MONOLITH LAW OFFICE+81-3-6262-3248Vardagar 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

Är DoS en brott? En advokat förklarar om 'Japanska elektroniska datorförstörelse och affärsstörningsbrott

IT

Är DoS en brott? En advokat förklarar om 'Japanska elektroniska datorförstörelse och affärsstörningsbrott

Brottet för skadegörelse av datorer och liknande störningar i verksamheten är ett brott som infördes under Showa 62 (1987). Vid den tiden, på grund av den snabba ekonomiska tillväxten och tekniska utvecklingen, började datorer introduceras i kontor i allt större utsträckning.

Arbete som tidigare utfördes av människor började utföras av datorer, och verksamhetens omfattning utvidgades. Detta ledde till att störningar i verksamheten genom skadegörelse mot datorer blev en möjlighet, och för att hantera detta infördes den nya lagen.

Men vid tidpunkten för lagens införande var datorer fortfarande under utveckling, och internet var inte allmänt spritt, vilket gjorde det svårt att specifikt förutse internetbrott. Dessutom använder denna lag inte termer från datavetenskap eller informationsteknik, eller termer som används i allmänheten, utan definierar istället termer i en form som är typisk för strafflagstiftningen, vilket gör tolkningen varierad och svår att förstå för allmänheten.

Dessutom erkänns detta brott allmänt som ett brott som motsvarar den typ av datorbrott som ingår i cyberbrott.

I denna artikel kommer vi att förklara detaljerna om brottet för skadegörelse av datorer och liknande störningar i verksamheten på ett lättförståeligt sätt.

https://monolith.law/corporate/categories-of-cyber-crime[ja]

Vad är en DoS-attack?

En DoS-attack (Denial of Service-attack) är en typ av cyberattack där målet är att överbelasta en webbplats eller server genom att skicka stora mängder data eller felaktig data. Detta gör att systemet inte kan fungera normalt. Till skillnad från olaglig åtkomst eller virusinfektioner, där angriparen tar kontroll över systemet, syftar DoS-attacker till att hindra legitima användare från att utöva sina åtkomsträttigheter. Denna typ av attack har funnits länge, men används även i modern tid i form av DDoS-attacker (Distributed Denial of Service-attacker), vilket har lett till betydande skada och irritation.

Typer av DoS-attacker

DoS-attacker kan delas in i två typer: “flood”-typer och “sårbarhets”-typer.

“Flood”-typen, som kommer från det engelska ordet för översvämning, innebär att man skickar stora mängder data till målet tills det inte längre kan hantera belastningen.

Å andra sidan utnyttjar “sårbarhets”-typen svagheter i servrar eller applikationer för att tvinga dem att utföra obehöriga operationer och därmed stänga av deras funktioner. Det kan vara svårt att skilja denna typ av attack från olaglig åtkomst, men ett exempel på en typisk sårbarhetsbaserad DoS-attack är LAND-attacken. I en LAND-attack skickas paket med samma IP-adress och portnummer som både avsändare och mottagare. För att förenkla, om en angripare A skickar ett paket till en server B med meddelandet “Jag är B, svara mig”, kommer B att svara sig själv. Detta skapar en oändlig loop. Även om detta utnyttjar en “sårbarhet” i att systemet svarar på paket som det själv har skickat, är det inte olaglig åtkomst eftersom det inte innebär att man kringgår lösenordsautentisering. Därför klassificeras det som en “sårbarhets”-typ av DoS-attack.

https://monolith.law/reputation/unauthorized-computer-access[ja]

DDoS-attacker är en distribuerad typ av attack där tusentals datorer som har infekterats med ett botnet-virus fjärrstyrs för att utföra “flood”-typen av DoS-attacker.

