第488号コラム:石井 徹哉 理事(千葉大学 副学長 大学院専門法務研究科 教授)
題:「攻めのデジタル・フォレンジックと法」
サイバーセキュリティ戦略本部は、「2020年及びその後を見据えたサイバーセキュリティの在り方について」(2017年7月13日)において、IoTを主として念頭に置いているものの、ボット撲滅の推進を項目としてあげています。どのような技術的手法を用いるのかは、これから検討されるのでしょうが、ボットの解析については、すでに以前からハニーポットの使用などによる解析が検討されてきました。しかし、パケット解析を行うことに関しては、すぐに通信の秘密の侵害との疑義が突きつけられ、電気通信事業法や有線電気通信法の通信の秘密侵害罪の成立可能性がいわれたりしました。
これらの法律における通信の秘密の侵害は、もともと電信・電話が通信の主たる手段であった頃のものと変わるものではなく、インターネットで使用されるプロトコルを意識せずに立法されています。そのため、法律本来の趣旨通りに適用するなら、ルーティングすら通信の秘密を侵害するものとされえます。もっとも、通信業務に差し支えるものについては、正当業務行為(刑法35条)であり、適法であるとの行政指導、ガイドラインの策定により可能とされています。しかし、実際に正当業務行為にあたるかどうかは裁判所で判断されることであり、行政機関のガイドライン等と同様に判断されるかは必ずしも明らかではありません。過去には、石油製品の価格カルテルについて、当時の通商産業省の行政指導と公正取引委員会の黙認のもとになされたにもかかわらず、後に立件され、起訴された事案もあります(裁判所は、当該行為の違法性を肯定しつつも、所管官庁の指導等に従ったことを理由として法律の錯誤につき相当な理由があるとして故意を否定し、無罪としています)。また、行政機関のガイドライン等により処罰の線引きをすることについて罪刑法定主義に牴触する疑念もあります。
他方で、IoTにおける情報セキュリティの確保という観点から、ネット上の機器を乗っ取りボットにするような行為を想定してみます。サーバやPC等の端末であれば、ネットを通じての当該機器の利用につき識別符号による認証がなされている限り、不正アクセス禁止法の適用が可能です。しかしながら、機器同士が直接つながるような局面においては、必ずしも識別符号によるアクセス制御がなされているとはいえないことが多々あります。こうした場合、機器それ自体へのアクセスや不正利用について刑事規制が及ばない可能性があります(管理者権限をデフォルト設定にしたままの状態についてどう判断するかはここでは割愛します)。
以上は、法律自体がインターネットを中心とするネットワークの技術の進展に積極的に適合して制定・改正されてきていないことの例にすぎません。サイバー空間における現状を見ると、従来のような受け身のフォレンジック技術の適用だけでは十分に対処できないといわれ、より積極的にまたはプロアクティブにフォレンジック技術を適用することがいわれるようになっています。積極的なデジタル・フォレンジックやプロアクティブなデジタル・フォレンジックとは何かについて論じるだけの資質を私は持ち合わせてはいません。上記の例が示すように、積極的なデジタル・フォレンジックやプロアクティブなデジタル・フォレンジックをサイバー攻撃の対応への中心と位置づけるとき、実は知らず知らずのうちに現行法に違反していたり、あるいは違反している可能性に気付き、躊躇を覚える技術者の方々もいるかもしれません。こうした状況において、サイバー空間における現状に鑑みてサイバーセキュリティを維持・強化するため、積極的なデジタル・フォレンジックやプロアクティブなデジタル・フォレンジックが必要とされるのであれば、それに対して、現行法はどのような状況にあるのか、また必要とされる手法等について問題なく使用できるようにするためには、どのような法制度が望ましいのかを考えてみることが必要であるといえます。
来る12月11日、12日に催される第14回 デジタル・フォレンジック・コミュニティ 2017 in TOKYOでは、「見えない**との闘い—事後追跡可能性とデジタル・フォレンジック—」と題して、今後の求められる対応策としての「攻めのデジタル・フォレンジック」の検討、「攻めのデジタル・フォレンジック」に関する法的問題の検討などをテーマとして取扱い、上に述べたことについて検討する予定です。どこまで期待に応えられるかはわかりませんが、是非ともご来場の上、一緒に問題を考えていただければ幸いです。
【著作権は、石井氏に属します】