Written by WizLANSCOPE編集部
目 次
不正アクセス禁止法とは、不正アクセス行為や不正アクセスにつながる行為を禁止する法律です。
たとえば、他人のIDやパスワードを無断で使用してシステムにアクセスするといった行為や、他人の識別符号を不正に取得・保管するなど行為が該当します。
本記事では、不正アクセス禁止法で禁止されている行為や罰則、違反して実際に逮捕された事例などを解説します。
▼本記事でわかること
- 不正アクセス禁止法で禁止されている行為
- 不正アクセス禁止法に違反した場合の罰則
- 不正アクセスへの対策方法
- 不正アクセス対策に役立つセキュリティソリューション
不正アクセス禁止法の違反事例もあわせて解説するので、ぜひ不正アクセスへの理解を深めるきっかけとしてください。
不正アクセス禁止法とは
「不正アクセス禁止法」とは、不正アクセス行為そのものはもちろん、不正アクセスにつながる行為、不正アクセスを助長する行為を禁止する法律です。
正式名称は「不正アクセス行為の禁止等に関する法律」であり、2000年(平成12年)2月13日に施行されました。
不正アクセス禁止法は全14条あり、以下のような構成になっています。
第一条:目的
第二条:定義
第三条~第十条:遵守すべき内容や違法とされる行為
第十一条~:罰則
この法律で具体的に禁止されている行為としては、以下が挙げられます。
- 他人のIDやパスワードを無断で使用してシステムにアクセスする行為
- 本人の許可なくアクセス制御を破ってシステムに侵入する行為
- 不正アクセスのためのプログラムや情報を第三者に提供・共有する行為
これらに違反した場合は、刑事罰が科される可能性があり、個人・法人問わず厳しい責任を問われます。
不正アクセス禁止法で禁止されている行為
不正アクセス禁止法では、不正アクセス行為はもちろん、不正アクセス行為を禁止することの実効性を確保するために、以下の4つの行為も禁止しています。
- 他人の識別符号を不正に取得する行為
- 不正アクセス行為を助長する行為
- 他人の識別符号を不正に保管する行為
- 識別符号の入力を不正に要求する行為
不正アクセス禁止法で禁止されている行為を確認していきましょう。
他人の識別符号を不正に取得する行為
他人が使用するID、パスワード、ICカード情報などの「識別符号」を、本人の許可なく取得する行為は禁止対象になっています。
具体的には、盗み見、なりすまし、フィッシング詐欺、ソーシャルエンジニアリングなどの手法によって、他人の認証情報をだまし取ったり、不正に入手したりといったケースが含まれます。
なお、メールで他人の識別符号が勝手に送りつけられた場合などは、本人の意思で取得したものではないため、違反にはなりません。
不正アクセス行為を助長する行為
本来アクセス権限のない人物にアクセス権限を許可なく提供したり、正当な理由もなく他人のID・パスワードを伝達したりする行為も禁止の対象です。
具体的には、以下のような行為が該当します。
- 他人のID・パスワードを許可なくインターネット上に公開する
- 社内関係者のみにしか共有されないシステムへの認証情報を社外の人物に提供する
これらの行為は、犯罪行為を間接的に促進するものであり、社会全体のサイバーセキュリティを脅かす重大な行為とみなされています。
他人の識別符号を不正に保管する行為
他人のIDやパスワードなどを、不正に取得したうえで、自身のパソコンやサーバーに保管しておく行為も禁止されています。
たとえその情報をまだ使用していなかったり、明確な利用意図がなかったりする場合も、後々悪用される可能性が高いため、厳重に規制されています。
これはあくまで「不正に取得した」他人の識別符号の保管が対象であり、管理者が保管を前提として取得したものは含まれません。
識別符号の入力を不正に要求する行為
フィッシング詐欺のように、ユーザーをだまして偽のWebサイトや電子メールを通じてIDやパスワードの入力を促す行為も禁止されています。
アクセス管理者(正規の運営者)を装って入力を求める手法は、ユーザーの信用を悪用する極めて悪質な手口であり、一度情報を搾取されると被害が深刻化する恐れがあります。
このような行為に対しても、不正アクセス禁止法では厳しい対応が取られています。
不正アクセス禁止法に違反した場合の罰則
前述した「不正アクセス禁止法で禁止されている行為」に該当した場合、以下の罰則が科される可能性があります。
| 不正アクセス行為をおこなった | 3年以下の懲役又は100万円以下の罰金 |
|---|---|
| 他人の識別符号を不正に取得した | 1年以下の懲役または50万円以下の罰金 |