Hur DoS-attacker fungerar

DoS-attacker fungerar genom att upprepa handlingar som är legitimt tillåtna inom ramen för TCP/IP, men gör det så ofta och så snabbt att systemet överbelastas. Ett exempel på detta är när många människor försöker köpa biljetter till en populär idolkonsert samtidigt, vilket gör att webbplatsen blir överbelastad och svår att nå. En DoS-attack skapar denna situation avsiktligt genom att missbruka legitima rättigheter.

Är DoS-attacker brottsliga enligt den japanska lagen om sabotage mot datorer?

Så, är DoS-attacker brottsliga? Vi ska undersöka om de faller under den japanska lagen om sabotage mot datorer.

“Den som skadar en dator eller elektromagnetisk data som används i någons arbete, eller ger falsk information eller obehöriga instruktioner till en dator som används i någons arbete, eller på annat sätt hindrar datorn från att fungera enligt dess avsedda användning, eller får den att fungera på ett sätt som strider mot dess avsedda användning, och därigenom stör någons arbete, ska straffas med fängelse i högst fem år eller böter på högst en miljon yen.”

Artikel 234-2, paragraf 1 i den japanska strafflagen (Sabotage mot datorer)

För att brottet ska vara fullbordat enligt lagen om sabotage mot datorer krävs det, som objektiva krav, att:

  1. En skadegörande handling riktas mot en dator
  2. Datorns funktion hindras
  3. Arbetet störs

Och som subjektiva krav, att dessa handlingar utförs med avsikt.

Uppfyllelse av objektiva krav

Vi ska undersöka varje punkt individuellt.

En skadegörande handling riktas mot en dator

Som skadegörande handling (handling i verkställighet) krävs det att:

  • “En dator eller elektromagnetisk data som används för den skadas”
  • “Falsk information eller obehöriga instruktioner ges till en dator”
  • “Eller någon annan metod används”

Det är nödvändigt att uppfylla något av dessa krav.

Enligt en domstolsutslag (Fukuoka High Court, 21 september 2000), definieras en “dator” som en elektronisk enhet som automatiskt utför beräkningar och databehandling. Det finns ingen tvist om att kontorsdatorer, persondatorer, styrdatorer etc. är representativa exempel. Elektromagnetisk data definieras i artikel 7-2 i den japanska strafflagen. Det är självklart att en server, som är målet för en DoS-attack, faller under dessa definitioner.

“Skada” innebär inte bara fysisk förstörelse, utan också alla handlingar som skadar en saks funktion, som att radera data. “Falsk information” innebär att innehållet strider mot sanningen. “Obehöriga instruktioner” innebär att ge instruktioner som kan behandlas av den aktuella datorn utan behörighet. Till exempel, om en flödesbaserad DoS-attack utförs i stor skala och koncentrerat, kan servern som är målet för attacken bli överbelastad och inte kunna utföra behandlingen korrekt. Även om en sådan attack inte leder till “skada” genom att radera data, kan den anses vara “obehöriga instruktioner” eftersom den ger instruktioner utan behörighet och mot serverägarens vilja.

Hindrande av datorns funktion

Frågan är om det faller under “hindrar datorn från att fungera enligt dess avsedda användning” eller “får den att fungera på ett sätt som strider mot dess avsedda användning”. Det finns en tvist om vars avsedda användning som ska vara utgångspunkt, men med tanke på att det skyddade intresset i detta brott är säker och smidig utförande av arbete, bör vi anta att det är installatörens syfte. När en DoS-attack utförs och servern blir överbelastad, kan tjänsten bli otillgänglig, vilket innebär att den korrekta processen som serverinstallatören avsåg inte kan utföras. I sådana fall kan man säga att “datorn fungerar inte enligt dess avsedda användning”, vilket innebär att datorns funktion hindras.

