知りながら、アクセスする行為、またはそのような状態にした者について、 有責であるとしています。 ◆イリノイ州のコンピュータ犯罪法 ( 刑法 ) による犯罪の定義 イリノイ州の刑法では、コンピュータを使った「不正使用」、さらに不正 使用を認識してコンピュータを不正使用して犯す「加重不正使用」、それと は別にコンピュータを使った「詐欺」の 3 点について記述されています。 ネットワークを使った犯罪が行なわれた時、被害が起きた地域が日本であ っても、犯罪を構成する要素として外国の法律が関係することがあります。 犯罪者が外国に居住している場合、または外国のネットワークやマシンを 経由している場合がこれにあたります。そのような場合、海外の個々のコ ンピュータ犯罪法について知っておくことは意味のあることです。イリノ イ州が定義した 3 点の定義を説明し、日本のコンピュータ犯罪防止関連法と 比較します。 ①不正使用 第 1 の「不正使用」とは「コンピュータ保有者から権限を得ることなく、 または授与されている権限を超越し、次の 4 行為をした者」としています。 ( a ) コンピュータまたはコンピュータを構成する部分 ( プログラム、デー タ ) に対してアクセスした者、アクセスできるようにした者 ( b ) データやサービスを入手する目的で、コンピュータまたはコンピュー タを構成する部分 ( プログラム、データ ) に対してアクセスした者、 アクセスできるようにした者 ( c ) コンピュータに損害を加える、または破壊する、またはコンピュータ またはコンピュータを構成する部分 ( プログラム、データ ) に対して アクセスした者、アクセスできるようにした者 ( d ) コンピュータまたは他のコンピュータに損害を加え、または破壊する プログラムを使用 ( または使用を試みようと ) した者。またはコンピ ュータのユーザーが損失を受けることを認識してコンピュータもしく はコンピュータのプログラムに対し、「プログラム」の使用または使用 を試みようとした者 第 6 章◎情報リスクに関わる法律 197
ウイルス文ソフト どの企業でも一度は被害にあったことがあるコンピュータウイルス。 対策ソフトの導入は、今やピジネスマナーた。 ◆企業にとって、今や日常のリスク「コンピュータウイルス」 コンピュータウイルスによる被害については、本書の第 1 章で詳しく紹 介しました。ウイルスの種類は躍刈年 7 月の時点で 5 万種類を突破しており、 その被害は毎年増加の一途を辿っています。 このコンピュータウイルスによる被害を防ぐ方法の一つとして、ウイル ス対策ソフト ( 別名 : ワクチン対策ソフト ) の導入が挙げられます。 KPMG の調査によれば、調査対象企業でウイルス対策ソフトを導入してい る割合は、南アフリカで 1 開 % 、日本で 97 % 、米国や英国でも開 % を超えて います。今やワクチンは企業にとって、ウイルス対策に必要不可欠なソフ トウェアとなっているのです。 ではここで本節の主人公、コンピュータウイルスとワクチンの歴史を振 り返って見ることにしましよう。 ◆コンピュータウイルスとワクチンの歴史 情報リスクの一つ、コンピュータウイルスとは、自己増殖する悪性のソ フトウェアの一種です。コンピュータウイルスが初めて世の中に登場した のは、 19 年のことでした。このコンピュータウイルス「パキスタンプレイ ン」は、もともとプログラミングの応用問題として 1970 年代に研究されてい たものでした。 コンピュータウイルスが問題になった当初、感染者に何らかの被害を与 える悪意のコードを含んだウイルスを開発するには、マシンや OS に関する 知識と特殊なプログラミング技術が必要でした。また、 こうしたウイルス は 1 鰍 ) 年まで、フロッピーディスクを主な感染経路としていました。 フロッピーディスクの場合、感染して直ぐに発症すると、他の多くのマ 122
