強化の動向
(1)米国における「サイバー犯罪」の法規制
米国において「サイバー犯罪」自体明確な定義がない。(筆者注6) 警察、司法の実態としてのサイバー犯罪取締法は「合衆国連邦法律集18編 第47章第1030条(18 U.S.C. 1030 Fraud and Related Activity in Connection with Computers)」である。同条(1030条)は、各州の立法に遅れて1984年に連邦法として制定されたのち、1986年および1994年に改正されている。さらに、1996年「国家情報基盤保護法(The National Information Infrastructure Protection Act of 1996) 」において一部改正され現在に至っている。
同条の具体的な訳文や改正・解釈を重要な点は夏井高人氏「アメリカ合衆国(連邦)の『1996年コンピュータ犯罪法』」(仮訳)(20021月10日改訂版)において行っており、そちらを参照されたい。また、国家情報基盤保護法の制定にあたり、連邦司法省がその詳細な分析を行っているので併せて参照されたい。
(2)DoS(DDoS)攻撃の分類
米国等のサイバー犯罪専門サイトにおいて一般的に解説されている例で見てみる。なお、原文は専門家向けに書かれており、筆者はコンピュータの専門家ではないので情報処理試験に出てくるような専門用語自体内容や意味について理解不足があろうが、そこは読み取っていただきたい。また、専門サイトではより具体的な説明がなされているが、犯罪の手口を教えることになるので、これ以上は省略する。
① Buffer Overflow Attacks:最もDoS攻撃として一般的なもので、プログラマーが利用者が送信するであろうと予測したデータのバッファー量を上回るアドレスに向けて通信データを送信するものである。攻撃者が目標となるシステムのぜい弱性をあらかじめ認識して狙う場合と単にどうなるか試してみるものがある。
②SYN Attacks:セッションの使用開始時にネットワーク上におけるTCP(Transport Control Program)クライアントとサーバー間で通常使用される極めて小さなバッファースペースが存在する。これは急速なハンドシェイク(接続する双方がデータを受信する準備ができたときに信号を送ることで、データ転送速度を制御する方式)メッセージ交換のためのものであるが、セッションが確立するパケットは交換するメッセージの系列を特定するSYNフィールドを含んでいる。攻撃者は非常に急スピードで接続要求を行うためコンピュータは回答が出来なくなるもの。
③Teardrop Attack:この攻撃は、インターネット・プロトコル(IP)では極めて大きいパケットを送信する場合、次のルーターに送る際パケットを分割する特性を悪用するものである。同攻撃では攻撃者のIPは2番目以降の部分に紛らわしいオフセット値を入れるため仮に受信側のOSにこのような状況を想定していない場合、システムはクラッシュする。
④Murf Attacks:加害者は受信側にIP ping(または「私のメッセージを繰り返してください」)を送信する。ping(インターネットやイントターネット等において、TCP/IPネットワークを調査するプログラム。あるIPアドレスがネットワーク上に存在するかどうかを調べるもの。)パケットをLAN内の複数のホストコンピュータに送信するよう特定する。同時にパケットは通信要求が別のサイトから来ている旨指示する。攻撃対象のサイトは騙されたサイトに返事を送り続け、多数のpingが偽のホストコンピュータに返事をし続ける。
(3) DoS(DDoS)攻撃に関する米国の最近の有罪判決例
連邦司法省が公表している判決に関する2006.10.24の記事によると、DDoS攻撃ならびに犯人に対する重刑による有罪判決という状況は依然続いているようである。
① 被告はフロリダ住民ジョン・ボンバード(John Bombard)(32歳)で2004年6月15日にマサチューセッツ・ケンブリッジに本社を置く「アカマイ・テクノロジー社(Akamai Technologies)」の2台のドメイン・サーバーに多大な被害を与えた理由で、2006年10月24日に連邦裁判所でDDOS攻撃による有罪判決がなされた(2つの起訴事由)。被告の量刑については、2年以下の拘禁刑および起訴事由1つにつき20万ドル(約2,340万円)の罰金が科されることになる。
②被告ジェイ・ヴェルン・ハイム(Jay Vern Heim)は、2006年10月16日にサンディエゴ連邦地方裁判所で1030条(a)(5)(A)()に基づき有罪判決を受けた。被告は以前勤めていた会社のサーバーにユーザー名とパスワードを使ってアクセスし、不能状態の陥れたことにより、被害者たる会社に6,000万ドル以上の損害を与えたとするものである。被告は2年間の執行猶予と罰金500ドルおよび被害者たる企業に賠償金6,050ドル(70万8千円)を支払うとの判決が下された(刑罰の内容が意外と軽いように感ずるであろうが、被告は有罪答弁(guilty plea)を行っている点が影響しているといえよう)。
