suomi English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_fi/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Arkisin 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Onko DoS rikos? Asianajaja selittää 'Japanin tietokoneen vahingoittamisen ja liiketoiminnan häirinnän rikoksen

Onko DoS rikos? Asianajaja selittää 'Japanin tietokoneen vahingoittamisen ja liiketoiminnan häirinnän rikoksen

IT

Onko DoS rikos? Asianajaja selittää 'Japanin tietokoneen vahingoittamisen ja liiketoiminnan häirinnän rikoksen

Elektronisten tietokoneiden vahingoittamista ja liiketoiminnan häirintää koskeva rikos on uusi rikos, joka perustettiin Showa 62 -vuonna (1987). Tuolloin, yhteiskunnan ja talouden nopean kasvun sekä teknologian kehityksen myötä, tietokoneita otettiin käyttöön yhä enemmän toimistoissa.

Työt, jotka aiemmin suoritettiin ihmisten toimesta, suoritettiin nyt tietokoneilla, ja liiketoiminnan laajuus laajeni. Tämän seurauksena tietokoneisiin kohdistuvat hyökkäykset alkoivat olla mahdollisia liiketoiminnan häirinnän keinoina, ja tämän torjumiseksi tämä laki perustettiin.

Kuitenkin, kun laki säädettiin, tietokoneet olivat vasta kehitysvaiheessa, eikä internet ollut vielä yleistynyt, joten internet-rikosten konkreettinen ennustaminen oli vaikeaa. Lisäksi tämä laki ei käytä tietokonetekniikan tai informaatiotieteen termejä, vaan rikoslain kaltaisia termejä, joten sen tulkinta on moninaista ja sitä voidaan pitää vaikeasti ymmärrettävänä säännöksenä tavallisille kansalaisille.

Lisäksi, tämä rikos tunnustetaan yleisesti vastaavan tietokonerikosten luokkaa, joka kuuluu kyberrikollisuuden kategorioihin.

Tässä artikkelissa selitämme yksityiskohtaisesti ja ymmärrettävästi elektronisten tietokoneiden vahingoittamista ja liiketoiminnan häirintää koskevaa rikosta.

https://monolith.law/corporate/categories-of-cyber-crime[ja]

Mikä on DoS-hyökkäys

DoS-hyökkäys (Denial of Service attack) on eräänlainen kyberhyökkäys, jossa hyökkäyksen kohteena olevaan verkkosivustoon tai palvelimeen lähetetään suuria määriä tietoa tai virheellistä tietoa, mikä aiheuttaa ylikuormituksen ja estää järjestelmän normaalin toiminnan. Tämä ei ole sama kuin luvaton käyttöoikeus tai viruksen kautta järjestelmän hallinnan ottaminen, vaan se estää laillisten käyttäjien pääsyn. Vaikka se on vanha kyberhyökkäyksen menetelmä, sitä käytetään myös DDoS-hyökkäyksissä (Distributed Denial of Service attack), jotka ovat hajautettuja hyökkäyksiä, ja niistä aiheutuu edelleen merkittävää haittaa.

DoS-hyökkäysten tyypit

DoS-hyökkäykset voidaan jakaa kahteen tyyppiin: “tulvahyökkäykset” ja “haavoittuvuushyökkäykset”.

Tulvahyökkäys perustuu englanninkieliseen sanaan ‘Flood’ (=tulva), ja siinä lähetetään suuria määriä tietoa hyökkäyksen kohteeseen, joka ei pysty käsittelemään sitä.

Toisaalta, haavoittuvuushyökkäyksessä hyödynnetään palvelimen tai sovelluksen haavoittuvuuksia, jotta voidaan suorittaa virheellisiä toimintoja ja pysäyttää toiminta. Vaikka tämä saattaa kuulostaa samalta kuin luvaton käyttö, esimerkiksi tyypillinen haavoittuvuushyökkäys, LAND-hyökkäys, lähettää paketin, jonka lähettäjän ja vastaanottajan IP-osoitteet ja porttinumerot ovat samat. Yksinkertaisesti sanottuna, hyökkääjä A lähettää palvelimelle B paketin, joka sanoo “Olen B ja haluan vastauksen”, jolloin B lähettää itselleen “vastauksen”, joka saa B:n lähettämään itselleen toisen “vastauksen”… ja niin edelleen, aiheuttaen loputtoman silmukan. Vaikka tämä hyödyntää “haavoittuvuutta”, joka tarkoittaa, että se vastaa myös paketteihin, jotka näyttävät tulevan itseltä, se ei ohita salasanan todentamista tai vastaavaa, joten sitä ei pidetä “luvattomana käyttönä”, vaan “haavoittuvuushyökkäyksenä”.

https://monolith.law/reputation/unauthorized-computer-access[ja]

DDoS-hyökkäys on hajautettu menetelmä, jossa tuhansia bottiviruksen tartuttamia tietokoneita ohjataan etänä ja niistä jokainen suorittaa tulvahyökkäyksen.

