不 正 アクセス 事 犯 の 取 締 りについて 警 察 庁 生 活 安 全 局 生 活 環 境 課 生 活 経 済 対 策 室 課 長 補 佐 心 得 金 澤 正 和 1 不 正 アクセス 禁 止 法 の 概 要 ( 別 添 1 参 照 ) (1) 目 的 電 気 通 信 回 線 を 通 じて 行 われる 電 子 計 算 機 に 係 る 犯 罪 の 防 止 及 びアクセス 制 御 機 能 により 実 現 され る 電 気 通 信 に 関 する 秩 序 の 維 持 を 図 り もって 高 度 情 報 通 信 社 会 の 健 全 な 発 展 に 寄 与 すること( 第 1 条 ) (2) 内 容 ア. 不 正 アクセス 行 為 の 禁 止 処 罰 ( 第 3 条 第 8 条 第 1 号 ) 不 正 アクセス 禁 止 法 においては アクセス 制 御 機 能 に 対 する 侵 害 行 為 の 規 制 という 観 点 から ID パスワードなどの 識 別 符 号 を 入 力 しなければ 利 用 できないアクセス 制 御 機 能 が 施 されたネットワーク システム( 特 定 電 子 計 算 機 という )に 対 し 正 規 の 他 人 の 識 別 符 号 を 無 断 で 入 力 し 又 はアクセス 制 御 機 能 による 特 定 利 用 の 制 限 を 免 れる 情 報 等 を 入 力 し 利 用 可 能 な 状 態 にするような 行 為 を 不 正 アク セス 行 為 として 禁 止 している( 法 第 3 条 なお 一 般 に 不 正 アクセスと 言 われることの 多 い いわゆるス パム メール 中 継 ポートスキャン DOS 攻 撃 コンピュータ ウィルスの 投 与 等 の 行 為 は アクセス 制 御 機 能 への 侵 害 行 為 とはならないことから 不 正 アクセス 禁 止 法 の 規 制 の 対 象 から 除 外 されている イ. 不 正 アクセス 行 為 を 助 長 する 行 為 の 禁 止 処 罰 ( 第 4 条 第 9 条 ) 他 人 の 識 別 符 号 をその 識 別 符 号 がどの 特 定 電 子 計 算 機 の 特 定 利 用 に 係 るものであるかを 明 らかに して 又 はこれを 知 っている 者 の 求 めに 応 じて 無 断 で 第 三 者 に 提 供 する 行 為 を 不 正 アクセス 助 長 行 為 として 禁 止 している( 法 第 4 条 ) ウ. アクセス 管 理 者 による 防 御 措 置 ( 第 5 条 ) アクセス 管 理 者 ( 特 定 電 子 計 算 機 の 利 用 につき 当 該 特 定 電 子 計 算 機 の 動 作 を 管 理 する 者 をいう 通 常 法 人 たるプロバイダや 企 業 が 該 当 し その 職 員 たるいわゆるシステム 管 理 者 はこれには 当 たら ない )は 特 定 電 子 計 算 機 を 不 正 アクセス 行 為 から 防 御 するため 必 要 な 措 置 を 講 ずるよう 努 めるもの とされている エ. 都 道 府 県 公 安 委 員 会 による 援 助 ( 第 6 条 ) 都 道 府 県 公 安 委 員 会 は 特 定 電 子 計 算 機 に 係 るアクセス 管 理 者 からの 申 出 に 応 じ 特 定 電 子 計 算 機 を 不 正 アクセス 行 為 から 防 御 するため 必 要 な 応 急 の 措 置 が 講 じられるよう 必 要 な 援 助 等 を 行 うも のとされている オ. 国 による 援 助 ( 第 7 条 ) 国 家 公 安 委 員 会 経 済 産 業 大 臣 及 び 総 務 大 臣 は 毎 年 少 なくとも1 回 不 正 アクセス 行 為 の 発 生 状 況 及 びアクセス 制 御 機 能 に 関 する 技 術 の 研 究 開 発 の 状 況 を 公 表 するものとされている - 1 -
2 不 正 アクセス 事 犯 の 取 締 り 状 況 ( 別 添 2 参 照 ) (1) 平 成 12 年 中 の 不 正 アクセス 行 為 の 発 生 状 況 106 件 認 知 件 数 プロバイダ 59 被 害 に 係 る 特 定 電 子 計 算 機 大 学 8 のアクセス 管 理 者 別 情 報 通 信 企 業 6 そ の 他 33 計 106 認 知 件 数 アクセス 管 理 者 からの 届 出 30 利 用 権 者 からの 届 出 23 認 知 の 端 緒 別 発 見 者 からの 通 報 7 被 疑 者 の 取 調 べ 35 そ の 他 11 計 106 ホームページ 改 ざん 消 去 を 伴 う 事 案 が 多 い(33 件 ) アクセス 管 理 者 等 から 警 察 に 届 出 があったもの(53 件 ) (2) 平 成 12 年 中 の 不 正 アクセス 事 犯 の 検 挙 状 況 事 犯 別 検 挙 事 件 数 検 挙 件 数 検 挙 人 員 不 正 アクセス 行 為 30 62 34 人 不 正 アクセス 助 長 行 為 4 5 5 人 計 31 67 37 人 ( 重 複 3) ( 重 複 2 人 ) パスワード 管 理 の 甘 さにつけ 込 んだ 事 案 が 多 い(12 件 ) 識 別 符 号 の 入 手 等 にクラッキング ツールを 利 用 した 事 案 が 多 い(8 事 件 14 件 ) 3 警 察 における 対 応 ((1)(2):( 別 添 2 (3): 別 添 3 参 照 ) (1) 平 成 12 年 中 の 都 道 府 県 公 安 委 員 会 による 援 助 措 置 6 件 (2) 平 成 12 年 中 の 発 生 検 挙 を 踏 まえた 防 御 上 の 留 意 事 項 の 公 表 トロイの 木 馬 対 策 ID パスワード 等 識 別 符 号 の 適 切 な 管 理 セキュリティ ホールの 解 消 等 サーバの 適 切 な 管 理 (3) 連 続 発 生 事 案 等 への 対 応 迅 速 な 捜 査 等 の 実 施 被 害 の 拡 大 防 止 及 び 再 被 害 の 防 止 に 配 意 した 措 置 の 実 施 被 害 拡 大 の 防 止 に 資 する 防 御 措 置 等 の 情 報 提 供 - 2 -
別 添 1 不 正 アクセス 行 為 の 禁 止 等 に 関 する 法 律 の 概 要 1 法 の 目 的 基 本 構 成 ( 第 1 条 関 係 ) (1) 法 の 目 的 不 正 アクセス 行 為 の 禁 止 等 に 関 する 法 律 ( 以 下 本 法 といいます )は 不 正 アクセス 行 為 を 禁 止 するとともに これについての 罰 則 及 びその 再 発 防 止 のため 不 正 アクセス 行 為 を 受 けたアクセス 管 理 者 に 対 する 都 道 府 県 公 安 委 員 会 による 援 助 措 置 等 を 定 めることにより 電 気 通 信 回 線 を 通 じて 行 われる 電 子 計 算 機 に 係 る 犯 罪 ( 注 )の 防 止 及 びアクセス 制 御 機 能 により 実 現 される 電 気 通 信 に 関 す る 秩 序 の 維 持 を 図 り もって 高 度 情 報 通 信 社 会 の 健 全 な 発 展 に 寄 与 することを 目 的 としています (2) 法 の 基 本 構 成 ( 注 ) 電 気 通 信 回 線 を 通 じて 行 われる 電 子 計 算 機 に 係 る 犯 罪 とは 電 子 計 算 機 使 用 詐 欺 電 子 計 算 機 損 壊 等 業 務 妨 害 などコンピュータ ネットワークを 通 じて これに 接 続 されたコンピュータを 対 象 として 行 われ る 犯 罪 と コンピュータ ネットワークを 通 じて これに 接 続 されたコンピュータを 利 用 して 行 われる 詐 欺 わ いせつ 物 頒 布 銃 器 薬 物 の 違 法 取 引 などの 犯 罪 の 両 方 を 指 しています 本 法 は 不 正 アクセス 行 為 等 の 禁 止 処 罰 という 行 為 者 に 対 する 規 制 と 不 正 アクセス 行 為 を 受 け る 立 場 にあるアクセス 管 理 者 に 防 御 措 置 を 求 め アクセス 管 理 者 がその 防 御 措 置 を 的 確 に 講 じられ るよう 行 政 が 援 助 するという 防 御 側 の 対 策 という2つの 側 面 から 不 正 アクセス 行 為 の 防 止 を 図 ろうと するものです 2 定 義 (1)アクセス 管 理 者 ( 第 2 条 第 1 項 関 係 ) アクセス 管 理 者 とは 電 気 通 信 回 線 に 接 続 している 電 子 計 算 機 ( 以 下 特 定 電 子 計 算 機 といいま す )の 利 用 ( 電 気 通 信 回 線 を 通 じて 行 うものに 限 ります 以 下 特 定 利 用 といいます )について 特 定 電 子 計 算 機 の 動 作 を 管 理 する 者 です 管 理 の 主 たる 内 容 は 特 定 電 子 計 算 機 をコンピュータ ネットワーク 経 由 で 他 人 に 利 用 させるか 否 か 利 用 させる 場 合 にはどの 範 囲 の 利 用 をさせるかという ことを 決 定 することで これらのことを 決 定 する 権 限 を 有 している 者 がアクセス 管 理 者 ということになり ます アクセス 管 理 者 は 個 人 法 人 の 別 を 問 いません - 3 -