| 他人の識別符号を無断で第三者に提供した | 1年以下の懲役または50万円以下の罰金(相手方に不正アクセス行為の目的があることを知っていた場合 ) 30万円以下の罰金(手方に不正アクセス行為の目的があることを知らなかった場合 ) |
| 不正に取得した他人の識別符号を保管した | 1年以下の懲役または50万円以下の罰金 |
| アクセス管理者になりすまして識別符号の入力を不正に要求した | 1年以下の懲役または50万円以下の罰金 |
前述した通り、不正アクセス禁止法では幅広い行為が厳格に取り締まられているため、悪意がない場合でも、重い罰則が科せられるリスクがあります。
原則、罰則の対象は不正アクセスを行った個人です。
しかし企業・組織が、従業員による不正アクセスを黙認していたり、企業として講じるべきセキュリティ対策を実施していなかったりする場合は、不正アクセス禁止法とは別で責任を問われる恐れがあります。
たとえば、自社のシステムやサーバーの脆弱性を放置していたことが影響して、サイバー攻撃の踏み台として使われてしまうと、自社が直接の攻撃者でない場合も、損害賠償を請求される可能性があります。
また、サイバー攻撃の踏み台として使われたことが世間に知られると、取引先やステークホルダーからの信頼が失われ、売上の低下やブランドイメージの低下につながるリスクもあるでしょう。
企業側は、不正アクセスの被害者、不正アクセスを利用したサイバー攻撃の加害者にならないように、適切なセキュリティ対策を講じる必要があります。
不正アクセス禁止法に時効はあるのか
不正アクセス行為に対しても、ほかの刑事犯罪と同様に「公訴時効(※刑事事件として起訴できるまでの期限)」が適用されます。
刑事訴訟法第250条では、罪の重さに応じて時効期間が定められており、「長期五年未満の懲役、禁錮または罰金に当たる罪については、時効は3年」と規定されています。
不正アクセス禁止法に基づく罰則は、最も重い場合でも「3年以下の懲役または100万円以下の罰金」とされているため、不正アクセス行為は「長期5年未満」の犯罪に分類され、公訴時効は3年となります。
したがって、不正アクセス行為が発生してから3年が経過すると、刑事訴追(起訴)ができなくなります。
不正アクセス禁止法に違反した事例
不正アクセス禁止法の違反事例・被害事例を3つ紹介します。
不正アクセスを適切に対策できる環境を構築していないと、不正アクセスの被害にあうだけでなく、自社のネットワークやサーバーを介して、サイバー攻撃の加害者になってしまうリスクもあります。
事例を参考に不正アクセスがもたらすリスクへの理解を深めましょう。
携帯電話会社のシステムに不正アクセスし、情報を転売した事例
2025年2月、生成AIを悪用して作ったプログラムで不正に携帯電話の通信回線を契約し、転売したとして、不正アクセス禁止法違反と電子計算機使用詐欺の疑いで3人の少年が逮捕されました。
3人は、秘匿性の高い通信アプリ、「テレグラム」を通じて30億件以上のIDやパスワードを購入し、携帯電話会社のシステムに不正にログインしました。
さらにChatGPTで作成したプログラムを利用し、入手したID・パスワードを機械的に入力し、105回線を不正に契約していました。
不正に契約した回線を転売し、およそ750万円相当の暗号資産を得ていたことがわかっています。
不正アクセスで不特定多数に迷惑メールが送付された事例
2024年4月、求人サイトを運営する企業のメールサーバーが不正アクセスを受け、不特定多数に迷惑メールが送信される事態が発生しました。
個人情報や機密情報の漏洩はなかったことが確認されていますが、送信されたメールがフィッシングメールであったため、当該メールの削除が呼びかけられています。
この企業は、メールサーバーへの外部アクセスを遮断し、その後公式サイトで謝罪文を掲載、発防止策を講じています。
不正ログインでサイバー攻撃の踏み台となった事例
2024年4月、都内の大学研究室で運用していた計算用サーバーが不正アクセスを受け、攻撃の踏み台とされていたことが判明しました。
2024年3月に外部機関から不審な通信の通報があり調査した結果、サーバー構築時に「test」という安易なパスワードが設定されていたことが不正アクセスの原因とされました。
また、適切なセキュリティ対策が講じられずに学外からリモート接続が可能な状態で運用されていたため、大量のログインが施行され、不正なログインに繋がりました。
計算用サーバーであったため、個人情報や機密情報の漏洩には繋がりませんでした。当該大学は、公式サイトに謝罪文を掲載し、再発防止に向けてセキュリティ対策の強化を図っています。
