不正アクセスについて
プレビュー版 version 1.0
by 高橋郁夫
Ikuo TAKAHASHI
Practicing Lawyer
E-mail comit@po.infosphere.or.jp
序章 無権限アクセスについての法的問題点
すでにいいふるされた問題であるが、昭和62年刑法改正においては、単なる無権限アクセスについての刑事的処罰は見送られた。当時の判断としては、たしかに時期尚早という要素もあったものと思われるか、そのご、ネットワーク化の発展、大衆化に伴って、また、この無権限アクセスの問題が、もう一度、見直されてきたことも、説明するまでもないことである。
この議論の流れのなかで、「不正アクセス」とは、無権限アクセスという意味で議論されていた。例えば、「コンピュータに対する不正アクセスとは、他人のコンピュータについて、権限なく、命令し、通信し、または、データを記憶させ、もしくは検索するなどの利用をおこなうことをいい、他人のコンピュータを権限なく利用する行為一般をさす広い概念である」とされている。しかし、わが国において、この「不正アクセス」という用語が厳密にこの文脈で使われてきたのかについては、非常に問題がある。
第1章 警察庁報告書における「不正アクセス」の用語について
第1項 序
いわゆる「不正アクセス」の問題点について、警察庁では、「不正アクセス対策法制に関する調査研究報告書」(以下、警察庁報告書という)を発表して、不正アクセスに対する対策法制が必要であるとしている。以下、この報告書を、参考に、クロスボーダー時代での実体法的な規制問題について検討していくこととする。この報告書の結論的な部分であるが、国際的な問題意識などの観点からいくとき、「不正アクセス」に対する対策が必要であるという提言は、結論的には、非常に興味を引かれる。しかしながら、大雑把な方向性を書き記すというのであれば格別、セキュリティの観点からみた法律家による厳密な議論の進め方という点からいくと、そこでは、「不正アクセス」という言葉で、なにを意味しているかが、残念ながらはっきりしておらず、むしろ、「不正アクセス」の問題点というよりもネットワークのクロス・ボーダー的性格や、ディジタルデータの匿名性などの性格から起きる問題点を「不正アクセス」の問題点としている点が見受けられ、議論の曖昧さが、その議論をくもらせていると批判することができるものといえる。
具体的には、「『なりすまし』は、アクセス権限を有するものの識別情報を盗用する等して権限外のアクセスを行うこと、すなわち、不正アクセスそのものであるということができる」(警察庁報告書13頁)という表現を例にとることができよう。「不正アクセス」というのは、一般的には、セキュリティの議論においては、無権限アクセスのことをいうのが、一般的であるといってよいであろう。その意味で、この報告書の「不正アクセス」という表現は、一般的な表現に反している。例えば、私が、だれか他の人の名前を語って、だれでも申し込める通信販売のサイトで、売買を申し込んで、ものを特定の場所に送ってもらって、それを受け取って、どこかに逃げていく、報告書の文脈から行くと、このような行為も「不正アクセス」の問題といえそうである。しかしながら、通信販売のサイトは、だれでもアクセスして、購入者のようにふるまえるのである。すくなくても、従来は、これを「不正アクセス」という概念ではとらえてこなかったはずである。これを「不正アクセス」という文脈でとらえると異様に広い問題点を包含することになる。
また、「なりすまし」というのを、IDおよびパスワード盗用という文脈でとらえているのも問題があるようにおもわれる。一般的に「なりすまし」という言葉を聞いたときに、コンピューターセキュリティの教科書を読んだことがある人の世界では、spoofingを思い浮かべると思われる。とくに「」をつけて技術的用語としたときはそうである。このspoofingは、技術的な問題なしに勝手に他人の名義を詐称することもあるし、また、TCP/IPの持っている特徴からなりすましをなす場合もある。
したがって、この警察庁報告書の用語および論の進め方を分析しつつ検討することは、むしろ、わが国で混乱している用語を整理するための非常によい参考資料(反面教師か)となるであろう。
第2項 警察庁報告書の検討
警察庁報告書は、14頁以下において、具体的な問題点をあげている。
(ア)の事案については、だれでも、プロバイダには契約は申し込め、これに対してパスワードが、発行されるのは当然である。むしろ、それを前提に、ファイルの書き換えをさた朝日放送のサーバこそが、一般には、「不正アクセス」の被害者である。
