対ボットネットの法律問題の総合的考察 その8-ドイツにおける乗取り、ボット中立化技術

ドイツにおける乗取り、ボット中立化技術にわけて、具体的な法的問題を分析しようと考えています。このシリーズのエピソード8になります。
なんといっても、セキュリティの防衛のために、侵入・改変というハッカー技術をつかうことができるのか、使ってでも防衛すべきなのではないか、というダークサイドとライトサイドのせめぎ合いが、その本質的な問題を提起するものといえるでしょう。
というか、エピソード8というのは、このようなものでなければならないはずですね。

ボットネットの乗っ取り

ハニーポットが、通信の当事者、テイクダウンが、通信停止に比較すると、「乗っ取り」というのは、防御側がボットへの侵入に成功し、偽のC&Cサーバからの通信を受けいれるように成功することに特徴があります。

「乗っ取り(takeover)」のためには、暗号を破り、マルウエアやC&Cサーバのソフトウエアのリバースエンジニアリングをします。ホストの感染を解毒することで、効果的、かつ早急にボットネットを破壊することができるようになります。感染したワークステーションにパッチを配布することでセキュリティ脆弱性を除去することができ、感染から予防/停止することができます。
しかしながら、遠隔で、除去をはかることは、処理の誤動作やシステムクラッシュを招きかねません。その意味で、種々の法律問題を惹起するといえるでしょう。

ドイツ刑法において、ボットネットの乗っ取りは、データスパイと「ハッキングツール」の利用に関する202a条(データエスピオナージ)と202c条(データの探知及び取得の予備-ハッキングツール利用)の問題を惹起します。
202a条は、でふれました。

刑法202条c データの探知及び取得の予備
 1 データ(第202条a第2項)へのアクセスを可能にするパスワード若しくはその他のセキュリティ・コード、
又は
2 これらの行為の遂行がその目的であるコンピュータプログラム
を作成し、自ら入手し又は他の者に入手させ、販売し、他の者に譲渡し、頒布し又はその他アクセスさせることにより、第202条a又は第202条bに定める犯罪行為の予備を行なった者は、1年以
下の自由刑又は罰金に処する。
第149条第2項及び第3項が準用される。

とされています。これらの犯罪の成否については、行為者の意図(benevolence)は、関係がないとされている。なので、いかに防御の趣旨であるとしても、202a条(データエスピオナージ)と202c条(ハッキングツール利用)に該当するものと考えられるのです。実務は、不確実性があるとされていて(Liis論文 42頁)、起訴の可能性は存在しうるとされています。

また、そのような乗っ取りについては、機密メッセージの侵害(ドイツ刑法206条)などの懸念も起こりうるとされています。

ボットネットの乗取りの手法としては、遠隔解毒と自動的解毒があります。

ドイツ法のもとでは、遠隔解毒は、刑法202a条(データの探知), 303a条(データ改変)および 303b条 (予備においても処罰規定がある)に該当します。また、侵入と感染解除は、データ改変(303a)に該当します。元の状態に戻すためであろうと、さらなる罪を犯すためであろうと、そのような心理状態は、犯罪の成否に関係ないとされています。

また、予期せぬ被害を惹起したとすれば、ドイツ刑法303b条(コンピュータサポタージュ)にも該当します。感染解除が、プログラムもしくはOSへのダメージを惹起しうることの未必の故意(Dolus Eventualis)で足ります。

 自動的検疫/解毒(Automated Immunisation or Disinfection)

ホストの感染解除の方法として侵入して、ボットネットを乗っ取ってしまうことは一つの方法になります。しかしながら、マルウエアの特定の挙動を分析して、特に感染の機能を見る場合には、感染を広げる脆弱性を明らかにすることができます。
特に、拡散に利用されるの脆弱性というのは、限られたグループになっているのが、一般的です。そこで、問題の脆弱性を標的とする自己増殖機能をもつ「ホワイトワーム」を開発することができます。ホワイトワームは、感染が探知されると、ホストの感染を検疫し、脆弱性を修補してきれるものです。

