改竄

改竄(かいざん、: falsification, faking, alteration)は、文書、記録等の全部又は一部が、本来なされるべきでない時期に、本来なされるべきでない形式や内容などに変更されること、すること、をいう。故意の場合も過失の場合もともに含み、悪意の有無を問わない。

概説

[編集]

改竄という概念は、悪意がない場合も含んでおり、たとえばその変更が不適切であるか否かが厳密に定義できる分野では、悪意がなくても誤解や知識不足によって不適切な変更を行った場合や、パソコンの誤操作等の事故による意図的でない変更は「改竄」にあたる(#悪意の有無に関わらない改竄の例)。

改竄は、様々な動機で行われている。例えば、不当な利益を得るため、違法な行為を隠蔽するため、他人を陥れるため 等々等々である。

文書改竄の罪と罰

[編集]

文書を改竄する行為を防ぎ、それを行った者を罰するために、日本の法律では文書偽造の罪が定められている。 公文書の改竄に関しては公文書偽造罪があり、私文書に関しては私文書偽造罪がある。

一般の用語では改竄と呼ばれていることを、法律の領域では様々な用語を用いて細分化し分類している。改竄の中でも、真正に成立した文書に変更を加えることは「変造」という用語を用いる。その中で、権限のない者が真正文書を改変すること「有形変造」といい、 権限のある者が真正文書を改変することを「無形変造」という。

国ごとに罰則は異なる。日本では文書偽造のを犯した者に対するは以下のように定められている。

公文書偽造罪に関する罰則は以下のように定められている。
私文書偽造罪に関する罰則は以下のように定められている。
  • 有印私文書の場合、3月以上5年以下の懲役(刑法159条1項)
  • 無印私文書の場合、1年以下の懲役または10万円以下の罰金(刑法159条3項)

企業における改竄

[編集]

企業では経理の帳簿や、財務諸表などが改竄されることがある。 例えば以下のような改竄が行われることがある。

  • 帳簿上の利益を実際よりも大きく見せることで、業績が良好であるように見せることがある。いわゆる粉飾決算の一種である。株式公開をしている会社(公開企業)では、実際の利益額が小さい場合に、それを公表すると株価が下落したり、増資(新規株式発行や銀行からの融資等々)が困難になる場合があり、そうした犯罪行為が行われることがある。
  • 帳簿上の利益を実際より少なく見せる、ということが行われることがある。税金を支払う額を小さくすること(脱税)などの目的で行われる。
  • 帳簿を2つ作成し、本当の情報を記した帳簿は隠し、改竄した情報を記した帳簿をあたかも正規の帳簿のように保有したり(二重帳簿)、会計士などによる検査の時に提示する、ということが行われることがある。
  • 横領や資金流用等の不正の記録を残さない、一旦記録したものを消してしまう。

また企業では労働基準法に違反する状態(サービス残業や労働時間超過など)で従業員を働かせている場合に、出勤記録の改竄が行われることもある。労働基準局の調査が入った場合に隠蔽するためなどである。

国家・政府組織・公務員などによる改竄

[編集]

国家や政府組織によって各種文書、報道、報道原稿、証拠資料 等々が改竄されることがある。

例えば(旧)ソ連において、組織的・日常的に文書改竄が行われていたことが知られており、例えばある人物が失脚した場合や粛清された場合などに、その人物が有力であったことを示す痕跡を抹消するために、図書館の蔵書から各地の展示館等の展示に至るまでありとあらゆる資料に対し、写真の加工、文章の削除、書換などの改竄が即座に行われていた。これ以外にも、時の政策と矛盾するような不都合な記述の改竄が日々行われていた。

また第二次世界大戦の時代、日本は軍国主義に陥っており、軍部の中枢である大本営が常習的に情報を改竄して報道でニュースとして流し、国民を騙していた[1]。実際には日本軍は、連合国の戦艦4隻と空母11隻しか沈めなかったのだが、大本営の公式発表の合計数では、あたかも日本軍が連合軍の戦艦を43隻、空母を84隻も沈めたかのように捏造して放送で流した[1]。(大本営発表

全体主義国家や、共産主義国家、独裁国家などでは、資料改竄が大々的に行われることがある。たとえば、朝鮮民主主義人民共和国は、非常に厳しい情報統制を敷き、過去の政策や指導者の出自などを示す資料の改竄・捏造・廃棄が常習的に行われている。

日本では、大阪地検が2010年に大阪地検特捜部主任検事証拠改ざん事件を起こした。

科学者による改竄

[編集]

自然科学者が改竄を行うことがある。

科学における改ざんとは、研究活動においてデータ・研究方法・材料、研究過程、研究結果、文献等を意図的に改変することであり、そしてそれを学術出版・論文・書籍・申請書・履歴書・レポート等で 発表・申請・提出・口頭発表する行為である。

なお、実験で得られたデータをありのままに記録せず 改竄して記録することは、明らかに科学における不正行為の一種である。

なお、不正を行ったと疑われる者と同一の大学に属する者たちが調査を行う場合(つまり、純粋な「第三者」でなく、当事者の一端が「調査」を担当する場合)は、最初から「(自分にとって都合のよい)結論ありき」で「不正はなかった」と発表してごまかしてしまうことが続いている。例えば、2020年には研究者の所属する学術機関に不正の告発がなされ、予備調査委員会により「論文の結論には影響しない軽微なものであるため不正はなかった」「掲載済みの論文に対する不正の疑いに関する調査は、当機構ではなく掲載した学術誌が責任をもって行うべき」といった解釈・回答がなされた事例もある[2]

ITと改竄

[編集]

