DoS攻击是否构成犯罪?律师解析关于'日本电子计算机损坏等业务妨害罪
电子计算机损坏等业务妨碍罪是在昭和62年(1987年)新设立的罪名。当时,由于社会经济的高速增长和技术的发展,办公室开始大量引入计算机。
传统上由人工完成的工作开始由计算机执行,业务范围也在扩大,因此开始预见到针对计算机的破坏行为可能会成为业务妨碍的手段,为了应对这种情况,新设立了这项法律。
然而,当时的立法时期,计算机正处于发展阶段,互联网也尚未普及,具体预测互联网犯罪是困难的。此外,这项法律并未使用计算机工程或信息科学,或者在一般社会中使用的术语,而是使用了刑法典的术语来规定,因此解释各异,对一般公民来说,这可以说是难以理解的规定。
此外,这项罪名通常被认为是应对被称为计算机犯罪的网络犯罪类别。
本文将详细并易于理解地解释电子计算机损坏等业务妨碍罪。
https://monolith-law.jp/corporate/categories-of-cyber-crime[ja]
什么是DoS攻击
DoS攻击(Denial of Service attack)是一种网络攻击,通过向目标网站或服务器发送大量数据或恶意数据,造成过度负载,使对方的系统无法正常运行。这种攻击并不像非法访问那样突破使用权限,或通过病毒夺取系统控制权,而是阻止正常用户执行访问权限。尽管这是一种古老的网络攻击手段,但近年来,仍然经常被用于分布式拒绝服务攻击(Distributed Denial of Service attack,简称DDoS攻击),并造成了不少骚扰和实际损害。
DoS攻击的类型
DoS攻击可以分为“洪水型”和“脆弱性型”两种。
“洪水型”源自英语单词‘Flood’(洪水),通过攻破协议发送大量数据,使得攻击目标无法处理。
另一方面,“脆弱性型”是利用服务器或应用程序的漏洞进行非法操作,使其功能停止。虽然与所谓的非法访问的区别有些模糊,但例如,典型的脆弱性型DoS攻击,即LAND攻击,是发送源和目标IP地址和端口号相同的数据包。简单来说,攻击者A向目标服务器B发送“我是B,我需要回复”的数据包,B会向自己发送“回复”,接收到回复的B又会向自己发送“回复”,如此反复,产生无限循环。这利用了“对自己发送的数据包也会回复”的“脆弱性”,但因为它并没有突破密码认证等,所以不是“非法访问”,而是“脆弱性型的DoS攻击”。
https://monolith-law.jp/reputation/unauthorized-computer-access[ja]
此外,DDoS攻击是一种分布式攻击手段,通过远程控制数千台感染了僵尸网络病毒的计算机,从每台计算机发起洪水型的DoS攻击。
DoS攻击的机制
DoS攻击的机制是在TCP/IP范围内频繁地重复正当的操作,技术上来说是非常简单的。例如,当试图在公开销售中购买流行偶像的演唱会门票时,由于同时有很多人访问销售页面,网站可能会变得很慢,甚至崩溃,变得难以连接。DoS攻击就是滥用合法权限,故意制造这种情况的攻击。
DoS攻击是否构成电子计算机损坏等业务妨碍罪
那么,DoS攻击是否构成犯罪呢?我们来探讨一下它是否构成电子计算机损坏等业务妨碍罪。
损坏他人业务使用的电子计算机或其供应的电磁记录,或向他人业务使用的电子计算机提供虚假信息或不正当指令,或以其他方式使电子计算机无法按照使用目的进行操作,或使其进行违反使用目的的操作,从而妨碍他人业务的人,将被判处五年以下的有期徒刑或一百万日元以下的罚金。
刑法第234条之2第1款(电子计算机损坏等业务妨碍)
因此,电子计算机损坏等业务妨碍罪的成立需要满足以下客观要件:
- 针对电子计算机的侵害行为
- 电子计算机的操作阻碍
- 业务妨碍
以及主观要件,即这些行为都是故意的。
客观构成要件的满足性
我们将分别探讨以下几点。
针对电子计算机的侵害行为
侵害行为(实施行为)需要满足以下任一条件:
- “损坏电子计算机或其供应的电磁记录”
- “向电子计算机提供虚假信息或不正当指令”
- “或其他方式”
对于“电子计算机”,根据裁判例(福冈高等法院平成12年9月21日)的定义,它是指能自动进行计算和数据处理的电子设备,如办公室计算机、个人计算机、控制用计算机等,这一点无争议。电磁记录的定义则在刑法第7条之2中给出。DoS攻击的目标,即服务器,显然属于这些范畴。
“损坏”不仅指物理破坏,也包括删除数据等所有损害物品效用的行为。“虚假信息”指的是内容与事实相反的信息。“不正当指令”指的是未经授权给予该计算机可处理的指令。例如,如果进行大量集中的洪水型DoS攻击,被攻击的服务器可能会过载,无法正常执行处理。这种攻击即使没有删除数据等“损坏”,也是违反服务器主意愿的访问,可以说是未经授权给出的指令,因此属于“不正当指令”。
电子计算机的操作阻碍
问题在于是否构成“使其无法按照使用目的进行操作”或“使其进行违反使用目的的操作”。关于应以谁的使用目的为前提,存在争议。但考虑到本罪的保护法益是业务的安全和顺利进行,应以设备安装者的目的为前提。如果进行DoS攻击,服务器可能会过载,导致服务无法使用等情况,即服务器安装者的目的——正常的处理操作无法进行。在这种情况下,可以说是“无法按照使用目的进行操作”,构成操作阻碍。
