サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

【考察】サイバーセキュリティとサイバー犯罪の境界線について

考察

このブログのアクセス解析を見てみると、未だにイベントログの見方に関する記事が飛び抜けてアクセス数が多いのですが、そんな状況はひとまず無視して、また、少し考え事をまとめる場として使いたいと思います。

※弁護士や法学者ではありませんので、間違いは多分に含まれているかと思います。

 あくまで個人の考えをメモしたものです。

 

 

サイバーセキュリティを学習するにあたって

私は、仕事でサイバーセキュリティを専門で行っているわけではなく、どちらかというと趣味で行っている人間なのですが、そんな素人の私がサイバーセキュリティを学習するために意識していることは、

攻撃を知らなければ防御できない

ということです。 

きっと、サイバーセキュリティを専門に行われている方にとっては、当たり前なんじゃないかなぁと思いますが、サイバーセキュリティの学習を始めるにあたって、最も大切にしているポイントがこれになります。

ハニーポットを動かしているのも、ハニーポットに対する攻撃を知るためです)

 

これって「詐欺」に対する対策とよく似ていると思うんですよね。

振り込め詐欺や結婚詐欺、還付金詐欺ワンクリック詐欺M資金詐欺など、詐欺にもいろんな種類がありますが、その手口を知らなければ、まんまと引っかかってしまいます。けど、手口を知っていることで、全てではないにせよ、ある程度、防ぐことができます。

サイバーセキュリティも同じで、標的型攻撃やビジネスメール詐欺(これも詐欺か…)、ランサムウェア、ファイルレスマルウェアなどなど、手口を知っていることで、防御手段が分かってくるものが多々あると思います。そのため、攻撃手段を知ることが、セキュリティを学習するために最も重要だと思うんですよね。

 

詐欺の手口解説とサイバー犯罪の手口解説の違い

きっともう、タイトルだけで何が言いたいか、分かった方もいらっしゃるかと思いますが、それぞれの手口を解説したWebサイトの話しです。

現在の日本では、詐欺の手口を紹介したWebサイトに対しては、何らお咎めはありませんが、サイバー犯罪の手口を紹介したWebサイトは、犯罪となります。

 

有名なお話で恐縮なのですが、「Wizard Bible」というWebサイトを公開されていたIPUSIRONさんが、Webサイトの閉鎖と、罰金50万円の罪に問われるという信じがたい事件がありました。

IPUSIRONさんの書籍は、学習する上でとても参考にさせていただいています) 

ハッキング・ラボのつくりかた 仮想環境におけるハッカー体験学習

ハッキング・ラボのつくりかた 仮想環境におけるハッカー体験学習

 

 

暗号技術のすべて

暗号技術のすべて

 

 ちなみに、同じくIPUSIRONさんが執筆された「ハッカーの学校」という書籍もあるのですが、こちらは廃刊になったという話しは聞いていません。あくまで、Webサイトが閉鎖されたという点のみで、このあたりにも矛盾を感じます。

 

 

逮捕の決め手となる「不正指令電磁的記録」とは

最近よく聞く「不正指令電磁的記録」とは、一体どのようなものなのでしょうか。

これは、刑法168条の2に

1.正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
 1.人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
 2.前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
2.正当な理由がないのに、前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。
3.前項の罪の未遂は、罰する。 

 と、記載されています。

弁護士や裁判官ではありませんので、法的解釈に誤りがあるかもしれませんが、言葉通りに読むと、

1.ちゃんとした理由もないのに、他人のPCやサーバで実行させる目的で、①や②を作ったり配ったりすると、3年以下の懲役か50万円以下の罰金です。

 ①人がPCやサーバを使用する際に、意図しない動作をするような電磁的記録

 ②①の動作をする指令を書いた電磁的記録

2.ちゃんとした理由もないのに、1を実行しても同じ罰則です。

3.未遂であっても罰します。

ということでしょうか。これで、Webサイトはダメで書籍は問題なしの理由がわかりましたね。条文に「電磁的記録」と書いてあるからでしょう。

 

なんて、バカバカしい。

そうであれば、電子書籍はダメってことでしょうか?

さて、そもそも「Wizard Bible」は、「人の電子計算機における実行の用に供する目的」があったのでしょうか。

この事件は、様々な理由から、IPUSIRONさんが略式起訴に対して提訴しなかった(できなかった)ことで、事実は闇に葬り去られたわけですが(もちろん、IPUSIRONさんを責める気はございません。勇気ある決断だったと思います)、セキュリティを学習している人にとって、大きな痛手であったことは間違いないかと思います。

 

サイバーセキュリティとサイバー犯罪の境界線について

さて、大それたタイトルを付けては見たのですが、サイバーセキュリティとサイバー犯罪の境界線は、「人の電子計算機における実行の用に供する目的」があるかどうかだと思います。

どれだけ攻撃の知識を有していたとしても、それを人のPCで実行する気がなければ問題ないわけで、その知識を防御のために使うのであればサイバーセキュリティになるんだと思います。

一方で、「人の電子計算機における実行の用に供する目的」を持って学習するのであれば、それはサイバー犯罪の予備軍になるのでしょうし、実際に行動を起こしたのであれば、間違いなくサイバー犯罪となるでしょう。

問題は、それが「人の気持ち次第」だというところだと思います。こういうところも詐欺によく似ていると思うんですよね。

例えば、結婚詐欺ですが、最初から金銭目的で結婚する気もないのに金銭をだまし取ったのであれば結婚詐欺になります。しかし、結婚する意志はあったものの、金銭トラブルになった場合、結婚詐欺には該当しないのではないでしょうか。

サイバー攻撃も、実際に攻撃する目的でマルウェアなどを配布するとサイバー犯罪になりますが、ローカル環境でマルウェアを解析するつもりが設定ミスでネットワークを介してマルウェアを拡散してしまった場合、はたしてサイバー犯罪になるのでしょうか。

 

まだまだ、前例や判例が出揃っていない中、警察組織においても手探りでサイバー犯罪を取り締まらなければならない大変さはよくわかります。しかし、逮捕、起訴によって一人の人間の人生が、大きく狂う可能性を考えた上で、本当に逮捕・起訴すべき事件性があるのか、そこに「人の電子計算機における実行の用に供する目的」が存在しているのか、しっかりと捜査をおこなってから、逮捕・起訴につなげていただきたいものです。

願わくば、サイバーセキュリティの専門家を招いて、不正指令電磁的記録に関するガイドラインの作成を行っていただくことを願います。