MONOLITH LAW OFFICE+81-3-6262-3248Dni powszednie 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

Szczegółowa treść japońskiej 'Ustawy o zakazie nielegalnego dostępu' i przykłady jej naruszeń

IT

Szczegółowa treść japońskiej 'Ustawy o zakazie nielegalnego dostępu' i przykłady jej naruszeń

Ustawa o zakazie nielegalnego dostępu (pełna nazwa “Ustawa o zakazie nielegalnego dostępu i innych”) to prawo ustanowione w celu zapobiegania cyberprzestępstwom i utrzymania porządku w telekomunikacji.

Wraz z rozpowszechnieniem smartfonów i wzrostem liczby użytkowników internetu, liczba przypadków nielegalnego dostępu rośnie z roku na rok.

W tym artykule wyjaśnimy szczegółową treść japońskiej Ustawy o zakazie nielegalnego dostępu oraz przykłady naruszeń.

Co to jest Japońska Ustawa o zakazie nieautoryzowanego dostępu?

Japońska Ustawa o zakazie nieautoryzowanego dostępu została wprowadzona w 2000 roku (rok 2000 w kalendarzu gregoriańskim), ale została zmieniona w 2012 roku (rok 2012 w kalendarzu gregoriańskim) w odpowiedzi na nasilające się cyberprzestępstwa.

W wyniku tej nowelizacji, działania takie jak phishing i nielegalne pozyskiwanie lub przechowywanie identyfikatorów (ID i haseł) zostały zakazane, a kary za nieautoryzowany dostęp do systemów zostały zaostrzone. Działania, które wcześniej nie były karane, zostały zakazane, co uczyniło prawo bardziej skutecznym.

Celem Japońskiej Ustawy o zakazie nieautoryzowanego dostępu jest “przyczynianie się do zdrowego rozwoju społeczeństwa informacyjnego” (Artykuł 1).

Działania zabronione przez Japońską Ustawę o zakazie nieautoryzowanego dostępu obejmują:

  • Nieautoryzowany dostęp (Artykuł 3)
  • Działania wspierające nieautoryzowany dostęp (Artykuł 5)
  • Nielegalne pozyskiwanie lub przechowywanie identyfikatorów innych osób (Artykuły 4 i 6)
  • Nielegalne żądanie wprowadzenia identyfikatorów innych osób (Artykuł 7)

Więcej informacji na temat Japońskiej Ustawy o zakazie nieautoryzowanego dostępu i środków zaradczych w przypadku doświadczenia szkód spowodowanych nieautoryzowanym dostępem można znaleźć w poniższym artykule.

https://monolith.law/reputation/unauthorized-computer-access[ja]

Co to jest nieautoryzowany dostęp?

Nieautoryzowany dostęp można podzielić na “nielegalne logowanie” i “atakowanie luk bezpieczeństwa”.

Nielegalne logowanie to działanie polegające na samowolnym wprowadzeniu identyfikatorów innej osoby (ID i hasła) i logowaniu się na takie konta jak konta w mediach społecznościowych czy adresy e-mail.

Atakowanie luk bezpieczeństwa to atak na luki bezpieczeństwa (defekty bezpieczeństwa w komputerach podłączonych do sieci, nazywane również “podatnościami”), które pozwalają atakującym na wykonywanie operacji, na które normalnie nie mają uprawnień, kradzież danych, modyfikację lub usuwanie danych, do których nie mają uprawnień do edycji, lub wykorzystanie systemu do atakowania innych systemów. Te ataki mogą być zautomatyzowane, podobnie jak wirusy komputerowe czy robaki internetowe, co oznacza, że użytkownicy mogą doznać szkód lub rozprzestrzeniać infekcję na inne systemy bez swojej wiedzy.

Osoba, która dokonuje nieautoryzowanego dostępu, może zostać skazana na karę pozbawienia wolności do trzech lat lub grzywnę do miliona jenów.

Co to są działania wspierające nieautoryzowany dostęp?

Japońska Ustawa o zakazie nieautoryzowanego dostępu nie tylko zakazuje nieautoryzowanego dostępu, ale także działania wspierające nieautoryzowany dostęp. Działania te polegają na udostępnianiu identyfikatorów innych osób, takich jak ID i hasła, osobom trzecim bez zgody właściciela, co umożliwia nieautoryzowane logowanie na ich konta.

Osoba, która narusza ten zakaz, może zostać skazana na karę pozbawienia wolności do jednego roku lub grzywnę do 500 000 jenów.

Co to jest nielegalne pozyskiwanie i przechowywanie identyfikatorów innych osób?