このプロバイダが、「不正アクセス」されたという用語法は、すくなくても奇異な感じを受ける。
(イ)の事案について、これは、アクセス・コントロールを直接にやぶっているわけではなかろう。これも奇異な感じがする。
以下、この報告書の例における用語について、論じることはしないが、この14頁以下の用語については、問題がおおいといえよう。
むしろ、従来の「不正アクセス」という用語との関連では、18頁以降のCERT報告書の例が適切である。このうち、sendmailに対する攻撃、INNに対する攻撃、CGI悪用の攻撃が、従来の「不正アクセス」という用語で検討されている問題であろう。
警察庁報告書は、このような「不正アクセス」という用語をコンピュータセキュリティで用いられている無権限アクセスとは違う意味での用語として、いままでの文脈より広い意味で用いており、そして、一定の方向性を示そうとしている点が特徴的である。この用語の特徴は、識別情報の取得についての問題をその識別情報の所有者との関係で考える点にある。一般的には、むしろ、コンピュータのセキュリティの分野での検討は、システムの管理者からみた「不正アクセス」を考えるのに、警察庁は、識別情報の所有者から考える。例えば、セキュリティの教科書は、みんなホストとユーザ、システムとその管理者、ユーザの認証という考え方をするのに警察庁が、そのようなアプローチをとるのか、不思議なところである。
この特殊な用語の利用法が、この報告書の論理をくもらせていることは批判されてしかるべきである。すくなくても、外国の法制の紹介においては、そこでの不正アクセスという用語は、アクセスコントロールに対する侵害という観点で論じられている。また、報告書31頁以下における記述もアクセスコントロールに対する侵害という観点から論じられている。これに対して、25頁から、30頁の部分での不正アクセスという用語は、識別情報所有者の意思に反するアクセスという用語法が用いられている。
このような観点からするとき、「不正アクセス」に対する対策の必要性をとく警察庁の報告書が、このような用語に対する曖昧な利用法からなされた点は極めて残念であるといわなければならない。
サイトにおけるシステム管理者の意思に反するアクセスという問題(厳密には、セキュリティポリシーでまもられた「識別」「認証」というプロセスに反するアクセス)は、コンピュータシステムが一つのシステムを形作っている以上、一つの保護すべき法益として考えることもできようが、自分の所有権を有する情報の意思に反する利用が、コンピュータ情報に限って特別に刑事的な罰に値するという考え方は、何故に、そうなるのか、きわめて疑問なところである。
第2章 「不正アクセス」と法律的な概念の位置づけ
第1節 セキュリティと「不正アクセス」
1 「不正アクセス」の用語
「コンピュータ犯罪 Q&A」41頁において、「コンピュータに対する不正アクセスとは、他人のコンピュータについて権限なく、命令し、通信し、またはデータを記憶させ、もしくは検索するなどの利用を行うことをいい、他人のコンピュータを権限なく利用する行為一般をさす広い概念であ」るとされており、「これは、現行刑法の文書偽造罪、業務妨害罪、詐欺罪または窃盗罪に当たる行為と実質的には同様の行為、その前段階的行為、さらに現行刑法が処罰の対象としてはいない情報の不正入手、コンピュータの無権限使用などに当たる行為などがあ」ると指摘されているところである。
一方で、セキュリティの教科書などで、「不正アクセス」という行為態様が論じられている。セキュリティで分析されている具体的な攻撃が、厳密にいくと、法律的には、どのような意味を持つものであるかという点を検討することは、議論の厳密化に大変、役にたつのであろう。そこで、従来、わが国のなんらかのなかで広い意味で、「不正アクセス」という言葉が用いられてきた行為態様を分析し、それの法律的な位置づけをしておくこととする。
2 攻撃方法と広義の「不正アクセス」
わが国で「不正アクセス」という言葉が使われた状況を整理すると以下のように整理できるとのことである(IPAの宮川寧夫氏からの教示による)。
ア-能動的な行為
・侵 入
・利用不能攻撃(これは、その方法によって過負荷を与えることによるものと例外処理不能な情報を与えるものとがある)
・なりすまし(これは、ヘッダ侵入、これによる業務妨害、などがある-にせのルーティング情報は、侵入者がパケットのデータを監視しているホストへのパケットの転送引き起こす)
