セキュリティ法律相談室---踏み台
Question 「不正アクセスの踏み台にされた場合でも,被害者から損害賠償を求められる」と聞いたことがあります。攻撃する意図や悪意がなくても,本当に訴えられるのでしょうか。
Answer これまでに判例がないため,はっきりとした答えは出せない。ただし,悪意がなくても過失があれば,損害賠償の対象にはなり得る。どのようなセキュリティ・ホールを突かれたのか,また管理者にそれを防ぐ能力があったかどうかなどによって,判断は変わる。
 |
| 図3●踏み台を使って他のパソコンを攻撃する仕組み |
攻撃対象となったパソコンには,踏み台からの攻撃の記録が残るケースがある。この場合,踏み台にされたパソコンの管理者が悪意を持っていたかどうかにかかわらず,攻撃を受けた側が損害の賠償を求めることは十分に考えられそうだ。
しかしこれまでのところ,踏み台になっただけで被害者から損害賠償を求められた判例は表面に出てきていない。現状では,不正アクセス行為自体の犯人を特定することさえ困難なため,踏み台にされたパソコンにまでは手が回っていないというのが現実のようだ。このため,踏み台にされた者に対して裁判所がどのような判断を下すかは,現状では,はっきりとした結論が出せない。
悪意がなくても責任は問われる
とはいえ,踏み台にされただけでも,損害賠償責任を負わされる可能性はある。悪意がなくても,過失がある,と判断された場合だ。過失の有無は,結果を予見できたか(予見可能性)と結果を回避できたか(回避可能性)で判断される。
予見可能性とは,例えば自分のパソコンが,自らの管理の甘さの結果,悪意ある他人によって踏み台として利用され得ることに,前もって気づけたのではないか,ということだ。この判断は,当事者のスキルや問題の種類などによって変わる。踏み台にされたパソコンの管理者が,ネットワークの専門技術に精通した技術者だったなら,攻撃者からの不正アクセスを予見できなかった責任を問われる可能性は高い注8)。また自身が管理するパソコンが,大きな被害をおよぼす危険性のあるセキュリティ・ホールを抱えたままなのを知っていながら,それをパッチなどで修正しなかった場合は,回避可能性ありと判断され得る。
つまり,攻撃者が突いた踏み台のセキュリティ・ホールが,すでに広く認知され簡単に対処できるものだった場合は,管理者に予見可能性と回避可能性があったと考えられても仕方がない。
これだけでなく,踏み台にされたパソコンを保持する機関が,世間に与える影響の大きさも判断の材料になる。個人が自宅で管理するサーバが狙われた場合と,プロバイダのサーバが狙われた場合では,被害の大きさは変わる。被害が大きければ,それだけ責任も大きくなる可能性がある。
