第1部 暗号技術に係るセキュリティ上の課題
第1章 暗号技術の不正利用の類型と分析
1 ネットワークに係る犯罪及び不正行為の現状と情報セキュリティ上の課題
1993年3月に11.9%であったパソコンの一般家庭への普及率が1997年3月には22.1%と4年間でほぼ1.9倍となり(図1-1-1)、インターネットに接続されたホストコンピュータ(注1)の台数が1997年1月で73万台と2年前の7.6倍になっている(図1-1-2)ことに示されるように、近年の我が国社会は急速にネットワーク社会化している。この我が国社会の急速なネットワーク社会化に伴い、パソコン通信やインターネットにおける他人のIDやパスワード(注2)、あるいは他人のクレジットカード番号、架空名義や他人名義の銀行口座等を利用したなりすましによる詐欺等の犯罪及び不正行為が急増し、その被害が問題になっている(表1-1-1、図1-1-3、事例集)。
また、ID、パスワードやパスワード盗取用のソフトウェア等がネットワークを介して売買されている等なりすましを行うために都合の良い環境が形成されており(事例集)、もはや専門的知識を有しない者であってもネットワークを利用したなりすましによる犯罪等を容易に行い得る状況となっている。
さらに、インターネット等のオープンネットワークはセキュリティ対策が十分ではないことから、ネットワーク上を流れる情報の漏洩、盗聴、改ざん等による犯罪等の発生のおそれも高く、我が国においても既にこの種の事案が発生しているところである(事例集)。
(注1)ホストコンピュータ
インターネット接続サービス等のサービス提供に利用されるコンピュータ
(注2)他人のID、パスワードの利用によるなりすまし
現状においては、ネットワークの利用権限を有することを証する個人を識別する情報としてID、パスワードが使用されることが多いことから、他人(架空人物)名義のID、パスワードを利用することにより当該他人(架空人物)としてネットワークを利用することが可能となり、ネットワークにおいて当該他人(架空人物)等になりすますことができる。
図1-1-1 パソコンの家庭への普及率の推移
(経済企画庁「消費動向調査」)図1-1-2 インターネットに接続されているホスト数
(日本インターネット協会「インターネット白書'97」)
表1-1-1 近年のネットワーク利用犯罪等の推移(警察庁まとめ)1 コンピュータ犯罪
年別等 種別 | 平成7年 | 平成8年 | 平成9年 |
| 認知(把握) | 検挙 | 認知(把握) | 検挙 | 認知(把握) | 検挙 |
| 電磁的記録不正作出、同供用、詐欺事件 | | | 1 | 1 | 3 | 3 |
| 電子計算機損壊等業務妨害(容疑)事件 | | | 1 | | 1 | 1 |
| 電子計算機使用詐欺事件 | 7 | 7 | 5 | 5 | 13 | 13 |
| 不正作出私電磁的記録供用事件 | | | 1 | 1 | | |
| 業務上横領事件 | | | 2 | 2 | 1 | 1 |
| その他 | 1 | | | | | |
| 計 | 8 | 7 | 10 | 9 | 18 | 18 |
(注1)コンピュータ犯罪とは、コンピュータ・システムの機能を阻害し、又はこれを不正に利用する犯罪(過失を含む。)をいう。
(注2)電磁的公正証書原本不実記録(刑法(明治40年法律第45号)第157条)事件及び不実記録電磁的公正証書原本供用 (刑法第158条)事件を除く。2 ネットワーク利用犯罪
年別等 種別 | 平成7年 | 平成8年 | 平成9年 |
| 認知(把握) | 検挙 | 認知(把握) | 検挙 | 認知(把握) | 検挙 |
| わいせつ物頒布等事件 | 20 | 20 | 57 | 57 | 58 | 58 |
| 詐欺事件 | 1 | 1 | 7 | 7 | 5 | 5 |
| 著作権法違反事件 | 4 | 4 | 10 | 10 | 11 | 11 |
| 薬物販売等事件 | | | 4 | 4 | 2 | 2 |
| 名誉毀損事件 | | | | | 2 | 2 |
| その他 | | | 1 | 1 | 5 | 5 |
| 計 | 25 | 25 | 79 | 79 | 83 | 83 |
(注)ネットワーク利用犯罪とは、コンピュータ・ネットワークをその手段として用いる犯罪でコンピュータ犯罪以外のものをいう。
図1-1-3 <参考>電子商取引関連苦情相談件数の推移
(国民生活センター調べ)
<事例集 なりすましによる犯罪及び情報の漏洩、盗聴、改ざん等の事例>1 ID、パスワード等個人を識別する情報の盗取等の事例
- 口座屋事件
