不正アクセス禁止法改正と警察の取り組みについて 警察庁生活安全局 情報技術犯罪対策課 吉田光広
不正アクセス禁止法違反検挙事例 ( フィッシング組織の初検挙 )
フィッシングを利 した組織的かつ広域的な不正アクセス 詐欺等事件 (H17 H18) 1 事件の概要等 東京都渋谷区東三丁目に拠点を置く フィッシング詐欺組織が 平成 17 年 7 月から平成 18 年 5 月の間に 全国のヤフーの会員に約 100 万通のフィッシングメールを送信し 約 5,800 件の ID パスワードを騙し取り これを悪用 ヤフーオークションに高額商品を架空出品し落札金を騙し取る 闇サイトでID パスワードを販売する 約 1 億 2,000 万円を荒稼ぎ 3
捜査体制 関係県警察京都府警察 熊本県警察及び静岡県警察の 3 府県警察による合同捜査 捜査体制京都府警察本部生活安全部長以下 110 人 合同捜査本部京都府警察宇治警察署に設置 捜査期間平成 17 年 9 月 ~ 平成 18 年 12 月 4
犯行組織の構成 闇の職業安定所 幹部グループ 5 名 簡単なPC 作業です! 自宅で短時間高収入月平均 50 万円 ~100 万円求応人簡単な 幹部グループと募プとは電子メールに応募よる連絡 プログラマー 高度な知識を有する者を採用 詐欺実行犯 9 名 主婦 子供の小学校受験の塾代金のため キャバクラ店員 東京大学卒業生 面識のない者同士の組織において気軽に犯罪に手を染める
フィッシングメールの内容 ヤフーを名乗ったメール ( フィッシングメール ) 詐欺犯 ヤフーからのメールだなルだな http:www. auctions5.com/jp/config abcd2006 様 aiueo77 メールの内容には心当たりがないが... http:www. auctions5.com/jp/config aiueo77 http:www. auctions5.com/jp/config com/jp/config
フィッシングメールの内容 フィッシングサイトの URL をクリックしてしまう http:www. auctions5.com/jp/config abcd2006 様 aiueo77 フィッシングサイトのURLをクリックしてしまう! http:www. auctions5.com/jp/config aiueo77 http:www. auctions5.com/jp/config
フィッシングメールの内容 ログイン画面が出てきたぞ ID とパスワードを入力してログインしよう フィッシングサイト ID パスワードの窃取約 5,800 件 詐欺犯
サイバー犯罪の現状
サイバー犯罪とは コンピュータ技術や電気通信技術を 悪用した犯罪 不正アクセス禁止法違反 コンピュータ 電磁的記録対象犯罪 ネットワーク利用犯罪
( 件 ) 9,000 8,000 7,000 6,000 5,000 5,473 1,442 サイバー犯罪の検挙状況 6,321 6,690 1,740 2,534 不正アクセス禁止法違反 コンピュータ 電磁的記録対象犯罪 不正指令電磁的記録 ネットワーク利用犯罪 6,933 1,601 133 5,741 105 248 4,000 3,000 2,000 113 3,918 247 195 4,334 3,961 5,199 5,388 2,513 53 99 3,268 243 95 1,000 2,361 2,930 0 H19 H20 H21 H22 H23 H23( 上 ) H24( 上 )
不正アクセス禁止法違反の検挙 3,000 その他事件 1つの大規模事件 2,500 2,000 609 1,500 1,000 500 367 1,075 496 226 1,925 1,244 1,375 0 41 207 H19 H20 H21 H22 H23
