サイバーセキュリティ対策⑧:サイバー犯罪の抑止に資する捜査の在り方
更新日:
今日は、「サイバー犯罪の抑止に資する捜査の在り方等の検討」について書きます。
「人権の侵害にならないこと」「善良な利用者の権利を不当に侵害することが無いこと」に十分に留意しながら、サイバー犯罪の抑止に資するよう、捜査の実効性を担保する為に、次の諸課題につき、検討を行うべきだということを提言しました。
第1に、「被害の予防」に関する検討です。
サイバー空間では、「被害の予防」が重要になってきています。
犯罪が発生していない、又は犯罪が行われようとしており、被疑者が不明な場合が多々存在することから、被害の発生前であっても、被害の予防や強制捜査ができるようにすることが望ましいと考えられます。
犯罪の温床になっているTor(トーア:The Onion Router)などでしかアクセスできないダークウェブでは、違法に取得されたと考えられる個人情報や企業の営業秘密情報が、暗号資産などで取引されています。
被害状況の実態把握の為、これらの売主に対して暗号資産を提供して情報を得る場合も含め、捜査機関において、ダークウェブの情報の収集・分析を推進することが重要です。
『不正アクセス禁止法』では、第7条の「フィッシング罪」など、実害発生前であっても、犯罪と規定している場合には、捜査機関による捜査が可能です。
このような場合以外でも、例えば、「被疑者不詳、被害者もいない状態で、国内に在るサーバがウイルスのばら撒きに使用され得る脆弱な状態のまま放置されている」等であって、何らかの犯罪に悪用されようとしていることを認知した場合は、強制的に当該サーバやIPアドレスに割り当てられたドメイン名を差し押さえたり、停止したりする権限を持たせることによって、犯罪抑止に繋がると考えられます。
他方、サーバやドメイン名を停止することなどにより、第三者である他の利用者において不利益が生じることも考慮する必要があります。
その為、一定の場合には、サーバやドメイン名を停止できるようにすることについて、善良な利用者の権利を不当に侵害することが無いよう慎重を期した上で、検討を開始するべきであることを提言しました。
ちなみに、中国では、グレートFWがあり、Tor通信が遮断されています。
Torを破る方法は複数検討されていますが、掲示板側がTor経由の通信を全て遮断するなどの自衛措置は可能です。
2020年東京オリンピック・パラリンピック競技大会の期間中に、Tor経由の通信を遮断することも、考え得るのではないでしょうか。
第2に、新たな捜査手法の要否に関する検討です。
関連法は、『刑事訴訟法』になります。
例えば、新たな捜査手法として、捜査機関が、令状を取得した上で被疑者のパソコンやスマートフォン端末にウイルスを仕込むことを可能とする権限を認めることについて、要否の検討を開始するべきではないかという提言をしました。
この場合のウイルスは、警察が作成するポリスウェアやリーガルウェアと呼ばれるものを使用します。
このウイルスに、仕込んだ端末から接続されるインターネットアドレス(URL)やキーボードの入力値(キーログ)を、秘密裏に捜査機関のサーバに送信する機能を持たせることで、被疑者の行動を逐一把握できるようになります。
米国では、ウイルス(リバースウェアと呼ばれる)を被疑者の端末に仕込むことも含めて、令状があれば可能です。
ジョージアでは、2012年に、捜査機関と連携したCSIRT(Computer Security Incident Response Team)が、ウイルス付きファイルを用いて、被疑者の顔写真等を取得したそうです。
また、捜査機関が、脆弱な状態にして設置したハニーポットを運用して、ウイルス付きのファイルを保存しておき、侵入してきた攻撃者に取得させ感染させることで、攻撃者の情報を収集することができるようにすることについて、要否の検討を開始するべきであることも提言しました。
以上は、犯罪者の特定には有効ですが、人権との関係で大きな議論になることが予想され、ハードルの高い検討課題です。
第3に、越境データに対する捜査手法の確立です。
海外に所在するサーバに対して、強制処分としてデータを収集する捜査手法を認める必要があります。
現状では、海外にサーバがあると判明した場合、「リモートアクセスによる複写の処分(『刑事訴訟法』第218条2項、第99条2項)」や「記録命令付差押(『刑事訴訟法』第218条1項、第99条の2)」の令状を裁判官が発付しない場合もありますので、円滑に執行できるよう、法制度や実務を整備するべきです。
米国では、2018年3月に『CLOUD(Clarifying Lawful Overseas Use of Data)法』が成立したことによって、米国の管轄権に服する企業のサーバについては、日本を含む米国外に所在するサーバ内のデータを強制的に取得することができるようになりました。
日本と米国との間で、同法に基づく『行政協定』を締結することにより、相互に相手国の管轄権に服する企業のサーバ内のデータを直接取得することが可能になり得ることにも、備える必要があります。
第4に、「成り済まし」抑止方策の検討です。
TwitterやSMS、電子メールを用いて、本人や企業に成り済ます事案が多発しています。
しかし、現行法では、「名誉毀損」や「信用毀損」等にならない限り、摘発することができません。
「名誉毀損」「信用毀損」「偽計業務妨害」等以外の場合であっても、個人や企業が迷惑する場合がありますので、限定的な『成り済まし罪』の新設や「成り済まし」行為抑止に繋がる研究の推進も含め、抑止する為の方策について議論を始めるべきです。