第734号コラム:石井 理事(独立行政法人大学改革支援・学位授与機構 研究開発部 教授)
題:「ランサムウエアの支払いの仲介に関する刑法上の問題」
1 2022年6月15日付けの読売新聞の記事「『身代金の支払い代行はできますか』『実はやってます』…万策尽きハッカーに要求額支払う」(https://www.yomiuri.co.jp/national/20220615-OYT1T50037/)によりますと、データ復旧業者に身代金の支払代行を依頼し、業者から攻撃者に身代金が支払われて事例が紹介されています。記事では、このような業者の行為をグレーとしていますが、果たしてそうなのでしょうか。このような業者の行為が現行法上問題ないものか若干検討してみることとします。その前提として、まずは攻撃者についてどのような犯罪が成立するかを検討し、その後で身代金の支払いを仲介する業者の行為について検討することとします。
2 恐喝としてのランサムウエア
ランサムウエアについては、不正指令電磁的記録に関する罪(刑法第19章の2)が成立するということについて、概ね認識されているものの、それ以外の犯罪の成否についてはそれほど厳密に検討されていません。ランサムウエアを利用する攻撃者は、通常、暗号化したデータの復号鍵と引き換えに質に取ったデータの身代金の支払を要求し、また暗号化前に取得したデータを支払わない場合に公開するという脅しもかけてきます。後者の場合を二重恐喝と呼ぶようです。
しかし、現行刑法における恐喝は、暴行又は脅迫を手段として被害者の畏怖により財物または財産上の利益を交付させる罪とされており、物理的な力を行使していないことから暴行にあたらないのは当然として、そもそも「脅迫」といえるとも断定できないところにあります。刑法上「脅迫」とは、人の生命、身体、自由、名誉又は財産に対して害を加える旨を告知することを意味します(刑法222条1項参照)。確かに支払わないと取得したデータを公開する旨の告知をしている場合には、害悪の告知を認めうることはできますが、たんに復号鍵と引き換えに財産的利益の支払いを求めた場合は、脅迫と言い切れません。この場合、すでに危害が加えられているのであり、その危害の除去と引き換えに支払いを求めているにすぎず、危害を加える旨の告知とはいえないからです。加えている危害を除去しないという不作為による脅迫という構成も考えられますが、通常の事案では、現に危害を加えている段階で暴行が認められるため、解釈論として議論の俎上にあがってきたとはいえません。
以上から、密かに保管したデータを暴露するという形でも暗号資産等を要求するいわゆる「二重恐喝」型のランサムウエアの場合のみ、恐喝の実行行為を認めることができ、これにより被害者が支払ったときに既遂になるといえます。このことから、「二重恐喝」型ランサムウエアの攻撃者に対して、暗号資産等の支払いを代行する行為は、恐喝の共同正犯が成立することになるでしょう。
ランサムウエアの支払いを代行して被害企業を助けたのに、恐喝の共同正犯になるのは、おかしいと思われるかもしれません。しかし、犯罪行為を実行し、結果が発生し、終了するまでの途中で、行為に関与した者についても、当該犯罪についての共犯の成立を認めることができます(これを承継的共犯といいます。)。復旧業者は、被害者からの依頼とはいえ、恐喝の支払いの仲介をするだけでなく、暗号資産等攻撃者の要求するものに換えて支払いをしており、恐喝における財産上の利益の受領にとって決定的な部分を行っています。また、その際、その他の諸経費がかかるとはいえ、仲介による支払い、復号鍵の入手、データの復旧に関する手数料を取得しており、恐喝行為を知りながら積極的に関与しており、主体的に活動していることが認められます。そのため、共同正犯としての実体を備えているものと評価されるのです。
2 組織的犯罪としてのランサムウエア
