繁體中文 English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_CN/header.php</b> on line <b>88</b><br />

MONOLITH 律師事務所+81-3-6262-3248平日 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > DoS攻擊是否犯罪?律師解釋有關「日本電腦損壞等業務妨礙罪」

DoS攻擊是否犯罪?律師解釋有關「日本電腦損壞等業務妨礙罪」

IT

DoS攻擊是否犯罪?律師解釋有關「日本電腦損壞等業務妨礙罪」

電子計算機損壞等業務妨害罪是在昭和62年(1987年)新設的犯罪。當時,由於社會經濟的高度成長和技術的發展,辦公室中開始大量引入電腦。

原本由人工進行的工作開始由電腦完成,並且業務範疇也在擴大。因此,開始預見到針對電腦的犯罪行為可能會成為業務妨害的手段,為了應對這種情況,這項法律被新設立。

然而,當時制定這項法律時,電腦正處於發展階段,並且互聯網尚未普及,因此具體預測互聯網犯罪是困難的。此外,這項法律並未使用電腦工程或信息科學,或者在一般社會中使用的術語,而是使用了刑法典的術語來規定,因此解釋各異,對一般公眾來說,這可以說是一項難以理解的規定。

此外,這項罪行通常被認為是針對被稱為電腦犯罪的網絡犯罪類型的犯罪。

本文將詳細且淺顯易懂地解釋電子計算機損壞等業務妨害罪。

網路犯罪的三種分類是什麼?律師解釋各種模式的損害控制策略

何謂DoS攻擊

DoS攻擊(Denial of Service attack)是一種網路攻擊方式,攻擊者會向目標網站或伺服器發送大量數據或不正確的數據,使其承受過大的負擔,導致對方的系統無法正常運作。這種攻擊並不像非法入侵那樣繞過使用權限,或透過病毒奪取系統控制權,而是阻礙正常用戶使用其訪問權限。雖然這是一種古老的網路攻擊手法,但在近年來,DDoS攻擊(Distributed Denial of Service attack)這種分散型攻擊手法的使用也變得越來越普遍,導致騷擾和實際損害的情況並不少見。

DoS攻擊的類型

DoS攻擊可以分為「洪水型」和「脆弱性型」兩種。

「洪水型」源於英語的‘Flood’(=洪水),透過攻擊協議並發送大量數據,使得攻擊目標無法處理所有的數據。

另一方面,「脆弱性型」是利用伺服器或應用程式的漏洞,進行不正確的處理,使其功能停止。雖然與所謂的非法入侵的區別有些模糊,但例如,典型的脆弱性型DoS攻擊,即LAND攻擊,是指發送源IP地址和目標IP地址以及端口號相同的數據包。簡單來說,攻擊者A向目標伺服器B發送一個表示「我是B,我需要回應」的數據包,然後B會向自己發送「回應」,接收到回應的B又會向自己發送「回應」,如此反覆,形成無窮迴圈。雖然這種攻擊利用了「對自己發送的數據包也會回應」的「脆弱性」,但並未繞過密碼認證等,因此並非「非法入侵」,而是被歸類為「脆弱性型的DoS攻擊」。

https://monolith.law/reputation/unauthorized-computer-access[ja]

此外,DDoS攻擊是一種分散型攻擊手法,攻擊者遠程控制數千台被植入病毒的電腦,從每台電腦發起洪水型的DoS攻擊。

DoS攻擊的機制

DoS攻擊的機制其實相當簡單,就是在短時間內頻繁地重複正常的TCP/IP操作。例如,當一場受歡迎的偶像公演的門票開始公開銷售時,許多人同時訪問售票網站,導致網站變得非常緩慢,甚至無法訪問。DoS攻擊就是利用正當的權限,故意製造這種情況。

DoS攻擊是否構成電腦損壞等業務妨礙罪

那麼,DoS攻擊是否構成犯罪呢?本所將探討它是否構成電腦損壞等業務妨礙罪。

損壞他人業務使用的電腦或其供應的磁性記錄,或向他人業務使用的電腦提供虛假信息或不正確的指令,或以其他方式使電腦無法正常運作,或使其運作與使用目的相反,從而妨礙他人業務的人,將被判處五年以下的有期徒刑或一百萬日元以下的罰金。

刑法第234條之2第1項(電腦損壞等業務妨礙)

因此,要構成電腦損壞等業務妨礙罪,客觀要件包括:

