2011年11月19日
■ ウイルス罪についてNHKが再び誤り解説を放送、無理解は深刻な状況
今朝のNHK総合テレビ「ニュース深読み」で「あなたに迫る危機!謎の"サイバー攻撃"」と題した放送があったようで、Twitterでポツポツと批判的な声(怖がらせるだけの番組だといった)が出ているのを見かけた*1。たしかに番組のWebページを見ると、「寄せられたご意見」には、「恐怖心をあおりすぎではないか?」「今後のインターネット普及や活性化に著しいストップ現象が起こる」「どうすりゃいいの?」といった声が散見される。
放送は見逃していたが、たまたま家のスゴ録が自動的に録画してくれていたので、午後に視聴してみた。まあ、標的型攻撃を話題にする場合、ゼロデイ脆弱性を突かれる場合も含めると確実な解決策がないということになってしまうので、ちゃんとした構成にするのは大変そうだな*2と思いつつ観ていたところ、終盤で、重大かつ明らかな誤りがあると気付いた。7月の刑法改正について誤った解説がされている。
この点についてTwitterでの反応を探してみたところ、以下などが見つかった。
番組中、韓国DDoSで日本のPCが乗っ取られた事例を挙げて、「今年7月に新たな法律ができた。今後はケースによってはお咎めなしとは限らない」と解説し、ケースとは何か?という問いに対して「例えば全くセキュリティをしていない無頓着な人」と回答。これ不正指令電磁的記録に関する罪のこと?piyokango 2011/11/19 19:07:15
今後は法律が変わったのでウイルス対策に無頓着で乗っ取られて犯罪に使われたら、乗っ取られた人も罪に問われるのか。相変わらず法律改正が全然広報されてないな・・・ #nhkhakubi 2011/11/19 09:12:30- 簡単に流されてるけど、踏み台にされただけで罪に問われるって、かなり横暴な事を勝手に法律で決められてるんだぞ・・・ #nhkhakubi 2011/11/19 09:14:22
なにもしなくてもウィルスに感染してしまうって… 最新のセキュリティ対策をしなくてはいけないのか。 乗っ取られも、事態によっては本人に責任がいくことも法律に。対策をしていなかったという責任。ringdinton 2011/11/19 09:17:53
パソコンにウイルスソフト入れないと、法律で罰せられる事があるらしい…スマホにも入れないと危険…(−д−;)sp_bj777 2011/11/19 09:33:10
番組中、韓国DDoSで日本のPCが乗っ取られた事例を挙げて、「今年7月に新たな法律ができた。今後はケースによってはお咎めなしとは限らない」と解説し、ケースとは何か?という問いに対して「例えば全くセキュリティをしていない無頓着な人」と回答。これ不正指令電磁的記録に関する罪のこと?
今後は法律が変わったのでウイルス対策に無頓着で乗っ取られて犯罪に使われたら、乗っ取られた人も罪に問われるのか。相変わらず法律改正が全然広報されてないな・・・ #nhk
なにもしなくてもウィルスに感染してしまうって… 最新のセキュリティ対策をしなくてはいけないのか。 乗っ取られも、事態によっては本人に責任がいくことも法律に。対策をしていなかったという責任。
パソコンにウイルスソフト入れないと、法律で罰せられる事があるらしい…スマホにも入れないと危険…(−д−;)7月の刑法改正は過失を処罰するものではないのに、あたかも過失で処罰されるかのように視聴者は受け止めている。
録画を見返して確認してみると、放送では以下のように解説されていた。
徳永アナ: (略)そのうちの3台は我が国のパソコンです。1つは北海道、1つは香川県、そしてもう1台がこのBさん(東京都)のパソコン、Bさんのパソコンが知らず知らずのうちに乗っ取られ、ある日突然家のデスクトップのパソコンが「攻撃セヨ!」と命令を下していたということがわかりました。ちなみに、このケース、知らなかったので、お咎めなしでした、Bさんは。でも、7月に新たな法律ができた。今後はケースによっては、お咎めなしとは限らないとされています。
とよた真帆: 何ですか?ケースっていうのは。
徳永アナ: これはまだ始まったばかりの法律なんで、まだケースがまだまだ集まってないんですが、例えば、全くセキュリティ対策をしていない無頓着すぎる人の場合とか。
松尾貴史: 管理責任みたいなものですか?