DoS-hyökkäyksen mekanismi

DoS-hyökkäyksen mekanismi on teknisesti yksinkertainen: se toistaa usein ja samanaikaisesti toimintoja, jotka ovat normaalisti sallittuja TCP/IP:n puitteissa. Esimerkiksi, kun yrität ostaa suositun idolin konserttilippuja myynnin alettua ja moni ihminen yrittää päästä sivustolle samaan aikaan, sivusto saattaa hidastua tai kaatua, jolloin yhteys on vaikea saada. DoS-hyökkäys on hyökkäys, joka käyttää väärin laillisia oikeuksia ja aiheuttaa tällaisen tilanteen tahallisesti.

Onko DoS-hyökkäys rikos tietokoneen vahingoittamisen ja liiketoiminnan häirinnän osalta?

Onko DoS-hyökkäys siis rikos? Tarkastelemme, täyttääkö se tietokoneen vahingoittamisen ja liiketoiminnan häirinnän rikoksen kriteerit.

“Henkilö, joka vahingoittaa tietokonetta tai siihen liittyvää sähkömagneettista tallennusta, jota käytetään liiketoiminnassa, tai antaa väärää tietoa tai epäasiallisen ohjeen tietokoneelle, jota käytetään liiketoiminnassa, tai estää tietokoneen toiminnan muulla tavalla ja siten häiritsee liiketoimintaa, tuomitaan enintään viiden vuoden vankeuteen tai enintään miljoonan jenin sakkoon.”

Rikoslain 234 § 2 momentti (Tietokoneen vahingoittaminen ja liiketoiminnan häirintä)

Näin ollen, tietokoneen vahingoittamisen ja liiketoiminnan häirinnän rikoksen toteutumiseksi tarvitaan seuraavat objektiiviset edellytykset:

  1. Tietokoneeseen kohdistuva vahingonteko
  2. Tietokoneen toiminnan estäminen
  3. Liiketoiminnan häirintä

Näiden kolmen edellytyksen täyttyminen sekä subjektiivinen edellytys, eli tahallisuus, ovat rikoksen toteutumisen edellytyksiä.

Objektiivisten edellytysten täyttyminen

Tarkastelemme seuraavaksi näitä edellytyksiä yksityiskohtaisesti.

Tietokoneeseen kohdistuva vahingonteko

Vahingonteko (toiminta) tarkoittaa seuraavia:

  • “Tietokoneen tai siihen liittyvän sähkömagneettisen tallennuksen vahingoittaminen”
  • “Tietokoneelle annetaan väärää tietoa tai epäasiallinen ohje”
  • “Tai muu toiminta”

Näistä jokin on täytyttävä.

Tässä yhteydessä “tietokone” tarkoittaa elektronista laitetta, joka suorittaa automaattisesti laskutoimituksia ja datan käsittelyä. Tähän luokkaan kuuluvat esimerkiksi toimistotietokoneet, henkilökohtaiset tietokoneet ja ohjaustietokoneet. Sähkömagneettisen tallennuksen määritelmä on esitetty rikoslain 7 §:n 2 momentissa. DoS-hyökkäyksen kohteena oleva palvelin kuuluu näihin luokkiin.

“Vahingoittaminen” tarkoittaa paitsi fyysistä tuhoa, myös datan poistamista tai muuta toimintaa, joka vahingoittaa esineen käyttökelpoisuutta. “Väärä tieto” tarkoittaa tietoa, joka on vastoin totuutta. “Epäasiallinen ohje” tarkoittaa ohjetta, joka annetaan ilman asianmukaista valtuutusta ja joka voidaan suorittaa kyseisellä tietokoneella. Esimerkiksi, jos suoritetaan suuri määrä DoS-hyökkäyksiä, hyökkäyksen kohteena oleva palvelin ylikuormittuu ja sen toiminta häiriintyy. Tällainen hyökkäys voi olla “epäasiallinen ohje”, vaikka se ei johtaisi datan poistamiseen tai “vahingoittamiseen”.

