不正アクセス

不正アクセス禁止法とは?事例や対処・予防方法について紹介!

「不正アクセス禁止法ってどんな法律なんだろう?」
「具体的にどんな行為が禁止されているの?」

このような疑問を感じている方もいるのではないでしょうか。

不正アクセス禁止法は、不正アクセス行為そのものや、その事前準備とされる行為を禁止し、処罰する法律です。

しかし、実際の条文を見ても専門家でなければ「何が書いてあるのか分かりにくい」と感じてしまうのではないでしょうか。

そこで、この記事では不正アクセス禁止法について、以下のような内容を紹介します。

  • 不正アクセス禁止法で禁止されている具体的な行為
  • 不正アクセス禁止法違反の具体的な事例
  • 不正アクセスの対処法・予防法

記事後半では、不正アクセス対策に有効な「不正アクセス検知システム」をご紹介します。ぜひ最後までご一読ください。

なお、不正アクセスの被害件数の多い商材などを記載した、無料のお役立ち資料をご用意しています。こちらも合わせてご覧ください。

約20,000サイトのデータ調査まとめ!/
【2022年度版】オンラインサービスの最新不正傾向と対策とは?

不正アクセス禁止法とは

不正アクセス禁止法とは、不正アクセス行為を「本来アクセスする権限のないコンピュータを不正に利用する行為」と規定し、禁止する法律です。

また、不正アクセス行為だけでなく、不正アクセス行為をするために不正に識別記号(ID、パスワードなど)を取得したり、保管したりといった準備行為も禁止しています。

不正アクセス禁止法に違反した場合の罰則は、以下の通りです。

  • 不正アクセス行為を行った場合:3年以下の懲役または100万円以下の罰金
  • 不正アクセスの準備行為を行った場合:1年以下の懲役または50万円以下の罰金

次に、具体的な不正アクセス行為や準備行為について解説します。

不正アクセス禁止法で禁じられている行為5つ

不正アクセス禁止法では、5つの行為が禁止されています。

  • 不正アクセス行為
  • 他人の識別符号を不正に取得する行為
  • 不正アクセス行為を助長する行為
  • 他人の識別符号を不正に保管する行為
  • 識別符号の入力を不正に要求する行為の禁止

それぞれ、実際の条文と具体例をあげて解説します。

1.不正アクセス行為の禁止

第三条 何人も、不正アクセス行為をしてはならない。
引用:不正アクセス行為の禁止等に関する法律 | e-Gov法令検索

第三条では、不正アクセス行為そのものを禁止しています。

不正アクセス行為とは、以下の二つに分けられます。

  • 正規利用者になりすましてシステムにログインする行為
  • セキュリティ・ホールを攻撃し、コンピュータに侵入する行為

正規利用者になりすます行為とは、他人のIDやパスワードを無断で入力して、システムを不正に利用できる状態にする行為のことです。

セキュリティ・ホールとは、コンピュータの安全対策上の不備のことです。脆弱性とよばれることもあります。

第三条に違反すると、3年以下の懲役または100万円以下の罰金が科されます。

なりすまし行為については、以下の記事をあわせてご一読ください!

2.他人の識別符号を不正に取得する行為の禁止

第四条 何人も、不正アクセス行為(第二条第四項第一号に該当するものに限る。第六条及び第十二条第二号において同じ。)の用に供する目的で、アクセス制御機能に係る他人の識別符号を取得してはならない。

引用:不正アクセス行為の禁止等に関する法律 | e-Gov法令検索

第四条は、他人の識別符号(IDやパスワードなど)を不正に取得する行為を禁止する規定です。IDやパスワードの不正取得は、不正アクセス行為の準備行為にあたるものです。

本人を装ってIDやパスワードを聞き出す行為や、他人がIDやパスワードを入力している様子をのぞき見る行為も、第四条に抵触する可能性があります。

違反した場合、1年以上の懲役または50万円以下の罰金が科されます。

3.不正アクセス行為を助長する行為の禁止

第五条 何人も、業務その他正当な理由による場合を除いては、アクセス制御機能に係る他人の識別符号を、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。
引用:不正アクセス行為の禁止等に関する法律 | e-Gov法令検索

不正アクセス行為を助長する行為とは、正規利用者のIDやパスワードを無断で第三者に提供する行為を指します。

提供方法は、口頭や電子掲示板、電話など手段を問いません。

違反すると、1年以下の懲役または50万円以下の罰金が科されます。

4.他人の識別符号を不正に保管する行為の禁止

第六条 何人も、不正アクセス行為の用に供する目的で、不正に取得されたアクセス制御機能に係る他人の識別符号を保管してはならない。
引用:不正アクセス行為の禁止等に関する法律 | e-Gov法令検索