徳永アナ: そういうことも考えられるんですよね?中谷さん。
中谷解説委員: ま、被害の大きさもあると思いますけどね。
松尾貴史: 車の運転免許と同じようなことになっていきかねないですね今から。
中谷解説委員: インターネットを使う免許も必要なのかもしれないですね。
これでは大半の視聴者が「過失で処罰される」と思っただろう。
7月の刑法改正で新設された「不正指令電磁的記録に関する罪」(通称「コンピュータウイルス罪」、「ウイルス罪」)は、故意によるものを処罰するものであって、「全くセキュリティ対策をしていない無頓着すぎる人」であろうが、自分のパソコンで何が起きているか認識していない人が処罰対象になるようなものではない。
そもそも、この話は「「攻撃セヨ!」と命令を下していた」とあるように、DoS攻撃に加担させられたという話なのだから、それは単にウイルス(というかボット)に感染したという話であって、他人にウイルスを伝染させたという話ではないので、ウイルス罪に該当する余地すらない。可能性を検討するなら、この場合、電子計算機損壊等業務妨害罪の方だろう。7月の刑法改正で電子計算機損壊等業務妨害罪にも未遂罪が新設されたので、このことを言っているのかもしれないが、その場合も、故意があっての未遂なのだから、見当違いだ。
「被害の大きさ」「管理責任」「全くセキュリティ対策をしていない無頓着」などの解説は、損害賠償責任、つまり民事のことを言っているつもりなのかもしれないが、それは今までもそうだったわけで、「7月に新たな法律ができた」は関係ない。
仮に将来の話をしているのだとしても、一般家庭にウイルス対策の義務を負わせるべきとか、免許制にするべきなどというのは、社会全体を見据えていない人が陥りやすい安直な発想であり、間違った方向性だと私は思う。
もしかして、韓国へのDDoS攻撃の話だっただけに、9月に韓国で新たに施行された「個人情報保護法」が、安全管理措置を怠って個人情報を流出させた事業者を処罰対象とするもの*3となった件と混同*4してしまったのだろうか。(実際、私もこの番組を初回に流し見した時点では、韓国の法律の話をしているものと思ってしまい、日本の人が「咎められる」と言っているとは気付かなかった。)
しかも、誤り解説はこれだけではなかった。
番組の最後で、標的型攻撃について法制度の整備はどうなっているのかという話題になるのだが、なんと驚いたことに、今度は7月の刑法改正のことに一切触れず、不正アクセス禁止法しかないとして、法整備が遅れているかのような解説をしてしまっている。
小野アナ: (視聴者からのメールを読み上げ)(略)徹底してサーバー攻撃をストップするよう国レベルで対処してほしい。
土屋教授(内閣官房情報セキュリティ政策会議メンバー): 本当に、私たちもいろんな会議をやって、官房長官がリーダーシップをとってやっている会議がちゃんと政府の中にはあるんですね。これは、ただ、先ほど申し上げたように、1パーセントでも穴があると駄目なんですね。特に今、防衛産業なんかが狙われてますから、防衛産業の人たちっていうのは、守りをとにかく固める。それから、官民の連携というのも今、始めてるんですね。今までは、民間の人たちが政府に情報を上げたくないって、普通はそうですよね、そんなもの渡しちゃったらどうなるかわからない。でも、これはもう国家的に重要な問題である。だから情報は共有しなきゃいけない、そういう方向に今、進めているんですね。
とよた真帆: これ、今、新しい事件というか事柄ですから、法律とか罰則とかっていうのはまだできてないような状態なんですか、攻撃に対して。
土屋教授: 不正アクセス禁止法というのがあってですね、ちゃんとした人がアクセスしたものじゃないってことがわかれば、犯罪として処罰することはできるんです。ただ、国外から来たときにどうするかというのは非常に難しくて、これは戦争なのか、テロ行為なのか、単なる犯罪なのかっていうことを、これから考えていかなきゃいけないですね。
松尾貴史: 不正アクセス禁止法の中でもどんどん細分化していかなきゃいけなくなりますね。
土屋教授: そうですね。
小野アナ: 国レベルの対策は、福森さんからご覧になるとどうなんですか。
福森氏: 今始まったばかりという段階ですね。今、標的型攻撃のメールがですね、連日のように報道されてますけど、実は、あれで、まだ被害を受けていないと、要は、標的型攻撃メール届いたけど、怪しいメールが届いたけど、被害が受けてないとなると、警察って動いてくれないんですね。被害届が出ないと。