Tietokoneen toiminnan estäminen

Kysymys on siitä, estetäänkö “toiminta, joka on tarkoituksenmukaista” tai aiheutetaanko “toiminta, joka on vastoin tarkoitusta”. On kiistaa siitä, kenen tarkoitusta tulisi pitää lähtökohtana, mutta koska tämän rikoksen tarkoituksena on suojata liiketoiminnan turvallista ja sujuvaa suorittamista, tulisi ottaa huomioon asennuksen suorittajan tarkoitus. Jos DoS-hyökkäys suoritetaan ja palvelimelle aiheutuu ylikuormitus, palvelu saattaa muuttua käyttökelvottomaksi ja palvelimen asentajan tarkoittama asianmukainen toiminta estyy. Tällaisessa tapauksessa voidaan sanoa, että “toiminta, joka on tarkoituksenmukaista” estetään, ja tämä täyttää toiminnan estämisen edellytyksen.

Liiketoiminnan häirintä

Tietokoneen vahingoittamisen ja liiketoiminnan häirinnän rikos on liiketoiminnan häirinnän rikoksen (rikoslain 233 §, 234 §) raskautettu muoto, joten tämän liiketoiminnan häirinnän osalta tulee ajatella samalla tavalla kuin tavallisessa liiketoiminnan häirinnän rikoksessa. Toisin sanoen, “liiketoiminta” tarkoittaa tehtävää, jota suoritetaan toistuvasti ja jatkuvasti yhteiskunnallisessa asemassa, eikä “häirintä” edellytä, että liiketoiminta todellisuudessa vahingoittuu.
Kun DoS-hyökkäys suoritetaan, palvelimen asentajan “liiketoiminta”, eli palvelun tarjoaminen internetissä palvelimen avulla, häiriintyy, joten tämä täyttää liiketoiminnan häirinnän edellytyksen.

Subjektiivisten edellytysten (tahallisuus) täyttyminen

Näiden edellytysten täyttyessä on tarpeen, että tahallisuus (rikoslain 38 § 1 momentti) voidaan todeta. Tahallisuus tarkoittaa sitä, että henkilö tunnistaa ja hyväksyy tosiasiat, jotka täyttävät edellä mainitut kohdat ① – ③ (nämä ovat rikoksen edellytyksiä). Tämä ei edellytä pahantahtoisuutta tai vahingoittamistarkoitusta, vaan tahallisuus voidaan todeta, vaikka henkilöllä ei olisi tarkoitusta vahingoittaa toista. Esimerkiksi, jos henkilöllä on käsitys, että “palvelin saattaa kaatua ja palvelu saattaa muuttua käyttökelvottomaksi”, tahallisuus voidaan todeta.

Okazakin kaupunginkirjaston verkkosivujen suurten käyttäjämäärien tapaus

Esittelemme yllä mainittuun liittyen “Okazakin kaupunginkirjaston verkkosivujen suurten käyttäjämäärien tapauksen (tunnetaan myös nimellä Librahack-tapaus)”.

Aichi-prefektuurin mies (39) pidätettiin, kun hän keräsi uusien kirjojen tietoja kirjaston verkkosivuilta omalla ohjelmallaan, mikä näytti siltä kuin hän olisi tehnyt kyberhyökkäyksen. Asahi Shimbunin pyytämän asiantuntijan analyysin mukaan kirjaston ohjelmistossa oli kuitenkin vika, joka sai sen näyttämään siltä kuin se olisi joutunut suuren käyttäjämäärän hyökkäyksen kohteeksi. Saman ohjelmiston käyttäneissä kuudessa kirjastossa ympäri maata oli ilmennyt samanlaisia ongelmia. Ohjelmiston kehittänyt yritys aloitti korjaukset noin 30 kirjastossa koko maassa.
Ongelma ilmeni Okazakin kaupunginkirjastossa. Ohjelmistossa oli vika, joka aiheutti sen, että jokaisen kokoelman datan kutsun jälkeen tietojenkäsittely jatkui, ikään kuin puhelimen luuri olisi jätetty ylös puhelun jälkeen. Tietty aika kuluttua yhteys katkaistiin pakotetusti, mutta kirjastossa, jos käyttäjiä oli yli tuhat 10 minuutin aikana, verkkosivuja ei voinut selata, ja se näytti siltä kuin se olisi joutunut suuren käyttäjämäärän hyökkäyksen kohteeksi.
Mies oli ohjelmistosuunnittelija ja lainasi Okazakin kaupunginkirjaston kirjoja noin 100 kappaletta vuodessa. Kirjaston verkkosivut olivat hankalat käyttää, joten hän teki ohjelman, joka keräsi uusien kirjojen tiedot päivittäin, ja alkoi käyttää sitä maaliskuusta alkaen.
Kirjastoon tuli valituksia kansalaisilta maaliskuusta lähtien, että “verkkosivuille ei pääse”. Aichi-prefektuurin poliisi, joka sai valituksen, päätti, että mies oli lähettänyt tarkoituksella pyyntöjä, jotka ylittivät käsittelykapasiteetin, ja pidätti hänet liiketoiminnan häirinnästä epäiltynä. Nagoyan syyttäjänviraston Okazakin toimisto päätti kesäkuussa, että “liiketoiminnan häirinnän tarkoitus ei ole vahva”, ja päätti olla syyttämättä.