( 件 ) 90,000000 80,000 70,000 60,000 50,000 40,000 30,000 20,000 73,193 サイバー犯罪に関する相談 81,994 9,095 83,739 9,502 75,810 3,785 4,039 10,009 7,644 4,183 4,522 3,497 3,847 7,859 3,005 8,990 3,668 12,707 8,871 4,645 32,824 11,516 6,038 37,794 11,557 6,538 6,905 10,212 9,836 80,273 11,259 3,382 4,619 5,905 10,549 11,667 その他 違法 有害情報 不正アクセス等 ウイルスオークション名誉毀損 誹謗中傷迷惑メール詐欺 悪質商法 40,643 40,315 5,660 31,333 32,892 39,150 5,599 5,780 1,765 1,665 223 2,235 2,402 3,265 2,489 5,193 5,585 6,569 10,000 16,926 14,660 0 H19 H20 H21 H22 H23 H23( 上 ) H24( 上 )
改正不正アクセス禁止法について
改正前の不正アクセス禁止法の概要 高度情報通信社会の健全な発展 サイバー犯罪の防止 電気通信に関する秩序の維持 取締面の対策 防御面の対策 アクセス管理者による防御措置 (5 条 ) 不正アクセス行為の禁止 処罰 (3 条 8 条 ) 都道府県公安委員会による援助 (6 条 ) 被害発生時の応急対策 他人の ID パスワードの無断提供の禁止 処罰 (4 条 9 条 ) 国家公安委員会 総務大臣 経済産業大臣による情報提供等 (7 条 ) 不正アクセス行為の発生状況の公表 セキュリティ技術の研究開発状況の公表 広報啓発
不正アクセス禁止法の改正について 現状 不正アクセス行為の検挙が増加傾向 他人の ID パスワードを不正に取得する行為も増加 ( 不正アクセス禁止法違反の検挙件数 人員の推移 ) ( 件 ) 2,500 検挙件数 2,000 1,500 1,000 500 37 検挙人員 51 67 67 105 145 142 69 76 88 277 116 703 130 126 1,442 1,740 137 2,534 114 1,601 ( 人 ) 160 125 140 120 100 80 60 40 20 フィッシングが増加 企業になりすまして偽メールを送信し ID パスワードを入力させてだまし取るフィッシングが増加 現行法では不処罰 ( フィッシング画面 ) ( フィッシング画面 ) 事例 1 Auctions オークションへようこそユーザーアカウント更新手続きオークションIDとパスワードを入力してログインしてくださいまだ登録していなオークションID: い方はコチラ! パスワード : 新規登録ログインヘルプはこちら サイバー攻撃事案の発生 サイバー攻撃による ID パスワードの不正取得事案も発生 現行法では 不正取得行為は不処罰 平成 23 年 8 月に明らかになった三菱重工業へのサイバー攻撃で 一部のサーバの ID パスワードが流出した可能性 0 0 ( フィッシングサイトの件数 ) 2,000 ( 件 ) 平成 12 13 14 15 16 17 18 19 20 21 22 1,786 事例 2 ( 年 ) 1,500 不正アクセス行為とは 他人のID パスワードを悪平成 23 年 7 月以降 衆議院及び参 1,021 用したり コンピュータ プログラムの不備をつくことに 1,000 議院の公務用パソコンがサイバー攻 716 655 より 本来アクセスする権限のないコンピュータ ( サー 526 撃を受け 全議員のID パスワード 500 291 バ ) を利用する行為 が流出した可能性 制度の改正 ~ 不正アクセス禁止法の改正が必要 フィッシング行為の禁止 処罰 0 平成 17 18 19 20 21 22 ( 年 ) (JPCERT/CC 調べ ) ID パスワードの不正取得等の禁止 処罰新取締面の対策 不正アクセス行為に係る法定刑の引上げ設情報セキュリティ関連事業者団体に対する情報提供防御面の対策
定( 1年囲拡 刑引上げ 3罰化罰化年) 取締面の対策 : 不正アクセス防止対策の強化 改正前 フィッシング行為 ID ハ スワート の不正取得不正保管 不正アクセス ネットバンキングの不正送金 クレジットカード詐欺 ID ハ スワート の譲渡し 営業秘密の取得 改正後 フィッシング行為 ID ハ スワート の不正取得不正保管 不正アクセス ネットバンキングの不正送金 クレジットカード詐欺 ID ハ スワート の譲渡し 営業秘密の取得 可範可法
