第80回月例研究会「「不正アクセス禁止法」について」報告
日時 平成13年5月31日
演題 「不正アクセス行為の禁止等に関する法律の概要」
講師 警察庁生活安全局生活安全企画課
セキュリティシステム対策室課長補佐
初川 泰介 氏
(文責:No.526 富山伸夫)

講演要旨

1. 法制定の背景

 インターネット利用者数の爆発的な増加に見られるように、社会のネットワーク化が進むにつれ、ハイテク犯罪件数が1993年に警察庁が統計を取り始めて以来5年で10倍といった勢いで増加している。不正アクセス行為を手段としたハイテク犯罪事例が目立つようになり、被害が深刻化してきた。
 これには、コンピュータをネットワークに接続している社会経済活動の安全を確保しているアクセス制御機能に対する社会的信頼性の確保が重要である。そのために、1994年4月に情報システム安全対策協議会を設置し、パブリックコメントを求めるなど検討を続けた結果、警察庁、総務省、経済産業省の三省共管の法律として平成12年2月施行された。
 一方、1997年デンバーサミット、同年12月にワシントンDCで開かれたG8司法・内務閣僚級会合でハイテク犯罪対策について話し合われ、1998年バーミンガムサミットでの「ハイテク犯罪とたたかうための行動計画」の合意があった。諸外国の法制化が進む中で日本が遅れると、国際捜査共助法の中で我が国が協力出来ないような事態が予想され、欧米先進諸国と連携した国際ハイテク犯罪対策の推進が必要となった事情もある。

2. 不正アクセス禁止法の概要

目的(第1条)
 「不正アクセス行為の禁止等により、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与すること」として、現代社会がこのアクセス制御機能の社会的信頼に依存することを基調としている。

定義(第2条)
 この法で特定の意味を持たせているアクセス管理者、識別符号、アクセス制御機能等の定義を次のように定めている。

アクセス管理者(第1項)

 「電気通信回線に接続している電子計算機(特定電子計算機)の電気通信回線を通じた利用(特定利用)につき当該特定電子計算機の動作を管理する者」

識別符号(第2項)

 「利用権者ごとに定められている符号で、アクセス管理者が他の利用権者と区別して識別するために用いられるもの。」次のいずれか又はその組み合わせ。
  1. アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号
  2. 利用権者の身体の全部若しくは一部の影像又は音声を用いてアクセス管理者が定める方法により作成される符号
  3. 利用権者の署名を用いてアクセス管理者が定める方法により作成される符号
これらの例として、ID・パスワード、指紋、音声などがある。

アクセス制御機能(第3項)

 「正規の利用権者以外の者による特定電子計算機の特定利用を制限するために、当該特定電子計算機の特定利用をしようとする者に識別符号を入力させ、正しい識別符号が入力された場合にのみ利用制限を自動的に解除する当該特定電子計算機等に付加されている機能」

禁止、処罰

不正アクセス行為の禁止(第3条、第8条)
 「アクセス制御機能による利用制限を免れて特定電子計算機の特定利用をできるようにする行為を不正アクセス行為として禁止。違反者には、1年以下の懲役又は50万円以下の罰金。」
 これは、他人のID・パスワードを無断で入力したり、セキュリティホール攻撃などにより、使う資格のない者が使えるようにしてしまうことを指している。
不正アクセス行為を助長する行為の禁止(第4条、第9条)
「他人の識別符号を無断で提供する行為を禁止。違反者には、30万円以下の罰金」

防御措置

アクセス管理者による防御措置(第5条)
 「アクセス管理者は、特定電子計算機を不正アクセス行為から防御するため必要な措置を講ずるよう努めるものとする。」
 これはID・パスワード等の漏洩防止、アクセス制御機能の高度化等を指しているが、条文では何をかは言わず、努力規定で罰則はない。

