Stuxnet によるシステム侵入の不正アクセス罪該当性火曜 4 限サイバー法 Ⅰ 夏井高人先生 K.Y. 目次 1. はじめに 2. 問題の所在 (1) 不正アクセス罪とは (2)Stuxnet とは何か 3. 検討 (1) インターネットを介しての感染 (2)USB による感染 4. おわりに参考文献 1. はじめに 2010 年 9 月 28 日 イラン鉱工業省の情報技術部門幹部の話によると イランが海外から大規模なサイバー攻撃を受けており 産業用パソコン約 3 万台に新たなマルウェアの感染が見つかった 1 イランの核燃料製造のための遠心分離機が攻撃の対象だったといわれており 原子力発電所の制御システムなどに侵入して その制御システム上にある装置に攻撃を加えることが目的だったとされる この新たなマルウェアが Stuxnetである 上述の通り Stuxnet は 国の産業用のパソコンに感染し そこから施設の制御システムに入り込むものであるが このマルウェアを利用したシステムへの侵入行為に 不正アクセス行為の禁止等に関する法律 ( 以下 法 とする ) 所定の不正アクセス罪 ( 法 3 条 ) が成立しないか 本稿では Stuxnet とは何かを明らかにしつつ Stuxnet によるシステムへの侵入行為について 不正アクセス罪の構成要件該当性を検討する 2. 問題の所在 (1) 不正アクセス罪とはア. 先述の不正アクセス罪の内容を検討するにあたり まず その客体は何か 法 3 条 2 項に 不正アクセス行為 ( 法 3 条 1 項 ) の類型が示されているが その各号 1 小熊信孝 Stuxnet 制御システムを狙った初のマルウェア 一般社団法人 JPCERT コーディネーションセンター講演資料 <www.jpcert.or.jp/ics/2011/20110210-oguma.pdf>2012 年 7 月 31 日最終閲覧 1
において 特定電子計算機 が客体としておかれている 特定電子計算機 については 法 2 条 1 項の中で 電気通信回線に接続している電子計算機 とされている 電気通信回線とは インターネット等のネットワーク回線であり 電子計算機は コンピュータをいう したがって 特定電子計算機は ネットワーク回線に接続しているコンピュータをさすものといえ これが不正アクセス罪の客体となる イ. そして 法 3 条 2 項各号はいずれも アクセス管理者 2 の承諾なく当該電子計算機を作動させ 制限されている特定利用をし得る状態にさせる行為である点で共通している つまり 不正アクセス行為 は 管理者により識別符号その他の情報を与えられず 当該特定利用につき権限を有しない者が 当該特定利用をする 無権限アクセス行為のことである この無権限アクセスを 不正アクセス行為 として刑罰を課し 禁止することで 特定電子計算機に対するアクセス管理者の管理権を保護することが不正アクセス禁止法 3 条の趣旨である ウ. そこで 法 3 条 2 項の各類型を検討すると 1 号の行為は インターネットに接続しているコンピュータに 他人の識別符号 ( パスワードなど 法 2 条 2 項 ) を用いてアクセスする行為をいうものであり いわゆる なりすまし がこれに該当すると解する 3 2 号の行為は 当該アクセス制御機能による特定利用の制限を免れることができる情報 を用いて当該コンピュータにアクセスするものをいい 括弧書において 識別符号であるものを除く とされていることから 結局 識別符号以外の方法で コンピュータにアクセスすることをいうものと解する 識別符号以外の方法というのは 特定電子計算機や利用者識別用のセンサーに何らかの脆弱性が存在し その脆弱性を悪用して 権限がないのにアクセスしたような場合が含まれる 4 3 号の行為は アクセスしようとしているコンピュータとは別に利用者識別用のコンピュータシステムが存在する場合に その利用者識別用のコンピュータシステムに対して 3 条 2 項 1 号の不正アクセス行為または 3 条 2 項 2 号の不正アクセス行為と同様の行為が実行される行為をいう 5 (2)Stuxnet とは何かア. Stuxnet とは Windows のプログラムの複数の脆弱性を悪用して感染するマルウェアである 従来のものと異なり ネットワーク上のみならず USB 等の外部メディアを経由して感染することも可能である そして Stuxnet は コンピュータに侵入すると 自己更新を行い そこからさらに そのコンピュータが利用権限を有するコンピ 2 電気通信回線に接続している電子計算機の利用( 以下 特定利用 ) につき当該特定電子計算機の動作を管理する者 ( 法 2 条 1 項 ) 3 夏井高人他 ITビジネス法入門デジタルネットワーク社会の法と制度 (TAC 出版,2010 年 )233 頁 4 夏井高人他 前掲 233 頁 5 夏井高人他 前掲 234 頁 2