Nielegalne pozyskiwanie identyfikatorów innych osób to działanie polegające na pozyskiwaniu identyfikatorów innych osób, takich jak ID i hasła, w celu dokonania nieautoryzowanego dostępu.

Z kolei nielegalne przechowywanie identyfikatorów innych osób to działanie polegające na przechowywaniu nielegalnie pozyskanych identyfikatorów innych osób, takich jak ID i hasła, w celu dokonania nieautoryzowanego dostępu.

Nawet jeśli nie dokonano nieautoryzowanego dostępu, same działania prowadzące do nieautoryzowanego dostępu są zabronione.

Osoba, która dokonuje któregokolwiek z tych działań, może zostać skazana na karę pozbawienia wolności do jednego roku lub grzywnę do 500 000 jenów.

Co to jest nielegalne żądanie wprowadzenia identyfikatorów innych osób?

Nielegalne żądanie wprowadzenia identyfikatorów innych osób, takich jak ID i hasła, to tzw. “phishing”. Phishing polega na wysyłaniu e-maili podszywając się pod strony internetowe sklepów online czy instytucji finansowych, kierowaniu ofiar na fałszywe strony internetowe, które wyglądają jak prawdziwe strony, i nakłanianiu ich do wprowadzenia swoich danych osobowych, takich jak ID, hasła czy numery kart kredytowych. Termin “phishing” pochodzi od angielskiego słowa “fishing” (wędkowanie) i “sophisticated” (wyszukany, zaawansowany).

Nawet jeśli nie udało się skłonić ofiary do wprowadzenia swoich danych osobowych, samo utworzenie fałszywej strony internetowej jest uważane za phishing i podlega regulacji.

Osoba, która dokonuje phishingu, może zostać skazana na karę pozbawienia wolności do jednego roku lub grzywnę do 500 000 jenów.

Obowiązki administratora dostępu

Zgodnie z Japońską Ustawą o zakazie nieautoryzowanego dostępu, administratorzy serwerów i innych systemów (administratorzy dostępu) są zobowiązani do podjęcia środków obronnych w celu zapobiegania nieautoryzowanemu dostępowi (Artykuł 8).

Administratorzy są zobowiązani do “odpowiedniego zarządzania identyfikatorami”, “regularnej weryfikacji skuteczności funkcji kontroli dostępu” i “udoskonalania funkcji kontroli dostępu w razie potrzeby”, w celu zapobiegania nieautoryzowanemu dostępowi. Jednakże, te trzy obowiązki są obowiązkami dołożenia starań, co oznacza, że nie ma kary za ich naruszenie.

Przykłady naruszeń japońskiego Prawa o zakazie nieautoryzowanego dostępu

Wśród przestępstw cybernetycznych, przypadki naruszenia japońskiego Prawa o zakazie nieautoryzowanego dostępu są na wzroście. Uważa się, że na tle tego trendu leży rosnąca popularność smartfonów i komputerów osobistych, a także wzrost transakcji finansowych online, takich jak bankowość internetowa czy płatności mobilne (takie jak PayPay).

Wiadomości codziennie donoszą o wyciekach danych osobowych i nieautoryzowanym logowaniu do kont na portalach społecznościowych spowodowanych atakami cybernetycznymi. Niektóre z tych incydentów powodują znaczne straty finansowe. Jakie są więc przykłady zdarzeń, które stanowią naruszenie japońskiego Prawa o zakazie nieautoryzowanego dostępu?

Poniżej przedstawiamy kilka konkretnych przypadków.

Przejęcie konta w grze

Policja w Saitamie aresztowała 23-letniego pracownika firmy pod zarzutem przywłaszczenia rzeczy znalezionej i naruszenia japońskiego Prawa o zakazie nieautoryzowanego dostępu, po tym jak przejął konto w grze na smartfonie innej osoby.

Mężczyzna jest podejrzany o zabranie smartfona, który ofiara zapomniała, uruchomienie zainstalowanej na nim gry i przeniesienie danych do swojego smartfona.

Nieautoryzowane logowanie do Facebooka

Dział ds. zwalczania cyberprzestępczości w Komendzie Stołecznej Policji aresztował 29-letniego pracownika firmy pod zarzutem naruszenia japońskiego Prawa o zakazie nieautoryzowanego dostępu, po tym jak nielegalnie zalogował się na konta Facebooka celebrytów i innych osób.

Podejrzany jest o nieautoryzowane logowanie do kont Facebooka i iClouda celebrytów i osób prywatnych. Używając informacji takich jak data urodzenia, podejrzany domyślał się identyfikatorów i haseł, logował się na konta i pobierał przechowywane tam zdjęcia na swój komputer.

