| 不正アクセス禁止法 |
|
目次 |
|
1.はじめに 不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)が2001年2月13日、施行された。この法律は、アクセスが制限されているコンピュータ・ネットワークに対して他人のID、パスワードを使用したり、システムのセキュリティ上の弱点(セキュリティホール)を突いて侵入する行為を処罰する。従来は不正アクセスをおこなっても、侵入したサーバ・コンピュータの内容を変更しない限り、たとえば内部の文書などをコピーして持ち出しても罪に問われることはなかった。しかし不正アクセス禁止法では、システムに不正に侵入した段階で犯人となり、1年以下の懲役または50万円以下の罰金を科して禁止している。不正侵入した後にウェブを書き換えると、電子計算機損壊等業務妨害罪によって罰せられた。しかし不正アクセス禁止法は侵入だけで罪になる。 |
|
2.不正アクセス禁止法の内容 以下の文章は条文ではなく、条文をわかりやすく書き直したものである。 (目的) 第1条 この法律は、不正アクセス行為を禁止し、都道府県公安委員会がそれぞれのネットワーク管理者に対してセキュリティを高めるための援助を行うことによって、ネットワークを通じて行われるコンピュータ犯罪が防止され、当該ネットワークを利用する権限のない者がそれを無断で利用することのないようにして、高度情報通信社会の健全な発達を目指すものである。 (定義) 第2条 「アクセス管理者」とは、ネットワークに接続されたコンピュータ(ネットワーク・コンピュータ)の利用について、その動作を管理する最終的な権限のあるものである。 2 「識別符号」とは、アクセス管理者とネットワーク・コンピュータの利用を許可された者を他の利用者から区別するデータであって、次のいずれかの条件に当てはまるものである。 @ そのデータを他人に知らせることが禁止されているもの A 指紋や音声、虹彩などによって作られるデータ B 利用者のサインや筆圧によって作られるデータ 3 この法律における「アクセス制御機能」とは、当該ネットワークを通じて間接的に入力したものであれ、それがアクセス管理者の認める識別符号であれ、他のネットワークを通じて間接的に入力したものであれ、それがアクセス管理者の認める識別符号と同一であると自動的に判定された場合にはじめて、そのネットワーク・コンピュータをあらかじめ許可された利用形態で利用できるようにする機能である。 (不正アクセス行為の禁止) 第3条 誰も不正アクセス行為を行ってはならない。 2 次のいずれかの行為を不正アクセスと呼ぶ。 @ アクセス制御がなされているネットワーク・コンピュータに他人のID・パスワードなどの識別符号を入力して、そのネットワークにログインする行為(ただし、そのアクセス制御システムを構築したアクセス管理者が行うそのようなアクセス、またアクセス管理者やそのIDの所有者である他人の承諾を得て行うアクセスは、不正アクセスではない) A アクセス制御がなされているネットワーク・コンピュータに、ネットワークを通じて識別符号以外のデータやコマンドを入力し、そのアクセス制御をかいくぐって侵入する行為(ただし、そのアクセス制御システムを構築したアクセス管理者が行うもの、またアクセス管理者の承諾を得て行う行為は不正アクセスではない。次号も同じ) B ネットワークに接続された特定のコンピュータのアクセス制御によって、他のネットワーク・コンピュータの利用が制限されている場合、そのアクセス制御を行うコンピュータにネットワークを通じてその制限を免れるためのデータやコマンドを入力して、そのネットワーク・コンピュータを利用できるような状態にする行為 (不正アクセス行為を助長する行為の禁止) 第4条 誰も、どのネットワークのものであるかを明らかにして、あるいはどのネットワークのものであるかを知っている者の求めに応じて、他人のID・パスワードなどの識別符号を、アクセス管理者またはそのIDの所有者以外の他人に提供してはならない。ただし、アクセス管理者自身が他人に提示する場合や、アクセス管理者またはそのIDの所有者の承諾を得ている場合はかまわない。 (アクセス管理者による制御装置) 第5条 アクセス管理者は、ID・パスワードなどの識別符号やそれを確認するデータを適切に管理しなければならず、また、普段からセキュリティシステムの有効性を検証し、必要に応じてセキュリティの高度化をはかるなどして、ネットワーク・コンピュータを不正アクセスから守るための必要な措置をとらなければならない。 (都道府県公安委員会による援助等) 第6条、第7条 省略 (罰則) 第8条、第9条 省略 |
|
