Dansk English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_da/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hverdage 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Er DoS en forbrydelse? En advokat forklarer om 'Japanese Computer Damage and Business Interference Crime'

Er DoS en forbrydelse? En advokat forklarer om 'Japanese Computer Damage and Business Interference Crime'

IT

Er DoS en forbrydelse? En advokat forklarer om 'Japanese Computer Damage and Business Interference Crime'

Forbrydelsen vedrørende ødelæggelse af elektroniske computere og lignende forstyrrelser i forretningen blev indført i Showa 62 (1987). På det tidspunkt, på grund af den høje økonomiske vækst og teknologiske udvikling, begyndte computere at blive mere almindeligt anvendt på kontorer.

Arbejde, der traditionelt blev udført af mennesker, begyndte at blive udført af computere, og da arbejdsområdet også blev udvidet, blev det forventet, at forstyrrelser i forretningen ville blive udført ved at skade computere, og for at håndtere dette blev denne lov indført.

Men på det tidspunkt, da loven blev vedtaget, var computere stadig under udvikling, og internettet var ikke udbredt, så det var svært at forudsige specifikke internetforbrydelser. Desuden er denne lov formuleret med juridiske termer snarere end termer brugt i computervidenskab, informationsteknologi og almindelig samfund, hvilket gør fortolkningen varieret og kan være svært at forstå for almindelige borgere.

Desuden er det almindeligt anerkendt, at denne forbrydelse svarer til den type forbrydelse, der kaldes computerkriminalitet blandt cyberkriminalitet.

I denne artikel vil vi forklare detaljerne om forbrydelsen vedrørende ødelæggelse af elektroniske computere og lignende forstyrrelser i forretningen på en letforståelig måde.

https://monolith.law/corporate/categories-of-cyber-crime [ja]

Hvad er et DoS-angreb

Et DoS-angreb (Denial of Service attack) er en type cyberangreb, hvor angriberen sender store mængder data eller ugyldige data til målwebstedet eller serveren, hvilket overbelaster systemet og forhindrer det i at fungere korrekt. I modsætning til ulovlig adgang, hvor angriberen omgår autorisationer eller bruger virus til at overtage systemkontrollen, forhindrer et DoS-angreb legitime brugere i at udøve deres adgangsrettigheder. Selvom det er en gammel cyberangrebsteknik, er det stadig almindeligt anvendt i dag, ofte i form af DDoS-angreb (Distributed Denial of Service attack), hvilket har ført til mange tilfælde af chikane og skade.

Typer af DoS-angreb

DoS-angreb kan opdeles i to typer: “flood-baserede” og “sårbarhedsbaserede”.

Flood-baserede angreb stammer fra det engelske ord ‘Flood’ (= oversvømmelse), hvor angriberen sender store mængder data til målet, hvilket overbelaster systemet og gør det ude af stand til at behandle alle dataene.

På den anden side udnytter sårbarhedsbaserede angreb sårbarheder i servere eller applikationer, hvilket får dem til at udføre ugyldige operationer og stoppe deres funktioner. Selvom det kan være svært at skelne mellem ulovlig adgang og sårbarhedsbaserede DoS-angreb, er et typisk eksempel på et sårbarhedsbaseret DoS-angreb et LAND-angreb, hvor angriberen sender en pakke med samme IP-adresse og portnummer som både kilde og destination. For at forklare det lidt mere simpelt, hvis angriber A sender en pakke til server B med beskeden “Jeg er B, og jeg vil gerne have et svar”, vil B svare sig selv, hvilket får B til at svare sig selv igen, og så videre, hvilket skaber en uendelig løkke. Selvom dette udnytter en sårbarhed, hvor systemet svarer på pakker, hvor det selv er kilden, er det ikke det samme som at omgå passwordbeskyttelse, og derfor betragtes det som et sårbarhedsbaseret DoS-angreb snarere end ulovlig adgang.

https://monolith.law/reputation/unauthorized-computer-access [ja]

Desuden er DDoS-angreb en distribueret teknik, hvor angriberen fjernstyrer tusindvis af computere, der er inficeret med en bot-virus, og udfører flood-baserede DoS-angreb fra hver af dem.

Hvordan DoS-angreb fungerer

Mekanismen bag DoS-angreb er teknisk set simpel: det involverer at udføre legitime handlinger inden for rammerne af TCP/IP mange gange på én gang. For eksempel, når billetter til en populær idol-koncert går på salg, og mange mennesker forsøger at få adgang til salgssiden på samme tid, kan siden blive langsom eller gå ned, hvilket gør det svært at oprette forbindelse. Et DoS-angreb misbruger legitime rettigheder til bevidst at skabe denne situation.

Er DoS-angreb en overtrædelse af den japanske lov om forstyrrelse af forretning ved ødelæggelse af computere?