1996年11月に逮捕された東京都の会社員は、クラッキング(注)により入手した神奈川県在住の大学生のデータを利用して、都市銀行の都内の支店に合計7つの口座を開設し、パソコン通信の掲示板で販売していたもの。 - クラッキング情報専門ホームページの出現(参考事例)
クラッキング情報を専門に取り扱うホームページが出現しており、クラッキングのノウハウの紹介やクラッキングソフトの売買が行われている。
(注)クラッキング(cracking)
犯罪・不正行為を目的とするコンピュータ・システム又はデータへの無権限アクセス(access)
2 なりすましによる犯罪 (1) 薬物、わいせつ物等禁制品の売買
- わいせつ図画販売等事件
1997年3月に逮捕された会社員は、パソコン通信を通じて購入した他人のID、パスワード及び銀行口座を利用して、電子掲示板にわいせつビデオテープの販売広告を掲載して購入者を募り、わいせつビデオテープを販売していたもの。
(2) 詐欺等多額の収益を図る不正行為
- 音響楽器販売詐欺事件
1996年11月に逮捕された無職者は、クラッキングソフトを購入し自らクラッキングして入手した他人のID、パスワードを使用し、電子掲示板上に音響楽器の販売広告を掲載、購入を申し込んだ者に対し架空名義の銀行口座に入金を指示し、これを騙取したもの(被害額約1,100万円)。 - パソコン機器販売詐欺事件
1997年3月に逮捕された自営業者は、クラッキングにより入手した他人のID、パスワード及び架空名義で開設した銀行口座を使用し、電子掲示板上にパソコン機器の販売広告を掲載、購入を申し込んだ者に対し架空名義の銀行口座に入金を指示し、これを騙取したもの(被害額約240万円)。
(3) その他の不正行為
- ホームページ改ざんによる業務妨害事件
1997年5月に逮捕された会社員は、プロバイダーから偽名を用いて取得したID、パスワードを使用して自己のパソコンをインターネットに接続し、放送会社の所有・管理するサーバーコンピュータ内のホームページに掲載された天気予報画像のデータファイルを消去してわいせつ画像に置き換え、業務妨害を行ったもの。
3 情報の漏洩、盗聴、改ざん等の事例 (1) 諸外国における事例
- 医療データ改ざんによる殺人事件(オーストラリア)
1995年、オーストラリアにおいて、病院職員が自己の勤務する病院のコンピュータにアクセスし、患者に投与すべき医薬に係るデータを改ざん。事情を知らない看護婦が改ざんされたデータどおりに薬を与えたため、患者が死亡するに至ったもの。 - 空軍コンピュータクラッキング事件(米国)
1997年1月、クロアチアの15歳の少年が、インターネットで入手したコンピュータ侵入プログラムを用いて米空軍基地のコンピュータへの侵入に成功した。 - クレジットカード番号盗取事件(米国)
- 1997年5月、インターネットのプロバイダーのシステムに侵入、少なくと も10万人分のクレジットカードの番号を盗取し、その情報を販売しようとして いたクラッカーが逮捕された。
- 1997年8月、インターネットの買物サイトに入り込み他人のクレジットカ ード番号を盗取の上、それらのクレジットカード番号を悪用してネットワーク上 でコンピュータ機器等を購入した15歳の少年等が逮捕された。
(2) 我が国における事例- データの消去等による業務妨害(容疑)事件
1996年4月、何者かがインターネット通信団体のコンピュータに侵入し、当該団体の会員のパスワード約2,000人分や個人のホームページを含むサービスの提供に必要なデータを消去又は改ざんして同団体のサービスを停止させた。
以上のような犯罪等の発生を防止するためには、ネットワーク上におけるなりすましを防止する「本人確認」及び情報の漏洩、盗聴、改ざん等を防止する「情報の保護」を図ることが重要であり、本格的なネットワーク社会の到来を間近に控え、この「本人確認」及び「情報の保護」を図ることが情報セキュリティ上の喫緊の課題となっている。
2 犯罪等防止のための暗号技術の利用の必要性及びその利用状況
(1) 犯罪等の防止対策における暗号技術の位置付け ネットワーク上の犯罪等を防止するための対策には、技術的対策、技術的対策では必ずしも十分ではない分野に対する制度的対策、技術的対策及び制度的対策では必ずしも十分ではない分野に対する広報啓発(教育)による対策の3分野の対策が考えられるが、同じ分野の対策の中にも更に様々な対策がある(図1-1-4)。
しかしながら、どの対策についても、この対策を一つ行いさえすれば犯罪等の発生を確実に防止できるというものではない。これら3分野の様々な対策について、犯罪等の防止の効果が最大となるように適切に組み合わせて実施すること、すなわち、我が国社会にネットワーク上の又はネットワークを利用した犯罪等を防止するためのセキュリティシステムを形成していくことが重要である。