Störande av arbete

Lagen om sabotage mot datorer är en förstärkt version av lagen om störande av arbete (artikel 233 och 234 i den japanska strafflagen), så denna störande av arbete ska betraktas på samma sätt som i den vanliga lagen om störande av arbete. Det vill säga, “arbete” innebär upprepade och kontinuerliga uppgifter baserade på en social position, och för att det ska anses vara “störande” krävs det inte att arbetet faktiskt skadas. När en DoS-attack utförs, kan det sägas att “arbetet” att tillhandahålla en tjänst på internet genom att använda servern störs, vilket innebär att arbetet störs.

Uppfyllelse av subjektiva krav (avsikt)

Dessa krav måste uppfyllas, och det måste finnas avsikt (artikel 38, paragraf 1 i den japanska strafflagen). Avsikt innebär att man erkänner och accepterar de faktiska omständigheterna som motsvarar ovanstående ① till ③ (de så kallade konstitutiva kraven). Det krävs inte någon illvilja eller skadlig avsikt att störa någon, och även om man inte har en sådan avsikt, om man erkänner att “servern kanske går ner och tjänsten kanske blir otillgänglig”, kan avsikt erkännas.

Massåtkomstincidenten på Okazaki City Central Librarys hemsida

I samband med detta vill vi introducera “Massåtkomstincidenten på Okazaki City Central Librarys hemsida (även känd som Librahack-incidenten)”.

En man (39) i Aichi-prefekturen arresterades för att ha lanserat en cyberattack genom att samla in information om nya böcker från bibliotekets hemsida med hjälp av ett program han själv skapat. Men en analys av en expert som Asahi Shimbun anlitade visade att det fanns ett fel i biblioteksprogramvaran, vilket gjorde att det såg ut som om det hade utsatts för en massåtkomstattack. Det visade sig också att samma problem hade uppstått på sex andra bibliotek som använde samma programvara. Programvaruutvecklingsföretaget har börjat göra ändringar på cirka 30 bibliotek runt om i landet.
Problemet uppstod på Okazaki City Central Library i samma prefektur. Programvaran hade ett fel som gjorde att varje gång bokdata hämtades, fortsatte datan att bearbetas, vilket liknade att lyfta luren efter ett telefonsamtal. Efter en viss tid kopplades det automatiskt från, men på detta bibliotek, om det fanns mer än tusen åtkomster på tio minuter, kunde hemsidan inte visas, vilket gjorde att det såg ut som om det hade utsatts för en massåtkomstattack.
Mannen är en mjukvaruingenjör och lånade cirka 100 böcker om året från Okazaki City Central Library. Bibliotekets hemsida var svår att använda, så han skapade ett program för att samla in information om nya böcker varje dag och började använda det i mars.
Biblioteket fick klagomål från medborgare från samma månad om att de “inte kunde ansluta till hemsidan”. Aichi-prefekturens polis, som konsulterades, bedömde att mannen hade skickat medvetet förfrågningar som översteg bearbetningskapaciteten och arresterade honom för misstanke om att ha stört verksamheten. Nagoya District Prosecutor’s Office Okazaki Branch beslutade i juni att inte åtala honom eftersom de “inte kunde erkänna en stark avsikt att störa verksamheten”.

Asahi Shimbun Nagoya Morning Edition (21 augusti 2010)

Mannen som arresterades i denna incident var en användare av Okazaki City Central Library, och han gjorde det för att samla in information om nya böcker på bibliotekets webbplats, och han hade ingen avsikt att störa bibliotekets verksamhet. Och frekvensen av åtkomst var låg, cirka en gång per sekund, vilket normalt inte skulle betraktas som en DoS-attack, men det fanns ett problem med bibliotekets server och detta orsakade systemfel.

Även om det inte fanns någon illvilja, kan det erkännas att han störde bibliotekets verksamhet genom att utföra handlingar som kan betraktas som en DoS-attack, så vi kommer att titta på de objektiva kraven. Och när det gäller avsikt, som jag nämnde tidigare, kan avsikt erkännas även om det inte finns någon illvilja. Polisen i prefekturen bedömde att eftersom denna man är en datoringenjör som är bekant med datorer, trots att han var medveten om att om han skickade ett stort antal förfrågningar, kunde det påverka bibliotekets server, han skickade ett stort antal förfrågningar, så det fanns avsikt, och det verkar som om de bedömde att ett brott kunde begås.