企業が実施すべき不正アクセス対策
企業が不正アクセスの被害に見舞われると、顧客情報や機密情報が漏洩するリスクだけでなく、サイバー攻撃の踏み台となってしまったり、レピュテーションリスクが高まってしまったりなど、さまざまなリスクが想定されます。
不正アクセスの被害にあわないためには、日頃から適切にセキュリティ対策・教育を講じる必要があります。
本記事では、企業が実施するべき不正アクセスへの対策を5つ紹介します。
- 認証の強化
- 定期的なパッチ適用やセキュリティアップデート
- 不正アクセスを検知できるシステムの導入
- 従業員への情報セキュリティ教育の実施
- 定期的な脆弱性診断・ペネトレーションテストの実施
詳しく確認していきましょう。
認証の強化
システムやサービスにアクセスする際の認証プロセスを強化することは、不正アクセス対策の基本です。
複雑なパスワードを設定することに加え、多要素認証(MFA)などを導入することが有効です。
多要素認証とは、ユーザーの身元確認のため「知識情報」「所持情報」「生体情報」の中から2つ以上の認証要素を組み合わせ、認証をおこなうセキュリティ手法です。
多要素認証に用いられる認証要素の例は以下のとおりです。
| 名称 | 内容 | 具体例 |
|---|---|---|
| 知識情報 | 本人だけが把握している情報 | ・パスワード ・個人識別情報(PIN) ・秘密の情報 |
| 所持情報 | 本人だけが物理的に所持している物の情報 | ・スマートフォン ・セキュリティキー ・ICカード |
| 生体情報 | 本人固有の身体情報 | ・指紋 ・静脈 ・虹彩 |
多要素認証を導入することで、万が一IDやパスワードが漏洩しても、不正にアクセスされる確率を低減できます。
定期的なパッチ適用やセキュリティアップデート
システムやアプリケーションなどに脆弱性があると、攻撃者はそれを悪用して不正アクセスをおこないます。
そのため、定期的なパッチの適用やセキュリティアップデートを実施し、脆弱性を迅速に解消することが求められます。
詳細は後述しますが、「LANSCOPE エンドポイントマネージャー」は、 組織や特定のセキュリティパッチ単位で適用状況を確認し、未適用端末には再配信するなど、パッチの適用漏れを防ぐことができる機能が搭載されています。
下記のような課題をお持ちの企業の方は、ぜひ「LANSCOPE エンドポイントマネージャー」の機能をご確認ください。
- セキュリティパッチが適用できているかわからない
- 最新の状態になっている端末となっていない端末を簡単に確認できない
- 組織や部署などの単位で、状態が確認できない
- 誰が対応しているのか、どの端末が反映できているのかなど、適用状況の把握に時間がかかっている
- パッチを適用していない特定の端末に個別配信ができない
不正アクセスを検知できるシステムの導入
侵入を防ぐだけでなく、万が一侵入された場合に、いち早く気付くための仕組みも重要となります。
「IDS(侵入検知システム)」や「IPS(侵入防止システム)」「NDR」などを導入し、不審なアクセスや通常とは異なる挙動をリアルタイムで検知・通知できる体制を整えましょう。
| セキュリティソリューション | 対応範囲 | 機能と強み |
|---|---|---|
| ファイアウォール | ネットワークの入口 | ネットワークへの不正アクセスを防ぐ |
| IDS/IPS | ネットワーク侵入後の検知・防御 | 不正なトラフィックを検出する(IPSでは侵入のブロックも可能) |
| NDR | ネットワークに侵入後の検知・対応 | ネットワークへ侵入した脅威をリアルタイムで検知 |
迅速な検知と対応が、被害の拡大防止につながります。
従業員への情報セキュリティ教育の実施
対策の仕組みを作ったとしても、セキュリティ意識が低い従業員がいる場合は、無駄になってしまう可能性があります。
そのため、企業は従業員一人ひとりのセキュリティ意識の向上にも取り組む必要があります。
定期的に情報セキュリティ研修を実施し、「不審なメールや添付ファイルの取り扱い」「パスワード管理の重要性」「ソーシャルエンジニアリング対策」などについて周知・徹底を図りましょう。
ヒューマンエラーを減らすことが、結果的に不正アクセスリスクの低減につながります。
定期的な脆弱性診断・ペネトレーションテストの実施
脆弱性診断とは、システムやアプリケーションに存在する「既知の脆弱性(セキュリティ上の欠陥)」を特定し、リスクを評価するものです。
対して、ペネトレーションテストは、実際の攻撃者の視点でセキュリティを評価し、システムがどの程度侵害される可能性があるかを検証する手法です。
