ESET/マルウェア情報局
犯罪者から守るためにも、犯罪者にならないためにも知っておこう「不正アクセス禁止法」基礎知識
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「サイバー犯罪から身を守るためにも知っておきたい、不正アクセス禁止法の基礎知識」を再編集したものです。
不正アクセス禁止法が施行された背景
不正アクセス禁止法が2000年に成立するまで、デジタル化したデータを不正に持ち出したとしても、その行為を禁止する法律はなかった。データがUSBメモリーなどの記憶媒体に格納されている場合であれば、窃盗罪に問われる可能性があったが、あくまで問われる罪はUSBメモリーというモノの窃盗に限定されていた。データが業務機密として管理されていた場合には、不正競争防止法違反の成立要件にはなり得たが、いずれの場合でも不正アクセス行為そのものを禁止するものではなかった。
しかし、Windows 95の登場によりインターネットが世間に浸透していくなど、デジタル環境は大きく一変。世界的に不正アクセス行為が増大するなか、高度情報通信社会の健全な発展に寄与する目的で不正アクセス禁止法が成立、施行されることとなった。
しかし、法律施行後も不正アクセスの脅威は軽減されるどころか、増大の一途を辿ることになる。インターネットバンキングなど金融サービスがインターネット上に進出したことで、金銭的な狙いを持った不正アクセスも増加。さらには、大手防衛産業関連の企業や議会に対してサイバー攻撃なども行なわれたほか、メディアなどでも大きく取り上げられる事件も多数発生した。
このような時代背景から、2013年5月に不正アクセス禁止法の改正法が施行されることとなった。改正法では、フィッシング行為やID/パスワードの不正取得を禁止する罰則の新設や、情報セキュリティ関連事業者団体に対する情報提供といった防御面での対策も強化されている。
インターネットへのアクセスではパソコンからスマホが主体となり、SNSやキャッシュレス決済などへの依存度も高まりつつある。すなわち、ユーザーにとってサイバー攻撃のリスクも増加しているということであり、不正アクセス禁止法が果たすべき使命は重要度が増しているといえるだろう。
不正アクセス禁止法が禁止する不正行為
単なる不正アクセス行為を禁止していた不正アクセス禁止法は、改正を経て禁止行為の幅を広げている。それでは、具体的にどのような行為が禁止行為となるのだろうか。
- 不正アクセス行為
不正アクセス禁止法で、まず禁止されているのが不正アクセス行為。違反した者は、3年以下の懲役または100万円以下の罰金に処せられることになる。不正アクセス行為は、第1号から第3号の3つに分類される。
・第1号
他人のID、パスワードを使って、アクセス権限のないシステムに不正にログインする行為。いわゆるなりすまし行為はここに分類される。
・第2号
OSやアプリケーションにあるセキュリティホールなどを利用して、アクセス権限のないシステムに不正に侵入する行為のこと。
・第3号
セキュリティホールなどから侵入したパソコンを利用し、アクセス権限のないシステムに不正にアクセスすること。踏み台を経由したアクセスも含まれる。
- 他人のIDとパスワードを不正に取得し、保管する行為(不正取得罪、不正保管罪)
不正アクセス行為を目的に、他人のIDとパスワードを取得したり、保管したりする行為を禁止する、不正取得罪・不正保管罪はともに1年以下の懲役または50万円以下の罰金が科せられる。2013年の改正法で規定されたこの不正取得罪、不正保管罪により、たとえ不正アクセス行為に及んでいなくても、IDとパスワードを不正に取得して保管するだけで罪に問われる可能性がある。
- 他人のIDとパスワードを無断で取得し、無断で第三者に提供する行為(助長罪)
助長罪も、改正法で新たに規定された禁止行為となる。業務などの正当な理由による場合を除いて、他人のIDとパスワードを提供する行為はすべて禁止される。助長罪には、1年以下の懲役または50万円以下の罰金が科せられる。
- フィッシング行為(フィッシング罪)
