不正アクセス禁止法とは?該当する行為や罰則、実際の事例を紹介
- 不正アクセス禁止法とはどんな法律?
- 該当する具体的な行為を知りたい
- 企業が行える効果的な対策を教えてほしい
このような疑問がある方もいるのではないでしょうか。不正アクセス禁止法とは、不正アクセス行為やこれに繋がる行為等を禁止する法律のことです。
不正アクセスに該当する行為は大きく4つに分類されており、それぞれの行為に応じて罰則の内容が異なります。第三者による不正アクセスを防ぐには、早めの対策が求められます。そこで今回は、不正アクセス禁止法の基礎概要、該当する行為や対策について解説します。
目次
[ 開く ]
[ 閉じる ]
- 不正アクセス禁止法とは
- 不正アクセスに該当する具体的な行為
- 他人の識別符号を不正に取得する行為(第四条)
- 不正アクセス行為を助長する行為(第五条)
- 他人の識別符号を不正に保管する行為(第六条)
- 識別符号の入力を不正に要求する行為(第七条)
- 不正アクセス禁止法の罰則
- 不正アクセス行為
- 不正アクセスをするための準備行為
- 不正アクセス禁止法の事例
- 「dアカウント」の悪用で5人が逮捕
- 学校の成績改ざんで中学3年生が書類送検
- 人気ゲームへの不正アクセスで23歳男が書類送検
- 不正アクセスを招かないための対策
- 複雑なパスワードを設定する
- 不要になったアカウントを迅速に削除する
- IDやパスワードを厳重に管理する
- セキュリティ対策ソフトを導入する
- 不正アクセスの対策ならGMOサイバーセキュリティ byイエラエ
- まとめ
不正アクセス禁止法とは
不正アクセス禁止法とは、不正アクセス行為やこれに繋がる識別符号の不正取得・保管行為、不正アクセス行為を助長する行為等を禁止する法律のことです。
正式名称は「不正アクセス行為の禁止等に関する法律」と言い、この法律により、インターネットを利用した犯罪に対する法的な規制が設けられています。
▼不正アクセス禁止法の区分
- 第一条:施行の目的
- 第二条:定義
- 第三条~第十条:遵守すべき内容や違法とされる行為
- 第十一条~:罰則
この法律の特徴として、不正アクセス行為を禁止し、違反した場合の処罰規定が定められている点が挙げられます。また、不正アクセス行為を防ぐための適切な対策を講じる努力義務がシステム管理者に課されています。
e-GOVの「不正アクセス行為の禁止等に関する法律」では、不正アクセス禁止法の目的を以下のように定義しています。
「この法律は、不正アクセス行為を禁止するとともに、これについての罰則及びその再発防止のための都道府県公安委員会による援助措置等を定めることにより、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することを目的とする」
不正アクセス禁止法はサイバーセキュリティの強化とともに、法的な側面からも情報セキュリティの重要性を高める役割を担っています。
不正アクセスに該当する具体的な行為
不正アクセス禁止法では、不正アクセスに該当する具体的な行為が大きく4つに分類されます。これらの具体性を理解し、攻撃手段を把握することで効果的な対策が立てやすくなります。
他人の識別符号を不正に取得する行為(第四条)
不正アクセス禁止法においては、他人のIDやパスワードなど、アクセスに必要な識別符号を不正に取得する行為が禁じられています。例えば、社員が職務上の立場を利用して顧客の識別符号を確認したり、フィッシング詐欺によりアカウント情報を不正に入手したりする行為がこれに該当します。
これらの行為は、他人の識別符号を不正に取得する明確な例として認識されているため、法律によって厳しく禁止されています。
不正アクセス行為を助長する行為(第五条)
IDやパスワードを所有する人が権限を持たない第三者にアクセス情報を渡す行為も、不正アクセス行為を助長する行為として禁止されています。例えば、アクセス権限のある役員が権限のない一般社員にIDやパスワードを渡す行為は、不正アクセス行為を助長する典型例です。
さらに、他人のIDやパスワードを無断で口頭で伝えたり、インターネット上で販売したりする行為もこの行為に該当します。このような行為は不正アクセスのリスクを高めるため、法律によって厳しく制限されているのです。
他人の識別符号を不正に保管する行為(第六条)
