|
|
|
|
|
|
|
|
|
1990年代後半に入ってから、官庁や企業のコンピュータをダウンさせることを目的とした不正アクセスやコンピュータ・ウィルスが急増している。こうした行為は「サイバーテロ」ないし「テクノテロ」と呼ばれ、米国では2001年度に20億ドルの予算を計上して対策が講じられている。一方、防衛庁のサイバーテロ対策予算は13億円にすぎず、セキュリティの弱さが指摘されている。
便利さばかりが喧伝されて普及したインターネットだが、情報面でのセキュリティに重大な危険性があることは、必ずしも知られていない。インターネットに接続されているコンピュータは、いつでも他のコンピュータと情報をやり取りできる状態に設定されているため、常に外部からの不正アクセスの危機に曝されることになる。重要なデータはインターネット用のサーバとは別のコンピュータに記録され、特定のIDを持つ人しかアクセスできないようになっていることが多いが、よほどガードを固くしていないと、優秀なハッカーには簡単に侵入されてしまう。また、情報の転送がコンピュータ同士のバケツリレー方式で行われているため、ルート上にあるコンピュータの管理者(および侵入したハッカー)は情報の中身をいつでも読むことができる。インターネット上でやり取りされる情報は、基本的に全てオープンになっていると考えるべきである。こうした危険性を認識せずにインターネットに接続していると、場合によっては、重大な被害を受けることになりかねない。
インターネットにおける情報危機の中で、企業が最も恐れるのが、不正アクセスによる秘密の漏洩やデータの操作である。具体的には、(1)金融機関の電子決済に介入した横領/搾取、(2)交通違反や学校成績の記録の改竄など、(3)ホームページの書き換え、(4)顧客データやトレードシークレットの不正入手、(5)通信サービスの不正利用──などがある。「遊び感覚」で覗き見するケースも少なくない。日本の場合、(1)と(2)(3)については、1987年の刑法改正で追加された条項が適用される。すなわち、金融システムに侵入して不正な資金移動した行為には電子計算機使用詐欺罪、データの改竄には電子計算機損壊等業務妨害罪が成立する。しかし、最近まで、(4)のようにデータを単に引き出すだけの行為に対しては罰則規定がなく、1998年10月に音楽情報誌会社のホームページから顧客3000人分の個人情報が引き出されたケースなどでは、刑事責任の追及が難しかった。日本は、先進国中で唯一不正アクセスを禁止する法令がなく、「世界のハッカーの温床になる」と言われており、1998年のバーミンガム・サミットでも、ハイテク犯罪対策の推進で合意していた。
こうした状況に対応すべく、日本でも、2000年2月からようやく「不正アクセス禁止法」が施行されている。この法律は、ユーザがIDを入力して作動させる「アクセス制限付き」コンピュータを対象とし、(1)他人のIDを盗用して無断で侵入する、(2)セキュリティホールを利用して侵入する──という行為を禁止し、違反者には1年以下の懲役か50万円以下の罰金を課すものである。インターネットという画期的な技術の発展が、新たな犯罪の類型を作り出した訳である。
警察庁の調べによると、2004年の不正アクセスの認知件数は356件で、うち海外からが37件、アクセス元不明が16件である。不正アクセス後の行為で最も多かったのが、オンラインゲームの不正操作(他人のアイテムの不正取得など)の129件、次いでネット・オークションに関する不正操作(他人になりすましての出品・入札など)が103件となっている。ただし、こうした件数は、あくまで認知され、届け出があったものに限られている。認知されない単なる“覗き見”の件数は、これより遥かに多いと推定される。
不正アクセス禁止法による2004年の検挙件数は142件。検挙者88人中26人が少年である。不正アクセスの動機としては、交際相手や勤務先に対する嫌がらせや仕返しが最も多く35件、次いでオンラインゲームで不正操作を行うためが31件、好奇心を満たすためが23件だった。検挙事例には、「無職の男(31)が、他人のオークション用ID12個のパスワードを推測して不正アクセスした上、偽名で開設した口座に現金を振り込ませる手口で、約900万円をだまし取った」「中学生(14)らが、掲示板で「アイテムを譲る」などとだます方法でオンラインゲーム用ID15個のパスワードを入手、他人のアイテムを自分のものにした」などがある。
コンピュータに不正に侵入してデータを破壊・改竄したり、マシンをダウンさせる行為は、クラッカー行為として恐れられている。