(4)DDoS 攻撃への対応に関する CISA FBI MS-ISAC 共同ガイドおよび連邦政府機関向けの DDoS ガイダンスの策定(最終更新日 2022 年 10 月 28 日)
CISA(注6-2)、連邦捜査局 (FBI)、および複数国家情報共有分析センター (MS-ISAC) は、組織に可能性と影響を軽減するための事前対応策を提供するために、分散型サービス拒否攻撃の理解と対応をリリースしました。 分散型サービス拒否 (DDoS) 攻撃の脅威。 このガイダンスは、ネットワーク防御者とリーダーの両方が、組織に時間、費用、風評被害を与える可能性がある DDoS 攻撃を理解し、対応するのに役立つものです。
同時に、CISA は、能力強化ガイド (CEG): 連邦政府機関向けの追加 DDoS ガイダンスをリリースしました。これは、連邦文民行政府 (FCEB) 機関に、DDoS 保護と軽減を提供する推奨される FCEB 契約車両およびサービスを含む追加の DDoS ガイダンスを提供します。
CISA は、すべてのネットワーク防御者とリーダーに以下を確認することを奨励している。
③blog記事:Understanding Denial-of-Service Attacks
(5)米国におけるサイバー犯罪に関する産学官の連携的取組み
大学主導型の「Institutes for Information Infrastructure Protection(I3P)」(筆者注7)が独自の活動を行っている。例えば、同研究所は2004年5月に「米国の州レベルにおけるサイバー犯罪を訴追するための裁判権の境界問題(Analysis of the jurisdiction Thresholds for Prosecuting Cyber Crimes in the United States at the Sates Level)」といった論文やその他の研究を行っている。
3.わが国の不正アクセス禁止法のDoS(DDoSを含む)攻撃への適用解釈について
現状では、次のような解釈が一般的であると思われるので参考までに引用するが、この点は立法論も含め、専門家による更なる精緻な検討が求められよう。
(1)東北大学のTAINS (筆者注8)利用研究会ネットワーク法律問題研究グループの金屋吉成氏と芹澤英明氏が同法の逐条解説(SuperTAINS News No.21 )において次のように適用性が限定的である旨を述べている。
「使用不能攻撃とは,攻撃者が本来の目的とは異なる使い方でコンピュータの資源(CPU,メモリ,ネットワークなど)を食い潰すことで,通常の使用を妨害する攻撃をいう。攻撃目標となるコンピュータに直接アクセスする場合は本法の適用の可能性があるが,無差別的に大量のパケットを送信する行為や不正なコマンドを入力してサービスを意図的に停止させるなどの行為は,本法にいう不正アクセスには当らず,むしろ刑法の電子計算機損壊等業務妨害罪(刑法234条の2)の問題となる。」
(2)情報システム監査(株)の木田良弘氏も「IPA(情報処理振興協会)にいると不正アクセス行為にはDoS攻撃やポートスキャンも含まれているが、これらは本法の適用外となる。またコンピュータが提供しているサービスの情報の入り口(ポータル)を調べる行為も適用外となる。」と解説している。
*************************************************************************************
(筆者注1) 同法は英国の警察・司法機関の治安機能強化や新型犯罪の取締り強化を目指す法律といえる。その第5編「雑則」の35条から38条が「1990年コンピュータの不正使用に関する法律」の改正規定であるが、同編ではその他不法移民問題や禁錮刑受刑者の本国への強制送還、さらにわが国でも最近話題となっている子供のわいせつ写真に関する科料処罰規定等が織り込まれている。
(筆者注2)DDoS攻撃(分散型DoS攻撃:Distributed Denial of Service attack)の通常のDoS攻撃と区別される点は、攻撃の踏み台と呼ばれる複数のコンピュータが、標的とされたサーバー等に対して攻撃を行うことである。単一のホスト(通信相手)からの攻撃ならそのホストとの通信を拒否すればよいが数千・数万のホストからでは、個々に対応することが難しい。そのため、通常のDoS攻撃よりも防御が困難になる。攻撃の被害はDoS攻撃よりも凶悪なものになることが予想され、また攻撃を受けたサーバーから見ると踏み台となったコンピュータが攻撃主として認識されることとなる。
(筆者注3) 警視庁の「情報セキュリテイ広場」で「不正アクセス」をテーマとしたページがある。単純に読むと不正アクセス禁止法がDos(DDos)攻撃の規制法と読めるのではないか。
なお、わが国のサイバー犯罪対策に関しては、去る12月12日に総務省・経済産業省が連名でボット(bots)対策プロジェクト推進ポータル「サイバー・スクリーン・センター」開設を報じている。しかし、わが国の一部専門家は政府の推奨する「ボット対策ツール」はトレンドマイクロ社の無料対策ツール「システムクリーナー」と極めて酷似していると指摘している。
