エンジニアも知っておくべき「不正アクセス禁止法」|簡単に越えることができる一線

 投稿日時
2014/08/18 17:24:26
 最終更新日時
2014/08/18 17:24:26

エンジニアだから法律に関係ない…とは言ってられない世の中に

パソコンの向こうはすぐインターネット

最近ブログに書くネタがないため放置しているのですが、その間にApacheの設定ミスにより一週間記事が見られなくなっていたりしたので、反省も込めて記事を書いてみようかと思います。

私はIT業界と法律業界の隙間に生息しているエンジニアのなれの果てですが、そんな私だからこそ、「この法律はエンジニアも知っておいた方が良さそうだなあ」と思うことがあります。
ここでは、何回かに分けてエンジニアも知っておくべき法律をご紹介していきたいと思います。
まず第一回はタイトルの通り「不正アクセス禁止法」です。

不正アクセス禁止法とは

いわゆる「不正アクセス禁止法」とは、正式名称を「不正アクセス行為の禁止等に関する法律」と言います。全文は以下のサイトで読むことができます。

■不正アクセス行為の禁止等に関する法律
 http://law.e-gov.go.jp/htmldata/H11/H11HO128.html

こちらの法律は、不正アクセスを禁止していることはもちろんなのですが、それ以外にも注目すべき点があります。
例えば第八条では、アクセス管理者に「常に当該アクセス制御機能の有効性を検証し、必要があると認めるときは速やかに(略)不正アクセス行為から防御するため必要な措置を講ずるよう努めるものとする」と言っています。何か罰則があるわけでは無いですが、防御側にもやるべきことはやっておけよ、と言っているわけですね。
また第九条では、もし不正アクセスに遭ってしまった管理者から申し出があった場合、都道府県公安委員会は「不正アクセス行為から防御するため必要な応急の措置が的確に講じられるよう、必要な資料の提供、助言、指導その他の援助を行う」としています。不正アクセスに遭ってしまったけど、どこかセキュリティ会社に依頼するお金も無いし…という場合、まずは公安委員会に言ってみるのも手かも知れませんね。

さて、肝心の不正アクセスについて見てみましょう。
不正アクセスの定義は第二条に書かれていますが、さすがに長いです。具体的な方法は第二条4項第1号から第3号に書かれていますが、それぞれ以下の内容です。

  • 第1号…他人のID、パスワードを使ってログインする
  • 第2号…脆弱性を突くことで、ID、パスワードを使わずにログインする(攻撃対象にアクセス制御機能がある場合)
  • 第3号…脆弱性を突くことで、ID、パスワードを使わずにログインする(攻撃対象とは別のマシンにアクセス制御機能がある場合)

2号と3号の区別がわかりにくいですが、認証がどちらのサーバーで行われるかという違いです。条文も分かりにくくなっています。
ここから見て分かるように、第1号がID不正利用による不正ログイン、第2号と第3号がセキュリティホールによる不正ログインをカバーしています。

実際の摘発

実際に不正アクセス禁止法が摘発されるケースは、例えばネットゲームに他人のIDを使って入った場合や、Webサービスにデータを盗むために侵入した場合がありますが、ここではエンジニアが気をつけるべきケースを挙げてみましょう。

セキュリティ検査の一環でアクセスした例

2003年から2004年にあった事件です。ある大学の研究員が、セキュリティ関連イベントである社団法人が管理するサイトの欠陥を指摘し、そこから得られた個人情報を公開しました。
この事件は技術的な問題も争われたため、その結果だけ紹介するのはフェアでは無いかも知れませんが、公の場で公開したことで模倣犯が出たことも注目され、「自らの技術をプレゼンで誇示したいという動機で行った」として有罪になりました。
たとえ正当な目的があったとしても、アクセスしたことが罪になるという事実を示す重大な事件です。

ログインプログラムを試行した例

2006年11月にあった事件です。あるエンジニアが、サーバーに対してIDとパスワードの組み合わせを総当たりで入力するプログラムを作成しました。エンジニアはこれを証券会社のサーバーに対して試し、それを不審に思った証券会社により通報され、逮捕されました。
ここで重要なのは、エンジニアはお金の引き出しはしておらず、ログインを行っただけということです。具体的な被害がなくても、この罪に該当するということを覚えておいてください。

また、同じくエンジニアがアクセスしたことに起因する事件として、エンジニアがクロールしたことでサーバーに障害が発生したとされた岡崎市立中央図書館事件もありますが、こちらは不正ログインは関わっておらず、アクセス障害が争点であり、罪状は偽計業務妨害です。

退職者が関わっている例

2014年3月に国家公安委員会が発表した「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によれば、2013年に発生したID不正利用による不正ログイン965件のうち、56件が元従業員や知人によるものとなっています。
IDとパスワードを知っている職員が退職した場合、すぐにそのIDを使用停止にするのが望ましいでしょう。

まとめ

いかがでしたでしょうか。不正アクセス禁止法はそれほど長くないため、エンジニアが最初に見るには良い法律だと思います。
是非こちらを端緒に、他の法律にも目を向けてみてください。