「不正アクセス禁止法とは?」
「どんな行為が不正アクセスになるかわからない」
とお悩みの方へ。
不正アクセスとは、本来権限を持たない者がサーバーやシステムに侵入することです。外部攻撃はもちろん内部から不正アクセスが発生することもあり、企業はシステムの運用体制を整える必要があります。
この記事では不正アクセスの概要から不正アクセス禁止法の意味、気を付けるべき行為や国内の被害事例をご紹介します。
不正アクセスには「内部」と「外部」がある
不正アクセスには内部からと外部からの2種類があります。
まず外部から攻撃を受ける不正アクセスには、DDoS攻撃やマルウェア、フィッシングメールといった手法が有名です。攻撃を仕掛ける犯人は外部の者で、海外から行われるケースも少なくありません。
不正アクセスといえば外部からのサイバー攻撃などを連想しがちですが、実は内部から、つまり社員や業務委託先といった身内から攻撃を受けることもあるのです。
内部からの不正アクセスは、次の章でご紹介するような“うっかり”だけではありません。巷には不正に取得した情報を買い取る業者が存在し、過去には最初から売るつもりで、従業員が社内から個人情報を持ち出した事例もあります。
換金目的以外にも、自分への評価が低い・サービス残業が多いといった不満やプレッシャー、転職先である競合企業への開示などもあり、明らかになった際の会社への被害は計り知れません。
不正アクセス禁止法とは?起こりやすい行為や懲罰について
インターネットの利用拡大が進んだ2000年、日本では「不正アクセス行為の禁止等に関する法律」、通称“不正アクセス禁止法”が制定されました。
不正アクセス禁止法の概要や具体的に禁止されている行為について見ていきましょう。
不正アクセス禁止法とは?わかりやすく解説
不正アクセス禁止法は、不正アクセス行為はもちろん不正アクセス行為につながる識別符号の不正取得や保管行為・行為を助長する行動を禁止する法律です。
参照:不正アクセス行為の禁止等に関する法律|国民のためのサイバーセキュリティサイト (soumu.go.jp)
わかりやすく言うと、「本来は権限がないのに、不正に権限を得た状態で情報を見ること」を指します。
例えば他人のIDやパスワードを盗み見してシステムにログインする、夫婦や家族間であっても自分以外のアカウント情報でメールやSNSにアクセスするといった行為が不正アクセスです。
社内で起こりがちな不正アクセス行為
社内では悪意を持たない従業員がうっかり不正アクセス行為をしてしまうケースがあり、企業は注意が必要です。例えば、社内で起こりがちな以下の行為も不正アクセス禁止法に触れる恐れがあり、企業は運用体制を整えなければなりません。
- 他人のアカウントでシステムにログイン
- 他人のアカウント情報を勝手に他人に教える
- 退職者のアカウントを使ってアクセスする
例えばある部下が「自分のアカウントでは権限がない」という理由から、無断で上司のアカウント情報を入力してログインする行為も不正アクセスの1つです。ただ不正アクセス禁止法では“不当に情報を得たかどうか”がポイントなので、上司本人が許可していれば問題ありません。
また正当な理由もなく他人のパスワードなどアカウント情報を第三者に教える行為は、「不正助長罪」に該当するため禁止です。例えば同僚Aのパスワードを部下のBに教えて不正にログインさせるといった行為が該当します。
また社内で起きたトラブルの腹いせで、インターネットの掲示板に他人のパスワードを公表するといった行為も「不正助長罪」として罪に問われます。
そして社内で見落としがちなのが、「退職者の不正ログイン」です。退職したにも関わらず遠隔から社内システムにアクセスし、情報を不当に得たりデータを改ざんしたりといった事例も後を絶ちません。転職先にデータを渡す・腹いせにデータを盗むといった行為は珍しくなく、会社に大きな損害を与えるため注意が必要です。
不正アクセス禁止法における懲罰
不正アクセス禁止法では以下の3種類があり、それぞれで懲罰が異なります。
- アクセス罪
- 不正取得罪
- 不正助長罪
まず「不正アクセス罪」は不正アクセス禁止法3条で定められており、なりすましなど不正アクセス行為を行った場合に成立する犯罪です。法11条により、「3年以下の懲役または100万円以下の罰金」が科せられます。
次に「不正取得罪」は不正アクセス禁止法3条で定められており、不正アクセスを目的として他人のIDやパスワードを取得した場合に成立する犯罪です。法12条1号により、「1年以下の懲役または50万円以下の罰金」が科せられます。