前述の「不正アクセスの被害事例」でも解説した通り、不正アクセスの被害リスクは、顧客情報や機密情報が漏洩するリスクだけでなく、フィッシングメールを顧客に送ってしまうなど、サイバー攻撃の加害者となり、不正アクセス禁止法に違反するリスクもあります。
そのため企業は、不正アクセスの被害にあわない・不正アクセス禁止法に違反しないために、適切なセキュリティ対策を講じる必要があります。
脆弱性診断やペネトレーションテストを実施することで、自社が利用しているシステムやアプリケーションなどが、どのような脆弱性を抱えているかを客観的に把握することや、防御の実効性を確認することができるようになります。
定期的に実施し、脆弱性やセキュリティホールを発見・改善することで、不正アクセスの被害に見舞われるリスクを低減することができるでしょう。
自社がサイバー攻撃の被害者・加害者にならないためには、日頃からセキュリティを強化することに加えて、定期的に脆弱性診断やペネトレーションテストを実施し、自社のセキュリティ状況を把握することが大切です。
不正アクセス対策についてさらに詳しく知りたい方は、ぜひ以下の記事もご覧ください。
不正アクセス対策にはLANSCOPE プロフェッショナルサービスの「脆弱性診断」
「LANSCOPE プロフェッショナルサービス」では、不正アクセス対策にも有効なセキュリティソリューションを提供しています。
本記事では、不正アクセス対策に役立つ3つのセキュリティソリューションをご紹介します。
- 脆弱性診断・セキュリティ診断
- クラウドセキュリティ診断
- LANSCOPE エンドポイントマネージャー クラウド版
不正アクセスで狙われる脆弱性に有効な「脆弱性診断・セキュリティ診断」
1つ目にご紹介するのが、自社のネットワークやアプリケーションのセキュリティ課題を明らかにする「脆弱性診断・セキュリティ診断サービス」です。
不正アクセスは、企業のシステムやネットワークの脆弱性を悪用して実施されます。
不正アクセスをはじめとするサイバー攻撃の被害を防ぐためには、自社のシステムやネットワークの脆弱性を適切に把握し、対策を講じる必要があります。
LANSCOPE プロフェッショナルサービスの「脆弱性診断・セキュリティ診断」は、企業のシステムやネットワークなどを調査し、システム上の脆弱性やハッキングを受ける可能性があるセキュリティホール、機密情報の持ち出しなどの内部不正といった、さまざまなセキュリティリスクを洗い出すサービスです。
診断後は、各脅威の種類やリスクレベルだけでなく、「適切な対策内容」もあわせてお伝えするため、着実な脆弱性の修正とセキュリティレベル向上を目指すことができます。
前述した通り、不正アクセスが可能な環境になっていると、企業の情報が漏洩するリスクだけでなく、情報を悪用したサイバー攻撃の加害者になるリスクもあります。
適切なセキュリティ対策が講じられていないと、自社がサイバー攻撃の加害者になり、不正アクセス禁止法に違反するリスクが増大します。
Webアプリケーション、ネットワーク、IoTなど、さまざまな種類の診断をご用意しているので、ぜひ自社に最適な診断の実施をご検討ください。
また、「何からすべきかわからない」「初めて診断を受ける」という方に向けて、「脆弱性診断パッケージ」や「セキュリティ健康診断パッケージ」もご用意しています。
セキュリティ対策の強化にぜひご活用ください。
また、万が一不正アクセスを受けた際に「どの程度の被害が起きるか」「感染後、適切な対策が可能か」を明らかにできる「ペネトレーションテスト」も提供しています。
実際のサイバー攻撃を想定した疑似攻撃を仕掛け、現状のセキュリティレベルや課題を洗い出すことが可能です。
クラウドサービスの設定不備による不正アクセスを防ぐ「クラウドセキュリティ診断」
2つ目にご紹介するのが「クラウドセキュリティ診断」です。
前述の通り、近年ではクラウドサービスを悪用した「不正アクセスや情報漏洩事故」が、後を絶ちません。
これらの被害の原因の多くが、「アクセス権限の設定不備」や「ログイン設定の脆弱性」に起因します。
LANSCOPE プロフェッショナルサービスの「クラウドセキュリティ診断」は、「Microsoft365」や「AWS」「Salesforce」といった、ご利用中のクラウドにおける設定不備を専門スタッフが正しく設定することで、不正アクセスによる被害を最小限にとどめることが可能です。
クラウドサービスの設定に不安や疑問をお持ちの企業の方は、ぜひ「クラウドセキュリティ診断」の実施をご検討ください。
情シス1,000人に聞いた!
