ランサムウェア攻撃とそれに関係する刑事罰について

個人情報保護 サイバーセキュリティ 刑事法制

ランサムウェア攻撃がますます盛んになっています。それを抑止する上では、企業のセキュリティレベルの向上が重要であることはもちろんですが、刑事罰を用いて犯罪エコシステムを破壊することも同様に重要です。それについて書いていきたいと思います。

 

二重脅迫型ではないランサムウェアの処罰

  • 二重脅迫型ではないランサムウェアの事案で、恐喝(未遂)罪が成立するかどうかについて疑義が呈されている。
    • 石井徹哉氏の2022年のコラムでは、「確かに支払わないと取得したデータを公開する旨の告知をしている場合には、害悪の告知を認めうることはできますが、たんに復号鍵と引き換えに財産的利益の支払いを求めた場合は、脅迫と言い切れません。この場合、すでに危害が加えられているのであり、その危害の除去と引き換えに支払いを求めているにすぎず、危害を加える旨の告知とはいえないからです。」とされている。
    • 2024年に警察官向けに書かれた書籍である「JC3公式ブック ランサムウェア攻撃に対する捜査ハンドブック」では、「ランサムウェアの二重恐喝のケースでは、被害企業に対して「身代金を支払わなければ窃取したファイルを公開する」旨の害悪の告知が行われるのが通例であるが、社内のファイルデータがリークサイト等に公開されることは一般に企業イメージを毀損することから、窃取されたデータが必ずしも顧客の信用情報や高度の企業秘密等ではなくとも、本罪の「脅迫」に該当する場合もあると考えられる。」(144頁)とされている。二重脅迫型ではないランサムウェアについて言及はないが、同様の問題意識に基づいている可能性がある。
  • もっとも、恐喝罪における実行行為は、人を畏怖させるに足りる害悪の告知で足りるところ、ランサムウェアの実行(run)の時点では恒久的に復元不可能となるわけではなく、攻撃者が復号鍵を提供しないと意思決定した時点で初めて恒久的に復元不可能となると評価すれば、ランサムノートは支払いに応じなければ業務を恒久的に停止させるという害悪の告知と評価でき、恐喝行為に当たると構成できるのではないか。
  • このように構成することは、二重脅迫型が主流となった現在でも一定の意味があると思われる。すなわち、このように構成した場合、暗号化とそれによって生じた業務への支障が犯罪の実行行為そのものから生じた結果ということになり、量刑にあたってより直接的に考慮できるようになると思われる。
  • 【追記】既存のデータを暗号化したように見せかけて、実際には関係ない暗号化ファイルを書き込んでいるだけのこともあるようである。このような場合、端的に詐欺罪が成立すると思われる。

 

支払いを代行する行為の処罰

  • 石井氏のコラムでは、「復旧業者は、被害者からの依頼とはいえ、恐喝の支払いの仲介をするだけでなく、暗号資産等攻撃者の要求するものに換えて支払いをしており、恐喝における財産上の利益の受領にとって決定的な部分を行ってい」ること、「仲介による支払い、復号鍵の入手、データの復旧に関する手数料を取得しており、恐喝行為を知りながら積極的に関与して」いることから、恐喝罪の共同正犯となるとされている。
  • しかしながら、(相当薄い関係の二者間に共謀を認めた)FC2事件に照らしてみても、復旧業者にそれほど簡単に共謀を認めてよいのか、疑問がある。暗号資産の調達はそれほど難しいことではなく、不可欠な役割(FC2事件ではそれが認められた)とまではいえないし、被害者の依頼に従って行動していることは軽視すべきではないと思われる。
  • 一方、他社から依頼を受けて暗号資産を購入し、攻撃者に送信する行為は、資金決済法上、暗号資産の売買及び管理に該当する。したがって、「支払い代行」を受託している者は、無登録の暗号資産交換業として処罰することができると思われる(なお、暗号資産交換業規制自体、AML/CFTが一つの契機となって創設された経緯がある)。

 

支払い自体の処罰

  • なお、長期的に見た場合に有効なのは、支払い自体を処罰することである。ランサムウェア攻撃を行っている組織の関係者を経済制裁の対象とし(なお、一部はすでに対象となっている)、無許可の支払いを外為法で処罰することが考えられる。攻撃主体は被害者側からは特定できないケースが多いと思われるが、ある程度網羅的に指定してしまえば、制裁対象ではないと確信できるケースを除いて、未必の故意が認められることになると思われる。
  • 仮に支払い自体を処罰する場合、支払い代行行為がその共同正犯となることについては疑問はないと思われる。

 

ダークウェブで公開された情報をSNS等で拡散する行為の処罰

カドカワの件で話題になっているので追記します(2024/7/13)。

  • 刑法上、業務妨害罪、信用毀損罪が問題となりうることが指摘されている。しかしながら、業務妨害罪については、業務の平穏かつ円滑な遂行そのものを妨害する行為であることが必要であるところ、拡散行為がこれを満たすことは想定しがたい。また、信用毀損罪については、虚偽の風説又は偽計を用いることが必要であり(このように手段が限定されており、単に信用を毀損すれば成立するわけではないところに刑法上の信用毀損罪の特徴がある。)、拡散行為はこれを満たさない。
  • また、個人情報保護法上の直罰規定は、行政機関等に関するものを除くと、個人情報データベース等提供罪に限られるところ、同罪は、個人情報取扱事業者の従業員等がその業務に関して取り扱った個人情報データベース等を提供する場合を対象としており、拡散行為はこれらを満たさない。また、個情委の措置命令違反は広く罰則の対象とされているが、拡散行為を行う者は、ほとんどの場合、ダークウェブから取得した情報を体系的に構成し、事業の用に供しているわけではないと思われるから、個人情報取扱事業者に当たらず、個情法上の義務規定の対象とならない。
  • 営業秘密侵害の可能性も指摘されているが、公知となった情報は営業秘密に該当しない。
  • 以上のとおり、拡散行為を罪に問うことは難しい。