不正アクセス
不正アクセス禁止法
【コンピュータの不正利用に対する規制】
不正な情報利用の横行に対応するため、コンピュータの利用にかかわる犯罪には、刑法で以下のような規制が設けられている。
・情報の改ざん行為:電子計算機損壊等業務妨害罪
・虚偽の情報の送信行為:電磁的記録不正作出・供用罪
・ウイルスの作成行為:不正指令電磁的記録作成・提供等に関する罪
他方、とりわけネットワークに関する不正アクセスを禁止する法律として、「不正アクセス行為の禁止等に関する法律」(以下、「不正アクセス禁止法」)がある。
【不正アクセス禁止法の概要】
不正アクセス禁止法は、インターネット等のコンピュータ通信ネットワークでの通信について、不正アクセス行為およびその助長行為を禁止する法律である。
不正アクセス禁止法が禁止する「不正アクセス行為」は、次の2種類である。
・不正ログイン
・セキュリティホール攻撃(システムの脆弱性への攻撃)
【不正アクセス行為の定義】
アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為
※「特定利用し得る状態」とあるように、実際に利用したかどうかにかかわらず、そのような状態にさせれば不正アクセス行為が成立する。
【識別符号】
識別符号とは、利用者が、アクセス管理者から他の利用者と区別するために付された符号であり、
①みだりに第三者に知らせてはならないものとされたもの
②当該利用者等の身体の一部の影像又は音声を用いてアクセス管理者が定める方法により作成されたもの
③当該利用者等の署名を用いてアクセス管理者が定める方法により作成されるものをいう。
①の具体例は、ID・パスワードで、②の「影像」の具体例は、指紋や虹彩である。
②や③は、アクセス管理者が定める方法により数値(符号)化されたものが識別符号となり、それ単体で識別符号となる場合と、IDなどと組み合わせて識別符号となる場合がある。
【電気通信回線】
電気通信回線とは、インターネット回線のことである。
不正ログイン行為の定義には、「電気通信回線を通じて」という文言があるので、インターネット回線を通じてなされていない場合は、不正アクセス禁止法にいう不正ログイン行為には該当しないことになる。
このように、不正アクセス禁止法は、あくまでネットワークを通じた不正行為を対象としており、例えばID・パスワードでロックされたスタンドアローンのコンピュータに直接IDやパスワードを打ち込んでこれを起動するような行為は、不正アクセス禁止法に言う不正アクセス行為にはならない。
【セキュリティホール攻撃の定義】
セキュリティホール攻撃には、2つの定義がある。
一つ目の定義は、「アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為」である。
この一つ目の定義は、アクセス制御機能を有するネットワークに接続されたコンピュータを直接攻撃する場合を想定している。
二つ目の定義は、「電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為」である。
この二つ目の定義は、ネットワークに接続された他のコンピュータを踏み台にしてアクセス制御機能を有するコンピュータを攻撃する場合を想定している。
※「特定利用し得る状態」とあるように、実際に利用したかどうかにかかわらず、そのような状態にさせれば不正アクセス行為が成立する。