不正アクセス行為を目的として不正に入手したIDやパスワードを保管することも、不正アクセス禁止法の処罰対象です。

IDやパスワードが記入された紙や記録されたUSBメモリ、ICカードの保有。またスマートフォンなどの通信機器に保存することも、禁止行為に該当します。

違反した場合、1年以下の懲役または50万円以下の罰金が科されます。

4.識別符号の入力を不正に要求する行為の禁止

第七条 何人も、アクセス制御機能を特定電子計算機に付加したアクセス管理者になりすまし、その他当該アクセス管理者であると誤認させて、次に掲げる行為をしてはならない。ただし、当該アクセス管理者の承諾を得てする場合は、この限りでない。
引用:不正アクセス行為の禁止等に関する法律 | e-Gov法令検索

第七条はフィッシング行為を禁止する規定です。違反すると、1年以下の懲役または50万円以下の罰金が科されます。

フィッシング行為とは、偽のウェブサイトや電子メールを使ってIDやパスワードを入力させて、情報を不正に入手する行為です。

不正アクセスの現状

総務省が発表したデータによると、令和3年の不正アクセスの件数は1,516件でした。

令和元年に件数が増加し、令和3年には少し落ち着いたように見えます。しかし1,516件という数字は、1日4件前後の不正アクセスが発生していることになります。

では、不正アクセスはどのような目的で行われるのでしょうか。

上記の表は、不正アクセス後にどのような行為が行われたかをまとめたものです。

過去5年を通して最も多いのは、インターネットバンキングでの不正送金です。

また、令和3年は合計件数が減っているにもかかわらず、ネットショップでの不正購入が非常に多くなっています。

これらのことから、金銭や物品を目的とした不正アクセスが非常に多く行われている現状がわかります。

最後に、不正アクセス禁止法違反の検挙数を紹介します。

令和3年の検挙数は、前年に比べ180件減少したものの、検挙人員は5人増加しています。

行為別では、不正アクセス禁止法第三条に規定される不正アクセス行為が最も多く、全体の90%以上を占めているのが特徴です。

不正アクセスの件数について詳しく知りたい方は、以下の記事もチェックしてみてください。

不正アクセスの事件例を3つ紹介

ここからは、実際に報道された不正アクセスの事件を3つ紹介します。

  • 【事件1】エディオン顧客情報約7万8,000件が流出
  • 【事件2】東映アニメーション不正アクセスでスケジュールに遅れが発生
  • 【事件3】森永製菓で個人情報約165万人流出か

【事件1】エディオン顧客情報約7万8,000件が流出

家電量販店のエディオンは、2022年4月8日にグループ会社のサーバーが不正アクセスを受け、約7万8,000件の個人情報が削除されたことを発表しています。

削除されたのはエアコン等を購入した顧客の氏名、住所、電話番号のほか、荷物の受け取りサインの画像など。

クレジットカードの決済情報は含まれていないようです。しかし削除されただけでなく流出した可能性もあります。エディオンは警察へ被害届を提出するとともに、対策チームを設置し、セキュリティ強化を進めています。

【事件2】東映アニメーション不正アクセスでスケジュールに遅れが発生

東映アニメーションは、2022年3月6日に社内ネットワークが不正アクセスを受け、社内のシステムを停止しました。

その影響で、放送中の4作品の放映スケジュールに約1か月の遅れが生じることとなりました。

さらに、4月に公開予定だった映画作品も6月に延期になるなど、大きな影響が出ています。

【事件3】森永製菓で個人情報約165万人流出か

森永製菓では2022年3月13日に不正アクセスを受け、製造ライン支援システムが被害に遭い、生産に影響が出ました。

システムは18日に復旧。しかしその後、オンラインショップを利用した約165万人の個人情報が流出した可能性があることが分かりました。

侵入経路は、ネットワーク機器の脆弱性を悪用され侵入された可能性が高いとしています。

不正アクセス禁止法の判例を3つ紹介

ここからは、実際にあった不正アクセス禁止法違反の判例をご紹介します。

  • 【判例1】ネットバンキングを装ったフィッシングで懲役8年
  • 【判例2】イベントで不正アクセスの手法を公開
  • 【判例3】女性のフリーメールに不正アクセスしてメールを送信