ここで 注 意 を 要 するのは 法 人 がコンピュータを 運 用 している 場 合 です 企 業 学 校 等 の 法 人 の 場 合 には その 職 員 の 中 からシステム 管 理 者 ( 一 般 に 管 理 者 ルート スーパーユーザ などと 呼 ばれています )を 任 命 して 管 理 の 業 務 を 行 わせていますが それらのシステム 管 理 者 は 自 分 を 任 命 した 法 人 の 意 思 に 基 づいて 管 理 の 業 務 を 行 っている 者 です 本 法 でいうアクセス 管 理 者 は これらのシステム 管 理 者 ではなく あくまで 当 該 法 人 自 体 ということになります また アクセス 管 理 者 は コンピュータの 動 作 を 管 理 していればよく そのコンピュータを 所 有 し ているかどうかは 無 関 係 です ですから 例 えば サーバ コンピュータを 所 有 していないインターネ ットのエンドユーザであっても インターネット サービス プロバイダのサーバの 一 部 を 利 用 してホー ムページを 開 設 し そのホームページの 閲 覧 を 誰 に 認 めるかということなどを 管 理 する 権 限 を 有 し ていれば アクセス 管 理 者 となります(ただし この 場 合 インターネット サービス プロバイダのサー バ 上 に 存 在 するホームページの 閲 覧 という 特 定 利 用 に 限 ってのアクセス 管 理 者 であることに 注 意 す る 必 要 があります ) 1つのコンピュータに 対 して2 以 上 のアクセス 管 理 者 ( 例 えば そのコンピュー タ 全 体 のアクセス 管 理 者 と そのコンピュータの 一 部 を 利 用 して 開 設 されているホームページの 閲 覧 についてのアクセス 管 理 者 など)が 存 在 することもあり 得 ます なお 特 定 電 子 計 算 機 という 概 念 には インターネット 等 のオープンネットワークに 接 続 されている コンピュータ ネットワーク 上 のコンピュータのほか 一 部 の 企 業 内 LANのように 外 部 から 独 立 したネ ットワークを 構 築 しているコンピュータも 含 まれます したがって アクセス 管 理 者 には インターネット に 接 続 されておらず 外 部 から 独 立 している 企 業 内 LANを 有 している 企 業 なども 含 まれることになりま す (2) 識 別 符 号 ( 第 2 条 第 2 項 関 係 ) 識 別 符 号 とは 特 定 電 子 計 算 機 の 特 定 利 用 をすることについてアクセス 管 理 者 の 許 諾 を 得 た 者 ( 簡 単 にいえば 当 該 コンピュータのアカウントを そのコンピュータのアクセス 管 理 者 から 付 与 され ている 利 用 者 のことです この 付 与 のされ 方 については 文 書 で 行 う 口 頭 で 行 うといった 付 与 手 段 を 問 いません 明 示 的 な 付 与 手 続 によらずアクセス 管 理 者 の 暗 黙 の 了 解 によって 付 与 されたもので あっても 構 いません 以 下 利 用 権 者 といいます ) 及 びアクセス 管 理 者 ( 以 下 利 用 権 者 とアクセス 管 理 者 を 利 用 権 者 等 とします )ごとに 定 められている 符 号 で アクセス 管 理 者 がその 利 用 権 者 等 を 他 の 利 用 権 者 等 と 区 別 して 識 別 するために 用 いるものです 本 法 では 次 のいずれかに 該 当 する 符 号 又 は 次 のいずれかに 該 当 する 符 号 とその 他 の 符 号 を 組 み 合 わせたものを 識 別 符 号 としていま す ア. アクセス 管 理 者 によって その 内 容 をみだりに 第 三 者 に 知 らせてはならないものとされて いる 符 号 ( 第 1 号 ) 一 般 によく 用 いられているID パスワードのうちのパスワードがこの 代 表 例 です なお ID パスワードの 場 合 第 1 号 の 符 号 に 該 当 するパスワードのみでは 識 別 符 号 の 用 をなさず IDと 組 み 合 わせて 初 めて 識 別 符 号 としての 役 割 を 果 たすことになります そのた め IDは 第 1 号 の 符 号 に 該 当 する 符 号 (パスワード)と 組 み 合 わせて 用 いられる その 他 の 符 号 になります IDとパスワードを 組 み 合 わせることによって 第 1 号 の 符 号 に 該 当 するパ スワードとその 他 の 符 号 であるIDを 組 み 合 わせた 識 別 符 号 になります イ. 利 用 権 者 等 の 身 体 の 全 部 若 しくは 一 部 の 影 像 又 は 音 声 を 用 いてアクセス 管 理 者 が 定 める 方 法 により 作 成 される 符 号 ( 第 2 号 ) ここでいう 影 像 の 例 としては 指 紋 や 虹 彩 などがあります アクセス 管 理 者 が 定 める 方 法 と は 例 えば 指 紋 の 場 合 でいえば 解 像 度 いくらで 読 み 取 り 特 徴 点 の 数 やその 位 置 関 係 をど のように 数 値 化 し 符 号 化 するかといったこと 音 声 の 場 合 でいえば 周 波 数 スペクトラムの 時 間 的 変 化 からどのように 特 徴 を 取 り 出 して 数 値 化 し 符 号 化 するかといったことです もちろん この 数 値 化 及 び 符 号 化 の 方 式 はアクセス 管 理 者 が 考 案 したものである 必 要 はなく 既 存 の 製 品 等 を 採 用 したものでよいのです - 4 -
なお この 第 2 号 の 場 合 には 第 2 号 に 該 当 する 符 号 のみで 識 別 符 号 となっているもの( 例 えば 指 紋 による 認 証 システムなど)もありますし 第 2 号 に 該 当 する 符 号 とその 他 の 符 号 (I Dなど)を 組 み 合 わせて 識 別 符 号 となっているものもあります ウ. 利 用 権 者 等 の 署 名 を 用 いてアクセス 管 理 者 が 定 める 方 法 により 作 成 される 符 号 ( 第 3 号 ) 署 名 の 形 状 やその 筆 圧 動 態 等 から 特 徴 を 取 り 出 して 数 値 化 し 符 号 化 するようなものを 指 しています アクセス 管 理 者 が 採 用 した 方 法 で 署 名 を 数 値 化 し 符 号 化 したものが 識 別 符 号 となります この 第 3 号 の 場 合 についても 第 2 号 と 同 様 第 3 号 に 該 当 する 符 号 のみで 識 別 符 号 とな っているものもありますし 第 3 号 に 該 当 する 符 号 とその 他 の 符 号 (IDなど)を 組 み 合 わせて 識 別 符 号 となっているものもあります (3)アクセス 制 御 機 能 ( 第 2 条 第 3 項 関 係 ) アクセス 制 御 機 能 とは 特 定 電 子 計 算 機 の 特 定 利 用 を 正 規 の 利 用 権 者 等 以 外 の 者 ができないよう に 制 限 するために アクセス 管 理 者 が 特 定 電 子 計 算 機 又 は 特 定 電 子 計 算 機 と 電 気 通 信 回 線 で 接 続 されている 電 子 計 算 機 に 持 たせている 機 能 です 具 体 的 には 特 定 電 子 計 算 機 の 特 定 利 用 をし ようとする 者 に 電 気 通 信 回 線 を 経 由 して 識 別 符 号 ( 識 別 符 号 を 用 いてアクセス 管 理 者 の 定 める 方 法 により 作 成 される 符 号 と 当 該 識 別 符 号 の 一 部 を 組 み 合 わせた 符 号 を 含 む )の 入 力 を 求 め 正 しい 識 別 符 号 が 入 力 された 場 合 にのみ 利 用 制 限 を 自 動 的 に 解 除 し 正 しい 識 別 符 号 ではなかった 場 合 には 利 用 を 拒 否 するコンピュータの 機 能 をいいます - 5 -
この 機 能 を 持 たせる 電 子 計 算 機 は その 特 定 利 用 を 制 限 しようとする 特 定 電 子 計 算 機 自 体 でも その 特 定 電 子 計 算 機 と 電 気 通 信 回 線 で 接 続 されている 他 の 電 子 計 算 機 ( 例 えば 別 に 設 けた 認 証 サーバ)であっても 構 いません ですから いわゆる 認 証 サーバのように 企 業 等 のネットワークの 内 部 に 特 定 利 用 の 制 限 及 び 制 限 の 解 除 の 指 令 を 一 元 的 に 行 うコンピュータを 設 置 してこれによりアクセ ス 制 御 を 行 うようなシステムであっても いわゆるゲートウェイ サーバのように 企 業 等 のネットワークの 入 り 口 に1 台 のコンピュータを 設 置 してアクセス 制 御 を 一 元 的 に 行 わせているようなシステムであって もよいことになります 識 別 符 号 を 用 いてアクセス 管 理 者 の 定 める 方 法 により 作 成 される 符 号 と 当 該 識 別 符 号 の 一 部 を 組 み 合 わせた 符 号 とは 公 開 鍵 暗 号 方 式 を 用 いて 利 用 権 者 等 の 認 証 を 行 っている 場 合 に 入 力 さ れる 認 証 機 関 が 発 行 する 利 用 権 者 等 の 電 子 証 明 書 ( 公 開 鍵 証 明 書 ディジタル 証 明 書 ともいい - 6 -