イ-受動的な行為
・トロイの木馬、Webトロイの木馬
これらをコンピュータシステムとの関係で考えていくときに、どのような観点から整理されるかという問題がある。
まず、これらは、いずれもデータ・セキュリティに対する攻撃ということがいえる。これらの攻撃を、法律的に分析したときに、どのようなことがいえるか。
3 コントロールのオブジェクトの問題
「不正アクセス」という概念を、整理していくときに、コンピューターのシステムとの関係で考えることべきか否かというのが、一つのきっかけとなる。このシステムというのは、「サイト」と定義したほうが正確と思われる。「サイト・セキュリティ・ハンドブック」(http://www.ipa.go.jp/SECURITY/rfc/RFC_2196_index.html)によれば、「『サイト』は、コンピュータやネットワーク関連資源をもつあらゆる組織体を意味します。」と定義されている。
少なくても、「識別情報所有者の意思に反するアクセス」という視点を、「直接には」考慮に入れるべきではないものと思われる。「不正アクセス」を、「無権限アクセス(Unauthorised access)」として、純化すべきであると思われる。これを情報の場合に当てはめると、アクセスコントロールの下にある情報の保護が、保護の必要性ということになろう。前述したように、システムは、アクセスに関して、「識別」と「認証」というプロセスを経由して、行われる(「コンピュータセキュリティの基礎」83頁)。そうだとすると、このプロセスにより情報が保護されるべきであり、逆にいえば、そのプロセスと関係のない「攻撃」は、「不正アクセス」という論点で論じるべきではなく、少なくても議論の純化のためにはそうであるいえる。
4 「情報財産犯」と「その他の攻撃」
上述したように、一つのサイトでセキュリティレベルで保護されているデータおよびプログラム(あわせて以下、情報という)の保護の問題と、それ以外の問題については、別に論じられることとなる。
この観点から見た場合、スパムや利用不能攻撃もこの論点として捕らえるべきではないことになる。この場合は、メールボックスは、だれでもつかえるのであり、その性質を悪用しているのである。そして、そのメールボックスのファイルを書き換えているというのも、それ自体には、認証などは必要ない。したがって、このような場合を、「不正アクセス」という用語のもとで論じるのは、混乱を導くのみであるといえよう。
また、トロイの木馬、ウエブ・トロイの木馬という問題もある。これは、むしろ、上記の「識別」に関する情報の収集方法ということである。むしろ、アクセスコントロールの関係では、その侵害に対する準備的な行為という位置づけのほうが妥当であろう。
セキュリティレベルで保護される情報という観点から考えるから、例えば、コンピュータサービスの不正利用という「サービス」の利用という点もこの考察から別の観点からの問題提起ということになる。
第2節 「情報財産犯」の具体的な行為類型
「サイトでセキュリティレベルで保護されている情報」の保護について、これに対する攻撃の法的な位置づけを厳密にするために、思考の実験として、「情報財産犯」とでもいうべきものを考えてみることにする。
1 「情報財産犯」の思考実験-領得罪と毀棄罪、単なる覗き見
財産犯罪においては、(不法領得の意思に基づいて)その財産の占有を移転することによって、犯罪が成立するかどうかの一つのメルクマールになる。財産犯については、占有の移転ということを考えることができた。では、これに対して情報の場合はどうか。まず、ストアされた情報を経済的な価値をあるものと捕らえ、一つの財産権として考えることとする。情報セキュリティで議論されているオブジェクトをそのまま、法で保護されるべき「財産」としたらどうなるかということである。
この時、「情報の不正取得」というカテゴリーを考えれば、「情報をその経済的な価値として利用する意思をもって情報を読める立場(アクセス状態)になる行為」ということができるであろう。そして、これ等の行為は、さらに、その得るための手段などによって細分化されることになる。このような行為を「領得アクセス行為」と捕らえることは可能であろう。
一方、これに対して、情報を経済的な価値として利用するという要素が、かける行為があるものと思われる。この行為としては、データの損壊行為と、データの移転をたんに、移転してきたという実力を見せびらかすためだけの行為があげられよう。また、その実力を見せびらかす行為の過程で、自己の侵入の証拠をけすためにログ等を書き換えるという行為もここに当てはまることになろう。
