サイバー犯罪の3分類とは?各パターンの被害対策を弁護士が解説
「サイバー犯罪」は、日常用語としてもある程度普及している言葉ですが、国際的には、「コンピュータ技術及び電気通信技術を悪用した犯罪」と定義されているものです。いわゆる「ハッキング(クラッキング)」など、一部のサイバー犯罪は企業も被害者となり得るものであり、そうした被害に遭ってしまった場合、どのような対策を行えば良いのか、検討を行う必要があります。
本記事では、サイバー犯罪全般を、国内で一般的に用いられている3個のパターンに分類し、各パターンについて、それがどのような犯罪に該当するのか、被害に遭ってしまった場合にはどのような対策があるのかについて解説します。この分類が何故重要かというと、
- そもそも法的な意味での「被害者」と言えないとすると、犯罪が発生していることを「通報」はできても、被害届や告訴によって警察に捜査を促すこと自体が難しい
- 民事上も対策手段がある犯罪の場合、警察の捜査に頼らなくても、弁護士に依頼して民事的な方法で犯人を特定する・犯人に対して損害賠償請求を行う、といった手もある
- 自身が被害者となる犯罪であって民事的な解決策がない場合には、警察の捜査を促すことになる
というように、「対策」がパターン毎に異なるからです。
この記事の目次
サイバー犯罪の3分類
上記のように、国内では、サイバー犯罪を3個に分類することが一般的です。
- コンピュータ犯罪:正確な定義は後述しますが、一言で言うと、企業の業務を妨害するような犯罪行為
- ネットワーク利用犯罪:インターネットを悪用して行われる犯罪行為
- 不正アクセス禁止法違反:いわゆる不正ログイン行為など
下記、一つずつ解説します。
コンピュータ犯罪とは
電子計算機損壊等業務妨害罪とは
刑法で規定されている、電子計算機損壊等業務妨害罪という罪に該当する行為が、この類型の典型です。
人の業務に使用する電子計算機若しくはその用に供する電磁的記録を損壊し、若しくは人の業務に使用する電子計算機に虚偽の情報若しくは不正な指令を与え、又はその他の方法により、電子計算機に使用目的に沿うべき動作をさせず、又は使用目的に反する動作をさせて、人の業務を妨害した者は、5年以下の懲役又は 100万円以下の罰金に処する。
刑法第224条の2
読みにくい文章ですが、簡潔に言えば、
- 業務用のPCやその中のデータを損壊する
- 業務用のPCに虚偽情報や本来想定されていないような情報を送る
といった手段で、当該PCに想定外の動作を行わせ、業務を妨害した場合に成立する、という犯罪です。
この典型例は、セキュリティホールを利用したり、他人のアカウントに不正ログインしたりするなどして、オンラインバンクの口座残高を増やすような行為です。また、同様に、セキュリティホールを利用したり、ログイン情報を不正入手したりして、企業のウェブサイトを書き換えるような行為も、これに該当します。「不正にログインする」という行為自体、後述する「不正アクセス禁止法違反」の類型ではあるのですが、不正操作や改ざん、消去、データの不正書き換えなどの行為を捉えるのが、この類型の犯罪です。
不正アクセスとの違いとは?
