DDoS攻擊──透過受害人網站誤用受害人電腦的網絡罪行
引言
在 HKSAR v Chu Tsun Wai [2019] HKCFA 3 一案中,一名網絡攻擊者透過受害人的網站誤用受害人的電腦,最近被終審法院裁定損壞他人財產罪名成立,並闡述其定罪的依據。
背景
2014 年 10 月 12 日,朱峻瑋(「上訴人」)參與以上海商業銀行(「該銀行」)網站為目標的分散式阻斷服務(「 DDoS 」)攻擊。上訴人被控違反《刑事罪行條例》第 60(1) 條的刑事罪行,即在無合法辯解的情況下損壞屬於他人的財產,意圖損壞該財產或罔顧該財產是否會被損壞。
甚麼是DDoS?
DDoS 屬於網絡攻擊的一種。一般來說,當電腦用戶輸入網址要求造訪某網站後,其電腦會向有關網站伺服器(即支援該網站的電腦)發送讀取該網站頁面的請求。倘若伺服器運作正常,該網站將應請求傳輸頁面。當用戶的電腦屏幕出現有關頁面後,用戶便可點擊想要存取的服務(例如操作銀行帳戶),然後用戶的電腦便會發送有關請求,如此類推。網站伺服器在任何時刻處理頁面請求的能力(即「頻寬」)是有限的。DDoS 攻擊就是指多部電腦有組織地幾乎同時向某一網站伺服器發送請求,藉此消耗伺服器的頻寬,從而令其他人無法透過該網站辦理日常正當事務,繼而可能導致伺服器系統超載癱瘓。
在本案中,該銀行的伺服器在一小時內收到 504,592 個請求,當中 6,652 個請求是由上訴人的電腦在 16 秒内發出(「請求」)。由於該銀行的伺服器擁有足夠能力處理請求,該伺服器的運作並未遭受影響,因此該次DDoS攻擊並不成功。
終審法院需審理的主要爭議
《刑事罪行條例》第 59(1A) 條列明,「損壞財產」就電腦而言包括「誤用電腦」。同一條文訂明了「誤用電腦」的定義:
- 導致電腦並非如其擁有人或其擁有人代表對其所設定的運作方式運作,即使如此誤用不會令該電腦的操作、該電腦內的程式或該電腦內的資料的可靠性減損亦然(「(a) 段」);
- 更改或刪抹電腦內或電腦儲存媒體內的程式或資料;
- 在電腦或電腦儲存媒體所收納的內容上增加程式或資料(「(c) 段」)。
- 在裁判法院進行審訊時,上訴人被裁斷為向該銀行網站發動DDoS攻擊的電腦的使用者,以及上訴人是蓄意參與攻擊的。裁判官認為上訴人誤用了該銀行的電腦,因此裁定上訴人罪名成立。上訴人就定罪上訴,被原訟法庭駁回,案件最終上訴至終審法院。終審法院需審理的主要爭議在於上訴人是否有導致該銀行的電腦如 (a) 段所指「並非如其擁有人或其擁有人代表對其所設定的運作方式運作」。
終審法院的裁決
終審法院一致駁回上訴,並維持上訴人的定罪。
終審法院認為,「誤用電腦」的定罪元素並不要求取用屬未經授權,並適用於當電腦透過網站連接外界。任何人透過網站取用他人的電腦,使有關電腦「並非如其擁有人或其擁有人代表對其所設定的運作方式運作」,即屬干犯《刑事罪行條例》第60(1A) 條下的罪行。因此,問題的關鍵在於如何描述擁有人對其電腦所設定的運作方式。
上訴人認為,該銀行的電腦已按照該銀行設定的方式運作,因為它已按照程式回應請求。然而,終審法院不接納該論點,並認為電腦只可以按照人類設定的程式運作,而法例條文所關注的是電腦擁有人設定電腦去處理甚麼事情。換言之,電腦被設定的運作方式所指的並非它如何操作(或未能操作),而是其擁有人擬定該電腦去處理甚麼事情。該銀行的網站及伺服器旨在提供銀行服務,而非用來處理旨在對該銀行及其客戶帶來不便以及使攻擊者獲得公眾關注的大量請求。因此,終審法院認為將該次DDoS 攻擊形容為誤用該銀行的電腦並無不妥,故裁定上訴人導致該銀行的電腦並非如該銀行對其所設定的運作方式運作。
另一方面,裁判官在裁定上訴人罪名成立時,在判決書內提到,上訴人在該銀行的電腦的内增加資料,屬於 (c) 段所指的行為。上訴人向終審法院指出,控方在原審時只倚賴了 (a) 段為檢控基礎,因此上訴人並沒有提出與 (c) 段相關的證據。終審法院雖同意基於 (c) 段作出定罪對上訴人並不公允,但仍然駁回上訴,因為裁判官錯誤地倚賴 (c) 段這一點是無關重要的。
總結
終審法院在本案中闡明了網站攻擊可被視為「誤用電腦」、從而構成《刑事罪行條例》第 60(1A) 條下的「損壞財產」的法律依據,並特別指出,擁有人使用電腦的本意是判斷電腦有否被誤用的重要因素。
如有查詢,請聯絡我們的訴訟及調解爭議部門:
W: www.onc.hk
T: (852) 2810 1212
F: (852) 2804 6311
香港中環康樂廣場8號交易廣場第三期19樓
注意:以上內容涉及十分專門和複雜的法律知識及法律程序。本篇文章僅是對有關題目的一般概述,只供參考,不能構成任何個別個案的法律意見。如需進一步的法律諮詢或協助,請聯絡我們的律師。