改正後の不正アクセス禁止法の概要 高度情報通信社会の健全な発展サイバー犯罪の防止 電気通信に関する秩序の維持 不正アクセス行為等の禁止 処罰 不正アクセス行為の禁止 処罰 (3 条 11 条 ) 法定刑の引上げ 3 年以下の懲役又は 100 万円以下の罰金 他人の識別符号の不正取得 不正保管の禁止 処罰 (4 条 6 条 12 条 ) 他人の識別符号の提供の禁止 処罰 (5 条 12 条 13 条 ) 提供行為の規制強化 提供行為の規制範囲の拡張 法定刑の一部引上げ相手に不正アクセス目的があることの情を知って提供する行為の法定刑を引上げ 1 年以下の懲役又は50 万円以下の罰金 フィッシング行為の禁止 処罰 (7 条 12 条 ) 防御側の対策 アクセス管理者による防御措置 (8 条 ) 識別符号等の漏えい防止アクセス制御機能の高度化 都道府県公安委員会による援助 (9 条 ) 被害発生時の応急対策 防御に関する啓発 知識の普及 国家公安委員会 総務大臣 経済産業大臣による援助 情報提供等 (10 条 ) 不正アクセス行為の発生状況の公表 セキュリティ技術の研究開発状況の公表 情報セキュリティ関連事業者団体に対する不正アクセスの手口や発生実態に関する個別具体的な情報提供等の援助 その他防御に関する啓発 知識の普及
禁止 処罰するフィッシング行為の類型 一号 ( サイト構築型 ) サーバ インターネット 銀行 ID パスワードを入力してログインしてください ID: パスワード : ログイン 識別符号の入力を求める情報 を 自動公衆送信により公衆が閲覧できる状態に置く 二号 ( メール送信型 ) 識別符号の入力を求める情報 を電子メールにより利用権者に送信 送信プログラム添付型 H T M L メール型又は 電子メールに 識別符号の入力を求める情報 が添付されている 電子メールの本文欄に 識別符号の入力を求める情報 がある 銀行 ID パスワードを入力して送信してください ID: パスワード : 送信 件名 : 銀行から重要なお知らせです 銀行をご利用のお客様へ 銀行をご利用いただきありがとうございます アカウント更新手続が必要ですので 本メールの添付ソフトにより手続を行ってください 添付ファイル : クリック 件名 : 銀行から重要なお知らせです 銀行 銀行をご利用いただきありがとうございます アカウント更新手続が必要ですので 以下の入力欄に ID パスワードを入力の上 送信してください ID: パスワード : 送信
防御面の対策 : 情報セキュリティ関連事業者団体に対する情報提供 改正前の不正アクセス禁止法の考え方防御措置に関するアクセス管理者の努力義務 ( 法第 5 条 ) アクセス制御機能の有効性の検証 アクセス制御機能の高度化等 国による援助 ( 法第 7 条 ) 国は毎年一回 次のような一般的な情報を公表 不正アクセス行為に関する統計 技術の研究開発状況等 防御措置の実態 アクセス管理者の中には 情報セキュリティ対策を講じるだけの技術的知見が十分でないものがある 資金面の制約から情報セキュリティ対策を外注できていないアクセス管理者も多い アクセス管理者による防御措置が十分に講じられているとは言い難い状況 情報セキュリティ関連事業者団体 ( 例 ) ISOG-J フィッシング対策協議会 国による新たな援助 不正アクセス行為の手口に関する個別具体的な情報の提供 不正アクセス行為の実態を踏まえた助言 アクセス制御機能の有効性の検証方法 アクセス制御機能の高度化の方法等 援助を受けた団体による自主的活動アクセス管理者向けの アクセス制御機能の有効性の具体的な検証手段の提示 事業の規模や性質に応じたアクセス制御機能の高度化モデルの提示 アクセス管理者による防御措置が向上
不正アクセス禁止法違反検挙事例 ( フィッシング組織の検挙 2)
ヤフー株式会社を騙った組織的なフィッシング詐欺等事件 (H22 H23) 事件の概要等 東京都豊島区東池袋に拠点を置く フィッシング詐欺組織が 平成 22 年 10 月から平成 23 年 6 月の間に 全国のヤフーの会員に 約の会員に 約 32 万通のフィッシングメールを送信し 約 2,000 件のクレジットカード情報を騙し取りド情報を騙し取り これを悪用 ネットショップで高額商品を購入 ッ Edy Suica 等の電子マネーを購入 現金化 約 1 億円を荒稼ぎ 22
