Details en overtredingsvoorbeelden van de Japanse 'Wet op het Verbod van Onrechtmatige Toegang
De Wet op het Verbod van Onrechtmatige Toegang (officiële naam “Wet betreffende het Verbod op Onrechtmatige Toegang en dergelijke”) is een wet die is opgesteld met als doel cybercriminaliteit te voorkomen en de orde in de elektronische communicatie te handhaven.
Met de verspreiding van smartphones en de toename van internetgebruikers, neemt ook het aantal gevallen van onrechtmatige toegang jaar na jaar toe.
In dit artikel leggen we de gedetailleerde inhoud van de Wet op het Verbod van Onrechtmatige Toegang en voorbeelden van overtredingen uit.
Wat is de Japanse Wet op het Verbod van Ongeoorloofde Toegang?
De Japanse Wet op het Verbod van Ongeoorloofde Toegang werd in 2000 (Heisei 12) van kracht, maar werd in 2012 (Heisei 24) gewijzigd als reactie op de toenemende ernst van cybercriminaliteit.
Met deze wijziging werden phishing-activiteiten en het onrechtmatig verkrijgen en bewaren van identificatiecodes (ID’s en wachtwoorden) verboden, en werden de wettelijke straffen voor ongeoorloofde toegang verhoogd. Handelingen die voorheen niet strafbaar waren, werden verboden, waardoor de wet effectiever werd.
Het doel van de Japanse Wet op het Verbod van Ongeoorloofde Toegang is “bij te dragen aan de gezonde ontwikkeling van een geavanceerde informatiemaatschappij” (Artikel 1).
De handelingen die verboden zijn onder de Japanse Wet op het Verbod van Ongeoorloofde Toegang zijn als volgt:
- Ongeoorloofde toegang (Artikel 3)
- Handelingen die ongeoorloofde toegang bevorderen (Artikel 5)
- Onrechtmatig verkrijgen en bewaren van de identificatiecodes van anderen (Artikelen 4 en 6)
- Onrechtmatig verzoeken om invoer van de identificatiecodes van anderen (Artikel 7)
Voor meer informatie over de Japanse Wet op het Verbod van Ongeoorloofde Toegang en maatregelen bij schade door ongeoorloofde toegang, zie het volgende artikel.
Wat is ongeoorloofde toegang?
Ongeoorloofde toegang kan worden onderverdeeld in “ongeoorloofd inloggen” en “beveiligingsgat-aanvallen”.
Onder ongeoorloofd inloggen verstaan we het zonder toestemming invoeren van de identificatiecodes (ID’s en wachtwoorden) van anderen en inloggen op accounts zoals SNS-accounts en e-mailadressen.
Een beveiligingsgat-aanval verwijst naar een aanval die een beveiligingsgat uitbuit. Een beveiligingsgat is een beveiligingsfout in een computer die is verbonden met een netwerk, ook wel bekend als een “kwetsbaarheid”. Aanvallers kunnen door misbruik van een beveiligingsgat onbevoegde handelingen uitvoeren, gegevens stelen, gegevens wijzigen of verwijderen waarvoor ze geen bewerkingsrechten hebben, of het gebruiken als een springplank voor inbraak of aanvallen op andere systemen. Deze aanvallen kunnen geautomatiseerd zijn, zoals computervirussen of internetwormen, waardoor gebruikers schade kunnen lijden of infecties kunnen verspreiden naar andere systemen zonder dat ze het weten.
Als je ongeoorloofde toegang pleegt, kun je een gevangenisstraf van maximaal drie jaar of een boete van maximaal een miljoen yen krijgen.
Wat zijn handelingen die ongeoorloofde toegang bevorderen?
De Japanse Wet op het Verbod van Ongeoorloofde Toegang verbiedt niet alleen ongeoorloofde toegang, maar ook handelingen die ongeoorloofde toegang bevorderen. Handelingen die ongeoorloofde toegang bevorderen zijn handelingen waarbij de identificatiecodes van anderen, zoals ID’s en wachtwoorden, zonder hun toestemming aan derden bekend worden gemaakt, waardoor het mogelijk wordt om zonder toestemming in te loggen op hun accounts.
Als je deze regel overtreedt, kun je een gevangenisstraf van maximaal een jaar of een boete van maximaal 500.000 yen krijgen.
Wat is het onrechtmatig verkrijgen en bewaren van de identificatiecodes van anderen?
Het onrechtmatig verkrijgen van de identificatiecodes van anderen is het “verkrijgen van de ID’s en wachtwoorden van anderen om ongeoorloofde toegang te plegen”.
