Security Wars: エピソード 2 - ボット大戦 - 匿名軍団の攻撃 -

1-2. サイバー攻撃の分布

(1) 分布図

エピソード １ では、個人が、自分の好奇心と自己顕示欲から、サイバー犯罪を惹起した具体例を見てきた。エピソード 2 においては、経済的な動機から引き起こされる攻撃、政治的な動機から引き起こされる攻撃、国家の意思が発動して引き起こされる攻撃について、具体的な例を見てきた。

これらの概念の理念型を、攻撃力と主体を軸として分布を表したのが次の図となる。

(図) サイバー攻撃の属性と損害 (理念)

(2) 攻撃の理念型のまとめ

この図は、典型的な攻撃力の分布ということになる。横軸は、攻撃者の属性を示し、個人－国家への移行を示し、縦軸は、惹起される被害の深刻さを示している。以下では、この典型的な分布の議論のもつ意義をみることとする。

古典的なサイバー犯罪

ここでいう古典的なサイバー犯罪は、犯罪者の自分の好奇心と自己顕示欲から惹起される「コンピューター・データ及びコンピューター・システムの秘密性、完全性及び利用可能性に対する犯罪など」ということができる。後述の経済的動機や政治的動機に導かれるものと比較して、概して、被害も重大化することは少ない。法律との関係からいえば、犯罪者を特定し、証拠を収集して、裁判によって、民事なり、刑事なしの制裁を課す。古典的なサイバー犯罪には、その対応手段として、このような法執行が想定されているものということができるであろう。

重大なサイバー犯罪

重大なサイバー犯罪とは、「コンピューター・データ及びコンピューター・システムの秘密性、完全性及び利用可能性に対する犯罪など」のうち、経済的な動機などに導かれて、不特定または多数の被害を惹起する犯罪をいうと定義することができるであろう。例えば、犯罪組織による犯罪や付和雷同的な多数によるインフラに対する攻撃などがこれにあたるということができるであろう。後述のサイバーテロリズムに比較して、攻撃の計画性・政治性という要素が存在しない点で異なっている。法的には、組織犯罪対策法の対象犯罪である場合には、同法の適用がなされる場合もある。また、英国においては、重大組織犯罪 (Serious Organised Crime) という概念があり、重大組織犯罪対策機構が、設立されており、そのなかで、サイバー犯罪も同機構の活動の対象のひとつとして定められている。

サイバーテロリズム

サイバーテロリズムとは、「準国家的、秘密のエージェントまたは、個人による情報・コンピューター・システム、コンピューター プログラム、データに対する計画的な、政治的な動機による攻撃であり、非戦闘員を対象とする暴力を引き起こすものである。」と定義することができる[1]。日本においても、いくつかの法令にテロリズムに関連する規定が設けられている[2]。被害の無差別性、計画性、政治的動機などに特徴がある。テロリズムとして認識されることは、法的には、その資金の提供等の行為に対して処罰がなされるという実体法上の効果を生むことになる。テロリズムは、犯罪の一種であり、刑事司法の管轄ということになる。

サイバー戦争

2-2. ユス・アド・ベルム (Jus ad bellum) - 戦争の許容性の問題で検討したように、国家もしくは、それの指示もしくは、コントロールを受けている者が、一定のレベルの攻撃をなして被害を発生させた場合には、サイバー戦争もしくは武力の行使と認識されることになる。法的には、被害を受けた国は、外交、インテリジェンス、交渉、武力行使などの対抗措置をとることができる。法的には、武力紛争法 (Law of Armed Conflict) が支配する領域となる。

(3) 理念の限界

上記のような理念的な分類は、サイバー攻撃と法律のかかわりという観点から考えたときに、いろいろな限界を有している。具体的な問題点としては、以下の点をあげることができるであろう。

国家責任の問題点

特定の国家に対して、武力行使相当の被害を惹起するというのは、従来の攻撃においては、武器を所有する国家以外は容易に行えるものではなかったということができるであろう。しかしながら、サイバー攻撃においては、国家ではなくても、また、国家の指示もくしはコントロールを受けていなくても、困難なことではない。エストニア事件の紹介でも考察したように、匿名掲示板を契機に、攻撃が連絡をとった場合にも、相当な攻撃になるのが実際におきた事件なのである。

武力紛争法の問題点

国家責任の問題とも関連するが、指示もしくはコントロールという概念よりも緩い概念で、武力行使を認めるという場合、攻撃に参加した大衆の個々人が、どのような法的な責任を負うのかという点も問題である。武力紛争法の伝統的な考え方であれば、個人としての責任は問われないということになるが、果たしてそれが妥当なのかという問題がある。

サイバー犯罪対応の枠組みの限界

特に我が国においては、組織犯罪対策立法において、サイバー攻撃自体に対して重く処罰されるというような法的な枠組みにはなっていない。また、経済的動機に導かれる場合と政治的な動機に導かれる場合で、被害が、どちらが大きいということもいいがたいであろう。そもそも、犯罪対応とした場合に、犯罪者を特定し、法的制裁を加えるという枠組みがもはや実効性を失っているということもいえる。

これらの限界をどのようにして考えていき、安全・安心なネットワークをどのように築いていくべきなのか、また、その解決のための方法を考える際に問題となる事項はなるか。これらの問題は、エピソード 3 プライバシーの逆襲 で検討していくことになる。