このような自動的手法については、具体的なデータの認識がないとされるので、感染したシステムについて、202a条(データの探知)と202c条の適用の可能性はありません。
もっとも、いわゆるコンピュータサポタージュ(ドイツ刑法303b条)およびデータ改変(303a条)について該当の可能性があります。
ホワイトワームは、プログラムや機能についてダメージを与える影響があります。その結果、自動的検疫/解毒は、正当化事由が適用される可能性がより低くなり、刑罰的行為といえます。

 脆弱性を修補するといういわば、相当の理由があるとしても、「解毒」(一方的な脆弱性の修補によるボット感染の解除)が、同意によるものとするわけではないことは、留意が必要です。
暗黙の同意自体は、正当化事由となるものの、上記のように正当化事由が認めがたいということがあれば、訴追されるリスクが残存している(303C条)ということになります。

データを変更することになって、それが、OSの機能やプログラムを損なう可能性があるとすると、同意は、認められることは、ありそうにはないでしょう。ボットネットが、緊急の危難の要件を満たした場合には、緊急避難の原則が認められるけれども、特に第三者が影響を受ける場合においては、そのような緊急避難が、適用されないということは十分に起こりうることになります。

これは、保有者に対して、自分で、解毒するようにと促すというより侵入的ではない手段がある場合には、なおさらそういえます。
 なお、これらの罪に対しては予備の罪も存在してます(データ改変に関して、303a(3)、202c コンピュータサボタージュについて303b (5), 202c)。

例外的事情のもとでのボット中立化技術

緊急事態状態もしくは国家緊急においては、国民の憲法上の権利を侵害するので、通常の状況のもとでは、認めがたい手法であっても、許容される余地が生じうることになります。Liis論文では、46頁以下で検討されています。

ドイツの基本法においては、緊急原則は、国家が防衛の自体における場合のみ認められます(基本法115条a(1))。
第115a条(概念および確認)
1 連邦領域が武力で攻撃された、またはこのような攻撃が直接に切迫していること(防衛事態)の確認は、連邦会議が連邦参議院の同意を得て行う。確認は、連邦政府の申立てに基づいて行われ、連邦議会議員の過半数かつ投票の3分の2の多数を必要とする。
2 即時の行動が不可避とされる状況で、かつ、連邦議会の適時の集会に克服しがたい障害があり、または議決不能のときは、合同委員会が委員の過半数かつ投票の3分の2の多数をもって、この確認を行う。
3 確認は連邦大統領により、第82条に従って連邦法律官報で公布される。これが適時に可能でないときは、他の方法によって公布されるが、可能な状況になったときは、直ちに連邦法律官報で追完しなければならない。
4 連邦領域が武力で攻撃され、かつ、権限を有する連邦機関が1項1段による確認を即時に行うことができる状況にないときは、この確認は行われたものとみなされ、かつ、攻撃が開始された時点で公布されたものとみなされる。
5 防衛事態の確認が公布され、かつ連邦領域が武力で攻撃されたときは、連邦大統領は、連邦議会の同意を得て、防衛事態の存在についての国際法上の宣言を発することができる。2項の条件のもとにおいては、合同委員会が連邦議会に代わるものとする。

基本法115条a(1)の定めによれば、防衛状態かどうかは、ドイツ連邦議会(Bundestag )および連邦参議院(Bundesrat)によって定められます。

表現の自由/情報の自由は、公共の安全/秩序に対して危険が生じる場合のみに制限される。これらの場合は、ドイツ刑事訴訟法および16の警察法において述べられています。それらの例外は、非常に保守的であり、それぞれの場合において必要な事実を考察しています。

対ボットネットの法律問題の総合的考察 その7-ドイツにおけるハニーポットとC&Cサーバのテイクダウンの合法性

Liis論文をもとに、ドイツにおけるボットネット対応手法の法的位置づけを考えるというマニアックなメモも、やっと個別の手法の分析です。(Liisさんは、エストニア法の担当で、ドイツの担当は、他の方かもしれませんが、それは、ご容赦のほどを。)