3.不正アクセス禁止法施行後のトピック 【その1】 他人のID、パスワードを勝手に利用して接続プロバイダ経由でインターネットに接続したとして、岐阜県下呂町の34歳の無職の男が3月15日、千葉県警に不正アクセス禁止法違反の疑いで逮捕された。男の直接の逮捕容疑は、3月5日から7日にかけて福島県の32歳の男性のIDとパスワードを悪用し、自宅から3回、東京都のプロバイダの認証システムを通過し、不正にインターネットにアクセスしたことだった。ただこの男はウェブで他人のIDやパスワードを販売する宣伝をおこない、電子メールで注文を受け付けるビジネスをしていたらしい。千葉県警は、このウェブを発見してコンピュータの通信記録(ログ)を分析。男の自宅の電話番号を割り出して逮捕したという。実際に男の元には客から入金があったとみられ、他人のID、パスワードを教える助長行為に該当する疑いもある。 内容的には本来禁止法が目指しているような事案ではなかった。 【その2】 長崎県佐世保市に本店を置く地方銀行、九州銀行に、外部のサイト閲覧者から、トップページが書き換えられている、と連絡が入ったのは3月24日の午後4時ごろだった。早速サイトを管理している事務部電算課(福岡市)が調べたところ、指摘された通りトップページが黒の背景色に赤い抽象的な模様となり「PANTERA」と書かれた横長の画像と、アルファベットの1部を数字で表記をするハッカー独特のくだけた英文に書きかえられていた。同行はすぐにサイトの公開を停止して調査を始めた。サイトは約240ページで構成され、店舗案内や商品情報、採用案内などを掲載していたが、書きかえられたのはトップページだけだった。書き込まれた英文はおおむね「フィア・ザ・ビア参上。今夜は4回目のハッキングだ。突かれてイライラしている。まだまだハッキングしないと」などの意味で、改ざんしたハッカーのメッセージとみられる。 このケースでは不正侵入者はサイトを改ざんしていることから、電子計算機損壊等業務妨害罪が適用されることになる。 |
|
4.不正アクセス緊急対策 現に侵入されている、という場合は次のように行動すべきである。 @コンソールから管理者でログインし、状況を確認する(そのとき絶対にログアウトしてはならない。2度とログインできなくなることがある。電源も切ってはならない。) Aネットワークからサーバを切り離す Bテープドライブ等で、すべてのHDDのバックアップを作成する C別マシンで、テープを復元する D正常に復元されたことを確認する Eテープを警察官に引き渡す Fサーバ上で可能な限り原因を調べ、ファイルウォール、ルータ等で対策を施す Gさらに別サーバをたて、セキュリティを確保し、元のサーバと交換する |
|
5.さいごに 1:法案作成段階から大きな問題のひとつとなっていたのが、ログ(アクセス記録)の保存義務である。これについては、郵政省と警察官庁との間で大きく意見が分かれた。郵政省案では、ログの保存についてはインターネット・プロバイダなどのじしゅてき判断に任せるべきたとしていたが、警察庁案では一律3ヶ月の保存と捜査機関への提出が義務付けられていた。ログは電気通信事業法にいう「通信の秘密」(同法4条)であるし、また、容易に修正できるから、ログの証拠能力にも疑問があるだけではなく、場合によっては膨大な量のログを保存させることは、プロバイダに対する加重負担にもなる恐れがある。法律では、結局、ログの保存は通信の秘密・プライバシーの侵害となる恐れがあり、一律に義務付けることには合理性を欠くとする、郵政省の意見が優先した。妥当であると思う。 2:不正アクセスが処罰されるからといって、それでネットワークの安全性が確保されるものでないことはいうまでもない。ネットワークの中には非常に高度な技術を持ったものも暗躍している。彼らにっとっては不正アクセスの痕跡すら消し去ることが可能である。現実にそのような事件も発生している。刑罰の抑止効果も、彼らには期待できないおそれがある。 法律は、プロバイダや企業、研究機関などのアクセス管理者に、パスワードを適正に管理するように要求し、適切なセキュリティを講じる努力義務も設けた。公安委員会などによる技術的な支援も行われる。それぞれのネットワーク管理者が不正アクセスの重大性を自覚し、セキュリティについて研究を怠らないということは、ネットワーク管理者の社会的責任を伴う義務でもある。コンピュータやネットワークについての技術的な知識のない一般ユーザーは、ネットワーク管理者のセキュリティ対策を信頼して利用するしかない。確かに完全なセキュリティなどはありえない。しかし、セキュリティを高めていくことは、確実にネットワークの安全性を高めることになる。不正アクセスに対しては、刑事法による事後的な処罰よりも、パスワードなどの厳重な管理を含めて、事前に徹底した防御システムを構築することこそが最強の対策なのである。 |