表現に関して注意しておきたい。アメリカでハッカー(hacker)と言えばコンピュータに関して深い知識を持つ天才的な人たちを指し、日本でこの語が意味する「知識を悪用してコンピュータに侵入しデータの破壊やシステムのダウンを行う犯罪者」のことは、クラッカー(cracker)と呼んで区別するのが一般的である。(アメリカで言うところの)ハッカーの一部がクラッカーとして振舞うこともあるが、少なからぬクラッカーは、コンピュータに関してあまり専門的な知識のないまま、聞きかじりの情報に基づいて犯罪的行為を行っている。ここでは、アメリカでの慣用に従って「クラッカー」という語を使用する。
アメリカでは、1997年に地方空港の管制システムをクラッカーがダウンさせたため、一歩誤れば墜落事故が起きかねないきわめて危険な状況に陥った。このときは緊急無線通信を利用して乗り切ったが、クラッカー行為が国家の安全を揺るがしかねないという危機意識が高まることになる。連邦議会では、7人のハッカーを招聘してセキュリティについて質問する公聴会を開いたが、その結果、アメリカのコンピュータ・システムがきわめて脆弱であり、第3国がサイバーテロを仕掛けた場合、航空機事故や金融不安など深刻な被害が生じることが明らかになった。
2000年2月、米Yahoo!のWWWサイトが異常に量の多いページ表示要求を受けたため、サーバが対応できずに機能が停止する事件が起きた。これは、クラッカーがセキュリティの弱いコンピュータを探し出して攻撃用プログラムを仕掛け、そこから一斉に表示要求を出したためである。表示要求自体はインターネットの通常のコマンドであるため、不正アクセスに対するサーバの防御機能を高めても、こうした攻撃には無力である。その後、同様の被害が多くのサイトで続発した。能力の高いクラッカーは、次々に新しい攻撃法を案出してくるため、セキュリティ対策が追いつかない危険もある。
日本では、あまり本格的なクラッカー行為は報告されていないが、小さな被害例は少なくない。2000年1〜2月に、科学技術庁や総務庁・運輸省など日本の10以上の省庁・公的機関が運営するWWWサイトで内容が書き換えられた。このほか、防衛庁や日本銀行などにも侵入を試みた形跡があった。南京大虐殺を非難する中国語の文章に書き換えられたものが多いが、本格的な破壊活動は行っておらず、内容的にはいたずらと呼んで良いもので、実害は小さかった。ハッカーの間では、簡単なパスワード以外にセキュリティ対策を施していない官公庁サイトのガードの甘さは周知の事実で、「鍵を付けていなかったので泥棒に入られたようなもの」と言われた。
場合によっては、パソコンの個人ユーザが知らないうちにクラッカー行為の手助け役を演じてしまうこともある。優秀なハッカーの手に掛かれば、インターネットに常時接続している個人のコンピュータを「踏み台」にして、別のサーバを攻撃することも可能である。アメリカでのアンケート調査によれば、「ウィルス対策ソフトを更新しない」、「6文字以下のパスワードを使っている」などの理由で、回答者の97%がセキュリティ面で危うい状況にあるという。
サイバー犯罪の多発に備えて、各国の警察で、サイバー犯罪に対して専門知識を持つ操作チームが組織されている。日本の警察庁でも、1999年から、システムエンジニアをハイテク犯罪捜査官として中途採用するなど、捜査員の教育・養成を進めている。
サイバーポリスの活動が容易になるように、法整備も行われている。イギリスでは、捜査当局が内相の許可を受けて電子メールを傍受することを認める法律が2000年から施行されている。暗号の解読ができない場合は、発信者・受信者に暗号解読ソフトを提出させることもできる。
個人情報の流出は昔からあったが、かつては、紙のメディアから手で写すことが多かったため、それほど大量の流出には至らなかった。しかし、IT機器の普及により、数十万、数百万単位の個人情報が瞬時に流出する危険性が高まっている。さらに、流出した個人情報から条件を満たす人を選び出すことも、容易になっている。住民基本台帳に記載されている氏名・性別・生年月日・住所だけからでも、「今年、小学校に入学する子供のいる家庭」や「一人暮らしの老人世帯」などをすぐに探し出すことができる。流出した個人情報がネット上で売買され、長期にわたって犯罪を誘発する危険性もある。
適切なセキュリティ対策を施していなければ、廃棄パソコン、紛失した携帯電話、無線LAN(構内情報通信網)から簡単に情報を読みとることができる。電子カルテのように重要な個人情報が記載されている媒体には、バイオメトリクス(指紋や手のひらの静脈パターン)による確実な認証が必要だろう。
