不正アクセスという行為は、法律で禁止されている行為です。アクセス権限を持たないネットワークへの侵入や、パスワードの不正取得などは、不正アクセス禁止法により適切に処罰されます。
不正アクセスを取り締まる法律とはどのような内容なのでしょうか。本稿では、不正アクセス禁止法について解説します。
不正アクセス行為の禁止等に関する法律とは
不正アクセス禁止法とは、その名の通りインターネット上で起こり得る不正アクセスを防ぐために生まれた法律です。正式には「不正アクセス行為の禁止等に関する法律」と呼ばれています。
この法律は、「不正アクセスの行為者に対する規制」と「アクセス管理者による防御側の対策」から成り立っている法律であり、不正アクセスだけに限らず、識別符号の不正取得や保管行為、不正なアクセスを行うことを助長する行為を含め、不正アクセスに繋がる行為すべてが、処罰の対象となります。
また、不正アクセスを抑制するとともに、犯罪自体の防止や不正行為の再発防止を目的とした法律であることから、インターネットを利用するユーザーとして、誰もが普段から注意すべき内容や対策についても記載されています。
この法律は平成11年8月13日に公布され、翌年平成12年2月13日に施行されたのち、平成25年5月31日に改正されています。
導入事例
WAF製品/SiteGuard(サイトガード)シリーズの導入事例をご紹介しています。
不正アクセス行為の禁止等に関する法律の罰則
不正アクセス禁止法では、不正行為自体、また不正行為に繋がる行為に対し、それぞれ罰則が課せられます。
不正行為自体を行った場合は、3年以下の懲役または100万円以下の罰金が課せられると定められています。具体的な例としては、主になりすまし行為やセキュリティホールの攻撃といった行為が処罰の対象となります。
他人の個人情報を第三者に流出させるなど、不正行為に繋がる行為を行った場合、1年以下の懲役または 50万円以下の罰金が課せられます。また、不正アクセス目的ということを知らずにパスワードを提供した場合であっても、30万円以下の罰金が課せられるため注意しましょう。
また、他人の識別符号を不正に取得・保管・入力要求する行為を行なった場合も処罰の対象となります。他人の個人情報を不正に取得するといった行為をした場合、1年以下の懲役または 50万円以下の罰金が課せられます。
不正アクセス禁止法の解説
不正アクセス禁止法は、第一条から第十四条で構成されており、法律の施工の目的から定義、違法とされる行為などがまとめられています。
また、後半では各違反行為に対する罰則が記載されています。その中でも、不正アクセス禁止法が違法行為として定める5つの罪について、不正アクセス禁止法の引用とともに解説します。
不正アクセス罪
『この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。
一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(不正アクセス行為の禁止)』
※「引用元:(法令検索)不正アクセス行為の禁止等に関する法律」
不正アクセス行為とは、アクセス権限のないコンピュータを使用する行為や、他人の識別符号やコンピュータプログラムの不備を悪用する行為のことを指します。
不正アクセス行為には、なりすまし行為とセキュリティホールを攻撃する行為の2つに大きく分けられます。
なりすまし行為とは、他人のIDやパスワードを無断で利用し、アクセス制限されているコンピュータに不正にアクセスする行為を指します。
セキュリティホールを攻撃する行為とは、コンピュータのセキュリティホールを攻撃し、アクセス制御機能を回避することで強制的に利用できる状態にする行為のことをいいます。
不正取得罪
『何人も、不正アクセス行為(第二条第四項第一号に該当するものに限る。第六条及び第十二条第二号において同じ。)の用に供する目的で、アクセス制御機能に係る他人の識別符号を取得してはならない。(不正アクセス行為を助長する行為の禁止)』
※「引用元:(法令検索)不正アクセス行為の禁止等に関する法律」
不正取得罪は、不正アクセス行為をより的確に摘発するため、平成24年の改正時に他人の識別符号を不正に取得する行為が禁止対象となり、新たに設けられた罰則です。
不正取得罪は、取得者自身に他人の識別符号を用いて不正アクセス行為を行おうとする意図がある場合に成立します。また、不正アクセス行為を行う意図を持つ第三者に識別符号を提供するために、識別符号を取得する際も不正取得罪の対象となります。
つまり、不正アクセスを目的にID・パスワードを取得した時点で、罪にあたることになります。
この項目における「取得」とは、識別符号が含まれるUSBメモリやICカードなどのデータはもちろん、識別符号が記載された紙を不正に所持することを指します。また、識別符号が含まれる媒体を受け取る行為や、自らが使用する通信端末に識別符号を表示させる行為、識別符号を再現可能な状態で記憶するなどの行為も、「取得」と同じ扱いとなるので注意しましょう。
不正助長罪
『何人も、業務その他正当な理由による場合を除いては、アクセス制御機能に係る他人の識別符号を、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。(他人の識別符号を不正に保管する行為の禁止)』
※「引用元:(法令検索)不正アクセス行為の禁止等に関する法律」
不正助長罪とは、他人のIDやパスワードなどの識別符号を取得したのち、無断で第三者に提供する行為を禁止することです。不正取得罪と同じく、不正アクセス行為をより厳密に取り締まるため、平成24年の改正で新しく導入されました。
例えば、他人が所有する識別符号「〇〇を利用するためのIDは□□、パスワードは△△」などを第三者に教えて、不正にアクセスできるようにする行為などが罰則の対象となります。