Webサイトの改竄

[編集]
クラッカーによるウェブサイトの改竄

クラッカークラッキングを行うことでWorld Wide Web上のウェブサイトを改竄することがある。これは、ある種のユーモアを持った愉快犯が行っている場合、また単にそのウェブサイトの内容(コンテンツ)が気に入らなかった等の怨恨による場合、あるいは政治的な事柄を主張するために行われる場合などがある。政府のページが書き換えられた例もある。

日本においては、電子計算機損壊等業務妨害罪などに該当する行為である。こうした行為を防止するために不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)が制定された。

しかしCGI等の中には、ある種の利便性のために通常想定される強度の認証機構をすり抜けるための仕組みを内包するものがある。それらが結果的にトロイの木馬として働いたり、そもそもウェブサイトを提供しているサーバの設定が誤っていたりしたことで改竄を許した場合には、通常想定される強度の認証機構がそもそも掛けられていないのだから認証機構迂回と認められないことで「不正アクセス禁止法違反ではない」と解釈されることがある[要出典]

ウェブサイトの改竄の手口

第三者が管理するウェブサイト等のコンピュータ内情報の改竄を行うためには、それらの情報へのアクセスに必要な管理権限を奪う必要がある。その手法は次の2つに大別される。

  • 管理権限を持つID、パスワードを奪取する方法
  • 管理権限を取得するための認証機構を回避し、何らかの手段で改竄する方法

前者には、辞書攻撃総当たり攻撃など「管理者のIDとパスワードを探るために考えられる組み合わせを片っ端から試す」手法や、フィッシングや電話等で管理者を騙して聞き出したり、特定のパスワードに変更させるよう仕向ける、管理者の作業環境を調べてそこからパスワード等のヒントを炙り出す、といったソーシャル・エンジニアリングと呼ばれる手法がある。

後者には、バッファオーバーランSQLインジェクションなど、コンピュータ上で動くプログラムセキュリティホールを利用する方法や、トロイの木馬等を送り付け、これを足掛かりに攻撃・改竄する手法がある。

事例

ウィキペディアにおける改竄

[編集]

オンライン百科事典ウィキペディアにおいても、企業政治組織などまたはその支援者が自分たちに都合の悪い記述を意図的に歪曲、削除するなどの改竄が行われていることが知られている。日本のウィキペディアでは、特に司法関連の記事においてその傾向が顕著である[要出典]

ウィキペディアではログインせずに記事内容を編集すると、発信元のIPアドレスが編集履歴に記録される仕様であり、以前より一部の記事で散発的に、特定組織からの編集をうかがわせる事例がネットユーザーの間で話題に上がっていた。WikiScannerと言うツールの登場により、ウィキペディア全体を包括的に効率良く調査できるようになり、数々の改竄疑惑が浮上してきている。

電子署名の改竄

[編集]

電子的文書では、改竄されることを防ぐために電子署名やデジタル署名と呼ばれる仕組みを用いることがある。電子署名が施された電子的文書は、改竄された場合にその事実が判るようになっている。

また電子署名に関わる議論の際には、一般的な改竄の他にも電子メールで差出人を偽る等のなりすましも含めて改竄と呼ばれることがある。

改竄の検出

[編集]

情報通信における誤り検出訂正の技術を応用し、改竄を検知する手法が普及している。

あらかじめ、完全なデータに対して、ハッシュ関数等によりハッシュ値を算出し、別途記録しておく。検証する場合は、改めて同じ方法でハッシュ値を算出し、一致することを確認すれば良い。ハッシュ値の衝突によって、改竄を検知できない可能性はあるが、その場合は、データサイズが不一致となる可能性が高い。ハッシュ関数の設計とデータの大きさにもよるが、一般的な文書程度のデータ量であれば、ハッシュ値とデータのサイズが同じで、かつ意味を成すデータを作成することは不可能であり、確実に改竄を検出することができる。

悪意の有無に関わらない改竄の例

[編集]

文書が、適切な変更手続きを経ずに意図的にもしくは意図せずに変更を受けてしまうような例、生成された記録が、事後的に内容を書き換えられてしまう例、などがある。

品質マニュアルの改竄

変更権限者が、品質マニュアルのデータを、意図せぬ処理により内容を変更しもしくは一部を廃棄・破損したりするケース。電磁的に記録されたものであっても、変更が容易なドキュメントの場合は、キーボードの誤操作によって改竄されてしまうこともありうる。これも改竄の一種である。

こうした意図せぬ改竄を防止するために、品質マニュアルなどの品質文書や記録などを電子データで保存する場合には、pdfファイルとして作成し変更できないよう保護し作成者や承認者(制定者)の電子署名をつける等の手順を設けるなど、電子データによる保存方法の規定などを設け、改竄を防止することが要求される。また、アウトプットとして作成された記録は、作成後の改訂は改竄に当たるので行うことができない。

例えば、ISOにおける各種マニュアルやこれに基づく記録類の改竄、医療機関等における各種手順書や記録類(電子カルテを含む)の改竄などが挙げられる。こうした改竄を防止するために、厚生労働省では、e-文書法に関連して、省令の形で「医薬品等の承認又は許可に係る申請に関する電磁的記録・電子署名利用のための指針」を出している。

防止法

近年では、こうした改竄防止のために、e-文書法などに基づいて文書保存をしたり、電磁的に保存された文書や記録に電子署名を付したりする方法が使用されることもある。

脚注

[編集]
  1. ^ a b 『大本営発表: 改竄・隠蔽・捏造の太平洋戦争』辻田真佐憲著、幻冬舎、2016
  2. ^ 「チバニアン」GSSP申請論文における特定不正行為の告発と、その後の研究機関の回答について”. 古関東深海盆ジオパーク推進協議会. 2021年3月19日閲覧。

関連項目

[編集]

外部リンク

[編集]