日経新聞社が2004年に行った調査では、過去1年間に「過失による情報流出」を経験した企業は1割に達する。2004年には、京都府警の警察官が使用していたファイル共有ソフトWinny を通じて捜査情報が流出した。ローソンやソフトバンクBBの個人情報流出による“お詫び”は一人あたり500円に過ぎなかったが、京都府宇治市の住民基本台帳データ漏洩事件(メンテナンス委託先のアルバイト学生が22万人分のデータを名簿業者に売却した事件)で最高裁が認定した慰謝料は1万円になる。個人情報を流出させた企業は、社会的に厳しい立場に置かれることが予想される。
住基ネットとは、「4情報」(氏名・性別・生年月日・住所)と11桁の住民票コードにより、全国共通の本人確認を可能にするシステムで、2002年から稼働している。2003年には希望者に住基カードも交付され、簡単に利用できるようになった。しかし、個人情報が大量に流出する危険があるとして、参加を拒んでいる自治体もある。
2003年に長野県が行った実験では、庁内LANから住基ネットに侵入でき、情報が盗み出される危険性があることが指摘された(インターネットからは侵入できなかった)。ただし、サーバ室にパソコンを持ち込んで無線LANから侵入するという実験方法に対して、現実的でないという批判がある。
コンピュータ・ウィルスは、1970年代に自分自身と同じものを作り上げるというプログラミング技術の“応用問題”として考案され、80〜90年代前半にかけて次第にその種類と感染数を増やしていった。90年代半ばに、ワクチンの開発とユーザの意識の高まりに伴って、いったん流行が下火になるかに見えたが、90年代後半にはいると、マクロウィルスのような新しいタイプのウィルスが発生、急速に普及したインターネットを介して世界中に爆発的に広まるようになった。
コンピュータは入力されたコマンドを機械的に処理する装置なので、それが重要なファイルを削除したり、トップシークレットのデータを流出させたり、さらには、ハードディスクのブートセクタを書き換えてシステムが立ち上がらないようにする悪質な内容のものであっても、そのまま実行してしまう。
ウィルスを仕掛ける犯人は、必ずしもデータの不正入手など明確な目的を持っている訳ではなく、いわゆる「愉快犯」に近い存在である。コンピュータに関して高度な知識を持っており、他の人には真似のできない高度な“裏技”を使って他人を驚かしてみようという気持ちが強いようである。しかし、たとえ明確な犯意が乏しくても、重要なデータを処理しているコンピュータにウィルスが侵入すると、そのために生じる被害は莫大なものになる。アメリカでは、ウィルス犯罪を「テクノテロリズム」として断罪し、国家の威信を懸けて撲滅しようとする動きを見せている。
米国調査機関の調査によると、コンピュータ・ウィルスやクラッカー攻撃で世界の大企業が受ける2000年度の被害総額は、1兆6000億ドル(約172兆円)に上ると予測される。主な被害はコンピュータの稼働停止で事業機会を逃すことで、世界で約4万人分の年間労働に相当する生産性が失われるという。
情報処理振興事業協会(IPA)によれば、2002年の日本でのウィルス届出件数は前年に続いて2万件を超えた。ただし、ウィルス対策ソフトの利用率が高まり、感染被害が起きた割合は8%と前年の19%から半減している。
コンピュータ・ウィルスとは、「感染力」(フロッピー・ディスクやインターネットを介して他のコンピュータに侵入する能力)を持ち、感染先で第三者のプログラムやデータベースに対して何らかの被害を及ぼすように作られたプログラムの総称である(解釈の幅を広くして、感染力を持たないものまで含めてウィルスを定義することもある)。こうしたプログラムは、他のプログラムの中に隠れている(“寄生”している)場合と、それ自体が1つの独立したプログラムになっている場合があり、後者を区別して“ワーム”と呼ぶこともある。
ウィルス・プログラムが発動すると、自分と同じプログラムを他の場所に複製することができる(“増殖”)。ウィルスがフロッピー・ディスク上のファイルや電子メールの添付文書に含まれていた場合、これを実行することにより、ウィルスがコンピュータのハードディスクやメモリ上に感染して悪さをする。こうした「増殖機能」を実現するには、以前はかなり高度なプログラミング技術を要したが、現在では、OSやアプリケーションにあらかじめ装備されている機能を利用して、大した知識がなくても行えるようになっている。
