TOP | サイバーセキュリティ月間 | ひとこと言いたい! | 2018年3月16日
2018年3月16日(金)
少年による不正アクセス行為
立命館大学
情報理工学部 上原 哲太郎
我が国で不正アクセス禁止法が施行されたのは2000年(平成12年)のことですが、この法律は年に少なくとも1回「不正アクセス行為の発生状況」をまとめて公表することを定めています。そのおかげで、この法律によって立件され、検挙された被疑者の人数を過去約20年に渡って俯瞰することができます。
毎年公表される不正アクセス行為の検挙数には、被疑者の年代が含まれています。そこで過去の統計の検挙数を被疑者の年代別に分けて見ますと(※)、時代が下るに従って10代(14歳~19歳)の多さが目立ようになることに気づきます。特に2011年(平成23年)以降はずっと10代の被疑者が最も多い状態が続いています。しかも、この統計には14歳未満の触法少年が含まれていませんから、正しい意味での10代少年による不正アクセス行為はさらに多いということになります。
では「最近の不正アクセスは主に10代によって行われている」のかといえば、それは違うだろうと私は考えています。そもそも警察が検挙している不正アクセス行為は事件数にして200件にも満たないので、国内の不正アクセス行為のごく一部でしかないと思われます。また、高い技術を持つ不正アクセス犯は匿名化技術などを駆使していますので、残念ながらそう簡単に検挙することが出来ません。不正アクセス統計の中で10代が目立つのは、単に「検挙されやすい安易な手法を用いて不正アクセス行為に及んだ者」の中で10代が目立って多かったということなのではないでしょうか。
今のデジタル・ネイティブと呼ばれるような若い世代の人たちにとって、「アクセス制御がされているシステムにパスワードを入力する」というのは大変ありふれた行為だろうと思います。となれば、例えば他人のパスワードを何らかの形で盗み出し、入力してそのアカウントを奪うようなイタズラも大変敷居の低い行為でしょう。そのような行為が場合によっては犯罪になり、検挙や補導の対象になってしまうという実感もそれほどなく、そのため10代の不正アクセス被疑者を増やしてしまっているのかもしれません。このような状況の改善には教育の機会が不可欠ですので、義務教育の中で不正アクセスが罪にあたることを伝えるべきでしょう。現行の小中学校では主に情報モラル教育の中で他人のパスワードを使用してはならないと教えることが多いようですが、犯罪としての重さについても同時に教えて欲しいと思っています。
その一方で、かなり高度な技術を駆使して不正アクセスなどのサイバー犯罪行為に及んでいる少年がいるのも確かです。学校のシステムの脆弱性を突いて不正アクセスした高校生や、ネットから入手した遠隔操作型マルウェアを用いて多くのパスワードを盗みだし、匿名化技法を駆使して追跡されにくいようにした上で不正アクセス行為に及んだ高校生の検挙例もあります。このような少年はほとんど独学でそのような技術を身につけているので、その能力を活かしてホワイトハッカーとして活躍できるようにすればよいという意見も少なからず見られます。しかし、残念ながら実際にはそのようになった例はあまり聞かれません。サイバー犯罪を犯した少年の多くはIT機器の使用を制限されたり禁止されたりして正しい技術習得の機会を奪われることが多いですし、周囲の厳しい目への反発から再犯に至るなどの例もあるようです。
このような状況ですから、まずはせっかくの高い技術を自習で身につける能力がある少年をいかに犯罪に走らせないようにするのかが何より重要です。一つの方法は、各地で開かれている勉強会やCTFなどの技術コンテストなどさまざまな機会を活かして、このような少年たちが社会的に評価される機会を作り、セキュリティ関係者のコミュニティに繋ぎ止めることだろうと思っています。しかし単独行動を好む人もいますから、若いハッカーの卵を全てセキュリティ関係者コミュニティが受け入れるのも現実的ではないでしょう。では、どのような手が他にあるのでしょうか。私は残念ながら今のところいいアイデアがありません。残念ながら犯罪を犯してしまった少年の更生も含め、難しい問題だと感じています。どなたかお知恵を頂けないでしょうか。
※ 不正アクセス行為の発生状況は国家公安委員会、総務省、経済産業省がそれぞれ毎年公表していますが、被疑者の数については過去5年分しか掲載されません。そこで統計発表以来の被疑者数を年代別にまとめたものを https://bit.ly/不正アクセス年代別推移 に作ってありますのでご興味ある方はご覧下さい。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
2018年3月16日(金)
サイバーセキュリティの多様性と特定の業態の法的枠組みへの対応の視点
いわゆる「仮想通貨」をめぐるデジタルフォレンジックの担い手の重要性
新潟大学
教授 田中 幸弘
サイバーセキュリティ月間に寄せて昨年は人材に関連する文章を書かせていただいたのですが、今年は仮想通貨の枠組みでの昨今の状況がいろいろと世間を騒がせておりますのでこの点について少し書かせていただきます。
金融庁による2月2日付の文書で「コインチェック株式会社に対する立入検査の着手及び仮想通貨交換業者に対する報告徴求命令の発出について」が発出されております。