最後の「不正助長罪」は不正アクセス禁止法5条で定められており、正当な理由もなく他人のIDやパスワードを第三者に提供した場合に成立する犯罪です。
法5条により、「1年以下の罰金または50万円以下の罰金」が科せられます。しかし不正アクセスに利用されるという認識がなかった場合は、13条により「30万円以下の罰金」が科せられます。
上記のように、不正アクセス禁止法では不正アクセス行為だけではなく、他人のパスワードやID情報を盗んだり第3者に提供したりといった行為でも罰則が科せられてしまうのです。
参照:不正アクセス行為の禁止等に関する法律|国民のためのサイバーセキュリティサイト (soumu.go.jp)
国内の不正アクセス事例4選
国内の不正アクセス被害について、4つの事例をご紹介します。
1.大手家電量販店で7万件以上のデータ削除や流出の可能性
2022年4月には某大手家電量販店のサーバーが不正アクセス被害を受け、サーバー内に保存された全77,656件のデータが流出した可能性があると発表しました。
大手家電量販店はサーバー運営業務を同社グループ会社に委託しており、そのグループ会社から「サーバーに対して不正アクセスがあり、保管情報が削除された」と連絡があり不正アクセス発覚に至っています。
そのうち73,540件はエアコンなどの配送設備情報で、氏名や住所、電話番号といった情報が含まれます。クレジットカード情報は保存しない仕様になっており、決済情報流出の疑いはありません。
原因は究明中としていますがすでにセキュリティ対策は行っており、警察への届け出や外部有識者を入れた対策チームの設置など再発防止策を行っています。
引用元:https://www.chibanippo.co.jp/news/national/378059
2.暗号資産取引所で顧客宛に詐欺メールと個人情報流出の可能性
2021年4月、国内の暗号資産取引所を運営する企業で不正アクセスを受けたことを明らかにしています。不正アクセスを受けたのは同社のWebサーバーで、サーバー経由で同社が使う外部へのメール配信システムを通じて、同社を装う詐欺メールが顧客に送信されるなどの被害に遭っています。
さらに不正アクセスに使用されたメールアドレスをはじめ、サーバー内の本人確認用画像データも窃取された可能性があり、顧客の不安や同社の信用失墜など被害の大きさは計り知れません。
同社では被害を受けたWebサーバーのアクセス制限を強化するなど、緊急措置を実施しました。金融庁や関係機関にも届け出ており、詳細調査を進めています。
引用元:https://www.security-next.com/125197
3.大手フリマサイトで詐取目的の不正アクセスで逮捕者
某大手フリマサイトでは、ゲーム機を詐取する目的で利用者情報を不正に取得したとして逮捕者が出ています。不正アクセス禁止法違反や詐欺の疑いで逮捕されたのは、中国籍で国内大学に留学中の男性です。
男性はフリマアプリに不正にログインすることで他人のIDやパスワード情報を盗み、不正アクセス禁止法違反を犯しました。
引用元:https://www.asahi.com/articles/DA3S15242924.html
4.SNSで被害者になりすまし投稿
2017年に起こった殺人事件において、被害者男性のSNSアカウントを乗っ取り死者になりすましたとして高校生が不正アクセス禁止法違反の疑いで逮捕された事例があります。
男子生徒は自己顕示欲から不正アクセスを行ったとしており、5日間の間で12回の不正アクセスを行いました。殺害された男性アカウント情報は、ブラウザサービスのアカウントをたどり、パスワードを忘れた際の質問事項などからパスワードを解析しています。
ご紹介した事例のように、企業は不正アクセス被害を受けると、被害状況の調査や緊急対策などで大きなコストをかけなければなりません。
顧客情報の流出などが起きれば、企業の存続が危ぶまれるほど信用を失墜することになります。そのため企業は、より安全性の高い不正アクセス対策が必要なのです。
引用元:https://www.chibanippo.co.jp/news/national/378059
まとめ
不正アクセス禁止法について、その概要や禁止行為、国内の事例をご紹介しました。この記事をまとめます。
- 不正アクセスには「外部」と「内部」の2種類がある
- 不正アクセス禁止法により、不当に得た情報を使ったアクセスが禁止されている
- 国内では不正アクセスによる被害事例が増えており対策が必要
不正アクセスは社内でもうっかり行われている可能性があり、企業は運用体制を整える必要があります。不正アクセス禁止法を理解し、適切な運用ルールを整えていきましょう。