( a ) から ( c ) までは、物理的なコンピュータだけでなく、電子的な信 号、コンピュータによって計算されたデータやコンピュータが処理するた めの手続き ( プログラムや定義された設定 ) までが不正使用の対象に含ま れています。ソフトウェアやデータも財産として定義し、コンピュータ犯 罪を防止しているのです。 ( d ) に関してポイントとなるのは、最後の「プログラム」です。この プログラムに関する定義はありませんが、現在のコンピュータ犯罪と照ら し合わせると、コンピュータウイルス、ワーム、ロジックポム、バックド アであることが推測されます。 さらに「使用を試みようとした行為」のプログラムという点を考慮する と、範囲は広がります。システムの脆弱性を調査するポートスキャン ( 走 査 ) 行為や、ネットワーク間を流れる情報を獲得するスニフィング ( 盗聴 ) 行為はハッカーが通常試みるものです。コンピュータ犯罪を防止する為に 設けられたコンピュータやプログラムの稼動状況を調査、回避などを支援 するプログラムを仕掛ける行為は、もはや当たり前の行動になりつつあり、 こういった行為も対象に含まれるのです。 日本でも、現在では刑法 2 条、 259 条「電磁的記録破棄妨害」のように、 電磁的記録の破壊、改ざん、消去する行為も不正使用の罰則の対象となっ ています。 ②加重不正使用 第 2 の「加重不正使用」とは、コンピュータ不正使用を次の 2 点を認識 して行なった者としています。この 2 点とは次の通りです。 ・州、地方自治体もしくは公共団体の不可欠なサービスに対して、業 務の中断、または干渉を行なうこと 一人以上に対して、身体的に大きな損傷、死亡に至る可能性を大き く発生させること 加重不正使用を定めている背景には、コンピュータが市民へ与える影響 の大きさがあります。実際に躍刈年 2 月には、生命の危機には影響を与えま せんでしたが、公共機関に対する分散型 D 攻撃がありました。このような 攻撃が公共サービスに行なわれた場合、業務の中断が予測されます。日本 198
セキュリテイボリシー策定後の作業 これまでの社内規則などを、セキュリティポリシーの策定に併せて 修正するなどの作業カ吮生する。 ■従来の規則の見直し 認定取得のための作業 ・ポリシーは、一度作れば終わりというものではない 発生したリスクに対処する 「インシテント・レスポンス」 発生しないようにするための「情報リスクマネジメント」に対し、 発生した後にどうするのかを検討しておくのかが「Ⅲ」。 ■起こってしまった場合の対策を考える旧 ・旧体制の構築ステップ ・・ 114 116 第 4 章 「セキュリティテクノロジー」の最先端 国ウイルス対策ソフト どの企業でも一度は被害にあったことがあるコンピュータウイルス。 対策ソフトの導入は、今やピジネスマナーた。 ■企業にとって、今や日常のリスク「コンピュータウイルス」 ■コンピュータウイルスとワクチンの歴史 ・インターネットの普及がウイルスの悪質化を後押しした ? ■ますます凶悪化するコンピュータウイルス ! ■コンピュータウイルス犯を法的に処罰できるのか ? ■ウイルスワクチンも進化している 122
米国の法整備事情 日本より整備が進んでいる米国の法律も、情報リスクに 対する法の考えを理解する上で参考になる。 ◆コンピュータ犯罪防止法 米国のコンピュータ犯罪防止法は 19 年に制定されましたが、最初にこの 法律で刑を受けたのは当時幻歳の大学院生ロバート・モリスでした。事件が 起きたのは 1 的 8 年 11 月 2 日のことで、彼は作成したコンピュータウイルスの 一種であるワームをネットワーク上に流し、全米各地の研究所や大学にあ る約 6 万台のうち、台のコンピュータに被害を与えたのです。 このワームは、犯人のロバート・モリスが遊び心で作ったもので、幸い なことに与える被害は感染コンピュータのメモリリソースを使い切るだけ で、データを変更したり、消去することはありませんでした。 結局、ロバート・モリス本人が出頭したために裁判となりましたが、同 法では最高禁固 5 年、罰金万ドルと規定されていたために問題となりまし た。というのも、直接的な被害金額としては万ドル、間接的な被害総額 まで含めると万ドルと推定されていたからです。しかし最終的に連邦地 裁は、 1 鰍 ) 年 5 月に罰金 1 万ドル、奉仕活動 48 時間、保護観察 3 年の有罪判 決を下しました。 ◆州によって法律の異なる米国 現在米国には、 1 年に国家情報インフラ防護法が制定され、コンピュー タに関する詐欺およびその他の行動まで含めた犯罪を防止する法律があり ます。しかし米国の場合は、州の法律によってもコンピュータ犯罪防止に 関する法律があるのが特徴です。コネチカット州では、州刑法の第 53 条 a - 251 で「コンピュータ犯罪」を規定し、不正アクセスについて記述していま す。またデラウェア州の州刑法でも第 932 条不正アクセスに関する記述が あります。共に、コンピュータシステムにアクセスする権限がないことを 196
