MONOLITH LAW OFFICE+81-3-6262-3248Dni powszednie 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

Czy DoS to przestępstwo? Adwokat wyjaśnia o przestępstwie zakłócania działania komputera elektronicznego i innych działań

IT

Czy DoS to przestępstwo? Adwokat wyjaśnia o przestępstwie zakłócania działania komputera elektronicznego i innych działań

Przestępstwo zakłócenia działalności poprzez zniszczenie komputera elektronicznego, znane jako Japońskie “Zniszczenie Komputera i Inne Przestępstwa Zakłócające Działalność”, zostało wprowadzone w roku Shōwa 62 (1987). W tamtym czasie, wraz z gwałtownym wzrostem gospodarki i rozwojem technologii, komputery zaczęły być powszechnie wprowadzane do biur.

Prace, które wcześniej były wykonywane przez ludzi, zaczęły być realizowane przez komputery, a zakres działalności biznesowej również się rozszerzył. W związku z tym zaczęto przewidywać zakłócenia w działalności poprzez ataki skierowane na komputery, co doprowadziło do wprowadzenia nowego prawa w celu zaradzenia temu problemowi.

Jednakże, w momencie wprowadzenia tego prawa, komputery były w fazie intensywnego rozwoju, a Internet nie był jeszcze powszechnie dostępny, co utrudniało konkretne przewidywanie przestępstw internetowych. Ponadto, to prawo nie używa terminologii z dziedziny informatyki czy nauk informacyjnych, lecz terminów typowych dla kodeksów karnych, co prowadzi do różnorodnych interpretacji i sprawia, że jest trudne do zrozumienia dla przeciętnego obywatela.

Przestępstwo to jest powszechnie uznawane za odpowiedź na typ przestępstw komputerowych wśród przestępstw cybernetycznych.

W tym artykule wyjaśnimy szczegółowo o przestępstwie zakłócenia działalności poprzez zniszczenie komputera elektronicznego.

https://monolith.law/corporate/categories-of-cyber-crime[ja]

Co to jest atak DoS

Atak DoS (Denial of Service attack) to jeden z rodzajów cyberataków, który polega na przesyłaniu dużej ilości danych lub danych nieprawidłowych do celu ataku, takiego jak strona internetowa lub serwer, powodując nadmierne obciążenie i uniemożliwiając normalne funkcjonowanie systemu. Atak ten nie polega na nielegalnym uzyskaniu uprawnień, jak w przypadku nieautoryzowanego dostępu, ani na przejęciu kontroli nad systemem za pomocą wirusa, ale na zakłócaniu korzystania z systemu przez prawidłowych użytkowników. Jest to stara metoda cyberataków, ale jest również często stosowana w atakach DDoS (Distributed Denial of Service attack), czyli atakach typu rozproszonego, co prowadzi do wielu przypadków molestowania i szkód w ostatnich latach.

Rodzaje ataków DoS

Ataki DoS można podzielić na dwa typy: “typ zalania” i “typ wykorzystujący podatności”.

Zalanie, pochodzące od angielskiego słowa ‘Flood’ (=powódź), polega na przesyłaniu dużej ilości danych do celu ataku, powodując, że nie jest on w stanie ich przetworzyć.

Z drugiej strony, ataki wykorzystujące podatności polegają na wykorzystaniu podatności serwerów lub aplikacji do wykonania nieprawidłowych operacji i zatrzymania ich działania. Granica między tymi atakami a nielegalnym dostępem jest niejasna, ale na przykład typowy atak DoS wykorzystujący podatności, tzw. atak LAND, polega na wysyłaniu pakietów, w których adresy IP i numery portów nadawcy i odbiorcy są takie same. Aby to uprościć, atakujący A wysyła do serwera B, który jest celem ataku, pakiet z treścią “Jestem B i chcę odpowiedzi”. Wtedy B odpowiada samemu sobie “odpowiedź”, a po otrzymaniu odpowiedzi B znowu odpowiada samemu sobie “odpowiedź”… i tak dalej, co prowadzi do nieskończonej pętli. Chociaż wykorzystuje to “podatność” w sensie, że “odpowiada na pakiety, w których sam jest nadawcą”, nie jest to “nielegalny dostęp”, ponieważ nie omija autoryzacji hasła, ale jest klasyfikowane jako “atak DoS wykorzystujący podatności”.

https://monolith.law/reputation/unauthorized-computer-access[ja]

Atak DDoS to metoda rozproszona, w której zdalnie steruje się tysiącami komputerów zainfekowanych wirusem botnet i przeprowadza się z nich atak DoS typu zalania.

