「無線LANただ乗り、電波法は「無罪」…懸念も」の判決文

平成29年4月27日の電波法違反の一部無罪の判決が裁判所の判例紹介にのっていたのを見つけたので、リンクを張っておきます

無罪の理由は、WEP鍵が、無線通信の存在及び内 容ではない、というものでした。ということで、私のブログの指摘は、間違っていませんでしたね。一安心。

ただ、ブログで指摘した、ルータの無権限利用という観点は、判決をみる限り、ヒントとなるような事実関係はないみたいですね。

 

 

対ボットネットの法律問題の総合的考察 その7-ドイツにおけるハニーポットとC&Cサーバのテイクダウンの合法性

Liis論文をもとに、ドイツにおけるボットネット対応手法の法的位置づけを考えるというマニアックなメモも、やっと個別の手法の分析です。(Liisさんは、エストニア法の担当で、ドイツの担当は、他の方かもしれませんが、それは、ご容赦のほどを。)

Liis論文ですと、26頁から、データ保護についての分析が加わります。IPアドレスは、個人データと解されることが明らかになってきているので、EU域内において、サイバーセキュリティの法律問題を考えるときに、個人データ保護との相剋というのは、きわめて重要な問題になってきているところです。ただ、わが国だと個人情報保護法の執行が微妙なところもあるので、今回は、この部分の比較分析は、省略します。またの機会にしたいと思います。

(1)ハニーポット

33頁からハニーポットの手法による検討になります。

「ハニーポットとは、資源が、無権限で、あるいは、不正に利用されることに価値がある情報システムリソースである」と定義されています(「ハニーネットプロジェクト-汝の敵を知れ」15頁参照)

『カッコウはコンピュータに卵を産む』にある「SDIネット」が代表的なもの、ということになります。この仕組みは、あえて、通信の当事者となるように設置されている点がその余の攻撃者の行為を探知する仕組みと異なっているということができます。(法律家的には、そうならば、「ハニーポットとは、攻撃者の動向等の調査のために、セキュリティ的に脆弱に維持された通信の当事者である端末、もしくは、リソースをいう」とかのほうが、正確なような気がしますが、それは、それで、上のハニーネットプロジェクトの定義が一般化しているので、そこは触れないことにします)

ハニーポットを用いた情報の収集行為の法的問題については、わが国においては、あまり論じられていません。上記ハニーネットプロジェクトの8章がアメリカの法律について触れており、また、付録Gで園田さんの解説があります。が、それ以外には、正面から論じた論文は、すぐにでてきません。

ハニーポットをこのような見地からみるときに問題となるのは、一つは、ボットマスターからのメッセージを含むのみではなく、他のメッセージ(トラフィックを拡散するように命じられたボットオーナーのもの)を含むということになります。その意味で通信の機密性を侵害する(宛て先とされていないで託されたメッセージを送信者の意図に反してなすこと)リスクがあるとされています。いま一つは、プライバシの懸念ということになります。この場合は、データ保護に反するということです。

Liis論文は、これらの問題をドイツ法に基づいて分析しています。

ボットマスターやボットが一方当事者であって、サービスプロバイダーのがもう一方である場合において、サービスプロバイダーが、通信データを分析することは、電気通信システムの妨害等を認識し、制限し、除去するために限って認められます。さもないと、ドイツ刑法206条に基づいて「電気通信の秘密」侵害/電気通信法88条.テレメディア法7条(2)の義務違反/個人データ保護法違反に該当することになります。特定のボットネットの活動の場合に限って、電気通信システムが妨害されるときといえると解されています。その結果、ドイツにおいて、ハニーポットでのパケットやトラフィックデータの分析が合法的になしうるのは、限定された場合ということになります。

プロバイダーの観測の結果を、独立の研究者に開示することが許されるかというのもハニーポットの調査においては、問題になります。この場合、通信当事者の同意がある場合、データの匿名化がなされた場合、裁判所命令等が存在する場合、などに限って許容されるということになります。

ボットマスターやボットが一方当事者であって、独立の研究者がもう一方の当事者である場合においては、みずからに向けられた通信データをモニターすることは、データ傍受(ドイツ刑法202b条)には、該当しません。また、「特別に無権限アクセスから保護された」ものではないので、その点からもデータ傍受に該当しません。
もっとも、データ保護法の問題点があり、研究者は、その研究によって、データ保護法の取扱・利用規定から除外されるべきという利益を明らかにする必要があります。