図1-1-4 犯罪等の防止対策の考え方(交通犯罪等の事例)
ところで、上記の諸対策の関係からも明らかなとおり、犯罪等の防止のためにまず重要であることは技術的対策であり、これがすべての対策を考える上での出発点となるものである。そして、情報セキュリティ上の喫緊の課題である「本人確認」及び「情報の保護」に役立つ技術的対策として重要なものが暗号技術である。(2) 暗号技術の概要 暗号技術とは、メッセージを一定のルールに従って変換することにより、当該ルールを知らない第三者がメッセージの内容を探知することを防ぐための技術である。これは、軍事的な分野において発達してきたことからも明らかなように、そもそもメッセージを秘密裡に伝達する目的で用いられるもの、すなわち「秘匿機能」を有するものであるが、近年、通信の相手方が他人になりすました者ではないことを確認することを可能とする「認証機能」もネットワーク上の本人確認を実現するものとして重要視されるようになっている。
暗号技術は、メッセージを暗号化すること及び復号することをその基本とする。
暗号化とは、メッセージの文字列又はデータ列を暗号化鍵によって別の文字列又はデータ列に変換することをいい、変換前の文字列又はデータ列を「平文(ひらぶん)」、変換後の文字列又はデータ列を「暗号文」という。
それに対し、復号とは暗号文を復号鍵により平文に戻すことをいい、さらに、解読とは、通信当事者以外の第三者が暗号文を平文に戻すことをいう。
そして、暗号化鍵と復号鍵を総称して暗号鍵という。
最も単純な暗号化の方法の一つとして、次の例に示すようなシーザー暗号方式が挙げられる。
図1-1-5 暗号文通信(1)
これは、「けいやくします」という平文を「五十音列の二個先の文字にずらす」
というルールに従って暗号化して得られる「さえゆこせむそ」という暗号文についての例である。
暗号鍵は、暗号アルゴリズム(encryption algorithm)に適用されるパラメータ(parameter)を示すデータであるが、この例においては、暗号アルゴリズムとは「五十音列のX個先(前)の文字にずらす」と言う操作を指し、パラメータXは「2」ということになる。
そして、「五十音列の二個先の文字にずらす」という操作が暗号化鍵による暗号化に、「五十音列の二個前の文字にずらす」という操作が復号鍵による復号にそれぞれ該当することとなる。
暗号鍵を知る受信者においては、暗号文を復号することにより、直ちにメッセージの内容を理解することができるが、それ以外の第三者においては、暗号アルゴリズムとパラメータを入手ないし探知して解読しない限り、メッセージの内容を知ることはできないこととなる。
これが暗号技術の基本原理であるが、現実の暗号技術は、これとは比較にならないほど複雑化、高度化したものとなっている。
図1-1-6 暗号文通信(2) 
(3) 暗号技術の分類 暗号技術には様々なものがあり、その分類方法にも様々なものがあるが、暗号鍵の公開性により分類したものが、共通鍵暗号方式及び公開鍵暗号方式の分類である。以下、この分類に基づき、現在利用されている暗号技術の仕組みや機能等を概観することとする。
ア 共通鍵暗号方式=暗号鍵を非公開とする方式
共通鍵暗号方式とは、暗号化鍵と復号鍵が同じであるため、通信当事者が同じ暗号鍵を所持することとする方式をいう。なお、この報告書においては、共通鍵暗号方式で用いられる暗号鍵を「共通鍵」ということとする。
図1-1-7 共通鍵暗号方式の仕組み
(ア) 特徴
共通鍵暗号方式には、次の特徴がある。- 公開鍵暗号方式(イ参照)に比べ暗号化処理を高速で行うことが可能。
- 暗号鍵を使用する者が送信者及び受信者に限定されていることが必要であるが、暗号鍵の受信者への配信は、暗号鍵の漏洩、盗聴等により第三者に暗号鍵を入手されてしまい、秘匿及び認証が行い得なくなるというリスクを伴う(注)。
- 受信者ごとに異なる暗号鍵が必要であり、通信の相手方が多い場合には多くの暗号鍵が必要。
(注)KPS(Key Pre-distribution System:東京大学生産技術研究所の今井秀樹教授と横 浜国立大学の松本勉助教授により開発された暗号鍵共有方式の理論)を基礎として、暗号鍵の配送を行わずに、通信当事者間で共通鍵暗号方式により暗号化通信を行うことが可能な技術も開発されている。(イ) 秘匿機能及び認証機能
共通鍵暗号方式では、同じ暗号鍵を保有しているのが送信者と受信者だけであることを前提として、送信者が暗号化した暗号文を解読できるのは同じ暗号鍵を保有する受信者のみに限定されることから、暗号鍵を保有しない第三者に対して情報の秘匿を図ることができる。
