DoS攻撃は犯罪か？電子計算機損壊等業務妨害罪について弁護士が解説

電子計算機損壊等業務妨害罪は、昭和62年(1987年)に新設された犯罪です。当時、社会経済の高度成長や技術の発展により、オフィスにもコンピューターが多く導入されるようになりました。

従来ならば、人により行われていた作業がコンピューターによって行われ、また業務範囲の拡大にも対応するため、コンピューターに向けられた加害を手段とする業務妨害が想定されるようになり、それに対処するため同法が新設されました。

もっとも制定当時は、コンピューターはまさに発展途上であり、またインターネットも普及しておらず、インターネット犯罪を具体的に予測することは困難でした。さらにこの法律はコンピューター工学や情報科学、一般社会で使用される用語を用いず、刑法典らしい体裁の用語で規定しているため、解釈が様々であり、一般市民にとってはわかりにくい規定ともいえます。

また、本罪は、サイバー犯罪のうちのコンピュータ犯罪と呼ばれる類型の犯罪に対応するものと一般に認識されています。

この記事では 電子計算機損壊等業務妨害罪の詳細について分かりやすく解説します。

関連記事：サイバー犯罪の3分類とは？各パターンの被害対策を弁護士が解説

DoS攻撃とは

DoS攻撃(Denial of Service attack)とは、サイバー攻撃の一種であり、攻撃目標のウェブサイトやサーバーに対して大量のデータや不正データを送りつけたりして過剰な負荷をかけることで、相手方のシステムを正常に稼働できない状態に追い込む攻撃です。

DoS攻撃は、不正アクセスで利用権限をかいくぐったり、ウィルスを介してシステムの制御を奪ったりするものではなく、サーバーに過剰な負荷をかけることによって正規のユーザがアクセス権限を行使するのを妨害します。昔からあるサイバー攻撃の手法ですが、近年でも被害は少なくありません。

DDoS攻撃との違い

DoS攻撃は、1台のコンピューターから大量のアクセスを発生させ、サーバーに負荷をかける手法です。一方、DDoS攻撃は、複数のコンピューターを踏み台にして大規模な攻撃を行います。

DDoSの攻撃者は、マルウェアを使って他者のパソコンやIoT機器を支配し、それらを利用してサーバーにアクセスを集中させます。DDoS攻撃は攻撃元が分散しているため、加害者の特定が困難です。

また、大量のアクセスが通常の通信との区別を困難にさせるため、攻撃トラフィックのみを遮断することも容易ではありません。

サーバーに過剰な負荷がかかるためサービス停止に追い込まれるケースもあります。

攻撃者を特定できない場合、サービス停止による機会損失や復旧コストを事業者側が負担することになり、場合によっては顧客への補償が必要となるケースもあります。

DoS攻撃の種類

DoS攻撃は、「フラッド型」と「脆弱性型」の2種類に分けられます。

フラッドとは英語の‘Flood’(=洪水)に由来しており、プロトコルを攻略して大量のデータを送り付けることで、攻撃対象が処理しきれない状態に追い込むものです。

一方、脆弱性型は、サーバーやアプリケーションの脆弱性を利用し、不正処理を行わせ、機能を停止させるものです。いわゆる不正アクセスとの区別が曖昧になりますが、例えば、典型的な脆弱性型のDoS攻撃であるLAND攻撃とは、送信元と宛先の IP アドレスとポート番号が一致するパケットを送信するものです。

少し分かりやすく説明すると、攻撃者Aが、攻撃対象となるサーバーBに対して「自分はBなので返事が欲しい」という意味内容のパケットを送ると、BはB自身に対して「返事」を行い、その返事を受け取ったBがまたB自身に「返事」を行い…という現象が繰り返され、無限ループを発生してしまう、というものです。

これは、「自分自身が送信元になっているパケットについても返事をしてしまう」という意味での「脆弱性」を利用するものではありますが、パスワード認証などを潜るものではないので、「不正アクセス」ではなく、「脆弱性型のDoS攻撃」に整理されます。

