お知らせ・コラム
Columnカテゴリ
Categoryサイバー犯罪~フィッシング
サイバー犯罪で最近よく耳にするフィッシングについてご説明いたします。
不正アクセス禁止法
不正アクセス禁止法が禁止する不正アクセス行為は、大別すると、他人の識別符号(IDやパスワード等)を無断で入力し、コンピュータを利用し得る状態にする行為(=不正ログイン、なりすまし)、およびアクセス制御機能による特定利用の制限を免れる情報または指令を入力し、コンピュータを利用し得る状態にする行為(コンピュータの脆弱性を悪用して不正アクセスする行為)(=セキュリティホール攻撃)に分類されます。
不正アクセス行為を企図する者が他人のID等を入手した場合、技術的に不正アクセス行為を防止することは極めて困難であり、不正アクセス行為を実効的に防止するためには、そもそも他人のID等の不正流出を防止する必要があります。そこで2012年に不正アクセス禁止法は改正され、不正アクセス行為の法定刑が引き上げられ、他人の識別符号(IDやパスワード)の不正流出から不正アクセス行為に至るまでの一連の過程を規制の対象とするため、①フィッシング行為の禁止及び処罰化、②他人の識別符号の不正取得行為及び不正保管行為の禁止及び処罰化、③他人の識別符号の提供行為の禁止処罰範囲の拡大がなされました。また、不正アクセス行為に対する防御策の向上も図られました。
フィッシング行為の禁止、処罰
フィッシング行為は多種多様ですが、その共通項は正規のアクセス管理者によるものと誤認させる意図をもって対象者を誤認させ、ID、パスワード等の入力を求める旨の情報に触れさせることにあります。具体的には、正規のアクセス管理者が公開したものと誤認させる偽装ウェブサイト(フィッシングサイト)を閲覧できる状態に置き、または正規のアクセス管理者が送信したメールであると誤認させる偽装メール(フィッシングメール)を送信して、対象者のIDやパスワード等の入力を不正に要求する行為が禁止されます。
フィッシングで入力を求められる情報例
- 金融機関の口座番号、クレジットカード番号、暗証番号
- 住所、氏名、電話番号、生年月日
- 電子メール、インターネットバンキング、SNSアカウント等のIDパスワード
- 運転免許証、マイナンバーカード、乱数表等の画像情報
不正アクセス行為の防御策
ID、パスワードの適切な管理
不正アクセス行為の被害原因として最も多いのは、IDパスワード管理の不備といわれています。パスワードが初期設定のまま利用されるなど、セキュリティ意識の低い運用が行われているサイトは、悪意のある者にとって格好の標的となります。最低限、初期設定のパスワード変更と、ログイン情報の使いまわしをしないことが重要です。
セキュリティホール攻撃への対応
WEBサーバーの脆弱性をつくセキュリティホール攻撃への対策の基本は、定期的な点検です。また、様々なセキュリティスキャンを元に、重要度別の対策をレポートしてもらえるセキュリティスキャンツールも効果的です。
WEBを運営する際には、攻撃を防御する、攻撃を受けた場合に迅速な対応ができる体制を整えておくことが大切です。