  1. 針對電腦的侵害行為
  2. 阻礙電腦運作
  3. 業務妨礙

這三個要素必須全部滿足,並且主觀要件必須有故意。

客觀構成要件的滿足性

本所將分別討論以下內容。

針對電腦的侵害行為

侵害行為(實行行為)包括:

  • 「損壞電腦或其供應的磁性記錄」
  • 「向電腦提供虛假信息或不正確的指令」
  • 「或其他方式」

必須符合其中之一。

對於「電腦」,已有裁判例(福岡高等法院平成12年9月21日)給出定義,即自動進行計算和數據處理的電子設備,如辦公室電腦、個人電腦、控制用電腦等,這一點無爭議。磁性記錄的定義在刑法第7條之2中給出。DoS攻擊的目標,即服務器,當然符合這些定義。

「損壞」不僅指物理破壞,也包括刪除數據等所有損害物品效用的行為。「虛假信息」指的是內容與真實情況相反。「不正確的指令」指的是未經授權就向該電腦提供可處理的指令。
例如,如果進行大量且集中的洪水型DoS攻擊,攻擊目標的服務器可能會過載,無法正常執行處理。即使這種攻擊不會「損壞」數據,也是對服務器主的意願進行的訪問,並且未經授權就提供了指令,可以認為是「不正確的指令」。

阻礙電腦運作

問題是是否符合「使其無法正常運作」或「使其運作與使用目的相反」。關於應以誰的使用目的為前提,存在爭議,但考慮到本罪的保護法益是業務的安全和順利進行,應以設置者的目的為前提。當進行DoS攻擊,服務器過載時,服務可能無法使用,設置者的正常處理動作可能無法進行。在這種情況下,可以說「無法正常運作」,構成阻礙運作。

業務妨礙

電腦損壞等業務妨礙罪是業務妨礙罪(刑法第233條,234條)的加重型,因此,對於這種業務妨礙,應與通常的業務妨礙罪相同。即,「業務」指的是基於社會生活地位反覆進行的事務,「妨礙」不需要業務實際受到損害。
當進行DoS攻擊時,設置者通過使用服務器在互聯網上提供服務的「業務」可能會受到妨礙,構成業務妨礙。

主觀要件(故意)的滿足性

在滿足這些要件的基礎上,需要認定故意(刑法第38條第1項本文)。故意是指認識並接受上述①至③(構成要件)的事實。這並不需要有妨礙他人的惡意或害意,即使沒有這種意圖,只要有「可能會使服務器崩潰,服務無法使用」的認識,就可以認定為故意。

岡崎市立中央圖書館網站大量訪問事件

在此,本所將介紹與上述相關的「岡崎市立中央圖書館網站大量訪問事件(俗稱Librahack事件)」。

一名愛知縣的男性(39歲)使用自製的程式從圖書館網站收集新書資訊,結果被誤認為發動了網路攻擊而被逮捕。然而,根據朝日新聞委託專家的分析,圖書館的軟體存在問題,使得大量訪問看起來像是受到攻擊。全國有6個使用相同軟體的圖書館也發生了相同的問題。軟體開發公司已經開始在全國約30個圖書館進行修復。
這個問題發生在岡崎市立圖書館。該軟體存在一個問題,每次調用藏書數據時,都會使電腦處理處於持續狀態,就像電話通話結束後仍然掛著電話一樣。過了一段時間後,會被強制斷開,但在該圖書館,如果10分鐘內訪問超過約1000次,就無法瀏覽網站,看起來像是受到大量訪問的攻擊。
該男性是一名軟體工程師,每年從岡崎市立圖書館借閱約100本書。他覺得圖書館的網站不好用,於是製作了一個每天收集新書資訊的程式,並從3月份開始使用。
從那個月開始,圖書館收到了市民的投訴,說「無法連接到網站」。愛知縣警察接受了諮詢,認為該男性故意發送超過處理能力的請求,因此以業務妨礙的嫌疑逮捕了他。名古屋地檢岡崎支部在6月份決定,「無法認定有強烈的業務妨礙意圖」,因此決定不起訴。

朝日新聞名古屋版早報(2010年8月21日)

被逮捕的男性是岡崎市立中央圖書館的使用者,他的行為是為了收集該館網站的新書資訊,並無意圖妨礙圖書館的業務。他的訪問頻率也只有每秒1次左右,通常不會被認為是DoS攻擊,但由於圖書館的伺服器存在問題,因此即使這種程度的訪問也會導致系統故障。