そして、この類型の犯罪は、必ずしも不正ログイン行為が介在しなくても、成立します。例えば典型は、いわゆるDoS攻撃。大量のメールを送りつけ、メールサーバーに障害を発生させる、ウェブサイトに対して大量のアクセスを行い、ウェブサーバーに障害を発生させる、といったパターンです。これらの行為は、1個1個のメールやアクセスだけを見れば適法なのですが、大量に行われることでサーバー(PC)に想定外動作を行わせ、当該企業に、メールを利用できない・ウェブサイトが開けなくなる、といった被害を与えるものです。したがって、「不正アクセス禁止法違反ではないが、電子計算機損壊等業務妨害罪に該当する」となる訳です。なお、こうしたパターンの犯罪においては、偽計業務妨害罪も問題になります。
警察による捜査を促すためには
これらの行為は、上記のように犯罪であり、かつ、当該企業が被害者となるものなので、警察による捜査を求めることが可能です。ただ、実際問題として、日本の警察は、こうした犯罪に対する動きが良いとは言えません。これは、技術的な問題にもよるところがあります。例えば、上記では単純なDoS攻撃について述べましたが、実際の攻撃は、単独のIPアドレスから100万件のメールやアクセスが行われる、といった単純な形ではなく、多数のIPアドレスから、つまり攻撃元を分散して行われるケースが少なくありません。こうした攻撃は「DDoS」と呼ばれます。
同一IPアドレスから大量のメールやアクセスが行われたケースであれば、それが同一人物による大量のアクセスであり、「想定されていないような情報」であることが明確です。しかしIPアドレスが分散されていると、一個一個のメールやアクセスそれ自体は適法なのですから、それらが同一人物によって行われたものであるという証拠が無い限り、違法な情報送信だとは言えなくなってしまいます。では、どのようにして「同一人物による大量のメールやアクセスだ」と、厳格な刑事裁判の下で立証できるのか。たしかにこれは、警察や検察にとって悩ましい問題です。
また、刑事裁判では、「犯罪に該当するような通信(例えば上記の例で言えば大量のメール送信など)が、容疑者の所有するPCから行われた」というだけでは、有罪判決を得る事ができません。刑事事件で求められるのは、「どのPCから」ではなく、「誰の手によって」というレベルの事実認定だからです。実際に刑事裁判の判決では、この部分、つまり、「犯罪行為は間違いなく容疑者のPCから行われているが、本当に容疑者自身の手によって行われたものなのか」という部分の検討を慎重に行っているものが少なくありません。こうした立証のハードルは、もちろん「冤罪を防ぐ」という意味では重要なのですが、警察や検察に、サイバー犯罪の捜査を躊躇させる原因にもなっていると思われます。
ただ、事件発生から間もないタイミングであれば、サーバーログなどを細かく分析することで、「同一人物による可能性が極めて高い」「そしてそれは間違いなく容疑者本人によるものだ」といった証拠を洗い出すことは、できるケースもあります。IT技術による調査と、その調査で分かったことを法的に有意な資料に落とし込む法的分析。この2個が揃っていれば、警察による捜査を促すことができるケースもあると言えます。
民事上での解決は難しい
警察に頼らなくても民事的な解決策があれば良いのですが、この類型の犯罪については、民事的な対策が乏しいというのが正直なところです。
例えば、大量のメールが送られたという場合、メール(内のメールヘッダ)には送信元のIPアドレスが記載されているため、当該IPアドレスを用いていた契約者の住所や氏名を、プロバイダに開示させたいと思うことになります。しかし、日本の民事法上、この開示を法的に請求する権利は用意されていません。後述するインターネット上の誹謗中傷被害などの場合、プロバイダ責任制限法上の発信者情報開示請求権を用いることができるのですが、簡潔に言えば、この開示請求権は、
不特定多数が見るような投稿を行うための通信(典型は、不特定多数に公開されているインターネット掲示板への、誹謗中傷書込の投稿のための通信)
を対象としてしか、認められていないのです。
実際問題として、高度なサイバー犯罪の場面で、警察に捜査を促すためには、裁判を起こす場合よりも詳細な報告書などが必要となってしまうケースが少なくありません。また、警察へのファーストコンタクトから実際の捜査や逮捕までには、1年などの期間を要するケースも少なくありません。かえって民事上での解決の方が、工数も少なく時間もかからず手軽……というケースもあり得るのですが、このパターンの犯罪は、原則的に、民事上での解決が不可能または非常に困難です。犯人を特定できれば、当該犯罪行為による被害、例えばウェブサーバーに障害が発生してしまったことによる被害について、損害賠償を請求することはできるのですが、そのための特定手段が用意されていない、という形です。
ネットワーク利用犯罪
インターネット上の誹謗中傷被害
上記で述べたコンピュータ犯罪以外の、PCやネットワークを手段として行われる犯罪行為です。例えば、インターネット上でのいわゆる誹謗中傷は、データを損壊したり、本来想定されていないような情報を送ったり、PCに想定外動作をさせたりするものではありませんが、インターネットネットワークを用いて行われるものです。