(2)C&Cサーバのテイクダウン

Liis論文35頁からは、C&Cサーバのテイクダウンの法的問題についての考察をしています。

ここで、テイクダウンと一般的に表現していますが、手法としては
ア)DNS名称の消去( disconnecting the identified C&C server(s) by deleting its DNS name)
イ)宛先トラフィックのブラックホールへの移動による利用停止( making the C&C server(s) unavailable by black-holing the traffic directed to it)
ウ) 物理的差押(physically seizing the C&C server(s))
エ) ISP等のプロバイダによる接続停止(disconnecting the C&C server(s) by the ISP or the cloud service provider hosting it)
があることになります。

コマンド・コントロールサーバのテイクダウンの法的位置づけについては、テイクダウンの法的な根拠があるのかということとコマンド・コントロールサーバの場所に左右されることになります。

法的な根拠としては、まず、CERT は、それ自体としては、C&Cサーバのテイクダウンを命じる権限を有することはありません。これに対して、ISPは、一定の資源に対して、一般的なセキュリティ義務について、消費者保護、利用契約における制限の可能性を用いてそれをなしうることになります。また、法執行機関からの要請がある場合には、ISPは、制限をなすことを義務付けられます。

法執行機関が、それ自体法律の根拠に基づいてテイクダウンする場合については、「対ボットネットの法律問題の総合的考察 その4-法執行機関の積極的行為」で検討しておきました。

ドイツにおいては、C&CサーバがホストされているISPは、民法314条に基づいてサーバを遮断/利用契約を終了させる権限を有しています。
この314条については、谷口 聡「ドイツ民法典314条の規定とその民法体系上の位置−ドイツ債務法における「継続的債務関係」諸規定の構造−」という論文があります。
ドイツ民法314条 重大な事由による継続的債務関係の告知
(1)継続的債務関係は、両当事者が、重大な事由により告知期間の遵守なしに告知しうる。告知する当事者にとって、個別事例のすべての事情を考慮し、かつ、両当事者の利益を考量して、合意された終了時までの、または、告知期間徒過の時までの契約関係の存続を要求しえない場合は、重大な事由が存在する。
(2)重大な事由が、契約に基づく義務違反にあるときは、告知は、除去のために定められた期間の徒過の後、または、催告がなされても不奏功に終わった後に初めて許容される。323条 2 項が準用される。
(3)権利者は、彼が告知原因を知った時、相当な期間内においてのみ告知をなしうる。
(4)損害賠償を請求する権利は、告知により排除されない。
と定められています。(条文は、上記谷口論文から引用です)

実際にも利用契約に記載されているのが一般であるとされています。

上記のような法的権限を有しないで、テイクダウンを行うという場合においては、刑法等に該当しないことを確かにしないといけないことになります。具体的には、ドイツ刑法303a条(データ変造)、
303b条(コンピュータサボタージュ)の違反について検討しなければなりません。
これらの罪の構成要件は、
ドイツ刑法303a条(データ変造)
(1) データ(第 202 条 a 第 2)違法に消去し、隠蔽し、使用不能にし、または変更した者は、2年以下の自由刑または罰金に処する。
(2) 本条の未遂は罰する。
303b条(コンピュータサボタージュ)
(1) 他人にとって本質的に重要であるデータ処理を第 303 条 a 第1項の行為をおこなうことによって妨害した者/損失を与える意図をもって202a条(2)のデータを入力し、送信する者/データ処理システムまたは、キャリアを破壊し、毀損し、使用不能にし、除去しまたは変更する者は、何人も、3年下の自由刑または罰金に処する。
(略)
となります。

C&Cサーバのテイクダウンは、データ処理の運営に対する介入と解されています。(もっとも、接続を停止するのみであれば、電気通信の秘密の侵害とは解されていません)しかしながら、ドイツ刑法34条(緊急避難)、ドイツ民法227条、228条の正当防衛、自力救済に該当するのであれば、刑罰を免れることになります。

C&Cサーバの遮断が、ISPの機能や安定性を確保するためになされる場合においては、電気通信法100条に基づいて、法的な利益を確かにするためになされると解されているので、ドイツ刑法34条の規定に該当するとされています。

条文としては、
ドイツ刑法34条
生命、身体、自由、名誉、財産又はその他の法益に対する現在の、他に回避し得ない危険において、自己又は他人の当該危険を回避するために行為を行った者は、対立する諸利益、特に問題となる法益や、法益に対する危険の程度を衡量して、保全利益が侵害利益を著しく優越する場合には、違法に行為したものではない。但し、このことは、当該行為が当該危険を回避するために相当な手段である場合に限り、妥当する
となります。

深町 晋也「刑法におけるディレンマ状況と自動運転―ドイツ刑法学の桎梏を通じて」から引用

対ボットネットの法律問題の総合的考察 その5-ISPの義務について

Liis論文では、ISPや法執行機関、学術研究者、起業家、政府機関は、サイバードメインを安全にするためにある種の義務をおっているのではないか、という点についての検討がなされています。