そしてさらに3月8日付HPで資金決済法に基づく合計七社に対する業務停止命令や業務改善命令の行政処分を公表しております。
思い起こせばマウントゴックス社の倒産手続きが世の中を騒がせましてもう四年になるのだなあと思いながら手続きがまだ実質的には終結していないようであるというのも極めて例外的な状況であるように思われます。
1.分散型暗号通貨についての話を検討した四年前
あの一件でも、ビットコインという特殊な分散型暗号通貨の問題であるということもあり、倒産手続きにおける管財人の先生の業務というのは従来の倒産手続きとは相当異なる配慮を要する事柄が多かったようなのでありますが、その中でサイバーセキュリティに携わる実務の専門家の方々のお仕事との関係で、いわば倒産法的デジタルフォレンジックの需要が大きくなるであろうことと、係る業務の管財人の先生等の倒産法の手続きに携わる弁護士の先生におかれても必要とされる専門的な対応の視点が必須であること、さらにはそのデジタルフォレンジックの分野での専門家の方々との連携が欠かせないであろうことに言及させていただいた次第です(田中幸弘=遠藤元一「分散型暗号通貨・貨幣の法的問題と倒産法上の対応・規制の法的枠組み(上)(下)」金融法務事情62巻11号 P52-63, 2014-06-10・同巻12号P72-85, 2014-06-25) 。これは「e司法」「IT司法」が要請される中、ますます連携の重要性は高まっていると言えるでしょう。
2.資金決済法改正による「仮想通貨」の規制枠組みの誕生と状況変化・・・ホルダーの多様化と拡大
その間、資金決済法の改正によりまして、「仮想通貨」という定義のもとに暗号通貨がその適用対象とされ適宜規制される法的枠組みが構築されるに至ったわけです。
四年前に比べてかかる法的枠組みの変化があっただけでなく、当時のビットコインをはじめとする「仮想通貨」と呼ばれることになる領域の利用者のサイドの変化も生じてきているように感じます。
四年前に比べて実際にビットコインの基本的な仕組みや特性について必ずしも十分な理解をしておらない可能性のある一般の消費者の方々がマーケットに流入してきている可能性もあるのではないかと懸念しております。
このような環境で今回の一件が生じたわけですが、現在の事実の経過というものは必ずしも世間の皆様に均等に共有されているとは限らない状況かもしれません。被害者弁護団が複数出てきて個別に対応されているところもあるようですので状況を見守る必要があるのが現状のように思います。勧誘時の問題や約款のあり方などの消費者契約法の法的枠組み等の消費者法の特別法の枠組みでの検討が今後進むことになるとも思われます。
四年前の一件では多くの海外の投資家の方々を含めてマウントゴックス社との対応と倒産手続きが長期にわたり継続してきた訳ですが、今回の場合は平時の解決を要する紛議について国内の利用者との割合が比較的多い案件であるように思います。
そして規制される法的枠組みの整備後の、その完全施行の途上での一部業者のデータの流出による紛議となっているようですので、倒産手続きではない枠組みでの本来の仮想通貨のホルダーの方々にどのような形で仮想通貨が戻されるべきかということが問題の中心になっているようであります。
そうなりますと、平時ではありますが危機管理時の利用者のアカウントのデータや、業者のデータの管理についてまさにデジタルフォレンジックの観点からの専門家の活躍の領域ということになるのでしょうから、関係者の皆様方においては警察サイドの方々とも連携しつつ実態の解明に寄与されておられる方々多いのではないかと推察する次第です。
3.「ホルダーのものが当たり前のようにホルダーの手元に戻るべきだ」という視点
今回は今後どのような手続きでかかるホルダーの皆様方の関係での実態解明が進むことになるのかは必ずしも明らかではないのですが、仮にデータの解明により業者の手元から離れていた仮想通貨の保有ルートや保有主体が判明したとしてその返還を誰が求めることになるのかという問題が注目されるところです。
またそれが判明しないときの業者とホルダーの間の問題の解決はどのような形になるのかも同様に注目されるところです。
前者においては物権的返還請求権のような形でホルダーや業者が保有者に請求することができるのか、差押え等の手続きは可能なのかなどの論点も再び検討されることになるのではないかと思われます(これはビットコインや仮想通貨の法的性格をどのように考えるかと関係する論点でもあるように思われます。上記四年前の論稿ですでにこの点については検討させていただいております)。
とはいえ、かかる法的な対応を支えるのはデジタルフォレンジックレンジックの領域での専門家の活躍によりデータ解明が行われていることが前提となる場合も多いと思われますので、専門家の皆様の専門性と活躍がより要請されることになるのではないかと思われます。
「ホルダーのものがホルダーに返却されるべきだ」という当たり前の発想がどのように実現されるのか注目されるところになるのでしょうね。今回の件で金銭で補償された場合の課税の可能性について「政府は補償された場合の日本円に対して課税関係の回答は現時点で困難としながらも、一般論として非課税にはならないとなる見解を出しました」との報道も一部でなされているようですし(例えばhttp://news.tv-asahi.co.jp/news_economy/articles/000121799.html参照)、ホルダーからしても「常識的に当たり前の対応」が要請されるところかと思います。
