【速報】令和5年(2023年)の不正アクセス認知件数が1年で3倍に増加
警察庁、総務省及び経済産業省は2024年3月14日、2023年1月1日から同年12月31日までの間における「不正アクセス行為の発生状況」を公表しました。
これは、「不正アクセス行為の禁止等に関する法律」(不正アクセス禁止法)の「国家公安委員会、総務大臣及び経済産業大臣は、アクセス制御機能を有する特定電子計算機の不正アクセス行為からの防御に資するため、毎年少なくとも一回、不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況を公表するものとする」(第10条第1項)という規定に基づくもので、毎年3月に、警察庁、総務省及び経済産業省の3省庁で報道発表されているものです。
ここでは、報道資料「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」をもとに令和5年(2023年)の不正アクセス状況について解説します。
この記事の目次
不正アクセス行為の件数
2023年に警察庁に報告がなされた不正アクセス行為の認知件数は6312件で、2022年の2200件から4112件(約186.9%増)と約3倍に増加し、過去5年で最大数となりました。
これは、「インターネットバンキングでの不正送金等」が1096件から5598件に急増したためです。
不正アクセス行為の認知件数につき、不正アクセス後に行われた行為別内訳の全体を見ても、「インターネットバンキングでの不正送金等」が最も多く(5598件)、次いで「メールの盗み見等の情報の不正入手」(204件)、「インターネットショッピングでの不正購入」(93件)、「オンラインゲーム・コミュニティサイトの不正操作」(83件)の順となっています。
これにつき、2023年に検挙した不正アクセス禁止法違反事件の検挙件数・検挙人員は521件・259人で、前年と比べ1件減少・2人増加とほぼ横ばいでした。
被疑者の年齢は、「20~29才」が最も多く(103人)、次いで「14~19才」(73人)、「30~39才」(53人)の順となっており、このほか、不正アクセス禁止法違反で14歳未満の少年9人が触法少年として補導されていますが、14歳未満の少年であるため、検挙件数及び検挙人員としては計上されていません。
なお、補導又は検挙された者のうち、最年少の者は11才、最年長の者は61才でした。
出典:総務省|不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況
不正アクセス禁止法違反事件の検挙状況
不正アクセス禁止法で禁止、処罰されるのは、
- 不正アクセス行為の禁止(第3条)
- 他人の識別符号を不正に取得する行為の禁止(第4条)
- 不正アクセス行為を助長する行為の禁止(第5条)
- 他人の識別符号を不正に保管する行為の禁止(第6条)
- 他人の識別符号を不正に入力要求する行為の禁止(第7条)
です。識別符号の具体例は「ID・パスワード」がイメージしやすいでしょう。
2023年における不正アクセス禁止法違反事件の検挙件数・検挙人員について、違反行為別に内訳を見ると、「不正アクセス行為」が487件・248人といずれも全体の90%以上を占めており、「識別符号取得行為」が11件・8人、「識別符号提供(助長)行為」が13件・10人、「識別符号保管行為」が7件・6人、「識別符号不正要求行為」が3件・2人でした。
このうちの最大数である不正アクセス行為は、不正アクセス禁止法第2条第4項では、
- 識別符号窃用型(なりすまし型)
- セキュリティ・ホール攻撃型
と規定されていますが、2023年における不正アクセス行為の検挙件数の内訳を見ると「識別符号窃用型」が475件と全体の90%以上を占めています。
この「識別符号窃用型」の不正アクセス行為の手口別内訳を見ると、「利用権者のパスワードの設定・管理の甘さにつけ込んで入手」が最も多く(203件)、次いで「識別符号を知り得る立場にあった元従業員や知人等による犯行」(68件)、「利用権者からの聞き出し、又はのぞき見」(40件)、「他人から入手」(36件)、「フィッシングサイトにより入手」(10件)の順となっています。