法執行機関の位置づけについては、前に触れました。ここでISPについて見てみましょう。

ドイツにおいては、ISPは、その一般的な際は、情報社会の恩恵を可能にすることであって、通信ネットワークのサービスにたいしての危険がある場合には、サービスとネットワークを防護する義務があると解されています。この理は、電子商取引指令、データ保護指令、電気通信パッケージに明らかにされています。

ドイツにおいては、テレメディア法7条において、ネットワークトラフィックをモニターすることを義務付けられていません。
ドイツ刑法138条は、特定の犯罪の計画または、その実現を知っていないがら、当局に告知しないのは、犯罪とされるのですが、ボットネット自体は、この138条の対象犯罪(138 条 計画された犯罪行為の不通報で、1 項 1 侵略戦争の予備(80 条)、2 81 条から 83 条 1 項の場合における内乱、3 94 条から 96 条,97 条 a 若しくは100 条の場合における反逆若しくは対外的安全の危殆化 、4 146 条,151 条,152 条の場合における通貨偽造若しくは有価証券偽造若 し く は 152 条 b 第 1 項 か ら 3 項の保証機能付き支払用カード及びユーロチェック用紙の偽造、5 謀殺(211 条),故殺(212 条)若しくは民族謀殺(国際刑法典 6 条)若しくは人道に対する犯罪(同法典7 条)若しくは戦争犯罪(同法典 8条,9 条,10 条,11 条若しくは 12 条)など、あとは、省略) とはされてはいません。また、コンピュータ犯罪が生じたことに気がついたとしても当局やユーザに対して、通知する義務は、存在しません。
(ちなみに、138条については、ドイツ刑法各論講義ノート:国家的法益に対する罪 の300頁を参照しました)

もっとも、ドイツ電気通信法109(5)条は、ISPの義務として、ITインフラまたは電気通信サービスに深刻なセキュリティの違反があった場合には、直ちに連邦ネットワーク庁(Bundesnetzagentur)に伝えるべき義務を定めています。これによって、連邦ネットワーク庁は、詳細な情報を求めることができます。
また、必要であれば、連邦ネットワーク庁は、連邦情報セキュリティ局(BSI)、他のEU加盟国の規制当局やENISAに連絡します。また、BSIは、一般社会への連絡をなすこともあれば、ISPにたいしてそのようにするように伝えることもできます。

ISPは、ボットネットから影響を受けた場合には、場合によっては、利用者に対して、利用者のコンピュータが感染している/サービス提供に対する危害のみならず機器への危害を与えることを知った場合には、その旨を伝えることもできます。これは、契約書からもまた、ドイツ民法242条からも根拠づけられるとされています。

研究者について検討すると、ドイツ刑法138条の犯罪を報告する義務は、単にボットネットがあるというのを知っているだけでは成立しません。しかしながら、もし、上述のドイツ刑法138条の犯罪(支払用カードの偽造など)がボットネットを通じてなされている(具体例はなかなか思いつきにくいところですが)というのを了知したときは、この犯罪を通知する義務が発生します。

企業について考えると、犯罪報告の懈怠に関する規定は、法人には、適用がなされません。

ドイツ刑法14条は、他人のための行為としての可罰性を認めていますが(「フィンランドにおける法人の 刑事責任の規定について」参照)、企業の代表者は、犯罪が(たとえば、無権限アクセス)自ら、もしくは、従業員がその企業のためになされた場合のみ、間接的侵入者としての責任を負います。

ドイツ民法31条は、企業が、その代表者の行為について、もし、企業活動において第三者に損害を与えた場合には、責任をおうことを明らかにしています。

その結果、ボットネット対策の途上において、第三者に対して責任が発生した場合には、ISPは、責任を負うことになります。

これらの義務づけ等は、わが国では、同等のものは、存在しないものと考えられるかと思います(セキュリティ侵害が個人情報漏洩を引き起こした場合を除く)。義務によって、一定のセキュリティを守るというのが効果的か、というのは、また、別個の問題を引き起こしそうです。

 

対ボットネットの法律問題の総合的考察 その4-法執行機関の積極的行為

政府(法執行機関、その他の政府機関)のボットネット対応について考えてみましょう。

政府は、ボットネットに対して、何ができて、何ができないか、また、何をしなければならないのか、という論点です
ここで、Liis論文をもとに、ドイツの議論をみてみましょう。

法執行機関についていえば、ドイツ刑事訴訟法152条の強制起訴の原則から、法執行機関は、ボットネットに関する十分な事実関係を把握したのであれば、行動をとることが義務付けられます。
刑事訴訟法160条によると、検察庁は、犯罪の嫌疑があることを知った場合、直ちに捜査を開始することになり(同161条)、捜査の終了時に、検察官は、控訴を提起するための十分な根拠があるかどうかを決定しなければならないとのことです。