関連記事：不正アクセス禁止法で禁止される行為

DoS攻撃の仕組み

DoS攻撃の仕組みは、通常TCP/IPの範囲内で正当に認められていることを頻繁に繰り返すという、技術的には単純なものです。例えば、人気アイドルの公演チケットを一般発売で購入しようと販売ページにアクセスすると、同時に多くの人がアクセスをしたために、サイトが重くなったり、ダウンしたりして繋がりにくくなる、という現象があります。DoS攻撃は、正当な権限を悪用して、意図的にこのような状況を作り出す攻撃です。

DoS攻撃は電子計算機損壊等業務妨害罪にあたるか

では、DoS攻撃は犯罪にあたるのでしょうか。先述した電子計算機損壊等業務妨害罪に当たるかどうかを検討します。

人の業務に使用する電子計算機若しくはその用に供する電磁的記録を損壊し、若しくは人の業務に使用する電子計算機に虚偽の情報若しくは不正な指令を与え、又はその他の方法により、電子計算機に使用目的に沿うべき動作をさせず、又は使用目的に反する動作をさせて、人の業務を妨害した者は、五年以下の懲役又は百万円以下の罰金に処する。

刑法第234条の2第1項(電子計算機損壊等業務妨害)

このように、電子計算機損壊等業務妨害罪の成立には、客観的要件として、

1. 電子計算機に向けられた加害行為
2. 電子計算機の動作阻害
3. 業務妨害

上記の 3つを充足することと、主観的要件として、これらすべてに故意があることが必要です。

電子計算機損壊等業務妨害罪の客観的構成要件充足性とは

下記について個別に検討していきます。

電子計算機に向けられた加害行為

加害行為(実行行為)としては、

• 「電子計算機もしくはその用に供する電磁的記録の損壊」
• 「電子計算機に虚偽の情報もしくは不正の指令を与え」
• 「またはその他の方法」

のいずれかに当たることが必要です。

これについて、「電子計算機」については、裁判例(福岡高判平12.9.21)が定義を示しているところ、自動的に計算やデータの処理を行う電子装置のことであり、オフィスコンピューターやパーソナルコンピューター、制御用コンピューター等が代表であることについては争いがありません。

電磁的記録は、刑法7条の2において「電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるもの」と定義されています。

この定義に照らせば、DoS攻撃の標的となるサーバーも当然、電磁的記録の対象です。電磁的記録の具体例としては、パソコンやスマートフォンなどで扱われるデジタルデータ全般が挙げられます。

例えば、WordやExcelの文書ファイルやデジタルカメラの写真データ、音楽ファイルなどが該当し、これらはハードディスクやSSD、USBメモリ、SDカードなどの記憶媒体に保存され必要に応じて読み書きされます。

また、クレジットカードや交通系ICカードに記録された情報も電磁的記録です。

「損壊」とは、物理的な破壊だけでなく、データの消去など、物の効用を害する一切の行為をいいます。「虚偽の情報」は内容が真実に反することをいいます。「不正の指令」とは、権限なく当該コンピューターによって処理可能な命令を与えることをいいます。

例えば、フラッド型のDoS攻撃を大量かつ集中的に行った場合、攻撃対象のサーバーが過負荷になり、処理を適正に実行できない状態にさせます。このような攻撃は、データを消去するなどの「損壊」に至らなくても、サーバー設置者の意思に反したアクセスであり、権限なく命令を与えているものといえ「不正の指令」にあたります。

電子計算機の動作阻害

「使用目的に沿うべき動作をさせず」もしくは「使用目的に反する動作をさせる」に当たるかどうかが問題になります。誰にとっての使用目的を前提とするべきなのか争いがありますが、本罪の保護法益が業務の安全かつ円滑な遂行であることから、設置者の目的を前提とすると考えるべきでしょう。

DoS攻撃が行われ、サーバーに過負荷がかかると、サービスが利用不可能になるなど、サーバー設置者が目的とした適正な処理動作が行われなくなることがあります。そのような場合には「使用目的に沿うべき動作」がされないものといえ、動作阻害にあたります。