そうだとするとは、保護される情報についての攻撃についても、「領得アクセス行為」と「それ以外の行為」に分けることができ、「それ以外の行為」においても、「情報毀棄行為」と「正確性侵害行為」と「見せびらかし」に分けられることが分かる。
2 システム管理者の意思に反する場合と瑕疵ある意思に基づく場合の分類の可否
まず、財物に対する占有移転について、窃盗、暴行・脅迫を手段としての強盗・恐喝、虚偽の告知による詐欺などがあるが、システムにストアされている情報に対して、かかる分類のコロラリーを考えることができるかという問題がある。
サイトにおける情報セキュリティについては、その管理者が、しかるべきセキュリティのポリシーに基づき、認証についてのポリシーを定め、それが、現実に、「識別」と「認証」というプロセスを経由して運用されて、サイトへのアクセスが行われることになる。では、その場合には、システム管理者の意思に反する移転、意思に基づくが瑕疵ある意思にもとづくものという分類が可能であるかという問題がある。
まず、アクセス自体はいうまでもなく、コンピュータシステムにおける認証のシステムであるから、そのシステムの意思に基づくとか、もとづかないかという分類はナンセンスである。しかしながら、アクセスにも、たとえば、メールサーバーのセキュリティの弱いところをついて、ファイルについて読める状況になることはある。また、その他の方法で、「識別」「認証」というプロセスを、実質的に、バイパスすることはできる。また、バイパスしないまでも、パスワードのよわさを物理的限界というのをついてアクセスするということは可能である。現実にこのようなて攻撃方法は、「ブルートフォース」法と呼ばれているところである。一方、これらに対して、従来の不正アクセス方法により、ないしは、いわゆる「ソーシャル・エンジニアリング」などにより、他人の「認証情報」を取得して、正当な権限を有するユーザーになりすまして、アクセスするということも考えられる。これが、警察庁のいう「なりすまし」である。
以上のように考えていくと、「識別」「認証」プロセスとのかかわり方によって、「窃取的アクセス」「暴力的アクセス」「欺罔的アクセス」にわけることは有意義であるように思われる。
第3節 「その他の攻撃手段」の法的な位置づけ
1 概 観
では、サイトにおける情報に対するアクセス行為以外の行為としてどのようなものがあり、それらが、どのようなものとして法的に位置づけられるかという問題がある。
スパム・利用不能攻撃やトロイの木馬、ウエブ・トロイの木馬などの行為について考えなくてはならない。また、コンピュータ・サービスの不正利用については、どうか。さらに、spoofingといわれている行為も、むしろ、その行為の実体からみると、この「その他の攻撃手段」として捕らえるべきもののようにも思える。
2 従来の議論と法律的な位置づけ
昭和62年の刑法改正をめぐる議論において、コンピュータ関連の不正行為については、電磁的記録の文書性という問題は別として、
1 その記録の文書としての信頼を保護すべきである
2 コンピュータシステムは、「業務」としての要保護性を持つ場合がある、
3 コンピュータシステムが、手段として用いられ、財産の利得がなされる場合がある
という視点から議論さるべきことが、明らかにされていた。
また、具体的に警察庁の報告書においては、きわめて広い「ハイテク犯罪」という観点から、証拠の確保を困難にする行為という側面も含まれているように思われる。
これらの観点から、従来の「その他の攻撃手段」を法的に位置づけることは有意義であろう。
スパムや「サービス妨害」攻撃については、現在の刑法を前提とするとき、電子計算機損壊等業務妨害罪の適用の可能性が問題になるものと思われる。「サービス妨害」攻撃については、ルーターを攻撃する方法によるときも、トラフイック過負荷で、利用不能に陥らせる場合いずれでも、かかる観点から分析されるべきものであろう。
トロイの木馬などについてはどうか。これは、いわば、他人から詐欺的な手段をもちいて、その認証情報を聞き出すものである。ソーシャル・エンジニアリングのオンライン版的な側面もあり、現行刑法での対応すべき類型について、該当を見つけ出すのが、やや、困難な行為類型であるといえよう。あえていえば、むしろ、認証情報自体の詐欺的取得ということができるのであろうか。また、TSRによるパスワード傍受も同様の位置づけができる。
