不正アクセス禁止法の実効性と課題 The Effectiveness and the Subject of Act against Unauthorized Access 木田 良弘 情報システム監査株式会社 キーワード:不正アクセス禁止法、検挙事例、罰則・防御側の対策の二面性、 「高度情報通信社会の健全な発展」 1.はじめに 1−1.はじめに 平成13年版の情報通信白書によると、インターネット利用者は急増しており、1997年には11 55万人であったが、2000年には4倍以上の4708万人にのぼると推計されている(総務省ホー ムページ http://www.soumu.go.jp/hakusyo/tsushin/index.html) 。 これに伴い、不正アクセスの被害届出数も増えている。IPA(情報処理振興事業協会)に寄せられ た一年間の不正アクセス行為の届出は、1998年の46件、99年の55件に対し、2000年は1 43件と急増している。 この2000年においては、1月終わりから2月初めにかけて、連続して政府機関のホームページが 改ざんされ16件もの被害が発生し、日本の官公庁における情報セキュリティ対策が必ずしも十分では ないことが明らかとなった。 この事件の直後、2000年2月13日に不正アクセス禁止法(正式名称は「不正アクセス行為の禁 止等に関する法律」 。以下「本法」とする)が施行された。 1−2.制定の背景 本法施行以前には不正アクセス行為自体についてはこれを処罰する法律が存在しなかった。このため、 データ破壊等を行わず、不正アクセス行為にとどまる場合には不可罰であった。 しかし、不正アクセス行為はデータ破壊等の手段であるのみでなく、それ自体の違法性を有している。 すなわち、ネットワークでは個人を識別する方法はIDとパスワードしかないのが一般であり、これを 悪用して他人に成りすましてアクセスすること自体を禁じないと、ネットワークを悪用した犯罪に対す る抑止力は確保できない。この場合、ネットワークは犯罪の温床となり、他国との接続が阻害されるこ とにもなりかねない。 また、インターネットを悪用することにより国境を越えた不正アクセス行為が可能となるが、日本の 法律で処罰できない行為については日本の警察は他国に対して捜査に必要な証拠を提供できない(国際 捜査共助法2条2号)。このため、不正アクセス行為を処罰する規定がないと、日本がクラッカー(不 正アクセスを行う者)により捜査を免れるための抜け穴として利用されることになってしまう。しかる に、 「不正アクセスを禁止する法律がないのは、G7諸国の中ではわが国のみ」 (警察庁「ハイテク犯罪 対策重点推進プログラム」平成10年6月)であり、国際組織犯罪捜査に各国が協力してあたるために も日本の立法が待たれていた。 こういった、国内の、また国際的な必要性に迫られて、1999年8月13日に本法が制定され、2 000年2月13日に施行された。 1−3.立法趣旨と本法の概要 本法の立法趣旨は「高度情報通信社会の健全な発展に寄与すること」(本法1条)にある。これを実 現するための規定として、不正アクセス行為者に対する罰則をおくと同時に、アクセス管理者の防御措 置努力義務等の対策をおくというように、取締規定にとどまらない法律となっている。本法の正式名称 において不正アクセス行為の禁止「等」とあるのはこのためである。 本法の概要(警察庁ホームページから引用) 以下、本法における罰則と、防御側に向けられた規定とを概観して、本法の実効性と課題について考 察する。 2.罰則について 2−1.不正アクセス罪 本法にいう不正アクセス行為は、一般にいわれているそれとは異なる。 (1)客体 まず客体については、本法の適用範囲は①ネットワーク( 「電気通信回線」 )に接続され、②アクセス 制御機能を有するコンピュータ( 「電子計算機」 )に限られる(本法2条1項、3条2項各号) 。 ここで、①ネットワークには、インターネットのような開かれたネットワークだけでなく、LANの ような閉じられたネットワークも含まれている。 また、②アクセス制御機能とは、利用権者を他の者から識別することが可能な符号( 「識別符号」 、本 法2条2項)の入力を確認して、ネットワークを通じたコンピュータの利用制限を自動的に解除する機 能をいう。識別符号については同条項各号に規定されているが、パスワードや指紋認証が行われている 場合の指紋のデータ等がこれにあたる。 (2)行為 本法の「不正アクセス行為」は、一般に言われる不正アクセス行為よりも狭い。本法は3条2項にお いて定義しているが、その共通点をまとめると、①ネットワークを通じて、②アクセス制御を回避する 行為が不正アクセス行為とされている。 