正規のウェブサイトと誤認させる偽のサイトを公開し、正規のウェブサイトにログインするためのIDとパスワード、クレジットカード番号などを窃取する行為も、改正法で新たに禁止行為に加わった。フィッシングサイトを用いずとも、正規の管理者になりすましたメールを送信し、IDとパスワードを窃取しようとする行為も、フィッシング行為に分類される。フィッシング罪には、1年以下の懲役または50万円以下の罰金が科せられる。
不正アクセス禁止法が適用された事例
改正案を経て罰則規定が強化された不正アクセス禁止法だが、実際にどのような判例があるのだろうか。ここでは、不正アクセス禁止法が適用された事例について解説する。
- モバイル決済サービスへの不正アクセス行為
ある大手企業が展開するモバイル決済サービスは、不正アクセスや不正使用の被害がありサービス提供中止に追い込まれた。この事件では、不正に入手したIDとパスワードを使った行為が不正アクセス禁止法違反の疑いがあるとして、男2人が逮捕されている。
- 内部犯行による情報窃取
情報システム業務に従事していた従業員が、勤務する企業の保有する個人情報を取得するために、不正にシステムにアクセス。当該従業員は、勤務先を懲戒解雇されるとともに、不正アクセス禁止法に違反したとして懲役2年の実刑判決を言い渡されることとなった。
- インターネットバンキングによる不正送金
他人のインターネットバンキングの口座から、不正に現金を送金したとして、自営業の男が不正アクセス禁止法違反の疑いで逮捕された。男性は、ダークウェブでIDとパスワードを入手して転売。得られた金銭を他人名義の口座から引き出したとされる。なお、警察庁が公開している「不正アクセス行為の発生状況(2019年3月公表)」によると、過去5年の不正アクセス後の行為別認知件数で、インターネットバンキングでの不正送金等が上位を占めている。
- SNSへの不正アクセス行為
他人のアカウントでFacebookにログインしたとして東京都の会社員が逮捕された。他人のプライベート写真を閲覧したいという欲求が動機だとされる。そのほかにも、ソーシャルゲームで友人のアイテムやポイントを奪う目的で友人のアカウントに不正アクセスするという犯罪も横行している。
不正アクセス被害にあった場合に取り得る法的措置
不正アクセス被害で「犯罪」と定義されている行為には、以下のような法的な対抗措置があることも覚えておこう。
‐ 刑事告訴
不正アクセス行為は、不正アクセス禁止法で禁止された犯罪行為である。そのため、不正アクセスした相手を刑事告訴することが可能だ。不正アクセス被害にあった場合は、弁護士に相談しながら、すみやかに警察へ被害届や告訴状を提出するべきだ。届けを受理した警察は、犯人の逮捕に向けて捜査を開始するのが基本的な段取りとなる。
‐ 損害賠償請求
不正アクセス被害により損害が発生した場合は、民事訴訟を通じた損害賠償請求も可能となる。フィッシング詐欺などでIDとパスワードが窃取され、インターネットバンキングの被害が発生した場合、実損分を含めた損害賠償の請求対象となりうる。被害を受けたのが企業であれば、不正アクセスによる被害は甚大になりやすい。少しでも金銭的負担を軽減させるためにも、損害賠償請求を行なうべきだが、そのためには犯人の特定が前提となる。刑事告訴と並行して損害賠償請求の検討を進めるべきだろう。
誰しもが不正アクセスを行なえる時代という認識を
デジタルテクノロジーが生活の中に浸透しつつあるなかで、不正アクセスによる被害の影響範囲も広がっている。また、インターネットで調べれば情報が見つかる時代、中学生が不正アクセスを行なうといった以前なら考えられないショッキングな犯罪も起こっている。この中学生の動機は悪質とはいえないもので「軽はずみ」なもの。要するに、いわゆるサイバー攻撃を専門とする犯罪集団だけが不正アクセスを手がけるわけではなく、誰しもがそういった行為を行なう時代になっているということを認識する必要がある。
だからこそ、どのように自らの防御を固めるかという点が重要になる。セキュリティソフトの導入といった対策はもちろんのこと、今回紹介した不正アクセス禁止法のような、関連する法律を適切に把握するということは自分の身を守ることに繋がるということを頭に入れておいてほしい。