弁護士法人 モノリス法律事務所03-6262-3248平日10:00-17:00(年末年始を除く)

法律記事MONOLITH LAW MAGAZINE

IT・ベンチャーの企業法務

DoSは犯罪か?電子計算機損壊等業務妨害罪について弁護士が解説

IT・ベンチャーの企業法務

DoSは犯罪か?電子計算機損壊等業務妨害罪について弁護士が解説

電子計算機損壊等業務妨害罪は、昭和62年(1987年)に新設された犯罪です。当時、社会経済の高度成長や技術の発展により、オフィスにもコンピューターが多く導入されるようになりました。

従来ならば人により行われていた作業がコンピューターによって行われ、また業務の範囲も拡大するため、コンピューターに向けられた加害を手段とする業務妨害が想定されるようになり、それに対処するため同法が新設されました。

もっとも制定当時は、コンピューターはまさに発展途上であり、またインターネットも普及しておらず、インターネット犯罪を具体的に予測することは困難でした。さらにこの法律はコンピューター工学や情報科学、一般社会で使用される用語を用いず、刑法典らしい体裁の用語で規定しているため、解釈が様々であり、一般市民にとってはわかりにくい規定ともいえます。

また、本罪は、サイバー犯罪のうちのコンピュータ犯罪と呼ばれる類型の犯罪に対応するものと一般に認識されています。

この記事では 電子計算機損壊等業務妨害罪の詳細について分かりやすく解説します。

DoSアタックとは

DoSアタック(Denial of Service attack)とは、サイバー攻撃の一種であり、攻撃目標のwebサイトやサーバーに足して大量のデータや不正データを送りつけたりして過剰な負荷をかけることで、相手型のシステムを正常に稼働できない状態に追い込む攻撃です。不正アクセスなどのように不正に利用権限をかいくぐったり、ウィルスを介して、システムの制御を奪ったりするものではなく、正規のユーザがアクセス権限を行使するのを妨害します。昔からあるサイバー攻撃の手法ですが、DDoS攻撃(Distributed Denial of Service attack)という分散型タイプの攻撃手法に用いられることもあり、近年でも嫌がらせ実被害が少なくありません。

DoSアタックの種類

DoSアタックは、「フラッド型」「脆弱性型」の2種類に分けられます。

フラッドとは英語の‘Flood’(=洪水)に由来しており、プロトコルを攻略して大量のデータを送り付けることで、攻撃対象が処理しきれない状態に追い込むものです。

一方、脆弱性型は、サーバーやアプリケーションの脆弱性を利用し、不正処理を行わせ、機能を停止させるものです。いわゆる不正アクセスとの区別が曖昧になりますが、例えば、典型的な脆弱性型のDoSアタックであるLAND攻撃とは、送信元と宛先の IP アドレスとポート番号が一致するパケットを送信するものです。少し分かりやすく、単純に説明すれば、攻撃者Aが、攻撃対象となるサーバーBに対して「自分はBなので返事が欲しい」という意味内容のパケットを送ると、BはB自身に対して「返事」を行い、その返事を受け取ったBがまたB自身に「返事」を行い…という現象が繰り返され、無限ループを発生してしまう、というものです。これは、「自分自身が送信元になっているパケットについても返事をしてしまう」という意味での「脆弱性」を利用するものではありますが、パスワード認証などを潜るものではないので、「不正アクセス」ではなく、「脆弱性型のDoSアタック」と整理される訳です。

また、DDosアタックは、ボットウイルスに感染させた数千台のパソコンを遠隔操作し、それぞれからフラッド型のDoS攻撃を行う分散型の手法です。

DoSアタックの仕組み

DoSアタックの仕組みは、通常TCP/IPの範囲内で正当に認められていることを一度に頻繁に繰り返すといった、技術的には単純なものです。例えば、人気アイドルの公演チケットを一般発売で購入しようと販売ページにアクセスすると、同時に多くの人がアクセスをしたために、サイトが重くなったり、ダウンしたりして繋がりにくくなる、という現象があります。DoSアタックは、正当な権限を悪用して、意図的にこのような状況を作り出す攻撃です。

DoSアタックは電子計算機損壊等業務妨害罪にあたるか

では、DoSアタックは犯罪にあたるでしょうか。先ほどの電子計算機損壊等業務妨害罪に当たるかどうかを検討します。

人の業務に使用する電子計算機若しくはその用に供する電磁的記録を損壊し、若しくは人の業務に使用する電子計算機に虚偽の情報若しくは不正な指令を与え、又はその他の方法により、電子計算機に使用目的に沿うべき動作をさせず、又は使用目的に反する動作をさせて、人の業務を妨害した者は、五年以下の懲役又は百万円以下の罰金に処する。