Liis論文ですと、26頁から、データ保護についての分析が加わります。IPアドレスは、個人データと解されることが明らかになってきているので、EU域内において、サイバーセキュリティの法律問題を考えるときに、個人データ保護との相剋というのは、きわめて重要な問題になってきているところです。ただ、わが国だと個人情報保護法の執行が微妙なところもあるので、今回は、この部分の比較分析は、省略します。またの機会にしたいと思います。

(1)ハニーポット

33頁からハニーポットの手法による検討になります。

「ハニーポットとは、資源が、無権限で、あるいは、不正に利用されることに価値がある情報システムリソースである」と定義されています(「ハニーネットプロジェクト-汝の敵を知れ」15頁参照)

『カッコウはコンピュータに卵を産む』にある「SDIネット」が代表的なもの、ということになります。この仕組みは、あえて、通信の当事者となるように設置されている点がその余の攻撃者の行為を探知する仕組みと異なっているということができます。(法律家的には、そうならば、「ハニーポットとは、攻撃者の動向等の調査のために、セキュリティ的に脆弱に維持された通信の当事者である端末、もしくは、リソースをいう」とかのほうが、正確なような気がしますが、それは、それで、上のハニーネットプロジェクトの定義が一般化しているので、そこは触れないことにします)

ハニーポットを用いた情報の収集行為の法的問題については、わが国においては、あまり論じられていません。上記ハニーネットプロジェクトの8章がアメリカの法律について触れており、また、付録Gで園田さんの解説があります。が、それ以外には、正面から論じた論文は、すぐにでてきません。

ハニーポットをこのような見地からみるときに問題となるのは、一つは、ボットマスターからのメッセージを含むのみではなく、他のメッセージ(トラフィックを拡散するように命じられたボットオーナーのもの)を含むということになります。その意味で通信の機密性を侵害する(宛て先とされていないで託されたメッセージを送信者の意図に反してなすこと)リスクがあるとされています。いま一つは、プライバシの懸念ということになります。この場合は、データ保護に反するということです。

Liis論文は、これらの問題をドイツ法に基づいて分析しています。

ボットマスターやボットが一方当事者であって、サービスプロバイダーのがもう一方である場合において、サービスプロバイダーが、通信データを分析することは、電気通信システムの妨害等を認識し、制限し、除去するために限って認められます。さもないと、ドイツ刑法206条に基づいて「電気通信の秘密」侵害/電気通信法88条.テレメディア法7条(2)の義務違反/個人データ保護法違反に該当することになります。特定のボットネットの活動の場合に限って、電気通信システムが妨害されるときといえると解されています。その結果、ドイツにおいて、ハニーポットでのパケットやトラフィックデータの分析が合法的になしうるのは、限定された場合ということになります。

プロバイダーの観測の結果を、独立の研究者に開示することが許されるかというのもハニーポットの調査においては、問題になります。この場合、通信当事者の同意がある場合、データの匿名化がなされた場合、裁判所命令等が存在する場合、などに限って許容されるということになります。

ボットマスターやボットが一方当事者であって、独立の研究者がもう一方の当事者である場合においては、みずからに向けられた通信データをモニターすることは、データ傍受(ドイツ刑法202b条)には、該当しません。また、「特別に無権限アクセスから保護された」ものではないので、その点からもデータ傍受に該当しません。
もっとも、データ保護法の問題点があり、研究者は、その研究によって、データ保護法の取扱・利用規定から除外されるべきという利益を明らかにする必要があります。