ウィルスの中には、積極的に破壊活動を行わず、システムに侵入できたことをアピールするメッセージを表示するだけの“良性”のウィルスもある。ただし、破壊活動を行わなくても、増殖スピードが著しく速いと、自分自身の複製でメモリやディスクを一杯にしてシステムをダウンさせてしまう。一方、重要なファイルを削除したり、ハードディスクのブートセクタを書き換えてシステムが立ち上がらないようにする悪質なウィルスも数多く報告されている。特に恐ろしいのは、感染後は暫く活動を行わず(“潜伏”する)、ある論理的な条件が整ったときに発動して、データやシステムを破壊するプログラムで、「論理爆弾」と呼ばれる。潜伏期間中に感染が広がるため、多くのコンピュータがいっせいにダウンすることもある。
コンピュータがウィルスに感染しているかどうかは、個々のウィルスが持つ特定のパターンを探し出す検出プログラムを使って判定できる。感染が判明した場合は、ワクチン・プログラムを実行することによってウィルスを駆除できる場合が多い。ワクチン・プログラムの多くはインターネットを使って入手することができる。
古典的なウィルスとしては、「Scores」(他のプログラム内に際限なく自分自身を書き込んでいって機能を阻害する)や「13日の金曜日」(13日の金曜日になると実行するプログラムをすべて削除する)などが有名である。1995年以前に開発されたプログラムの多くは、フロッピー・ディスクを介して感染していたので、被害が広範囲に広がることは少なかった。しかし、近年は、インターネットを介してウィルスが短期間で拡散するようになったことに加えて、ウィルス作成技術がより巧妙になったため、被害が深刻なものになっている。新らしいタイプのウィルスには、データファイルに寄生する「マクロウィルス」や、頻繁に姿を変えて検出を免れる「ミュータント型ウィルス」などがある。現在、「約3万種類が確認され、毎月300種類が新たに生まれている」(FBI担当官の話)という。
ここ数年、インターネットの利用者に大きな被害をもたらしているのが、「マクロウィルス」である。マイクロソフト社製のワードやエクセルのようなアプリケーション・ソフトには、作業を自動化するために「マクロ機能」を装備しているものがある。この機能を使えば、膨大な単純作業を一瞬の内に実行することができる(例えば、携帯電話の市外局番が変更になったような場合、多くのファイルに含まれる電話番号のデータをまとめて変換するのに利用できる)。マクロ機能を実現するスクリプトは、簡易的なプログラムの一種で、ワープロ文書やスプレッド・シートのようなデータの中に埋め込んでおき、ファイルを読み込むときに自動的に実行されるように設定することも可能である。マクロウィルスとは、マクロ・スクリプトとして作成されたウィルスであり、データ・ファイルに寄生して電子メールで広まっていくことができる。
かつての電子メールは、「テキスト(文章)」しか送信できなかったため、ウィルスの感染源になる危険性はなかった。しかし、電子メールの普及に伴って利便性を求める声が増え、それに応じる形でワープロ文書やスプレッド・シートのようなテキスト以外のデータも簡単に送付できるような機能が付け加えられたため、結果的にリスクが増大することになった。例えば、マイクロソフト社製の電子メールソフトであるアウトルック・エクスプレスでは、電子メールの受信ファイルを開くと下段にワープロ文書などの添付ファイルが一覧表示され、これをダブル・クリックすると、ワードなどのソフトが立ち上がると同時に(設定によっては)マクロ機能が実行される仕組みになっている(下図)。添付ファイルにウィルスが含まれている場合は、このとき、システムがウィルスに感染してしまう。
最近では、携帯電話にウィルスが侵入するという事態が憂慮されている。携帯電話でゲームなどを実行するのに利用されるJavaは安全性が高く、ウィルスの作成は技術的に難しいが、Javaを動かしているOSにセキュリティホールがある場合は、不可能ではない。通信容量が増えて大容量ファイルをやり取りできるようになると、ウィルスを潜ませたファイルを大量に配信して感染させ、通信機能をマヒさせることも可能になる。
「サイバー犯罪防止国際条約」(日本は2001年に署名)では、ウィルスを作成/入手するだけで「準備行為」として処罰とする法制度を求めており、日本も法改正を検討中。ただし、研究者がチェックのためにウィルスと同等の機能を持つプログラムを作成することもあり、どこまでが準備行為に当たるかはっきりしない。