刑法第234条の2第1項(電子計算機損壊等業務妨害)

このように、電子計算機損壊等業務妨害罪の成立には、客観的要件として、

  1. 電子計算機に向けられた加害行為
  2. 電子計算機の動作阻害
  3. 業務妨害

の 3つを充足することと、主観的要件として、これらに故意が貫かれていることが犯罪の成立に必要です。

客観的構成要件充足性

下記について個別に検討していきます。

電子計算機に向けられた加害行為

加害行為(実行行為)としては、

  • 「電子計算機もしくはその用に供する電磁的記録の損壊」
  • 「電子計算機に虚偽の情報もしくは不正の指令を与え」
  • 「またはその他の方法」

のいずれかに当たることが必要です。

これについて、「電子計算機」については、裁判例(福岡高判平12.9.21)が定義を示しているところ、自動的に計算やデータの処理を行う電子装置のことであり、オフィスコンピューターやパーソナルコンピューター、制御用コンピューター等が代表であることについては争いがありません。また電磁的記録については刑法7条の2で定義が示されています。DoSアタックの標的である、サーバーは当然これらにあたるといえます。

「損壊」とは、物理的な破壊だけでなく、データの消去など、物の効用を害する一切の行為をいいます。「虚偽の情報」は内容が真実に反することをいいます。「不正の指令」とは、権限なく当該コンピューターによって処理可能な命令を与えることをいいます。
例えば、フラッド型のDoSアタックを大量かつ集中的に行った場合、攻撃対象のサーバーが過負荷になり、処理が適正に実行できない状態にさせます。このようなアタックは、データを消去するなど「損壊」に至らなくても、サーバー主の意思に反したアクセスであり、権限なく命令を与えているものといえ「不正の指令」にあたります。

電子計算機の動作阻害

「使用目的に沿うべき動作をさせず」もしくは「使用目的に反する動作をさせる」に当たるかどうかが問題になります。誰にとっての使用目的を前提とするべきなのか争いがありますが、本罪の保護法益が業務の安全かつ円滑な遂行であることから、設置者の目的を前提とすると考えるべきでしょう。DoSアタックが行われ、サーバーに過負荷がかかると、サービスが利用不可能になるなど、サーバー設置者が目的とした適正な処理動作が行われなくなることがあります。そのような場合には「使用目的に沿うべき動作」がされないものといえ、動作阻害にあたります。

業務妨害

電子計算機損壊等業務妨害罪は、業務妨害罪(刑法233条,234条)の加重類型ですので、この業務妨害については、通常の業務妨害罪と同様に考えます。すなわち、「業務」とは、社会生活上の地位に基づき反復継続して行う事務のことをいい、「妨害」といえるためには現実に業務が害されることを要しません。
DoSアタックが行われると、設置者がサーバーを使用することによってサービスをインターネット上で提供するという「業務」が妨害されるといえ、業務妨害にあたります。

主観的要件(故意)充足性

これらの要件をみたした上で、故意(刑法38条1項本文)が認められる必要があります。故意とは、上記①から③(構成要件といいます)に該当する事実を認識・認容していることをいいます。これは、相手を妨害するような悪意や害意までは必要なく、そのようなつもりがなくても、「もしかしたらサーバーが落ちて、サービスが利用不能になるかもしれない」という認識があれば、故意が認められうるのです。

岡崎市立中央図書館ホームページ大量アクセス事件

上記に関連して、「岡崎市立中央図書館ホームページ大量アクセス事件(通称Librahack事件)」をご紹介します。

愛知県内の男性(39)が、自作プログラムで図書館ホームページから新着図書の情報を集めたところ、サイバー攻撃を仕掛けたとして逮捕された。しかし、朝日新聞が依頼した専門家の解析によると、図書館ソフトに不具合があり、大量アクセスによる攻撃を受けたように見えていたことが分かった。同じソフトを使う全国6カ所の図書館でも同様の障害が起きていたことも判明。ソフト開発会社は全国約30の図書館で改修を始めた。
 この問題は同県岡崎市立図書館で起きた。ソフトには、蔵書データを呼び出すたびに電算処理が継続中の状態になり、電話の通話後に受話器を上げたままのような状態になる不具合があった。一定の時間がたつと強制的に切断されるが、同図書館では10分間にアクセスが約1千件を超えると、ホームページの閲覧ができなくなり、大量アクセスを受けたように見えたという。
 男性はソフトウエア技術者で、岡崎市立図書館から年に約100冊借りていた。図書館のホームページは使い勝手が悪く、新着図書の情報を毎日集めるプログラムを作り、3月から使い始めた。
 図書館には同月以降、「ホームページにつながらない」と市民から苦情があった。相談を受けた愛知県警は、処理能力を超える要求を故意に送りつけたと判断し、業務妨害容疑で男性を逮捕した。名古屋地検岡崎支部は6月、「業務妨害の強い意図は認められない」として起訴猶予処分とした。