Asahi Shimbun Nagoya Edition Morning Edition (21. elokuuta 2010)

Mies, joka pidätettiin tässä tapauksessa, oli Okazakin kaupunginkirjaston käyttäjä ja hän teki sen kerätäkseen uusien kirjojen tietoja kirjaston verkkosivuilta, eikä hänellä ollut aikomusta häiritä kirjaston toimintaa. Ja vaikka hän käytti sivustoa vain kerran sekunnissa, mikä ei yleensä ole DoS-hyökkäys, kirjaston palvelimessa oli vika, joka aiheutti järjestelmävian tästä.

Vaikka hänellä ei ollut pahantahtoisuutta, hän aiheutti kirjaston palvelimen kaatumisen ja häiritsi sen toimintaa toimilla, jotka voivat olla DoS-hyökkäyksen kaltaisia, joten tarkastelemme objektiivisia vaatimuksia. Ja mitä tulee tahallisuuteen, kuten aiemmin mainittiin, tahallisuus voidaan tunnustaa, vaikka pahantahtoisuutta ei olisikaan. Prefektuurin poliisi katsoi, että koska tämä mies on tietokoneasiantuntija, hän tiesi, että jos hän lähettää suuren määrän pyyntöjä, se voi vaikuttaa kirjaston palvelimeen, mutta hän lähetti silti suuren määrän pyyntöjä, joten hänellä oli tahallisuus, ja rikos voisi toteutua.

Tapauksen ongelmat ja kritiikki

Miehen käyttämä menetelmä, jossa hän keräsi mekaanisesti julkisen verkkosivuston tietoja, on yleisesti käytetty, eikä ohjelmoinnissa itsessään ole mitään laitonta. Mies on selittänyt tapauksen kulun ja aikomuksensa omalla sivustollaan, mutta sen sisällöstä ei ole mitään, mikä ansaitsisi moraalisen tuomion “rikoksena”, ja se on järkyttänyt monia teknikkoja, jotka käyttävät tätä tekniikkaa, ja herättänyt paljon kritiikkiä ja huolta.

Esimerkiksi, alun perin julkisen kirjaston julkisella verkkosivustolla, jota käyttää suuri määrä ihmisiä, jos palvelimella on vika, joka kaatuu yhden sekunnin välein tapahtuvasta käytöstä, se on liian heikko ja hauras, ja jos siellä olisi ollut normaalisti tarvittava vahva palvelin, mies ei olisi pidätetty. Toinen kritiikki on lainsäädännöllinen ongelma, jossa rikos voi toteutua, vaikka miehellä ei olisi “kostoa” tai “kiusantekoa” tai muita hyökkäyksiä tai liiketoiminnan häirintää, tai selvästi normaalista käytöstä poikkeavaa suurta datan lähetystä. Lisäksi on osoitettu, että laki ja internetin käytön todellisuus eroavat toisistaan. Esimerkiksi sama 10 000 käyttäjää voi antaa erilaisen vaikutelman henkilölle, joka on perehtynyt internetiin ja tietojenkäsittelytekniikkaan, ja henkilölle, joka ei ole, mukaan lukien poliisi ja syyttäjä. On ongelmallista, että tällaista eroa ei korjata. Lisäksi on osoitettu huolta ja pelkoa siitä, että jos kuka tahansa, kuten tämä mies, voi joutua pidätetyksi, internetin vapaan käytön ja kehityksen sekä teollisuuden voi supistua.