Het onrechtmatig bewaren van de identificatiecodes van anderen is het “bewaren van de ID’s en wachtwoorden van anderen die onrechtmatig zijn verkregen om ongeoorloofde toegang te plegen”.
Zelfs als je geen ongeoorloofde toegang pleegt, zijn handelingen die kunnen leiden tot ongeoorloofde toegang verboden.
Als je een van deze handelingen pleegt, kun je een gevangenisstraf van maximaal een jaar of een boete van maximaal 500.000 yen krijgen.
Wat is het onrechtmatig verzoeken om invoer van de identificatiecodes van anderen?
Het onrechtmatig verzoeken om invoer van de identificatiecodes van anderen, zoals ID’s en wachtwoorden, is wat we doorgaans “phishing” noemen. Phishing is het sturen van e-mails die zich voordoen als online winkels of financiële instellingen, het leiden van slachtoffers naar valse websites die sterk lijken op de echte websites, en het laten invoeren van persoonlijke informatie zoals ID’s, wachtwoorden en creditcardgegevens. In het Engels wordt dit “phishing” genoemd, een woord dat is samengesteld uit de woorden “fishing” (vissen) en “sophisticated” (verfijnd).
Zelfs als je geen persoonlijke informatie laat invoeren, wordt het opzetten van een valse website op zichzelf beschouwd als phishing en valt het onder de regelgeving.
Als je phishing pleegt, kun je een gevangenisstraf van maximaal een jaar of een boete van maximaal 500.000 yen krijgen.
De plichten van de toegangsbeheerder
Onder de Japanse Wet op het Verbod van Ongeoorloofde Toegang wordt van beheerders van servers en dergelijke (toegangsbeheerders) gevraagd om defensieve maatregelen te nemen om ongeoorloofde toegang te voorkomen (Artikel 8).
Beheerders zijn verplicht om maatregelen te nemen om ongeoorloofde toegang te voorkomen, zoals “het correct beheren van identificatiecodes”, “het voortdurend verifiëren van de effectiviteit van toegangscontrolefuncties” en “het verbeteren van toegangscontrolefuncties indien nodig”. Deze drie zijn echter inspanningsverplichtingen, dus er zijn geen straffen voor het overtreden van deze verplichtingen.
Voorbeelden van overtredingen van de Japanse Wet op het Verbod van Ongeoorloofde Toegang
Er is een toenemende trend in gevallen die vallen onder de overtreding van de Japanse Wet op het Verbod van Ongeoorloofde Toegang, een van de vele soorten cybercriminaliteit. Dit kan worden toegeschreven aan de verspreiding van niet alleen pc’s, maar ook smartphones, en de toename van financiële transacties op het internet, zoals internetbankieren en smartphonebetalingen (zoals PayPay).
In het nieuws worden dagelijks meldingen gemaakt van cyberaanvallen die leiden tot het lekken van persoonlijke informatie en ongeoorloofde inlogpogingen op sociale media-accounts. Sommige van deze gevallen kunnen aanzienlijke schade veroorzaken. Maar wat voor soort incidenten vallen onder de overtreding van de Japanse Wet op het Verbod van Ongeoorloofde Toegang?
Hieronder introduceren we enkele specifieke gevallen.
Overname van game-accounts
Een mannelijke bedrijfsmedewerker (23) werd gearresteerd door de politie van Saitama op verdenking van overtreding van de Japanse Wet op het Verbod van Ongeoorloofde Toegang en het onrechtmatig toe-eigenen van verloren voorwerpen, nadat hij de game-account van iemand anders op een smartphone had overgenomen.
De man wordt ervan verdacht de smartphone, die het slachtoffer had achtergelaten, te hebben meegenomen, de geïnstalleerde smartphonegame te hebben gestart en de gegevens naar zijn eigen smartphone te hebben overgezet.
Ongeoorloofd inloggen op Facebook
Een mannelijke bedrijfsmedewerker (29) werd gearresteerd op verdenking van overtreding van de Japanse Wet op het Verbod van Ongeoorloofde Toegang door de Cybercrime Countermeasures Division van de Metropolitan Police Department, nadat hij ongeoorloofd had ingelogd op Facebook-accounts van beroemdheden en anderen.
De verdachte wordt ervan verdacht ongeoorloofd te hebben ingelogd op Facebook en iCloud van beroemdheden en gewone mensen. Hij wordt ervan verdacht in te loggen door ID’s en wachtwoorden te raden op basis van informatie zoals geboortedata, en foto’s die op de accounts zijn opgeslagen te downloaden naar zijn eigen pc.
Op de pc van de verdachte waren ongeveer 257.000 privéfoto’s opgeslagen, die alleen door de beroemdheden zelf konden worden bekeken. Het lijkt erop dat hij niet alleen foto’s, maar ook adresboeken en dergelijke zonder toestemming heeft bekeken.