ボットネットの構築と運営は、複数の刑罰法規に該当するのであり、事実関係が明らかになった場合には、相当な嫌疑を正当化することになるでしょう。この場合には、公訴を提起する義務があることになります。この義務を満たさない場合には、申立人は、公訴を強制する権限を有することになります(同刑事訴訟法172条)。

法執行機関が、強制的な契機をもった活動をなしうるのか、という問題があります。具体的には、法執行機関が、みずから、もしくは、ISPに対して、ボットをテイクダウンするように命じることができるのか、ということです。

ドイツにおいては、連邦警察が、公共の安全を保護しなければならないことを定められています(連邦警察法典70条)。ここでいう、公共の安全には、国民の基本権(基本法2(2)条)、個人の自由(同)、移動の自由(同11(1)条)、家庭の不可侵性(同13条)が具体的に守られるべきものとして含められています。

ボットネット対応は、一次的には、地域警察(regional Länder Police)の管轄と考えられています。もし、ボットネットが、見つかった場合には、警察は、警察法に従って、公共の安全、もしくは、生命、物的インテグリティが脅かされる場合においては、捜索命令(地域警察法41条、42条)もしくは、サーバの没収命令(同43条、44条)を取得することになります。そして、その命令に基づいて、警察は、テイクダウンを行うことができることになります。ISPに対して、C&Cサーバを遮断することを命じて、それに基づいて遮断をさせることは、より制限的ではない介入であると考えられていることから、没収(同43条)の権限に含まれると解されています。

さらに、問題のC&Cサーバが、実際に、公共の安全への危険もしくは公共の秩序の破壊にいたっている場合には、地方警察法の一般規定によってテイクダウンが正当化されうる。そのような場合には、警察は、ボットマスター、C&Cサーバのホスティング者、ISP、感染したコンピュータの保有者に対して、活動を停止するように要求することができます。この要求を拒絶した場合においては、警察は、代替執行の手法をなしえます。

その余の手法としては、警察は、、データやキーストローク、通信、利用者の行動を監視する目的のために、トロイの木馬を利用するオンライン捜索命令を取得するという手法がありますが、議論があるところです。2007年ドイツ連邦最高裁は、オンライン捜索命令は、ドイツの法システムに存在しないとし、オンライン捜索命令は、基本権に対する重大な侵害であるとしました。また、2008年に、オンライン捜索命令は、予防的警察手法であると決定した。これを許容するには、法的な根拠が憲法に備わっていないとならないとしました。それゆえに、このような手法は、ボットネット対策に対しては、適法な選択肢ではないとされています。

では、日本の議論になります。

ボットネットの構築もしくは、運営が刑事法的に犯罪になりうるのか、という問題があります。この点について、日本で議論されている文献は、少ないように思えます。検索した限りでは、夏井先生の「サイバー犯罪の研究(一)――DoS 攻撃(DDoS 攻撃)に関する比較法的検討――」あたりのみでしょうか。

実際には、DDos攻撃/スパムに利用されるわけなので、電子計算機損壊等業務妨害罪(もしくは、通常の業務妨害罪)の証拠となる物件ということになるものと思われます。
ボットネット自体(というか、感染したボットやハーダー・コンピュータ)も、究極的には、
刑法19条1項
次に掲げる物は、没収することができる。
1 犯罪行為を組成した物
2 犯罪行為の用に供し、又は供しようとした物
(略)
ということで、「犯罪行為の用に供し、又は供しようとした物」ということになるのではないか、と考えられます。

なので、ドイツの議論がそのまま適用されることになるのかと思います。もっとも、問題は、その感染したボットやハーダー・コンピュータが、物理的に、国外に存在するという場合です。サイバードメインで行われている行為であっても、その電気通信の伝達に使われる「物」が、物理的に存在している国の法執行機関の権限はおよびます。物を、捜索し、押収すれば、いいわすです。その一方で、海外に存在している場合には、その物理的に存在している国に対して、捜査協力を依頼することになります。ただ、国によっては、協力を要請されたとしても、これに応じないという国があるので、問題が深刻化することになります。

このような観点から、法執行機関が、何らかの強制的契機を有する活動をできないか、という問題になります。

「警視庁、日本標的の不正送金ウイルス「無力化作戦」に乗り出す ボットネット特定し対策」(2015年4月)にあるように、無力化作戦として、どのような手法が使えるかということになります。
これについては、むしろ、民間企業がなすことができるのか、という話を検討した方がいいので、そのところで検討することにします。