(2)C&Cサーバのテイクダウン

Liis論文35頁からは、C&Cサーバのテイクダウンの法的問題についての考察をしています。

ここで、テイクダウンと一般的に表現していますが、手法としては
ア)DNS名称の消去( disconnecting the identified C&C server(s) by deleting its DNS name)
イ)宛先トラフィックのブラックホールへの移動による利用停止( making the C&C server(s) unavailable by black-holing the traffic directed to it)
ウ) 物理的差押(physically seizing the C&C server(s))
エ) ISP等のプロバイダによる接続停止(disconnecting the C&C server(s) by the ISP or the cloud service provider hosting it)
があることになります。

コマンド・コントロールサーバのテイクダウンの法的位置づけについては、テイクダウンの法的な根拠があるのかということとコマンド・コントロールサーバの場所に左右されることになります。

法的な根拠としては、まず、CERT は、それ自体としては、C&Cサーバのテイクダウンを命じる権限を有することはありません。これに対して、ISPは、一定の資源に対して、一般的なセキュリティ義務について、消費者保護、利用契約における制限の可能性を用いてそれをなしうることになります。また、法執行機関からの要請がある場合には、ISPは、制限をなすことを義務付けられます。

法執行機関が、それ自体法律の根拠に基づいてテイクダウンする場合については、「対ボットネットの法律問題の総合的考察 その4-法執行機関の積極的行為」で検討しておきました。

ドイツにおいては、C&CサーバがホストされているISPは、民法314条に基づいてサーバを遮断/利用契約を終了させる権限を有しています。
この314条については、谷口 聡「ドイツ民法典314条の規定とその民法体系上の位置−ドイツ債務法における「継続的債務関係」諸規定の構造−」という論文があります。
ドイツ民法314条 重大な事由による継続的債務関係の告知
(1)継続的債務関係は、両当事者が、重大な事由により告知期間の遵守なしに告知しうる。告知する当事者にとって、個別事例のすべての事情を考慮し、かつ、両当事者の利益を考量して、合意された終了時までの、または、告知期間徒過の時までの契約関係の存続を要求しえない場合は、重大な事由が存在する。
(2)重大な事由が、契約に基づく義務違反にあるときは、告知は、除去のために定められた期間の徒過の後、または、催告がなされても不奏功に終わった後に初めて許容される。323条 2 項が準用される。
(3)権利者は、彼が告知原因を知った時、相当な期間内においてのみ告知をなしうる。
(4)損害賠償を請求する権利は、告知により排除されない。
と定められています。(条文は、上記谷口論文から引用です)

実際にも利用契約に記載されているのが一般であるとされています。

上記のような法的権限を有しないで、テイクダウンを行うという場合においては、刑法等に該当しないことを確かにしないといけないことになります。具体的には、ドイツ刑法303a条(データ変造)、
303b条(コンピュータサボタージュ)の違反について検討しなければなりません。
これらの罪の構成要件は、
ドイツ刑法303a条(データ変造)
(1) データ(第 202 条 a 第 2)違法に消去し、隠蔽し、使用不能にし、または変更した者は、2年以下の自由刑または罰金に処する。
(2) 本条の未遂は罰する。
303b条(コンピュータサボタージュ)
(1) 他人にとって本質的に重要であるデータ処理を第 303 条 a 第1項の行為をおこなうことによって妨害した者/損失を与える意図をもって202a条(2)のデータを入力し、送信する者/データ処理システムまたは、キャリアを破壊し、毀損し、使用不能にし、除去しまたは変更する者は、何人も、3年下の自由刑または罰金に処する。
(略)
となります。

C&Cサーバのテイクダウンは、データ処理の運営に対する介入と解されています。(もっとも、接続を停止するのみであれば、電気通信の秘密の侵害とは解されていません)しかしながら、ドイツ刑法34条(緊急避難)、ドイツ民法227条、228条の正当防衛、自力救済に該当するのであれば、刑罰を免れることになります。

C&Cサーバの遮断が、ISPの機能や安定性を確保するためになされる場合においては、電気通信法100条に基づいて、法的な利益を確かにするためになされると解されているので、ドイツ刑法34条の規定に該当するとされています。

