Дії, заборонені Законом Японії про заборону незаконного доступу
Закон про заборону незаконного доступу (офіційна назва “Закон про заборону незаконного доступу та інше”) був прийнятий у лютому 2000 року (2000 рік за Григоріанським календарем) і змінений у травні 2012 року (2012 рік за Григоріанським календарем), і зараз він діє. Цей закон, що складається з 14 статей, має на меті запобігти кіберзлочинам та підтримувати порядок у сфері електронних комунікацій.
“Закон про заборону незаконного доступу та інше” (Мета)
Стаття 1. Метою цього закону є запобігання злочинам, пов’язаним з комп’ютерами, через телекомунікаційні лінії, а також підтримка порядку в телекомунікаціях, які здійснюються за допомогою функцій контролю доступу, шляхом заборони незаконного доступу, встановлення кримінальних покарань за це та заходів допомоги від комісії з громадської безпеки префектур для запобігання повторенню таких дій, та тим самим сприяти здоровому розвитку високоінформаційного суспільства.
Які конкретні дії забороняє Закон про заборону незаконного доступу? Які реальні випадки відбуваються, і які заходи слід вжити в кримінальному та цивільному праві? Ми пояснимо загальні положення Закону про заборону незаконного доступу та заходи, які слід вжити у випадку його порушення.
Дії, заборонені Законом про заборону незаконного доступу
Закон про заборону незаконного доступу забороняє та карає, в основному, наступні три дії:
- Заборона незаконного доступу (стаття 3)
- Заборона дій, що сприяють незаконному доступу (стаття 5)
- Заборона незаконного отримання, зберігання та вимоги введення чужих ідентифікаційних кодів (статті 4, 6, 7)
Що таке незаконний доступ
Конкретно, це визначено в пункті 4 статті 2, а саме “підробка” та “атака на безпеку”. Закон про заборону незаконного доступу забороняє незаконний доступ до чужих комп’ютерів.
“Підробка” – це дія, коли ви маєте вводити ідентифікаційні коди, такі як ID та пароль, на своєму комп’ютері при використанні провайдера, і ви вводите чужі ідентифікаційні коди без дозволу власника.
Це може бути трохи складно зрозуміти, але “чужі” в цьому контексті означає ID та паролі, які вже створені (і використовуються) іншими людьми. Таким чином, “підробка” – це, власне кажучи, дія “перехоплення” облікових записів соціальних мереж, таких як Twitter, які вже використовуються іншими людьми.
Зазвичай “підробка” означає створення нового облікового запису, використовуючи чуже ім’я та фотографію, і використання соціальних мереж, таких як Twitter, під виглядом цієї людини, але це відрізняється від цього. Детальніше про “підробку” в цьому контексті описано в статті нижче.
https://monolith.law/reputation/spoofing-dentityright[ja]
“Атака на безпеку” – це дія, коли ви атакуєте діру в безпеці (недолік у заходах безпеки) чужого комп’ютера, щоб зробити його доступним для використання. Ви використовуєте програми для атаки, щоб надати інформацію або команди, що не є ідентифікаційними кодами, до цілі атаки, обходите функцію контролю доступу до чужого комп’ютера і використовуєте його без дозволу.
Якщо ви вчините ці дії незаконного доступу, ви можете бути покарані “трьома роками або менше ув’язнення або штрафом до 1 мільйона єн” (стаття 11).
Що таке дії, що сприяють незаконному доступу
Дії, що сприяють незаконному доступу, заборонені Законом про заборону незаконного доступу, – це надання чужих ID та паролів третім особам без дозволу власника. Незалежно від засобів, таких як телефон, електронна пошта або веб-сайт, якщо ви повідомите іншим людям, що “ID – це XX, пароль – це YY”, і дозволите іншим людям вільно отримувати доступ до даних людей, це буде вважатися дією, що сприяє незаконному доступу.
Якщо ви вчините дії, що сприяють незаконному доступу, ви можете бути покарані “одним роком або менше ув’язнення або штрафом до 500 000 єн” (пункт 2 статті 12).
Крім того, навіть якщо ви надаєте пароль, не знаючи про намір незаконного доступу, ви можете бути оштрафовані на суму до 300 000 єн (стаття 13).
Що таке незаконне отримання, зберігання та вимога введення чужих ідентифікаційних кодів
Закон про заборону незаконного доступу забороняє незаконне отримання, зберігання та вимогу введення чужих ідентифікаційних кодів (ID, пароль).
Стаття 4. Заборона незаконного отримання чужих ідентифікаційних кодів
Стаття 6. Заборона незаконного зберігання чужих ідентифікаційних кодів
Стаття 7. Заборона незаконного вимоги введення чужих ідентифікаційних кодів
Типовим прикладом цих заборонених дій є “вимога введення”, або так звана фішингова діяльність. Наприклад, ви маскуєтесь під фінансову установу, спрямовуєте жертву на фальшиву веб-сторінку, яка виглядає як справжня, і змушуєте жертву вводити свій пароль та ID на цій фальшивій веб-сторінці.
