今や仕事でもプライベートでもインターネットを利用しないことは考えられないでしょう。しかし、そのとなりには常にサイバー攻撃による被害が潜んでいることを忘れてはなりません。
Webサイト(Webシステム)、ブログ等を運営している方はもとより、あらゆるインターネットを利用する人が知っておきたい情報として「不正アクセス禁止法」に関することがあります。言葉としては聞いたことがあっても、実際の内容など詳細については曖昧という方も多いでしょう。
本記事では、「不正アクセス禁止法」について、概要、該当する行為、罰則、事例などを分かりやすく紹介します。
主にインターネット上でのアクセスに関する不正を禁止する「不正アクセス禁止法」。その概要、法律での規程、困ったときの相談窓口をまずは確認しましょう。
不正アクセス行為、それに繋がるデータの不正取得や保管、不正アクセスを助長する行為を禁止することを目的として不正アクセス禁止法は定められています。不正アクセス行為とは、主にインターネットから各種のITサービス、機器に対し、ID・パスワードの不正利用や脆弱性を突いた攻撃により本来は権限のない行為を行うことです。
不正アクセス行為自体を禁じるとともに、犯罪そのものの防止や不正行為の再発防止を目的とした法律であり、インターネットを扱う者として普段から心がけておきたい対策についてもまとめられています。
情報の収集、SNS、ショッピング、各種のインフラの手続き、公共料金の支払いや個人情報の管理など、インターネットを利用しない生活は想定できません。人によって利用頻度は変わりますが、不正アクセスによって被害を受ける可能性は誰にでもあるため、誰もが認識すべき法律です。
「不正アクセス禁止法」は、正式名称を「不正アクセス行為の禁止等に関する法律」といいます。インターネットの利用拡大が進んできた2000年に施行され、その後改訂されています。
全十四条からなり、下記のように記載内容が分かれています。
・第一条:施行の目的
・第二条:定義
・第三条~第十条:遵守すべき内容や違法とされる行為
・第十一条~:罰則
条文から「不正アクセス禁止法」が施行された目的を引用すると、「この法律は、不正アクセス行為を禁止するとともに、これについての罰則及びその再発防止のための都道府県公安委員会による援助措置等を定めることにより、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することを目的とする」としています。
「不正アクセス禁止法」のなかでは「罰則及びその再発防止のための都道府県公安委員会による援助措置等を定める」と記載されています。これに従い、各都道府県ではサイバー犯罪相談窓口を設けています。
企業が運営するサイトはもちろん、個人の利用するWebサービスにおいても、何らかの不正アクセスによる違法行為が疑われる場合にはサイバー犯罪相談窓口に速やかに相談と通報を行いましょう。サイバー犯罪相談窓口は管轄の警察本部に設置されています。サイバー犯罪については、通常の犯罪とは別の専門の担当警察官が対応してくれます。
もちろん、普段から自分でできる防犯対策をきちんととっておくことも重要です。
インターネットを利用する全ての人は、実際にどのような行為が不正アクセスに当たるのかを知っておく必要があります。個人であっても、知らずに「不正アクセス禁止法」に抵触してしまう可能性がないとはいえません。
また、スマートフォン(スマホ)の利用が普及、拡大していますが、スマホにおいても基本的にはPCと同様に不正アクセス行為が起き得ると考えてよいです。特に大きな違いはありません。
不正アクセスの一つとしてあげられるのが「なりすまし」です。「なりすまし」とは、実際には本人ではない人物があたかも本人であるかのように装うことを意味します。インターネット上での場合は、他人のIDやパスワードを利用してシステムやサービスに侵入する行為を指します。
IDやパスワードが不正に窃取されたり、流出したりという経緯でのなりすましは当然不正アクセスにあたります。
しかし、意外に多いのが家族間など親しい関係でIDやパスワードが漏れてしまうケースです。近しい間柄であっても、たまたま入手したIDやパスワードで勝手にアクセスし、本人のようになりすます行為は「不正アクセス禁止法」に抵触する可能性があるので注意しましょう。もちろん、本人の承諾があって代理する場合は別です。
また、IDやパスワードを本人以外の人に故意に提供して利用させる行為も「不正アクセス禁止法」に抵触する可能性があります。例えば、本人限定で利用可能なサービスを、自分だけでなく家族や友人にも「本人であるかのように偽って」利用させる行為がこれにあたります。実際には内容や条件によりますが、サイト運営者に損害が生じることになれば、不正アクセス禁止法に抵触しかねません。
よく発生する不正アクセスとして、アクセス制御機能を攻撃する行為があります。アクセス制御機能とは、分かりやすい表現にするとITシステムやハードウェアのセキュリティ機能のことです。サイバー攻撃によってセキュリティを突破するだけでなく、コンピューターの不正操作や情報を不正に入手する行為も、このカテゴリの不正アクセスに含まれます。