条文としては、
ドイツ刑法34条
生命、身体、自由、名誉、財産又はその他の法益に対する現在の、他に回避し得ない危険において、自己又は他人の当該危険を回避するために行為を行った者は、対立する諸利益、特に問題となる法益や、法益に対する危険の程度を衡量して、保全利益が侵害利益を著しく優越する場合には、違法に行為したものではない。但し、このことは、当該行為が当該危険を回避するために相当な手段である場合に限り、妥当する
となります。

深町 晋也「刑法におけるディレンマ状況と自動運転―ドイツ刑法学の桎梏を通じて」から引用

対ボットネットの法律問題の総合的考察 その6-ドイツにおける通信の秘密の保護とISP

その5においてISPの活動についても検討したので、Liis論文に基づいて、ドイツにおける通信の秘密について見ていくことにとしましょう。

なお、ドイツの通信の秘密については、資料としては、石井先生の論考「第 6 章ドイツにおける有害プログラムの刑事的規制」と笠原先生のメモ(情報セキュリティ大学院大学 「インターネットと通信の秘密」研究会)「インターネット時代の「通信の秘密」各国比較」があります。

まずは、エストニア刑法137条は、特定の人に関して意図的に情報を収集する行為に対して無権限監視の罪 を定めていますが、ドイツ法は、エストニア刑法137条に比すべき規定を有していません。通信手段を用いて接触を図りストーキングレベルに達した場合(ドイツ刑法 238条(1) 2号-これについては、「ストーカー行為罪に関する解釈論と立法論の試み」があります)に犯罪になるにすぎません。

通信の秘密 に関する規定としては、ドイツ刑法 206条、電気通信法 88条、テレメディア法 7条(2)、違法なデータ取得(ドイツ刑法202a条)、違法なデータ傍受(同 202b 条) があります。

具体的には、ドイツ刑法206条(郵便/電気通信の秘密の侵害の禁止)は、電気通信・データ送信途上の秘密を保護しています。例えば、同条1項は「郵便もしくは電気通信の秘密にかかる第三者の事実であって郵便または電気通信サービスを提供する企業の保有者もしくは従業員として知り得た事実を違法に開示するものは何人も5年以下の懲役または罰金に処する」と定めています。
この保護は、事実や通信の内容のみならず、通信課程の即時の状況も保護されます( 5項2文)。接続しようとして失敗したという状況も保護されます(同項3文))。
また、 IPアドレスも通信の秘密に含まれます。パケットやトラフィックデータも含まれて、通信の秘密として保護されます。
この結果、ISPの関係者が、この状況を第三者に開示した場合、犯罪が成立します。これに対して、取得のみについては、犯罪を成立させることはありません。しかしながら、同一の会社内においても犯罪が成立することになります。
206条は、電気通信・データ送信途上の場合に適用されます。この規定は、事実や通信の内容のみならず、通信課程の詳細な状況も保護しています(同条5項2文)。接続しようとして失敗したという状況も保護されます(同項3文)。 IPアドレスも通信の秘密に含まれます。また、パケットやトラフィックデータも含まれて、通信の秘密として保護されます。C&Cサーバとボットの間の通信を観測する行為は、禁止された行為になります。
ISPの関係者が、この状況を第三者に開示した場合には、犯罪が成立します。一方、通信に関するデータの取得のみは、犯罪を成立させることはありません。しかしながら、同一の会社内においてもデータを共有することは、犯罪が成立します。

電気通信法88条は、電気通信の秘密を電気通信プロバイダーの法的義務としています。
電気通信法88条1項は、

通信の内容(Inhalt)および詳細な状況(ihre näheren Umstände)(特に、人が電気通信を行ってしていたか否か)は、通信の秘密となる

と規定しています。また、同条2項は「すべてのサービス提供者(Dienstanbieter)は、電気通信の秘密を維持しなければならない。その義務は、業務終了後も継続する」と定めています。
テレメディア法7条は、 2 項で、他人の情報を伝達・保存した場合は、当該情報に違法な行為がないかを監視・調査する義務がないことを定めています。もっとも、1項で、プロバイダ自身が情報を発した場合は通常の法律の適用を受けることを明記しています。

