Webビーコン等のファイル作成 [法律]
没になってしまった原稿なので、ここに書いておきます
Q.わが社のサーバに対して、特定の集団から、継続的な侵入行為が試みられているようです。同業者に対してもサイバー攻撃の情報を共有するためにも、どのような集団から侵入がなされているのかを確かめるために、わざと、攻撃者が窃取したくなるようなファイル名のドキュメントファイルをサーバに保存しておき、サーバに侵入した攻撃者がこのファイルを取得して、内容を確認するために開いた際、攻撃者のパソコン情報を、わが社のWebサーバに送信するようなプログラム、いわゆるWebビーコンプログラムを組み込んでおこうと考えています。このようなことは許されるのでしょうか。
A.攻撃者のパソコン情報を取得するプログラムをドキュメントファイルに組み込んでおき、これを窃取した攻撃者が開くことで、攻撃者のパソコン情報をWebサーバに送信させるようなプログラムを実行させることは、不正指令電磁的記録作成罪及び供用罪が成立する可能性があります。
1 Webビーコンファイルの活用
本件設問のように、特定の集団から継続的な侵入行為を試みられることは、高度な技術力を有する企業や、防衛産業、航空産業の企業等の最先端技術保有企業に対してよく見られるサイバー攻撃です。このような最先端技術を有する企業は、高度なサイバー攻撃を受けやすいため、どのような集団がどのような攻撃手法でサイバー攻撃を仕掛けてくるのかを同業者間で情報共有を行い、防御対策を検討することは、非常に有効な連携であると考えられます。
さらに一歩進めて、サイバー攻撃を行う集団の属性や攻撃元を特定し、攻撃者が狙っている標的を把握したり、国家の関与の有無を特定し、外交戦略の一つにしたりするために、ドキュメントファイルを活用する方法が検討されています(複雑化、巧妙化、高度化及び多様化されたサイバー攻撃から保護するためには、サイバー攻撃の情報収集や情報共有、攻撃者の属性把握、攻撃対象、攻撃目的等を把握し、攻撃者の攻撃コストを増加させる等のアクティブディフェンスが注目されています。https://en.wikipedia.org/wiki/Active_Defense)。これは、わざと脆弱な状態にしたおとりサーバであるハニーポットを構築したり、標的型攻撃としてマルウェア付きのメールが届いた際に、この添付されたマルウェアをおとりサーバであるハニーポットで実行して感染させたりすることで、攻撃者をおとりサーバにおびき寄せて情報を収集します。ハニーポットには、攻撃者が窃取したくなるようなファイル名のドキュメントファイルを保存しておき、攻撃者がこのファイルを取得し、攻撃者のパソコンで開いた際、用意したWebサーバに攻撃者のパソコン情報を送信するようにプログラムを組み込んでおき、攻撃者の情報を入手する手法です。
このようなドキュメントファイルはWebビーコンと呼ばれ、例えば、Wordファイルを開いた際、企業が用意したWebサーバ(ハニーポットでも構いませんし、別のサーバを構築することでも構いません。)に対して、1x1ピクセルの画像ファイルを取得するように埋込んでおく方法が考えられます(例えば、〈img src="http://[企業のURLアドレス]/test.png" width="1" height="1" />などと記載します。)。これによって、企業が用意したWebサーバに対して、画像を取得するためにアクセスしてきたIPアドレスが保存されるため、攻撃者のIPアドレスを把握することができます。さらに、Webサーバから取得するデータを画像ではなく、Webページ自体をWordファイル上に表示させるような場合には、Webページに情報を収集するためのJavaScriptを組み込んでおき、攻撃者のパソコン上で動作させることによって、攻撃者の様々なパソコン情報を取得できる(HTML5のデバイスAPIを使用すれば様々なデバイス情報を取得することが可能になります。)ようにしておけば、より多くの攻撃者のパソコン情報を取得できる可能性があります。他にも、Webページにアクセスするようにした上で、当該Webページ上に、情報を収集するプログラムが勝手にインストールされるようにしている場合も考えられます。
では、このようなWebビーコンファイルを攻撃者に窃取させ、開かせることは法律上問題は無いのでしょうか。Webビーコンファイルが不正指令電磁的記録に該当する場合には問題が生じますので、検討する必要があります。
2 不正指令電磁的記録作成及び供用罪