援助
 都道府県公安委員会による援助(第6条)は、援助の申し出により、手口・原因の解明、防御措置の解明(必要あれば事例分析の外部委託を行う)をして、資料の提供、助言・指導を行う。
 国による援助(第7条)には、不正アクセス行為の発生状況の公表、セキュリティ技術の研究開発状況の公表、広報啓発等の規定がある。
公布日―平成11年8月13日
施行日―平成12年2月13日(6条、8条2項は12年7月)

3. 法違反の特徴と傾向

 平成12年2月13日の法施行日より同年12月31日までの間に、不正アクセス行為の認知件数は106件(海外より25件)あった。被害にあったアクセス管理者の内訳は、次のようであった。
プロバイダ・・・59件
大学・・・8件
情報通信企業・・・6件
その他・・・33件

 認知の端緒は、警察届出53件(アクセス管理者届出30件、利用権者届出23件)、一般人通報7件であり、この内不正アクセス行為後にホームページの改ざん消去など33件、DDoS用攻撃ツール(Trinity V3)を仕掛けられ2件があった。
 この106件に対し、検挙31事件(不正アクセス行為30、同助長行為4、重複3)(検挙67件)、検挙人員37人(内成人31人、少年6人)であった。
 違反検挙事例の紹介があり(省略)、不正アクセス行為で検挙した30事件(検挙62件)の犯行手口を分析してみると、

  • ユーザのパスワード管理の甘さにつけ込んだID・パスワードの入手が12事件(検挙14件)
  • トロイの木馬系のコンピュータ・ウイルスなどのクラッキング・ツールによるパスワード入手やセキュリティ・ホール攻撃が8事件(14件)
  • 他人から入手が6事件(25件)
  • 犯行の発覚を免れるため、海外のプロキシ・サーバを使用していた事件(2件)
  • 被疑者の特徴として検挙した36人の年齢をみると、30代が16人、20代が13人、10代が6人、最年長者48歳、最年少者15歳であった。検挙人員には含まれないものの、刑事責任の無い少年の行為もあった。
  • 犯行の動機としては、利用料金の請求を免れるためが13事件(34件)、嫌がらせ・仕返しが5事件(7件)、メール盗み見が5事件、いたずら目的が2事件、なりすまして別の犯罪などの発覚を免れるためが3事件(7件)であった。
  • 不正アクセス行為が別の犯罪の手段として利用されていた事案としては、8事件(12件)あって、これを列挙すると次のようになる。
    • 薬事法ならびに麻薬及び向精神薬取締法違反事件
    • 業務妨害事件
    • 詐欺事件
    • 名誉毀損事件
    • 電子計算機損壊等業務妨害事件
    • 著作権法違反事件
    • 電磁的記録不正作出事件

 法律施行直後ということもあり、又各企業で被害を出したがらないということもあろうかと思うが、この法律の実効を挙げるには民間でセキュリティに携わる皆さんのご協力が必要と思うので、よろしくお願いしたい。

(主な質疑)

