ネットワークを経由した不正アクセスは,企業情報システムにとって重大な脅威である。こうした行為を禁止しているのが「不正アクセス禁止法」だ。同法は,不正アクセス行為の定義と罰則だけではなく,管理者側にも不正アクセス行為を防ぐ義務を課していることに注意したい。
ハッカーにあこがれ,中学2年ごろから独学でコンピュータの勉強を始めた中学3年の少年が,セキュリティ・ホールを攻撃するハッキング用プログラムをインターネットで入手。2003年3月28日にこのプログラムを使って,スロバキアのサーバーから,タイ国内のサーバーを中継して東京都内の会社員が運営するホームページに不正に侵入。そのうえで,イラク戦争に対する反戦メッセージを表示するよう改ざんした。少年は,このほかにも23カ国124サイトで,ホームページを改ざんして反戦メッセージを表示していた。
警視庁ハイテク犯罪対策総合センターは,2003年6月10日に東京地方検察庁に事件を書類送検。検察官は,少年の行為は他人のコンピュータに不正にアクセスする犯罪行為であり,不正アクセス禁止法に違反しているとして,この事件を家庭裁判所に送致した。(東京家庭裁判所 2003年6月24日受理少年保護事件 捜査研究628号42頁)
今回は,ネットワークを介したコンピュータへの不正アクセス行為を禁止した「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」にスポットを当てる。
企業情報システムへの外部からの侵入を防ぐセキュリティ対策を施す際には,必要になる知識なので,正確に理解して欲しい。
不正なアクセスを禁止
1987年に,コンピュータ犯罪に対応するために刑法が改正され,「電磁的記録不正作出・供用」,「電磁的公正証書原本不実記載」,「電子計算機業務妨害」,「電子計算機使用詐欺」,「電磁的記録毀棄」が処罰されることになった(表1)。なにやら難しい言葉を並べたが,要はデータの不正な作成,コンピュータの不正な操作やデータ改ざんによる業務妨害や詐欺,公的なデータの改ざんや破棄は,刑法により罰せられるということだ。
ただし,これらの規定も,通信回線に対する不正な侵入を禁止する法律(表2)も,ネットワークに接続したコンピュータに対する不正なアクセスは対象にしていなかった。そこで,ネット経由の不正アクセス行為を取り締まるために2000年から施行されたのが,「不正アクセス禁止法」である。
不正アクセス禁止法は,ネットワークに接続されたコンピュータ(不正アクセス禁止法では「特定電子計算機」と呼ぶ)に対する「不正アクセス行為」と「不正アクセス助長行為」を禁止している。
不正アクセス行為とは,(1)他人のIDやパスワードなどをネットワークを経由してコンピュータに入力することで,他人になりすましてアクセスする行為(3条2項1号)と,(2)コンピュータ・システムの安全対策上の不備(セキュリティ・ホール)を利用してネットワーク経由でアクセスする行為(3条2項2号)を指す(図1)。
管理者の義務も規定
不正アクセス行為自体を放置しておくと,情報が漏えいしたり,データが改ざんされる恐れがある。攻撃によってコンピュータが機能停止する可能性もある。このため,不正アクセス禁止法では,不正アクセス行為に対して厳しい罰則を規定している。具体的には,不正アクセス行為を犯した者は,1年以下の懲役または50万円以下の罰金に処せられ(8条1号),不正アクセス行為を助長した者は,30万円以下の罰金に処せられる(9条)。
ただし,被害者が加害者を処罰してもらうためには,被害者側のコンピュータに,IDやパスワードなどによる「アクセス制御機能」が備わっていることが前提条件となる(5条,図1参照)。アクセス制御機能のないコンピュータが不正にアクセスされても,被害者は処罰を求めることができない点には,注意して欲しい。
