不正アクセスによる被害の増加に伴い、関連する法規制も一層厳格化されています。こうした不正アクセス行為を防ぐために制定されたのが「不正アクセス禁止法」です。この名前を聞いたことはあっても、その詳細をご存じない方も多いのではないでしょうか。
本記事では、不正アクセス禁止法の概要から禁止事項、罰則、事例まで詳しく解説します。不正アクセスを防ぐための対策もご紹介しますので、ぜひ参考にしてください。
不正アクセス禁止法とは
不正アクセス禁止法とは、不正アクセスそのものや、それに関する行為を広く取り締まるための法律です。正式名称は「不正アクセス行為の禁止等に関する法律」であり、2000年に施行されました。
不正アクセスとは、正当な権限を持たないコンピュータへ接続・侵入する行為です。たとえば、他社のシステムやサービスへ、不正に取得したパスワードでログインする行為が挙げられます。
不正アクセス禁止法では、こうした不正アクセスの実行はもちろん、それに必要な情報(後述)の取得や保管、要求といった関連行為も禁止されています。不正アクセスを包括的に取り締まり、その根絶、ひいてはネットワーク社会の安全・発展につなげる枠組みです。
出典:e-Gov 法令検索
不正アクセス禁止法における禁止事項
不正アクセス禁止法は、不正アクセスそのものだけを禁止しているわけではありません。ここでは、不正アクセス禁止法における具体的な5つの禁止事項を見ていきましょう。
- ①不正アクセスの実施
- ②不正アクセスの助長
- ③他人の識別符号の不正な取得
- ④他人の識別符号の不正な保管
- ⑤他人の識別符号の不正な入力要求
①不正アクセスの実施
当然ながら、不正アクセス行為そのものは禁止です。具体的には、他人のアカウントを使ってログインしたり、不正な入力でログイン認証をすり抜けたりする行為が挙げられます。
注意点として、内部への侵入の成否にかかわらず、不正アクセスを試みた時点で違反に該当します。たとえば、他人のパスワードを推測してログインを試みた場合、ログインに失敗したとしても、その試行自体が不正アクセス行為と見なされます。
出典:e-Gov 法令検索
②不正アクセスの助長
不正アクセスを助長する行為も禁止です。具体的には、不正アクセスに使われると知りながら、他人のIDやパスワードを第三者に教える行為が該当します。こうした行為は、第三者による不正アクセスを容易にするため、厳しく禁じられているのです。
ただし、業務上必要な範囲で、適切な管理のもとでIDやパスワードを共有するなど、正当な理由がある場合は違法にはなりません。
出典:e-Gov 法令検索
③他人の識別符号の不正な取得
他人の識別符号を不正に取得する行為も禁止です。「識別符号」とは、システムやサービスへのアクセス可否を判定するために用いられる番号や情報を指します。アカウントのIDやパスワード、指紋や顔といった生体認証情報などが挙げられます。
こうした識別符号を不正な手段で入手してはなりません。たとえば、他人のログイン画面や、ログイン情報が書かれたメモを盗み見る行為が、典型的な違反例です。
出典:e-Gov 法令検索
④他人の識別符号の不正な保管
不正アクセスに使う目的で、他人の識別符号を保管する行為も禁止です。具体的には、他人のIDやパスワードをパソコンやスマートフォン、紙のメモなどに保存しておく行為が該当します。
つまり、実際に不正アクセスを行わなくても、その準備段階である「保管」だけで法律違反となるのです。不正アクセスに直結する危険性の高い行為として、厳しく取り締まられています。
出典:e-Gov 法令検索
⑤他人の識別符号の不正な入力要求
他人の識別符号を不正に入力させようとする行為も禁止されています。これは、主に「フィッシング詐欺」を取り締まるための禁止事項です。フィッシング詐欺とは、他人を偽のログインページなどへ誘導し、ログイン情報を入力させる手口を指します。
利用者が実際に識別符号を入力したかどうか、攻撃者が情報を入手できたかどうかは関係ありません。情報を入力するよう要求した時点で違反が成立します。たとえば、フィッシング詐欺のWebページへ誘導するメールを他人に送信する行為は、この要求に当たります。
出典:e-Gov 法令検索
不正アクセス禁止法を遵守しないとどうなるのか
不正アクセス禁止法を遵守しない場合、次のように深刻な事態を招きかねません。
| 法律による刑事罰 | 不正アクセス禁止法に違反した場合、重い刑事罰が科せられます。特に、不正アクセス行為そのものを行った場合の刑事罰は「3年以下の懲役または100万円以下の罰金」です。不正アクセス目的で他人の識別符号を取得・保管・入力要求した場合でも「1年以下の懲役または50万円以下の罰金」となります。
出典:e-Gov 法令検索 |
| 社会的信用の失墜による経済的損失 | 不正アクセス禁止法の違反が発覚すれば、社会的な信用は失墜するでしょう。そうなれば、顧客との取引停止や関係悪化、ブランドイメージの低下によるユーザー離れが懸念されます。企業・個人を問わず、経済的なダメージは避けられません。 |
こうした事態を防ぐためにも、不正アクセス禁止法を遵守することが大切です。
不正アクセス禁止法が適用された事例
実際に不正アクセス禁止法が適用されるケースは少なくありません。ここでは、どのような行為が違反と見なされたのか、具体的な事例を3つご紹介します。
事例①スクウェア・エニックスほか:ゲームへの不正アクセス
人気オンラインゲームのアカウントに対する不正アクセスは、たびたび問題になっています。株式会社スクウェア・エニックスも例外ではありません。
2023年に同社が提供する人気ゲームで、23歳の男が不正アクセス禁止法などの違反の疑いで書類送検されました。事件の発端は、被害男性が自身のアカウントの育成を依頼し、IDとパスワードを相手に教えたことでした。