また、電気通信の過程においてのみ、電気通信の秘密で保護されて、その後は、データプライバシーの規定で保護されます。違法なデータ取得(ドイツ刑法202a条)の規定は、

 202条a データの探知(Aussphaen)
(1) 権限がないのに(unbefugt)、自己のために予定されておらずかつ無権限(unberechtigt)のアクセスに対して特別に保護されているデータを、取得しまたは他人に得させた者(sich oder einem anderen verschaffen)は、3年以下の自由刑または罰金に処する。
(2) 1項の意味におけるデータは、電子的、磁気的またはその他直接認知しえない形態で貯蔵されまたは伝送されるものに限られる。

というものです。
ISPやCERTによるパケットやトラフィックデータの監視は、データの違法な取得(202a条)に違反しません。同条は、暗号、パスワード保護等が同条による保護のためには、必要としているからです。

パケットとデータの監視は、202b条のデータ傍受(§ 202b Abfangen von Daten)の規定に違反します。
202b条データ傍受(§ 202b Abfangen von Daten)

 みずから宛になされていない、または、第三者に対するデータ(202条a(2))を、非公共のデータ取扱施設、もしくは、データ取扱施設の電磁的放送から、技術的手段に用いて違法に傍受するものは  (略)2年以下の懲役または罰金に処する

と定めています。

通信の内容に関していない通信データは、この規定では、保護されていません。非公共のデータ取扱に関して無権限の傍受を処罰するものになります。ここで「非公共の」といっているのは、不特定多数の人がアクセスしうる通信は、この規定では保護されないということになります。

ISPやCERTは、通信システムに対する妨害エラーを認識し、排除するためのアドホックなパケットと通信データの検査をなしうるにすぎません。また、このデータは、独立のリサーチャーに共有されてはならないことになります。

当然のことですが、同意があれば、刑罰の成立を妨げることになります。しかしながら、同意については、事前の情報の提供と明確な同意の提供が求められています。

また、裁判所命令に基づいてなされる場合には、犯罪にはなりません。

対ボットネットの法律問題の総合的考察 その5-ISPの義務について

Liis論文では、ISPや法執行機関、学術研究者、起業家、政府機関は、サイバードメインを安全にするためにある種の義務をおっているのではないか、という点についての検討がなされています。

法執行機関の位置づけについては、前に触れました。ここでISPについて見てみましょう。

ドイツにおいては、ISPは、その一般的な際は、情報社会の恩恵を可能にすることであって、通信ネットワークのサービスにたいしての危険がある場合には、サービスとネットワークを防護する義務があると解されています。この理は、電子商取引指令、データ保護指令、電気通信パッケージに明らかにされています。

ドイツにおいては、テレメディア法7条において、ネットワークトラフィックをモニターすることを義務付けられていません。
ドイツ刑法138条は、特定の犯罪の計画または、その実現を知っていないがら、当局に告知しないのは、犯罪とされるのですが、ボットネット自体は、この138条の対象犯罪(138 条 計画された犯罪行為の不通報で、1 項 1 侵略戦争の予備(80 条)、2 81 条から 83 条 1 項の場合における内乱、3 94 条から 96 条,97 条 a 若しくは100 条の場合における反逆若しくは対外的安全の危殆化 、4 146 条,151 条,152 条の場合における通貨偽造若しくは有価証券偽造若 し く は 152 条 b 第 1 項 か ら 3 項の保証機能付き支払用カード及びユーロチェック用紙の偽造、5 謀殺(211 条),故殺(212 条)若しくは民族謀殺(国際刑法典 6 条)若しくは人道に対する犯罪(同法典7 条)若しくは戦争犯罪(同法典 8条,9 条,10 条,11 条若しくは 12 条)など、あとは、省略) とはされてはいません。また、コンピュータ犯罪が生じたことに気がついたとしても当局やユーザに対して、通知する義務は、存在しません。
(ちなみに、138条については、ドイツ刑法各論講義ノート:国家的法益に対する罪 の300頁を参照しました)