コンビュータウイルスの鰄 今日、日常的に被害か認されているコンピュータウイルスは、 今後もさらに進化し続ける。 ◆世界規模の情報リスク、コンピュータウイルス 2 開 1 年 7 月下旬に CodeRed というコンピュータウイルスが登場し、世界中 で猛威を振るいました。マイクロソフトによれば、このウイルスは、 9 日間 で 25 万台に感染したとされています。またそれから約 2 ヶ月後の 9 月に、今 度は Nimda というウイルスが発見されました。 Nimda は複数の感染経路 ( 電 子メール、ホームページ閲覧 ) を持っウイルスで、マイクロソフトはウイ ルス対策としてサポート用のフリーダイヤルを設けました。 両ウイルスについては、感染した ()S が中国語版か否かでウイルスの動き が異なることが確認されているため、犯人は w ⅲ dows の中国版に関係して いる者と推測されました。しかし、未だに捕まっていません。 ◆犯人はわかっても賠償請求は困難 ? コンピュータウイルスによる被害は日本国内でも増加していますが、犯 人が特定されることは極めて稀です。また、たとえ犯人が特定されても、 被害に対する賠償を請求することは少ないと言われています。というのも、 被害者側の金銭的な負担が大変大きくなってしまうからです。 コンピュータウイルスの被害に対して被害の賠償を請求するためには、 ウイルスの被害を明らかにして、感染経路を特定する必要があります。ま た、もし犯人が外国に住んでいる場合、両国間の法律に照らし合わせて犯 人を訴えることになります。これらの行為は、大変な時間がかかり、結果 として相当なコストが原告側 ( 被害を受けた企業 ) にのしかかるのです。 また、 2 ( Ⅱ ) 年に猛威を振るった L()VELETTER ウイルスの場合、フィリ ピン国家捜査局がマニラ市内に住む犯人を突き止めたのですが、法律が整 備できておらす、急遽法整備に着手するという一幕もありました。 28
ロ不正アクセス禁止法が制定される背景 国内におけるコンピュータ犯罪の増加 1 2 3 4 パソコン通信の旧 & パスワード盗用 金融機関におけるオンライン詐欺 インターネットの商品利用可能に伴うクレジットカード情報の売買 ハッカーによるホームページの改ざん 海外における国際犯罪対策の重要性の高まり 1986 年 経済協力開発機構 (OECD) 「コンピュータ犯罪 ( 立法政策の分析 ) 」 1998 年 バーミンガム・サミット「ハイテク犯罪と闘うための原則と行動計画」 1988 年 情報処理関連不正行為に関する法律 ( フランス ) 1990 年 コンピュータ不正使用法 ( イギリス ) 第 6 章◎情報リスクに関わる法律 191
では 281 年 3 月末に文部科学省を含めた数サイトで、韓国を中心にネットデ モが行なわれました。これによって国民が文部科学省のサイトのサービス を利用できない被害を受けています。 ネットの負荷攻撃を行なうプログラムの使用だけでは、不正使用の対象 にはなりません。そこで「加重不正使用」を設けることによ。て、一正使 用と組み合わせて、公共のサービスの継続性の妨害を禁止する効果力ある のかもしれません。なお日本では、加重不正という形で不正アクセス禁止 法で特に明記されていません。 ③詐欺 第 3 の「詐欺」とは、次の 3 つの行為を犯すものとしています。 ・詐欺の陰謀もしくは手口の考案または実行を目的として、コンピュ ータもしくはその構成部分 ( プログラム、データ ) にアクセスした者 またはアクセスされるようにした者 ・乍欺の陰謀もしくは手口に関係して、コンピュータもしくはその構 成部分に損害を与え、もしくは破壊した者、またはその中に含まれ ているプログラム、データを変更、削除、移動した者 ・コンピュータもしくはその構成部分、プログラム、データにアクセ スして、詐欺の陰謀もしくは手口の考案または実行との関係で利益 を得て金銭、財産、サービスに対する支配を獲得した者 こで対象となっている「詐欺」とは、単純にコンピュータを使った詐 欺だけでなく、詐欺を支援する手段としてコンピュータにアクセスする行 為まで含まれている点が特徴です。コンピュータによる詐欺行為に対して は、被害金額が比較的明確に把握できるために金額によって判決がでるよ うになっています。 1 ) ドル以下、Ⅱ ) ドル超えて 5 万ドル未満、 5 万ドル以 上の 3 つの段階に分かれています。 ーこでは業務処理を 日本では刑法幻 6 条「電子計算機使用詐欺」があり、 不正に操作して財産上不法に利益を獲得する行為を罪としています。 一三ロ 第 6 章◎情報リスクに関わる法律 199