また、暗号文を受信者が復号できる場合には、当該暗号文を暗号化して送付した者が同じ暗号鍵を保有する送信者であることが確認できる。
イ 公開鍵暗号方式=一組の暗号鍵のうち一方についてのみ公開とする方式 公開鍵暗号方式とは、タイプの異なる二つの鍵が一組の暗号鍵として用いられることを前提として、そのいずれか一方を公開する方式をいう。そして、公開されている鍵を「公開鍵(public key)」、非公開の鍵を「秘密鍵(secret key)」という。以下、この報告書における「秘密鍵」の用語は、この公開鍵暗号方式における秘密鍵の意味で用いることとする。
図1-1-8 公開鍵暗号方式の仕組み
秘密鍵で暗号化した場合にはその対となる公開鍵によってのみ復号が可能であり、公開鍵で暗号化した場合にはその対となる秘密鍵によってのみ復号が可能である。
(ア) 特徴
公開鍵暗号方式には、次の特徴がある。- 暗号化速度は共通鍵暗号方式に比べ低速。
- 相手方への配信が必要となる公開鍵は、公開されており、誰もが入手できることを前提としていることから、配信に際してリスクが存在しない。
- 一組の暗号鍵により不特定多数の相手方との通信が可能。
(イ) 秘匿機能及び認証機能等a 秘匿機能
送信者が受信者に対してメッセージを暗号化して送る際に、受信者の公開鍵を利用してメッセージの暗号化を行う場合には、当該暗号文を復号することができる主体は、唯一秘密鍵を有する受信者に限られることから、情報の秘匿を図ることができる。b 認証機能
送信者が受信者にメッセージを暗号化して送る際に、送信者の秘密鍵を用いて署名(デジタル署名(digital signature)。c参照)を行い、受信者が送信者の公開鍵を用いてその検証を行う場合には、当該デジタル署名を作成することが可能であるのは送信者のみであることから、送信者の本人確認を行うことが可能となる。
c 情報の完全性の確保機能及び事後否認防止機能
デジタル署名は、認証機能のほか、次のとおり、通信当事者間において、情報の完全性の確保機能及び事後否認防止機能を有する。
デジタル署名とは、送信者の送信しようとするメッセージをハッシュ 関数(注)により圧縮したものを送信者の秘密鍵を用いて暗号化したものをいう。
このデジタル署名及びメッセージを受信者の公開鍵で暗号化し、受信者に送った場合、受信者は、デジタル署名及びメッセージを受信者の秘密鍵で復号するとともに、デジタル署名を送信者の公開鍵で復号することにより得られたデータと送信者が使用したものと同じハッシュ関数でメッセージを圧縮して得られたデータとの比較を行う。
このデータが一致した場合には、メッセージが改ざんされていないこと及びメッセージの送信者が確実に受信者がデジタル署名の復号に使用した公開鍵の所有者たる送信者であることが確認されることになる。
(注)ハッシュ関数(hash function)
どのような長さの平文であっても、一定の方法で変換することにより決まった長さのデータに圧縮する関数。逆関数が存在しないので、一旦ハッシュ関数により圧縮して得られた平文のダイジェスト版についてはそれを再び元の平文に戻すことはできないという性質を有するもの。
図1-1-9 デジタル署名の利用による本人認証、事後否認の防止及び情報の完全性の確保
以上の説明のとおり、公開鍵暗号方式の暗号技術は、一組の暗号鍵によりネットワーク上において不特定多数の相手方との通信を行うことが可能であり、暗号鍵の配信の際のリスクも存在しないことから、ネットワーク上の「本人確認」及び「情報の保護」を実現するために有効な暗号技術であると考えられる。また、公開鍵暗号方式を利用したデジタル署名は、「本人確認」に役立つばかりではなく、上記のとおり、情報の完全性確保機能及び事後否認防止機能も有しており、ネットワークを利用した犯罪等の防止のための技術として、大変有用なものと期待されている。
なお、公開鍵暗号方式の暗号技術の利用に当たっては、通信当事者の公開鍵の登録を行い、その公開鍵が確かに登録者のものであることを証明する「認証機関」(第2部第1章3(3)参照)の存在が不可欠と考えられている。表1-1-2 共通鍵暗号方式と公開鍵暗号方式の比較
| 特徴 | 秘匿機能 | 認証機能 |
| 共通鍵暗号方式 | - 受信者ごとに異なる暗号鍵が必要。
- 受信者に対する暗号鍵の配信にリスクが伴う。
- 暗号化速度が高速。
| 送信者及び受信者のみが使用する暗号鍵による情報の暗号化による。 | 送信者及び受信者のみが使用する暗号鍵による情報の暗号化及び複合による。 |
| 公開鍵暗号方式 | - 一組の暗号鍵により複数の者との通信が可能。
- 暗号鍵の配信にリスクが伴わない。
- 暗号化速度が低速。
