特集

警察を震撼させた
日本初の本格的ハイテク犯罪

園田 寿

甲南大学法科大学院教授

1952年生まれ。甲南大学法科大学院教授(弁護士)、元関西大学法学部教授。専門は刑事法。ネットワーク犯罪、児童ポルノ規制、青少年有害情報規制などが主な研究テーマ。現在、兵庫県公文書公開審査会委員や大阪府青少年健全育成審議会委員などをつとめる。主著に『情報社会と刑法』(2011年成文堂、単著)、『インターネットの法律問題-理論と実務-』(2013年新日本法規出版、共著)、『改正児童ポルノ禁止法を考える』(2014年日本評論社、共編著)、『エロスと「わいせつ」のあいだ』(2016年朝日新書、共著)など。趣味は、囲碁とジャズ。

Xは、A銀行システム部に勤務するYから顧客の暗証番号等のデータを漏洩させ、そのデータを解析した上、A銀行が行っていたファームバンキング・サービスの都度指定方式による振込サービスを利用して、銀行の外部から電話回線に接続したパソコンを使用してA銀行のホストコンピュータにアクセスし、A銀行の他の預金者の口座から約16億円の架空振込送金データを入力し、Xの口座に送金させた。

1

長年、ハイテク犯罪の研究に関わっていると、時折とんでもない事件記録に遭遇することがある。冒頭に紹介した〈A銀行オンライン詐欺事件〉は、1994年に実際に起きた日本初のハイテク犯罪として、関係者を震撼させた事件である。しかし、今から思えば、後述のように、何と単純で稚拙な安心の仕組みであったのかと驚くばかりであるが、当時はこの程度のものでも安心感の裏付けにはなっていたのだろう。事件自体は控訴されず第一審で確定したためか、文献でもあまり触れられることがない。セキュリティの意識も技術的なレベルも低い時代の話であり、手口も単純なものなので資料的価値が高いというわけではないが、情報セキュリティに関する基本的な教訓らしきものが含まれているように思うので、あえて紹介する次第である。が、その前に簡単にサイバー犯罪の歴史を振り返っておきたい。

2

「エニアック」(出典:Wikipedia)

1946年に、Electronic Numerical Integrator and Computer(以下、エニアック)と呼ばれる人類が初めて手にした本格的なコンピュータは、約18,000本の真空管と、重量30トンほどの重さを支える堅牢な床と中会議室ほどの空間であった。その数十年後、1キロに満たないノートパソコンはエニアックの数十万倍の処理速度を持つにいたる。情報技術の世界は、人間の数倍の速さで歳を取る犬になぞらえて「ドッグ・イヤー」といわれることがあるが、この数十年間は、それまでの人類が経験した300年以上の時間が凝縮された、スリリングで濃密な時間だといえる。

普遍性と強烈な発展性を持ったテクノロジーは、利便性と危険性の両性を持つが、情報技術もまた例外ではない。

犯罪の道具としてのコンピュータは、1960年代の終わりごろから問題となる。1960年代のタイムシェアリング・システム(多数の端末から回線を使って多数の利用者が同時に大型コンピュータを利用する方式)の普及で、他人のパスワードを収集・解析するプログラムをシステム内に仕掛け、他人のIDでコンピュータを不正に使用する〈トロイの木馬型ウイルス〉も多発した。これは、現在の多くのマルウェアの原型である。

70年代に入ると、日本でも情報化の流れが速まり、情報犯罪も目立つようになる。顧客名簿の磁気テープを不正コピーし、同業他社に売却した事件や、誘拐の身代金を預金口座に振り込ませる事件などが記憶に残る。特にこれらの事件は、60年代後半からのオンラインバンキングによる銀行大衆化の隙を狙った犯罪であった。身代金誘拐事件では、身代金の授受が犯人との唯一の接点となったが、当時全国数100か所に設置されていたCD(キャッシュ・ディスペンサー)機のどこで現金が引き出されるかがわからず、犯人は逮捕につながる接点の希薄化を狙ったのだった(急きょシステムが改善され、CD機の前で犯人は逮捕された)。

70年代から80年代にかけてはキャッシュカードと情報処理システムをターゲットとして、銀行の金融システムがさらに狙われた。この頃の暗証番号照合システムが稚拙なことやセキュリティに関する意識の低さも、犯行を助長するものがあった。犯行形態としては、銀行の情報処理システムを巧みに利用した銀行員の内部犯行や情報処理技術者によるキャッシュカードの偽変造などの犯行が目立つが、手口としてはそれほどの複雑さはなかった。

身近なサイバー攻撃とマルウェア

このような流れの中で冒頭の事件は起こった。銀行名は伏せて「A銀行」と記すが、当時はそこそこの顧客、預金高を抱える都銀中位行であった。しかし、バブル崩壊後にクジラのようなメガバンクに飲み込まれ、それがさらに巨大なクジラに飲み込まれ、何度もそしゃくされた揚げ句、今ではその残滓すら残っていない。事件は、そんなバブルの暗部が徐々に表面化していく最中に起こったのだった。

具体的にどのような手口であったのか。

本件では、当時の電子決済システムの一つであるファームバンキング・システムのうち、都度指定振込の仕組みが悪用された。このシステムを利用すれば、事前登録振込とは異なって、利用の都度、顧客によるパソコン操作で振込先を指定することによって、顧客の口座から他の口座への振込、振替が可能だった。

