ニュース 法律 作成日:2020年6月24日_記事番号:T00090729
産業時事の法律講座現代の犯罪行為でコンピューターと関わらないものはあまりないでしょう。コンピューターを使用した犯罪行為または犯罪に関わる行為は、全て記録が残ります。IPアドレスもその一つです。
IPアドレスは多くの情報につながり、犯罪行為が成立するか、どこで行われたか、どの国のどの裁判所が管轄権を持つかなどを判断することができます。台湾の過去の判決においても、IPアドレスによって犯罪の関連要件を特定したものがありますが、具体的、体系的な検討は行われていません。
IPアドレスを証拠に起訴
呂学倫は2016年8月から9月までの間、電子商取引(EC)サイトの開発と保守を行っている宸創有限公司(以下「宸創」)で、シニア管理エンジニアとして各サイトのフロントエンド、バックエンド両方のプログラム開発を担当していました。そのため、同社の最高権限のアカウントとパスワードなどの情報を取得していました。
呂は離職後、同年10月から翌年2月までの間、携帯電話で宸創のサーバーにログインし、顧客9社がサーバー内に構築していたサイトに侵入。顧客のサイトのトップページの背景画像を美女の写真に替え、サイトのパスワードを変更しました。または、顧客のサイトに対して大量の会員申請を行い、閲覧速度を下げるなど、サイトの管理運営を妨害しました。
宸創は、異常に気付いた顧客から連絡を受け、サーバーのアクセス記録からIPアドレスを突き止め、警察に通報しました。警察は、同IPアドレスが呂の携帯電話の番号に対応するものであることを割り出し、送検に至りました。
呂は検察に起訴され、台北地方法院(地方裁判所)で18年5月、妨害電脳使用罪により6月の有期懲役判決を受けました。呂は判決を不服として控訴しましたが、台湾高等法院(高等裁判所)は19年1月にこれを棄却しました。
ハッカーの接続偽装は困難
呂は自らをコンピューターの専門家と自認しており、高等裁判所で、次のような抗弁を行いました。
・本件はハッカーによるものである。
・ハッカーがネットワークのバグを利用し、悪意のあるプログラムを仕掛けて犯行に及んだ。
・ハッカーはアカウントからログインしておらず、またログイン時には使用するIPアドレスを変更していた。
・ハッカーは呂のIPアドレスと宸創のIPアドレスを中継することで、侵入経路を隠した。
しかし高等裁判所は次のように判断しました。
1.IPアドレスは身分を隠す目的で、特定の方式により修正することができる。しかし本件捜査で、各顧客のサイトが何者かに侵入、変更された時間に基づいて、その当時関連するサイトにログインしていたIPアドレスを追跡し、それから同IPアドレスを使用していたデバイスを割り出した。その結果、それらIPアドレスは毎回フローティングIPアドレス(システムで自動的に割り当てられるIPアドレス)だった。
2.一般の人は、毎回自動で割り当てられるフローティングIPアドレスが何番になるか分からない。ハッカーも控訴人の携帯電話番号がネットにつながった際に割り当てられるIPアドレスが何番になるかは分からない。そのため、もし本案がハッカーによるもので、同ハッカーが毎回IPアドレスを修正しているのであれば、毎回同じ携帯電話の番号に対応することはできない。本案で侵入する時使用されたフローティングIPアドレスが、毎回呂がインターネットを使用していた時と同じものであったことは、それがハッカーによるものではなく、呂自身によるものであったことを指している。
3.ハッカーは多くの場合システムのバグを突いてくるが、それは外部の者は容易には知り得ないものだ。システムの設計者は、ハッカーより容易にバグを知り得る。また、ハッカーがシステムのバグを知っているのであれば、それを利用すればよいだけのことなのに、なぜわざわざ呂の携帯電話を装って侵入しなければならないのか。
所在地で管轄判断
また裁判所はネット犯罪の管轄について次のように判断しました。
・宸創は海外のクラウドサーバーではなく、台湾のクラウドサーバーを使用している。
・実際に被害を受けたサイトを企画、構築、設置した宸創や、クラウドサーバーを貸し出している業者は、全て台北市松山区に拠点を構えていることから、同サイトの設置などの実際の運営地は台北市であり、台北地方裁判所に管轄権があることが分かる。
呂はこれを不服とし、次のように主張して最高裁に上告しました。
・原審は本案に関連する専門知識を持ち合わせておらず、ハッカーがフローティングIPアドレスを知り得たかどうかを具体的に調査、鑑定していない。
・原判決はハッカーがフローティングIPアドレスを知り得ないとしたが、それについての具体的な理由や証拠を示していない。
しかし最高裁は19年12月、これらの主張は全て第二審判決書で回答していることを理由に、呂の上告を退けました。
本件判決は、「インターネットに接続している当時のIPアドレスを根拠として、犯罪行為の内容を認定できる」というネット関連犯罪の重要な原則を示した典型的な判決と言えるでしょう。
徐宏昇弁護士
台湾のコンサルティングファーム初のISO27001(情報セキュリティ管理の国際資格)を取得しております。情報を扱うサービスだからこそ、お客様の大切な情報を高い情報管理手法に則りお預かりいたします。
ワイズコンサルティンググループ
威志企管顧問股份有限公司
Y's consulting.co.,ltd
中華民国台北市中正区襄陽路9号8F
TEL:+886-2-2381-9711
FAX:+886-2-2381-9722