Q: LANは含まれるのか
A: 閉じたLANにも適用される
Q: メインフレームに2,3台端末がついたものはどうか
A: 端末で何らかの処理を行うものは含まれる。コンソールは該当しない
Q: 4条でアクセス管理者が他人に教えても駄目なのか
A: アクセス管理者は善意と見ている。システム検査の際などを想定。(*法人において識別符号の管理を含めシステムの管理をシステム管理者に委任している場合で、このシステム管理者が他人に識別符号を教えた場合は4条違反である。(アクセス管理者はあくまで法人である))
Q: 海外からのアクセスでそのX国に法律が無い場合、日本に侵入しても罰する法は
A: 犯罪の構成要件は日本国内なので、犯罪ではあるが引渡し条項はないので捕まえられない。サイバークライム条約として話し合いが進んでいる。
Q: 以前は他人のコンピュータに入ってファイルを壊したら罪だったが、それより踏み込んでいるのか
A: アクセス制御機能に入ったら罰則ということになる
Q: 法制面での網掛けは万全と考えているのか
A: たとえばウイルス頒布などそれ自体は罰せられない。まだほかに色々あると思う
Q: 不正アクセス行為の判断は
A: アクセス管理者の申し出に対し、公安委員会、警察で判断する
Q: 公安委員会の援助ということが一寸生ぬるい感じがするが
A: 被害の再発防止のためにやっている
Q: 支援体制は、例えば東京ではどの程度か
A: 東京で30名ほどいる。法に基づいたものは必ずやる
Q: 全国で実際にあったものは何件くらいか
A: 認知件数106件は少ないと思うが、公になるとダメージになるとして届け出ない
Q: 都道府県公安委員会が事例分析を委託できるとあるが、委託先はリストアップされているか
A: 都道府県毎の契約による。なにかあったら考えよう
Q: 帯域占領でシステム不能にする攻撃とか、OSに対するおせっかい診断などは該当するのか
A: 単なるポートスキャンは当たらない。入り込んでしまったら該当する。
Q: 刑法に相当するので拡大適用はないということか
A: そうだ。解釈は厳格に行うことになる
Q: 管理者側の責任とは何か。告発されないということか
A: 努力規定なので、そういうことは想定していない
Q: アクセス制御機能に鍵を掛けていないものにたいしてはどうか
A: 法の範疇外である
Q: セキュリティホールを狙ってシステムをダウンさせる行為は
A: アクセス制御の前の行為なのでこの法律には当たらないが、業務妨害罪になる
Q: ブラウザ公開されているもので、あるコード書くとアクセスできて書き換えしたら
A: 通常の利用でアクセスできないものに対して行うことで法違反になる
Q: ポートスキャンによって他にそれを公開し教えているものがあるが
A: 法違反にあたる
Q: 買い物用のID,パスワードはアクセス制御の識別符号に当たるか
A: 当たらない
Q: ファイアウオール攻撃が当たらないとは
A: フィルタリングはあたらない
Q: グループIDは識別符号に当たるか
A: 該当する
Q: 特定条件の代理店を識別するグループIDはどうか
A: 該当する
Q: 事件になったものが37件では、実際はもっと多いのに検挙率が低いのでは
A: 報告による認知が106件でこれくらいのものだ
Q: 刑罰が1年では抑止力としてよわいのでは
A: 他の電気通信事業法などの1〜3年と均衡をとっている
Q: アクセス管理者が悪意で不正アクセスをした場合は
A: 本来の仕事でない場合は該当する
Q: 踏み台になった場合はどの程度の責任がかかるか
A: 民事上の問題にはなろうが、この法では第5条の努力規定になっている
Q: 量刑は外国の法令と比べどうか
A: イタリヤ3年、フランス1年10万フラン、ドイツ3年、イギリス1年、アメリカ州法1年1〜5千ドルで、外国とか他法とのバランスをとっている
Q: 啓発、普及とはどんなことをしているか
A: プロバイダー連絡協議会、学校との連絡協議会、他にシンポジウムをおこなった。都道府県警察のホームページに窓口・連絡先を載せている
Q: 今年になってから鰻のぼりに多発している。警察庁からの要望は
A: セキュリティのレベルを高めて欲しい。検挙プラス各社の努力に尽きると思う

(講師より補足)

 当日の講演で使われた資料(パワーポイントデータ)を他で使うために入用な方は申し出て頂ければ提供します、ということでした。
 (連絡先:日本システム監査人協会定例研究会担当・・・)

(感想)

 永らく日本の法制上の不備として喧しく言われていた不正アクセス規制が漸く先進諸外国と同じレベルになった。考えうるあらゆる事態を想定し、定義と対象行為と規定するのは読み難い条文を見ただけで結構大変なことと思う。それでも法令だけでは問題解決にならないことは、多くの質疑が出されたことからも理解できる。セキュリティに関わる私たちの貢献が問われる時代になっていることを痛感した。