システムの安全性は、4桁の〈固定暗証番号〉と、利用のたびに変化する3桁の〈可変暗証番号〉と4桁の〈確認暗証番号〉、そしてそれらを別の数字に変換する暗号システムによって担保されていた。可変暗証番号は、利用者だけが次の番号を知る仕組みだが、実は変化のパターンさえわかれば、顧客データの最新記録から次の番号が高い確度で推測できたのだった。

犯人のXは、まずA銀行員Yを通じて銀行のデータベースからターゲットとした顧客の固定暗証番号を引き出し、暗号を解析した。次に、固定暗証番号だけで利用可能な照会サービスを利用し、ターゲットとした口座の取引回数から可変暗証番号の変化パターンを突き止めたのであった。何と、A銀行ではその変化パターンが1通りで、しかも1ずつ加算されるという極めて単純、驚くほど稚拙なものだった(事件後、ただちに改善された)。このようにしてXは、A銀行の他の預金者の口座から架空振込送金データを入力し、Xの口座に送金させて約16億円の利益を得たのだった。

裁判所は、Xに電子計算機使用詐欺罪(刑法第246条の2)の成立を認めた(名古屋地判平成9年1月10日判時1627号158頁)。

2

適用された刑法第246条の2は、1987年の刑法一部改正によって新設された規定である。このときには、電磁的記録の偽変造やコンピュータに関連した業務妨害など、他に若干のコンピュータ犯罪に対応するための規定も新設された。

本条が導入された背景には、次のような考えがあった。

本件のように、銀行のオンライン端末を不正に操作して、入金の事実がないのに虚偽の情報を入力して預金口座の残高を増加させる行為は、不正に現金(財物)を得たわけではなく、事実上の預金債権(利益)を得ただけであるので、物(有体物)を盗む窃盗罪は成立しない。かといって、詐欺罪も成立しない。なぜなら、詐欺罪では、犯人が被害者をだまして錯誤に陥らせ、それによって被害者自らが財物や財産的な利益を犯人の側に移すことが要件だからである。コンピュータに虚偽の情報を入力してその処理を誤らせても、詐欺罪の本質的な要件である「錯誤」(人間の心理状態)が欠けることになる。さまざまな取引にコンピュータが介在することが多くなって、まったく人が介在しないケースに処罰の間隙が生じていたのであった。本条は、このような間隙を埋めるために設けられた規定である。

裁判所が本件に電子計算機使用詐欺罪を適用したその判断に、特に問題があるわけではない。本条の「電磁的記録」は、財産権の得喪・変更に直結するものという限定があるが、銀行のオンラインシステムにおける元帳ファイルなどはその典型例であり、解析した他人の暗証番号を利用して、銀行のコンピュータに虚偽の振込送金情報を入力する行為も、構成要件に該当することに問題がない。ただ、厳密には預金残高を増額させただけでは、現実に「利益を得た」とはいいにくいが、その時点でXは預金を瞬時に他の口座に振り替えることなどが可能となるから、増額された預金については事実上自由に処分することができる状態となっている。これが本罪における不法利得の内容であり、その時点で犯罪は既遂になっている(その後現実にそれが引き落とされたかどうかは、罪の成立に影響を与えない)。このような解釈には無理はなく、異論を唱える者はいないであろう。

セキュリティ対策の本質とは

最近のインターネットバンキングを狙った攻撃による被害は、減少傾向にはあるものの、10億円を超える莫大な被害が報告されている(IPA『情報セキュリティ白書2018』27ページ)。手口も複雑多様化し、インターネットバンキングのIDやパスワード等の情報を盗み取るウイルスへの感染を目的として、不特定多数にメールを送る「ばらまき型メール」や偽のWebサイトへ誘導し、知らずにアカウント情報を入力させる「フィッシング」などの手口が目立っている。情報セキュリティ対策としては、このような外部からのサイバー攻撃にいかに対処するかが当然重大な課題になるが、しかし、甚大な被害を生む可能性のある内部の者による犯行も想定しなければならない。〈A銀行オンライン詐欺事件〉でも、内部の者が犯罪計画において重大な寄与を行っている。外部からの攻撃は、最終的には技術の問題であり、技術力を高めることによって攻撃に対抗することが基本となる。しかし、内部犯行の場合は、技術の問題よりもむしろ規範の問題が中心になる。規範の問題とは心の問題であり、内部不正の誘発要因をいかに減らすのかという問題である。刑罰に犯行の抑止力があると考えるのは危険であって、最終的には、人間関係を含めた、快適な職場環境をいかに作るのかという、最も基本的な労働問題に収斂されるのではないかと思う。

(了)

※本稿は、拙稿「コンピュータ詐欺」(「法学教室」2002年2月号152頁)に大幅に加筆修正したものである。

(「SKYSEA Client View NEWS vol.62」 2018年9月掲載)
情報誌『SKYSEA Client View NEWS』のご紹介
トップページ戻る
ページの先頭へ

SKYSEA Client View は
"企業・団体"のお客様向け商品です

お問い合わせ カタログダウンロード
セミナーのお申し込み

インフォメーションダイヤル 受付 9:30~17:30

・企業名、本社代表番号などをお答えいただけない場合、ご利用いただけません。

・法人以外の方からのお問い合わせには対応いたしかねます。

03-5860-2622 東京

06-4807-6382 大阪

土日祝ならびに弊社の定める休業日を除く平日