また、本記事の内容により逮捕等された場合でも、執筆者は一切の責任を負いかねます。
- セキュリティ系勉強会の主催は「不正指令電磁的記録に関する罪」に該当するのかどうか、弁護士に相談してみた
- 「無限アラート」は「不正指令電磁的記録に関する罪」に該当する
- セキュリティ系勉強会を主催する上での注意事項についてもアドバイスをもらった
「無限アラート」のブラクラが「不正指令電磁的記録に関する罪」として兵庫県警により摘発(補導・逮捕)された件をきっかけに、セキュリティ系の勉強会の休止が発表されるなど、技術系の勉強会を主催する側としても非常に気になる点です。
今回、セキュリティをテーマに技術系の勉強会を開催する際、どのような点に気をつければ良いのか、また 「不正指令電磁的記録に関する罪」に該当しないようにするにはどのようにすれば良いのかを弁護士さんに相談したので内容をまとめました。(ブログに相談結果をまとめる事について、弁護士さんの了承を頂いております)
札幌弁護士会の無料法律相談
札幌弁護士会では無料法律相談を実施していて、予約をすれば無料で弁護士による法律相談を受けることが出来ます。今回はこの制度を利用して無料法律相談を受けました。
相談した結果
まず、そもそも「無限アラート」のようなブラクラは 「不正指令電磁的記録に関する罪」 にあたるのかどうかを、NHK NEWS WEBの記事を弁護士にお見せした上で弁護士さんに相談しました。
結論は、「不正指令電磁的記録に関する罪 」に抵触するとのことでした。
今回のケースでは、無限アラートを生じさせるようなプログラムは刑法第168条の2 にある「その意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」に該当するとのことです。
第百六十八条の二 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
一 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
二 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
2 正当な理由がないのに、前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。
3 前項の罪の未遂は、罰する。
(不正指令電磁的記録取得等)
刑法第168条の2
今回のケースでは、利用者の意図に反する動作を他人のコンピュータで実行させたため該当するのではないかとのことです。
Webアプリを開発していて、意図しない事象により無限アラートなどブラウザの動作に影響を与えてしまうようなバグを作ってしまった場合も罪になるのでしょうか?
弁護士さんによると、「罪にはならない」とのこと。刑法上では、
「罪を犯す意思がない行為は、罰しない。ただし、法律に特別の規定がある場合は、この限りでない。」(38条1項)
とされているため、規定されているもの(交通事故など)を除いて過失犯は適用されないためです。
このため、意図的にコードを仕込んで発生させなければ罪には問われないとのこと。
セキュリティ系の勉強会では、具体的な攻撃コードや手法を例示することが多いのですが、このように例示した場合は「コードの提供」として罪に問われるのでしょうか?
結論は、「基本的に罪には問われないが、注意が必要」とのことです。
勉強会参加者の対象が「エンジニア」など関係者であり、かつ正当性(攻撃等を防ぐため、等)があれば問題無いのですが、「攻撃させ、損害を与えること」を前提とすると罪に問われる可能性が高くなるとのことです。
そのため、「参加者がエンジニア(もしくは関係者)かどうかを確認するのが望ましい」というアドバイスを頂きました。身分証明までは不要で、「名刺を出してもらう」ぐらいで良いとのことです。
参加者募集ページでも、対象者がエンジニアであることを明記し、勉強会の趣旨をはっきりと明記することで、警察に対して合法的な活動であることをアピールするのも重要とのことです。
また、心配であれば警察署のサイバー犯罪対策課などに事前に相談・通知をすることもオススメとのことでした。CTFみたいなイベントでは事前に相談した方がいいかもしれませんね。
上述のことをまとめると、次の通りになります。
- 普通に勉強会を開催する分には問題無い
- 来場者に名刺をもらい、IT関係者かどうか身分を確認する
- connpassなど告知ページにも、趣旨と対象者をキッチリと明記する
- 当日も、参加者にも趣旨を告知し「悪用した場合は罪に問われる可能性がある」旨を説明する
要するに、セキュリティ系の勉強会を自粛する必要は無いけど、やり方を少し変えた方が良いという話でした。
まとめ・個人的な思い
勉強会の運用や、ブラクラについても「今までうまくいってたから問題無い」という考え方では無く、変わりゆく法律や社会にあわせて意識を変えていく必要があると感じています。
ブラクラそのものはかなり昔から存在している上、実際ブラクラそのものではデータ破損などを引き起こすことはありません。
しかしながら、当時とは刑法をはじめとする法律や社会環境は大きく変わっているため、「昔から存在しているんだから、今更罪に問うのはおかしい」と考えるべきではないと考えています。常に、その時々の環境に対して適応していくことこそが重要ではないのでしょうか。
また、兵庫県警をはじめとする警察の捜査手法について問題が無かったとは思っていませんし、コンピュータやネットワークに関する知識が足りていないのではないかと、報道を見ていて感じています。パソコン遠隔操作事件の時にも感じましたが、捜査当局にも技術的な理解が求められているのではないでしょうか。
コインハイブの件は無罪判決が出たようですが、このブラクラの件とは一線を画す事案ではないかと考えています。
時代に即したセキュリティ教育を早い段階で学校で行い、再発しないことを目指すことが重要ではないかと感じています。佐世保小6女児同級生殺害事件から得られた教訓を活用し切れておらず、残念でなりません。
今回の法律相談で、勉強会のありかたについても改めて考える良いきっかけとなりました。他の勉強会を開催されている方へ参考になれば幸いです。