【判例1】ネットバンキングを装ったフィッシングで懲役8年

被告人は、インターネットバンキングの偽サイトを作成し、フィッシングメールで偽サイトに誘導。口座番号やパスワードを不正に入手し、不正送金を行いました。

不正アクセス禁止法違反のほか、電子計算機使用詐欺などの罪に問われ懲役8年が言い渡されています。

出典:裁判所

【判例2】イベントで不正アクセスの手法を公開

被告人は、社団法人のWebサイト上にある入力フォームのプログラムに脆弱性を発見し、個人情報を入手。

大学研究員だった被告人はセキュリティイベントでその手法を公開し、個人情報の一部をイベント参加者がダウンロードできる状態においたとして逮捕されました。

懲役8か月執行猶予3年の判決が言い渡されています。

出典:日経クロステック

【判例3】女性のフリーメールに不正アクセスしてメールを送信

被告人は、インターネットを通じて知り合った女性に嫌がらせをするために不正アクセスを行い、さらにその女性のIDを利用し不正にメールを送信。

不正アクセスが成功したことに味を占め、複数の被害者に対して不正アクセスを行いました。

裁判所は非常に悪質としつつ、初犯であることや、妻子を抱えて仕事をしていたことなどから、懲役1年執行猶予3年の判決を下しました。

出典:裁判所

【ケース別】不正アクセスの対処方法2つを紹介

不正アクセスによる被害を受けないために、企業はどのような対策を行ったらよいのでしょうか。

不正アクセスされた場合と、不正アクセスを予防する場合の対策に分けてご紹介します。

【ケース1】不正アクセスされた場合の対処方法

不正アクセスを受けると、以下のような損害を受ける可能性があります。

  • ホームページの改ざん
  • 保存データの流出
  • サーバやサービスの停止

未然に防ぎたい物ばかりですが、100%予防するのも難しいものです。

被害を最小限に抑えるには、企業としての対応手順を整理しておくことが重要です。

不正アクセスを発見したら、以下のような対応を進めましょう。

  • 被害拡大防止のためシステムをネットワークから隔離
  • 不正アクセスの証拠を保管
  • 最寄りの警察署又は都道府県警察サイバー犯罪相談窓口に相談

ログイン履歴を定期的に確認したり、セキュリティソフトを導入したりすることで早期発見できる体制を整えることも重要です。

詳しくは、以下の記事もご覧ください。

【ケース2】不正アクセスされないための対処方法

不正アクセスの被害を防ぐためには、まず不正アクセスされないように予防策をしっかり立てましょう

有効な対策は大きく4つあります。

  1. サーバー上のソフトウェア更新
  2. サーバー上の不要なサービスの停止
  3. 不正対策製品の導入
  4. 社内のリテラシー向上

サーバー上のソフトウェアの更新や、不要なサービスの停止をすることで、不正アクセスの要因となるセキュリティの脆弱性を減らせます。

不正対策製品は、認証サービスや不正検知システムなどがあり、種類によって異なる効果が期待できるものです。

また、リモートワークなどにより持ち出された社内情報が狙われている可能性もあります。社員一人ひとりのITリテラシーの向上も有効な対策です。

不正アクセスの予防策について詳しく知りたい方は、以下の記事もご覧ください。

不正アクセス対策は検知システム導入がおすすめ!

不正アクセスが発生してしまうと、特にEC事業者においては、チャージバックのリスクが高まります。チャージバックとは、不正利用されたクレジットカードの支払いを取り消してユーザーに返金する仕組みのことです。

チャージバックによる金額的な損害は事業者の負担となります。そのため、不正アクセス・不正利用されないための対策は必要不可欠です。

不正アクセス対策の1つとして、不正検知システムの導入が挙げられます。

例えばO-MOTIONなら、ユーザーの操作情報から不正傾向をリアルタイムで判定可能です。不審なアクセスにのみ対応し、正常なユーザーに負担をかけない仕組みです。

不正アクセスの中でも「なりすまし」への高い効果が見込めます。不正アクセス対策の導入を検討している方は、ぜひ以下からO-MOTIONをチェックしてください。

O-MOTION 仕組み紹介

初期費用150万が10万円になるトライアルキャンペーン受付中!
O-MOTIONの資料DLはこちら

チャージバックについて詳しく知りたい方は、以下をご一読ください。

まとめ:不正アクセスについて、理解を深めよう

ここでは、不正アクセス禁止法についてご紹介しました。不正アクセス禁止法で規定されている不正アクセス行為とは以下の2つです。

  • なりすましによる不正アクセス行為
  • セキュリティ・ホールへの攻撃による不正アクセス行為

そのほか、不正アクセスの準備行動にあたる以下の行為も禁止されています。

  • 他人の識別符号を不正に取得する行為
  • 不正アクセス行為を助長する行為
  • 他人の識別符号を不正に保管する行為
  • 識別符号の入力を不正に要求する行為の禁止

