●マルウェアとコンピューター・ウィルスの違い
まずふと疑問に思ったマルウェアの定義についてです。マルウェアとコンピューター・ウィルスと同じような意味と捉えていましたが本当にそうでしょうか。
厳密には少し違うようです。以下Norton blogからの知識です。
マルウェアは悪意のあるソフトウェアの総称で、マルウェアの中にコンピューター・ウィルスもスパイウェアもトロイの木馬も含まれます。
malicious(悪意のある)とsoftware(ソフトウェア)を組み合わせた造語です。
●情報セキュリティを考える上で法律の問題は避けて通れない
マルウェアを作成したり提供したりした場合には法律が適用されます。
従って情報セキュリティを考える場合では技術的な知識だけではなく、それをとりまく法律を理解することが求められます。
●刑事法とは
刑事法とは、どのような行為が犯罪となるのか?どのような犯罪に対して、どのような刑罰が科せられるか?それはどのような手続きで決まるのかということが定めてあります。刑法、刑事訴訟法です。
●不正指令電磁的記録に関する罪
不正指令電磁的記録に関する罪というのがマルウェアを作成した場合の罪です。マルウェアを作成したり取得したり、配布したりした場合この罪が適用されます。
これは平成23年に情報処理の高度化等に対処するための刑法等の一部が改正されたことで設けられました。
●マルウェア作成罪にあたらないとされる事例
次の2つのケースを考えてみます。どちらもマルウェア作成罪にあたらない事例です。
1.セキュリティソフトの技術者が実験のために自らマルウェアを作成し、自社環境内で実験を行った。
この場合はセキュリティ対策ソフトの開発という正当な目的があり、自社環境内という他人に被害を与えていないことから不正指令電磁的記録に関する罪にあたりません。
2.あるコンピューターソフトを開発、販売したもののバグあった。そのためファイルが正常に保存できないことケースが発生。コンピュータを正常に動作させていないこととして不正指令電磁的記録に関する罪にあたるか?
あたりません。法律に明確に規定されていませんが、不正指令電磁的記録に関する罪の構成要素として「故意」という主観的要件が必要とされるためです。
●最近の事件、そして過去の事件から考える
最近中学生がコンピューターウィルスを販売していた事件がテレビ・新聞で報道されました。タブレットやスマホやパソコン等その中学生の持ち物を報道で見て、私は個人的に驚きましたが、そのケースはまさにこの不正指令電磁的記録に関する罪にあたったことでしょう。
では、少し記憶をさかのぼらせまして、私が高校2年、3年の頃ですから、今から25年前の頃のことです。
X68000というパソコン用にファーサイドムーンというパソコン・ソフトが販売されました。しかし、初期ロット内にコンピューター・ウィルスが混入していたことが発覚したという問題が起こりました。
その時には情報処理の高度化等に対処するための刑法等の一部改正以前の話です。一体どのような法律が適用されたのでしょうか。
今は深く立ち入らず情報セキュリティの勉強を進めることを意識したいところですが、少し気になる問題ではあります。