Na komputerze podejrzanego znaleziono około 257 000 prywatnych zdjęć, które powinny być dostępne tylko dla samego celebryty. Wygląda na to, że podejrzany przeglądał nie tylko zdjęcia, ale także książki telefoniczne i inne informacje bez zgody.

Nieautoryzowany dostęp do strony aukcyjnej

Dział ds. zwalczania cyberprzestępczości w Komendzie Policji w Kanagawie i południowe biuro policji aresztowały 19-letniego chłopaka pod zarzutem naruszenia japońskiego Prawa o zakazie nieautoryzowanego dostępu i nielegalnego tworzenia i udostępniania prywatnych zapisów elektromagnetycznych.

Zarzuty dotyczą nieautoryzowanego logowania do strony aukcyjnej z domowego komputera, używając identyfikatora i hasła innej osoby, oraz zmiany adresu e-mail i adresu dostawy.

Chłopak twierdzi, że “identyfikatory i hasła były opublikowane na internetowym forum dyskusyjnym. Zalogowałem się nielegalnie ponad 50 razy”. Policja prowadzi śledztwo, podejrzewając, że chłopak nielegalnie zdobył części komputerowe i inne przedmioty na stronie aukcyjnej.

Nieautoryzowane wtargnięcie na serwer miejsca pracy

Pracownik prefektury Nagasaki został zgłoszony do prokuratury w Nagasaki pod zarzutem naruszenia japońskiego Prawa o zakazie nieautoryzowanego dostępu, po tym jak bez zgody wprowadził wiele identyfikatorów i haseł swoich kolegów z pracy i nielegalnie wtargnął na serwer prefektury.

Pracownik prefektury używał identyfikatorów i haseł swoich kolegów do wtargnięcia na serwer i podglądania ich pracy. Liczba nieautoryzowanych dostępów dokonanych przez tego pracownika wynosiła dziesiątki tysięcy, a liczba pobranych plików przekroczyła milion. Jednak nie stwierdzono wycieku informacji na zewnątrz.

Wyciek informacji o kartach kredytowych przez nieautoryzowany dostęp

Okazało się, że strona internetowa sprzedająca sprzęt sportowy została zaatakowana przez nieautoryzowany dostęp, co mogło spowodować wyciek informacji o kartach kredytowych klientów.

Według operatora strony, informacje o kartach kredytowych klientów, którzy dokonali zakupów na stronie, mogły zostać ujawnione, a niektóre z tych informacji mogły zostać wykorzystane nielegalnie. Operator strony wyjaśnił, że przyczyną nieautoryzowanego dostępu było wykorzystanie słabości systemu i manipulacja aplikacją do płatności.

Nieautoryzowane logowanie do systemu płatności mobilnej

W związku z problemem nieautoryzowanego dostępu do systemu płatności mobilnej, policja w Fukuoka aresztowała dwóch mężczyzn pod zarzutem naruszenia japońskiego Prawa o zakazie nieautoryzowanego dostępu i oszustwa. Podejrzani są o nieautoryzowane logowanie do systemu płatności mobilnej, używając identyfikatora i hasła na nazwisko innej osoby, i zakupienie 190 przedmiotów (o wartości około 95 000 jenów), takich jak wkłady do elektronicznych papierosów, w sklepie convenience.

Na koncie płatności mobilnej ofiary pierwotnie wpłacono 5000 jenów, ale dodatkowo wpłacono 90 000 jenów z karty kredytowej mężczyzny.

W przypadku tego systemu płatności mobilnej wystąpiło wiele innych przypadków nieautoryzowanego dostępu i nielegalnego użycia. Do końca lipca 2019 roku liczba ofiar, której udało się zidentyfikować, wynosiła około 800 osób, a łączna kwota strat wynosiła około 38,6 miliona jenów. Następnie usługa została wycofana we wrześniu 2019 roku.

Podsumowanie

Szkody wynikające z nielegalnego dostępu mogą dotknąć każdego, kto korzysta z Internetu, zarówno osoby prywatne, jak i firmy. Ponadto, szkody te mogą obejmować nielegalne logowanie do serwisów społecznościowych, wyciek danych osobowych, nieuprawnione korzystanie z płatności mobilnych lub kart kredytowych, a w niektórych przypadkach kwota szkody może być ogromna.

Jeśli doznałeś szkód z powodu naruszenia japońskiego “Ustawy o zakazie nieautoryzowanego dostępu”, możesz złożyć skargę karną lub żądać odszkodowania na podstawie prawa cywilnego. Jednak obie procedury wymagają zaawansowanej wiedzy specjalistycznej, dlatego zaleca się skonsultowanie się z adwokatem specjalizującym się w nielegalnym dostępie.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Wróć do góry