このWebビーコンファイルについて、㋐「正当な理由がないのに」、㋑「人の電子計算機における実行の用に供する目的で」、㋒「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」を㋓「作成」した場合は、不正指令電磁的記録作成罪が成立し、㋐「正当な理由がないのに」、㋒このような電磁的記録を㋔「人の電子計算機における実行の用に供した」場合は、不正指令電磁的記録供用罪が成立します。
不正指令電磁的記録作成罪は目的犯であり、㋑「実行の用に供する」目的が必要とされていますが、これは、パソコン等の使用者の意思とは無関係に勝手に実行されるようにする目的のことをいいます。一方、不正指令電磁的記録供用罪の場合は、㋔の「人の電子計算機における実行の用に供」する必要があります。これは、パソコン等の使用者が不正プログラムと認識せず、かつ、実行しようとする意思がないのに実行され得る状態に不正プログラムを置くことをいい、不正プログラムを電子メールに添付して送信し、受信した第三者のパソコン上で実行され得る状態にしたり、Webサイト上のファイルを第三者にダウンロードさせて、第三者のパソコン上で実行され得る状態にしたりすることをいいます。
3 Webビーコンファイルは不正指令電磁的記録作成罪に該当するか
(1) 不正指令電磁的記録該当性
Webビーコンファイルは、Wordファイル等が有している機能を活用して実現することができます。Wordファイルを開いた際、画像ファイルを用意したWebサーバ上から取得し、Wordファイルに表示させる行為は、本来の機能を活用しているだけであり、一般的に認識すべき動作ともいえるため、意図に反せず何ら問題がないとも考えられます。
しかし、例えば、ハードディスク上のデータを消去させるプログラムは本来問題がありませんが、攻撃者がこのプログラムを、画像ファイルを綺麗に表示させるプログラムであるとだまして、事情を知らない第三者に提供し、誤信した第三者が実行し、ハードディスク内のデータを全て消去させたという場合には、第三者である使用者の意図に反する動作をさせる不正な指令を与える電磁的記録に該当し、処罰対象になり得ます(「いわゆるコンピュータ・ウイルスに関する罪について」(2011、法務省)3頁参照、http://www.moj.go.jp/content/000076666.pdf)。
このことからすれば、機密情報と信じた攻撃者がWordファイルを開いた際に、企業が用意したWebサーバ上から取得した画像ファイルをWordファイルに表示させることで、Webサーバのログに攻撃者のIPアドレスが保存され把握することができるため、このような指令の使い方は一般的な使用者の意図に反する動作とも考えられるように思います。しかし、IPアドレスを把握することができるのは、画像ファイルを取得した際の付随的効果であるため、画像ファイルを取得することができること自体を考えれば、やはり一般的な使用者が認識すべき動作と考えられるでしょう。
仮に意図に反する動作といえる場合には、次に問題となる点は、このような画像ファイルを取得する指令が「不正な」ものに該当するかどうかであり、これは、当該指令が、社会的に許容し得るものであるか否かという観点から判断されます。不正指令電磁的記録が、「不正な」指令がある場合に限定されているのは、パソコン等の使用者の意思とは無関係に勝手に動作するプログラムであっても、社会的に許容し得るものが存在することから、このようなプログラムを除外するために設けられています。例えば、ソフトウェア制作会社がユーザーのパソコンに無断で修正プログラムをインストールし、バージョンアップしたプログラムでは機能が一部削除されたような場合には、ユーザーの意図に反することもあり得ますが、それが一般的に行われるものとして社会的に許容される場合には、不正な指令とはいえないと考えられます。
画像ファイルを表示するWordファイルは、機能自体には何ら問題がないとしても、ファイルを開いた使用者の意図に反して無断でIPアドレスを取得することも含んでいます。もっとも、当該使用者が接続した時に、使用者のIPアドレスを取得することができるのは、画像ファイルを表示する機能に付随して可能になるため、社会的に許容されると判断される可能性は高いと考えられます。
しかし、さらに進んで、画像ファイルを取得する際に、画像ファイルのパスを埋め込むのではなく、スクリプトが実行されるURLを埋め込み、当該ページにデバイスAPI等を用いて、接続した際に様々なデバイス情報を収集する場合や、別途情報収集のためのプログラムを勝手にインストールさせるような場合には、社会的に許容されるものとはいえず、「不正な」指令に該当する可能性が高いと考えられます。
(2) 正当な理由がない