ID 情 報 公 開 鍵 情 報 を 含 んだものです )と 利 用 権 者 等 の 秘 密 鍵 を 用 いて 生 成 された 電 子 署 名 とを 組 み 合 わせたもの 等 を 指 しています 公 開 鍵 暗 号 方 式 による 認 証 システムにおいて ID パスワード 方 式 におけるパスワードに 当 たるもの(すなわち 本 法 第 2 条 第 2 項 第 1 号 に 当 たる 符 号 )はそれぞれ の 利 用 権 者 等 が 持 っている 秘 密 鍵 であり 識 別 符 号 としては 電 子 証 明 書 と 秘 密 鍵 の 組 み 合 わせと いうことになりますが 識 別 符 号 それ 自 体 ( 秘 密 鍵 )をアクセス 制 御 機 能 が 付 された 特 定 電 子 計 算 機 に 入 力 してはいません そこで 本 法 第 2 条 第 2 項 にいう 識 別 符 号 に 識 別 符 号 を 用 いてアクセス 管 理 者 の 定 める 方 法 により 作 成 される 符 号 と 当 該 識 別 符 号 の 一 部 を 組 み 合 わせた 符 号 を 含 めるこ ととしました ここで アクセス 管 理 者 の 定 める 方 法 とは 具 体 的 にはRSA 楕 円 暗 号 などの 暗 号 化 の 方 式 を 指 し 作 成 される 符 号 とは 公 開 鍵 暗 号 方 式 による 電 子 署 名 を 当 該 識 別 符 号 の 一 部 とは 公 開 鍵 暗 号 方 式 における 電 子 証 明 書 を 指 しています 3 不 正 アクセス 行 為 の 禁 止 処 罰 ( 第 3 条 第 8 条 関 係 ) 不 正 アクセス 行 為 とは アクセス 制 御 機 能 による 利 用 制 限 を 免 れて 特 定 電 子 計 算 機 の 特 定 利 用 を できる 状 態 にする 行 為 です 不 正 アクセス 行 為 には 他 人 の 識 別 符 号 を 無 断 で 入 力 する 行 為 ( 第 3 条 第 2 項 第 1 号 )と 識 別 符 号 以 外 の 情 報 又 は 指 令 を 入 力 する 行 為 ( 同 項 第 2 号 第 3 号 )の2つの 類 型 があります なお 不 正 アクセス 行 為 の 禁 止 に 違 反 した 者 は 1 年 以 下 の 懲 役 又 は50 万 円 以 下 の 罰 金 に 処 せ られることとなっています( 第 8 条 第 1 号 ) (1) 他 人 の 識 別 符 号 を 無 断 で 入 力 する 行 為 ( 第 3 条 第 2 項 第 1 号 ) 正 規 の 利 用 権 者 等 である 他 人 の 識 別 符 号 を 無 断 で 入 力 することによって 利 用 制 限 を 解 除 し 特 定 利 用 ができる 状 態 にする 行 為 です なお アクセス 管 理 者 が 行 う 場 合 及 びアクセス 管 理 者 又 は 入 力 する 識 別 符 号 を 付 与 されている 利 用 権 者 の 承 諾 を 得 て 行 う 場 合 は 禁 止 の 対 象 から 除 外 しています これは 正 当 な 利 用 形 態 ( 例 えば コンピュータのセキュリティ チェックを 実 施 する 場 合 や 会 社 の 同 僚 に 対 して 自 分 の 代 わりに 電 子 メ ールが 着 信 していないかどうかのチェックを 依 頼 する 場 合 など )が 考 えられるためです - 7 -
(2)アクセス 制 御 機 能 による 特 定 利 用 の 制 限 を 免 れることができる 情 報 又 は 指 令 を 入 力 する 行 為 ( 第 3 条 第 2 項 第 2 号 第 3 号 ) いわゆるセキュリティ ホール(アクセス 制 御 機 能 のプログラムの 瑕 疵 アクセス 管 理 者 の 設 定 上 のミ ス 等 のコンピュータ システムにおける 安 全 対 策 上 の 不 備 )を 攻 撃 する 行 為 です セキュリティ ホールがあるシステムに 対 して 特 殊 な 情 報 又 は 指 令 を 入 力 することにより 本 来 は 識 別 符 号 を 入 力 しなければ 行 うことができない 特 定 利 用 が これを 入 力 することなしに 行 うことができ るようになってしまう 場 合 があります この 特 殊 な 情 報 又 は 指 令 を 入 力 して 特 定 利 用 ができる 状 態 にする 行 為 が 第 3 条 第 2 項 第 2 号 及 び 第 3 号 に 該 当 する 不 正 アクセス 行 為 です ここで 情 報 とは 電 子 計 算 機 による 処 理 の 対 象 となるデータを 指 令 とは 電 子 計 算 機 に 一 定 の 動 作 をさせるための コマンドのことを 指 していますが ここでいう 情 報 又 は 指 令 には これらのそれぞれを 単 独 で 入 力 する 場 合 のほか この2つを 組 み 合 わせて 入 力 するものも 含 んでいます なお アクセス 管 理 者 又 はその 承 諾 を 得 た 者 が 行 う 場 合 は 禁 止 の 対 象 から 除 外 しています これ は 正 当 な 利 用 形 態 ( 例 えば コンピュータのセキュリティ チェックを 行 う 場 合 など )が 考 えられるた めです - 8 -
不 正 アクセス 行 為 には 以 上 の2 類 型 がありますが いずれも 電 気 通 信 回 線 を 通 じて 行 われるも の すなわちコンピュータ ネットワークを 通 じて 行 われるものに 限 定 されています したがって スタ ンドアロンのコンピュータ(ネットワークに 接 続 されていないコンピュータ)を 無 断 で 使 用 する 行 為 や ネットワークに 接 続 されアクセス 制 御 機 能 により 特 定 利 用 が 制 限 されているコンピュータであっても 当 該 コンピュータのキーボード(コンソール)を 直 接 操 作 して 無 断 で 使 用 する 行 為 は 電 気 通 信 回 線 を 通 じて 行 われているわけではないため 不 正 アクセス 行 為 には 該 当 しないこととなります 以 上 のことから 不 正 アクセス 罪 が 成 立 するためには 特 定 電 子 計 算 機 すなわちコンピュータ ネットワークに 接 続 されているコンピュータに 対 して 行 われ たものであること コンピュータ ネットワークを 通 じて 特 定 電 子 計 算 機 へのアクセスが 行 われたものであること 他 人 の 識 別 符 号 又 はアクセス 制 御 機 能 による 特 定 利 用 の 制 限 を 免 れることができる 情 報 又 は 指 令 が 入 力 されたものであること アクセス 制 御 機 能 によって 制 限 されている 特 定 利 用 をすることができる 状 態 にさせたもの( 一 部 のセ キュリティ ホール 攻 撃 のように 特 定 利 用 をすることができる 状 態 に 止 まらず 特 定 利 用 をしてしまう 行 為 をも 含 む )であること が 必 要 となります この 条 件 を 満 たせば 不 正 アクセス 行 為 となり 識 別 符 号 はどんな 種 類 のもの(ID パスワード 指 紋 虹 彩 音 声 署 名 など)でもよく 特 定 利 用 についてはホームページの 書 き 換 え インターネットショッピングの 注 文 データの 閲 覧 ファイル 転 送 ダイヤルアップ 接 続 などその 利 用 の 内 容 に 制 限 はありません 特 定 電 子 計 算 機 は 個 人 のものでも 法 人 のものでもよく 対 象 となるコン ピュータ ネットワークにはインターネットなどのオープンネットワークのほか 企 業 内 LANのように 外 部 と 接 続 していないものなども 含 まれます 識 別 符 号 を 入 力 する 端 末 機 も 必 ずしもコンピュータであ る 必 要 はなく 電 話 機 からプッシュボタンを 用 いて 他 人 の 口 座 番 号 と 暗 証 番 号 を 入 力 し 銀 行 のコンピ ュータに 対 してアクセスを 行 う 行 為 なども 不 正 アクセス 行 為 に 含 まれることになります 4 不 正 アクセス 行 為 を 助 長 する 行 為 の 禁 止 処 罰 ( 第 4 条 第 9 条 関 係 ) - 9 -
他 人 の 識 別 符 号 を 第 三 者 に 提 供 する 行 為 例 えば システムを 利 用 するためのIDは パスワードは である と 他 人 に 口 頭 や 電 子 メール 文 書 などで 教 えたり 電 子 掲 示 板 などに 掲 示 したりする 行 為 は その 識 別 符 号 を 利 用 すれば 誰 でも 容 易 に 不 正 アクセス 行 為 を 行 うことが 可 能 と なる 点 で 不 正 アクセス 行 為 を 助 長 するものですから これを 放 置 することは 不 正 アクセス 行 為 を 禁 止 することの 実 効 性 を 著 しく 損 なうこととなります そこで 他 人 の 識 別 符 号 を その 識 別 符 号 がどの 特 定 電 子 計 算 機 の 特 定 利 用 に 係 るものであるか (すなわち どのコンピュータ(のサービス)に 対 する 識 別 符 号 であるのかということ )を 明 らかにして 又 はこれを 知 っている 者 の 求 めに 応 じて アクセス 管 理 者 や 当 該 識 別 符 号 を 付 与 されている 利 用 権 者 に 無 断 で 第 三 者 に 提 供 する 行 為 を 禁 止 処 罰 することとしています この 不 正 アクセス 行 為 助 長 罪 が 成 立 するためには 識 別 符 号 が それが 付 与 された 者 に 無 断 で 提 供 されたこと どの 特 定 電 子 計 算 機 の 特 