1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

Phone AppliAdvent Calendar 2021

Day 22

始めに読むCTFを勉強する際の抑えないといけない法律

Last updated at Posted at 2021-12-21

はじめに

今回初めて記事を投稿しようと考えた際、テーマをセキュリティにしようと考えたのですが、先に技術の内容より法律の話をしておくべきだろうと思って記事を書きました。
また、ここで紹介する内容はどんな人でもIT業界に所属する以上関係がある法律だと思います。しかし、まだまだ勉強中なので何か変なところがあったらコメントで教えてください。

法律

不正指令電磁的記録に関する罪(刑法19条2)

条文[1]

(不正指令電磁的記録作成等)
第百六十八条の二 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
一 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
二 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
2 正当な理由がないのに、前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。
3 前項の罪の未遂は、罰する。
(不正指令電磁的記録取得等)
第百六十八条の三 正当な理由がないのに、前条第一項の目的で、同項各号に掲げる電磁的記録その他の記録を取得し、又は保管した者は、二年以下の懲役又は三十万円以下の罰金に処する。

概要

 通称ウイルス罪とも呼ばれます。ここでいうウイルスには自己増殖の機能等が記載されていないためより厳密にはマルウェアと認識するのが適切です。

 この法律により、いわゆるコンピュータ・ウイルスの作成、提供、供用、取得、保管行為が罰せられることになりました。[3]
問題になるマルウェアは相手のコンピュータで動作する意図に沿わないまたは意図に反する動作をさせるプログラムのことを指します。
 これらのマルウェアを作成、提供するのはもちろんこれらのマルウェアを使わせるプログラムや、取得や保管も罰せられます。

この法律においてはウイルス共用プログラム等における取得や保管を罰していません。(ただし、作成は禁じている。)これはウイルスに感染した場合に罪に当たらないようにするためと考えられます。

この法律における意図の解釈でいくつかの裁判や略式起訴が起こっています。

電子計算機損壊等業務妨害

条文[1]

第二百三十四条の二 人の業務に使用する電子計算機若しくはその用に供する電磁的記録を損壊し、若しくは人の業務に使用する電子計算機に虚偽の情報若しくは不正な指令を与え、又はその他の方法により、電子計算機に使用目的に沿うべき動作をさせず、又は使用目的に反する動作をさせて、人の業務を妨害した者は、五年以下の懲役又は百万円以下の罰金に処する。
2 前項の罪の未遂は、罰する。

概要

こちらは上記と違い業務上におけるマルウェアの取り扱いです。こちらでは使用目的と定義されていて、上記の不正指令電磁的記録に関する罪と比べて罪が重いことが特徴です。

また、こちらは未遂も罰することが特徴としてあります。なお、このように条文に書いていない場合は減免されます。

不正アクセス行為の禁止等に関する法律

条文(1条のみ抜粋)[2]

(目的)
第一条 この法律は、不正アクセス行為を禁止するとともに、これについての罰則及びその再発防止のための都道府県公安委員会による援助措置等を定めることにより、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することを目的とする。

概要

この法律は上記で述べた電子計算機損壊等業務妨害では扱っていない不正アクセスに関する法律です。上記2種類は刑法だったのに対して、こちらは新設された法律になります。この法律では実際に不正アクセスするためのIDやパスワードなどの識別情報の不正取得および保管や、不正アクセス自体の禁止を行っている法律です。

実際に問題になった、およびなっている事例

Wizard Bible事件

2018年に「Wizard Bible」というサイトでウイルスに利用されうるプログラムを公開したとして、略式起訴された事件です。当初管理者と警察側は問題となった記事のみの削除という妥協点を見出していましたが、検察側はサイトの閉鎖を要求しました。
問題となったプログラムがソケット通信といわれるネットワークにおける基礎であったため、この対応について疑問視されていました。

CoinHive事件

現在でも最高裁にて争われている閲覧者のブラウザ内に仮想通貨のマイニングを行うスクリプトを埋め込んだとして検挙された事例です。
こちらは、それまで悪質なインターネット広告に代わる収入源として期待されていたこともあり、疑問視されていました。一度地方裁で無罪判決が下ったものの、高等裁で逆転有罪となりました。

アラートループ事件

2019年にブラウザ内で無限にアラートが出てきてしまうスクリプトを埋め込んだとして、書類送検された事件です。
プログラムの内容的には初学者が理解できるようなものであったこともあり反響が相次ぎました。