松尾貴史: 現象が出ないと動かないですもんね。
福森氏: でも、やはり、そういうのが沢山いろんな国から届いていますので、やはりそういうのは事前に察知して、防御していくっていうのは必要になってくると思います。
ウイルス罪のことがまったく理解されていない。ウイルス罪では被害の有無は関係ない。ウイルスが開かれなくても、利用者の電子計算機で受信に至った時点で、不正指令電磁的記録供用罪が成立する*5。
不正指令電磁的記録の罪は、社会的法益の罪であり、個人的法益の罪に求められるような被害の発生を要しない。ウイルスがバラ撒かれた時点を社会的な危険とみなして、そのような行為を処罰するものである。したがって、ウイルスを受信したならその時点で犯罪が起きたということであり、誰でもそれを告発することができるし、告発を受けた捜査機関は捜査する義務を負う。*6
NHKは、改正刑法施行直後の7月21日に、警視庁が岐阜県大垣市の男を供用目的保管罪で初検挙したのを伝えるニュースでも、「ウイルスを作成したり保存したりしただけで罪に問われるようになりました」という誤報(正しくは、供用の目的がなければ罪に問われない)を流していた*7。そして今回またやらかした。なぜちゃんと取材して確認しないのか。
「ニュース深読み」では、番組のWebページで「今回の概要は、11月22日(火)以降に公開する予定です」としているので、概要の掲載をする際に、これらの誤りについて訂正を加えるべきだろう。(この番組はNHKオンデマンドで視聴できるようだ。)
三菱重工の件以来、標的型攻撃についての取材の打診が何件かあった*8が、具体的事案のことについては報道レベルの情報しか持ち合わせていないので、私から有益なコメントはできそうにないとご辞退し、「対策会社に話を聞いた方がよいですよ」とお伝えしてきたが、ウイルス罪についての理解がこうも間違っているとなると、その点だけでもちゃんと伝えていかないといけない。
追記(29日)
その後、番組のWebページに「概要」が掲載された。上記の2つの問題点のうち、後者(標的型攻撃に対する罰則等の法整備はどうなっているのかという話題)については、概要に掲載しないということで、まあこれはよい。しかし、前者の部分については、以下のように記述された。放送時に比べ、「故意」「悪質」「全く」などの語が付け加えられている。
ちなみに、Bさんは知らなかったということでお咎めなしでした。しかし7月に新たな法律ができて、今後は、セキュリティ対策を行っていないことが故意だったり、悪質だと判断された場合は、全くお咎めなしとは限らない、とされています。
「セキュリティ対策を行っていないことが故意」というのは意味不明だ。セキュリティ対策を行わないこと(真性不作為犯)は現行法では犯罪とされていない。一般に、故意犯が成立するには、犯罪に当たる事が起きていることを認識している必要があって、ウイルス感染なりを認識していなければ犯罪に当りようがない。セキュリティ対策をしているとかしていないとかは関係ない。
加えて、DoS攻撃の踏み台の話題に「7月に新たな法律ができた」ことを持ち出した誤り(不正指令電磁的記録供用罪には全く当たらない件)についての訂正はなかった。
*2 それでも、一つ一つの対策を紹介するコーナーを設けるべきだったと思うが。
*3 INTERNET Watchの記事「海の向こうの“セキュリティ” 第61回:韓国で9月30日に施行された「個人情報保護法」の中身」参照。「このような措置を取らなかったために個人情報が流出した場合には、2年以下の懲役または1000万ウォン以下の罰金が課せられます。」とある。
*4 ちなみに、安全管理措置を怠っての個人情報流出で、罰金というのならいざしらず、懲役までというのは、いかにも韓国らしいやり方だけども、日本には馴染まない発想だと思われる。
*5 法務省の解説「いわゆるコンピュータ・ウイルスに関する罪について」では、供用行為とは、「不正指令電磁的記録の実行ファイルを電子メールに添付して送付し、そのファイルを、事情を知らず、かつ、そのようなファイルを実行する意思のない使用者のコンピュータ上でいつでも実行できる状態に置く行為」と説明されている。法制審議会の議事録では、メールの添付ファイルでウイルスが送りつけられる場合について、メールがPOP3等のプロトコルでクライアント側に取り込まれた時点が供用罪の既遂であり、そのような取り込みが行われるに至らず、POP3サーバのメールボックスに留まっている時点は供用の未遂(供用未遂罪が成立する)とされている。同様の説明は、法務省担当者の説明会でも耳にした。