4.新たな仕組みをどのように考えるべきか
四年前に比べて新たな仕組み等が市場で出てきているところもあります。ICO(Initial Coin Offering)と呼ばれる枠組みを日本の法制度の中でどのように考えるべきかという問題もその一つでしょう。
これについては、そもそも資金決済法の法的枠組みとの関係だけを見ていればいいのかという視点もあるように思われます。
我が国の法制度では出資法という法律で、不特定多数の方々から後日出資の払いもどしとして出資金の全額若しくはこれをこえる金額に相当する金銭を支払うべき旨を明示し、又は暗黙のうちに示して、出資金の受入をしてはならないとされ(出資法第1条)、業として預り金をするにつき他の法律に特別の規定のある者を除く外、何人も業として預り金をしてはならないとされています(同第2条)。
銀行がお金を預かることができるのは銀行法があるからですし(他の法律に特別の規定があるわけですね、銀行法で)、金融市場から金融商品取引法に基づいて調達ができるのも、同法の有価証券やみなし有価証券として投資家保護の枠組みが存在するので認められているというのが実際なのですね。
ですから、ICOの仕組みなどについても例えば、金商法第2条2項第5号のような仕組み(集団的投資スキーム)による集団的投資スキームに該当する可能性のある場合などは、これに該当するから国内法との関係で問題なく可能で、これに該当しない場合は規制に該当しない・・・という立場もあるのかもしれませんが、該当しないがゆえに、では出資法との関係でかかる調達方法が問題がないのかという視点も必要になってくるかもしれないのですね。
その際は、いろいろな立場があるとは思いますが、出資法2条2項2号にある「社債、借入金その他いかなる名義をもつてするかを問わず、前号に掲げるものと同様の経済的性質を有するもの」として2項の「預り金」になるかならないかの精査を要するかもしれない訳です。
5.サイバーセキュリティ、デジタルフォレンジックの方々はどのような点を踏まえるべきか・・・仮想通貨の法的枠組みの今後
現状、このような状況もありますので、サイバーセキュリティやデジタルフォレンジックの専門家の皆様方は、いわゆる「仮想通貨」に関連する仕組みやデータに接する機会もあるように思うのですが、いろいろな業者さんがこの「仮想通貨」に関連してビジネスを展開しておられることを踏まえて、特にコンプライアンスの部分についてどのような姿勢を取っている主体なのかということは経営サイドで一応のチェックをしておく必要があるかもしれません。
資金決済法による「仮想通貨」の規制については「仮想通貨交換業」の登録がなされている業者の一覧が金融庁のHPに出ております。また経過措置で申請が行われ、登録または登録拒否の処分が行われるまで仮想通貨交換業を行っている事業者もおります。いわゆる「みなし業者」ですね(情報通信技術の進展等の環境変化に対応するための銀行法等の一部を改正する法律第8条参照)。
この辺の法の建付けは踏まえておく必要があるでしょうし、投資家保護や消費者保護の視点から、「仮想通貨」と言われる仕組みの中で資金決済法以外の例えば金商法の有価証券(第条1項各号)やみなし有価証券(同2項各号)に該たると改正されたり政令・府令が検討される場合も近い将来あり得るかもしれません。
この場合、投資者の「適合性の原則」に配慮した投資経験や多様なニーズもよく踏まえた上で、平成27年施行の金商法で導入された「第一種少額電子募集取扱業務」(金融商品取引法29条の4の2第10項)や「第二種少額電子募集取扱業務」(金融商品取引法29条の4の3第4項)についての規制枠組みや特例がクラウドファンディングも含めて改めて参考にされたり、金商法の金融商品取引業者等の取扱対象への仮想通貨の拡張等(例えばビットコインのETFの取扱など)がさらに検討されることになるかもしれません。
その意味でいわゆる「仮想通貨」の法的枠組みはいろいろな意味で第二のフェイズに移行するかもしれないと私は思っているのですが、その際には他に横断的な仮想通貨交換業同士の決済システムや決済機関が、有価証券の保管振替のシステム(株式とか社債の電子化による保管振替システムがすでに存在しておるのは皆さんもご存知かと思います。「社債等の振替に関する法律」参照。)と同様の枠組みで構想されることになるかもしれません。それにより少なくとも取引のファイナリティというか決済の法的完結性の枠組みが整備されることになるかもしれません。
そうなれば将来的には(検討されているのではないかとも思われます)日銀発行の電子通貨との決済というものすら構想できるかもしれません。
ただ、そのように他の制度との整合性や連携などの確保の関連で関連法令の遵守とその枠組みでの担い手として、システムだけでなくその担い手に要求される職務の遂行レベルやコンプライアンスのレベルの高度化にしたがって、コンプライアンスの枠組みやシステム対応から振り落とされていく業者も出てくるかもしれません。
その意味でもいわゆる「仮想通貨」の法的枠組みの理解はさらに必要になるでしょうし、サイバーセキュリティやデジタルフォレンジックの担い手の皆様方に対する期待も多様化・高度化してくるのではないかと考えている次第です。
皆様方のさらなる活躍を願ってやみませんm(__)m
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