Webビーコンファイルが不正指令電磁的記録に該当するとしても、行為者に「正当な理由がな」ければ、不正指令電磁的記録作成罪は成立しません。ここで、「正当な理由がな」くとは、違法にという意味と解されていますので、違法性阻却事由の有無を検討する必要があります。
違法性阻却事由には様々な事由がありますが、本件の場合は、サイバー攻撃の情報共有をするためや、どのような集団から侵入がされているのかを確かめるために実施することになりますので、正当防衛における「急迫不正の侵害」(刑法第36条第1項)や緊急避難における「現在の危難」(同法第37条第1項)には該当しないため、「正当な業務による行為」(同法第35条)かどうかが問題になります。
正当な業務による行為、すなわち、正当業務行為は、犯罪の構成要件に該当したとしても違法性を阻却する事由として正当化されるため、厳格に考えるべきであり、行為の目的、手段・方法等の行為態様を考慮し、法秩序全体の見地から当該行為の違法性を判断すると考えられます。そうすると、自己のサーバを保護するためにおとりサーバを用いるというわけではなく、どのような集団から侵入がされているかを確かめる目的や攻撃者に関する情報の共有目的というだけでは、正当な業務目的ということはできないと判断される可能性が高いと考えられます。また、Webビーコンを用いた情報収集は、本来のWordの機能を用いて取得していますが、ファイルを開く攻撃者に秘匿して行われているのであり、その態様においても正当化されるとはいえない可能性が高いと考えられます。攻撃者は元々企業の情報を窃取しようとしていますが、だからといって、おとりサーバを用いて、不正プログラムであるおとりファイルを攻撃者に取得させ、実行させることによって情報を収集しようとすることが正当業務行為として許容されるわけではないと考えられます。
これらのことから、設問のような理由では、正当な業務とはいえず、正当業務行為による違法性阻却事由が認められない可能性が高いと考えられます。
4 設問について
Webビーコンファイルが不正プログラムに該当するかどうかが問題となり、これに該当する場合には不正指令電磁的記録作成罪が成立し、Webビーコンファイルを攻撃者に取得させて、攻撃者のパソコン上に保存され、いつでも実行され得る状態になった時点で同供用罪が成立する可能性があります。
Q.わが社のサーバに対して、特定の集団から、継続的な侵入行為が試みられているようです。同業者に対してもサイバー攻撃の情報を共有するためにも、どのような集団から侵入がなされているのかを確かめるために、わざと、攻撃者が窃取したくなるようなファイル名のドキュメントファイルをサーバに保存しておき、サーバに侵入した攻撃者がこのファイルを取得して、内容を確認するために開いた際、攻撃者のパソコン情報を、わが社のWebサーバに送信するようなプログラム、いわゆるWebビーコンプログラムを組み込んでおこうと考えています。このようなことは許されるのでしょうか。
A.攻撃者のパソコン情報を取得するプログラムをドキュメントファイルに組み込んでおき、これを窃取した攻撃者が開くことで、攻撃者のパソコン情報をWebサーバに送信させるようなプログラムを実行させることは、不正指令電磁的記録作成罪及び供用罪が成立する可能性があります。
1 Webビーコンファイルの活用
本件設問のように、特定の集団から継続的な侵入行為を試みられることは、高度な技術力を有する企業や、防衛産業、航空産業の企業等の最先端技術保有企業に対してよく見られるサイバー攻撃です。このような最先端技術を有する企業は、高度なサイバー攻撃を受けやすいため、どのような集団がどのような攻撃手法でサイバー攻撃を仕掛けてくるのかを同業者間で情報共有を行い、防御対策を検討することは、非常に有効な連携であると考えられます。
さらに一歩進めて、サイバー攻撃を行う集団の属性や攻撃元を特定し、攻撃者が狙っている標的を把握したり、国家の関与の有無を特定し、外交戦略の一つにしたりするために、ドキュメントファイルを活用する方法が検討されています(複雑化、巧妙化、高度化及び多様化されたサイバー攻撃から保護するためには、サイバー攻撃の情報収集や情報共有、攻撃者の属性把握、攻撃対象、攻撃目的等を把握し、攻撃者の攻撃コストを増加させる等のアクティブディフェンスが注目されています。https://en.wikipedia.org/wiki/Active_Defense)。これは、わざと脆弱な状態にしたおとりサーバであるハニーポットを構築したり、標的型攻撃としてマルウェア付きのメールが届いた際に、この添付されたマルウェアをおとりサーバであるハニーポットで実行して感染させたりすることで、攻撃者をおとりサーバにおびき寄せて情報を収集します。ハニーポットには、攻撃者が窃取したくなるようなファイル名のドキュメントファイルを保存しておき、攻撃者がこのファイルを取得し、攻撃者のパソコンで開いた際、用意したWebサーバに攻撃者のパソコン情報を送信するようにプログラムを組み込んでおき、攻撃者の情報を入手する手法です。