定 利 用 に 係 るものであるかを 明 らかにして 又 はこれを 知 っている 者 の 求 めに 応 じて 提 供 されたこと が 必 要 です 識 別 符 号 の 提 供 手 段 には 限 定 がなく 電 子 掲 示 板 に 掲 示 する 電 子 メールで 送 付 す るといったオンラインで 行 うもののほか 口 頭 で 伝 達 したり 紙 に 印 刷 して 手 渡 したりフロッピーディスク に 記 録 して 渡 したりといったオフラインでの 提 供 であっても 犯 罪 は 成 立 します また 提 供 行 為 によっ て 金 銭 的 な 利 益 を 得 たかどうかは 犯 罪 の 成 立 には 無 関 係 ですので 他 人 のID パスワードを 販 売 し ても 無 料 で 提 供 しても 罪 に 問 われます 不 正 アクセス 行 為 を 助 長 する 行 為 の 禁 止 に 違 反 した 者 は 30 万 円 以 下 の 罰 金 に 処 せられることと なっています( 第 9 条 ) なお アクセス 管 理 者 が 行 う 場 合 及 びアクセス 管 理 者 又 は 当 該 識 別 符 号 を 所 有 している 利 用 権 者 の 承 諾 を 得 て 行 う 場 合 については これらの 場 合 には 他 人 の 識 別 符 号 を 入 力 しても 不 正 アクセス 行 為 には 当 たらないこととしていることから 不 正 アクセス 行 為 を 助 長 するおそれが 認 められないので 禁 止 の 対 象 から 除 外 しています - 10 -
5 アクセス 管 理 者 による 防 御 措 置 ( 第 5 条 関 係 ) 不 正 アクセス 行 為 の 発 生 を 防 止 するためには その 禁 止 処 罰 に 頼 るのみではなく 不 正 アクセス 行 為 が 行 われにくい 環 境 を 整 備 することが 必 要 となります そのためには 個 々のアクセス 管 理 者 が 自 ら 防 御 措 置 を 講 じることが 必 要 となりますが その 実 施 状 況 は 必 ずしも 十 分 ではないのが 現 状 で す そこで アクセス 管 理 者 に 防 御 措 置 の 実 施 を 促 すため アクセス 管 理 者 に 不 正 アクセス 行 為 からの 防 御 措 置 を 講 ずべき 責 務 があることを 法 律 上 明 確 にしました そして アクセス 制 御 機 能 を 特 定 電 子 計 算 機 に 付 加 したアクセス 管 理 者 は ID パスワードといった 識 別 符 号 等 の 適 正 な 管 理 に 努 めるとと もに 常 にアクセス 制 御 機 能 の 有 効 性 を 検 証 し 必 要 があると 認 めるときにはアクセス 制 御 機 能 の 高 度 化 その 他 必 要 な 措 置 を 講 ずるよう 努 めるものとしています アクセス 管 理 者 に 求 められる 防 御 措 置 の 主 な 内 容 としては 利 用 権 者 の 異 動 時 における 識 別 符 号 の 確 実 な 追 加 削 除 長 期 間 利 用 されていない 識 別 符 号 の 確 実 な 削 除 パスワード ファイルの 暗 号 化 といった 識 別 符 号 の 適 正 な 管 理 アクセス 制 御 機 能 として 用 いているシステムのセキュリティに 関 する 情 報 (セキュリティ ホール 情 報 バージョン アップ 情 報 など)の 収 集 といったアクセス 制 御 機 能 の 有 効 性 の 検 証 パッチプログラムによるセキュリティ ホールの 解 消 アクセス 制 御 プログラムのバージョン アップ 指 紋 虹 彩 などを 利 用 したアクセス 制 御 システムの 導 入 といったアクセス 制 御 機 能 の 高 度 化 コンピュータ ネットワークの 状 態 を 監 視 するのに 必 要 なログを 取 得 しその 定 期 的 な 検 査 を 行 う ログ を 利 用 して 前 回 アクセス 日 時 を 表 示 し 利 用 権 者 にその 確 認 を 求 めるといったログの 有 効 活 用 ネットワーク セキュリティ 責 任 者 の 設 置 といったことが 挙 げられます 具 体 的 にシステムに 対 してどのような 防 御 措 置 を 講 ずべきかについては アクセス 管 理 者 が 個 々 に 判 断 することとなりますが 国 家 公 安 委 員 会 ( 警 察 庁 ) 通 商 産 業 省 及 び 郵 政 省 からネットワーク セキュリティに 関 するガイドラインが 公 表 されておりますので これらを 参 考 として 措 置 を 講 じてくださ い 各 省 庁 から 公 表 されているネットワーク セキュリティに 関 するガイドライン 情 報 システム 安 全 対 策 指 針 ( 平 成 9 年 国 家 公 安 委 員 会 告 示 第 9 号 ) [http://www.npa.go.jp/hightech/antai_sisin/kokuji.htm] コンピュータ 不 正 アクセス 対 策 基 準 ( 平 成 8 年 通 商 産 業 省 告 示 第 362 号 ) [http://www.miti.go.jp/press-j/past/c60806a2.html] 情 報 システム 安 全 対 策 基 準 ( 平 成 7 年 通 商 産 業 省 告 示 第 518 号 ) 情 報 通 信 ネットワーク 安 全 信 頼 性 基 準 ( 昭 和 62 年 郵 政 省 告 示 第 73 号 ) 6 都 道 府 県 公 安 委 員 会 による 援 助 等 (1) 都 道 府 県 公 安 委 員 会 による 援 助 ( 第 6 条 関 係 ) - 11 -
都 道 府 県 公 安 委 員 会 及 び 方 面 公 安 委 員 会 ( 以 下 公 安 委 員 会 といいます )は 不 正 アクセス 行 為 が 行 われたと 認 められる 場 合 において 不 正 アクセス 行 為 が 行 われた 特 定 電 子 計 算 機 のアクセス 管 理 者 から 援 助 を 受 けたい 旨 の 申 出 があり その 申 出 を 相 当 と 認 めるときは 申 出 者 に 対 して 不 正 アクセス 行 為 の 再 発 防 止 のための 援 助 を 行 うこととしています( 第 1 項 ) 公 安 委 員 会 が 行 う 援 助 の 内 容 は 申 出 者 が 再 発 防 止 措 置 を 講 ずることができるよう その 具 体 的 方 法 について 資 料 の 提 供 助 言 指 導 等 を 行 うことです ここで 注 意 しなければならないのは 公 安 委 員 会 が 行 うのはあくまで 再 発 防 止 措 置 ( 例 えば ソフトウェアの 設 定 を 適 切 なものに 変 更 したりといったことなど )についての 資 料 提 供 や 助 言 指 導 のみであり 実 際 にそれらの 再 発 防 止 措 置 を 実 施 するのは 申 出 人 であるアクセス 管 理 者 自 身 であるということです 公 安 委 員 会 は 援 助 を 行 うために 不 正 アクセス 行 為 の 手 口 不 正 アクセス 行 為 を 受 けた 原 因 不 正 アクセス 行 為 の 再 発 防 止 措 置 のメニュー 等 を 申 出 者 から 提 出 された 資 料 等 を 基 に 解 明 し(これを 事 例 分 析 といっています ) その 結 果 を 踏 まえて 援 助 を 行 います アクセス 管 理 者 が 公 安 委 員 会 による 援 助 を 受 けるに 当 たっては いくつか 要 件 があります まず 本 法 に 規 定 する 不 正 アクセス 行 為 を 受 けた 者 である 必 要 があります 多 量 にメールを 送 りつけられた 過 負 荷 攻 撃 を 受 けたといったことそのものは 多 くは 本 法 でいう 不 正 アクセス 行 為 には 該 当 しません から 援 助 の 対 象 とはなりません( 仮 に 公 安 委 員 会 に 対 して 申 出 を 行 ったとしても 受 理 されませ ん ) また 不 正 アクセス 行 為 の 分 析 に 必 要 な 資 料 は 申 出 を 行 ったアクセス 管 理 者 から 提 出 される 必 要 があり これを 拒 んだ 場 合 にも 援 助 の 対 象 とはなりません さらに 公 安 委 員 会 による 援 助 は 不 正 アクセス 行 為 の 再 発 防 止 のための 応 急 措 置 に 必 要 と 考 えられるものに 限 られますので この 範 囲 を 逸 脱 するような 援 助 をアクセス 管 理 者 が 要 求 するようであれば やはり 援 助 の 対 象 となりません (2) 国 による 広 報 啓 発 活 動 ( 第 7 条 関 係 ) アクセス 管 理 者 はもとより ソフトウェア 事 業 者 ハードウェア 事 業 者 エンドユーザ 等 のコンピュー タ ネットワークに 関 係 する 者 すべてが 不 正 アクセス 行 為 の 危 険 性 を 正 しく 認 識 するとともに それぞ れの 立 場 で 不 正 アクセス 行 為 を 防 御 するための 活 動 を 行 うことが 不 正 アクセス 行 為 が 行 われにくい 環 境 を 整 備 するためには 必 要 です そこで このようなそれぞれの 立 場 で 行 われる 活 動 に 資 すること - 12 -