◆コンピュータウイルス犯を法的に処罰できるのか ? ウイルスの作成者と対策者とのイタチゴッコに見える争いは現在でも続 いていますが、最近はウイルスの作成者が逮捕されるケースも増えてきて いるようです。まだ多くの国々では、ウイルスを作成するだけでは法律違 反とはなりません。しかし今、サイバーテロが可能なサイバー兵器として コンピュータウイルスが注目されていることもあり、ウイルス対策に新し い動きが起きています。たとえば、サイバー犯罪条約 ( → 1 制 P ) によるウ イルス作成、保持の禁止もその一つといえます。 ◆ウイルスワクチンも進化している 次々とコンピュータウイルスが変化 ( 進化 ? ) していくことに対して、 対策ソフトも新しい技術で対抗しています。 ある対策ソフトメーカーでは、顧客から届けられるウイルスらしき怪し いファイルやプログラムを自動解析するシステムを構築しています。もし 新種のウイルスを発見した場合は、対策ソフトで検出できる定義ファイル を自動生成させることができるように改良されています。ウイルスの一部 を暗号化しているウイルスでは自動解析できない場合もありますが、その 時はウイルス専門の技術者が対応します。 それでも新手のウイルスによっては、ウイルスのパターンが変化して、 特定できないタイプもあります。そのような場合には、ウイルスの行動 ( 振る舞い ) を監視して特定することが可能です。たとえば、電子メールを 一度に大量に自動的に送付するなど、通常のプログラムでは行なわない振 る舞いをアプリケーションが行なえば、それはウイルスの仕業である可能 性が高いと考えられます。ウイルスのパターンを比較して発見する方法が 静的検査と言われているのに対して、このようにウイルスの振る舞いを調 べることによって検知する方法は動的検査と言われています。 こうした体制が世界に分散していて、幻時間体制でコンピュータウイルス の被害を最小にする努力を行なっているのです。 126
◆インターネットの普及がウイルスの悪質化を後押しした ? インターネットによって情報が自由に発信できるようになると、ウイル スの作成者が、ウイルス作成プログラムをホームページで公開するように なりました。このプログラムをダウンロードすれば、誰でも簡単にウイル スやワーム ( → 2 盟 p ) を作成できる環境を手に入れられるのです。このよ うにインターネット上で公開されているウイルス作成プログラムの数は、 現在確認されているだけでも実に種類を超えています。中でもアルゼンチ ン在住の匿名 ] によって作られたウイルス作成ツールは、通常の対策ソフ トでは検知できないウイルスを生成することが可能で、世界中で感染して 大きな被害を与えました。 新種のウイルスが登場すると、そのウイルスを改良して凶悪なウイルス に改造する人が現れ、さらに亜種のウイルスが誕生するという悪循環も見 逃せません。現在、ウイルス対策ソフトを提供する企業には、新種ウイル スと亜種のウイルスの両方への対応が求められているのです。 ◆ますます凶悪化するコンピュータウイルス ! 当初は単純に自己増殖するだけのプログラムであったコンピュータウイ ルスも、今ではより悪性のものへと変化を遂げています。大きく分類する と、次の 3 つの方向へ進化しています。 ①感染対象の増加 OS やソフトウェアなど、次々と新しい商品が世に送り出されていますが、 それら新しいマシン環境の登場に合わせてコンピュータウイルスも次々と 増え続けています。携帯端末用 O s である p a I m O s に感染する Palm. Phaeg. Dr 叩 per 、 MacOS に感染する Aut ta れ 9 5 、仮想マシン上の ()S である Java に感染する JavaApp. StrangeBrew 、オープンソースな ()S である L ⅲに対して感染するラーメンワームがその一例です。 新しい OS やアプリケーヨンがいくら登場しても、コンピュータウイルス の脅威は逆に増えているのが現状なのです。 124