また、「識別符号窃用型」について、他人の識別符号を用いて不正に利用されたサービス別の内訳を見ると、「オンラインゲーム・コミュニティサイト」が最も多く(234件)、次いで「社員・会員用等の専用サイト」(82件)、「インターネットショッピング」(35件)、「インターネットバンキング」(29件)、「電子メール」(3件)の順となっています。
関連記事:不正アクセス禁止法が禁止する行為・事例を弁護士が解説
令和5年(2023年)の検挙事例
「不正アクセス行為の発生状況」には、毎年、検挙事例のいくつかが参考資料として、あげられています。
専門学校生の男性(21才)が、2022年10月及び同年12月に、正規のSNSになりすましたフィッシングサイトを作成してインターネット上に公開し、複数の正規利用権者からID・パスワードを不正に取得した上で、取得したID・パスワードを用いて同SNSに不正アクセスしました。同人は2023年4月、不正アクセス禁止法違反(不正アクセス行為、識別符号不正要求行為及び識別符号取得行為)及び私電磁的記録不正作出・同供用罪で検挙されています。
公務員の女性(30才)が、2022年12月、他人の個人番号カードの暗証番号を名義人に無断で設定し、設定した暗証番号を用いて不正アクセスした上で、自己が利用するキャッシュレス決済サービスにポイントを付与しました。同人は2023年4月、公電磁的記録不正作出・同供用罪、不正アクセス禁止法違反(不正アクセス行為)及び電子計算機使用詐欺罪で検挙されています。
専門学校生の男性(18才)が、2023年3月、ゲームアカウント売買サイトの利用者にゲームアカウントの購入を持ちかけ、購入希望者の同サイトに係る識別符号を入手した上、同サイトに不正アクセスして、購入希望者が保有するポイントを不正に取得しました。同人は7月、不正アクセス禁止法違反(不正アクセス行為)及び電子計算機使用詐欺罪で検挙されています。
会社員の男性(25才)が、2022年8月から同年11月までの間、複数のSNSアカウントに対し、パスワードを推測して不正アクセスした上、危害を加える旨のメッセージを正規利用権者になりすまして送信しました。同人は2023年8月、不正アクセス禁止法違反(不正アクセス行為)及び脅迫罪で検挙されています。
会社員の男性(43才)が、2023年6月、元勤務先の名刺管理システムについて従業員に割り当てられた識別符号を、転職先の同僚に提供した上、自身も同システムに不正アクセスをしました。同人は2023年9月、個人情報保護法違反、不正アクセス禁止法違反(不正アクセス行為)で検挙されています。
無職の男性(20才)ほか2名が、共謀の上、2023年1月、SNS事業者が運営するウェブサイトであると誤認させるウェブサイトを海外サーバに記録蔵置し、正規利用権者にパスワード等を入力することを求める旨の情報を不特定多数の者が閲覧できる状態に置きました。同人らは2023年9月、不正アクセス禁止法違反(識別符号不正要求行為)で検挙されています。
まとめ:不正アクセスは対策が急務、専門家に相談を
「不正アクセス行為の発生状況」においては、増加傾向が続く不正アクセス行為に対する防御上の留意事項として、「利用権者の講ずべき措置」としては、
- パスワードの適切な設定・管理
- フィッシングへの対策
- 不正プログラムへの対策
があげられており、また「アクセス管理者の講ずべき措置」としては、
- 運用体制の構築等
- パスワードの適切な設定
- ID・パスワードの適切な管理
- セキュリティ・ホール攻撃への対策
- フィッシング等への対策
が、あげられています。
不正アクセス行為による犯罪はインターネットを使用している企業や個人であれば、誰もが被害を受ける可能性があり、その被害は多大な損失を伴う可能性が高いといえ、これらの措置に留意せねばなりません。
不正アクセス行為により被害を被った場合、刑事告訴を行うことができますが、その時効は3年と定められています。不正アクセス行為による被害が発覚したら、なるべく早く不正アクセス禁止法に詳しい弁護士へ相談するようにしましょう。
当事務所による対策のご案内
モノリス法律事務所は、IT、特にインターネットと法律の両面に豊富な経験を有する法律事務所です。昨今、個人情報の漏洩は大きな問題になっています。万が一個人情報が漏洩してしまった場合、企業活動に致命的な影響を及ぼす場合もあります。当社は情報漏洩防止や対応策について専門的な知見を有しています。下記記事にて詳細を記載しております。
モノリス法律事務所の取扱分野:個人情報保護法関連法務
カテゴリー: IT・ベンチャーの企業法務