Ongeoorloofde toegang tot veilingssites
De Cybercrime Countermeasures Division van de Kanagawa Prefectural Police en het Minami Police Station arresteerden een jongen (19) op verdenking van overtreding van de Japanse Wet op het Verbod van Ongeoorloofde Toegang en het onrechtmatig maken en verstrekken van privé-elektronische records. De arrestatie was gebaseerd op het feit dat hij vanaf zijn thuis-pc ongeoorloofd had ingelogd op een veilingssite met de ID en het wachtwoord van iemand anders, en het e-mailadres en de verzendinformatie had gewijzigd.
De jongen verklaarde: “De ID’s en wachtwoorden stonden op een online bulletinboard. Ik heb meer dan 50 keer ongeoorloofd ingelogd.” Het wordt onderzocht of de jongen computeronderdelen en dergelijke onrechtmatig heeft verkregen via de veilingssite.
Ongeoorloofde toegang tot de server van de werkplek
Een provinciale ambtenaar werd naar de Nagasaki District Public Prosecutor’s Office gestuurd op verdenking van overtreding van de Japanse Wet op het Verbod van Ongeoorloofde Toegang, nadat hij zonder toestemming meerdere collega-ID’s en wachtwoorden had ingevoerd en ongeoorloofd toegang had gekregen tot de server van de Nagasaki Prefectural Government.
De provinciale ambtenaar wordt ervan verdacht de server te hebben betreden met de ID’s en wachtwoorden van zijn collega’s en hun werkzaamheden en dergelijke te hebben bespioneerd. Het aantal ongeoorloofde toegangen door deze provinciale ambtenaar wordt geschat op enkele tienduizenden, en het aantal gedownloade bestanden wordt geschat op meer dan een miljoen. Er is echter geen bevestiging van informatie die naar buiten is gelekt.
Creditcardinformatie gelekt door ongeoorloofde toegang
Het is gebleken dat een sportartikelen mail-order site ongeoorloofde toegang heeft gekregen, wat mogelijk heeft geleid tot het lekken van klantcreditcardinformatie.
Volgens de exploitant van de site is de creditcardinformatie van klanten die producten hebben gekocht via de site gelekt, en is er een mogelijkheid dat een deel van de creditcardinformatie onrechtmatig is gebruikt. De site-exploitant legt uit dat de oorzaak van de ongeoorloofde toegang was dat de kwetsbaarheden van het systeem werden uitgebuit en de betalingsapplicatie werd gewijzigd.
Ongeoorloofd inloggen op smartphone betalingssystemen
In verband met het probleem van ongeoorloofde toegang tot smartphonebetalingen, arresteerde de Fukuoka Prefectural Police twee mannen op verdenking van overtreding van de Japanse Wet op het Verbod van Ongeoorloofde Toegang en fraude. De verdachten worden ervan verdacht ongeoorloofd te hebben ingelogd op een smartphone betalingssysteem met de ID en het wachtwoord van iemand anders, en ongeveer 190 items (ter waarde van ongeveer 95.000 yen) zoals elektronische sigarettenpatronen te hebben gekocht bij een gemakswinkel.
Er was oorspronkelijk 5.000 yen gestort op de smartphonebetaling van het slachtoffer, maar er was ook 90.000 yen gestort vanaf de creditcard van de man.
Er zijn veel gevallen van ongeoorloofde toegang en ongeoorloofd gebruik van deze smartphonebetaling, en het aantal slachtoffers dat bekend was tot eind juli 2019 (Heisei 31) was ongeveer 800, en het totale schadebedrag was ongeveer 38,6 miljoen yen. De dienst werd later in september 2019 (Reiwa 1) stopgezet.
Samenvatting
Schade door ongeoorloofde toegang kan iedereen treffen die het internet gebruikt, of het nu individuen of bedrijven zijn. Bovendien kan de schade variëren van ongeoorloofde inlogpogingen op sociale netwerken, het lekken van persoonlijke informatie, tot onrechtmatig gebruik van smartphone betalingen en creditcards, en in sommige gevallen kan het schadebedrag enorm zijn.
Als u schade heeft geleden door een overtreding van de Japanse Wet op het Verbod van Ongeoorloofde Toegang, kunt u een strafrechtelijke aanklacht indienen of een schadevergoeding eisen op basis van het burgerlijk recht. Echter, beide procedures vereisen geavanceerde specialistische kennis, dus het wordt aanbevolen om advies in te winnen bij een advocaat die gespecialiseerd is in ongeoorloofde toegang.
Category: IT
Tag: CybercrimeIT