業務妨害

電子計算機損壊等業務妨害罪は、業務妨害罪(刑法第233条，第234条)の加重類型ですので、この業務妨害については、通常の業務妨害罪と同様に考えます。すなわち、「業務」とは、社会生活上の地位に基づき反復継続して行う事務のことをいい、「妨害」といえるためには現実に業務が害されることを要しません。

DoS攻撃が行われると、設置者がサーバーを使用することによってサービスをインターネット上で提供するという「業務」が妨害されるといえ、業務妨害にあたります。

電子計算機損壊等業務妨害罪の主観的要件充足性とは

これらの要件を満たした上で、故意(刑法第38条第1項本文)が認められる必要があります。故意とは、上記1から3（構成要件といいます）に該当する事実を認識・認容していることをいいます。

これは、相手を妨害する悪意や害意までは必要なく、そのようなつもりがなくても、「もしかしたらサーバーが落ちて、サービスが利用不能になるかもしれない」という認識があれば、故意が認められうるのです。

岡崎市立中央図書館ホームページ大量アクセス事件

上記に関連して、「岡崎市立中央図書館ホームページ大量アクセス事件(通称Librahack事件)」を紹介します。

事件の経緯

愛知県内の男性（３９）が、自作プログラムで図書館ホームページから新着図書の情報を集めたところ、サイバー攻撃を仕掛けたとして逮捕された。しかし、朝日新聞が依頼した専門家の解析によると、図書館ソフトに不具合があり、大量アクセスによる攻撃を受けたように見えていたことが分かった。同じソフトを使う全国６カ所の図書館でも同様の障害が起きていたことも判明。ソフト開発会社は全国約３０の図書館で改修を始めた。
　この問題は同県岡崎市立図書館で起きた。ソフトには、蔵書データを呼び出すたびに電算処理が継続中の状態になり、電話の通話後に受話器を上げたままのような状態になる不具合があった。一定の時間がたつと強制的に切断されるが、同図書館では１０分間にアクセスが約１千件を超えると、ホームページの閲覧ができなくなり、大量アクセスを受けたように見えたという。
　男性はソフトウエア技術者で、岡崎市立図書館から年に約１００冊借りていた。図書館のホームページは使い勝手が悪く、新着図書の情報を毎日集めるプログラムを作り、３月から使い始めた。
　図書館には同月以降、「ホームページにつながらない」と市民から苦情があった。相談を受けた愛知県警は、処理能力を超える要求を故意に送りつけたと判断し、業務妨害容疑で男性を逮捕した。名古屋地検岡崎支部は６月、「業務妨害の強い意図は認められない」として起訴猶予処分とした。

朝日新聞名古屋版朝刊(2010年8月21日)

この事件で逮捕された男性は、岡崎市立中央図書館の利用者であり、同館ウェブサイトの新着図書情報を収集する目的で行ったのであって、図書館の業務を妨害する意図はなかったそうです。

そしてアクセス頻度も秒1回程度と低く、通常ならDoS攻撃には当たらないようなものでしたが、図書館のサーバーに不具合がありこの程度でシステム障害が発生してしまったのです。

悪意がないといえども、DoS攻撃にあたるような実行行為により図書館のサーバーをダウンさせその業務を妨害したことは認められるので、客観的要件を満たします。そして、故意については、先ほど述べたように悪意がなくても故意が認められ得ます。

県警は、この男性がコンピュータに詳しい技術者なので、リクエストを大量に送りつけたら、図書館のサーバに影響が出る可能性を認識できたにも関わらず、クエストを大量に送りつけたので、故意があったと判断し、犯罪が成立しうると判断したようです。

事件の問題点や批判

岡崎市立中央図書館ホームページ大量アクセス事件では、システムの不備による逮捕事案が発生し、批判を招きました。

同館は自動収集プログラムによるアクセスを業務妨害と判断し、警察に被害届を提出しましたが、後にシステムの設計ミスが判明しています。適切なアクセス管理が行われていれば、防げた可能性があります。