バグやハードウェアデータ初期化製品、説明書の同封について

まず、プログラムのバグについては法務省の公開している資料に以下のように記載されています。

いわゆるバグについては,プログラミングの過程で作成者も知らな
いうちに発生するプログラムの誤りないし不具合をいうものであり,
重大なものも含め,コンピュータの使用者にはバグは不可避的なもの
として許容されていると考えられることから,その限りにおいては,
「意図に沿うべき動作をさせず,又はその意図に反する動作をさせる」
との要件も 「不正な」との要件も , 欠くこととなり,不正指令電磁的
記録には当たらないこととなる。
他方,プログラムの不具合が引き起こす結果が,一般に使用者がお
よそ許容できないものであって,ソフトウエアの性質や説明などに照
らし,全く予期し得ないものであるような場合において,実際にはほ
とんど考えられないものの,例えば,プログラムにそのような問題が
あるとの指摘を受け,その不具合を十分認識していた者が,この際そ
れを奇貨として,このプログラムをウイルスとして用いて他人に害を
与えようとの考えの下に,あえて事情を知らない使用者をだましてダ
ウンロードさせたようなときは,こうしたものまでバグと呼ぶのはも
はや適当ではないと思われ,不正指令電磁的記録供用罪が成立し得る
こととなる。
もっとも,不正指令電磁的記録に関する罪が成立し得るのは,その
プログラムが不正指令電磁的記録であることを認識した時点以降に行
った行為に限られ,それより前の時点で行った行為についてはこれら
の罪は成立しない。[4]

すなわち、開発者の意図しないものであるからバグは基本それを認識する前までは不正指令電磁的記録に関する罪に当たらないということです。しかし、もちろんそのバグの存在を知っていて悪用しようとした際は不正であり、意図に反するものとして罰せられます。

次に、ハードウェアデータ初期化製品などの重要なものであったときには同じく以下のように記されています。

例えば ハードディスク内のファイルを全て消去するプログラムが
その機能を適切に説明した上で公開されるなどしており,ハードディ
スク内のファイルを全て消去するという動作が使用者の「意図に反す
る」ものでない場合は,処罰対象とはならない。

ただし、この製品を騙して実行させようとした際は罪に当たります。

また、説明書が同封されなかった際の使用者の意図の取り方については以下の記載があります。

あるプログラムが,使用者の「意図に沿うべき動作をさせず,又は
その意図に反する動作をさせる」ものであるか否かが問題となる場合
におけるその「意図」は,個別具体的な使用者の実際の認識を基準と
して判断するのではなく,当該プログラムの機能の内容や,機能に関
する説明内容,想定される利用方法等を総合的に考慮して,その機能
につき一般に認識すべきと考えられるところを基準として判断するこ
ととなる。
したがって,例えば,プログラムを配布する際に説明書を付してい
なかったとしても,それだけで,使用者の「意図に沿うべき動作をさ
せず,又はその意図に反する動作をさせる」ものに当たることとなる
わけではない。

すなわち、プログラムをつかううえでの意図は個人に依存するものではなく客観的に見てどうかを判断をおこないます。そのため説明書の同封がなかった際、即座に違法とされるわけではないということです。

ここで取り上げていない法律について

ITに主に関する法律や罪では、ほかに名誉棄損侮辱詐欺などの尊厳を貶める罪や著作権法などの財産を守る法律があります。これらについてはまた別の機会にでもまとめようと思います。

引用

[1] e-Gov法令検索「刑法」
URL:https://elaws.e-gov.go.jp/document?lawid=140AC0000000045
[2] e-Gov法令検索「不正アクセス行為の禁止等に関する法律」
URL:https://elaws.e-gov.go.jp/document?lawid=411AC0000000128
[3]警視庁 不正指令電磁的記録に関する罪
URL:https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/law/virus.html
[4] 法務省 いわゆるコンピュータ・ウイルスに関する罪について
URL:https://www.moj.go.jp/content/001267498.pdf

参考文献

ウイルス罪の有罪と無罪の境目は?-不正指令電磁的記録に関する罪
URL:https://kigyou-fullsupport.com/media/column/column-576/
総務省 安心してインターネットを使うために国民のための情報セキュリティーサイト 「不正アクセス行為の禁止等に関する法律」
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/legal/09.html

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?