イ. ウ. ュータシステムへと侵入するのである そこで本攻撃を行い コンピュータシステムの支配を図る 実際にイランで行われた Stuxnet によるサイバー攻撃も まず イランの産業用パソコンに感染し そこから 原子力発電所の制御システムに侵入し 制御システムへの攻撃をしようとしたのである 従来は 制御システムはサイバー攻撃とは無縁であり 制御システムをインターネットと切り離しておけば安全だという考えがあったが USB 経由の感染経路が判明し このような考えは覆された また Stuxnet は 特定の条件に合致することを確認し 攻撃を開始するが 条件に合わなければ何もしない そして ターゲット装置のセンサーが出す警告信号を止める指令を出して誤作動に気づかせない仕組みも有するため マルウェアが感染するとコンピュータ自体の動きが異常になるという考えも覆ることとなった 以上の Stuxnet の一連の侵入行為について不正アクセス罪の検討をする際の注意点は Stuxnet はコンピュータシステムに侵入しているわけではなく その中の 1 つの組織としてのチップに侵入しているということである とすれば Stuxnet による無権限アクセスにつき不正アクセス罪の検討をするうえで チップが アクセス制御機能を有する特定電子計算機 といえるか 特定電子計算機 のいうコンピュータが コンピュータシステムをさすのか コンピュータであればシステムに限らず その中の組織の一部に対するアクセスでもよいのかが問題となるのである この点 先述の法 3 条の趣旨から 不正アクセス罪の保護法益は 特定電子計算機に対する管理権者の管理権といえる インターネットに接続しているコンピュータは 多種多様にあり 特定電子計算機 は サーバーに代表するような典型的なコンピュータシステムに限られていない そもそも 電子計算機 とは コンピュータ全般をいうものとしており 演算 判別 照合などの情報処理を高速で行う電子機器が搭載されているものはこれに含まれるものと解する チップにおいても 主に半導体で構成された電子回路を搭載している 電子回路それ自体は電気の通り道としての回路だとしても チップは電子機器と一体をなして機能するものであるため パソコン等の電子計算機に搭載され一体をなしている限りにおいて 電子計算機 といえると考える そして 当該パソコンにアクセス制御機能があり インターネットに接続していれば アクセス制御機能を有する特定電子計算機 として 不正アクセス罪の客体たり得るものと考える 3. 検討では Stuxnet によるコンピュータシステム ( サーバー ) 侵入行為に不正アクセス罪が成立 3
するか 実際に行われたとされるイランへの攻撃の事例とも照らしあわせ サーバーへの侵入 支配 攻撃を目的とする Stuxnet を 当該サーバへのアクセス権限を有するコンピュータに侵入させる場合について検討する (1) インターネットを介しての感染ア. 自己のパソコン等から ネットワーク回線を利用し まずは目的とするサーバーの利用権限を有するコンピュータに対して Stuxnetを送り込む これが成功すると 当該利用権限を有するコンピュータは Stuxnetに感染する 組織内部のインターネットへのアクセスが可能であれば Stuxnetは必要に応じてネット上のC&Cサーバ 6 に接続して指令を受け取り自身を更新することができる このコンピュータへの侵入行為の時点で Stuxnet は パソコンと一体となったチップに侵入していることから 不正アクセス罪が成立する ここで 何号の類型に該当するかを考えると Stuxnet はインターネット上から感染するに際しては 当該コンピュータの識別機能の入力をして侵入したわけではなく コンピュータのセキュリティの脆弱性を利用して侵入したといえるので 法 3 条 2 項 2 号の類型に該当すると考える イ. そのうえで 目的となるサーバーに侵入した場合には 先立つ侵入行為と一連のものとして 法 3 条 2 項 3 号の類型の不正アクセス罪が成立することになる ウ. なお Stuxnet を送る行為は不正指令電磁的記録供用罪 ( 刑法 168 条の 2 第 2 項 ) サーバーを支配 攻撃するに至った場合には 電子計算機損壊等業務妨害罪 ( 