业务妨碍
电子计算机损坏等业务妨碍罪是业务妨碍罪(刑法第233条,234条)的加重类型,因此,对于这种业务妨碍,应与通常的业务妨碍罪一样考虑。即,“业务”指的是基于社会生活地位反复连续进行的事务,“妨碍”并不要求业务实际受到损害。如果进行DoS攻击,安装者通过使用服务器在互联网上提供服务的“业务”可能会受到妨碍,构成业务妨碍。
主观要件(故意)的满足性
在满足以上要件的基础上,还需要认定存在故意(刑法第38条第1款本文)。故意是指认识并接受上述①至③(构成要件)的事实。这并不需要有恶意或害意,即使没有这种意图,只要有“可能会导致服务器崩溃,服务无法使用”的认识,就可以认定存在故意。
岡崎市立中央图书馆网站大量访问事件
关于上述事件,我们将介绍“岡崎市立中央图书馆网站大量访问事件(又称Librahack事件)”。
一名爱知县的男性(39岁)使用自己编写的程序从图书馆网站收集新书信息,结果被认为发动了网络攻击而被逮捕。然而,根据朝日新闻委托专家的分析,图书馆软件存在缺陷,看起来像是受到了大量访问的攻击。全国6个使用相同软件的图书馆也发现了类似的问题。软件开发公司已经开始在全国约30个图书馆进行修复。
朝日新闻名古屋版早报(2010年8月21日)
这个问题发生在岡崎市立图书馆。软件存在一个问题,每次调用藏书数据时,计算处理会持续进行,就像电话通话结束后仍然抬起听筒的状态。一段时间后会被强制断开,但在该图书馆,如果10分钟内访问超过约1000次,就无法浏览网页,看起来像是受到了大量访问的攻击。
该男子是一名软件工程师,每年从岡崎市立图书馆借阅约100本书。图书馆的网站不好用,他编写了一个每天收集新书信息的程序,并从3月开始使用。
从那个月开始,图书馆收到了市民的投诉,说“无法连接到网站”。接到咨询的爱知县警察认为,男子故意发送超过处理能力的请求,因此以妨碍业务的嫌疑逮捕了他。名古屋地方检察署岡崎分部在6月决定,因为“没有强烈的妨碍业务的意图”,所以暂时不起诉。
被逮捕的男子是岡崎市立中央图书馆的用户,他的行为是为了收集图书馆网站的新书信息,并没有意图妨碍图书馆的业务。他的访问频率也很低,每秒1次,通常不会被认为是DoS攻击,但是图书馆的服务器存在问题,因此这种程度的访问就导致了系统故障。
即使没有恶意,如果通过类似DoS攻击的行为导致图书馆的服务器宕机并妨碍其业务,这是可以被认定的。关于故意,即使没有恶意,也可能被认定为有故意。县警认为,这个男人是一个熟悉计算机的工程师,他知道如果发送大量请求,可能会影响图书馆的服务器,但他还是发送了大量请求,所以有故意,犯罪可能成立。
事件的问题和批评
男子所做的像这样机械地获取公开网站数据的方法是广泛而普遍的,编程本身并不违法。这个男人在他的网站上解释了事件的经过和意图,从内容来看,没有值得道义上谴责的犯罪行为,这震惊了许多使用这种技术的工程师,并引发了许多批评和担忧的讨论。
例如,首先,公立图书馆的公开网站是一个不特定多数的人使用的网站,如果服务器在每秒1次的访问下就宕机,那么这个问题就太弱了,太脆弱了,如果有正常的服务器,那么男子就不应该被逮捕。此外,男子没有“报复”或“恶作剧”等攻击或妨碍业务的意图,也没有明显与正常使用方法不同的大量数据发送,这是立法问题。还有法律运用与互联网使用实际情况的脱节。例如,对于同样的1万次访问,熟悉互联网和信息处理技术的人和包括警察和检察官在内的一般人的印象是不同的,如果这种感觉的脱节没有被纠正,那么运用就是问题。此外,像这个男人一样,任何人都可能被逮捕,这可能会抑制互联网的自由使用和发展,以及产业的发展,这也引发了担忧和不安。
男子因为没有强烈的妨碍业务的意图,最终被暂时不起诉,但他被逮捕和拘留了20天,接受了审讯,被强制身体拘束。此外,他在被逮捕时被实名报道。此外,暂时不起诉是“嫌疑不足”和“犯罪确实存在,但恶性较低,或者深感反省,所以这次暂时不起诉”的类型,也就是说,他被认为犯了罪。即使没有被起诉,他在社会上也遭受了严重的不利影响,这是一个问题。
总结
如此,DoS攻击可能构成日本《电子计算机损坏等业务妨碍罪》。然而,该法律的执行存在一些问题,就像我们介绍的一系列事件一样,即使是难以称之为恶劣的行为也可能构成犯罪。与制定该法律的时代不同,现在许多人拥有智能手机、电脑等互联网终端,互联网社会正在迅速发展。为了克服这些问题,保护互联网上的自由,我们需要改变法律的执行方式,重新考虑立法措施。
如果公司的服务器受到DoS攻击等网络攻击的损害,就需要向警察寻求调查。然而,许多案件在技术上都是非常复杂的问题,就像上述的图书馆事件一样,如果没有IT和法律双重知识和技能的人,可能无法适当地处理。
作为民事解决方案,如果能确定犯罪者,就可以向该犯罪者提出赔偿要求。因此,向擅长互联网和商业法律的律师咨询也是一种方法。
Category: IT
Tag: CybercrimeIT