誹謗中傷に該当するような投稿は、
- 刑事的にも違法で、民事的にも違法なもの(典型例は名誉毀損)
- 刑事的には違法ではないが、民事的には違法なもの(典型的にはプライバシー侵害や肖像権侵害)
と分類されます。刑事的にも違法なものであれば、民事的な手段で、プロバイダ責任制限法上の発信者情報開示請求を用いて投稿者特定を目指すことも、警察に捜査を促し投稿者を逮捕等して貰う事も可能です。
ただ、内容にもよりますが、警察はいわゆる「民事不介入」と呼ばれる態度より、こうした投稿についてあまり積極的な捜査を行ってくれないのが実情です。また、プライバシー侵害や肖像権侵害は刑法上の犯罪ではないため、民事的な解決が必須です。
電子メールなど一対一の通信による被害
難しいのが、電子メールやTwitterのDMなど、一対一の通信手段を用いて行われる不適切なメッセージ等の送信行為です。例えば典型は、脅迫罪や恐喝罪に該当するような文言の電子メールです。プロバイダ責任制限法上の発信者情報開示請求は、上記のように、
不特定多数が見るような投稿を行うための通信(典型は、不特定多数に公開されているインターネット掲示板への、誹謗中傷書込の投稿のための通信)
の場合にしか、利用できません。したがってこうした通信に関しては、そもそも民事的な解決策が用意されておらず、警察による捜査に期待するしかないのです。しかし、インターネット上の掲示板サイトなどに書き込まれたら名誉毀損に該当するような内容であっても、一対一の通信手段が用いられている場合、名誉毀損罪は成立しません。簡潔に言えば、名誉毀損罪は、不特定or多数に対して行われた行為についてしか、成立しないからです。一対一の通信手段では、名誉毀損は原則的に成立しないのです。こうした問題に関しては、別記事にて詳細に解説しています。
わいせつ画像や違法サイトによる被害
さらに、被害者のいない、又は、実際問題として損害を受ける企業が被害者とならない犯罪も、こうした類型に含まれます。例えば、
- いわゆるアダルトサイト等における無修正画像や動画の掲載(わいせつ図画の公然陳列)
- 違法なカジノサイト等の宣伝
- ブランド品を販売するなどと謳って実際には商品を配送しない詐欺サイト
といったパターンです。
例えば、会社内の女子更衣室で盗撮が行われ、盗撮画像がインターネット上に掲載されている場合、その画像は明らかに当該被写体女性のプライバシー侵害(や肖像権侵害)等に該当するものなのですが、上述のようにプライバシー侵害(や肖像権侵害)は犯罪ではなく、盗撮行為自体は犯罪でも、盗撮によって撮影された写真の掲載が直ちに犯罪となる訳ではないため、警察にどのように捜査を求めるか、難しい問題となってしまうのです。
さらに、違法なカジノサイトや詐欺サイトの存在により、自社の売り上げが低下してしまったり、自社の信頼が低下したりしてしまったとしても、上記のような行為は、特定の被害者はいないが社会のために犯罪とされているもの(典型的にはスピード違反や薬物規制などと同質)であったり、直接的な被害者(例えば当該詐欺サイトにお金を払ってしまった消費者)のみを被害者とするものであったりするため、企業が被害を訴えても、あくまで被害者ではない第三者による通報という性質になってしまいます。また、「被害者」でない以上、発信者情報開示請求などによる特定は、そもそも観念できません。
ただ、偽ブランド品の販売など、企業の有する知的財産権(商標権、著作権など)を侵害する行為であれば、企業は「被害者」として警察の捜査を促し、または、民事的な手段で販売者の特定を目指したりすることができます。
不正アクセス禁止法違反
不正アクセス禁止法が禁止する行為とは
最後に、不正アクセス禁止法によって禁止されている行為です。不正アクセス禁止法は、
- 不正アクセス行為
- 不正アクセス助長行為
- 不正取得等行為
を禁止しています。
このうち、1番目、不正アクセス行為には、大きく、
- なりすまし行為:他人のIDやパスワード等を入力して無断でその人としてログインを行う行為
- セキュリティホール攻撃行為:セキュリティホールを悪用し、IDやパスワード等の入力も不要で、他人としてログインを行う行為
の2類型があります。
2番目、不正アクセス助長行為とは他人のアカウント情報(ID、パスワード等)を無断で他人に教えたり販売したりする行為です。
最後に3番目、不正取得等行為とは、他人のアカウントを、例えばいわゆるフィッシングサイト等の手段で入力させたり、そのようにして不正に取得したアカウント情報を保管したりする行為です。
不正アクセス禁止法については、下記記事にて詳細に解説しています。
警察による解決
不正アクセスの被害を受けた場合も、警察に対して捜査を促すことになります。ただ、技術的に非常に高度な問題となるケースが多く、上述のコンピュータ犯罪の場合と同様、ITと法律の双方の知識やノウハウを有する者が報告書等を作成しないと、警察による捜査が実際問題としてなかなか行われない、といったケースも少なくありません。
また、犯人を特定できれば、当該犯人に対する損害賠償請求は可能なのですが、民事的な手段で犯人を特定することが非常に困難なのも、上述のコンピュータ犯罪の場合と同様です。
カテゴリー: IT・ベンチャーの企業法務