情報漏洩事件などで想起される「ハッキング」。ハッキングやコンピュータウイルス感染等を防止するため、今ではパソコン購入時にはセキュリティソフトをインストールするのが常識になりつつあります。しかし、それでもなおハッキング被害は頻繁に起きているのが現状です。
また、ハッキング行為により盗まれた情報をネット上に公開されるといった二次被害も深刻です。近年、芸能人のSNSやクラウドサービスに不正アクセスし、私的画像データ等をのぞき見る事件も時折報道されていますが、当該データがネット上に公開されたとしたら、被害は甚大となり得るでしょう。さらに、例えば、一般人であっても、ハッキング行為により盗まれた画像がディープフェイクポルノに悪用される可能性があります。
この記事では、ハッキングの手口やハッキング行為がどのような犯罪に当たるのか、ハッキング行為で逮捕された場合の流れ等を弁護士・中村勉が解説いたします。
ハッキングとは
「ハッキング」とは、本来、コンピュータシステムやネットワークに関して高い知識や技術をもつ人が、プログラムや通信システムの解析、改良、改造、構築などを行うことを意味します。本来は必ずしも悪い意味を含みません。しかしながら、最近では、他人のコンピュータシステム等に不正に侵入するサイバー攻撃を指してハッキングと言う傾向があります。
同様に、「ハッカー」も、本来は、コンピュータに精通し、熱狂的なかかわり方をするいわゆるコンピュータマニアの意味を有していましたが、最近では、他人のコンピュータシステム等に不正に侵入したり、内部のプログラムやデータを破壊したりする人のことを意味することが多くなりました。報道で「ハッカー集団」や「ハッカーグループ」に言及される際にも、マイナスな意味で用いられることがほとんどです。
本記事では、以下、他人のコンピュータシステム等に不正に侵入するサイバー攻撃を指して、「ハッキング」と言います。近年、ハッキングによって、WEBサイトの改ざんやサーバー停止、顧客情報等の盗み出し、不正送金等が行われる例が見られます。
ハッキングの手口とは
ハッキングの手口は多数存在しますが、代表的なものには次のようなものがあります。
辞書攻撃(ディクショナリアタック)
辞書攻撃とは、人間は、パスワードに、覚えにくいランダムな文字列よりも何らかの意味のある単語等を使いたがる習性があることを利用し、辞書や人名録など、人にとって意味のある単語のリストからパスワードを割り出すことによってコンピュータシステム等への侵入をするものです。後述する総当たり攻撃よりも効率的な方法といえます。
近頃、コンピュータ端末やインターネットサービス等の利用にあたってパスワードを設定する際、自分の名前や生年月日、電話番号等を使用するのは控えるよう言われますが、これはまさに辞書攻撃対策といえるでしょう。
総当たり攻撃(ブルートフォースアタック)
総当たり攻撃は、上記辞書攻撃と異なり、考えられる文字や数字の組み合わせを全て、総当たりで試してパスワードを割り出すことによってコンピュータシステム等へ侵入するものです。総当たり攻撃に対する対策としては、パスワードの桁数や使用する英数字や記号などの種類を増やすことが考えられます。
ゼロデイ攻撃
ゼロデイ攻撃とは、セキュリティの脆弱性(セキュリティホール)につき、その情報公開や対策が講じられる前に当該セキュリティホールを狙って攻撃することにより、コンピュータシステム等への侵入をするものです。現状、ゼロデイ攻撃を防ぐには、公開された修正ないし更新プログラムをできる限り速くインストールして適用することくらいしかないでしょう。
ショルダーハッキング
ショルダーハッキングは、原始的な方法にはなりますが、文字通り、肩越しに、背後からパスワード等を盗み見し、これをコンピュータシステム等への侵入に利用するものです。こちらはパスワード等の入力の際に、他人に盗み見られないようにすることで一定程度対策可能でしょう。
ハッキングの罰則
上記のようなハッキング行為は、まず、不正アクセス行為を禁止する、不正アクセス禁止法(正式名称「不正アクセス行為の禁止等に関する法律」)の第3条に違反することとなり、3年以下の懲役または100万円以下の罰金に処せられる可能性があります(同法第11条)。
不正アクセス行為の禁止等に関する法律
第3条(不正アクセス行為の禁止)
何人も、不正アクセス行為をしてはならない。
第11条(罰則)
第三条の規定に違反した者は、三年以下の懲役又は百万円以下の罰金に処する。
また、ハッキング行為自体まではせずとも、ハッキング行為をすることを企図して他人のID・パスワードを取得・保管したり、また、これらを不正に入力させようとした場合には、不正アクセス禁止法第4条、第6条、第7条に違反することとなり、1年以下の懲役または50万円以下の罰金に処せられる可能性があります(同法第12条)。
第4条(他人の識別符号を不正に取得する行為の禁止)