Ідентифікаційні номери, отримані через фішинг, використовуються у шахрайстві на аукціонах, а також у випадках, коли депозити незаконно перераховуються на інші рахунки. Шахрайство зростає.
Якщо ви вчините ці дії, ви можете бути покарані одним роком або менше ув’язнення або штрафом до 500 000 єн (пункт 4 статті 12).
Закони, що регулюють кіберзлочини, крім незаконного доступу
Таким чином, Закон про заборону незаконного доступу – це закон, призначений для вирішення деяких типів так званих кіберзлочинів. Що стосується “кіберзлочинів” в цілому, інші закони, такі як злочини проти роботи комп’ютерів, злочини проти ділової діяльності через обман, злочини проти честі, також можуть стати проблемою. Детальніше про загальну картину кіберзлочинів описано в статті нижче.
https://monolith.law/corporate/categories-of-cyber-crime[ja]
Обов’язки адміністратора доступу
Закон про заборону незаконного доступу не лише визначає незаконні дії доступу та покарання за них, але й накладає обов’язки на адміністраторів для запобігання незаконному доступу до серверів та інших систем.
Заходи захисту від адміністратора доступу
Стаття 8. Адміністратори доступу, які додали функцію контролю доступу до певного електронного комп’ютера, повинні прагнути до належного управління ідентифікаційними кодами або символами, які використовуються для перевірки цієї функції контролю доступу, постійно перевіряти ефективність цієї функції контролю доступу, і коли вони вважають це необхідним, вони повинні негайно прагнути до покращення цієї функції та інших необхідних заходів для захисту цього певного електронного комп’ютера від незаконних дій доступу.
Обов’язково “належно управляти ідентифікаційними кодами”, “постійно перевіряти ефективність функції контролю доступу” та “покращувати функцію контролю доступу за потреби”, але оскільки це обов’язки зусиль, немає покарання за невиконання цих заходів.
Однак, якщо адміністратор знайде сліди витоку ID або паролю, він повинен негайно виконати контроль доступу, такий як видалення облікового запису або зміна паролю.
Приклади порушення Закону про заборону незаконного доступу
Захоплення Twitter аккаунту популярного серед дівчат учня
30 січня 2017 року (2017 року за Григоріанським календарем) поліція префектури Хього затримала учня 3-го курсу старшої школи (18 років) за підозрою в порушенні Закону про заборону незаконного доступу. Він був звинувачений у тому, що захопив Twitter аккаунт однокласника і, виступаючи під його ім’ям, відправив понад 300 повідомлень дівчатам-старшокласницям.
За звинуваченням, він вводив пароль у сервер автентифікації Twitter популярного серед дівчат учня (18 років) в період з вересня до листопада минулого року, входив до системи 63 рази, відправляв непристойні повідомлення такого змісту, як “давай покажемо одне одному свої тіла”, “давай поговоримо про секс” дівчатам з інших шкіл, які слідкували за цим акаунтом.
Незаконний доступ до Facebook та інших ресурсів
3 серпня 2016 року (2016 року за Григоріанським календарем) Токійський окружний суд засудив обвинуваченого (29 років) за порушення Закону про заборону незаконного доступу, зокрема, за багаторазовий незаконний доступ до Facebook та інших ресурсів та отримання персональних даних. Він був звинувачений у тому, що 238 разів незаконно входив до Facebook та інших ресурсів семи жінок. Суд визнав, що його дії були систематичними та наполегливими, і що немає місця для пом’якшення покарання з огляду на його мотиви, такі як бажання відчути задоволення від успішного незаконного доступу. Він був засуджений до двох років і шести місяців ув’язнення. Однак, враховуючи те, що він не розголошував отриману інформацію та не мав попередніх судимостей, виконання вироку було відстрочено на чотири роки.
Незаконне отримання інформації про клієнтів компанії, де працював
12 листопада 2009 року (2009 року за Григоріанським календарем) Токійський окружний суд виніс вирок у справі працівника компанії (45 років), який був відповідальний за розробку, експлуатацію системи інформації компанії та підтримку загальних користувачів. Він незаконно отримав інформацію про клієнтів, яку зберігала компанія, і намагався її продати, а також викрав CD-R. Він був засуджений до двох років ув’язнення.
Суд визнав, що неможливо ігнорувати той факт, що він отримав прибуток майже в 350 тисяч єн від продажу інформації. Незважаючи на те, що він не мав попередніх судимостей і був звільнений з роботи за дисциплінарними порушеннями, суд вважав, що неможливо відстрочити виконання вироку.