「クラウドサービスのセキュリティ対策」実態調査
情シス1,000人に「自社のクラウドサービスのセキュリティ対策」
についてお聞きしました。
クラウドを運用中・導入予定の情シス様は、必見のデータです!
パッチ適用の管理や不正アクセス・異常な通信の検知に「LANSCOPE エンドポイントマネージャー クラウド版」
前述した通り、「LANSCOPE エンドポイントマネージャー クラウド版」は、セキュリティパッチの適用状況やOSの更新状況を簡単に確認することができる機能が搭載されています。
最新のOSに更新されていなかったり、セキュリティパッチが適用されていなかったりすると、脆弱性を利用されて、不正アクセスをはじめとするサイバー攻撃の被害に見舞われる可能性が高くなります。
ぜひ、「LANSCOPE エンドポイントマネージャー クラウド版」を利用して、効率的なパッチ管理の実現を目指してください。
また、不正アクセスや異常な通信の検知にも、「LANSCOPE エンドポイントマネージャー クラウド版」の利用がおすすめです。
「LANSCOPE エンドポイントマネージャー クラウド版」は、従業員が利用するPC・スマホにおいて、以下のような操作ログを取得します。(一例です)
- ログオン・ログオフログ
- アプリ利用ログ
- ファイル操作ログ
- Webアクセスログ
- 通信機器接続ログ(Wi-Fi/Bluetooth)
「どのパソコンで」「誰が」「いつ」「どんな操作をしたか」などの利用状況を簡単に把握でき、PCの操作ログは最大5年の保存が可能です。
情報漏洩に繋がりそうな従業員の操作は、アラートで管理者に通知されるため、不正行為の早期発見・インシデントの防止が可能です。
昨今、退職予定者など内部からの情報漏洩事件も後を絶ちません。
アクセスログを取得することで、従業員による不審なアクセスや操作の検出、セキュリティポリシーに違反する行動の取り締まりを効率的に実施できます。
社内外からの不正アクセスを防ぐために、また、自社がサイバー攻撃の加害者となることを防ぐために、ぜひ「LANSCOPE エンドポイントマネージャー クラウド版」をご利用ください。
まとめ
本記事では「不正アクセス禁止法」をテーマに、禁止されている行為や罰則、さらには不正アクセスを防ぐために企業が実施すべき対策を解説しました。
▼本記事のポイント
- 不正アクセス禁止法では、不正アクセス行為はもちろん、「他人の識別符号を不正に取得する行為」「不正アクセス行為を助長する行為」「他人の識別符号を不正に保管する行為」「識別符号の入力を不正に要求する行為」も禁止されている
- 不正アクセス行為を実施した場合「3年以下の懲役または100万円以下の罰金」が科される
- 不正アクセスから企業・組織を守るためには、認証強化や不正アクセスを検知するシステムの導入、従業員へのセキュリティ教育などを実施する必要がある
- 不正アクセスを防ぐ体制を構築できないと、自社がサイバー攻撃の加害者となるリスクや、不正アクセス禁止法に違反するリスクが増大してしまう
- 定期的に脆弱性診断・ペネトレーションテストを実施することで、不正アクセスやサイバー攻撃の被害にあうリスクを低減できる
「不正アクセス禁止法」によって、不正アクセス行為や不正アクセスにつながる行為は厳しくと取り締まられています。
それでも攻撃者は、企業・組織が保有する情報を窃取するために、あの手この手で不正アクセスを試みており、その手口や手法は年々高度に巧妙になっています。
被害にあわないためには、平時から多層的な不正アクセス対策を実施するなど、堅牢なセキュリティ体制を整える必要があります。
本記事で紹介した「脆弱性診断・セキュリティ診断」「クラウドセキュリティ診断」などを実施し、ぜひセキュリティ強化に役立ててください。
おすすめ記事