(筆者注4) 米国の連邦司法省の犯罪白書サイバー犯罪サイトでは、連邦法「コンピュータに関する詐欺および関連犯罪行為の取締法(Fraud and Related Activity in Connection with Computers:18 U.S.C. 1030)」に基づく「起訴されたコンピュータ犯罪の判決速報一覧」が閲覧できる。この統計は全米ベースのすべての案件ではなく代表例のみであるが、①犯罪による損失利益(機密性、完全性、有用性に区分)、②犯罪の目的(公的機関向け、民間の個人・法人向け、公衆衛生、安全性に区分)、処罰内容(拘禁刑の期間、罰金額)、その他特徴点等が判決要旨等とともに記載されている。
一方、わが国の法務省「平成17年版犯罪白書」におけるハイテク犯罪の科刑状況は1年遅れでかつ数値統計のみで具体的事案の内容とはリンクしていない。日々新たに発生するサイバー犯罪への取組姿勢の差がうかがえる。
(筆者注5) わが国において不正アクセス禁止法が成立する1年前の1998年に高橋郁夫弁護士が「コンピューターの無権限アクセスの法的検討―イングランド・コンピューターミスユース法1990の示唆」と題して、英国における同法の検討経緯や内容について詳細に紹介されている。
当時まだ各国ともコンピュータ犯罪の定義自体困難な時期であったが、英国の立法化への取組みは先行していたといえよう。
(筆者注6) 米国におけるサイバー犯罪の専門家であるワシントン・ロースクール助教授のアニタ・ラマサストリ(Anita Ramasastry)氏のハーバード・ロースクールにおける演習内容を参考とされたい。
Anita Ramasastry 氏
同氏の専門分野は商取引や銀行決済システムであり筆者もその関連で以前から注目していたのであるが、サーバー法にも見識があると見た。同氏は米国の法律専門実務家サイト「Find Law」のコラムニストでもある。なお、2022年2月現在、同氏は、銀行法と商法、汚職防止、ビジネスと人権、法と開発の分野の上級学者であり専門家である。 彼女は現在、ワシントン大学ロースクールで持続可能な国際開発法大学院プログラムを指揮している。 2016年から現在まで、彼女はビジネスと人権に関する国連ワーキンググループのメンバーを務めている。(LinkedINから抜粋)
http://cyber.law.harvard.edu/studygroup/cybercrime.html
(注6-2)CISA(Cybersecurity and Infrastructure Security Agency)は、米国土安全保障省(DHS)の外局機関であり、サイバーセキュリティ・物理セキュリティに関するレベル向上・リスク低減・普及を国家レベルで推進する組織。連邦政府機関や重要インフラのサイバーセキュリティに関する各種施策を推進するだけでなく、産学や他国との連携やパートナーシップ活動にも取り組んでいる。
CISAは2024年3月21日、人工知能(AI: Artificial Intelligence)に関する最初のロードマップ「Artificial Intelligence | CISA」(全24頁)を発表した。これはホワイトハウス大統領令Executive Order 14110に沿ったものとされる。
また、DHSは、2024年4月29日、AI関連の脅威から重要インフラと大量破壊兵器を守るためのガイドラインと報告書を発表(国土安全保障企業全体で責任を持って AI を活用するための 6 か月の進展と、AI 安全セキュリティ委員会の最近の設立を受けての発表)
国土安全保障省 (DHS)4 月29日、バイデン大統領の大統領令 (EO) 14110「人工知能 (AI) の安全、安心、信頼できる開発と使用(Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence)」の施行から 180 日を迎え、新たなリソースを公開した。 AI によってもたらされる脅威に対処する:(1)重要インフラに対する AI リスクを軽減するためのガイドライン、(2)化学、生物、放射線、核(CBRN)の開発と生産における AI の悪用に関する報告書である。
(筆者注7)米国の大学主導型の提携機関例としてはカーネギー・メロン大学に設立された「CyLab」があり、連邦政府のDHSや CERT等と緊密な連携をとっている一方で、I3Pは元々は大統領府や連邦政府機関から生まれたが、ダートマス・カレッジが運営の中心となって大学・国立研究所等非営利団体のみが参加する団体として活動している。
(筆者注8) 東北大学のTAINSは、本来学内の専用ネットワーク(東北大学総合情報システム運営委員会広報活動専門委員が運営主体)であるが一部内容を公開している。欧米の主要大学におけると類似のシステムを採用している。
**************************************************************************************::
Copyright © 2006-2010 芦田勝(Masaru Ashida).All Rights Reserved.No reduction or republication without permission.
※コメント投稿者のブログIDはブログ作成者のみに通知されます