たとえば、IPAによると不正アクセス行為には、DoS攻撃(大量のデータを集中して送りつけて コンピュータやネットワークの機能を低下させる攻撃)やポートスキャン(コンピュータが提供してい るサービスの情報の入り口(ポート)を調べる行為)も含まれているが、これらは本法の適用範囲外と なる。 また、ネットワークを通じず、直接攻撃対象のサーバに識別符号を入力する行為も適用範囲外となる。 (3)アクセス制御回避行為の類型 本法はアクセス制御を回避する行為について、次の2類型を規定している。 ①識別符号無断入力型 ②セキュリティホール悪用型 このうち①は、利用権者やアクセス管理者の同意を得ずに利用権者の識別符号を無断で入力する形態 である。 ②は、識別符号以外の情報や指令を入力することによってアクセス制御を回避する行為であり、たと えば、バッファオーバフロー攻撃(プログラムが予想していない量のデータを送りつけることによって 不正な命令を実行する攻撃)がこれにあたる。 (4)罰条 アクセス制御機能を回避して制限されている利用をしうる状態にさせた段階で直ちに不正アクセス 罪が成立し、1年以下の懲役又は50万円以下の罰金に処せられる。 2−2.不正アクセス助長罪 (1)処罰される助長行為 不正アクセス行為を助長した者についても罰則がおかれている(本法4条、9条)が、処罰される行 為は前述の識別符号無断入力型の助長行為に限られる。 すなわち、他人の識別符号を他者へ提供する行為は不正アクセス助長罪にあたる。これは他人に犯罪 をそそのかす教唆犯(刑法61条)に似ているが、提供行為だけで犯罪が成立し、提供を受けた者が実 際に犯罪を実行する必要はない点で異なる。 これは、識別符号の提供行為それ自体によって直ちにアクセス制御が阻害される恐れが高いことに加 えて、その行為には何ら有用な面が無いことによる。 なお、セキュリティホール悪用型の不正アクセス行為の助長行為、たとえば、不正アクセスツールを 提供する行為やセキュリティホールに関する情報を提供する行為については本罪にあたらない。これは、 これらのツールや情報が、アクセス管理者がセキュリティを高めるために有用な面も有していることに よる。 (2)罰条 他人の識別符号を無断で提供した段階で直ちに成立し、30万円以下の罰金に処せられる。 3.防御側の対策と援助 3−1.アクセス管理者の防御措置努力義務 本法はアクセス制御機能をコンピュータに付加したアクセス管理者に対して、不正アクセスに対する 防御措置努力義務を課している(本法5条) 。 ここでアクセス管理者とは、ネットワークに接続されたコンピュータについて、ネットワークを通じ た利用につき管理を行っている者をいう。アクセス管理者にあたる要件としてコンピュータの所有権を 有しているかは問わないため、プロバイダのサーバのディスク領域を借りてホームページを開設してい る者も、アクセス管理者にあたることになる。もっとも、防御措置努力義務が課せられるのは、アクセ ス制御機能を付加した場合に限られている。 ここで、いわば不正アクセス行為の被害者であるアクセス管理者に努力義務に過ぎないとはいえ義務 を課すのは、不正アクセス行為の特質に由来する。すなわち、ネットワークを通じて行われる不正アク セス行為については心理的抑止力が働きにくく、罰則だけでは不正アクセス行為を防ぐには十分でない。 また、広範にネットワーク接続されている現状から、一旦不正アクセス行為が行われるとその被害は大 きく、影響範囲も広範なものとなりうる。 さらに、不正アクセスに対して何ら防御措置をとらないことによって、踏み台(他のコンピュータへ の不正アクセスの経由点)として悪用され、被害者になると同時に他者への加害行為へ加担させられる こともありうる。警察庁の統計によると、平成13年上半期において不正アクセスを受けた後、DDo S攻撃ツール(DoS攻撃を行うための道具としてコンピュータを悪用するプログラム)等のプログラ ムを仕掛けられていたものが40件報告されている(警察庁ホームページ http://www.npa.go.jp/high tech/fusei_ac6/hassei1308.htm) 。 3−2.公安委員会による援助 不正アクセスの被害を受けたアクセス管理者は、再発を防止するための援助を公安委員会に求めるこ とができる(本法6条) 。 これは、不正アクセスが行われた場合に再発防止策をとらないことがネットワーク全体の安全を害す ることから、十分な知識を有するとは限らないアクセス管理者を援助するためである。 前掲の警察庁ホームページによると、平成13年上半期中に9件の助言・指導が実施されている。 3−3.国による援助 国家公安委員会、総務大臣および経済産業大臣は毎年少なくとも一回、不正アクセス行為の発生状況 およびアクセス制御機能に関する技術の研究開発の状況を公表する義務を負う(本法7条1項) 。 