*6 もっとも、本当にウイルスなのかわからない時点でいちいち警察に通報していたら、警察も処理しきれないわけで、告発は受理されなくなるだろうし、通報を集約するための何らかの仕組みがあった方がよさそうだ。
*7 当時の様子はTogetterにまとめられている。
*8 NHKからはなかったが。
- https://www.google.co.jp ×8 (2015-08-26)
- livedoor Blog [karekimo] ×4 : 2, 1, 1 (2012-01-25)
- http://katoyuu.iinaa.net/201111nikki.html ×6 (2011-12-11)
- http://kaigun.sakura.ne.jp/blog/ ×22 (2011-12-08)
- セキュリティホールmemo ×1661 : 1528, 122, 8, 2, 1 (2011-12-07)
- RinRin王国 ×207 : 171, 30, 3, 3 (2011-12-04)
- http://www.itmedia.co.jp/enterprise/articles/1112/03/news003... ×817 (2011-12-03)
- はてなダイアリー [gorilla-boots] ×14 : 11, 2, 1 (2011-12-01)
- はてなブックマークコメント ×79 : 73, 3, 2, 1 (2011-11-30)
- livedoor Blog [copixi] ×11 : 10, 1 (2011-11-29)
- はてなダイアリー [gorilla-boots 20111123] ×4 : 3, 1 (2011-11-27)
- Togetter [216293] ×61 : 59, 1, 1 (2011-11-25)
- livedoor Blog [omoidesokuhou] ×7 (2011-11-22)
- カトゆー ×664 : 641, 22, 1 (2011-11-22)
- http://sesdsv01.sumika-env-sci.co.jp/mail/MailPreView.do ×8 (2011-11-21)
- はてなダイアリー [palm84] ×4 (2011-11-21)
- http://iweb.mei.co.jp/tec-com/encom/?m=pc&a=page_fh_diary&ta... ×4 (2011-11-21)
- http://japan-blogs.net/c3.html ×4 (2011-11-21)
- http://iweb.mei.co.jp/tec-com/encom/?m=pc&a=page_fh_diary&ta... ×4 (2011-11-21)
- 2ちゃんねる掲示板 [news 1321794417] ×2 : 1, 1 (2011-11-20)
- http://ggsoku.com/2011/11/nhk-tondemo-banashi/ ×335 (2011-11-20)
- ime.nu /20111119.html ×9 (2011-11-20)
- Twitter [suzukimasatomo] ×7 (2011-11-20)
- Twitter [cchanabo] ×4 (2011-11-20)
- Twitter [hiromitsutakagi] ×49 (2011-11-20)
- キーワード不明 ×18 / 深読み 謎のサイバー攻撃 ×3 / 罪 セキュリティソフト 踏み台 ×3 / NHKガンウイルス ×3 / 標的型メール 強要罪 法改正 ×2 / nhk ×2 / http://takagi-hiromitsu.jp/diary/20111119.html ×2 / ウイルス罪 ×2 / 解説委員 高木 NHK ×2 / 踏み台 メール 罪 ×2 / 高木浩光 福森 ×2 / 放送 dos攻撃 ×2 / NHK -hiromitsu.jp ×2