ウィルスやワームがネットワークで大きな問題になるのは、自己増殖機能──すなわち、自分と全く同じプログラムを別の所に作り上げる機能──を持っているため、感染と増殖を繰り返して増え続け、場合によってはプログラムした本人にも予測できないような勢いでネットワーク内部で繁殖することがある。こうした「成功した」ウィルス(これは制作されるウィルスの中のごく一部にすぎない)は、しばしば、ネットワーク全体に重大な被害を及ぼす。1988年にインターネットに侵入したワームは、ウィルス被害の恐ろしさを垣間見せてくれるものだった。
インターネットとは、もともと米国防総省の高等研究計画局(ARPA)で研究されていた情報伝達の手法で、従来のツリー状の通信回線が外部からの攻撃に対して弱い(1本の回線が断線しただけで通信が途絶する危険がある)のに対して、コンピュータをネットワーク状に接続することにより、ある端末から別の端末へと繋がるルートが1本でもある限り通信が途絶しないようにしたものである。このとき情報は、「バケツリレー」のようにしてコンピュータからコンピュータへと伝えられていく。この手法は、1970年代に軍事的な目的で研究・開発されたが、80年代に入ると、大学や国立研究所などの研究機関が積極的に利用するようになる。それぞれの施設が所有している研究データをスムーズに交換するのに、非常に便利なシステムであることが認識されたからである。さらに、90年代には、商用サービスが盛んになり、ゴア副大統領の音頭取りもあって、急速に発展した。現在では、カタログショッピングや売買の決済にも利用されるようになり、数千万人が参画する巨大ネットになっている。
ところが、このインターネットには、原理的な問題がある。もともと、多くのコンピュータをネットワークに対して開放することによって「バケツ・リレー」のような情報伝達を実現するシステムであるため、いわゆるクラッカー(コンピュータ技術を悪用した犯罪者)の侵入に対して無防備だったのである。もちろん、情報を中継するサーバと重要なデータを処理するメインコンピュータを物理的に隔離して悪意ある侵入を防ぐという手段もあるが、それでは、スムーズさを良しとするデータ交換に支障が生じる。特に、研究機関がインターネットの主たる利用者だった80年代には、クラッカーによるデータ破壊をさして心配する必要のない研究者が中心となってWorld Wide Webなどの基本的なシステムを構築していったため、セキュリティへの配慮がいささか希薄になっていたきらいがある。商用サービスが盛んになると、さすがにファイアウォールなどの防護策が講じられるようになったが、インターネットの原理的な脆弱さが克服された訳ではなかった。
1988年11月、大学院生ロバート・モリス(当時23歳)がいたずらで作成したワームがインターネットに侵入、ネットに接続されていた全米各地の研究所/大学の約6万台のコンピュータのうち1割が感染した。ワームは、侵入のためのいくつかの手段を持っていたが、主としてUNIXというOSの電子メール処理プログラムにあるセキュリティ・ホール(これは開発者がデバッグ用に残していたものとされる)を利用した。このほか、1000種類の語句を次々と試すパスワード破りのルーチンも含まれていた。ただし、幸いなことに、このワームは、ハッカーとして並外れた才能を持つモリスが遊び心を満たすために作ったもので、論理爆弾として破壊活動を行うことはなく、メモリ上で自己増殖するだけだった。このため、メモリを占有して多くのコンピュータを次々とダウンさせたものの、重要なデータを消去や改変したりすることなく、大半のマシンは1日足らずで復旧した。ただし、その間にコンピュータが使用できなくなったことの被害は大きく、間接的なものも含めた被害総額は、9700万ドルと推定される。
ウィルス犯罪の多くは犯人を特定するのが困難だが、このケースではモリス本人が名乗り出たため、即座に解決した。ただし、量刑をどれほどにすべきかという点では、議論が百出した。アメリカでは、こうした犯罪に対処するため、1986年に「コンピュータ犯罪防止法」が制定されており、最高禁固5年、罰金25万ドルを規定していた。モリスは、この法律で刑を受ける最初の犯罪者となった訳だが、ほんのいたずら心で作ったワームが、予想以上に猛スピードで増殖して手に負えなくなったというのが真相のようで、被害の大きさと犯意が釣り合わない点が問題とされた。1990年5月、連邦地裁は、モリスに対して罰金1万ドル、奉仕活動400時間、保護観察3年の有罪判決を下したが、重すぎず軽すぎず、絶妙の判決と言えるかもしれない。
