このページの本文へジャンプ

文字の大きさ

ここから本文です

インターネット法制度を知る!第18回 迫り来るスパイウェアと法制度!

2005年07月19日

迫り来るスパイウェア!

 第16回、「新手の詐欺。ファーミング登場!」についてリポートした。フィッシング詐欺だけでも気苦労が増えるのに「次から次に・・・・」というのが実感だったが、今回は更に気苦労をおかけする「スパイウェア」についてその動向や法制度をリポートしたい。

そもそも「スパイウェア」って何だ?

 そもそも「スパイウェア」とは何か?ということだが、IT用語辞典「e−Words」によると、「スパイウェア」とは、「パソコンを使うユーザの行動や個人情報などを収集したり、マイクロプロセッサの空き時間を借用して計算を行ったりするアプリケーションソフト。得られたデータはマーケティング会社など、スパイウェアの作成元に送られる。(後略)」とある。つまり情報詐取の為の監視ソフトウェアと言ってもいいかもしれない。
 現在、多くの方がパソコンを会社や家庭で利用している。その利用内容もサイトの閲覧や電子メール、チャットなど多様だろう。またネット銀行や電子商取引の利用も多い。ただ姓名、電子メールアドレスといった個人情報をはじめ各種ID、パスワード、クレジットカード番号などの重要な(個人)情報が他人に漏れてしまうと大変なことになるということも良くご存知だ。従って当然ながら多くの方々はそうしたことがないよう、個人情報の送信にはSSL(Secure Socket Layer)などの暗号化ソフトの利用や怪しいサイトには閲覧しない、個人情報を登録しないなど対策を講じておられるだろう。
 しかし、しかしである。いかに情報漏えいに貴方が注意を払われても貴方のパソコン自体に「スパイウェア」と呼ばれる病原体のようなソフトウェアを抱え込んでしまっていればどうなるだろうか?画面が渦を巻くなどパソコンを不正作動させるコンピューターウィルスは、「症状」が出ることが多いことから、逆にいえば対策も講じやすかったといえる。それに対し「キーロガー」といった「スパイウェア」は、貴方のパソコンに知らぬ間に入り込み、貴方の各種ID、パスワード、クレジットカード番号などの重要な(個人)情報がパソコン(キーボード)に投入されたとたんに、キーの動きなどからその情報(番号)を解析し、依頼元にその情報を気づかれることなく送信してしまうという。まさにスパイだ。

スパイウェアによる犯罪。ネット銀行からの預金不正引出し

 悪意をもった人間が狙うもののひとつにネット銀行がある。以前にもID、PWが盗まれ多額の預金が第三者により引き出された事件があったが、スパイウェアの普及は益々その危険性を増大させている。平成17年7月10日付けの日本経済新聞でも「銀行ネット取引「スパイウェア」悪用――不正引き出し、対策急ぐ。合言葉で本人確認/保険加入し被害補償。金融庁、聞き取り調査開始」と題し、ネット銀行での身に覚えのない不正引出が相次いで発生したことをうけ、「被害が発生した銀行などへの聞き取り調査を開始。犯人の手口を調べるとともに、パスワード以外でどんな本人確認方法が有効かを分析する。全国銀行協会はネット取引で今後起こり得る犯罪やその防止策の研究を始めた。」という。因みに具体的な対策としては、〃記事によると接続会社の限定や合言葉を利用するという。過日よりスキミング(カード番号の読み取り)など管理に落ち度のないキャッシュカードからの不正預金引出しについては銀行も補償を打ち出しているが、こうしたスパイウェアにより「盗み出された」個人情報、ID、パスワードによる被害については、先ほどの記事によれば「利用規定では『パスワードが正しければ本人が利用したとみなす』として、銀行に落ち度がない限り不正引き出しの補償に応じる必要はない。」という。従って仮にネット銀行に預金した多額の預金がこうした犯罪行為により他人に詐取されても何ら対応策がないこととなる。

ネット銀行からの預金不正引出しと法制度

 さて他人の情報を詐取する行為だが、第三回「フィッシング詐欺にご用心!」の回でもご案内したように情報取得自体は刑法罰則対象でない。しかし、そうして得た情報を下に他人の預金を詐取する行為は、明確な犯罪行為となる(可能性がある)。具体的には、ネット銀行からの不正引出しの場合であれば、刑法第二百四十六条の二(電子計算機使用詐欺)、不正アクセス行為の禁止等に関する法律(不正アクセス行為の禁止)が該当する。こうした条文は、電子計算機を不正操作させての財産上の不法の利益取得した場合、十年以下の懲役と規定される。またそもそも承諾のないアクセス行為は禁止であり、違反した場合は一年以下の懲役又は五十万円以下の罰金と規定される。ただ被害にあわれた方にとって重要である不正引出しされた預金が戻るかどうかはまた別の問題だ。

■刑法 第二百四十六条の二(電子計算機使用詐欺)
前条に規定するもののほか、人の事務処理に使用する電子計算機に虚偽の情報若しくは不正な指令を与えて財産権の得喪若しくは変更に係る不実の電磁的記録を作り、又は財産権の得喪若しくは変更に係る虚偽の電磁的記録を人の事務処理の用に供して、財産上不法の利益を得、又は他人にこれを得させた者は、十年以下の懲役に処する。

■不正アクセス行為の禁止等に関する法律 第三条(不正アクセス行為の禁止)
何人も、不正アクセス行為をしてはならない。
2  前項に規定する不正アクセス行為とは、次の各号の一に該当する行為をいう。
一  アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
まとめ
 問題の「スパイウェア」だが、合言葉などのような対処策がとられない限り、残るは不要なソフトウェアをダウンロードしないなど消極的な対処策しかないのが現状だ。しかし、こうしたソフトウェアは他のソフトウェアと一緒に仕組まれていることもある。こうした場合、使用許諾書をろくろく確認しなかった落ち度はあるにせよ自ら承諾し、ダウンロードしているだけに反論もできない可能性もある。
 なお「スパイウェア」が気になる方はスパイウェア対策ソフトたるものがあるということなので、早めにチェックされることをお勧めする。
■参考、引用文献
新六法(三省堂)
■参考、引用URL
日本経済新聞
http://www.nikkei.co.jp/
IT用語辞典
http://e-words.jp/w/E382B9E38391E382A4E382A6E382A7E382A2.html
■お断り
 本リポートは、ITビジネス起業者等へ法制度面のアドバイスをさせていただくことを趣旨としております。つきましては、内容の公正性を期するために公的機関等を除き、企業名、個人名等は原則として割愛しております。
なお本リポートの内容については、お客さまご自身その内容を判断するものとし、上田英雅又は本リポート掲載先サイトの管理者であるエヌ・ティ・ティ・コミュニケーションズ株式会社はいかなる保証も行わず、いかなる責任も負担いたしません。
上田 英雅(うえだ ひでまさ)
ECリーガルアドバイザー
所属:NTTコミュニケーションズ(株) 経営企画部
専門:EC(電子商取引)、EC法制度
所属:情報ネットワーク法学会
出身:京都府