このようなドキュメントファイルはWebビーコンと呼ばれ、例えば、Wordファイルを開いた際、企業が用意したWebサーバ(ハニーポットでも構いませんし、別のサーバを構築することでも構いません。)に対して、1x1ピクセルの画像ファイルを取得するように埋込んでおく方法が考えられます(例えば、〈img src="http://[企業のURLアドレス]/test.png" width="1" height="1" />などと記載します。)。これによって、企業が用意したWebサーバに対して、画像を取得するためにアクセスしてきたIPアドレスが保存されるため、攻撃者のIPアドレスを把握することができます。さらに、Webサーバから取得するデータを画像ではなく、Webページ自体をWordファイル上に表示させるような場合には、Webページに情報を収集するためのJavaScriptを組み込んでおき、攻撃者のパソコン上で動作させることによって、攻撃者の様々なパソコン情報を取得できる(HTML5のデバイスAPIを使用すれば様々なデバイス情報を取得することが可能になります。)ようにしておけば、より多くの攻撃者のパソコン情報を取得できる可能性があります。他にも、Webページにアクセスするようにした上で、当該Webページ上に、情報を収集するプログラムが勝手にインストールされるようにしている場合も考えられます。
では、このようなWebビーコンファイルを攻撃者に窃取させ、開かせることは法律上問題は無いのでしょうか。Webビーコンファイルが不正指令電磁的記録に該当する場合には問題が生じますので、検討する必要があります。
2 不正指令電磁的記録作成及び供用罪
このWebビーコンファイルについて、㋐「正当な理由がないのに」、㋑「人の電子計算機における実行の用に供する目的で」、㋒「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」を㋓「作成」した場合は、不正指令電磁的記録作成罪が成立し、㋐「正当な理由がないのに」、㋒このような電磁的記録を㋔「人の電子計算機における実行の用に供した」場合は、不正指令電磁的記録供用罪が成立します。
不正指令電磁的記録作成罪は目的犯であり、㋑「実行の用に供する」目的が必要とされていますが、これは、パソコン等の使用者の意思とは無関係に勝手に実行されるようにする目的のことをいいます。一方、不正指令電磁的記録供用罪の場合は、㋔の「人の電子計算機における実行の用に供」する必要があります。これは、パソコン等の使用者が不正プログラムと認識せず、かつ、実行しようとする意思がないのに実行され得る状態に不正プログラムを置くことをいい、不正プログラムを電子メールに添付して送信し、受信した第三者のパソコン上で実行され得る状態にしたり、Webサイト上のファイルを第三者にダウンロードさせて、第三者のパソコン上で実行され得る状態にしたりすることをいいます。
3 Webビーコンファイルは不正指令電磁的記録作成罪に該当するか
(1) 不正指令電磁的記録該当性
Webビーコンファイルは、Wordファイル等が有している機能を活用して実現することができます。Wordファイルを開いた際、画像ファイルを用意したWebサーバ上から取得し、Wordファイルに表示させる行為は、本来の機能を活用しているだけであり、一般的に認識すべき動作ともいえるため、意図に反せず何ら問題がないとも考えられます。
しかし、例えば、ハードディスク上のデータを消去させるプログラムは本来問題がありませんが、攻撃者がこのプログラムを、画像ファイルを綺麗に表示させるプログラムであるとだまして、事情を知らない第三者に提供し、誤信した第三者が実行し、ハードディスク内のデータを全て消去させたという場合には、第三者である使用者の意図に反する動作をさせる不正な指令を与える電磁的記録に該当し、処罰対象になり得ます(「いわゆるコンピュータ・ウイルスに関する罪について」(2011、法務省)3頁参照、http://www.moj.go.jp/content/000076666.pdf)。