Mechanizm ataku DoS

Mechanizm ataku DoS polega na częstym powtarzaniu w krótkim czasie czynności, które są normalnie dozwolone w ramach protokołu TCP/IP. Na przykład, kiedy próbujesz kupić bilety na koncert popularnej gwiazdy pop przez stronę sprzedaży, strona ta staje się trudna do połączenia, ponieważ wiele osób próbuje się z nią połączyć jednocześnie, co powoduje, że strona staje się wolna lub przestaje działać. Atak DoS polega na celowym wywoływaniu takich sytuacji, nadużywając prawidłowych uprawnień.

Czy ataki DoS są zgodne z japońskim prawem karającym za uszkodzenie komputera i zakłócenie działalności?

Czy ataki DoS są przestępstwem? Rozważmy, czy spełniają one kryteria japońskiego prawa karającego za uszkodzenie komputera i zakłócenie działalności.

Osoba, która uszkadza komputer lub magnetyczne zapisy używane w działalności innej osoby, podaje fałszywe informacje lub nieprawidłowe polecenia do komputera używanego w działalności innej osoby, lub w inny sposób uniemożliwia komputerowi wykonywanie działań zgodnych z jego przeznaczeniem, lub zmusza go do wykonywania działań sprzecznych z jego przeznaczeniem, zakłócając tym samym działalność innej osoby, podlega karze pozbawienia wolności do pięciu lat lub grzywny do miliona jenów.

Artykuł 234-2 paragraf 1 japońskiego Kodeksu Karnego (Uszkodzenie komputera i zakłócenie działalności)

Wymogi dla spełnienia przestępstwa uszkodzenia komputera i zakłócenia działalności to:

  1. Atak skierowany na komputer
  2. Zakłócenie działania komputera
  3. Zakłócenie działalności

Wszystkie te trzy elementy muszą być spełnione, a do tego musi być udowodnione, że sprawca działał umyślnie.

Spełnienie obiektywnych wymogów

Rozważmy każdy z tych elementów osobno.

Atak skierowany na komputer

Atak (czyn) musi spełniać jedno z następujących kryteriów:

  • “Uszkodzenie komputera lub magnetycznych zapisów używanych do jego obsługi”
  • “Podanie fałszywych informacji lub nieprawidłowych poleceń do komputera”
  • “Lub jakiekolwiek inne działanie”

Co do “komputera”, orzecznictwo (wyrok Sądu Apelacyjnego w Fukuoka z dnia 21 września 2000 roku) definiuje go jako urządzenie elektroniczne, które automatycznie przetwarza dane. Nie ma wątpliwości, że komputery biurowe, komputery osobiste i komputery sterujące są typowymi przykładami. Magnetyczne zapisy są zdefiniowane w artykule 7-2 Kodeksu Karnego. Serwer, który jest celem ataku DoS, zdecydowanie spełnia te kryteria.

“Uszkodzenie” oznacza nie tylko fizyczne zniszczenie, ale także wszelkie działania, które szkodzą funkcji obiektu, takie jak usuwanie danych. “Fałszywe informacje” oznaczają informacje, które są niezgodne z prawdą. “Nieprawidłowe polecenia” oznaczają podawanie poleceń, które mogą być przetwarzane przez dany komputer, bez odpowiednich uprawnień. Na przykład, jeśli przeprowadzisz masowy i skoncentrowany atak DoS, serwer, który jest celem ataku, może zostać przeciążony i nie będzie w stanie prawidłowo przetwarzać danych. Taki atak, nawet jeśli nie prowadzi do “uszkodzenia”, takiego jak usuwanie danych, jest nieautoryzowanym dostępem sprzecznym z wolą właściciela serwera i można go uznać za “nieprawidłowe polecenie”.

Zakłócenie działania komputera

Kwestią jest, czy spełnione są kryteria “uniemożliwienia komputerowi wykonywania działań zgodnych z jego przeznaczeniem” lub “zmuszenia go do wykonywania działań sprzecznych z jego przeznaczeniem”. Istnieje spór co do tego, czyj cel użytkowania powinien być podstawą, ale biorąc pod uwagę, że celem tego przepisu jest zapewnienie bezpiecznego i płynnego prowadzenia działalności, powinniśmy przyjąć cel właściciela komputera. Gdy atak DoS jest przeprowadzany i serwer jest przeciążony, usługi mogą stać się niedostępne, co uniemożliwia prawidłowe przetwarzanie danych zgodnie z celem właściciela serwera. W takim przypadku można powiedzieć, że “komputer nie wykonuje działań zgodnych z jego przeznaczeniem”, co spełnia kryterium zakłócenia działania.