ができるように 国 家 公 安 委 員 会 通 商 産 業 大 臣 及 び 郵 政 大 臣 が 毎 年 少 なくとも1 回 不 正 アクセ ス 行 為 の 発 生 状 況 及 びアクセス 制 御 機 能 に 関 する 技 術 の 研 究 開 発 の 状 況 を 公 表 することとしていま す( 第 1 項 ) また 国 は 不 正 アクセス 行 為 からの 防 御 に 関 する 啓 発 及 び 知 識 の 普 及 に 努 めなければならない こととしています( 第 2 項 ) 7 施 行 期 日 本 法 は 公 布 の 日 ( 平 成 11 年 8 月 13 日 )から 起 算 して6 箇 月 を 経 過 した 日 ( 平 成 12 年 2 月 13 日 )か ら 施 行 されます ただし 6(1) 項 で 説 明 した 事 項 ( 公 安 委 員 会 による 不 正 アクセス 行 為 を 受 けたア クセス 管 理 者 に 対 する 援 助 に 関 する 規 定 )については 公 布 の 日 から 起 算 して1 年 を 超 えない 範 囲 内 において 政 令 で 定 める 日 ( 平 成 12 年 7 月 1 日 )から 施 行 されます 8 その 他 本 法 の 全 条 文 やその 他 不 正 アクセス 行 為 対 策 に 関 する 情 報 は 次 の 各 省 庁 のホームページから 得 ることができます 警 察 庁 ホームページ:http://www.npa.go.jp 通 商 産 業 省 ホームページ:http://www.miti.go.jp/ 郵 政 省 ホームページ:http://www.mpt.go.jp/ - 13 -
別 添 2 不 正 アクセス 行 為 の 発 生 状 況 第 1 平 成 12 年 中 の 不 正 アクセス 禁 止 法 違 反 事 件 の 検 挙 状 況 等 について 不 正 アクセス 禁 止 法 の 施 行 日 ( 平 成 12 年 2 月 13 日 )から 平 成 12 年 12 月 31 日 までの 間 に 警 察 庁 に 報 告 のあった 不 正 アクセス 行 為 ( 以 下 期 間 中 の 不 正 アクセス 行 為 という )が 対 象 である 1 不 正 アクセス 行 為 の 発 生 状 況 及 びその 特 徴 期 間 中 の 不 正 アクセス 行 為 は 106 件 であった そのうち 海 外 から 不 正 アクセス 行 為 が 行 われたことが 判 明 しているものは 25 件 あった 認 知 件 数 プロバイダ 59 被 害 に 係 る 特 定 電 子 計 算 機 大 学 8 のアクセス 管 理 者 別 情 報 通 信 企 業 6 そ の 他 33 計 106 認 知 件 数 アクセス 管 理 者 からの 届 出 30 利 用 権 者 からの 届 出 23 認 知 の 端 緒 別 発 見 者 からの 通 報 7 被 疑 者 の 取 調 べ 35 そ の 他 11 計 106 これらを 被 害 に 係 る 特 定 電 子 計 算 機 のアクセス 管 理 者 別 に 見 ると プロバイダが59 件 と 最 も 多 く 次 いで 大 学 が8 件 の 順 となっている また 認 知 の 端 緒 の 主 なものとしては 警 察 への 届 出 等 が60 件 (アクセス 管 理 者 からの 届 出 が30 件 利 用 権 者 からの 届 出 が23 件 その 他 発 見 者 からの 通 報 が7 件 ) 被 疑 者 の 取 調 べ 等 の 警 察 活 動 が35 件 あっ た なお 不 正 アクセス 行 為 後 の 行 為 としてホームページの 改 ざん 消 去 を 伴 うものが33 件 DDoS 用 攻 撃 ツ ール(Trinity V3)( 参 考 1を 参 照 )を 仕 掛 けられていたものが2 件 あった 2 不 正 アクセス 禁 止 法 違 反 事 件 の 検 挙 状 況 期 間 中 の 不 正 アクセス 禁 止 法 違 反 の 検 挙 件 数 は31 事 件 (67 件 ) 検 挙 人 員 は37 人 であった その 内 訳 は 不 正 アクセス 行 為 が30 事 件 (62 件 ) 34 人 であり 不 正 アクセス 助 長 行 為 が4 事 件 (5 件 3 事 件 は 不 正 アクセス 行 為 でも 検 挙 ) 5 人 (2 人 は 不 正 アクセス 行 為 でも 検 挙 )であった 不 正 アクセス 行 為 の 態 様 については 30 事 件 中 29 事 件 (61 件 )が 識 別 符 号 窃 用 型 ( 不 正 アクセス 禁 止 法 第 3 条 第 2 項 第 1 号 の 他 人 の 識 別 符 号 を 無 断 で 入 力 する 行 為 をいう )であり 残 りの1 事 件 (1 件 )がセキ ュリティ ホール 攻 撃 型 ( 不 正 アクセス 禁 止 法 第 3 条 第 2 項 第 2 号 及 び 第 3 号 のアクセス 制 御 機 能 による 特 定 利 用 の 制 限 を 免 れる 情 報 又 は 指 令 を 入 力 する 行 為 をいう )であった また 不 正 アクセス 助 長 行 為 で 検 挙 した 事 件 は いずれも 識 別 符 号 がどの 特 定 電 子 計 算 機 の 特 定 利 用 に 係 るものであるかを 明 らかにして 提 供 していたものであった - 14 -
なお 検 挙 人 員 37 人 中 31 人 が 成 人 であり 6 人 が 少 年 であった 事 犯 別 検 挙 事 件 数 検 挙 件 数 検 挙 人 員 不 正 アクセス 行 為 30 62 34 人 不 正 アクセス 助 長 行 為 4 5 5 人 計 31 67 37 人 3 検 挙 事 例 ( 重 複 3) ( 重 複 2 人 ) 違 法 薬 物 販 売 目 的 の 他 人 の 識 別 符 号 を 使 用 した 不 正 アクセス 禁 止 法 違 反 等 事 件 無 職 の 男 (34)が クラッキング ツール 等 を 利 用 して 入 手 した 他 人 のID パスワードを 使 用 して 不 正 にイン ターネットに 接 続 し ホームページを 開 設 した 上 薬 物 販 売 の 広 告 を 掲 示 し 薬 物 の 購 入 希 望 者 とメールの やり 取 り 等 をするとともに 同 ホームページで 販 売 する 目 的 で 医 薬 品 や 向 精 神 薬 を 自 宅 に 所 持 していた 1 2 年 3 月 不 正 アクセス 禁 止 法 違 反 薬 事 法 違 反 及 び 麻 薬 及 び 向 精 神 薬 取 締 法 違 反 で 検 挙 した( 千 葉 ) 音 楽 配 信 会 社 のメールサーバに 対 する 不 正 アクセス 禁 止 法 違 反 事 件 音 楽 配 信 会 社 の 元 役 員 (32)が 役 員 当 時 知 り 得 た 社 長 等 のID パスワードを 使 用 して 同 社 のメールサー バに 侵 入 し 電 子 メールの 内 容 を 盗 み 見 た 12 年 6 月 不 正 アクセス 禁 止 法 違 反 で 検 挙 した( 警 視 庁 ) 2ショットチャット 掲 示 板 に 対 する 不 正 アクセス 禁 止 法 違 反 事 件 建 設 会 社 の 会 社 員 (32)が 被 害 者 が 開 設 した 有 料 掲 示 板 2ショットチャット に 対 し 認 証 機 能 が 甘 いこ とに 乗 じ CGIプログラムを 使 用 してセキュリティ ホールを 突 き 識 別 符 号 を 入 力 することなく 接 続 した 12 年 6 月 不 正 アクセス 禁 止 法 違 反 で 検 挙 した( 北 海 道 富 山 ) オンラインゲームに 係 る 不 正 アクセス 禁 止 法 違 反 事 件 派 遣 会 社 の 社 員 (23)が クラッキング ツールを 利 用 して 入 手 した 他 人 のID パスワードを 使 用 して 不 正 に 米 国 のオンラインゲーム サーバに 侵 入 し ゲームを 行 った その 際 同 ゲームのチャット 上 で 知 り 合 った 少 年 に 対 し 同 ID パスワードを 教 示 した 12 年 4 月 不 正 アクセス 禁 止 法 違 反 で 検 挙 した( 警 視 庁 ) レンタル サーバ 業 者 のウェブ サーバに 対 する 不 正 アクセス 禁 止 法 違 反 等 事 件 無 職 の 男 (33)が 総 当 たりにより 探 知 した 元 勤 務 先 の 広 告 会 社 のID パスワードを 使 用 して 同 社 の 契 約 会 社 のウェブ サーバに 侵 入 し ホームページのデータを 削 除 した 12 年 8 月 不 正 アクセス 禁 止 法 違 反 及 び 電 子 計 算 機 損 壊 等 業 務 妨 害 罪 で 検 挙 した( 大 阪 ) iモード 電 話 機 用 のウェブ サーバに 対 する 不 正 アクセス 禁 止 法 違 反 事 件 無 職 の 男 (23)が iモード 電 話 機 用 の 掲 示 板 から 入 手 した 他 人 のID パスワードを 同 電 話 機 のメール サ ービスを 利 用 してハッカー 仲 間 である 会 社 員 (25)に 提 供 さらに 同 会 社 員 が 同 ID 等 をハッカー 仲 間 で ある 大 学 生 (25)に 提 供 し 同 大 学 生 が 同 ID 等 を 使 用 して 不 正 にiモード 電 話 機 用 のウェブ サーバに 侵 入 し 掲 示 板 の 内 容 を 書 き 換 えるなどした 12 年 10 月 不 正 アクセス 禁 止 法 違 反 で 無 職 の 男 ら3 人 を 検 挙 - 15 -