spoofingについてはどうか。これは、パケットのルーティング情報を変更して、贋のルーティング情報をあたえ、そこでパケットの誤った転送を引き起こす行為を意味するものとして特に使われる(以下、spoofingというときはこの意味)。このspoofingは、その過程で、システムに対してのアクセスのための情報を収集することもできるし、また、そのパケットの中身を書き換えることもできる。この行為を法的にどう位置づけるかという点についていえば、むしろ、このspoofingが、なんのためになされているのかということである。認証情報の収集のためにspoofingがなされているのであれば、トロイの木馬などと同様の観点から考えるべきであるし、また、なんらかの業務妨害を図ろうとするのであれば、「サービス」妨害などと同様である。パケットの中身の書き換えによって財物を得ようとしたのであれば、むしろ、電算機利用詐欺との関係で検討が必要となる。
第3章 具体的な立法に際して検討すべき事項
第1節 サイトにより保護されている情報に対する攻撃とそれ以外の攻撃
本稿では、サイトにより保護されている情報に対する攻撃とそれ以外の攻撃についてわけることが議論の純化にふさわしいと考えられる。ここでは、以下、便宜上、「サイト攻撃」と「一般攻撃」と仮に名前をつけて論じる。
第2節 一般攻撃
前章で検討したような結果から、このような一般的攻撃については、
1 「業務」としての要保護性の問題
・スパム、サービス妨害、spoofingの一部などがこれにあたるものと考えられる。これらは、コンピューターネットワークの全体としてのシステムの一部の機能を損なうものである。もっとも、これが実際に、例えば、電子計算機損壊等業務妨害罪に該当するかは、議論のおおいところである。
(詳細は未完)
2 「サイト攻撃」のための準備的行為
・トロイの木馬、ウエブ・トロイの木馬、spoofingの一部などがこれにあたるものと考えられる。これらは、いずれも、サイトにおけるアクセスのための、認証情報を入手するための手段ということになる。
これらについて、認証情報の所有者の意思に反して取得すること、そして、その意思に反した利用、譲渡その他の行為を刑事的な形で処罰すべきではないかが問題となる。
これらの行為の可罰性を考えるときに、そのようなネットワーク以外の手段で、認証情報を取得する場合についての可罰性とのバランスなどを考える必要がある。例えば、誕生日や、個人のデータを収集する行為じたいは、それ自体では、可罰的ではない。ゴミ箱をさがしてみて、パスワードの書いてある紙をひろってきても、それ自体では刑事的な問題は生じないはずである。これらの行為について、「サイト攻撃」のための準備的な行為であるとして、なんらかの刑事的処罰を考えるのは、かなり問題が多いものといえよう。
もっとも、何からの形で、集積されたデータの保護というのは、一つの問題である。しかしながら、それらは、「サイト攻撃」のための準備行為からの考察という観点からは、はずれることになる。
3 データ自体の信用保護
spoofingなどにより、メッセージの内容が書き換えられていたとしては、そのメッセージ自体の信用性がそこなわれる。もっとも、この攻撃に対しては、ハッシュ関数をもちいた技術的な対応により、対処しうることは、種々論じられているとおりである。この種のspoofingは、場合によっては、電磁的記録不正作出罪、供用罪に該当することがあろう。
それ以外に、ネットワークにおける、かかる行為に対して特別に刑事的対応を加える必要があるかどうかについては、かなり疑問であるといえよう。
第3節 「サイト攻撃」行為
1 「サイト攻撃」行為の法的位置づけ
「不正アクセス」というタイトルのもとで、検討されるのにふさわしいものとしては、サイト攻撃行為であろうというのが、本稿の問題意識である。いうまでもなく、情報セキュリティの各概念が、セキュリティレベルによって保護される情報を中心に概念が組み立てられている以上、それを法的に保護されるべきものとする考え方は、方向性自体としては、一定の合理性かあるものといえる。
かかる「サイト攻撃行為」は、前述したように、「領得アクセス行為」と「それ以外の行為」にわけられ、「それ以外の行為」も、「情報毀棄行為」「正確性侵害行為」「みせびらかし」に分けられることになる。
2 「領得アクセス以外の行為」
サイトでもって一定のセキュリティレベルで保護されている情報について、これにアクセスしても、それを破壊したり、アクセスでの過程でログを改ざんしたりすることがある。また、純粋に、ファイルをコピーし、そのセキュリティをやぶったことを自慢する場合も、可能性としては、あることになる。