| 受信者の公開鍵により暗号化することによる。 | 送信者の秘密鍵により署名(デジタル署名)を行い、送信者の公開鍵で検証することによる。 |
ウ 暗号技術を利用した通信の方法 現実に暗号技術を利用して通信を行う場合には、暗号化速度の速い共通鍵暗号方式と暗号鍵の配信リスクの存在しない公開鍵暗号方式がそれぞれの長所をいかす形で組み合わされて暗号技術が利用されている。
具体的には、暗号化速度の速い共通鍵暗号方式の暗号鍵をセッションキー(注)としてメッセージの暗号化を行うとともに、当該セッションキーを配信リスクの存在しない公開鍵暗号方式の受信者の公開鍵で暗号化し、これらを併せて送付する次のような方法により通信が行われている。送信者X:
(1)ハッシュ関数と送信者Xの秘密鍵XSを用いて、送付しようとする平文Mに係るデジタル署名を作成。
(2)デジタル署名及び平文Mを共通鍵であるセッションキーKSにより暗号化。 (3)暗号化に用いたセッションキーを受信者Yの公開鍵YPにより暗号化。
→ (2)及び(3)を送信。受信者Y:
(1)暗号化されたセッションキーKSを自己の秘密鍵YSにより復号。
(2)セッションキーKSを用いて暗号化されたデジタル署名及び平文Mを復号。
(3)デジタル署名を送信者Xの公開鍵XPにより平文Mの圧縮情報に復号。
(4)平文MをXがデジタル署名作成に使用したのと同じハッシュ関数により圧縮。(3)との同一性を確認。
(注)セッションキー(session key)
メッセージを暗号化するため、メッセージの暗号化の都度作成される暗号鍵
(4)暗号技術の利用状況
以上のとおり、暗号技術を利用することにより、面識のない不特定多数の者がネットワークを利用して安全に取引を行うことができるようになることから、現在様々な主体により行われている電子商取引の実証実験等において暗号技術は本人確認及び情報の秘匿に利用されているほか(表1-1-3)、新たな暗号技術の研究開発も進められている。特に、暗号技術を利用する際に、ネットワーク上の本人確認に重要な役割を果たすネットワーク上の身分証明機関ともいうべき認証機関が次々に設立され、現実にサービスが提供され始めている(表1-1-4)。表1-1-3 主要な電子商取引実証実験
| 名称 | Cyber net club | Japan Net
(ジャパンネット) | エレクトリック・マーケット・プレイス | 電子メッセージング協議会電子商取引実験
(ベコニン・キャット) |
| 主催(参加社)(注1) | ユーシーカード(株) (13社) | 三菱商事(株) (約50社(*)) | 日本IBM(株) (17社) | 電子メッセージング協議会(JEMA) (44社) |
| 開始 | 1996年7月 | 1996年11月 | 1997年4月 | 1997年11月 |
| 規模(注1) | モニター | 100,000人 | 30,000人 | 10,000人 | 数千人 |
| 出店 | 100店 | 6店(*) | 5店 | 10店程度 |
| 暗号技術の利用 | ネットワークを介する情報の暗号化 認証機関を設定 | ネットワークを介する情報の暗号化 認証機関を設定 | ネットワークを介する情報の暗号化 認証機関を設定 | ネットワークを介する情報の暗号化 認証機関を設定 |
| その他 | 電子商取引実証推進協議会(ECOM)(注2)実証実験 | ECOM実証実験 | ECOM実証実験 | サイバービジネス協議会(注3)実証実験 |
(注1)規模、参加社については最終予定数を記載。最終予定数が未定のもの(末尾に*が印されるもの)については1997年12月時点の数を記載。
(注2)電子商取引実証推進協議会(ECOM:Electronic Commerce Promotion Council of Japan)
通産省の支援により、1996年1月に設立。251団体・企業(1997年12月現在)が参加。19のプロジェクトを構成。電子商取引の制度的課題や関連する技術の開発についての検討を行うとともに、国内における電子商取引実証実験の支援・調整を行っている。
(注3)サイバービジネス協議会(Cyber Business Association)
郵政省の支援により、1995年7月に設立。114団体・企業(1997年12月現在)が参加。サイバービジネスの早期実現に向けて、各種電子商取引の推進や制度的課題の検討を行うことを目的とし、電子商取引実験・電子マネー実験等を実施し、又は予定している。
表1-1-4 認証機関の設立状況 | スフィンクスセンター | 日本ベリサイン | サイバートラスト | 日本認証サービス(JCS) | Japan Net |