モリスのワーム事件は、急速に発展しつつあるインターネットが持つ弱点をあぶり出す格好の事例である(実際、モリスは、警告の目的で意図的にワームを放ったという説もある)。Windows95のような巨大なOSや市販のアプリケーションに比べると豆粒のように小さいプログラムを電子メールを装って送信するだけで、多くのコンピュータがダウンしてしまうというのでは、安心してネットワークを利用できない。もちろん、モリスが利用したセキュリティ・ホールはすでに塞がれ、さまざまな安全対策も新たに考案されているので、過度に心配する必要はないのかもしれない。しかし、情報ネットワークという明日の世界を担う巨大システムが、意外と脆い土台の上に立っていることは、きちんと理解しておくべきだろう。
近年、侵入したパソコンを操り、所有者の知らない間に迷惑メールの送信や企業サイトへの攻撃を行うボットと呼ばれるウィルスの流行が広まっている。周辺のパソコンにも感染して、ボット・ネットワークを構成する。2004年頃から被害が出始め、現在では、新種が毎日70種類以上も出現している。
こうしたウィルス事件には、他の経済犯罪に見られない著しい特徴がある。
第1に、被害の大きさに比べて、犯行を実行する際の心理的障壁が低いという点である。物理的な破壊行為を実行する従来のテロ行為に対しては、たとえ簡単に実行する機会が与えられたとしても、一般市民は常識に基づいて忌避するだろう。しかし、ソフトウェア的にコンピュータ・システムを破壊するというサイバーテロに対して、多くの犯人は、重大犯罪を実行しようという犯意もなしに、ウィルスを作成している。この傾向は、高度な知識なしにマクロウィルスを作成できるようになってから、特に顕著になったように思われる。また、学校・職場で抑圧された思いを閉じこもったままで晴らす閉じこもり型犯罪になることが多く、自分の技術力の高さを誇示しようという自己顕示欲の現れであることも少なくない。
第2に、コンピュータ・システムの脆弱さにも着目しなければならない。コンピュータは、入力されたコマンドを忠実に実行するだけの機械であり、そのコマンドを実行すると自分自身が停止してしまうような場合でも、素直に命令に従ってしまう。「システムを破壊するようなプログラムは実行しない」という機能を持ったコンピュータを作るには、基本的な設計を根底から見直さなければならず、現実には制作困難である。破壊的なプログラムの侵入を防ぐほとんど唯一の手だては、ネットワークに接続しているコンピュータと重要な業務を行うコンピュータを物理的に分離してしまい、前者から後者への指令は一つひとつ安全性が確認されたものに限るようにすることである。ただし、現実にこうした手だてを取ろうとすると、電子商取引などで即応性が失われ、ネットを利用することの利便性が大幅に低下する。このため、(ファイアウォールの設置など)次善の策によって対応しているのが現状である。
コンピュータ・ウィルスは、急速に発展しつつあるインターネットが持つ弱点をあぶり出す格好の事例である。Windowsのような巨大なOSや市販のアプリケーションに比べると豆粒のように小さいプログラムが送り込まれるだけで、多くのコンピュータがダウンしてしまうというのでは、安心してネットワークを利用できない。インターネットにワームを送り込んだロバート・モリスは、ネットワークの弱点を警告する目的で意図的に実行したという説もあるくらいだ。もちろん、個々のウィルスに対しては直ちに検出・駆除用のソフトが開発されており、過度に心配する必要はないのかもしれない。しかし、情報ネットワークという明日の世界を担う巨大システムが、意外と脆い土台の上に立っていることは、きちんと理解しておくべきだろう。
ウィルスを送信した者は、電子計算機損壊等業務妨害罪や電磁的記録毀棄罪に問われる可能性があるが、作成だけでは摘発は難しい。2008年、アニメ画像をパソコン上に表示させるウィルスを作った大学院生が、ウィルス作成者として初めて逮捕されたが、容疑は著作権法の侵害だった。
「サイバー犯罪防止国際条約」では、ウィルスを作成/入手するだけで「準備行為」として処罰とする法制度を求めている。また、不正アクセスや児童ポルノ画像の配布を国内法で禁じるように義務づける。日本政府は同条約を2006年に批准、コンピュータウィルスの散布や保有、不正アクセス、違法傍受、オンライン詐欺、ネット上の著作権侵害、児童ポルノ売買の摘発を強化する刑法改正を進めている。
©Nobuo YOSHIDA