もっとも、ドイツ電気通信法109(5)条は、ISPの義務として、ITインフラまたは電気通信サービスに深刻なセキュリティの違反があった場合には、直ちに連邦ネットワーク庁(Bundesnetzagentur)に伝えるべき義務を定めています。これによって、連邦ネットワーク庁は、詳細な情報を求めることができます。
また、必要であれば、連邦ネットワーク庁は、連邦情報セキュリティ局(BSI)、他のEU加盟国の規制当局やENISAに連絡します。また、BSIは、一般社会への連絡をなすこともあれば、ISPにたいしてそのようにするように伝えることもできます。

ISPは、ボットネットから影響を受けた場合には、場合によっては、利用者に対して、利用者のコンピュータが感染している/サービス提供に対する危害のみならず機器への危害を与えることを知った場合には、その旨を伝えることもできます。これは、契約書からもまた、ドイツ民法242条からも根拠づけられるとされています。

研究者について検討すると、ドイツ刑法138条の犯罪を報告する義務は、単にボットネットがあるというのを知っているだけでは成立しません。しかしながら、もし、上述のドイツ刑法138条の犯罪(支払用カードの偽造など)がボットネットを通じてなされている(具体例はなかなか思いつきにくいところですが)というのを了知したときは、この犯罪を通知する義務が発生します。

企業について考えると、犯罪報告の懈怠に関する規定は、法人には、適用がなされません。

ドイツ刑法14条は、他人のための行為としての可罰性を認めていますが(「フィンランドにおける法人の 刑事責任の規定について」参照)、企業の代表者は、犯罪が(たとえば、無権限アクセス)自ら、もしくは、従業員がその企業のためになされた場合のみ、間接的侵入者としての責任を負います。

ドイツ民法31条は、企業が、その代表者の行為について、もし、企業活動において第三者に損害を与えた場合には、責任をおうことを明らかにしています。

その結果、ボットネット対策の途上において、第三者に対して責任が発生した場合には、ISPは、責任を負うことになります。

これらの義務づけ等は、わが国では、同等のものは、存在しないものと考えられるかと思います(セキュリティ侵害が個人情報漏洩を引き起こした場合を除く)。義務によって、一定のセキュリティを守るというのが効果的か、というのは、また、別個の問題を引き起こしそうです。

 

対ボットネットの法律問題の総合的考察 その4-法執行機関の積極的行為

政府(法執行機関、その他の政府機関)のボットネット対応について考えてみましょう。

政府は、ボットネットに対して、何ができて、何ができないか、また、何をしなければならないのか、という論点です
ここで、Liis論文をもとに、ドイツの議論をみてみましょう。

法執行機関についていえば、ドイツ刑事訴訟法152条の強制起訴の原則から、法執行機関は、ボットネットに関する十分な事実関係を把握したのであれば、行動をとることが義務付けられます。
刑事訴訟法160条によると、検察庁は、犯罪の嫌疑があることを知った場合、直ちに捜査を開始することになり(同161条)、捜査の終了時に、検察官は、控訴を提起するための十分な根拠があるかどうかを決定しなければならないとのことです。

ボットネットの構築と運営は、複数の刑罰法規に該当するのであり、事実関係が明らかになった場合には、相当な嫌疑を正当化することになるでしょう。この場合には、公訴を提起する義務があることになります。この義務を満たさない場合には、申立人は、公訴を強制する権限を有することになります(同刑事訴訟法172条)。

法執行機関が、強制的な契機をもった活動をなしうるのか、という問題があります。具体的には、法執行機関が、みずから、もしくは、ISPに対して、ボットをテイクダウンするように命じることができるのか、ということです。

