コンピュータ詐欺および虐待法とは何ですか？

コンピュータ詐欺および虐待法（CFAA）は、長年にわたって修正されてきましたが、30年以上にわたって存在しています。これは、サイバー犯罪を防止するための最も重要な米国の法律であり、全国のさまざまなケースで使用されています。.

この法律は、主にコンピューターにアクセスして情報を盗むハッカーを標的にすることを目的としています. ただし、他の状況で使用されています。これは非常に物議を醸す法律であり、解釈を受け入れられ、不公正な罰則を課せられていることについて精査されています。.

この投稿では、CFAA、その用途、および実装の問題について説明します。また、サイバー犯罪者を起訴するために法律が使用された実際のケースの例も提供します.

コンピュータ詐欺および虐待法の起源

CFAAの要点は 認証なしでコンピューターにアクセスすることを禁止します, または許可を超えています。誰かのアカウントへのハッキングなどの明らかな状況は別として、サービス拒否攻撃やマルウェアの配布など、特定のコンピューター関連の行為も犯罪にします.

コンピュータ犯罪に対処するために施行された最初の実際の法律は、1984年の包括的犯罪防止法のセクション1030でした。この法律は、映画WarGamesおよびその他の誇大広告と当時のコンピュータ関連犯罪に関する懸念に反応してもたらされたと伝えられています映画では、若い男性が誤ってアメリカ軍のスーパーコンピューターにアクセスして第三次世界大戦を開始します。その報告書では、下院委員会はこれを「パソコンの自動ダイヤルおよびアクセス機能の現実的な表現」とみなしました。

その種の最初の, 元の法律は範囲が狭かった, また、当時のコンピューターの限られた使用のみに対応していたため、後で修正する必要がありました。米国コンピューター詐欺および虐待法（CFAA）は、1986年に元のセクション1030の修正として実装されました。実装以来、CFAAは何度も修正されましたが、依然として多くの問題があり、多くの批判を受けています。.

CFAAの問題

CFAAは長年にわたって多くの精査を受けてきましたが、その理由の1つは非常に曖昧であり、加害者が直面するほぼ無制限の罰則もあるためです。.

あいまいな言葉

主な問題は、法律で使用されている言語にあります。 s幅広い解釈の対象. 「許可なし」または「許可されたアクセスの超過」によるコンピューターへのアクセスを禁止しますが、「許可」とは何であるかを定義しません.

さらに、法律は「保護されたコンピューター」を規定します。「保護されたコンピューター」は、「州間または外国の商取引で使用または影響を与えるコンピューター、および連邦政府および金融機関で使用されるコンピューター」として説明されます。解釈.

さらに、Webページの読み込みから極秘ドキュメントへのアクセスに至るまで、「情報の取得」についても説明しています。.

弁護人のトーア・エケランドによると、「それは、書面が不十分な法律であり、禁止しようとする主なものを効果的に定義していない。その定義を取り巻く曖昧さがあり、検察官がインフォセクのコミュニティのコンピューターの人々に衝撃を与える理論の下で起訴することができます。.

日常活動を犯罪化する

解釈が非常に開かれているため、私たちの誰もが日常的に法律を破る可能性があります。たとえば、職場でFacebookを使用すること（会社のポリシーに反する場合）がCFAAに違反するかどうかが議論されています。年齢制限のあるウェブサイトであなたの年齢について嘘をついていても、罰せられる犯罪とみなされる可能性があります。実際、オンラインの利用規約に反する行為はすべて違反と見なされる可能性があります。これは、法律の下では、理論的には罰金に直面し、これらの犯罪とされる刑務所に留まることができることを意味します.

別に 日常の行動を犯罪化する 一般の人々にとって、法律は多くの人々が仕事をすることを難しくしています。たとえば、セキュリティの研究者は、パスワードの強度をテストし、セキュリティの欠陥を調査するためにCFAAの下で請求されるリスクを負う可能性があります.

重い罰則

CFAA違反は重罪とみなされ、罰金と最高10年の禁固刑が科せられます。しかし、たとえば、ウェブサイトの利用規約に違反して何度もアクセスするとします。これは、法律の複数の違反とみなすことができ、それぞれに個別の最大期間が設定されています。ありそうもないように聞こえますが、検察官がこれを使用して、法律に違反した人々に対して大きな罰則を要求する場合があります.

アーロンの法則

CFAAに関係する最も顕著なケースの1つは、著名なコンピュータープログラマー、起業家、ハクティビストであるアーロンスワーツのケースです。彼は2011年にCFAAおよびその他の法律に基づいて起訴されました。彼の犯罪？ MITクローゼットに隠されたコンピューターを使用して、JSTOR（学術データベース）からジャーナル記事を一括ダウンロードします。彼は、35年の懲役刑と多額の罰金に直面しました。残念ながら、彼は司法取引に到達しようとして2013年に自殺で亡くなりました.

アーロン・シュワルツ（出典：ウィキメディア）

このケースは、 一見非常に不公平な潜在的ペナルティ. 加えて、彼がダウンロードしたほぼ500万件の記事で彼が何をしようとしていたのか、正確には不明のままです。意図が何であれ、事件の批評家は、犯罪がペナルティに適合しなかったと主張します.

彼の訴訟の結果、アーロンの法則はCFAA、特に利用規約違反に関連するセクションを修正するよう提案されました。ただし、修正案には多くの支持者がいるにもかかわらず、何度か停滞しており、実際には合格していません.

CFAAに関連するその他の事例

前述のように、この法律は多くの場合、サイバー犯罪者を起訴するために使用されています。以下に例をいくつか示します。

• モリスワーム： インターネットに接続されたコンピューターに大混乱をもたらした最初の既知のワームは、「好奇心の強い」大学院生であるロバートモリスによって開発されたモリスワームでした。彼はCFAAの下で有罪判決を受けた最初の人々の一人でした。彼は重罪で起訴されたが、刑務所の刑を免れた.
• TJXハッカー： アルバート・ゴンザレスはそれほど幸運ではなく、2010年に20年の刑を宣告されました。彼の意図ははるかに悪意があることが判明しましたTJXを含む小売業者.
• ロイターのジャーナリスト： Matthew Keysは、CFAAで有罪判決を受けた後、2016年に2年の刑を言い渡されました。彼は信任状を共有したと非難され、LA TimesのWebサイトで別のパーティーが見出しを汚しました。これにより、親会社であるTribune Mediaに金銭的損失が生じました。彼の判決は2年でしたが、彼が直面した最長期間は25年でした。この最長期間は、法律に関する主要な問題の1つを強調しています.
• 偽のMyspaceアカウント： ロリ・ドリューは、10代の娘の敵の1人をサイバーいじめた後、CFAAで有罪判決を受けました。いじめられた少女は、ドリューが偽のMyspaceアカウントを使用して彼女に連絡した後、自殺しました。これは会社の利用規約に違反したため、検察官はCFAAに基づいて起訴することができました。有罪判決は最終的には無効になりましたが、それはどのように解釈に開かれているかを示しています.

ご覧のように、これは不名誉な法律ではありません。検察官が望むように解釈することで、反対側の誰にとっても大きな問題を引き起こす可能性があります.

こちらもご覧ください：
サイバー犯罪統計

画像クレジット：“ブログ」CC BY 2.0でライセンスされています