企業等が業務として使用しているサーバやPCのデータを暗号化することは、これにより当該企業活動又は個人の業務遂行に支障をきたすものとなります。そのため、業務妨害罪(刑法233条ないし234条)の成立が考えられますが、ランサムウエアを使用している場合、より重い電子計算機損壊等業務妨害罪も成立することになります。ランサムウエアがデータを暗号化することで情報処理による業務を不可能にすることから、人の業務に使用する電子計算機の用に供する電磁的記録を損壊することにより、電子計算機に使用目的に沿うべき動作をさせずに、人の業務を妨害したといえます(刑法234条の2第1項参照)。これは、二重恐喝型以外のランサムウエアの投入についても妥当します。
なぜ電子計算機損壊等業務妨害の成立が「身代金」の支払いの仲介にとって重要な意味をもつのかといいますと、「組織的な犯罪の処罰及び犯罪収益の規制等に関する法律」(以下、「組織的犯罪処罰法」とします。)2条2項1号イにおいて、「財産上の不正な利益を得る目的で犯した」「死刑又は無期若くは長期4年以上の懲役若くは禁錮の刑が定められている罪次に掲げる罪の犯罪行為」により生じた財産を「犯罪収益」としているからです。恐喝罪の法定刑は、10年以下の懲役ですし、電子計算機損壊等業務妨害罪の法定刑は、5年以下の懲役又は100万円以下の罰金ですから、いずれも犯罪収益の前提となる犯罪に該当しています。ランサムウエアの場合、当然、暗号資産等財産上の利益の取得を目的としており、ランサムウエアによる「身代金」は、被害者が支払うことで「犯罪収益」に該当することになります。
この場合、電子計算機損壊等業務妨害のみしか成立しないとしても、これにより「身代金」を支払えば、犯罪収益となりますが、復旧業者が攻撃者と連絡をとり、「身代金」の仲介をする場合には、被害者から復旧業者へと移転した段階において犯罪収益性を肯定しうるものと考えられます。従って、復旧業者が「身代金」の支払のためであるにも関わらず、被害者との関係において、見積書、請求書ないし領収書等において「データ復旧費用」等の正当な事業の名目で書類を整えた場合、組織的犯罪処罰法10条の犯罪収益等事実仮装の罪の成立が考えられます。さらに、攻撃者に受領した金銭等の一部をそのまま暗号資産等に換えて支払うとしても、不法な財産上の利益として知って受領している以上、犯罪収益等収受罪(組織的犯罪処罰法11条)が成立する可能性があります。
3 詐欺による「身代金」の支払
次に、復旧業者が被害者に対しては自らの技術力で復旧するとして契約を締結しながら、当初から「身代金」の支払により復号鍵を受領し、これによりデータの復旧を図る場合には、詐欺罪が成立することになります。この場合、被害者から復旧業者に支払われた全額が被害額となります。この場合、当該契約自体が復旧業者の企業として締結されることに鑑みれば、団体の活動として詐欺罪の実行を組織によりおこなったものと評価することができます。それゆえ、組織的な詐欺(組織的犯罪処罰法3条1項13号)として処罰されることとなります。その上で、さらに攻撃者との関係において上記の1及び2での説明が妥当することとなります。
また、復旧業者が企業として復旧を旨とするのではなく、ランサムウエア事案で常に「身代金」支払を実施する形態である場合には、別表三の1号にある組織的犯罪処罰法3条若くは11条または2号ナの犯罪を共同の目的とし、これを結合関係の基礎に置いてる団体とみることが可能となってきます。そのため、同法6条の2の組織的犯罪集団にあたることとなり、そのため、上記のような詐欺を実行しようと準備しているだけで同法6条の2の組織的犯罪準備罪にも問われかねないこととなります。
4 以上は、裁判例も実務上の実例もないところですから、あくまで私見の限りのものでしかありません。しかし、ランサムウエアに感染したとしても、まずは警察への通報と適切な復旧業者の選択が望まれるところです。また、データの復旧だけでなく、インシデント対応として適切な原因究明も必要であることはいうまでもありません。
【著作権は、石井 氏に属します】