した( 警 視 庁 ) ホームページ 提 供 サービス 業 者 のウェブ サーバに 対 する 不 正 アクセス 禁 止 法 違 反 等 事 件 韓 国 関 連 の 情 報 交 換 のためのホームページを 開 設 する 会 社 員 (31)が 自 己 のホームページの 掲 示 板 に 嫌 がらせの 書 き 込 みをされたことに 立 腹 し 同 書 き 込 みをした 者 が 開 設 する 韓 国 関 連 のホームページに 係 るID パスワードを 推 測 により 探 知 し 不 正 にホームページ 提 供 サービス 業 者 のウェブ サーバに 侵 入 し 本 人 に 無 断 で 退 会 届 をすることにより 同 ホームページのデータを 消 去 した 12 年 10 月 不 正 アクセス 禁 止 法 違 反 及 び 電 子 計 算 機 損 壊 等 業 務 妨 害 罪 で 検 挙 した( 警 視 庁 ) 解 雇 された 会 社 の 識 別 符 号 を 窃 取 した 不 正 アクセス 禁 止 法 違 反 等 事 件 情 報 通 信 関 連 会 社 の 元 社 員 (25)が 同 社 を 解 雇 されたことに 立 腹 し 同 社 に 金 銭 的 損 害 を 与 える 目 的 で 在 職 中 に 知 り 得 た 同 社 のID パスワードを 使 用 して 不 正 にインターネットに 接 続 するとともに 同 社 に 高 額 のインターネット 接 続 料 が 請 求 されるように 契 約 内 容 を 変 更 する 旨 の 虚 偽 の 情 報 をプロバイダのサーバに 送 信 して 事 実 証 明 に 関 する 電 磁 的 記 録 を 不 正 に 作 出 したほか ホームページ 上 で 前 記 ID 等 を 公 開 した 12 年 10 月 不 正 アクセス 禁 止 法 違 反 及 び 電 磁 的 記 録 不 正 作 出 罪 で 検 挙 した( 警 視 庁 ) 広 域 にわたるハッカー グループによる 不 正 アクセス 禁 止 法 違 反 事 件 ハッカー グループの 主 犯 格 の 男 (30)が クラッキング ツール 等 を 利 用 して 入 手 した 他 人 のID パスワー ドを 使 用 して 不 正 に 国 立 大 学 観 光 協 会 及 びプロバイダの 各 サーバに 侵 入 するとともに 自 己 の 運 営 する 掲 示 板 において 前 記 国 立 大 学 のサーバに 係 る 同 ID 等 の 掲 示 観 光 協 会 及 びプロバイダに 対 する 不 正 アクセス 手 法 の 教 示 等 を 行 った また 同 教 示 を 受 けた 同 グループのメンバーである 主 婦 (42) 大 学 生 (23) が それぞれクラッキング ツールの 利 用 等 教 示 を 受 けた 手 法 により 入 手 した 他 人 のID パスワードを 使 用 して 不 正 に 国 立 大 学 又 は 観 光 協 会 のサーバに 侵 入 した 12 年 11 月 不 正 アクセス 禁 止 法 違 反 で 主 犯 格 のほかハッカー グループのメンバー2 人 を 検 挙 した( 愛 知 秋 田 宮 城 警 視 庁 広 島 ) 4 検 挙 事 件 の 特 徴 (1) 犯 行 の 手 口 不 正 アクセス 行 為 で 検 挙 した30 事 件 (62 件 )の 手 口 としては ユーザのパスワード 管 理 の 甘 さにつけ 込 んだID パスワードの 入 手 が12 事 件 (14 件 )と 最 も 多 く 次 いでトロイの 木 馬 ( 参 考 2を 参 照 ) 系 のコン ピュータ ウイルス 等 のクラッキング ツールによるID パスワードの 入 手 やセキュリティ ホール 攻 撃 が8 事 件 (14 件 ) 他 人 からのID パスワードの 入 手 が6 事 件 (25 件 )の 順 となっている なお クラッキング ツールの 中 では トロイの 木 馬 系 のコンピュータ ウイルスを 利 用 したものが 多 く 識 別 符 号 の 入 手 等 にクラッキング ツールを 使 用 した 事 件 中 3 事 件 (5 件 )で 使 用 されていた いずれの 被 疑 者 も クラッキング ツールをネットワーク 上 のホームページからダウンロードし 又 は 雑 誌 の 付 録 CD 等 から 入 手 していた このほか 犯 行 の 発 覚 を 免 れるため 海 外 のプロキシ サーバを 使 用 していた 事 件 (2 事 件 (2 件 ))もあ った (2) 被 疑 者 の 特 徴 検 挙 した37 人 の 被 疑 者 の 年 齢 は 30 代 が16 人 と 最 も 多 く 次 いで20 代 が13 人 10 代 が6 人 の 順 とな - 16 -
っている 最 年 長 の 者 は48 歳 であり 最 年 少 の 者 は15 歳 であった なお 検 挙 人 員 には 含 まれないものの 刑 事 責 任 の 無 い 少 年 が 不 正 アクセス 行 為 を 行 っていたもの ( 補 導 処 分 )もある (3) 犯 行 の 動 機 不 正 アクセス 行 為 の 動 機 としては 利 用 料 金 の 請 求 を 免 れるためが13 事 件 (34 件 )と 最 も 多 く 次 いで 嫌 がらせ 仕 返 しが5 事 件 (7 件 ) メールの 盗 み 見 が5 事 件 (5 件 ) なりすまして 別 の 犯 罪 等 の 発 覚 を 免 れるためが3 事 件 (7 件 ) いたずら 目 的 が2 事 件 (3 件 )の 順 となっている 少 年 被 疑 者 にあっては 特 段 の 罪 悪 感 を 持 たずに 犯 行 に 至 っているのが 目 立 つ (4) その 他 不 正 アクセス 行 為 が 別 の 犯 罪 の 手 段 として 利 用 されていた 事 案 は 8 事 件 (12 件 )であった( 薬 事 法 及 び 麻 薬 及 び 向 精 神 薬 取 締 法 違 反 事 件 業 務 妨 害 事 件 詐 欺 事 件 名 誉 毀 損 事 件 電 子 計 算 機 損 壊 等 業 務 妨 害 事 件 著 作 権 法 違 反 事 件 電 磁 的 記 録 不 正 作 出 事 件 ) 5 都 道 府 県 公 安 委 員 会 による 援 助 措 置 都 道 府 県 公 安 委 員 会 は 不 正 アクセス 行 為 を 受 けたアクセス 管 理 者 からの 申 出 への 対 応 として 不 正 ア クセス 禁 止 法 第 6 条 の 援 助 規 定 ( 平 成 12 年 7 月 1 日 施 行 )に 基 づくアクセス 管 理 者 に 対 する 助 言 指 導 を 平 成 12 年 12 月 31 日 までに6 件 ( 東 京 滋 賀 大 阪 北 海 道 京 都 神 奈 川 ) 実 施 している 6 防 御 上 の 留 意 事 項 (1) トロイの 木 馬 対 策 トロイの 木 馬 系 のコンピュータ ウイルスの 感 染 を 予 防 するため 不 審 な 電 子 メールを 受 信 した 場 合 には メールの 添 付 ファイルを 不 用 意 に 開 かないことなどに 留 意 する (2) 識 別 符 号 の 適 切 な 管 理 推 測 されやすいパスワードの 解 消 パスワードの 定 期 的 な 変 更 使 用 されなくなったID パスワードの 抹 消 等 識 別 符 号 の 適 切 な 管 理 を 行 う (3) サーバの 適 切 な 管 理 セキュリティ ホールの 解 消 適 切 に 設 定 されたファイアウォールの 設 置 ログの 保 存 監 査 等 サーバの 適 切 な 管 理 を 行 う (4) その 他 情 報 システム 安 全 対 策 指 針 ( 平 成 11 年 国 家 公 安 委 員 会 告 示 第 19 号 )を 参 考 に 一 般 的 な 対 策 も 併 せて 講 ずることが 望 ましい 都 道 府 県 警 察 においては 不 正 アクセス 禁 止 法 に 基 づく 援 助 を 行 っているほか ハイテク 犯 罪 相 談 を 行 っているので 被 害 が 発 生 した 場 合 には 都 道 府 県 警 察 のハイテク 犯 罪 相 談 窓 口 に 連 絡 する( 相 談 窓 口 一 覧 : 警 察 庁 ホームページhttp://www.npa.go.jp/) ( 参 考 ) 1 DDoS(Distributed Denial of Service) 攻 撃 ツール(Trinity V3)について DDoS 攻 撃 とは インターネット 上 の 複 数 のコンピュータにDoS 攻 撃 ( 標 的 となるサーバコンピュータに 過 剰 な 負 荷 をかけるなどして 当 該 サーバコンピュータのサービスを 妨 害 する 攻 撃 ) 用 のツールを 仕 掛 け 攻 撃 者 の 使 用 するコンピュータからの 命 令 により 一 斉 にDoS 攻 撃 を 行 い 標 的 となるサーバコンピュータのサー ビスを 妨 害 するものである DDoS 攻 撃 ツールが 仕 掛 けられていた 場 合 は システムの 再 インストールにより 攻 撃 用 ツールを 削 除 すると ともに OS 及 びアプリケーションのバージョンアップ 並 びに 定 期 的 点 検 等 により 再 発 に 注 意 しなければなら - 17 -