依頼を受けた23歳の男は、いったんは依頼どおりに育成作業を行いました。しかしその後、依頼で知り得たアカウント情報を使って無断でログインしたのです。ゲームデータを別アカウントへ移し替え、そのまま第三者に売却していました。
たとえ依頼で知ったIDとパスワードでも、許可された範囲(育成)を超えて無断でログインする行為は、不正アクセス禁止法に抵触します。
事例②新潟県長岡市内の中学校:不正アクセスによる成績の改ざん
不正アクセスは民間企業だけでなく、教育機関でも問題となっています。新潟県長岡市内の中学校では2021年、男子生徒が教員用のサーバーに不正アクセスし、書類送検されました。
生徒は、教員がパソコンから離れた隙にサーバーのIDなどをメモしました。その後、インターネットで入手した解析プログラムでパスワードを割り出したのです。生徒は自身のスマートフォンを使い、学校のタブレットを遠隔操作してサーバーに侵入しました。
動機は「親に成績をよく見せたい」というもので、自分の成績表を改ざんして印刷し、保護者に渡していたとのことです。他人のIDとパスワードでシステムに侵入する、典型的な不正アクセス行為といえます。
出典:長岡市の中学生による教員用サーバー不正アクセス・成績表改ざんについて学校が会見
事例③高知県の量販店:不正アクセスによるポイント取得
不正アクセスによる被害は、身近な量販店にも及びます。2024年には、他人のポイントを不正に入手し、量販店で商品をだまし取ったとして、男が逮捕されました。
男は仲間と共謀し、東京の企業が管理するサーバーに不正アクセスしました。このとき、他人のIDとパスワードを使ったと見られています。その後、男は電子ポイントを自分のスマートフォンで利用できる状態にしました。
不正に入手したポイントは、量販店で電動工具5点の購入に使われました。被害額は10万円ほどと見られています。不正アクセスで金銭価値のある電子情報を操作する行為は、詐欺へつながる典型的な事例です。
出典:電子ポイント不正利用で電動工具詐取 高知県警が容疑で36歳男逮捕
不正アクセスによる被害を防ぐ方法
不正アクセス禁止法を遵守し、不正アクセスの加害者にならないことは大切です。一方で、サイバー攻撃が増加している昨今では、いつ誰が不正アクセスの被害者になってもおかしくありません。不正アクセスの被害を受けないための防衛策も重要です。
ここでは、個人や企業が実施すべき不正アクセス被害を防ぐ方法を3つご紹介します。
- 方法①ネットワーク監視の強化
- 方法②多要素認証の導入
- 方法③パスワードポリシーの厳格化
方法①ネットワーク監視の強化
不正アクセスに対して早期に対処するためには、ネットワークの監視が不可欠です。外部からの不審な活動を素早く検出できる仕組みを導入すれば、被害が拡大する前に手を打てます。
ネットワーク監視の代表的な方法が「WAF(Web Application Firewall)」です。WAFはWebアプリへのアクセスを解析し、不審なリクエストを遮断します。たとえば、フォームを介して不正なコマンドを入力し、ログイン認証をすり抜けるような攻撃も防御できます。
特に、不特定多数がアクセスできるWebサイトやWebアプリは、不正アクセスの脅威にさらされています。WAFなどの活用によりネットワーク監視を強化すれば、不正な侵入を水際で防ぐことにつながるでしょう。
WAFについては、以下の記事で詳しく解説しています。あわせてお読みください。
WAF導入の完全ガイド|種類やメリット、失敗しない選び方を解説
方法②多要素認証の導入
企業や個人のアカウントを安全に保つためには、「多要素認証(MFA)」の導入が有効となります。多要素認証とは、2つ以上の認証情報を組み合わせて認証を行う仕組みです。
たとえば、一般的なパスワードのみによる認証では、パスワードを知られるだけで不正なログインが可能になります。しかし多要素認証では、パスワードに加えて指紋認証やモバイル端末による認証コードの入力なども求めます。突破すべき関門が増えるため、攻撃者による不正アクセスが難しくなるのです。
仮にパスワードが盗まれても、他の認証情報が盗まれなければ不正利用は避けられます。個人で利用するサービスでも、多要素認証の設定が用意されていれば必ず利用しましょう。
方法③パスワードポリシーの厳格化
パスワードを総当たりで試す「ブルートフォース攻撃」や、よく使われる単語を組み合わせて突破を狙う「辞書攻撃」などの手口もあります。こうした攻撃による不正アクセスを防ぐためには、パスワードポリシー(パスワード運用ルール)の厳格化が欠かせません。
たとえば、パスワードの運用に際して、次のような対策が有効です。
- 推測されやすい単語・文字列を禁止リストとして設定する
- 「最低文字数」「英字・数字・記号の組み合わせ」などのルールを定める
- パスワードの安全な保管方法を明文化する
企業の場合は、従業員にパスワードポリシーを周知しましょう。それに加えて、システム側で強度チェックを必須化するなど、組織としてルールを徹底できる仕組みが求められます。
まとめ
不正アクセス禁止法とは、不正アクセスそのものや、それに関する行為を広く取り締まるための法律です。無断でのログインといった直接的な不正アクセス行為だけでなく、IDやパスワードの不正な取得・保管・要求といった準備行為も禁止されています。
不正アクセスの加害者にならないことはもちろん、被害者にならないための対策も不可欠です。企業も個人も、多要素認証の導入やパスワード管理の徹底など、具体的な防御策を講じる必要があります。当事者意識を持ち、自らの情報を守る取り組みを進めましょう。