平成13年の状況については経済産業省のホームページ等で公表されている(http://www.meti.go.j p/policy/netsecurity/kohyotop.htm) 。技術の研究開発については、 「インターネットアプリケーショ ンのセキュリティ脆弱性に関する研究」等が紹介されており、国の予算で実施しているものだけでなく、 民間企業で研究を実施したものについても公表されている。 4.本法の実効性と課題 4−1.不正アクセスの増加抑制 ソフトウェアの脆弱性は日々発見され、これを悪用した攻撃による被害の届出は増加の一途をたどっ ている。その理由についてIPAは、次のような3点の原因があると分析している。 ①インターネットサーバの構築が容易となった反面、セキュリティ対策が不充分なサイトが増えたこと ②脆弱性の公表から攻撃ツールの開発・流布までの期間が短縮されつつあること ③セキュリティ管理者や組織のセキュリティに対する関心が高まったこと これらの原因との関連で、本法の実効性を考察する。 ①のセキュリティ対策が不充分なサイトに対しては、本法がアクセス管理者に防御措置努力義務(本 法5条)を課していることは有効であるといえる。また、必ずしも高度な専門知識がないアクセス管理 者のために具体的対策の情報提供が必要であるが、本法は7条2項で国に不正アクセスに対する防御に 関する啓発等の義務を課し、この要請にこたえている。 ②の攻撃ツールの流布によって、不正アクセス行為には高度な知識を要しない現状にある。罰則を定 める本法は、いわゆるスクリプトキディ(高度な技術を有さず単にツールを利用するだけでクラッキン グ行為を行う者)を抑制する実効性を持つと考えられる。ただこの場合、法定刑の軽さについて異論が あるかとも思われる。 たとえば、本法違反による初の逮捕者は不正アクセス禁止法違反の最長刑である懲役1年を越える懲 役3年(執行猶予5年)の判決を受けたが、これは本法より刑が重い麻薬取締法違反にも問われた結果 である。また、警察制度研究会が企業を対象として行ったアンケートによると、罰則の強化を望む回答 が寄せられている( 「重要インフラにおけるサイバーテロ対策状況に関する調査」平成12年3月) 。 しかしながら、本法は不正アクセス行為にとどまる場合にも適用されるものであることから、さらに 進んで改ざんを行った場合に適用される電子計算機損壊等業務妨害罪の法定刑との均衡から妥当であ ると考える。 なお、ツールの使用は処罰されるが、これを流布させる行為については不正アクセス助長罪にあたら ない。この行為も犯罪としてツールの流通を抑制すべきとの議論はあるが、しかしながらこのようなツ ールがシステムの堅牢性を確認し向上させるために防御者側にとって有用であることから、一律に規制 すべきではなく、現行法のままでよいと考える。 ③のセキュリティ管理者の関心については、情報提供を国に義務付ける本法(本法7条)が有効に働 くものと考えられる。 不正アクセス発生件数および防御技術開発状況を公表することによって、不正アクセス対策への関心 をさらに高めることができる。さらに、今後捜査能力を向上させて、発生事件に対する検挙件数の割合 を高めることや、届出を義務付けることによって、不正アクセス被害の届出件数が増え捜査機関に情報 が集まることにより、不正アクセス行為の抑制につながると考える。 4−2.特定の脆弱性悪用攻撃に対する実効性 ある特定の脆弱性を悪用した攻撃の被害届出数には、脆弱性の発見直後に急増し、その後急減する傾 向が認められる。 この傾向についてIPAは、脆弱性の発見直後に不正アクセス攻撃の被害が急増するのは、不正アク セスツールがインターネットを通じて急速に広がるためであり、次いで被害届出が急減するのは、対策 手法が普及・浸透し、アクセス管理者が対策をとることに原因があると分析する。 ここで、ツールの流通には前述のようにセキュリティの向上にとって有用な面もあり一律に禁じるべ きではなく、本法も適用範囲外である。 もっとも、被害届出が急減する原因と分析されるアクセス管理者の対策を促すために、防御措置努力 義務を定める本法は実効性を持つものと考えられる。 4−3.検挙事例から見る実効性 警察庁のホームページによると、本法違反による検挙事件数は、平成12年一年間では31 件、平成 13年上半期では 13件である。 これらのうち、従来の規定では処罰できなかった行為には次のものがある。 ・元社員が退職後、社長等のID・パスワードを無断で使用して同社メールサーバのメールを盗み見た 事件(平成 12年6月) 。 ・有料掲示板のプログラムのセキュリティホールを悪用して、識別符号を入力せず利用した事件(平成 12年6月) 。 ・雑誌等で知り得た手法により利用権者からID・パスワードを入手し、これを無断で使用してウェブ サーバのアクセス制御を回避した事件(平成13年5月) 。 これらの行為を処罰することにより、識別符号に依存している情報通信の信頼性確保に資することか ら、本法は実効性を持つと考える。 4−4.本法の課題 ただ、本法は次のような課題がある。 (1)条文が平易ではない点 専門技術分野に関する事象を法律的用語で規定する必要性から、専門家にも理解しがたい条文となっ てしまっている。法律である以上やむをえないことであるが、解説等の情報提供が活発に行われる必要 がある。 (2)不正アクセス助長罪の法定刑が軽い点 前述のように不正アクセス助長罪の法定刑は50万円以下の罰金にとどまる(本法9条) 。 しかし、他人の識別符号を提供する行為には何ら社会的有用性が認められないのみならず、不正アク セス行為を誘発する恐れが高い上、これを悪用した不正アクセスは防御側の技術的措置によっては防衛 できないものである。 これより、本罪の法定刑については見直しが検討されるべきであると考える。 (3)アクセス管理者の努力義務の加重 現行法においては、アクセス管理者の防御措置義務は努力義務にとどまり、これに違反したとしても 罰則等の制裁は課されない。 しかし、セキュリティ対策が弱いコンピュータを踏み台として行われるDDoS攻撃に対しては、踏 み台として悪用されないことの他に有効な防衛策はないとされている。また、クラッカーが捜査を免れ る手段として踏み台が用いられることから、防御措置努力義務を怠ることは、自分が被害に遭うのみな らず、第三者への不正アクセス行為の二次的加害者となることにもつながる。 このことから、防御者側に対する援助を厚くすることと同時に、罰則を設けることも検討すべきであ ると考える。 (4)罰則の限界 高度な技術を有するクラッカーに対して本法は実効性を有しないという主張がある。この主張の根拠 は、サイバーテロ等、いわばプロとしてのクラッカーは不正アクセスの痕跡を消すことも可能であり、 そもそも罰則が抑止力をもち得ないという点にある。 このようなクラッカーの不正アクセスを防ぐためには、本法のアクセス管理者への援助等の規定を有 効に活用するとともに、罰則の抑止力を担保するために捜査機関の捜査能力を向上させることが必要で あると考える。 なお不正アクセスの捜査に関して警察庁は、本法の法案において、捜査資料として利用するためにプ ロバイダ等にログの3か月間の保存と提出義務を課すことを検討していた。しかし、これは通信の秘密 を害する恐れがある上、ログはクラッカーにより改ざんされてしまうため証拠としても十分なものでは ない。このため、現行法においてはログ保存の義務付けは見送られた。 また、ログの保存がプロバイダにとって過重な負担となりうることからも、今後もログ保存の義務付 けは規定すべきではなく、本法の実効性の確保は前述のように援助規定の活用と捜査能力の向上に求め るべきである。 4−5.むすび 電子政府の実現が目前に迫っており、より多くの人が、より多くの重要な手続きにおいてインターネ ットを利用することになる。また、電子商取引の取引額が増大していくことから、不正アクセス行為に よる損失はますます増大すると危惧される。このような状況で不正アクセス行為の確実な防止を喫緊の 課題として取り組まなければならない。 本法は、不正アクセス行為への罰則に加え、アクセス管理者に防御措置努力義務を課すと同時に、国 にこれを援助する義務等を課している。このように本法は、攻撃者側の規制と防衛者側の規定を同時に 定めるという新しい形態の犯罪防止法として独自性を有しているということができる。 現在本法の施行からまだ2年経過していない段階だが、今後本法の趣旨をより多くのアクセス管理者 が理解し、不正アクセス行為を確実に防止しうるようになることを期待する。 参考文献 1)不正アクセス対策法制研究会「逐条不正アクセス行為の禁止等に関する法律」立花書房(平成 12 年 7 月 1 日発行) 2)園田寿、野村隆昌、山川健「ハッカーVS.不正アクセス禁止法」日本評論社(平成 12 年 6 月 30 日 発行) 3)警察制度研究会「IT社会の実現に向けた情報セキュリティ対策―警察庁情報セキュリティ政策大 系―」立花書房(平成 12 年 12 月 10 日発行) 参考資料 1)警察庁ホームページ http://www.npa.go.jp/ 2)経済産業省ホームページ http://www.meti.go.jp/ 3)総務省ホームページ http://www.soumu.go.jp/ 4)IPAセキュリティセンターホームページ http://www.ipa.go.jp/security/
© Copyright 2024 Paperzz
