ランサムウェアウイルスとその支払い [ウィルス]
ランサムウェアウイルスが流行し始めた。
製品を売り込みたいベンダーは、バックアップの重要性を説いて、バックアップ製品を購入させようとしている気がするのは気のせいだけではない気がする。
ランサムウェアウイルスに感染したからといって、攻撃者に金銭を払うかどうかについても議論されている。
企業が攻撃者に金銭を払う場合、色々と問題が出てくる。
攻撃者は、何罪か。
そもそもランサムウェアウイルスといっても身代金の定義からは、略取、誘拐の拐取された人と引き換えに支払われるものであることから、ファイルを人質と捉えること自体が不適当である。なお、刑法上は身の代金である。
刑法225条の2は、
「1 近親者その他略取され又は誘拐された者の安否を憂慮する者の憂慮に乗じてその財物を交付させる目的で、人を略取し、又は誘拐した者は、無期又は3年以上の懲役に処する。
2 人を略取し又は誘拐した者が近親者その他略取され又は誘拐された者の安否を憂慮する者の憂慮に乗じて、その財物を交付させ、又はこれを要求する行為をしたときも、前項と同様とする。」
としており、2項がランサムウェアウイルスに当たりそうだが、前述のとおり、人が対象になっておらず、適用外である。
そうすると、恐喝罪、脅迫罪、ウイルス作成罪、ウイルス供用罪あたりが適当であろうか。
#器物損壊罪や電子計算機損壊等業務妨害罪もあり得るとは思うが、ウイルス作成罪でカバーしきれているとして法条競合になるのではないだろうか。
金銭を支払う企業は、これらの行為の被害者たり得る。脅迫罪、ウイルス作成罪、ウイルス供用罪は、払うまでもなく成立しているが、恐喝罪については、金銭等の支払がなければ、未遂罪である。
被害者である企業等が畏怖して金銭を支払えば、恐喝罪が成立する。
さて、この企業の代表者は、株主らから損害賠償請求され得る(423条1項、429条1項)。理由は以下のとおり。
1 反社会的勢力の可能性がある攻撃者に金銭を支払った。
2 金銭的損害が生じた。
3 管理体制に不備があった。
復号できるかどうかわからない攻撃者に対して金銭を支払うことは、あまりにも不適切な行為と言わざるを得ない。
これが、支払うことによって復号できる可能性が95%程度あるという統計的確証が存在しているのならば、話は変わってくるかもしれない。
しかし、現段階でそのような統計は存在せず、復号できればまだしも、復号できない可能性が高いのに金銭を支払うとなれば、それは取締役等の任務懈怠の一つとして捉えられかねないだろう。
さて、もう一つ課題がある。
それは、被害者がビットコインで支払う方法を知らないため、攻撃者にビットコインで支払うサービスを企業が提供できるかというものである。
このような反社会的勢力の可能性がある攻撃者に金銭を支払うサービスは、恐喝罪の幇助犯と取られかねないおそれがある。
なお、他の脅迫罪、ウイルス作成罪、ウイルス供用罪は、何ら当該第三者企業が加担行為をしていないため、これらの幇助犯にはならない。
先ほどの復号できる確率がどのくらいかによっても、このサービスの正当性が変わってくるかもしれないが、現時点では、復号できるかどうかは分からない割合であり、そうであれば、復号できない可能性があるにもかかわらずそれを知って、犯罪の構成要件該当性に加担する行為を第三者である企業が行うサービスである。
これは、恐喝罪の片棒を担いでいるとのそしりを免れないのではないだろうか。
また、倫理上の問題も存在するし、このようなサービスを行う企業の株価が下がる可能性もあるだろう。そうすると、このようなサービスを提供した企業の取締役等も株主らから損害賠償請求をされるおそれがある。
あと問題は、仮想通貨を取り扱うことになるのであるから、資金決済法の適用の有無も調査すべきであろう。
製品を売り込みたいベンダーは、バックアップの重要性を説いて、バックアップ製品を購入させようとしている気がするのは気のせいだけではない気がする。
ランサムウェアウイルスに感染したからといって、攻撃者に金銭を払うかどうかについても議論されている。
企業が攻撃者に金銭を払う場合、色々と問題が出てくる。
攻撃者は、何罪か。
そもそもランサムウェアウイルスといっても身代金の定義からは、略取、誘拐の拐取された人と引き換えに支払われるものであることから、ファイルを人質と捉えること自体が不適当である。なお、刑法上は身の代金である。
刑法225条の2は、
「1 近親者その他略取され又は誘拐された者の安否を憂慮する者の憂慮に乗じてその財物を交付させる目的で、人を略取し、又は誘拐した者は、無期又は3年以上の懲役に処する。
2 人を略取し又は誘拐した者が近親者その他略取され又は誘拐された者の安否を憂慮する者の憂慮に乗じて、その財物を交付させ、又はこれを要求する行為をしたときも、前項と同様とする。」
としており、2項がランサムウェアウイルスに当たりそうだが、前述のとおり、人が対象になっておらず、適用外である。
そうすると、恐喝罪、脅迫罪、ウイルス作成罪、ウイルス供用罪あたりが適当であろうか。
#器物損壊罪や電子計算機損壊等業務妨害罪もあり得るとは思うが、ウイルス作成罪でカバーしきれているとして法条競合になるのではないだろうか。
金銭を支払う企業は、これらの行為の被害者たり得る。脅迫罪、ウイルス作成罪、ウイルス供用罪は、払うまでもなく成立しているが、恐喝罪については、金銭等の支払がなければ、未遂罪である。
被害者である企業等が畏怖して金銭を支払えば、恐喝罪が成立する。
さて、この企業の代表者は、株主らから損害賠償請求され得る(423条1項、429条1項)。理由は以下のとおり。
1 反社会的勢力の可能性がある攻撃者に金銭を支払った。
2 金銭的損害が生じた。
3 管理体制に不備があった。
復号できるかどうかわからない攻撃者に対して金銭を支払うことは、あまりにも不適切な行為と言わざるを得ない。
これが、支払うことによって復号できる可能性が95%程度あるという統計的確証が存在しているのならば、話は変わってくるかもしれない。
しかし、現段階でそのような統計は存在せず、復号できればまだしも、復号できない可能性が高いのに金銭を支払うとなれば、それは取締役等の任務懈怠の一つとして捉えられかねないだろう。
さて、もう一つ課題がある。
それは、被害者がビットコインで支払う方法を知らないため、攻撃者にビットコインで支払うサービスを企業が提供できるかというものである。
このような反社会的勢力の可能性がある攻撃者に金銭を支払うサービスは、恐喝罪の幇助犯と取られかねないおそれがある。
なお、他の脅迫罪、ウイルス作成罪、ウイルス供用罪は、何ら当該第三者企業が加担行為をしていないため、これらの幇助犯にはならない。
先ほどの復号できる確率がどのくらいかによっても、このサービスの正当性が変わってくるかもしれないが、現時点では、復号できるかどうかは分からない割合であり、そうであれば、復号できない可能性があるにもかかわらずそれを知って、犯罪の構成要件該当性に加担する行為を第三者である企業が行うサービスである。
これは、恐喝罪の片棒を担いでいるとのそしりを免れないのではないだろうか。
また、倫理上の問題も存在するし、このようなサービスを行う企業の株価が下がる可能性もあるだろう。そうすると、このようなサービスを提供した企業の取締役等も株主らから損害賠償請求をされるおそれがある。
あと問題は、仮想通貨を取り扱うことになるのであるから、資金決済法の適用の有無も調査すべきであろう。
コメント 0