ない なお Trinity V3は 昨 年 9 月 に 発 見 されたDDoS 攻 撃 ツールの 一 種 で 検 出 のためには 次 の2つの 項 目 の 確 認 が 必 要 とされている 1ポート33270の 開 閉 状 態 を 確 認 する 通 常 は 使 用 されていないポート 番 号 のため 閉 じられているが DDoS 攻 撃 ツール(Trinity V3)が 仕 掛 け られると 解 放 状 態 となる 2ファイルを 点 検 する DDoS 攻 撃 ツール(Trinity V3)を 仕 掛 けられたコンピュータには /usr/lib/のディレクトリー 下 にidle.soというファイル 及 び/var/spool/uucp/のディレクトリー 下 にuuicoという ファイルが 存 在 する 2 トロイの 木 馬 について トロイの 木 馬 とは トロイの 木 馬 は コンピュータに 悪 影 響 を 及 ぼしたり ユーザを 欺 くプログラムを 内 包 していながら 普 通 のアプリケーションプログラム 等 の 体 裁 を 有 しているプログラムであり 通 常 コンピュータ ウイルスの 一 種 として 扱 われている パソコンにトロイの 木 馬 が 仕 掛 けられると ユーザは 業 務 処 理 やゲームなどを しているつもりでも 背 後 では 別 の 機 能 が 作 動 していて パスワードを 盗 むなどの 被 害 を 与 えている トロ イの 木 馬 の 語 源 は 古 代 ギリシャのトロイ 戦 争 で 都 市 国 家 トロイが 中 に 敵 軍 兵 士 が 潜 んでいるとも 知 ら ずに 門 前 におかれた 大 きな 木 馬 を 内 部 に 引 き 入 れ 敗 れたという 故 事 にちなんでいる トロイの 木 馬 は 実 際 に 発 生 している 不 正 アクセス 禁 止 法 違 反 事 件 でも 使 用 されており 不 正 アクセス 行 為 の 発 生 の 一 因 にもなっている トロイの 木 馬 の 特 徴 トロイの 木 馬 には 多 くの 種 類 があるが これらのほとんどはインターネットから 容 易 に 入 手 することができる これまで 検 挙 された 不 正 アクセス 禁 止 法 違 反 事 件 では SubSeven BackOrifice 及 びDeepThroatと いう 名 称 のトロイの 木 馬 が 用 いられた これらは 不 正 アクセス 行 為 の 対 象 となるコンピュータに 仕 掛 ける プログラム(サーバプログラム)とサーバプログラムが 仕 掛 けられているコンピュータを 遠 隔 操 作 するため 他 のコンピュータ( 行 為 者 のパソコン 等 )において 作 動 するプログラム(クライアントプログラム)により 構 成 される 不 正 アクセス 禁 止 法 違 反 事 件 において 識 別 符 号 を 窃 取 されたコンピュータのいくつかには 実 際 にこれ らのサーバプログラムが 仕 掛 けられていた これらは インターネットを 経 由 した 遠 隔 操 作 により Windo wsにおいて 用 いられるインターネット 接 続 用 のID パスワードの 窃 取 情 報 の 改 ざん 等 を 行 う 機 能 を 有 し ている 被 害 の 予 防 方 法 トロイの 木 馬 は サーバプログラムとクライアントプログラムが 連 携 して 機 能 するものであるから 被 害 を 予 防 するには サーバプログラムが 仕 掛 けられることを 防 ぐのが 第 一 である そのためには コンピュータ ウイルスの 感 染 予 防 と 同 様 に メール 等 により 外 部 から 送 られてきた 添 付 ファイルやいかがわしいサイト からダウンロードしたプログラムを 不 用 意 に 実 行 しないなどの 注 意 が 必 要 である このようなプログラムを 添 付 されたメールは 件 名 を 偽 りソフトウェアベンダからのバージョンアップ 等 の 案 内 になりすましたもの 添 付 ファイルの 種 類 を 変 更 し 画 像 ファイルやビデオファイルになりすましたもの 等 さまざまな 偽 装 を 施 し ていることがほとんどであることに 注 意 しなければならない ほとんどのサーバプログラムは コンピュータ ウイルスのワクチンソフトにより 検 出 駆 除 が 可 能 であること から それらを 導 入 常 駐 させることも 有 効 な 予 防 方 法 である また シェアウェアのトロイの 木 馬 専 用 の 検 出 駆 除 ソフトウェアがインターネット 上 で 提 供 されている (ソフト 名 The Cleaner http://www.moosof - 18 -
t.com/) ( 注 1) 不 正 アクセス 行 為 の 認 知 の 考 え 方 認 知 とは 被 害 届 を 受 理 した 場 合 のほか 余 罪 として 発 覚 した 場 合 報 道 を 踏 まえて 確 認 した 場 合 援 助 の 申 出 を 受 理 した 場 合 等 不 正 アクセス 行 為 の 事 実 確 認 ができた 場 合 とすることとしている ( 注 2) 不 正 アクセス 行 為 の 件 数 の 計 上 について 一 のアクセス 制 御 機 能 に 対 する 一 の 手 口 による 侵 害 行 為 を1 件 とする ただし 被 疑 者 が 異 なる 場 合 ( 共 犯 を 除 く )はそれぞれ1 件 として 計 上 し 短 期 間 に 一 のアクセス 制 御 機 能 に 対 して 同 一 手 口 による 侵 害 が 継 続 的 に 行 われた 場 合 は 包 括 して1 件 とする 不 正 アクセス 行 為 と 他 の 罪 とが 併 合 罪 又 は 観 念 的 競 合 の 関 係 にある 場 合 これを 別 件 として 扱 い 1 件 計 上 する - 19 -
別 添 3 更 新 : 平 成 13 年 5 月 17 日 _ 警 察 庁 _ ホームページ 書 き 換 え 事 案 に 関 する 対 策 について ホームページ 書 き 換 えプログラムによる 事 案 平 成 13 年 5 月 17 日 : 販 売 企 業 18 社 に 対 する 要 請 _ 平 成 13 年 5 月 10 日 : 事 案 の 概 要 と 注 意 喚 起 日 本 企 業 等 に 対 するホームページ 書 き 換 え 事 案 平 成 13 年 3 月 8 日 : 具 体 的 な 情 報 セキュリティ 対 策 に 関 する 情 報 提 供 _ 平 成 13 年 2 月 23 日 : 事 案 の 概 要 と 注 意 喚 起 - 20 -
ホームページ 書 き 換 えプログラムによる 事 案 _ 平 成 13 年 5 月 17 日 _ 1 被 害 状 況 平 成 13 年 5 月 10 日 にホームページ 書 き 換 えプログラムに 関 する 対 策 について 公 表 したところであり 都 道 府 県 警 察 においては 当 該 書 き 換 えプログラムによってホームページを 改 ざんされた 地 方 公 共 団 体 民 間 企 業 大 学 等 からの 相 談 及 び 被 害 届 を 97 件 (5 月 17 日 正 午 現 在 ) 受 理 しているところであります 当 該 書 き 換 えプログラムは 書 き 換 えについては OSとしてWindowsNTを 使 用 しているサーバー( 以 下 Windowsサーバー という )を 対 象 とするとともに OSとしてSolarisを 使 用 しているサーバー( 以 下 Sol arisサーバー という )にSolarisのセキュリティホールを 突 いて 自 動 的 に 自 己 を 複 写 することによって 増 殖 を 繰 り 返 す 性 能 を 有 しています _ したがって 被 害 が 顕 在 化 しないSolarisサーバーについて 適 切 なセ キュリティ 対 策 が 講 じられない 場 合 攻 撃 する 拠 点 であるSolarisサーバーが 増 加 することによって Windo wsサーバーに 対 する 書 き 換 え 被 害 が 爆 発 的 に 拡 大 するおそれがあります 2 Solarisサーバーの 管 理 者 が 採 るべき 措 置 検 知 プログラムの 利 用 又 は /dev/cub 及 び /dev/cuc というフォルダの 検 索 により 当 該 書 き 換 えプログ ラムの 有 無 を 確 認 した 上 で 最 新 のパッチプログラムを 適 用 する _ 111 番 ポート(SUN Remote Procedure Call)を 閉 じ る 等 の 措 置 を 採 ってください また 当 該 書 き 換 えプログラムを 発 見 した 場 合 には 当 該 書 き 換 えプログラム の 伝 搬 ルートを 追 跡 し 発 信 元 のSolarisサーバーに 対 して 被 害 拡 大 の 防 止 措 置 を 採 る 必 要 があることか ら 都 道 府 県 警 察 のハイテク 犯 罪 相 談 窓 口 にご 連 絡 下 さい 3 警 察 庁 から 販 売 企 業 に 対 する 要 請 ( 平 成 13 年 5 月 17 日 実 施 ) 上 記 措 置 を 確 実 に 採 っていただくことにより 今 後 の 被 害 拡 大 を 防 止 するために 当 庁 よりSolarisサーバ ーを 販 売 する18 社 に 対 し その 顧 客 に 向 けて ホームページ 書 き 換 えプログラムの 検 知 プログラムの 提 供 _ 未 知 のフォルダ 及 び 未 知 のプログ ラムの 確 認 依 頼 _ 最 新 のパッチプログラム の 適 用 依 頼 _ ファイアウォール 等 による 適 切 なフィ ルタリングの 依 頼 _ 都 道 府 県 警 察 のハイテク 犯 罪 相 談 窓 口 情 報 の 提 供 を 実 施 するように 要 請 いたしました 平 成 13 年 5 月 10 日 _ 平 成 13 年 5 月 1 日 以 降 都 道 府 県 警 察 において 地 方 公 共 団 体 民 間 企 業 等 のホームページが 書 き 換 え られる 事 案 を15 件 (5 月 10 日 午 前 10 時 現 在 ) 把 握 しております それらは いずれも 同 種 のホームページ 書 き 換 えプログラムが 使 用 されております 当 該 書 き 換 えプログラムの 概 要 は 次 のとおりです 1 Solaris 上 で 動 作 するsadmind(システム 管 理 用 プログラム)のセキュリティホールを 突 いてサーバーに 侵 入 し /dev/cub と /dev/cuc というフォルダを 作 成 し 当 該 書 き 換 えプログラムを 蔵 置 する 2 他 のサーバーの 調 査 を 行 い 使 用 しているOSがSolarisであれば1を 試 みると 同 時 にWindows(NT 又 は 2000)であればIIS4.0/5.0(Web 用 プログラム)のセキュリティホールを 突 いてホームページの 改 ざんを 試 み る 3 改 ざんされたホームページには 次 の 内 容 が 表 示 される fuck USA Government - 21 -