Mies sai lopulta syytteen, koska hänen ei katsottu tarkoittaneen voimakkaasti liiketoiminnan häirintää, mutta hän joutui kuulusteltavaksi 20 päivän ajan pidätyksen ja vangitsemisen aikana. Lisäksi hänen nimensä julkaistiin pidätyksen yhteydessä. Lisäksi, vaikka hän ei saanut syytettä, se oli “ei syytetty, koska rikoksen tarkoitus ei ollut vahva” eikä “ei ollut riittävästi epäilyä”, eli hän oli syyllistynyt rikokseen. Vaikka hän ei saanut syytettä, se on ongelma, koska hän kärsi suurta sosiaalista haittaa.

Yhteenveto

Kuten olemme nähneet, DoS-hyökkäykset voivat johtaa syytteeseen tietokoneiden vahingoittamisesta ja liiketoiminnan häirinnästä. Kuitenkin, lainsäädännön soveltamisessa on useita ongelmia, ja kuten esittelemämme tapaukset osoittavat, rikos voi syntyä myös tilanteissa, joita on vaikea pitää pahantahtoisina. Lainsäädännön luomisen aikaan tilanne oli erilainen kuin nykyään, kun suuri osa ihmisistä omistaa älypuhelimia ja tietokoneita ja internetin käyttö on yleistynyt nopeasti. Nämä ongelmat on voitettava ja internetin vapauden suojelu on varmistettava lainsäädännön uudistamisen ja uusien lainsäädännöllisten toimenpiteiden avulla.

Jos yrityksen palvelin joutuu DoS-hyökkäyksen tai muun kyberhyökkäyksen kohteeksi, yrityksen on pyydettävä poliisia tutkimaan asia. Kuitenkin, koska kyseessä on usein teknisesti erittäin monimutkainen ongelma, kuten yllä mainitussa kirjastotapauksessa, asianmukainen reagointi voi olla mahdotonta ilman sekä IT- että oikeudellista asiantuntemusta.

Siviilioikeudellisena ratkaisuna, jos rikoksentekijä voidaan tunnistaa, on mahdollista vaatia vahingonkorvausta kyseiseltä henkilöltä. Tässä tilanteessa voi olla hyödyllistä konsultoida internet- ja liiketoiminta-asioihin perehtynyttä lakimiestä.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Mikä on 'vastuu' lakiasioissa, jotka liittyvät järjestelmäkehitykseen?

Mikä on 'vastuu' lakiasioissa, jotka liittyvät järjestelmäkehitykseen?

IT

Kuinka pitkälle lainsäädännöllisesti tulisi toteuttaa toimintoja, joita ei ole määritelty järjestelmän kehityksen määrittelydokumentissa?

Kuinka pitkälle lainsäädännöllisesti tulisi toteuttaa toimintoja, joita ei ole määritelty järjes.

IT

Mikä on kryptovaluutan lainaaminen? Selitys kahteen oikeudelliseen kysymykseen

Mikä on kryptovaluutan lainaaminen? Selitys kahteen oikeudelliseen kysymykseen

IT

NFT:ssä tapahtuvan tavaramerkkioikeuden loukkauksen tuomioistuimen päätös? Selittää Hermèsin ja Niken tapaukset

NFT:ssä tapahtuvan tavaramerkkioikeuden loukkauksen tuomioistuimen päätös? Selittää Hermèsin ja .

IT

Järjestelmänkäyttäjien tietojen menetysriski ja laillinen vastuu

Järjestelmänkäyttäjien tietojen menetysriski ja laillinen vastuu

IT

Selitämme alihankintalain soveltamista järjestelmäkehitykseen ja rangaistuksia rikkomisesta

Selitämme alihankintalain soveltamista järjestelmäkehitykseen ja rangaistuksia rikkomisesta

IT

Mikä on johtamistavoitteiden ja numeeristen tavoitteiden oikeudellinen merkitys järjestelmäkehitysprojekteissa?

Mikä on johtamistavoitteiden ja numeeristen tavoitteiden oikeudellinen merkitys järjestelmäkehit.

IT

Kuka omistaa ohjelman lähdekoodin tekijänoikeudet?

Kuka omistaa ohjelman lähdekoodin tekijänoikeudet?

IT

Mikä on kolme luokkaa 'japanilaisen kyberrikollisuuden'? Asianajaja selittää jokaisen mallin vahingon torjuntatoimenpiteet

Mikä on kolme luokkaa 'japanilaisen kyberrikollisuuden'? Asianajaja selittää jokaisen mallin vah.

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

TOPへ戻る