Problem och kritik av incidenten

Metoden att mekaniskt samla in data från offentliga webbplatser, som mannen gjorde, är allmänt utbredd, och det finns ingen olaglighet i programmeringen i sig. Mannen har förklarat omständigheterna och hans avsikt på sin egen webbplats efter incidenten, men det finns inget i innehållet som förtjänar moralisk fördömning som ett “brott”, vilket har skakat många ingenjörer som använder denna teknik och har lett till mycket kritik och oro.

Till exempel, för det första, trots att det är en offentlig webbplats för ett offentligt bibliotek som används av ett stort antal människor, om servern har ett fel som gör att den går ner med en åtkomst per sekund, är den alltför svag och sårbar, och om det fanns en server med den styrka som normalt bör finnas, borde mannen inte ha arresterats, vilket är en punkt som har påpekats.
Dessutom finns det inga tydliga brottsliga element som “hämnd” eller “trakasserier” mot mannen, eller att skicka stora mängder data som tydligt skiljer sig från normal användning, trots att det inte finns några sådana element, det är ett lagstiftningsproblem att det finns en bestämmelse som kan leda till brott. Dessutom finns det en punkt som påpekar skillnaden mellan lagens tillämpning och användningen av internet. Till exempel, även om det är samma 10 000 åtkomster, skiljer sig intrycket som en person som är bekant med internet och informationsteknik får från intrycket som en allmän person, inklusive polisen och åklagaren, får, och det är ett problem att denna skillnad i uppfattning tillämpas utan att korrigeras. Dessutom har det påpekats att det finns oro och ångest över att fri användning och utveckling av internet och industrin kan krympa eftersom någon som denna man kan arresteras.

Mannen fick till slut inte åtalas eftersom det inte fanns någon stark avsikt att störa verksamheten, men han blev förhörd under arrestering och häktning i 20 dagar och tvingades till fysiskt förvar. Dessutom blev hans riktiga namn offentligt vid tidpunkten för hans arrestering. Dessutom, även om han inte åtalades, är det ett problem att han led av stor social nackdel, eftersom han ansågs ha begått ett brott, även om han inte åtalades, eftersom han fick en uppskjuten åtalsbeslut, vilket är annorlunda från “otillräcklig misstanke” och innebär att “det fanns ett brott, men det var inte allvarligt, eller han ångrade sig djupt, så vi kommer att avstå från att åtala den här gången”.

Sammanfattning

Såsom vi har sett kan DoS-attacker leda till brott enligt den japanska lagen om skadegörelse på elektroniska datorer och störning av affärsverksamhet. Det finns dock vissa problem med tillämpningen av denna lag, och det finns en risk att brott kan begås även i fall som är svåra att klassificera som illvilliga, likt de incidenter vi har diskuterat. Till skillnad från när lagen infördes, äger nu många människor internetenheter som smartphones och datorer, och internetsamhället utvecklas snabbt. För att övervinna dessa problem och skydda friheten på internet kan det vara nödvändigt att ändra lagtillämpningen och överväga nya lagstiftningsåtgärder.

Om företagets server drabbas av cyberattacker som DoS-attacker, kommer det att bli nödvändigt att uppmana polisen att utreda. Men många fall innebär mycket avancerade tekniska problem, och som i fallet med bibliotekshändelsen vi nämnde tidigare, kan det vara svårt att hantera situationen korrekt utan kunskap och expertis inom både IT och lagstiftning.

Som en civilrättslig lösning, om gärningsmannen kan identifieras, är det möjligt att begära skadestånd från den personen. Det kan därför vara en bra idé att konsultera en advokat som är kunnig inom internet och affärsjuridik.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Tillbaka till toppen