fuck Poizonb0x contact:sysadmcn@yahoo.com.cn このように 当 該 書 き 換 えプログラムは 他 人 のサーバーのホームページを 改 ざんするとともに 自 己 を 他 の サーバーに 複 写 し これを 繰 り 返 す 機 能 を 有 するので 適 切 なセキュリティ 対 策 が 講 じられていないと 他 のサ ーバーに 被 害 を 拡 大 させたり 同 じサーバーが 再 び 被 害 に 遭 う 可 能 性 があります サーバー 内 に 上 記 フォル ダが 作 成 され 未 知 のプログラムが 蔵 置 されていないか 確 認 し 今 後 の 被 害 防 止 のために 下 記 の 対 策 を 行 っ てください OSがSolarisでsadmindを 使 用 している 場 合 ( 原 因 )sadmindのセキュリティホール ( 対 策 )sadmindを 停 止 するか 最 新 パッチプログラムを 適 用 する OSがWindows(NT 又 は2000)でIIS4.0/5.0を 使 用 している 場 合 ( 原 因 )IIS4.0/5.0のセキュリティホール ( 対 策 ) 最 新 パッチプログラムを 適 用 する 上 記 フォルダや 未 知 のプログラムが 発 見 されたり ホームページが 改 ざんされたりして 被 害 が 発 生 した 場 合 には 都 道 府 県 警 察 のハイテク 犯 罪 相 談 窓 口 に 連 絡 してください 不 正 アクセス 禁 止 法 の 援 助 規 定 等 に 基 づく 助 言 指 導 も 実 施 いたします また 情 報 システム 安 全 対 策 指 針 ( 平 成 11 年 国 家 公 安 委 員 会 告 示 第 19 号 )も 参 考 にしてください - 22 -
日 本 企 業 等 に 対 するホームページ 書 き 換 え 事 案 _ 平 成 13 年 3 月 8 日 _ 平 成 13 年 2 月 23 日 に 海 外 のサイトからと 思 われる 日 本 企 業 等 に 対 するホームページ 書 き 換 え 事 案 に 関 す る 対 策 について 公 表 したところですが 3 月 8 日 午 前 0 時 現 在 全 国 で104 件 の 書 き 換 えを 把 握 しています 全 国 の 都 道 府 県 警 察 における 解 析 の 結 果 により 現 在 判 明 しているホームページを 書 き 換 えられた 主 な 原 因 及 び 今 後 の 被 害 防 止 のための 対 策 については 下 記 のとおりですので 参 考 にしてください ( 原 因 )IIS(Web 用 プログラム)のセキュリティホール ( 対 策 )サービスパック 等 最 新 パッチプログラム を 適 用 する ( 原 因 )BIND(DNSサーバー 用 プログラム)のセキュリティホール ( 対 策 ) 最 新 パッチプログラムを 適 用 する ( 原 因 )Front Page Server Extensions(ホームページ 作 成 管 理 プログラム)の 設 定 ミス ( 対 策 ) 設 定 の 再 確 認 ( 参 照 : 対 策 1 対 策 2) 又 は 不 必 要 な 場 合 当 該 プログラムの 削 除 を 行 う ( 原 因 ) 不 適 切 なアクセス 制 御 ( 対 策 )ID パスワードに 代 表 される 識 別 符 号 によりサーバーに 対 する 適 切 なアクセス 制 御 を 行 ってください 特 にパスワードの 未 設 定 による 被 害 が 見 受 けられます また 推 測 されやすいパスワードも 攻 撃 の 対 象 とな り 得 ます なお 当 該 事 案 において 不 正 プログラムが 蔵 置 されている 被 害 サーバーも 見 られることから DDoS 攻 撃 ツ ール 等 による 第 三 者 に 対 する 攻 撃 の 踏 み 台 となることを 防 ぐため サーバー 内 に 未 知 のファイルが 保 存 され ていないか 既 知 のファイルが 書 き 換 えられていないかなど 確 認 をしてください 平 成 13 年 2 月 23 日 _ 平 成 13 年 2 月 19 日 に 海 外 のサイトに 我 が 国 のサイトに 対 する 攻 撃 を 予 告 する 内 容 が 掲 載 されているとの 情 報 を 入 手 しましたが これに 関 係 すると 思 われる 日 本 企 業 等 に 対 するホームページ 書 き 換 え 事 案 が 発 生 し ています _ 2 月 23 日 午 前 0 時 現 在 全 国 で70 件 の 書 き 換 えを 把 握 しています 今 後 の 被 害 防 止 のための 当 面 の 対 応 策 として 下 記 の 点 について 確 認 することが 重 要 です 1 基 本 ソフトウェア(OS) アプリケーションプログラムを 最 新 のバージョンに 更 新 し 適 切 な 修 正 プログラム(パ ッチ)を 適 用 するようにして 下 さい _ 特 に 今 回 多 数 の 攻 撃 対 象 となっているWindowsNT IIS4.0を 利 用 しているユーザは 注 意 してください 2 ルータ ファイアウォールで 外 部 からのアクセスを 制 御 する 等 システムのアクセス 制 御 を 厳 密 に 行 ってくだ さい 3 不 必 要 なネットワークサービス CGIプログラムの 停 止 及 び 不 要 ポートを 閉 鎖 して 下 さい _ 裏 口 として 使 用 されている 可 能 性 のある99 番 ポートはもちろん その 他 の 通 信 ポートも 含 めて 通 信 ポート 検 査 用 プログラ ムを 用 いて 検 査 して 下 さい 検 査 の 結 果 動 作 中 であると 判 明 した 通 信 ポートのそれぞれについて 裏 口 や 必 要 でない 通 信 ポートであることが 確 認 された 場 合 はそれらを 停 止 してください 4 登 録 ユーザの 再 確 認 ホームページの 目 視 等 定 期 的 点 検 を 励 行 して 下 さい 5 システムのアクセス 記 録 を 保 存 して 下 さい _ 必 要 なログを 保 存 するため 保 存 するログの 範 囲 及 び 保 存 期 間 を 定 めて コンピータにおいて 保 存 の 設 定 を 行 ってください その 際 ログの 定 期 的 なバックアップ 他 の コンピュータ( 外 部 から 直 接 アクセスできないコンピュータ 等 )へのログの 保 存 など ログが 安 全 に 保 存 されるよ - 23 -
う 留 意 して 下 さい _ また ログは 随 時 監 視 し 入 力 データの 異 常 プログラムの 異 常 終 了 等 の 発 見 に 努 め ることが 必 要 です 6 DDoS 攻 撃 用 ツールに 注 意 してください DDoS 攻 撃 とは インターネット 上 の 複 数 のコンピュータにDoS 攻 撃 ( 標 的 となるサーバコンピュータに 過 剰 な 負 荷 をかけるなどして 当 該 サーバコンピュータのサービスを 妨 害 する 攻 撃 ) 用 のツールを 仕 掛 け 攻 撃 者 の 使 用 するコンピュータからの 命 令 により 一 斉 にDoS 攻 撃 を 行 い 標 的 となるサーバコンピュータのサー ビスを 妨 害 するものです _ DDoS 攻 撃 ツールが 仕 掛 けられていた 場 合 は システムの 再 インストールによ り 攻 撃 用 ツールを 削 除 するとともに OS 及 びアプリケーションのバージョンアップ 並 びに 定 期 的 点 検 等 を 実 施 して 下 さい _ 昨 年 の 不 正 アクセスの 例 では Trinity V3というツールが 使 われているものがありますが こうしたツールを 発 見 するためのプログラムが http://www.nipc.gov/warnings/advisories/2000/00-055. htm にあります また 不 正 アクセス 行 為 の 発 生 状 況 の 公 表 を 参 照 して 下 さい 7 その 他 情 報 システム 安 全 対 策 指 針 ( 平 成 11 年 国 家 公 安 委 員 会 告 示 第 19 号 )も 参 考 にして 下 さい 都 道 府 県 警 察 においては 不 正 アクセス 禁 止 法 に 基 づく 援 助 を 行 っているほか ハイテク 犯 罪 相 談 を 行 っているので 被 害 が 発 生 した 場 合 には 都 道 府 県 警 察 のハイテク 犯 罪 相 談 窓 口 に 連 絡 して 下 さい - 24 -