令和3年は1,516件の不正アクセスが発生しており、大手企業から個人まで多くの被害が発生しています。企業が不正アクセスの被害に遭うと、対応・対策に高いコストをかけることになるため、そうなる前の予防対策が必要です。

予防策はいくつかありますが、不正アクセス検知システムは有効な対策の一つです。

不正アクセス検知システムの導入を検討している方には、O-MOTIONがおすすめ。正常なユーザーに負担をかけずに、安心してサービスを提供できます

なお、O-MOTIONは2022年6月末までに申し込みをすると、通常150万円以上かかるトライアルを10万円で利用可能。本導入の際の初期費用(100万円〜)も無料になるので、ぜひこの機会に利用を検討してみてください。

O-MOTION 仕組み紹介

初期費用150万が10万円になるトライアルキャンペーン受付中!
O-MOTIONの資料DLはこちら

ピックアップ記事

  1. 事業者が不正なチャージバックを防ぐ対策3つ!不正注文を防いだ事例も紹介
  2. クレジットマスターの手口や被害とは?不正利用を防ぐための対策3選
  3. なりすましによる不正アクセスの被害内容と具体的な対策(不正検知)について
  4. 不正検知サービスは無料で利用できる?価格を抑えて導入する方法も解説!
  5. 【後払い未払い発生時の対策】督促手順や支払う意思がない購入者への対応について

関連記事

  1. 不正アクセス

    ECサイトはセキュリティ対策が必須!導入時の重要なポイント5つを解説

    「高額な費用をかけてまで、セキュリティ対策はすべきもの?」「そもそ…

  2. 不正アクセス

    なりすましによる不正アクセスの被害内容と具体的な対策(不正検知)について

    窃取した情報を使用し、第三者が本人になりかわる「なりすまし」。…

  3. 不正アクセス

    ECサイトでの情報漏洩対策とは?どんなセキュリティ強化をするべきか

    「ECサイトで情報漏洩の対策をしたいけど、何をすればいいのか分からない…

  4. 不正アクセス

    不正アクセスとは? 主な原因や巧妙な手口、4つの対策例を紹介

    「不正アクセスの被害に遭いたくない 」「どのように対策をすればよい…

  5. 不正アクセス

    O-MOTION 講演レポート(Security Days 2020)#001 〜あなたの会社も狙…

    最新のセキュリティをテーマにしたカンファレンスとして定評のある「Sec…

  6. 不正アクセス

    不正アクセスの手口とは?多様化する不正アクセスの発生状況や手口と検知対策も併せて解説

    WebメディアやTVのニュースでも取り上げられている「不正アクセス」。…

2022年最新調査データ無料DL オンラインサービスの最新不正傾向と対策を!約20,000サイトの独自データから分析
今すぐできる!不正リスクの無料セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

おすすめ記事

  1. 不正アクセスとは? 主な原因や巧妙な手口、4つの対策例を紹介…
  2. 【2022年最新】クレジットカードの不正利用被害は過去最高額…
  3. クレジットマスターの手口や被害とは?不正利用を防ぐための対策…
  4. 転売屋対策に効果のある9つの方法を紹介!転売が引き起こすリス…
  5. 不正検知サービスは無料で利用できる?価格を抑えて導入する方法…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

2022年最新調査データ無料DL オンラインサービスの最新不正傾向と対策を!約20,000サイトの独自データから分析
  1. 不正検知・ノウハウ

    オンラインにおけるクレジットカードのセキュリティに関する基礎知識。カード契約者も…
  2. 不正検知・ノウハウ

    AIが不正検知にも進出?メリットや注意点、ソリューション事例をご紹介
  3. 不正アクセス

    ECサイトはセキュリティ対策が必須!導入時の重要なポイント5つを解説
  4. 3Dセキュア

    ECサイトに3Dセキュア2.0は必要?メリット・デメリットを解説!
  5. チャージバック

    泣き寝入りするしかない?チャージバックが発生した際の3つの対処法
PAGE TOP