Så er et DoS-angreb en forbrydelse? Lad os overveje, om det falder ind under den japanske lov om forstyrrelse af forretning ved ødelæggelse af computere.

“Enhver person, der ødelægger en computer eller elektromagnetisk optagelse, der bruges til en persons forretning, eller giver falske oplysninger eller uautoriserede instruktioner til en computer, der bruges til en persons forretning, eller på anden måde forhindrer computeren i at fungere i overensstemmelse med dens tilsigtede brug, eller får den til at fungere i strid med dens tilsigtede brug, og derved forstyrrer en persons forretning, skal straffes med fængsel i op til fem år eller en bøde på op til en million yen.”

Artikel 234-2, stk. 1, i den japanske straffelov (Forstyrrelse af forretning ved ødelæggelse af computere)

Således kræver overtrædelse af den japanske lov om forstyrrelse af forretning ved ødelæggelse af computere, at følgende objektive krav er opfyldt:

  1. En skadelig handling rettet mod en computer
  2. Forhindring af computerens funktion
  3. Forstyrrelse af forretningen

Derudover er det nødvendigt for en forbrydelse at være begået, at der er en hensigt bag disse handlinger.

Opfyldelse af objektive krav

Lad os overveje hvert af disse punkter individuelt.

En skadelig handling rettet mod en computer

Den skadelige handling (udførelseshandling) skal falde ind under en af følgende kategorier:

  • “Ødelæggelse af en computer eller elektromagnetisk optagelse, der bruges til det”
  • “Giver falske oplysninger eller uautoriserede instruktioner til en computer”
  • “Eller på anden måde”

Med hensyn til dette, er der ingen tvivl om, at en “computer”, som defineret i retspraksis (Fukuoka High Court, 21. september 2000 (2000)), er en elektronisk enhed, der automatisk udfører beregninger og databehandling, og at office-computere, personlige computere, kontrolcomputere osv. er repræsentative for dette. Elektromagnetisk optagelse er defineret i artikel 7-2 i den japanske straffelov. Det er sikkert at sige, at en server, som er målet for et DoS-angreb, falder ind under disse kategorier.

“Ødelæggelse” omfatter ikke kun fysisk ødelæggelse, men også enhver handling, der skader en genstands nytte, såsom sletning af data. “Falske oplysninger” refererer til oplysninger, der er i strid med sandheden. “Uautoriserede instruktioner” refererer til at give instruktioner, der kan behandles af den pågældende computer, uden tilladelse. For eksempel, hvis en flood-type DoS-angreb udføres i stort omfang og koncentreret, kan serveren, der er målet for angrebet, blive overbelastet, og behandlingen kan ikke udføres korrekt. Selvom et sådant angreb ikke nødvendigvis fører til “ødelæggelse”, såsom sletning af data, kan det siges at give “uautoriserede instruktioner”, da det er en adgang, der er i strid med serverejerens vilje, og giver instruktioner uden tilladelse.

Forhindring af computerens funktion

Spørgsmålet er, om det falder ind under “forhindrer computeren i at fungere i overensstemmelse med dens tilsigtede brug” eller “får den til at fungere i strid med dens tilsigtede brug”. Der er uenighed om, hvis tilsigtede brug der skal tages som udgangspunkt, men da det juridiske formål med denne lov er at sikre sikker og gnidningsløs udførelse af forretning, bør det være formålet med den person, der har installeret computeren. Når et DoS-angreb udføres, og serveren bliver overbelastet, kan tjenesten blive utilgængelig, og den korrekte behandling, som serverinstallatøren havde til hensigt, kan ikke længere udføres. I sådanne tilfælde kan det siges, at “den tilsigtede funktion” ikke udføres, og det falder ind under forhindring af funktionen.

Forstyrrelse af forretningen

Den japanske lov om forstyrrelse af forretning ved ødelæggelse af computere er en skærpet form for loven om forstyrrelse af forretning (artikel 233 og 234 i den japanske straffelov), så denne forstyrrelse af forretning skal betragtes på samme måde som den almindelige lov om forstyrrelse af forretning. Det vil sige, at “forretning” refererer til forretning, der udføres gentagne gange og kontinuerligt på grundlag af en persons sociale status, og det er ikke nødvendigt, at forretningen faktisk er blevet skadet for at det kan betragtes som “forstyrrelse”. Når et DoS-angreb udføres, kan det siges, at “forretningen” med at levere en tjeneste på internettet ved hjælp af serveren er blevet forstyrret, og det falder ind under forstyrrelse af forretningen.