このアクセス制御機能の攻撃において、個人や法人のID・パスワードを入手する行為は「不正取得罪」に当たり、さらに第三者に漏洩させる行為があれば「不正助長罪」として処罰対象になります。
上記のなりすましやアクセス制御機能の攻撃に関連し、他者のIDやパスワードを無断かつ不正に保管する行為は「不正保管罪」として問われます。
また、あたかもサイト運営者のように振る舞って不正に情報を入力させようとする行為のことを「不正入力要求罪」といいます。これは、フィッシングメールなどが該当する違法行為の一つです。銀行のダイレクトメールを装って暗証番号の入力を求める手口などが該当します。フィッシングメールからフィッシングサイトなどの不正なサイトに誘導されるという流れも手口として多く、注意が必要です。
不正アクセス禁止法は法律であり、罰則、時効などが定められています。また、実際の事例についても紹介します。
「なりすまし」、アクセス制御の攻撃における「不正取得罪」も「不正助長罪」も発覚した場合、「1年以下の懲役または50円以下の罰金」となります。注意しておきたいのは、不正アクセスが目的であることを知らずに他人に情報を提供した場合でも30万円以下の罰金となることです。
また、データの「不正保管罪」では「1年以下の懲役または50万円以下の罰金」になります。「不正入力要求罪」の場合も「1年以下の懲役または50万円以下の罰金」という罰則が設けられています。
不正アクセス禁止法違反は「長期五年未満の懲役若しくは禁錮又は罰金に当たる罪」です。この場合、犯罪行為が行われてから3年で時効となります。
朝日新聞社の報じるニュースでは「エクセルのマクロを悪用して、ウイルスを仕掛けた」、「人事や捜査情報の持ち出し」といった事件で不正アクセス禁止法違反(またはその疑い)として報じられています。
経済産業省の発表では、令和2年における不正アクセス禁止法違反事件の認知・検挙件数は2806件でした。令和元年に比べて減少に転じたものの、それ以前の3年間と比べては多く、引き続き注意が必要な犯罪であることが認識できます。
参考:経済産業省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況を取りまとめました」
不正アクセス禁止法についての情報を確認してみると、不正アクセスはインターネットを利用している人ならば誰でも遭遇しうる問題であることに気付きます。IDやパスワードを第三者に知られ、悪用されないためにも、普段から可能な対策をとっておくことが必要です。
まず重要となるのは、簡単に解析できないIDやパスワードを設定しておくことです。IDやパスワードが盗まれるのは、サイバー攻撃を受けて情報が漏洩するケースだけではありません。例えば、名前や誕生日など誰もが知り得る情報からIDやパスワードが特定される場合もあります。それを回避するには、簡単に詮索できないようなIDやパスワードの設定をしましょう。定期的にパスワードを変えることも対策の一つです。
そして、インターネットの利用においてパスワードや暗証番号などの入力を求められる場合には、すぐに素直に応じてはいけません。カード会社や金融機関など、必要に応じてパスワードの再入力や変更が必要になることはあります。しかし、実際にダイレクトメールなどで求められたときには、疑ってみることが重要といえます。不審なメールが来たら本物かどうか送信元のアドレスを確認しましょう。次に公式サイトをチェックし、情報が本物かどうか照合することも覚えておきましょう。
またWebサイトの運営側の立場から、不正アクセスを防ぐためには、OSやセキュリティソフトを最新の状態に更新しておくことも欠かせません。パソコンやサーバのセキュリティ対策を万全に行い、アップデートを怠らないようにしましょう。
「不正アクセス禁止法」はインターネットを安全に活用するための法律です。自分のIDやパスワードが無断で使用されることはもちろん不正アクセスにあたりますが、親しい間柄でも不正にIDやパスワードを利用させることは違法行為とみなされます。
サイト運営者にとっても不正アクセスによるサイバー攻撃を受けることは、Webサイトの停止や個人情報・機密情報の流出に繋がり、大きな損害が発生する可能性があります。「不正アクセス禁止法」を理解し、普段からできる対策をとっておきましょう。
Webサイトを運営している場合には、不正アクセスを防ぐ対策としてクラウド型WAFの利用をおすすめします。サイバーセキュリティクラウドが提供するクラウド型WAF「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断することができます。ユーザーごとに提供される管理画面では、契約したWebサーバへの攻撃の情報をいつでも確認可能です。
「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。