朝日新聞名古屋版朝刊(2010年8月21日)

この事件で逮捕された男性は、岡崎市立中央図書館の利用者であり、同館Webサイトの新着図書情報を収集する目的で行ったのであって、図書館の業務を妨害する意図はなかったそうです。そしてアクセス頻度も秒1回程度と低く、通常ならDoSアタックには当たらないようなものでしたが、図書館のサーバーに不具合がありこの程度でシステム障害が発生してしまったのです。

悪意がないといえども、DoSアタックにあたるような実行行為により図書館のサーバーをダウンさせその業務を妨害したことは認められるので、客観的要件をみたします。そして、故意については、先ほど述べたように悪意がなくても故意が認められ得ます。県警は、この男性がコンピュータに詳しい技術者なので、リクエストを大量に送りつけたら、図書館のサーバに影響が出る可能性を認識できたにも関わらず、クエストを大量に送りつけたので、故意があったと判断し、犯罪が成立しうると判断したようです。

事件の問題点や批判

男性が行っていたような公開Webサイトのデータを機械的に取得する手法は広く一般的に行われているもので、そのプログラミング自体に違法性はありません。この男性はその後事件の経緯について自己のサイトで経緯や意図を説明していますが、その内容からして、「犯罪」と呼べるような道義的非難に値するような点はなく、このような技術を用いている多くの技術者を震撼させ、また多くの批判や懸念が議論されました。

例えば、そもそも公立図書館の公開Webという不特定多数の人々が利用するサイトであるのに、そのサーバーが1秒間に1アクセスでダウンしてしまうような不具合をもつのではあまりに貧弱、脆弱であり、通常備えるべき強さのサーバーがあれば、男性は逮捕されなかったはずだ、という指摘です。
また男性に「腹いせ」や「嫌がらせ」といった攻撃や業務妨害の意図、明らかに通常の利用方法と異なる大量のデータ送信、というような、明らかに犯罪らしい要素がなく、それにも関わらず犯罪が成立しうるような規定であるという立法上の問題点です。さらに法運用とインターネットの利用実態の乖離といった指摘です。例えば同じ1万回のアクセスでも、インターネットや情報処理技術に長けている人の受ける印象と、警察や検察を含めそうでない一般人の受ける印象は異なるのであり、そういった感覚の乖離が修正されないまま運用されるのは問題だということです。また、この男性のように誰でも逮捕される可能性を持つといえ、自由なインターネットの活用や発展、産業が萎縮してしまうのではないかという懸念や不安感も指摘されています。

男性は、業務妨害の強い意図が認められないとして、結果的に起訴猶予処分となりましたが、20日間にもわたる逮捕・勾留で取調べを受け、身体的拘束を強いられました。また逮捕時には実名報道がなされてしまいました。また、起訴猶予処分とは、不起訴の中でも「嫌疑不十分」とは異なり、「犯罪はあったが悪質性が低い、とか深く反省をしている、といった理由で今回は起訴を見送る」という類型で、つまり犯罪は犯したことにされてしまっているということになります。このように、起訴されないにしても、社会的に強い不利益を受けてしまったことは問題です。

まとめ

このように、DoSアタックには電子計算機損壊等業務妨害罪が成立しえます。ただし、その法令運用にはいくつか問題点もあり、紹介した一連の事件のように悪質とは言い難いものにも犯罪が成立してしまうおそれもはらんでいます。制定当時とは異なり、現在は多くの人がスマートフォンやパソコンなどのインターネット端末を所有し、インターネット社会が急速に発達しています。これらの問題点を克服したり、インターネット上の自由を保護するためにも、法運用を改めることや、立法措置の新たな検討が必要であるといえます。

会社のサーバーがDoSアタックなどのサイバー攻撃で被害を受けてしまった場合、警察に対して捜査を促すことになります。ただ、技術的に非常に高度な問題となるケースが多く、上述の図書館事件のように、ITと法律の双方の知識やノウハウを有する者でないと適切な対処ができない場合があります。

民事的な解決法としては、犯人を特定できれば、当該犯人に対する損害賠償請求は可能ですから、インターネット、ビジネスに強い弁護士に一度相談してみるのも手段の一つです。

弁護士 河瀬 季

モノリス法律事務所 代表弁護士。元ITエンジニア。IT企業経営の経験を経て、東証プライム上場企業からシードステージのベンチャーまで、100社以上の顧問弁護士、監査役等を務め、IT・ベンチャー・インターネット・YouTube法務などを中心に手がける。

シェアする:

TOPへ戻る