刑法 234 条の 2) が成立する (2)USB による感染ア. まず Stuxnet が仕込まれた USB を コンピュータの管理権者に何らかの方法で渡し 管理権者がこの USB を自身のコンピュータに接続して作動させると 当該コンピュータは Stuxnet に感染する 先述のとおり 当該コンピュータがアクセス制御を有し インターネットに接続しているものであれば アクセス制御機能を有する特定電子計算機 であるため 不正アクセス罪の客体となる しかし USB による感染の場合には 3 条 2 項の各号が定める 電子通信回線を通じ たアクセスとはいえない したがって この場合に 当該コンピュータに対しては 不正アクセス罪は成立しない 7 イ. では 当該コンピュータから サーバーへの侵入をした場合に 不正アクセス罪は成立するか 6 マルウェア日亜仕手動作指令を出すためにインターネット上にマルウェア作者が設置するサーバ Command and Control server 7 もっとも この場合に不正指令電磁的記録供用罪 ( 刑法 168 条の 2 第 2 項 ) 等 別の罪を構成することはある 4
ウ. エ. この点 Stuxnet の当該コンピュータ侵入後に 当該コンピュータとインターネット接続できる場合 これを利用し Stuxnet の自己更新を行わせる等 電気通信回線 から何らかの指令を出して Stuxnet を操作し サーバーに侵入した場合には 不正アクセス罪が成立するといえる この場合は サーバーに 電気通信回線を通じて 識別符号 以外の方法 すなわちサーバーの脆弱性を利用して侵入したものと評価できるので 法 3 条 2 項 2 号に該当すると考える Stuxnet の当該コンピュータ侵入後 当該コンピュータとインターネット接続ができなかった場合にはどうなるか この点 Stuxnet を USB 等を用いて当該コンピュータに感染させた者は 当該コンピュータ管理者の 当該コンピュータの正当な権限に基づく利用行為を通じて Stuxnet をサーバーに侵入させたと評価することができる この際 侵入の態様について 管理者は自己の識別符号を用いる等してサーバーにアクセスしたものといえるが Stuxnet は この管理者の行為に影響されず 自らサーバーの脆弱性を利用して侵入することができるので その侵入態様としては 法 3 条 2 項 2 号に該当すると考える したがって 被害者を利用した間接正犯として不正アクセス罪の成立を肯定することができると考える なお (1) でみたように サーバーを支配 攻撃するに至った場合には 電子計算機損壊等業務妨害罪 ( 刑法 234 条の 2) が成立すると考える 4. おわりに今回の考察を通して サイバー攻撃の方法は日に日に進化している ということを改めて実感した Stuxnet のような インターネットを介さない方法での感染経路は 侵入態様として不正アクセス禁止法の本来想定するところではなかったといえる 被害者による間接正犯の構成によっては そこに加害者と別のものが介在するという点で 道具的利用等 成立要件の不充足を起こすおそれもある このような事態に対処できるようにするためにも 立法による早急の改善がなされるべきであると考える とはいえ 進化し続けるサイバー攻撃に立法が常時適切に対応することは非常に難しいのも現実である そこで 3 条の不正アクセス罪についていえば まずは無権限アクセスの方法 ( 侵入方法 ) について 電気通信回線 に限らず 同罪の保護法益たる 無権限アクセスによる管理権者の管理権侵害を中心に要件を構成するような文言にすべきであると考える 5
参考文献 夏井高人他 IT ビジネス法入門デジタルネットワーク社会の法と制度 (TAC 出版,2010 年 )233 頁参照 小熊信孝 Stuxnet 制御システムを狙った初のマルウェア 一般社団法人 JPCERT コーディネーションセンター講演資料 <www.jpcert.or.jp/ics/2011/20110210-oguma.pdf>2012 年 7 月 31 日最終閲覧 サイバー戦争の足音 ウイルス インフラ破壊の恐れ(@ ネット ) 2011 年 11 月 10 日付日本経済新聞朝刊 13 頁 東京電気大学教授佐々木良一氏 サイバー攻撃に備えはあるか( 上 ) 2011 年 8 月 8 日付日本経済新聞朝刊 19 頁 不正アクセス禁止法改正 Q&A <www.npa.go.jp/cyber/legislation/pdf/6_qa.pdf>2012 年 7 月 20 日最終閲覧以上 6