Вирок у вигляді восьми років ув’язнення для злочинця, який проводив кібератаки
27 квітня 2017 року (2017 року за Григоріанським календарем) Токійський окружний суд виніс вирок у справі обвинуваченого (32 роки), який використовував фішингові електронні листи та віруси для дистанційного керування для незаконного отримання ідентифікаційних кодів інтернет-банківства декількох компаній, проводив незаконний вхід та незаконні перекази коштів. Він також отримав адреси електронної пошти шляхом атаки на базу даних, відправляв віруси для дистанційного керування та змушував їх виконувати. Він був визнаний винним у порушенні Закону про заборону незаконного доступу, шахрайстві з використанням електронних обчислювальних машин, незаконному створенні та використанні приватних електромагнітних записів, незаконному наданні електромагнітних записів з неправильними інструкціями, порушенні Закону про радіохвилі, і був засуджений до восьми років ув’язнення.
Він використовував різні методи для проведення кібератак, приховував джерело підключення, підключаючись до чужих точок доступу бездротового LAN за допомогою шифрувального ключа, який він заздалегідь незаконно отримав, іноді через проміжний сервер, а також змінював адресу електронної пошти для зв’язку перед незаконним переказом коштів. Його злочини були хитромудрими та злочинними, а матеріальна шкода від незаконних переказів коштів склала більше ніж 5,19 мільйонів єн. Крім того, він вчинив ці злочини незабаром після того, як був умовно звільнений за попередній злочин того ж типу, що призвело до такого важкого покарання.
Варто зазначити, що в деяких випадках можливо встановити особу злочинця на основі електронних листів, які він відправив під час таких атак. Однак, на цивільному рівні, це зазвичай важко зробити. Ми також згадуємо про це в статті нижче.
https://monolith.law/reputation/email-sender-identification[ja]
Заходи у випадку несанкціонованого доступу
Користуючись електронною поштою або соціальними мережами, ви можете стати жертвою несанкціонованого доступу від інших осіб. Які заходи можна вжити в цьому випадку?
Подати кримінальний позов
Перш за все, ви можете подати кримінальний позов проти особи, яка здійснила несанкціонований доступ. Несанкціонований доступ є злочином, і особа, яка його здійснила, може бути покарана кримінальним штрафом. Як було пояснено вище, особа може отримати покарання у вигляді ув’язнення на термін до трьох років або штрафу до 1 мільйона єн, а якщо були особи, які сприяли цьому, вони можуть отримати покарання у вигляді ув’язнення на термін до одного року або штрафу до 500 тисяч єн.
Варто зазначити, що порушення закону про заборону несанкціонованого доступу є злочином, який не вимагає скарги, тому поліція може розпочати розслідування і арештувати злочинця, навіть якщо не було подано скаргу. Крім того, не обов’язково бути особою, яка стала жертвою несанкціонованого доступу, щоб повідомити поліцію про цей факт.
Як ми вже згадували в статті про злочини, пов’язані з перешкоджанням діяльності, злочини, які вимагають скарги від потерпілого, є “злочинами, які не можуть бути пред’явлені до суду без кримінального позову від потерпілого”, але це не означає, що “вони не можуть бути пред’явлені до суду, якщо вони не є злочинами, які вимагають скарги”. Навіть у випадку злочинів, які не вимагають скарги, потерпілий може подати кримінальний позов проти злочинця.
Навіть якщо злочин не вимагає скарги, якщо потерпілий подає кримінальний позов, це може погіршити обставини підозрюваного і збільшити його покарання. Якщо ви помітили, що стали жертвою несанкціонованого доступу, вам слід звернутися до адвоката, подати заяву про злочин або позов до поліції. Якщо поліція прийме заяву про злочин, вона негайно розпочне розслідування і може арештувати або відправити підозрюваного до прокуратури.
Запитати цивільне відшкодування
Якщо ви стали жертвою несанкціонованого доступу, ви можете вимагати відшкодування від злочинця в цивільному порядку на підставі статті 709 Цивільного кодексу Японії.
Стаття 709 Цивільного кодексу Японії
Особа, яка умисно або з недбалості порушила права іншої особи або інтереси, захищені законом, несе відповідальність за відшкодування збитків, спричинених цим.
Якщо злочинець здійснив несанкціонований доступ і розповсюдив отриману персональну інформацію, вкрав предмети з соціальних ігор, отримав доступ до даних кредитних карт або банківських рахунків і спричинив матеріальну шкоду, ви повинні вимагати відшкодування за шкоду, включаючи компенсацію за моральну шкоду. Звичайно, якщо ви стали жертвою несанкціонованого доступу до даних вашої кредитної картки або банківського рахунку і внаслідок цього виникла матеріальна шкода, ви також можете вимагати відшкодування за цю шкоду.
Однак, щоб вимагати відшкодування від злочинця, вам потрібно визначити злочинця і зібрати докази того, що він дійсно здійснив несанкціонований доступ, що вимагає високої спеціалізації. Якщо ви стали жертвою несанкціонованого доступу, вам потрібно звернутися до адвоката з багатим досвідом у вирішенні проблем в Інтернеті і попросити його провести процедуру.
Category: IT
Tag: CybercrimeIT