捜査体制 関係県警察茨城県 千葉県 広島県 熊本県及び静岡県の 5 県警察による合同捜査 捜査体制静岡県警察本部生活安全部長以下 87 人 合同捜査本部静岡県警察沼津警察署に設置 捜査期間平成 22 年 10 月 ~ 平成 24 年 3 月 23
フィッシングメールの内容 ここをクリック! ここをクリック! 24
フィッシングサイトの状況 25
押収した大量の携帯電話等 26
インターネットバンキング対象の フィッシング等認知状況
被疑者 インターネットバンキングに係る不正アクセス ~ フィッシングによる犯行 ~ メールに添付された 1 金融機関を装い電子メールを送信 セキュリティ向上のためと偽り メールに添付された偽のデータ入力画面へ誘導 3 ID パスワード 乱数表を不正に取得 偽の 画 2 ID パスワードと乱数表まで入力させる インターネットバンキング利用権者 海外のサーバ等を経由 インターネットバンキング利用 ATM 4 不正に取得したID パスワード 乱数表で不正アクセス 5 他人名義の口座へ不正送金 6 被疑者等が金融機関の引き下ろしインターネットバンキングシステム
フィッシングサイト構築型 (11/11~11/22 連日発生 ) この度 SMBCダイレクトのセキュリティー強化の為 サーバーのバージョンアップを行いましたので お客様にもご面倒をお掛けしますが必要事項を記入し更新手続きをお願いしております 更新手続きを怠ると SMBCダイレクト使用中にエラーなどの発生が生じる可能性がありますので大至急 更新手続きをお願いします ログイン後 更新をお願いします 更新ページ http://smbc-bank.kinkoserver.com/smbcbank ご面倒をお掛けいたしますがご協力お願いいたします 三井住友銀行 29
インターネットバンキングに係る不正アクセス ~ 不正プログラム ( ウイルス ) による犯行 ~ 1 何らかの手段で不正プログラムを送り込む 2 不正プログラムに感染! 被疑者 3 利 権者の知らない間に ID パスワードを取得 インターネットバンキング利用権者 第三者のパソコン等を踏み台に インターネットバンキング利用 ATM 4 不正に取得した ID パスワードで不正アクセス 6 口座名義人等が引き下ろし 5 他人名義の口座へ不正送金 金融機関のインターネットバンキングシステム
被害状況 45 平成 23 年中 56 金融機関 165 口座 40 4 約 3 億 800 万円 35 30 平成 24 年 12 月 4 日現在 4 金融機関 49 口座約 3,900 万円 25 20 36 34 38 15 10 5 0 19 19 13 14 5 8 6 4 3 4 3 1 1 1 1 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月 6 月 7 月 8 月 9 月 10 月 11 月 平成 23 年 平成 24 年 不正プログラム フィッシング
刑法のウイルスに関する罪について
不正指令電磁的記録に関する罪 の新設 平成 23 年 6 月 17 日 第 177 回国会において 情報処理の高度化等に対処するための刑法等の一部を改正する法律 が成立し 同月 24 日に公布され 同法により新設された 不正指令電磁的記録に関する罪 について 同年 7 月 14 日に施行された コンピュータ ウイルスの作成 供用等の罪 刑法第 168 条の 2 作成 提供 供用 :3 年以下の懲役又は50 万円以下の罰金 刑法第 168 条の 3 取得 保管 :2 年以下の懲役又は30 万円以下の罰金 33
ウイルス罪の構成要件 不正指令電磁的記録を作成 提供 供用 取得 保管する行為を処罰! 不正指令電磁的記録 とは 人が電子計算機を使用するに際して その意図に沿うべき動作をさせず その意図に反する動作をさせるべき 不正な指令を与える電磁的記録