Opfyldelse af subjektive krav (hensigt)

Disse krav skal være opfyldt, og der skal være en hensigt (artikel 38, stk. 1, i den japanske straffelov). Hensigt refererer til anerkendelse og accept af de faktiske omstændigheder, der falder ind under ovenstående ① til ③ (de såkaldte konstituerende elementer). Det er ikke nødvendigt med en ond hensigt eller en hensigt om at skade, og selvom man ikke har til hensigt at gøre det, hvis man har en opfattelse af, at “serveren måske går ned, og tjenesten kan blive utilgængelig”, kan hensigt anerkendes.

Okazaki City Central Library hjemmeside massiv adgangs hændelse

I forbindelse med ovenstående vil jeg introducere “Okazaki City Central Library hjemmeside massiv adgangs hændelse (også kendt som Librahack hændelsen)”.

En mand (39) i Aichi-præfekturet blev anholdt for at have lanceret et cyberangreb ved at samle information om nye bøger fra bibliotekets hjemmeside ved hjælp af et program, han selv havde lavet. Men ifølge en analyse foretaget af en ekspert, som Asahi Shimbun havde bedt om, viste det sig, at der var en fejl i bibliotekssoftwaren, og det så ud som om, det havde været udsat for et angreb med massiv adgang. Det blev også afsløret, at lignende problemer var opstået i seks biblioteker i hele landet, der brugte den samme software. Softwareudviklingsfirmaet begyndte at foretage reparationer i omkring 30 biblioteker i hele landet.
Dette problem opstod i Okazaki City Library i samme præfektur. Softwaren havde en fejl, der gjorde, at hver gang bogdata blev hentet, blev computerbehandlingen fortsat, ligesom når telefonrøret bliver løftet efter en samtale. Det bliver tvunget til at afbryde efter en vis tid, men i dette bibliotek, hvis adgangen oversteg omkring 1.000 gange på 10 minutter, blev det umuligt at se hjemmesiden, og det så ud som om det havde modtaget massiv adgang.
Manden er en softwareingeniør, der lånte omkring 100 bøger om året fra Okazaki City Library. Bibliotekets hjemmeside var svær at bruge, så han lavede et program til at samle information om nye bøger hver dag og begyndte at bruge det i marts.
Biblioteket modtog klager fra borgere siden samme måned om, at “de ikke kunne oprette forbindelse til hjemmesiden”. Aichi Prefectural Police, der modtog henvendelsen, besluttede, at han havde sendt anmodninger, der oversteg behandlingskapaciteten med vilje, og anholdt ham for mistanke om forstyrrelse af forretningen. Nagoya District Prosecutor’s Office Okazaki Branch besluttede i juni at suspendere anklagerne, da “der ikke var nogen stærk hensigt om at forstyrre forretningen”.

Asahi Shimbun Nagoya Morning Edition (21. august 2010)

Manden, der blev anholdt i denne sag, var en bruger af Okazaki City Central Library, og det han gjorde var med det formål at indsamle information om nye bøger fra bibliotekets hjemmeside, og han havde ikke til hensigt at forstyrre bibliotekets drift. Og selvom adgangsfrekvensen var lav, omkring en gang i sekundet, som normalt ikke ville blive betragtet som et DoS-angreb, var der en fejl i bibliotekets server, og dette forårsagede systemfejl.

Selvom der ikke var nogen ond hensigt, kan det erkendes, at han forstyrrede bibliotekets drift ved at nedlægge serveren med handlinger, der kunne betragtes som et DoS-angreb, så vi vil se på de objektive krav. Og hvad angår hensigt, kan hensigt anerkendes, selvom der ikke er nogen ond hensigt, som jeg nævnte tidligere. Præfekturets politi besluttede, at denne mand, der er en computerekspert, var i stand til at genkende, at hvis han sendte en stor mængde anmodninger, kunne det påvirke bibliotekets server, men han sendte alligevel en stor mængde anmodninger, så der var hensigt, og det ser ud til, at de besluttede, at en forbrydelse kunne være begået.

Problemer og kritik af sagen

Metoden til mekanisk indsamling af data fra offentlige hjemmesider, som manden gjorde, er almindeligt udbredt, og der er ingen ulovlighed i programmeringen i sig selv. Manden har forklaret forløbet og hensigten med sagen på sin egen hjemmeside, men der er intet i indholdet, der fortjener moralsk fordømmelse som en “forbrydelse”, og mange teknikere, der bruger denne teknologi, blev rystet, og mange kritikpunkter og bekymringer blev diskuteret.