情報の破壊についていえば、この情報が他人の権利義務に関することであれば、電磁的記録毀棄罪ということになる。また、破壊が徹底的でそのシステムの効用をそこなえば、器物損壊ということもありえよう。また、別の観点からであるが、電子計算機損壊等業務妨害罪の適用も考えられる。現行法としては、かかる場合にしか、刑事罰の適用を認めていない。立法論として、上記以外の情報について、サイトでセキュリティレベルをたもって、蓄積されていた情報の破壊を、格別に刑事的な規制で保護する必要があるかどうかは、微妙な問題であろう。どちらにしても、その情報が、かなり高度なセキュリティレベルで保護さているときに限って、その情報の損壊の可罰性が大きくなるということについては検討の余地があるであろう。
では、侵入の証拠であるアクセスログなどを書き換えることによることはどうか。たしかに、データの「正確性」については、これを侵害されたということになる。しかしながら、情報の破壊についても、特定の場合以外については、刑事罰による保護を強化すべきとも思われず、この正確性の侵害行為についても、これをなんらかの刑事罰の対象とする必要があるかきわめて疑問である。
次にたんなる「見せびらかし」の問題である。ファイルの書き換えなどをしないで、セキュリティホールなどをついて、純粋にアクセスのみをして、そのデータを取得して、それを「見せびらかす」という行為が実際に、どれだけ現実的なのでなあるという問題はあるとしても、これについては、とくに、刑事的規制になじむかはかなた疑問の余地がある。すくなくても、そのようなアクセスを禁ずるような完全なセキュリティがとられているときにはじめて、そのような「みせびらかし」のための「アクセス」の違法性が問題になるのであろう。
3 「領得アクセス」行為について
サイトで、アクセスのコントロールのための「識別」「認証」というプロセスがとられるときに、なんらかのかたちで、そのプロセスを破り、経済的に利用する意思でもって、その保護されている情報にアクセスする行為は、その保護されている情報の価値の高さ故に、なんらかの方法で抑制すべき必要がある。具体的には、「窃取的アクセス」「暴力的アクセス」「欺罔的アクセス」の三つが考えられることについては、前述した。
システムのセキュリティホールをつくなどの方法により、認証のプロセスを経ないで、アクセスしうる立場にたつ行為については、可罰性が高いものと思われる。システムのバグなどをつく形でのアクセスについては、一定の高度なセキュリティを必要とする情報については、不正アクセスに対して、これを可罰的なものとすることも可能なように思われる。
この場合には、むしろ、営業秘密の保護制度との類似性が、参考になるものと思われる。
ブルートフォース法によるアクセスについては、どうか。このような場合には、アクセスに失敗したという記録は、システムについてのログとして残るはずである。この段階で、システムとして、侵入を不可にすればいいのであって、はたして刑事的な処罰というのが妥当であるかは、かなり疑問である。
では、なんらかの手段で、認証情報を取得して、アクセスした場合にはどうか。現在の考え方によれば、虚偽の情報を与えて、かかるサービスをえたということになれば、電子計算機利用詐欺の可能性は、ありえないことはない。問題は、むしろ、サービスの提供そのものではないとしても、その情報じたいが、一定の価値をもつものとしての可罰性を考えるということであろう。営業秘密とのバランスを考えて、このような場合にもなんらかの刑事的な制裁という考え方は、十分に考慮に値するが、現在の、法制度の、財物としでの利益を重視するアプローチについても、十分合理性があり難問であるといえよう。
暫定的なまとめ
以上のような検討の結果、「不正アクセス法制」を考えるときに、まず、なにをもって不正アクセスとかんがえるか、とくに、その保護されるべき対象を何ととらえるかが、問題である。そして、サイトのセキュリティを中心に考えたときには、そのアクセスの手段・態様によって、種々の形態に別れるのであって、ここの類型ごとに、その行為の性格・対応手段・その悪性などの見地から分析しなくてはならず、「不正アクセス」による被害は甚大である、よって、この禁止法制度を考えるべきというようなアプローチは、とられるべきではないといえる。
Copyright (C) 1998 Ikuo Takahashi, all rights reserved.
Uploaded (on the Web) : Apr/22/1998