Zakłócenie działalności

Przestępstwo uszkodzenia komputera i zakłócenia działalności jest zaostrzoną formą przestępstwa zakłócenia działalności (artykuły 233 i 234 Kodeksu Karnego), więc zakłócenie działalności jest rozpatrywane na tych samych zasadach co w przypadku zwykłego przestępstwa zakłócenia działalności. Innymi słowy, “działalność” oznacza działania wykonywane powtarzalnie i ciągle na podstawie pozycji społecznej, a “zakłócenie” nie wymaga rzeczywistego uszkodzenia działalności. Gdy przeprowadzany jest atak DoS, “działalność” polegająca na dostarczaniu usług w Internecie za pomocą serwera jest zakłócana, co spełnia kryterium zakłócenia działalności.

Spełnienie subiektywnych wymogów (umyślność)

Po spełnieniu tych wymagań, musi być udowodnione, że sprawca działał umyślnie (paragraf 1 artykułu 38 Kodeksu Karnego). Umyślność oznacza świadomość i akceptację faktu, że spełnione są powyższe kryteria ① do ③ (nazywane “elementami składowymi”). Nie wymaga to złośliwości czy zamiaru szkodzenia, nawet jeśli nie ma takiego zamiaru, jeśli istnieje świadomość, że “może się zdarzyć, że serwer przestanie działać i usługa stanie się niedostępna”, umyślność może być uznana.

Incydent związany z masowym dostępem do strony internetowej Miejskiej Biblioteki Centralnej w Okazaki

W związku z powyższym, przedstawiamy incydent związany z masowym dostępem do strony internetowej Miejskiej Biblioteki Centralnej w Okazaki (znany również jako incydent Librahack).

Mężczyzna (39 lat) z prefektury Aichi został aresztowany, ponieważ za pomocą własnego programu zbierał informacje o nowych książkach z strony internetowej biblioteki, co zostało uznane za cyberatak. Jednakże, według analizy przeprowadzonej przez ekspertów na zlecenie Asahi Shimbun, okazało się, że oprogramowanie biblioteki miało błąd, który sprawiał, że wyglądało na to, jakby była atakowana przez masowy dostęp. Okazało się również, że podobne problemy wystąpiły w sześciu bibliotekach na terenie całego kraju, które korzystały z tego samego oprogramowania. Firma, która opracowała oprogramowanie, rozpoczęła prace nad jego poprawą w około 30 bibliotekach na terenie całego kraju.
Problem ten wystąpił w Miejskiej Bibliotece w Okazaki. W oprogramowaniu występował błąd, który powodował, że za każdym razem, gdy wywoływano dane książki, proces komputerowy był kontynuowany, co przypominało sytuację, gdy po rozmowie telefonicznej nie odłożono słuchawki. Po pewnym czasie połączenie było automatycznie przerywane, ale w bibliotece, gdy liczba dostępów przekraczała około 1000 w ciągu 10 minut, strona internetowa stawała się niedostępna, co wyglądało na masowy atak.
Mężczyzna był inżynierem oprogramowania i wypożyczał około 100 książek rocznie z Miejskiej Biblioteki w Okazaki. Strona internetowa biblioteki była niewygodna w użyciu, więc stworzył program do codziennego zbierania informacji o nowych książkach i zaczął go używać od marca.
Od tego czasu biblioteka otrzymała skargi od mieszkańców, że “nie mogą połączyć się ze stroną internetową”. Policja z prefektury Aichi, która otrzymała skargę, uznała, że mężczyzna celowo wysyłał żądania przekraczające zdolności przetwarzania i aresztowała go pod zarzutem zakłócania działalności. Prokuratura w Okazaki w Nagoya w czerwcu uznała, że “nie ma silnej intencji zakłócania działalności” i zdecydowała o zawieszeniu oskarżenia.

Poranne wydanie Asahi Shimbun Nagoya (21 sierpnia 2010 roku)

Mężczyzna, który został aresztowany w tym incydencie, był użytkownikiem Miejskiej Biblioteki Centralnej w Okazaki i działał w celu zbierania informacji o nowych książkach na stronie internetowej biblioteki, nie miał zamiaru zakłócać działalności biblioteki. Częstotliwość dostępu wynosiła około jednego na sekundę, co zwykle nie jest uważane za atak DoS, ale z powodu błędu na serwerze biblioteki, nawet taka częstotliwość doprowadziła do awarii systemu.