このことからすれば、機密情報と信じた攻撃者がWordファイルを開いた際に、企業が用意したWebサーバ上から取得した画像ファイルをWordファイルに表示させることで、Webサーバのログに攻撃者のIPアドレスが保存され把握することができるため、このような指令の使い方は一般的な使用者の意図に反する動作とも考えられるように思います。しかし、IPアドレスを把握することができるのは、画像ファイルを取得した際の付随的効果であるため、画像ファイルを取得することができること自体を考えれば、やはり一般的な使用者が認識すべき動作と考えられるでしょう。
仮に意図に反する動作といえる場合には、次に問題となる点は、このような画像ファイルを取得する指令が「不正な」ものに該当するかどうかであり、これは、当該指令が、社会的に許容し得るものであるか否かという観点から判断されます。不正指令電磁的記録が、「不正な」指令がある場合に限定されているのは、パソコン等の使用者の意思とは無関係に勝手に動作するプログラムであっても、社会的に許容し得るものが存在することから、このようなプログラムを除外するために設けられています。例えば、ソフトウェア制作会社がユーザーのパソコンに無断で修正プログラムをインストールし、バージョンアップしたプログラムでは機能が一部削除されたような場合には、ユーザーの意図に反することもあり得ますが、それが一般的に行われるものとして社会的に許容される場合には、不正な指令とはいえないと考えられます。
画像ファイルを表示するWordファイルは、機能自体には何ら問題がないとしても、ファイルを開いた使用者の意図に反して無断でIPアドレスを取得することも含んでいます。もっとも、当該使用者が接続した時に、使用者のIPアドレスを取得することができるのは、画像ファイルを表示する機能に付随して可能になるため、社会的に許容されると判断される可能性は高いと考えられます。
しかし、さらに進んで、画像ファイルを取得する際に、画像ファイルのパスを埋め込むのではなく、スクリプトが実行されるURLを埋め込み、当該ページにデバイスAPI等を用いて、接続した際に様々なデバイス情報を収集する場合や、別途情報収集のためのプログラムを勝手にインストールさせるような場合には、社会的に許容されるものとはいえず、「不正な」指令に該当する可能性が高いと考えられます。
(2) 正当な理由がない
Webビーコンファイルが不正指令電磁的記録に該当するとしても、行為者に「正当な理由がな」ければ、不正指令電磁的記録作成罪は成立しません。ここで、「正当な理由がな」くとは、違法にという意味と解されていますので、違法性阻却事由の有無を検討する必要があります。
違法性阻却事由には様々な事由がありますが、本件の場合は、サイバー攻撃の情報共有をするためや、どのような集団から侵入がされているのかを確かめるために実施することになりますので、正当防衛における「急迫不正の侵害」(刑法第36条第1項)や緊急避難における「現在の危難」(同法第37条第1項)には該当しないため、「正当な業務による行為」(同法第35条)かどうかが問題になります。
正当な業務による行為、すなわち、正当業務行為は、犯罪の構成要件に該当したとしても違法性を阻却する事由として正当化されるため、厳格に考えるべきであり、行為の目的、手段・方法等の行為態様を考慮し、法秩序全体の見地から当該行為の違法性を判断すると考えられます。そうすると、自己のサーバを保護するためにおとりサーバを用いるというわけではなく、どのような集団から侵入がされているかを確かめる目的や攻撃者に関する情報の共有目的というだけでは、正当な業務目的ということはできないと判断される可能性が高いと考えられます。また、Webビーコンを用いた情報収集は、本来のWordの機能を用いて取得していますが、ファイルを開く攻撃者に秘匿して行われているのであり、その態様においても正当化されるとはいえない可能性が高いと考えられます。攻撃者は元々企業の情報を窃取しようとしていますが、だからといって、おとりサーバを用いて、不正プログラムであるおとりファイルを攻撃者に取得させ、実行させることによって情報を収集しようとすることが正当業務行為として許容されるわけではないと考えられます。
これらのことから、設問のような理由では、正当な業務とはいえず、正当業務行為による違法性阻却事由が認められない可能性が高いと考えられます。
4 設問について
Webビーコンファイルが不正プログラムに該当するかどうかが問題となり、これに該当する場合には不正指令電磁的記録作成罪が成立し、Webビーコンファイルを攻撃者に取得させて、攻撃者のパソコン上に保存され、いつでも実行され得る状態になった時点で同供用罪が成立する可能性があります。
2018-10-29 14:45
コメント(0)
コメント 0