不正アクセス禁止法の下では、他人のIDやパスワードを不正アクセスを行う目的で保管する行為も禁止されています。具体的には、不正に取得したIDやパスワードを、パソコンやUSBメモリ内に保管する行為などがこれに該当します。
保管方法がパソコンの中、USBメモリ、紙に印刷されたものであっても、不正に取得した識別符号を保管しているだけで法律違反の対象となります。この条項は、不正アクセスの準備行為を厳しく取り締まることを目的としており、セキュリティ意識の高い管理を求めています。
識別符号の入力を不正に要求する行為(第七条)
第七条では、アクセス管理者になりすましてIDやパスワードの入力を不正に要求する行為が禁止されています。主に以下のようなケースが該当します。
▼識別符号の入力を不正に要求する行為(第七条)に該当する主なケース
- 偽のフィッシングサイトを構築してインターネット上に公開する行為
- フィッシングサイトに誘導する目的で電子メールを送付する行為
このような行為は、ユーザーを欺いて個人情報を不正に取得するものであり、不正アクセス禁止法によって厳しく禁じられています。ユーザーの安全を守ると同時に、インターネット空間の信頼性を保持するために、このような不正行為に対する規制が行われているのです。
不正アクセス禁止法の罰則
不正アクセス禁止法は法律であり、罰則についても明確に定められています。不正アクセス禁止法の罰則を、「不正アクセス行為」と「不正アクセスをするための準備行為」に分けて解説します。
不正アクセス行為
他人のID・パスワードなどの識別符号を無断で利用する行為、もしくはセキュリティ・ホールを攻撃し、識別符号を入力せずに侵入する行為が不正アクセス行為に該当します。
不正アクセス行為を行った場合、「3年以下の懲役又は100万円以下の罰金」が科せられます。
不正アクセスをするための準備行為
不正アクセスをするための準備行為にあたるものは以下の4つです。
- 他人の識別符号を不正に取得する行為
- 不正アクセス行為を助長する行為
- 他人の識別符号を不正に保管する行為
- 識別符号の入力を不正に要求する行為
このうち、「他人の識別符号を不正に取得する行為」と「他人の識別符号を不正に保管する行為」、「識別符号の入力を不正に要求する行為」の3つについては「1年以下の懲役又は50万円以下の罰金」が科せられます。
一方で「不正アクセス行為を助長する行為」は、状況によって罰則の内容が変化します。その詳細は以下の通りです。
- 相手方に不正アクセスをする目的があることを知っていた場合:1年以下の懲役又は50万円以下の罰金
- 相手方に不正アクセスをする目的があることを知らなかった場合:30万円以下の罰金
不正アクセス禁止法の事例
実際に起きた不正アクセス禁止法に基づく事例を3つ紹介します。ここで取り上げるのは不正アクセスの被害事例ではなく、法律違反によって起訴された事例です。
「dアカウント」の悪用で5人が逮捕
2020年4月、NTTドコモの会員アカウント「dアカウント」を不正アクセスによって取得した疑いで、中国人の男女5人が詐欺容疑で逮捕されたと報告されました。
逮捕されたグループは、ドコモを装ったSMSで「異常ログインの可能性がある」「電話料金が高額になっている」といったメッセージを送信し、複数人を偽サイトに誘導してIDとパスワードを不正に取得。容疑者はだまし取ったIDやパスワードを利用して、都内の家電量販店でゲーム機やタブレット端末などを購入し、転売していたとのことです。
学校の成績改ざんで中学3年生が書類送検
学校のサーバーに不正アクセスして成績を改ざんしたとして、中学3年生の生徒が不正アクセス禁止法違反の疑いで書類送検されました。捜査関係者によると、生徒は9月から10月の間に学校の教員用サーバーに不正アクセスしたとのことです。
必要なIDやパスワードを入手した生徒は、サーバーにアクセス可能な校内のタブレット端末に遠隔操作用のアプリをインストールした上で、自らのスマートフォンを使い校外から端末を操作し、成績表に書かれた自身の評定を実際より高く書き換えました。
この事件に関して、県警は学校側からの相談を受けて捜査を進め、最終的に2019年12月4日に新潟地検長岡支部に書類送検しました。
人気ゲームへの不正アクセスで23歳男が書類送検
23歳の男が人気ゲーム「ドラゴンクエストウォーク」に不正アクセスしたことで、アクセス禁止法違反と私電磁的記録不正作出・同供用の疑いで書類送検されました。