Mimo braku złych intencji, fakt, że spowodował awarię serwera biblioteki poprzez działania, które mogą być uznane za atak DoS, i zakłócił jej działalność, jest uznawany za spełnienie obiektywnych wymogów. Co do zamiaru, jak wcześniej wspomniano, nawet bez złych intencji, zamiar może być uznany. Policja z prefektury uznała, że ten mężczyzna, jako doświadczony inżynier komputerowy, mógł zrozumieć, że wysyłanie dużej ilości żądań mogłoby wpłynąć na serwer biblioteki, ale mimo to wysłał duże ilości żądań, co sugeruje, że miał zamiar, i uznała, że przestępstwo mogło zostać popełnione.

Problemy i krytyka związane z incydentem

Metoda mechanicznego pozyskiwania danych z publicznych stron internetowych, jaką stosował mężczyzna, jest powszechnie stosowana, a samo programowanie nie jest nielegalne. Mężczyzna wyjaśnił przebieg i zamiary incydentu na swojej stronie internetowej, ale nie ma nic, co mogłoby zasługiwać na moralne potępienie jako “przestępstwo”, co wstrząsnęło wieloma inżynierami korzystającymi z tej technologii i wywołało wiele krytyki i obaw.

Na przykład, w pierwszym rzędzie, strona internetowa publicznej biblioteki, z której korzysta wielu różnych ludzi, ma błąd, który powoduje, że serwer pada po jednym dostępie na sekundę, co jest zbyt słabe i kruche. Gdyby serwer miał odpowiednią moc, mężczyzna nie zostałby aresztowany. Jest to krytyka.
Ponadto, mężczyzna nie miał zamiaru “zemsty” czy “dokuczania”, nie wysyłał dużej ilości danych, które różniłyby się od normalnego użytkowania, i nie było żadnych oczywistych elementów przestępczych, a mimo to przestępstwo mogło zostać popełnione na mocy takiego przepisu, co jest problemem legislacyjnym. Jest to również krytyka rozbieżności między stosowaniem prawa a rzeczywistym korzystaniem z Internetu. Na przykład, wrażenie, jakie odnosi osoba biegła w technologii internetowej i przetwarzaniu informacji z 10 000 dostępów, różni się od wrażenia, jakie odnosi osoba nieznająca tych technologii, w tym policja i prokuratura. Jest to problem, że takie rozbieżności w odczuciach są stosowane bez korekty. Ponadto, istnieje obawa i niepokój, że tak jak ten mężczyzna, każdy może zostać aresztowany, co może hamować swobodne korzystanie z Internetu i rozwój przemysłu.

Mężczyzna otrzymał zawieszenie oskarżenia, ponieważ nie stwierdzono silnej intencji zakłócania działalności, ale był przesłuchiwany podczas aresztu trwającego 20 dni i był poddany fizycznemu ograniczeniu. Ponadto, jego prawdziwe nazwisko zostało ujawnione w czasie aresztowania. Ponadto, zawieszenie oskarżenia oznacza, że “przestępstwo zostało popełnione, ale nie jest poważne, lub osoba głęboko żałuje”, co różni się od “niewystarczających dowodów na winę”. Innymi słowy, jest uznawany za winnego popełnienia przestępstwa. Nawet jeśli nie został oskarżony, to fakt, że doznał poważnej społecznej szkody, jest problemem.

Podsumowanie

Jak widać, ataki DoS mogą prowadzić do powstania przestępstwa zakłócenia działania komputera. Niemniej jednak, istnieją pewne problemy związane z zastosowaniem tego prawa, a jak pokazały przedstawione przypadki, przestępstwo może zostać popełnione nawet w sytuacjach, które trudno określić jako złośliwe. W przeciwieństwie do czasu, kiedy prawo zostało ustanowione, obecnie wiele osób posiada urządzenia z dostępem do internetu, takie jak smartfony czy komputery, a społeczeństwo internetowe rozwija się bardzo szybko. Aby pokonać te problemy i chronić wolność w internecie, konieczne jest przemyślenie sposobu stosowania prawa i rozważenie nowych środków legislacyjnych.

Jeśli serwer firmy zostanie zaatakowany przez atak DoS lub inny cyberatak, konieczne będzie wezwanie policji do przeprowadzenia śledztwa. Jednakże, wiele z tych przypadków stanowi bardzo zaawansowane problemy techniczne, i jak pokazał przykład incydentu w bibliotece, może być trudne do właściwego zaradzenia bez wiedzy i doświadczenia w dziedzinie IT i prawa.

Jako rozwiązanie cywilne, jeśli można zidentyfikować sprawcę, możliwe jest złożenie roszczenia o odszkodowanie od tej osoby. Dlatego jednym z możliwych rozwiązań jest skonsultowanie się z prawnikiem specjalizującym się w prawie internetowym i biznesowym.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Wróć do góry