| 設立 | 1995年8月 | 1996年2月 | 1997年4月 | 1997年9月 | 1997年8月 |
| 開始 | 1995年11月 | 1996年6月 | 1997年10月(限定的サービス) | 1997年10月 | 1998年(予定) |
| 特色等 | 国産技術での電子決済支援事業を目指す。KPSを利用。 | 米国ベリサイン社(注1)の子会社 | 米国GTE社(注1)の参加する合弁会社 | 日立、富士通、NECが電子商取引事業に関し全面提携。 | 三菱商事を中心とし実証実験実施中。 |
| 主な実施業務 | *登録のための本人確認は銀行等が実施 | - 公開鍵の登録(本人確認)
- 公開鍵証明証(注2)の発行
- 公開鍵証明証の管理
| - 公開鍵の登録(本人確認)
- 公開鍵証明証の発行
- 公開鍵証明証の管理
| * 公開鍵の登録及び本人確認は銀行等が実施。 |
公開鍵証明証の管理 |
| 出資者等 | アドバンスセコムトーメン 等 | NTTデータ新日本製鐵三菱商事さくら銀行 等 | GTE社BUG社野村総研NTTDoCoMo(合弁) | 日立製作所富士通NEC 等 | 三菱商事三菱電機 |
(注1)米国ベリサイン社、米国GTE社米国の認証機関(注2)公開鍵証明証(public key certificate)公開鍵が登録(本人確認)手続を経て認証機関に登録された者の所有する公開鍵であることを証するデータ (5)暗号技術の普及の促進
以上のとおり、匿名性、無痕跡性等をその特徴とし、犯罪に対する脆弱性を有するネットワーク社会においては、暗号技術の利用により犯罪等の脅威への対応を図ることが可能であり、また必要でもあることから(図1-1-11)、優良な暗号技術が一層普及するよう、暗号技術及びこれを利用した暗号製品の開発及び普及の支援を図る方策を講じていくことが必要である。
ア 優良な暗号技術及び暗号製品の開発支援策
優良な暗号技術及び暗号製品の開発支援策の例としては、次のようなものが考えられる。(ア)犯罪の実態に関する情報の提供
ネットワークに係る犯罪等を効果的に防止する機能を有する暗号製品等を開発するためには、どのような犯罪がどのような手口で発生しているのか等犯罪の実態を把握し、分析することが必要となることから、暗号製品等の開発を行う事業者に対し、ネットワークに係る犯罪の実態に関する情報の提供を行う。
(イ)暗号製品等の満たすべき水準に係る基準の設定
暗号製品等がネットワークに係る犯罪等の防止の観点から満たすべき水準について、基準の設定を行う。この基準の設定に当たっては、情報通信技術の進歩及びこれに伴う犯罪実態の変化が急速であることを踏まえ、技術的進歩等に耐え得る基準の設定の仕方を検討する必要がある。
(ウ)財政上・税制上の優遇措置
優良な暗号製品等の開発に要する費用に関する資金援助、暗号製品等の開発に利用される機器についての課税の減免等財政上、税制上の措置を行う。 イ 優良な暗号技術及び暗号製品の普及支援策
優良な暗号技術及び暗号製品の普及支援策の例としては、次のようなものが 考えられる。 (ア)暗号製品等に係る評価及び情報提供 暗号製品等についてその強度(注)等安全性に対する評価を行うとともに、事業者及び利用者に対し、評価についての情報提供を行う。この評価については、情報通信技術の進歩及びこれに伴う犯罪実態の変化が急速であることを踏まえ、評価と現実の安全性がかい離しないよう、その見直しを行う期間について配意するとともに、変更を利用者等に知らしめるため、ネットワーク等を利用して常時公表を行うことが望ましい。
(注)暗号の強度
解読の困難さ。暗号のアルゴリズム、鍵長等により決まる。鍵長による場合には、鍵長を示すビットを用いて示され、一般的にビット数が高いほど強度が高いとされる。
(イ)事業者及び利用者に対する広報啓発
ネットワークに係るサービスの提供を行う事業者及びサービスの提供を受ける利用者に対し、ネットワークに係る犯罪の発生状況及びその被害の防止のためには優良な暗号製品等を利用する必要があることについて広報啓発を行う。図1-1-11 ネットワーク社会における暗号技術の利用の必要性
3 暗号技術の不正利用のおそれとその類型 2において既に述べたとおり、暗号技術は、その秘匿機能、認証機能等によりネットワーク上の又はネットワークを利用した犯罪等を防止するために大変有効な技術であり、暗号技術を利用することによってこれらの犯罪等を防止していくことが必要であると考えられる。
しかしながら、我が国の現状においては、暗号技術の利用について何らの制限はないことから、犯罪者あるいはネットワーク社会の脆弱性につけ込み犯罪を行おうとする者が犯罪等のために暗号技術を利用することも可能であり、暗号技術の普及に伴い、このような暗号技術の不正利用の発生が懸念される。
