マルウェアの定義から考える法律改正案
ここ最近、不正指令電磁的記録に関する罪による家宅捜索や逮捕、書類送検などが話題になっているが、不正指令電磁的記録に関する罪はもともとウィルスなどを取り締まるための法律であったはずだ。
そこで、マルウェアの定義とは何か、改めて勉強してみよう。
マルウェアの定義
マルウェア
不正かつ有害に動作させる意図で作成された悪意あるソフトウェアや悪質なコードの総称。コンピュータウィルスやワーム、スパイウェアなどを含む。
コンピュータウィルス
他のプログラムやファイルの一部を書き換え(寄生、感染)、自己増殖する機能を持つ。
ワーム
プログラム単体で存在し、自己増殖する。
トロイの木馬
一見無害なファイルやプログラムに偽装した上でコンピュータに侵入した後、外部からの命令でその端末を自由に操る。
スパイウェア
情報収集を主な目的とし、コンピュータの内部情報を外部へ勝手に送信する。
キーロガー
キーボードからの入力を記録するプログラム。キーロガーそれ自体はマルウェアではないが、パスワードや個人情報、機密情報などを奪取する目的で仕掛けるなどマルウェア(スパイウェア)として用いられることがある。
ボット
ボットそのものは、常駐してチャットで会話するなどといった機能を持つプログラムであり、必ずしもマルウェアではない。マルウェアとしてのボットとは、攻撃者から命令を受け取り、命令に応じてDDoS攻撃やスパムメール送信などを行うものを指す。
ランサムウェア
コンピュータをロックしたり、ファイルを暗号化して読めなくしたりするなどして、身代金を支払えば元に戻す、と脅迫する。
法律改定案
以上を踏まえて、不正指令電磁的記録に関する罪の法律の改定案を検討してみる。
そのためには、次のことを考慮しなければいけないだろう。
- キーロガーの善用と悪用
- ソフトウェアのデバッグ目的や端末の不正使用のログ収集目的であれば、善用目的とみなされる。
- パスワードや個人情報、機密情報などの個人データを収集し、外部サーバへ送信する目的であれば、悪用目的とみなされる。
- 悪用目的の場合、その目的を隠していると思われる。
- OneDrive、Dropboxなどのオンラインストレージとスパイウェア
- オンラインストレージは、ユーザーはファイルが自動的にサーバに送信されることを了承している。
- スパイウェアは、ユーザーはファイルが自動的にサーバに送信されることを了承していない。
- ユーザーが、情報が自動的にサーバに送信されることを了承しているかどうかがポイント。
- 広告、ウェブ解析とスパイウェア
- 広告、ウェブ解析は、利用目的を明示し、情報を収集し、外部サーバへ送信する。
- スパイウェアは、利用目的を明示することなく、パスワードや個人情報、機密情報などの個人データを収集し、外部サーバへ送信する。
- 利用目的を明示しているかどうか、または、プログラムの目的に沿って情報を収集しているかどうかがポイント。
- ジョークプログラムの存在
- ジョークプログラムは、ユーザを驚かす目的で作成されており、破壊活動やワーム活動を行うものではない。
- マルウェア対策のために、マルウェアを取得する行為
- マルウェア対策を行うためには、マルウェアが必要となる。マルウェアを取得することを禁止すれば、マルウェアへの対策を行うことができなくなってしまう。
- ソースコードを載せているだけのケース
- ソースコードを載せているだけでは、それが動作することはない。解説などのためにソースコードを掲載していることもある。
以上を踏まえて、不正指令電磁的記録に関する罪の法律を以下のように改正することを提案する。現在の法律にある、「その意図に反する動作をさせるべき不正な指令」とは何かを具体化した点がポイントだ。
- 第十九章の二 不正指令電磁的記録に関する罪
- (不正指令電磁的記録作成等)
- 第百六十八条の二 人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、○年以下の懲役又は〇〇万円以下の罰金に処する。
- 一 その目的を人に示すことなく、またその目的に沿わず、次のいずれかの動作を行う電磁的記録
- イ 電磁的記録を作成または書き換える動作
- ロ 電磁的記録を収集し、送信する動作
- ハ 命令を受信し、それを実行する動作
- 一 その目的を人に示すことなく、またその目的に沿わず、次のいずれかの動作を行う電磁的記録
- 2 前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。
- 3 前項の罪の未遂は、罰する。
- 第百六十八条の二 人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、○年以下の懲役又は〇〇万円以下の罰金に処する。
- (不正指令電磁的記録取得等)
- 第百六十八条の三 前条第一項の目的で、同項各号に掲げる電磁的記録を取得し、又は保管した者は、○年以下の懲役又は○○万円以下の罰金に処する。
- 2 研究の目的で前条第一項各号に掲げる電磁的記録を取得し、又は通信の遮断された環境内で保管する場合は、この限りでない。
- (不正指令電磁的記録作成等)
こんな文面にした方が良いのではないかというような意見のある方からのコメントを受け付けたい。
参考までに、現在の法律も以下に記載する。
- 第十九章の二 不正指令電磁的記録に関する罪
- (不正指令電磁的記録作成等)
- 第百六十八条の二 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
- 一 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
- 二 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
- 2 正当な理由がないのに、前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。
- 3 前項の罪の未遂は、罰する。
- 第百六十八条の二 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
-
(不正指令電磁的記録取得等)
- 第百六十八条の三正当な理由がないのに、前条第一項の目的で、同項各号に掲げる電磁的記録その他の記録を取得し、又は保管した者は、二年以下の懲役又は三十万円以下の罰金に処する。
- (不正指令電磁的記録作成等)