事件のきっかけは、40代男性が自身のアカウントの育成を男に依頼し、IDとパスワードを教えて数千円を支払ったことです。23歳の男は依頼通りに育成を行った後、依頼で知り得たアカウント情報を用いて無断でログインしました。
その後、データを自身のアカウントに移動させ、第三者に売却したとのことです。滋賀県警サイバー犯罪対策課は、「オンラインゲームの不正アクセス被害は多い。どんな理由であれ他人にIDとパスワードを教えるのは危険なので、やめてほしい」と注意喚起しています。
不正アクセスを招かないための対策
不正アクセスの被害を防ぐためには、いくつかの対策が必要です。その中でも特に重要な4つの対策方法を紹介します。
- 複雑なパスワードを設定する
- 不要になったアカウントを迅速に削除する
- IDやパスワードを厳重に管理する
- セキュリティ対策ソフトを導入する
それぞれの対策について詳しく見ていきましょう。
複雑なパスワードを設定する
複雑なパスワードの設定は、不正アクセスのリスクを減少させる基本的な対策です。具体的には、8桁以上のパスワードを設定し、大文字、小文字、数字、記号を少なくとも1つ以上含めるというものです。
携帯電話番号の確認や指紋認証などの多要素認証を組み合わせることも、セキュリティを強化する有効な手段と言えます。
不要になったアカウントを迅速に削除する
使用していないアカウントは不正アクセスの入口となる可能性があります。そのため、不要になったアカウントは迅速に削除することが大切です。
特にサービスを利用していない古いアカウントは放置せず、定期的に見直しを図るようにしましょう。
IDやパスワードを厳重に管理する
ログインに使用するIDやパスワードは、外部に流出しないよう厳重に管理することが求められます。社内でアカウントの扱い方を共有し、以下のような行為を防ぎましょう。
▼情報漏洩のリスクがある主な行為
- パスワードをスマートフォンにメモする
- 持ち出し用のPCにログイン情報を保存する
- IDやパスワードを記載したメモをデスクトップに貼り付ける
これらの行為は、識別符号の流出リスクを高めます。予め社内ルールを設定し、それを徹底することでセキュリティに対する従業員の意識を向上させることができます。
セキュリティ対策ソフトを導入する
セキュリティ対策ソフトを導入すれば、外部からの侵入や攻撃を迅速に検知し、すぐに対応できる環境を構築できます。より強固なセキュリティ環境を構築したいなら、信頼性の高い対策ソフトを選ぶようにしましょう。
また、OSやソフトウェアを常に最新の状態に保ち、随時修正プログラムやプラグインの更新を行うことも重要です。これにより、システムの脆弱性を減らし、不正アクセスによるリスクを抑えられます。
不正アクセスの対策ならGMOサイバーセキュリティ byイエラエ
画像引用元:GMOサイバーセキュリティ byイエラエ
不正アクセスの対策なら「GMOサイバーセキュリティ byイエラエ」にお任せください。本サービスでは、不正アクセスに関するサイバー攻撃を監視し、対策からセキュリティ課題の解決まで総合的なサポートを提供しています。
ホワイトハッカーの確かな技術力により、不正アクセスによるリスクに加え、あらゆるサイバー攻撃の被害を軽減することが可能です。
▼GMOサイバーセキュリティ byイエラエの強み
- 自社のセキュリティの弱点を特定し、対処法まで把握できる
- ホワイトハッカーの技術力で不正アクセスによるリスクを低減できる
- セキュリティコンサルティングサービスで高度化する脅威に常に対応できる
セキュリティコンサルティングサービスを利用すれば、常に変化するサイバー攻撃の脅威に対応できるようになります。不正アクセスの被害をできる限り抑えたい方は、本サービスの利用を検討してみてください。
まとめ
本記事では、不正アクセス禁止法の基礎概要、該当する行為や対策について解説しました。
不正アクセス禁止法に該当する行為は大きく4つに分類され、それぞれで犯した際の罰則が異なります。過去には不正アクセス禁止法によって起訴された事例も複数あり、不正アクセスの被害を招かないためには事前の対策が必要です。
企業で不正アクセスの対策を図りたいなら、「GMOサイバーセキュリティ byイエラエ」の利用をご検討ください。ホワイトハッカーの技術力により、不正アクセスやその他サイバー攻撃への効果的な対策が行えます。
文責:GMOインターネットグループ株式会社