そして、現実社会における犯罪の発生状況及びネットワーク上の又はネットワークを利用した関連事案の発生状況にかんがみると、犯罪者等により次のような暗号技術の不正利用が行われるおそれがある。
なお、暗号技術の不正利用については、その不正利用の形態から「暗号鍵の不正利用」と「暗号の不正利用」の二つの類型に分けることとし、それぞれの類型ごとに不正利用の形態を示すこととする。
(1) 暗号鍵の不正利用
他人の暗号鍵の利用による情報の不正入手、他人(架空人物)名義の公開鍵の認証機関への登録によるなりすまし等他人(架空人物)の暗号鍵を使用することによる暗号技術の不正利用の類型がある。自分の暗号鍵を自らのものとして正当に使用するものでないことから、この類型を「暗号鍵の不正利用」とする。
この暗号鍵の不正利用としては、次のようなことが考えられる。ア 情報の不正入手及び改ざん
一般的には、暗号技術を利用することにより、情報の漏洩、盗聴及び改ざんを防止することができるが、例えば次の場合には、暗号技術が利用されている場合であっても、情報の不正入手及び改ざんが可能となる。- 他人が情報の秘匿のために利用している暗号鍵を不正に入手し、当該暗号鍵を利用して当該他人の暗号文を解読し、又は改ざんすること。
図1-1-12 他人の暗号鍵の不正入手による情報の不正入手等 
- 公開鍵を他人(架空人物)名義で認証機関へ登録し、当該公開鍵を当該他人(架空人物)のものとしてネットワーク上で流通させることにより、当該他人(架空人物)になりすまし、情報等を不正入手すること。
例)Xは、有名百貨店Aの名義で公開鍵の登録を行い百貨店Aになりすましてオンラインショッピングのホームページを開設、商品の購入はクレジットカード決済によるものとし、商品の購入を希望する者に対しクレジットカード番号を百貨店AになりすましたXに送付させることによって、他人のクレジットカード番号を不正に入手することができる。(図1-1-13)
図1-1-13 他人名義での公開鍵の登録による情報の不正入手
既に、クレジットカード番号等の個人を識別する情報を不正に入手し、これを基に偽造したカードを使用した詐欺等の犯罪やパスワードファイル等の情報の不正入手を目的としたと見られる不正なアクセスが発生しており、暗号技術が普及した場合には、入手権限のない暗号化された情報に関しても、暗号鍵の盗取等により不正入手が行われるおそれがある。イ なりすまし
現在、ネットワーク上における他人のID、パスワードの盗取や他人(架空人物)名義のID、パスワードの取得によるなりすましが発生しているところであり(第1章1の事例集(p.12)参照)、なりすましを防止するために暗号技術の認証機能の利用が必要とされていることはこれまでにも述べてきたところであるが、例えば次の場合には暗号鍵の不正利用によるなりすましが可能となる。
図1-1-14 他人の秘密鍵を使用したデジタル署名の偽造によるなりすまし
- 他人(架空人物)名義での公開鍵(注)の認証機関への登録等により他人 (架空人物)名義の公開鍵をネットワーク上で流通させること(第2部第1章3参照)。等
図1-1-15 他人名義での公開鍵の登録によるなりすまし
(注)署名鍵と検証鍵
公開鍵暗号方式の暗号技術を認証目的で利用する場合には、秘密鍵は署名鍵と、公開鍵は検証鍵とそれぞれ称されているが、この報告書においては、このような場合にも、「公開鍵」「秘密鍵」の用語を用いることとする。
また、この場合に、なりすましにより様々な犯罪等を真の行為者を察知されることなく行うことが可能となることは、ID、パスワード等を用いたなりすましの場合と同様である。
既に、第1章1に掲げた事例集の事例にみられるように、他人のID、パスワードを不正に用いたなりすましによる禁制品の販売、業務妨害及び詐欺が行われているほか、次のような犯罪や不正行為について関連を有する事案がネットワーク上において発生しており、暗号技術を用いた認証システムが普及した場合には、暗号鍵の不正利用によるなりすましによりこれらの犯罪を始めとする様々な犯罪等が行われるおそれがある。
(ア)賭博
1996年の賭博の検挙件数は588件、検挙人員は4,100人となっているが、米国や豪州においては既にホームページを通じてギャンブルに参加、決済はクレジットカードで行う等のオンラインギャンブルサービスの提供が急増しており、我が国からも、容易に賭博に参加することができる環境が形成されている。
(イ)脅迫・恐喝
1996年の恐喝の検挙件数は7,092件、検挙人員は9,054人、被害総額は約25億3,787万円となっているが、英国においてクラッキングにより銀行のデータを改ざん、「改ざん箇所等を知りたければ現金を払え。」という要求を行った事例があるほか、我が国でも既に「ブラックリストに載せられたくなければ銀行口座に金を振り込め。」という内容の電子メールが送りつけられる事案が発生している。
