政府(法執行機関、その他の政府機関)のボットネット対応について考えてみましょう。
政府は、ボットネットに対して、何ができて、何ができないか、また、何をしなければならないのか、という論点です
ここで、Liis論文をもとに、ドイツの議論をみてみましょう。
法執行機関についていえば、ドイツ刑事訴訟法152条の強制起訴の原則から、法執行機関は、ボットネットに関する十分な事実関係を把握したのであれば、行動をとることが義務付けられます。
刑事訴訟法160条によると、検察庁は、犯罪の嫌疑があることを知った場合、直ちに捜査を開始することになり(同161条)、捜査の終了時に、検察官は、控訴を提起するための十分な根拠があるかどうかを決定しなければならないとのことです。
ボットネットの構築と運営は、複数の刑罰法規に該当するのであり、事実関係が明らかになった場合には、相当な嫌疑を正当化することになるでしょう。この場合には、公訴を提起する義務があることになります。この義務を満たさない場合には、申立人は、公訴を強制する権限を有することになります(同刑事訴訟法172条)。
法執行機関が、強制的な契機をもった活動をなしうるのか、という問題があります。具体的には、法執行機関が、みずから、もしくは、ISPに対して、ボットをテイクダウンするように命じることができるのか、ということです。
ドイツにおいては、連邦警察が、公共の安全を保護しなければならないことを定められています(連邦警察法典70条)。ここでいう、公共の安全には、国民の基本権(基本法2(2)条)、個人の自由(同)、移動の自由(同11(1)条)、家庭の不可侵性(同13条)が具体的に守られるべきものとして含められています。
ボットネット対応は、一次的には、地域警察(regional Länder Police)の管轄と考えられています。もし、ボットネットが、見つかった場合には、警察は、警察法に従って、公共の安全、もしくは、生命、物的インテグリティが脅かされる場合においては、捜索命令(地域警察法41条、42条)もしくは、サーバの没収命令(同43条、44条)を取得することになります。そして、その命令に基づいて、警察は、テイクダウンを行うことができることになります。ISPに対して、C&Cサーバを遮断することを命じて、それに基づいて遮断をさせることは、より制限的ではない介入であると考えられていることから、没収(同43条)の権限に含まれると解されています。
さらに、問題のC&Cサーバが、実際に、公共の安全への危険もしくは公共の秩序の破壊にいたっている場合には、地方警察法の一般規定によってテイクダウンが正当化されうる。そのような場合には、警察は、ボットマスター、C&Cサーバのホスティング者、ISP、感染したコンピュータの保有者に対して、活動を停止するように要求することができます。この要求を拒絶した場合においては、警察は、代替執行の手法をなしえます。
その余の手法としては、警察は、、データやキーストローク、通信、利用者の行動を監視する目的のために、トロイの木馬を利用するオンライン捜索命令を取得するという手法がありますが、議論があるところです。2007年ドイツ連邦最高裁は、オンライン捜索命令は、ドイツの法システムに存在しないとし、オンライン捜索命令は、基本権に対する重大な侵害であるとしました。また、2008年に、オンライン捜索命令は、予防的警察手法であると決定した。これを許容するには、法的な根拠が憲法に備わっていないとならないとしました。それゆえに、このような手法は、ボットネット対策に対しては、適法な選択肢ではないとされています。
では、日本の議論になります。
ボットネットの構築もしくは、運営が刑事法的に犯罪になりうるのか、という問題があります。この点について、日本で議論されている文献は、少ないように思えます。検索した限りでは、夏井先生の「サイバー犯罪の研究(一)――DoS 攻撃(DDoS 攻撃)に関する比較法的検討――」あたりのみでしょうか。
実際には、DDos攻撃/スパムに利用されるわけなので、電子計算機損壊等業務妨害罪(もしくは、通常の業務妨害罪)の証拠となる物件ということになるものと思われます。
ボットネット自体(というか、感染したボットやハーダー・コンピュータ)も、究極的には、
刑法19条1項
次に掲げる物は、没収することができる。
1 犯罪行為を組成した物
2 犯罪行為の用に供し、又は供しようとした物
(略)
ということで、「犯罪行為の用に供し、又は供しようとした物」ということになるのではないか、と考えられます。
なので、ドイツの議論がそのまま適用されることになるのかと思います。もっとも、問題は、その感染したボットやハーダー・コンピュータが、物理的に、国外に存在するという場合です。サイバードメインで行われている行為であっても、その電気通信の伝達に使われる「物」が、物理的に存在している国の法執行機関の権限はおよびます。物を、捜索し、押収すれば、いいわすです。その一方で、海外に存在している場合には、その物理的に存在している国に対して、捜査協力を依頼することになります。ただ、国によっては、協力を要請されたとしても、これに応じないという国があるので、問題が深刻化することになります。
このような観点から、法執行機関が、何らかの強制的契機を有する活動をできないか、という問題になります。
「警視庁、日本標的の不正送金ウイルス「無力化作戦」に乗り出す ボットネット特定し対策」(2015年4月)にあるように、無力化作戦として、どのような手法が使えるかということになります。
これについては、むしろ、民間企業がなすことができるのか、という話を検討した方がいいので、そのところで検討することにします。