また、個人情報の管理にも問題がありました。警察に対して、サーバーの利用者アクセスログや氏名などのデータを任意で提供したことに加え、委託業者のミスによる個人情報流出も発生しています。その背景には、データ管理ポリシーの不備や外部委託先の監督不足にあるとされました。

男性は、業務妨害の強い意図が認められないとして、結果的に起訴猶予処分となりましたが、20日間にもわたる逮捕・勾留で取調べを受け、身体的拘束を強いられました。また逮捕時には実名報道がなされました。

起訴猶予処分とは、不起訴の中でも「嫌疑不十分」とは異なり、「犯罪はあったが悪質性が低い、とか深く反省をしている、といった理由で今回は起訴を見送る」という類型で、つまり犯罪は犯したことにされてしまっているということになります。このように、起訴されないにしても、社会的に大きな不利益を受けてしまったことは問題といえます。

事件の教訓として、異常アクセスの適切な解析や法的判断の慎重さが求められます。同時に、個人情報保護の徹底と委託先管理の強化が必要です。これらの対策を怠ると、誤認逮捕や情報漏えいといった重大な問題を引き起こす危険性があります。

被害届の提出は慎重に行い、まずは業務妨害に該当するかどうかを正確に判断したうえで、適切な対処を講じることが重要です。

参考：日本図書館協会｜図書館界への提言－岡崎市の図書館システムをめぐる2つの事件の教訓から学ぶこと

DoS攻撃への対策

DoS攻撃対策には、予防策と発生時における対応の両方が重要です。被害を最小限に抑えるためには、複数のセキュリティ対策を組み合わせる必要があります。

事前対策としては、不要な海外からのアクセスを遮断することや、CDN（Contents Delivery Network）やWAF（Web Application Firewall）を導入することで、攻撃の影響を軽減できます。脆弱性型には、サーバーへのパッチ適用、不要なサービスやポートの停止、脆弱性検査などが有効です。Flood型には、不正なアクセスを検知・防御するIPS/IDSの実装が検討対象となります。

また、同一IPアドレスからのアクセス制限や適切なタイムアウト設定も有効です。重要度に基づくシステムの分離により、事業継続に不可欠なサービスを保護するネットワーク構成も検討しましょう。

監視と準備に関しては、平常時からトラフィックを監視し、異常を早期に検知するためのアラートを設定することで、迅速な対応が可能になります。また、サイト障害発生時には、SNSなどを活用して利用者へ状況を通知する手段を事前に確保しておくことにより混乱を防止できます。

DoS攻撃による被害が発生した際には、警察庁のサイバー事案通報窓口または各都道府県警察本部のサイバー犯罪相談窓口へ連絡しましょう。警察庁ではオンライン通報窓口も設置されています。

参考：警察庁｜警察庁サイバー警察局　内閣サイバーセキュリティセンター

参考：警察庁｜サイバー事案に関する相談窓口

電子計算機損壊等業務妨害罪については弁護士に相談を

DoS攻撃は、サーバーに過剰な負荷をかけてサービスを妨害するサイバー攻撃です。

DoS攻撃は、電子計算機損壊等業務妨害罪に該当する可能性があり、客観的および主観的要件を満たすことにより犯罪となります。

DoS攻撃は避けがたいリスクであり、攻撃方法と対策を理解することで被害を最小限に抑えられます。犯人の特定により損害賠償請求も可能なため、IT問題に詳しい弁護士に相談することも一つの方法です。

当事務所による対策のご案内

モノリス法律事務所は、IT、特にインターネットと法律の両面に豊富な経験を有する法律事務所です。

DoS攻撃などのサイバー攻撃によって業務が妨害された場合、法的な対応に加え、IT技術と法律の両方に精通した専門家による適切な対応が不可欠です。

当事務所は、法律とIT技術に精通した弁護士とITコンサルタントのチームによるトータルソリューションをご提供します。下記記事にて詳細を記載しております。

モノリス法律事務所の取扱分野：サイバー犯罪の刑事告訴等