何人も、不正アクセス行為(第二条第四項第一号に該当するものに限る。第六条及び第十二条第二号において同じ。)の用に供する目的で、アクセス制御機能に係る他人の識別符号を取得してはならない。
第6条(他人の識別符号を不正に保管する行為の禁止)
何人も、不正アクセス行為の用に供する目的で、不正に取得されたアクセス制御機能に係る他人の識別符号を保管してはならない。第7条(識別符号の入力を不正に要求する行為の禁止)
何人も、アクセス制御機能を特定電子計算機に付加したアクセス管理者になりすまし、その他当該アクセス管理者であると誤認させて、次に掲げる行為をしてはならない。ただし、当該アクセス管理者の承諾を得てする場合は、この限りでない。
一 当該アクセス管理者が当該アクセス制御機能に係る識別符号を付された利用権者に対し当該識別符号を特定電子計算機に入力することを求める旨の情報を、電気通信回線に接続して行う自動公衆送信(公衆によって直接受信されることを目的として公衆からの求めに応じ自動的に送信を行うことをいい、放送又は有線放送に該当するものを除く。)を利用して公衆が閲覧することができる状態に置く行為
二 当該アクセス管理者が当該アクセス制御機能に係る識別符号を付された利用権者に対し当該識別符号を特定電子計算機に入力することを求める旨の情報を、電子メール(特定電子メールの送信の適正化等に関する法律(平成十四年法律第二十六号)第二条第一号に規定する電子メールをいう。)により当該利用権者に送信する行為第12条(罰則)
次の各号のいずれかに該当する者は、一年以下の懲役又は五十万円以下の罰金に処する。
一 第四条の規定に違反した者
二 第五条の規定に違反して、相手方に不正アクセス行為の用に供する目的があることの情を知ってアクセス制御機能に係る他人の識別符号を提供した者
三 第六条の規定に違反した者
四 第七条の規定に違反した者
五 第九条第三項の規定に違反した者
また、ハッキング行為によって、情報を流出させたり、WEBサイトの改ざんをしたりした場合には、不正アクセス禁止法違反に加え、電子計算機損壊等業務妨害罪(刑法第234条の2)が成立し、5年以下の懲役または100万円以下の罰金に処せられる可能性があります。
刑法第234条の2(電子計算機損壊等業務妨害)
人の業務に使用する電子計算機若しくはその用に供する電磁的記録を損壊し、若しくは人の業務に使用する電子計算機に虚偽の情報若しくは不正な指令を与え、又はその他の方法により、電子計算機に使用目的に沿うべき動作をさせず、又は使用目的に反する動作をさせて、人の業務を妨害した者は、五年以下の懲役又は百万円以下の罰金に処する。
2 前項の罪の未遂は、罰する。
さらに、ハッキング行為によって、インターネットバンキングへ不正にアクセスし、不正送金をしたり、不正送金した預金を引き出したりした場合には、不正アクセス禁止法違反に加え、電子計算機使用詐欺罪(刑法第246条の2)や窃盗罪(刑法第235条)も成立し、10年以下の懲役(※電子計算機使用詐欺罪が成立する場合)、または、10年以下の懲役もしくは50万円以下の罰金(※窃盗罪が成立する場合)に処せられる可能性があります。
刑法第246条の2(電子計算機使用詐欺)
前条に規定するもののほか、人の事務処理に使用する電子計算機に虚偽の情報若しくは不正な指令を与えて財産権の得喪若しくは変更に係る不実の電磁的記録を作り、又は財産権の得喪若しくは変更に係る虚偽の電磁的記録を人の事務処理の用に供して、財産上不法の利益を得、又は他人にこれを得させた者は、十年以下の懲役に処する。
刑法第235条(窃盗)
他人の財物を窃取した者は、窃盗の罪とし、十年以下の懲役又は五十万円以下の罰金に処する。
ハッキングの事例
- インターネットバンキングへの不正アクセスによって、全国17都府県の約130名が、現金総額約9,300万円を騙し取られたという事件。被疑者は窃盗罪、不正アクセス禁止法違反、電子計算機使用詐欺の容疑で逮捕された。
- 業務委託を受けていた会社のホームページを改ざんし、閲覧不可能にしたとして、被疑者を電子計算機損壊等業務妨害容疑などで逮捕したという事件。なお、加害者と被害者の端末のIPアドレスの規格が異なっており、加害者の特定が困難とされたケースであった。
ハッキングで逮捕された場合の流れ
ハッキング行為による不正アクセス禁止法違反や電子計算機損壊等業務妨害罪、電子計算機使用詐欺罪、窃盗罪等で逮捕されるケースは多くあります。
警察に逮捕されると、逮捕から48時間以内に検察官へ事件と身柄が送致されます。検察官に送致されると、検察官から弁解を録取され、検察官はその弁解や事件記録等をもとに、勾留請求するかどうかを判断し、勾留請求をすることにした場合には、送致を受けてから24時間以内に裁判官に対して勾留請求をします。検察官が勾留請求しないことにした場合にはその日に釈放されることになります。もっとも、ハッキング行為で逮捕された場合には、ほとんどのケースで勾留請求されるでしょう。その後、裁判官によって検察官による勾留請求を認めるかが判断されますが、やはり勾留する旨決定されることがほとんどです。