意図 とは ウイルス罪の構成要件 個別具体的な使用者の実際の認識を基準として判断するのではなく 当該プログラムの機能の内容や 機能に関する説明内容 想定される利用方法等を総合的に考慮して その機能につき一般的に認識すべきと考えられるところを基準として判断される 不正な とは その機能を踏まえ 社会的に許容し得るものであるか否かという観点から判断される ( 例 ) ハードディスク内のファイルを全て消去するプログラムを その機能を適切に説明した上で公開した場合 行政機関からの通知文書であるかのように装い その旨の虚偽の説明を付すとともに アイコンも偽装するなどして 事情を知らない第三者に電子メールで送りつけ その旨を誤信させて実行させ ハードディスク内のファイルを消去させた場合 処罰対象とならない処罰対象となり得る 35
不正指令電磁的記録罪検挙事例
1 ウイルス供用 詐欺事件 ( 警視庁 ) 事件の概要 スマートフォン利用者から 現金をだまし取り 電話番号等の個人情報を収集するために アダルトサイトを開設するとともに動画再生アプリを装ったウイルスを蔵置 動画再生アプリと誤信した利用者に同ウイルスをダウンロードさせ 個人情報を収集 アダルトサイト利用料金請求画面を表示させ 利用料金名下に現金 9 万 9,800 円を請求
スマホアプリを利用したウイルス供用 詐欺事件 ( 警視庁 ) 犯人 アダルトサイト サーバ 18 歳以上 再生専用アプリダウンロード 不正アプリインストール 電話番号メールアト レス位置情報 アダルトサイト閲覧 動画再生アプリダウンロードボタン選択 銀行 9 万 9,800 円入金
被害状況 アダルトサイト開設期間 H23.12.30~H24.2.6(39 日間 ) 個 情報を騙し取られた 9,252 人 収集された個 情報 電話番号 メールアドレス 端末識別番号 GPS 位置情報 架空請求により現 を振り込んだ 211 人 約 2,115 万円
犯行組織の検挙 本年 3 月 関係場所に対する捜索を実施し パソコン 携帯電話等を押収 本年 6 月 13 日 関係被疑者 6 人を 共謀によるウイルス供用 詐欺事実で通常逮捕 処分結果 本件首謀者かつサイト管理者 A 及び本件発案者 B 懲役 2 年 6 月執行猶予 3 年 サイト作成 更新役 C 及びサイト作成 ウイルス供用実行役 D 罰金 50 万円
2 ウイルス供用事件 ( 京都府警 ) 事件の概要 スマートフォン利用者から 電話番号等の個人情報を収集するために 電波改善 アプリ等を装った複数のアプリを作成してサーバに蔵置し メールで蔵置先へ誘導 電波改善アプリ等と誤信した利用者にアプリをダウンロードさせ 個人情報を収集 お使いのスマートフォンは未対応のためご利用できません と虚偽の文言を表示
スマホアプリを利用したウイルス供用事件 ( 京都府警 ) 犯人サーバ不正アプリ蔵置不正アプリインストール無料着うたダウンローダー申し訳ございません お使いの申し訳ございませんお使いの申し訳ございま電話番号メールアト レス位置情報端末は未対応のためご利用頂けません せん お使いの端末は未対応のためご利用頂けません 申し訳ございません お使いの端末は未対応のためご利用頂けません 申し訳ございません お使いの端末は未対応のためご利用申し訳ございません お使いの端末は未対応のためご利用申し訳ございません お使いの端末は未対応申し訳ございません お使いの位置情報頂けません 頂けません のためご利用頂けません 端末は未対応のためご利用頂けません せん お使の端末は未対応のためご利用頂けません メール送信 URL をクリック
犯行組織の検挙 本年 10 月 30 日 関係場所に対する捜索を 実施し パソコン等を押収するとともに 関係 被疑者 2 人を ウイルス保管事実で通常逮捕 電波改善 電池長持ち 通話無料等の名称電池長持ち の不正アプリ 5 種類 8 個を発見 約 3,500 人がダウンロード 犯行組織の全容を解明すべく 現在継続捜 査中
ネットショップを舞台とした不正アクセス 詐欺等事件 被疑者 1 何らかの方法で ID PW を入手不正プログラム? フィッシング? その他? インターネットショッピング利用権者 インターネットショッピング利用 7 換金 受取役 インターネットショッピングサイト 故買屋 受取役 アルバイト中国人留学生等