(ウ)名誉毀損・侮辱
ネットワーク上ではその匿名性を奇貨として誹謗、中傷が行われやすく、ホームページ内の伝言板に、特定の女性の実名、電話番号及びこの女性が男性を性的に誘っているかのような内容の文章を記録し、これを不特定多数の者に閲覧させ、名誉を毀損する事案等が発生している。
なお、1997年5月、パソコン通信上での発言について、名誉毀損を理由とする損害賠償請求が東京地方裁判所の判決で認められている。
(エ)債務の免脱
自己が使っていない通信等に関する課金がなされており、「自己のID、パスワードが盗取され、悪用されているのではないか。」という旨の相談がプロバイダーや警察に多数寄せられており、暗号鍵がネットワークへのアクセス権限を証する個人を識別する情報として利用されるようになった場合には、他人の暗号鍵を不正に利用した、ネットワークの利用に係る債務の免脱が行われるおそれがある。
ウ 暗号鍵の改ざん及び消去
暗号鍵はネットワークにおける本人確認及び情報の保護のために必要不可欠なものであり、暗号鍵が改ざん又は消去された場合には、当該暗号鍵を使用する者のネットワーク上の又はネットワークを利用した活動が阻害されることとなる。特に、暗号技術を用いる事業者がその事業のために使用している暗号鍵が改ざん又は消去された場合には、その事業者は業務を適正に行うことができなくなり、多くの利用者に対し様々な形で影響が生ずることとなる。
関連事案として、第1章1の事例集(p.12)にあるとおり、インターネット通信団体の会員のパスワード約2,000人分や個人のホームぺージなどのデータが消去され、同団体へのアクセスが一時中断し、業務を妨害されるという事案が発生している。
(2) 暗号の不正利用
犯罪の指示、謀議や禁制品取引に関する情報等犯罪関連情報を自己の暗号鍵を用いて秘匿する暗号技術の不正利用は、(1)に示した暗号鍵の不正利用とは異なり、自らの暗号鍵を利用するという点において暗号技術の利用は適正なものでありながら、その利用の目的が不正である類型である。
暗号技術の不正目的での利用であることから「暗号の不正利用」とする。
犯罪関連情報がその通信や保存に当たって暗号化される場合には、犯罪関連情報を捜査機関に察知されることなく、次の行為を始めとする様々な犯罪等を行うことが可能となることから、これらの犯罪等が行われるおそれがある。
ア 犯罪の指示、謀議等の秘匿
1996年の刑法犯(交通犯罪の業務上過失致死傷等を除く。)検挙件数中、単独犯によるもの以外の検挙件数は111,634件に上っているが、オウム真理教関連事件において犯罪に係るデータが暗号化された上で保管されるなど、既に犯罪に係るデータの暗号化の事例が見られ、暗号技術が普及した場合には、共犯者間の犯罪の指示、謀議等がその内容を暗号化した上で行われ、また、犯罪の指示、謀議等犯罪に関連する情報が暗号化して保存されるおそれがある。イ 禁制品取引交渉の秘匿
1996年における銃砲の押収量は1,811丁、覚せい剤の押収量は650.8kg、検挙件数及び検挙人員はそれぞれ1,018件、1,033人、26,624件、19,420人に上っているが、ネットワークを利用して大麻、向精神剤、わいせつ物の取引交渉が行われる事案が発生しており、暗号技術が普及した場合には、これらの取引に係る情報の通信及び保存が暗号化して行われるおそれがある。
ウ 脱税、マネー・ロンダリング(注)
平成8年度の脱税総額は447億円(国税庁「平成8年度査察実績」)に上っており、暗号化により取引の記録等の隠匿が容易になった場合には、資金の流れを追跡することが困難になり、これらの犯罪等が多発するおそれがある。
(注)マネー・ロンダリング(資金洗浄)
違法な起源を偽装する目的で犯罪収益を処理すること。
表1-1-5 暗号技術の不正利用の類型 | 類型 | 形態 | 具体例 |
| 暗号鍵の不正利用 | 使用権限のない他人の暗号鍵の利用 | - 他人の暗号鍵を利用した、解読権限のない当該他人の暗号文の解読
- 認証機関への他人(架空人物)名義による公開鍵の登録による不真正な公開鍵の流通
- 他人(架空人物)の秘密鍵を利用したデジタル署名の偽造
- 他人(架空人物)名義による公開鍵の認証機関への登録による不真正な公開鍵の流通
|
| 暗号の不正利用 | 自己の暗号鍵の不正目的のための利用 | - 犯罪の指示、謀議等の秘匿
- 禁制品取引交渉の秘匿
- 脱税
- マネー・ロンダリング
|
次へ(第1部第2章)戻る(序章)
目次へ
警察庁ホームページへ