情報処理推進機構セキュリティセンター(IPA)は「今月の呼びかけ」で、今年3月に改正され、5月1日から施行された「不正アクセス禁止法」を取り上げ、一般ユーザーが注意するべき点についてアドバイスしている。
今年3月、不正アクセス禁止法がスピード改正・公布された背景には、ネットバンキングの不正送金事件、防衛関連企業や政府へのサイバー攻撃など、サイバー犯罪の急速な増大がある。これらの犯罪を防ぐため、今回の改正では、ID・パスワードの不正流通を防止するための規制強化と、情報セキュリティ関連事業者団体への援助が規定されている。
ID・パスワードの不正流通防止対策としては、①フィッシング行為の禁止・処罰、②他人のID・パスワードの不正取得行為および不正保管行為の禁止・処罰、③他人のID・パスワードを提供する行為の禁止・処罰範囲の拡大、④不正アクセス罪の罰則の法定刑の引き上げ、が図られている。
従来法と改正法との違いは、①これまで処罰規定がなかったフィッシング行為そのものが摘発対象となった。実際にID・パスワードをだまし取っていない段階でも、フィッシングサイト公開時点で、またはフィッシングメール送信時点で、処罰の対象となる。②これまでIDなどの不正取得行為そのものは処罰対象ではなかったが、不正取得行為も、それを保管する行為も罰則付きで禁止となった。どちらも「不正アクセス行為を目的として」いる場合に限られる。③不正アクセス行為を助長する行為の禁止範囲が拡大され、正当な理由による場合を除いて、他人のID・パスワードを提供する行為すべてが禁止され、処罰対象となった。
不正アクセス行為をしようなどとは思っていない一般ユーザーが注意すべきは、③の「不正アクセス行為を助長する行為」だろう。IPAが「避けるべき行為」として挙げた次の3点についていえば、(C)がそれにあたる。
(A)不正アクセス行為を目的として、他人のIDやパスワードを紙やUSBメモリ等で受け取ること
(B)不正アクセス行為を目的として、掲示板で公開された他人のIDやパスワードを、パソコン内に保存すること
(C)正当な理由なく、掲示板で公開された他人のIDやパスワード(もしくは、そう思われるもの)を、自分のブログや他の掲示板に転載したり、メールで他者に送付したりすること
IPAは(C)の具体例として、海外のWebサービスで流出したIDやパスワードを自分のブログで紹介する行為などを挙げている。今までは法律違反にあたらなかったが、今後は「正当な理由なく」他人のIDやパスワードを流通させる行為、不正アクセス行為を助長する行為とみなされ、犯罪として罰せられる恐れがあるので、注意が必要だ。
では、犯罪とはみなされない「正当な理由」とはどういうものか。警察庁が出した「不正アクセス禁止法改正Q&A」には、「情報セキュリティ事業者が、インターネット上に流出しているID・パスワードのリストを契約している企業に提供する」「インターネット上に流出している他人のID・パスワードを発見した者が、これを情報セキュリティ事業者や公的機関に届け出る」「ID・パスワードとしてよく用いられている単純な文字列を、ID・パスワードとして設定すべきでないものとして示す」などの例が挙げられている。
(2012/7/19 ネットセキュリティニュース)
【関連URL】
・コンピュータウイルス・不正アクセスの届出状況[6月分および上半期]について(IPA)
http://www.ipa.go.jp/security/txt/2012/07outline.html
・不正アクセス禁止法改正Q&A(警察庁)
http://www.npa.go.jp/cyber/legislation/pdf/6_QA.pdf
・不正アクセス行為の禁止等に関する法律の一部を改正する法律の概要(警察庁)
http://www.npa.go.jp/cyber/legislation/pdf/5_kaiseigaiyou.pdf
・不正アクセス行為の禁止等に関する法律(e-Gov)
http://law.e-gov.go.jp/htmldata/H11/H11HO128.html