即使沒有惡意,如果進行了類似DoS攻擊的行為,使圖書館的伺服器無法運作,從而妨礙其業務,這是可以被認定的。至於故意,即使沒有惡意,也可能被認定有故意。縣警認為,由於這名男性是一名熟悉電腦的技術人員,他應該能夠認識到,如果發送大量請求,可能會對圖書館的伺服器產生影響,但他仍然發送了大量請求,因此有故意,犯罪可能成立。

事件的問題點和批評

像這名男性那樣,使用機器自動收集公開網站數據的方法是廣泛且普遍的,編程本身並無違法。這名男性在事件發生後在自己的網站上解釋了事件的經過和意圖,從他的說明來看,並無值得道義上譴責的「犯罪」行為,這震驚了許多使用這種技術的技術人員,並引發了許多批評和擔憂。

例如,首先,公立圖書館的公開網站是由眾多人使用的,如果其伺服器在每秒1次的訪問下就崩潰,那麼其伺服器過於脆弱,如果有正常強度的伺服器,那麼這名男性就不會被逮捕。另一個問題是,這名男性並無「報復」或「惡作劇」等攻擊或業務妨礙的意圖,也沒有明顯超出正常使用範圍的大量數據傳輸,即使如此,他仍可能因為法律規定而被認定為犯罪,這是立法上的問題。還有法律運用與互聯網使用實際情況的脫節。例如,對於同樣的1萬次訪問,熟悉互聯網和信息處理技術的人和包括警察和檢察官在內的一般人的感覺是不同的,如果這種感覺的脫節沒有被修正,就會產生問題。此外,像這名男性那樣,任何人都可能被逮捕,這可能會使互聯網的自由使用和發展,以及產業萎縮,這也引起了人們的擔憂和不安。

這名男性最終因為「無法認定有強烈的業務妨礙意圖」而被決定不起訴,但他被逮捕並拘留了20天,並接受了審問,受到了身體上的束縛。此外,他在被逮捕時被公開了真實姓名。此外,不起訴的決定並不意味著「嫌疑不足」,而是「雖然犯了罪,但惡質性低,或者深感反省,因此這次決定不起訴」,也就是說,他被認定為犯了罪。即使沒有被起訴,他也受到了社會上的強烈不利影響,這是一個問題。

總結

如此,DoS攻擊可能構成「日本電子計算機損壊等業務妨害罪」。然而,該法律的運用存在一些問題,例如,像本所介紹的一系列事件中,即使難以說是惡意的行為,也可能構成犯罪。與制定該法的時代不同,現在許多人擁有智能手機、電腦等互聯網終端,互聯網社會正在迅速發展。為了克服這些問題,保護互聯網上的自由,本所需要改變法律的運用,並重新考慮立法措施。

如果公司的服務器受到DoS攻擊等網絡攻擊的損害,將需要向警察要求進行調查。然而,許多案件在技術上都是非常高級的問題,如同本所之前提到的圖書館事件,如果不具備IT和法律的雙重知識和技能,可能無法適當地處理。

作為民事解決方案,如果能確定犯罪者,則可以向該犯罪者提出損害賠償請求。因此,向專精於互聯網和商業法律的律師諮詢也是一種方法。

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

發行NFT時需要注意什麼?解釋NFT的擁有與轉讓的法律效力

發行NFT時需要注意什麼?解釋NFT的擁有與轉讓的法律效力

IT

關於IT系統數據庫相關的法律問題

關於IT系統數據庫相關的法律問題

IT

生成AI與著作權關係中應掌握的思維方式是什麼?

生成AI與著作權關係中應掌握的思維方式是什麼?

IT

【快報】日本個人資訊保護委員會對使用ChatGPT的警告

【快報】日本個人資訊保護委員會對使用ChatGPT的警告

IT

律師解說網路服務等使用條款的製作方法(上篇)

律師解說網路服務等使用條款的製作方法(上篇)

IT

從FTX Japan的行政處分學習:在加密資產交換業者中「用戶保護」的重要性

從FTX Japan的行政處分學習:在加密資產交換業者中「用戶保護」的重要性

IT

在系統開發項目中,經營目標與數值目標的法律意義是什麼

在系統開發項目中,經營目標與數值目標的法律意義是什麼

IT

Google我的商業的註冊與活用

Google我的商業的註冊與活用

IT

關於系統開發項目成員離職的法律是什麼

關於系統開發項目成員離職的法律是什麼

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

返回頂部