For eksempel, først og fremmest, selvom det er en offentlig hjemmeside for et offentligt bibliotek, som et ubestemt antal mennesker bruger, hvis serveren har en fejl, der gør, at den går ned med en adgang pr. sekund, er det for svagt og skrøbeligt, og hvis der var en server med den styrke, der normalt skulle være til stede, skulle manden ikke have været anholdt, er en pointe.
Desuden er der ingen “hævn” eller “chikane” hensigt hos manden, ingen angreb eller forstyrrelse af forretningen, ingen massiv dataoverførsel, der er klart forskellig fra normal brug, og alligevel er der en lovgivningsmæssig problemstilling i, at en forbrydelse kan begås. Der er også en påpegning af en afvigelse mellem lovens anvendelse og brugen af internettet. For eksempel, selvom det er den samme 10.000 adgange, er indtrykket, som en person, der er dygtig til internettet og informationsteknologi, får, forskelligt fra det indtryk, som en almindelig person, inklusive politiet og anklagemyndigheden, får, og det er et problem, hvis denne følelsesmæssige afvigelse anvendes uden at blive rettet. Derudover er der bekymringer og frygt for, at hvis enhver person, som denne mand, kan blive anholdt, vil brugen og udviklingen af internettet og industrien blive hæmmet.

Manden blev til sidst givet en suspenderet tiltale, da der ikke blev anerkendt nogen stærk hensigt om at forstyrre forretningen, men han blev afhørt under anholdelse og varetægtsfængsling i 20 dage og blev fysisk tilbageholdt. Desuden blev hans rigtige navn offentliggjort på tidspunktet for hans anholdelse. Desuden er en suspenderet tiltale, i modsætning til “utilstrækkelig mistanke” i en ikke-anklage, en type, hvor “der var en forbrydelse, men ondskaben var lav, eller han reflekterede dybt, så vi vil afstå fra at anklage denne gang”, hvilket betyder, at han blev betragtet som at have begået en forbrydelse. Selvom han ikke blev anklaget, er det et problem, at han led en stor social ulempe.

Opsummering

Som det fremgår, kan DoS-angreb resultere i en overtrædelse af den japanske “lov om skade på elektroniske computere og forstyrrelse af forretning” (電子計算機損壊等業務妨害罪). Der er dog nogle problemer med anvendelsen af denne lov, og der er risiko for, at den kan blive anvendt i sager, der er svære at betegne som ondsindede, som de sager vi har omtalt. I modsætning til da loven blev vedtaget, ejer mange mennesker nu internetenheder som smartphones og computere, og internetsamfundet udvikler sig hurtigt. For at overvinde disse problemer og beskytte friheden på internettet, kan det være nødvendigt at revidere anvendelsen af loven og overveje nye lovgivningsmæssige foranstaltninger.

Hvis en virksomheds server bliver ramt af et cyberangreb som et DoS-angreb, vil det være nødvendigt at opfordre politiet til at efterforske. Men mange af disse sager er teknisk meget komplekse, og som det blev illustreret i bibliotekssagen, kan det være nødvendigt med en person, der har både IT- og juridisk viden og knowhow for at håndtere situationen korrekt.

Som en civil løsning, hvis gerningsmanden kan identificeres, er det muligt at kræve erstatning fra vedkommende. Derfor kan det være en god idé at konsultere en advokat, der er stærk inden for internet og forretning.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Ændringspunkter i brugsbetingelserne for cloud-tjenester (BtoB) i forbindelse med ændringen af den japanske civillov om etablering af nye standardkontraktregler

Ændringspunkter i brugsbetingelserne for cloud-tjenester (BtoB) i forbindelse med ændringen af d.

IT

Om Justitsministeriets retningslinjer vedrørende forholdet mellem AI-kontraktrelaterede supporttjenester og artikel 72 i den japanske advokatlov

Om Justitsministeriets retningslinjer vedrørende forholdet mellem AI-kontraktrelaterede supportt.

IT

Hvad skal man være opmærksom på, når man indgår en kontrakt om systemudvikling?

Hvad skal man være opmærksom på, når man indgår en kontrakt om systemudvikling?

IT

Forholdet mellem forsinkelse i systemudviklingsfristen og juridisk forsinkelse i opfyldelse

Forholdet mellem forsinkelse i systemudviklingsfristen og juridisk forsinkelse i opfyldelse

IT

Hvad er de juridiske problemer forbundet med server- og infrastruktur i systemudvikling?

Hvad er de juridiske problemer forbundet med server- og infrastruktur i systemudvikling?

IT

Hvad er Generativ AI? En letforståelig forklaring af typer, fordele og anvendelsesmetoder

Hvad er Generativ AI? En letforståelig forklaring af typer, fordele og anvendelsesmetoder

IT

Hvad er loven, hvis betaling for systemudvikling ikke er blevet betalt?

Hvad er loven, hvis betaling for systemudvikling ikke er blevet betalt?

IT

En advokat forklarer, hvordan man laver brugsbetingelser for webtjenester osv. (anden del)

En advokat forklarer, hvordan man laver brugsbetingelser for webtjenester osv. (anden del)

IT

Systemoperatørens risiko for datatab og juridisk ansvar

Systemoperatørens risiko for datatab og juridisk ansvar

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Tilbage til toppen