ドイツにおいては、連邦警察が、公共の安全を保護しなければならないことを定められています(連邦警察法典70条)。ここでいう、公共の安全には、国民の基本権(基本法2(2)条)、個人の自由(同)、移動の自由(同11(1)条)、家庭の不可侵性(同13条)が具体的に守られるべきものとして含められています。

ボットネット対応は、一次的には、地域警察(regional Länder Police)の管轄と考えられています。もし、ボットネットが、見つかった場合には、警察は、警察法に従って、公共の安全、もしくは、生命、物的インテグリティが脅かされる場合においては、捜索命令(地域警察法41条、42条)もしくは、サーバの没収命令(同43条、44条)を取得することになります。そして、その命令に基づいて、警察は、テイクダウンを行うことができることになります。ISPに対して、C&Cサーバを遮断することを命じて、それに基づいて遮断をさせることは、より制限的ではない介入であると考えられていることから、没収(同43条)の権限に含まれると解されています。

さらに、問題のC&Cサーバが、実際に、公共の安全への危険もしくは公共の秩序の破壊にいたっている場合には、地方警察法の一般規定によってテイクダウンが正当化されうる。そのような場合には、警察は、ボットマスター、C&Cサーバのホスティング者、ISP、感染したコンピュータの保有者に対して、活動を停止するように要求することができます。この要求を拒絶した場合においては、警察は、代替執行の手法をなしえます。

その余の手法としては、警察は、、データやキーストローク、通信、利用者の行動を監視する目的のために、トロイの木馬を利用するオンライン捜索命令を取得するという手法がありますが、議論があるところです。2007年ドイツ連邦最高裁は、オンライン捜索命令は、ドイツの法システムに存在しないとし、オンライン捜索命令は、基本権に対する重大な侵害であるとしました。また、2008年に、オンライン捜索命令は、予防的警察手法であると決定した。これを許容するには、法的な根拠が憲法に備わっていないとならないとしました。それゆえに、このような手法は、ボットネット対策に対しては、適法な選択肢ではないとされています。

では、日本の議論になります。

ボットネットの構築もしくは、運営が刑事法的に犯罪になりうるのか、という問題があります。この点について、日本で議論されている文献は、少ないように思えます。検索した限りでは、夏井先生の「サイバー犯罪の研究(一)――DoS 攻撃(DDoS 攻撃)に関する比較法的検討――」あたりのみでしょうか。

実際には、DDos攻撃/スパムに利用されるわけなので、電子計算機損壊等業務妨害罪(もしくは、通常の業務妨害罪)の証拠となる物件ということになるものと思われます。
ボットネット自体(というか、感染したボットやハーダー・コンピュータ)も、究極的には、
刑法19条1項
次に掲げる物は、没収することができる。
1 犯罪行為を組成した物
2 犯罪行為の用に供し、又は供しようとした物
(略)
ということで、「犯罪行為の用に供し、又は供しようとした物」ということになるのではないか、と考えられます。

なので、ドイツの議論がそのまま適用されることになるのかと思います。もっとも、問題は、その感染したボットやハーダー・コンピュータが、物理的に、国外に存在するという場合です。サイバードメインで行われている行為であっても、その電気通信の伝達に使われる「物」が、物理的に存在している国の法執行機関の権限はおよびます。物を、捜索し、押収すれば、いいわすです。その一方で、海外に存在している場合には、その物理的に存在している国に対して、捜査協力を依頼することになります。ただ、国によっては、協力を要請されたとしても、これに応じないという国があるので、問題が深刻化することになります。

このような観点から、法執行機関が、何らかの強制的契機を有する活動をできないか、という問題になります。

「警視庁、日本標的の不正送金ウイルス「無力化作戦」に乗り出す ボットネット特定し対策」(2015年4月)にあるように、無力化作戦として、どのような手法が使えるかということになります。
これについては、むしろ、民間企業がなすことができるのか、という話を検討した方がいいので、そのところで検討することにします。