2010年1月1日から12月31日までの不正アクセス行為の発生状況をとりまとめた報告書が、国家公安委員会、総務大臣、経済産業大臣の連名で、3日に発表された。
発表によると、昨年1年間における不正アクセス禁止法違反の検挙件数は1601件、検挙人数は125人。前年比で検挙数は933件減少し、検挙人数は11人増加した。内訳は、不正アクセス行為1598件・123人、不正アクセス助長行為3件・4人。事件単位ごとに数える「事件数」でみると、2010年は前年より8件多い103件あり、2008年からの5年間で最多の数字を示している。
■最も多い手口はフィッシング
他人のID/パスワードなどを不正に利用して行う「識別符号窃用型」が1597件で、セキュリティの脆弱性を突いて行う「セキュリティ・ホール攻撃型」は1件のみだった。
不正アクセスの手口で最も多いのは、フィッシングサイトを開設して識別符号を入手するもの(1411件)。次いで、他者のパスワードの設定・管理の甘さにつけ込んだもの(70件)、識別符号を知り得る立場にあった元従業員や知人等によるもの(57件)が続く。
このほか、スパイウェア等のプログラムを使用して識別符号を入手(14件)、共犯者等から入手(12件)、言葉巧みに聞き出したり、のぞき見したもの(12件)なども発生している。
■狙いは「個人情報」「オンラインゲーム」
不正アクセス後の行為で最も多いのは、個人情報の不正入手(1453件)、次いでオンラインゲームの不正操作(255件)だ。ほかに、ホームページの改ざん・消去(45件)、不正ファイルの蔵置(40件)、インターネットバンキングの不正送金(22件)、インターネット・オークションの不正操作(10件)などが行われている。
■行為者は「顔見知り」、動機は「金を得るため」が最多
不正アクセスを行う人は、元交際相手や元従業員など顔見知りが最多(65人)、次いで交友関係のない他人(36人)、ネットワーク上の知り合いによるもの(24人)。年齢は20歳代が最も多く、最年少は14歳、最年長は58歳だ。
不正アクセス行為の動機は、不正に金を得るためが1455件と最も多く、次いで嫌がらせや仕返しのため(66件)、好奇心を満たすため(33件)、オンラインゲームで不正操作を行うため(19件)、顧客データの収集等情報を不正に入手するため(18件)、料金の請求を免れるため(4件)の順となる。
■利用されたサービス
「識別符号窃用型」の不正アクセス行為1597件で利用されたサービスをみると、最多は会員専用・社員用内部サイト(1432件)、次いでオンラインゲーム(71件)、電子メール(36件)、ホームページ公開サービス(25件)、ネットショッピング(16件)、ネットバンキング(7件)、ネットオークション(2件)となる。
不正アクセスの被害を防ぐためには、手口として最も多いフィッシングへの注意、スパイウェアへの注意やパスワードの適切な設定・管理が重要だ。複数のサイトで同じパスワードを使用しない、パスワードを定期的に変更する、知人等に識別符号の一時利用を認めた場合は利用終了時点で確実にパスワードを変更するなど。報告書には、アクセス管理者が行うべき対策、5件の検挙事例も記載されているので、参考にされたい。
(2011/03/11 ネットセキュリティニュース)
【関連URL】
・不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況[PDF](国家公安委員会、経済産業大臣、総務大臣)
http://www.npa.go.jp/cyber/statics/h22/pdf04.pdf