不正アクセス禁止法とは？ 禁止行為や罰則、事例を紹介

不正アクセス禁止法とは

インターネットの普及に伴い、不正アクセスやフィッシング詐欺といったサイバー犯罪が急増しました。この問題に対応するために制定された法律が不正アクセス禁止法です。この法律の概要や制定された理由について詳しく解説します。

不正アクセス禁止法とは

不正アクセス禁止法の正式名称は、「不正アクセス行為の禁止等に関する法律」といい、インターネットやコンピューターネットワークの普及に伴い、情報セキュリティの確保を目的に制定されました。

不正アクセスとは、悪意のある第三者が他人のIDやパスワードを利用してコンピューターやネットワークに不正に侵入する行為を指します。例えば、企業のネットワークに対する大規模なサイバー攻撃や、個人のSNSアカウントへの不正ログインなどです。これらは、個人情報の漏洩や企業の機密情報の流出、システムの破壊など、深刻な被害をもたらすケースも多いため、不正アクセス禁止法によって他人のコンピューターやネットワークに対する不正なアクセスを禁止し、情報資産の保護を図る法的枠組みを提供しています。

制定された理由

1990年代後半から2000年代初頭にかけて、インターネットの急速な普及とともにサイバー犯罪が増加。特に、他人のIDやパスワードを不正に取得してシステムに侵入する行為や、システムの脆弱性を突いて不正にアクセスする行為が社会問題となりました。これらに対処するため、1999年8月に不正アクセス禁止法が制定され、2000年2月に施行されました。施行以来、数回の改正が行われています。

不正アクセス禁止法の目的は、情報化社会においてコンピューターの安全性を確保し「高度情報通信社会の健全な発展に寄与すること」（同法第一条）です。コンピューターシステムへの不正アクセスを禁止し処罰すること、不正アクセスを防止するための措置を講じることを目的としています。

不正アクセス禁止法で禁止されている行為

不正アクセス禁止法では、他人のIDやパスワードの不正取得・利用、システムに存在する未修正のセキュリティホール（脆弱性）を突いた不正アクセス、不正アクセス行為の助長が禁止されています。不正アクセス禁止法に抵触する恐れがある行為は次のとおりです。

不正アクセス行為

他人のID・パスワードを不正に利用してコンピューターやWebサービスなどにログインした時点で、その行為は「不正アクセス罪」に該当します。

他人のパスワードなどの不正取得

実際にログインするかどうかにかかわらず、他人のID・パスワードなどを不正に取得すると「不正取得罪」に問われます。例えば、従業員のID・パスワードを記録したリストを不正に閲覧したり、外部に持ち出したりする行為は不正取得にあたる可能性があるため、注意が必要です。

正当な理由がない認証情報伝達

他人の認証情報を、本来知る必要のない人へ伝える行為も不正アクセス禁止法に抵触します。正当な理由なく認証情報を伝達することは、不正アクセスを助長する行為として「不正助長罪」とみなされるからです。

不正アクセスのための認証情報保管

他人の認証情報を保管することも、不正アクセスに利用される恐れのある行為として禁止されています。他人の認証情報を知り得た経緯を問わず、その情報をメモなどに書き留めたり、USBメモリなどに保存したりすることによって、不正アクセスに使われる可能性があると考えられるからです。違反した場合には「不正保管罪」に問われます。

不正な認証情報の入力要求

情報管理者の承諾を得ることなく、認証情報の入力を求める行為も禁止されています。実在する企業名やサービス名をかたり、ユーザーIDやパスワードを窃取するフィッシングの手口は、不正な入力要求の典型です。違反した場合は「不正入力要求罪」に問われます。

不正アクセス禁止法に違反した場合の罰則

不正アクセス禁止法は、情報セキュリティの確保と個人情報の保護を目的とし、サイバー犯罪を防止するための重要な法律です。この法律は、不正アクセス行為およびその助長行為を防止するため、厳しい罰則を設けています。不正アクセス禁止法で禁止されている行為には、それぞれ次の罰則が科されます。

• 不正アクセス行為：
  3年以下の懲役または100万円以下の罰金が科されます。（たとえ犯罪と知らずに手助けした場合でも、30万円以下の罰金が科される可能性があります）
• 他人のパスワードなどの不正取得：
  1年以下の懲役または50万円以下の罰金が科されます。
• 正当な理由がない認証情報伝達：
  1年以下の懲役または50万円以下の罰金が科されます。
• 不正アクセスのための認証情報保管：
  1年以下の懲役または50万円以下の罰金が科されます。
• 不正な認証情報の入力要求：
  1年以下の懲役または50万円以下の罰金が科されます。