識別符号を利用すれば誰でも簡単に不正アクセスができるようになるという点から、口頭、メール、文書、掲示板など、第三者への教え方がどのような方法であっても、不正助長罪の対象となります。
近年では一人が複数のコンピュータやサービスを利用するケースも増えており、同一の識別符号を多数のサイトで使い回す機会も増加しています。そのため、他者へ提供された識別符号がどのコンピュータのどのサービスに適応するものであるか判別しにくくなっています。
その結果、多数の識別符号の入力により、不正アクセスに成功する事例が発生しています。さらなる不正アクセスの助長を抑えるべく、「業務その他正当な理由による場合」のみを除き、他人の識別符号を提供する行為はすべて禁止されています。
不正保管罪
『何人も、不正アクセス行為の用に供する目的で、不正に取得されたアクセス制御機能に係る他人の識別符号を保管してはならない。(識別符号の入力を不正に要求する行為の禁止)』
※「引用元:(法令検索)不正アクセス行為の禁止等に関する法律」
不正保管罪は、不正に取得された他人のIDやパスワードなどの識別符号を不正に利用する目的で保管されていた場合に課せられる罪のことです。
不正保管罪では、正当な権限なく取得された識別符号が対象となります。企業内の業務遂行のために必要な識別符号を複数人の従業員が取得・保管している場合は、正当な権限に基づいて取得しているものと見なされ、本条の禁止対象から除外されます。
データでの所有はもちろん、紙媒体、自身が所有する通信端末への保存などすべての保管方法が罰則の対象となります。
不正取得した時点で第4条に当てはまり不正取得罪となりますが、さらに不正取得した情報を保管することで第6条にも違反することになり、罪が重くなります。
ただし、本人が知らないうちに他人の識別符号を取得している場合には、故意があって保管したものではないと見なされ、不正保管罪の対象外となります。
不正入力要求罪
『何人も、アクセス制御機能を特定電子計算機に付加したアクセス管理者になりすまし、その他当該アクセス管理者であると誤認させて、次に掲げる行為をしてはならない。ただし、当該アクセス管理者の承諾を得てする場合は、この限りでない。
一 当該アクセス管理者が当該アクセス制御機能に係る識別符号を付された利用権者に対し当該識別符号を特定電子計算機に入力することを求める旨の情報を、電気通信回線に接続して行う自動公衆送信(公衆によって直接受信されることを目的として公衆からの求めに応じ自動的に送信を行うことをいい、放送又は有線放送に該当するものを除く。)を利用して公衆が閲覧することができる状態に置く行為
二 当該アクセス管理者が当該アクセス制御機能に係る識別符号を付された利用権者に対し当該識別符号を特定電子計算機に入力することを求める旨の情報を、電子メール(特定電子メールの送信の適正化等に関する法律(平成十四年法律第二十六号)第二条第一号に規定する電子メールをいう。)により当該利用権者に送信する行為(アクセス管理者による防御措置)』
※「引用元:(法令検索)不正アクセス行為の禁止等に関する法律」
不正入力要求罪とは、パスワードなどの識別符号を不正に入力させる行為そのものを禁止することです。
識別符号を保有する人を騙し、自ら識別符号を提供させるよう仕向けることで、第三者に識別符号が取得されてしまうという危険を排除するために生まれた条文になります。フィッシングサイトやメールによるフィッシング行為などが、不正入力要求罪にあたります。
フィッシングと呼ばれる行為にはさまざまな手法がありますが、主にアクセス管理者が公開したWebサイトや送信したメールであるとユーザーに偽り、アクセス管理者がログイン情報の入力を要求している旨を一般公開することなどが該当します。また、アクセス管理者がログイン情報の入力を要求している旨をメールで送ることも不正入力要求罪にあたります。
不正アクセスへの対策法
不正アクセス禁止法に基づき、不正アクセスに繋がる行為が発覚した場合は、厳しい罰則を受けることになります。しかし、不正アクセスの被害を受けると、自分の知らないところで今度は自分が加害者側になっているケースもあります。巻き込まれただけであっても、法律のもと罰則を受けてしまう可能性もあるため、不正アクセスを受けないように対策を行うことが大切です。
不正アクセスへの対策としてまず行うべきなのは、ログイン情報の適切な管理です。IDやパスワード、その他個人情報の取り扱いには十分に注意し、安易に記載・記入しないことを徹底しましょう。また、推測されやすいパスワードは設定しないのはもちろん、定期的なパスワード変更を行い、不正アクセスや乗っ取りの対策を取ることも大切です。
また、ログイン情報を要求するWebサイトやメールが偽物でないかしっかりと確認し、信頼できる相手と判断できた場合にのみ、ログイン情報を記入するようにしましょう。
また、アクセス情報を保護するためにも、2段階認証などのセキュリティ機能を活用することもおすすめです。現在使用しているセキュリティソフトでは不十分なようであれば、新しくセキュリティ性が高いセキュリティソフトの導入を検討しましょう。
企業ができるセキュリティ対策
不正アクセス禁止法により、不正アクセスに対する法整備が進んでいるものの、すべての企業で万全なセキュリティ対策が行われているとはまだまだ言えません。不正なアクセスによる情報漏えいや乗っ取りといった被害は、企業に甚大な被害をもたらします。法律に頼りきるのではなく、企業自身がセキュリティ対策を行い、自衛することが必要です。
EGセキュアソリューションズでは、Webアプリケーションの脆弱性を悪用する不正アクセスからWebサイトを保護するソフトウェア型WAF「SiteGuardシリーズ」を提供しています。Webサイトの運営者の皆さまは、不正アクセスによるセキュリティリスクを回避するためにも、セキュリティ対策の実施状況の把握、必要に応じた製品導入をご検討ください。
WAFとは
Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。