勾留決定がされると、検察官が勾留請求をした日からまず10日間勾留されることになります。
勾留期間は裁判官の決定により、もう10日間延長することができることとなっており、多くの場合において勾留は10日間延長されます。
したがって、一度逮捕されると、逮捕の日から最大23日間、身柄拘束が続くことになります。そして、この身柄拘束期間の間に警察と検察官は捜査を行い、検察官において起訴するかどうかを決めることになります。検察官から起訴されると、保釈が許可されない限り、判決が言い渡されるまで身柄拘束がさらに続くことになります。
当然ですが、身柄が拘束されている間、電話等は使用できませんので、外部との連絡手段が大きく制限されることになります。また、逮捕されて勾留決定されるまでの間は、基本的に家族とも面会できず、弁護士とのみ接見が可能です。
上記のような流れは、一定程度は警察や検察官等から教えてもらえるかもしれませんが、身柄拘束されている側からすれば、そうスムーズに理解できるわけではなく、不安に駆られた状態が続きます。今後の流れを分かりやすく説明してもらうためにも、また、家族等の外部へ必要最低限の連絡をしてもらうためにも、弁護士との接見は有用です。
ハッキングで逮捕された場合に弁護士に依頼するメリット
まず、身柄拘束との関係ですが、すでに述べたとおり、ハッキング行為で逮捕された場合には、勾留や勾留延長が比較的認められやすいのが現状です。
しかし、具体的事案によっては、勾留や勾留延長が回避できる場合があります。そのような事案の場合、何もしなければ、他の事案と同じように当然のごとく勾留や勾留延長がされてしまいますが、弁護士が弁護人として就き、勾留や勾留延長の必要がないことを検察官や裁判官にアピールする積極的な活動を行うことで、勾留や勾留延長を回避できる可能性が高くなります。
また、仮に勾留や勾留延長の回避ができず、さらに起訴されて身柄拘束が続くことになってしまったとしても、弁護士に依頼していれば、起訴後すぐに保釈請求してもらえるなど、早期の身柄解放のために動いてもらうことができます。
次に、起訴・不起訴との関係ですが、ハッキング行為による逮捕の事案では、被害者が通常いますので、弁護士を通じて被害者との間で示談を成立させることで、不起訴の可能性を高くすることが可能です。逮捕に引き続き、勾留が続く場合には、検察官が起訴するかどうかを決定する勾留満期の数日前までに示談を成立させておく必要がありますので、時間との勝負となります。したがって、弁護士に依頼するのは急いだ方がよいでしょう。
不正アクセス禁止法の目的は、「不正アクセス行為を禁止するとともに、これについての罰則及びその再発防止のための都道府県公安委員会による援助措置等を定めることにより、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与すること」という公益的な目的ですので、被害者との示談が不起訴に直結するとは一概にいえませんが、被害者が示談に応じ、被疑者の刑事処罰を求めていない事情はなお、検察官による起訴・不起訴にあたって、被疑者に有利な事情として大きく考慮されるものと思われます。
なお、被害者が多数人にわたり、全員との示談が現実的に難しい事案では、起訴の回避も難しいですが、その場合であっても、弁護士に依頼することで、その後の裁判で、執行猶予付き判決がもらえるようにできる限りの指導をしてもらうことが可能です。
ハッキング行為で逮捕されたものの、そもそも身に覚えがない場合には、対応が変わってきます。この場合、逮捕直後から始まる取調べにおける対応が非常に重要になってきます。過去に、パソコンの遠隔操作により、無実の人が逮捕され、捜査機関による厳しい取調べの結果、途中で認めてしまう人も出た事件がありました。このケースでは幸い真犯人が立件されるに至りましたが、通常途中で認めるなどしてしまえば、のちに起訴された場合に非常に不利になってしまいます。このような事態を防ぐためにも、弁護士という味方の存在が必要です。
弁護士に依頼していれば、取調べにおける対応につき具体的にアドバイスをもらえますし、味方である弁護士との頻繁な接見は、精神的な支えにもなるでしょう。威圧的な取調べがあれば、弁護士から捜査機関に抗議してもらうことも可能です。
とにかく、弁護士には早期に依頼することが重要です。
まとめ
いかがでしたでしょうか。ハッキング行為の事案の中でも、被害の程度に差はありますが、冒頭でも挙げたような二次被害のことも踏まえると、ハッキング行為自体大きな非難に値しますので、民事責任はもちろんのこと、その刑事責任も決して軽視することはできません。
ハッキング行為をしてしまった場合、御家族がハッキング行為で逮捕されてしまった場合には、お早めに刑事事件に強い弁護士にご相談ください。