不正アクセスの被害事例

不正アクセスの被害には、個人情報や機密情報の漏洩、システムの破壊などのリスクが挙げられます。ひとたび情報漏洩が発生すると組織としての信頼性に大きな影響を及ぼします。また、ランサムウェアなどのマルウェアに感染し、システムが破壊されると業務が滞り、事業継続が難しくなるリスクもあります。ここでは、過去の事例を交えながら、不正アクセスの手口を紹介します。

被害事例 ➀：サーバー不正アクセスと情報改ざん

ある公共機関において、正規の利用者になりすました第三者がサーバーに不正アクセスし、情報を改ざんしてしまうという被害が発生しました。攻撃者はログインに必要なIDやパスワードを入手して侵入。内部の端末にインストールした遠隔操作ソフトウェアを利用して情報を書き換えました。

被害事例 ➁：偽SMSによる会員アカウント不正アクセス

ある通信サービスの会員アカウントが不正アクセスされ、被害を受けた事例があります。正規の企業を装って「異常ログインがあった」「高額料金が発生している」といった内容のSMSを送りつけ、偽のWebサイトに誘導してIDとパスワードを窃取。利用者から不正に取得したIDやパスワードは、高価な電子機器を購入して転売するために悪用されました。

被害事例 ③：設定不十分による個人情報流出

あるオンラインサービスに対して不正アクセスが発生し、利用者の名前、住所、メールアドレス、支払い情報といった個人情報が流出する被害がありました。不正アクセスの原因は、担当者の誤操作やセキュリティ設定不の十分さに起因するものとされています。

不正アクセスを防止するための対策

不正アクセスは、個人情報の窃取やデータの破壊・改ざんなど、さまざまなリスクをもたらすため、それらを防止する対策が重要になります。ここでは、不正アクセスを防止するための主な対策を紹介します。

• OSやアプリケーションなどソフトウェアの更新
  システムの脆弱性を狙った攻撃を防ぐため、常に最新の状態に保ち、脆弱性を排除することが重要です。
• IDとパスワードの管理
  ルールを定めて複雑なパスワードを設定し、定期的に変更することが推奨されています。また、パスワードを安全に保管し、他人に知られないようにすることが重要です。
• 多要素認証（MFA）の導入
  パスワードに加えて、スマートフォンの電話番号の確認や指紋認証などを組み合わせた多要素認証を導入することで、セキュリティの強化が期待できます。
• 不要なアカウントの削除
  使用していないアカウントは不正アクセスのリスクを高めるため、不要になった時点で速やかに削除します。
• 各種セキュリティ対策ソフトウェアの導入
  外部からの侵入や攻撃を迅速に検知し、対応できる環境を構築します。信頼性の高い対策ソフトウェアを選び、常に最新の状態に保つことが重要です。
• 各種セキュリティソリューションの導入
  UTM（統合脅威管理）などを導入し、外部からの攻撃を防ぎます。
• 情報セキュリティ教育の実施
  定期的なセキュリティ教育を実施することで、従業員の情報セキュリティ意識を向上させることも重要な対策です。

まとめ

ここまで、不正アクセス禁止法の概要や禁止行為、罰則、事例などを紹介してきました。2000年の同法施行以降、さまざまにサイバー犯罪の防止が図られ、情報セキュリティの確保が進められました。

各組織においても、情報セキュリティは重大な課題となっており、技術的対策と人的施策の両面からの対応が求められています。各種対策ソフトウェアやソリューションの導入、OSなどのソフトウェアの更新、IDやパスワードの管理、情報セキュリティ教育など、広範囲な対応が必要です。

クライアント運用管理ソフトウェア「SKYSEA Client View」では、組織内で利用するOSやソフトウェアを、常に最新の状態に保つために更新プログラムの適用状況を確認し、各PCに対して更新プログラムを配布できる機能を搭載。そのほか、さまざまな角度から情報セキュリティ対策にお役立ていただける機能をご用意しています。さらに、従業員が日ごろ意識すべき情報セキュリティ対策を紹介する研修も提供しています。不正アクセス対策の強化を目指す事業者様は、ぜひ「SKYSEA Client View」の導入をご検討ください。