【速報】Liczba wykrytych przypadków nieautoryzowanego dostępu w roku Reiwa 5 (2023) potroiła się w ciągu roku
Agencja Policji, Ministerstwo Spraw Wewnętrznych i Administracji oraz Ministerstwo Gospodarki, Handlu i Przemysłu ogłosiły 14 marca 2024 roku sytuację dotyczącą 「nielegalnych działań dostępowych」[ja] w okresie od 1 stycznia 2023 roku do 31 grudnia tego samego roku.
Jest to zgodne z przepisami japońskiej „Ustawy o zakazie nielegalnego dostępu” (Ustawa o zakazie nielegalnego dostępu), które stanowią, że „Komisja Bezpieczeństwa Narodowego, Minister Spraw Wewnętrznych i Administracji oraz Minister Gospodarki, Handlu i Przemysłu co najmniej raz w roku powinni publikować informacje o sytuacji dotyczącej nielegalnych działań dostępowych oraz o stanie badań i rozwoju technologii związanych z funkcjami kontroli dostępu, aby przyczynić się do obrony przed nielegalnym dostępem do specyficznych komputerów elektronicznych posiadających funkcje kontroli dostępu” (Artykuł 10, ustęp 1). Informacje te są publikowane co roku w marcu przez trzy ministerstwa: Agencję Policji, Ministerstwo Spraw Wewnętrznych i Administracji oraz Ministerstwo Gospodarki, Handlu i Przemysłu.
W tym miejscu przedstawimy sytuację dotyczącą nielegalnych działań dostępowych w roku 2023 (Reiwa 5 (2023)), opierając się na materiałach prasowych dotyczących nielegalnych działań dostępowych oraz stanu badań i rozwoju technologii związanych z funkcjami kontroli dostępu.
Liczba przypadków nieautoryzowanego dostępu
Liczba przypadków nieautoryzowanego dostępu zgłoszonych w 2023 roku (Reiwa 5) do Agencji Policji wyniosła 6312, co stanowi wzrost o 4112 przypadków (około 186,9%) w porównaniu do 2200 przypadków w 2022 roku (Reiwa 4), osiągając tym samym najwyższą liczbę w ciągu ostatnich pięciu lat.
Wzrost ten wynika głównie z „nieautoryzowanych przelewów i podobnych działań w bankowości internetowej”, które wzrosły z 1096 do 5598 przypadków.
Patrząc na ogólną liczbę przypadków nieautoryzowanego dostępu według rodzaju działania po dostępie, „nieautoryzowane przelewy i podobne działania w bankowości internetowej” stanowią największą grupę (5598 przypadków), po nich następują „nieautoryzowane uzyskiwanie informacji, takie jak podglądanie e-maili” (204 przypadki), „nieautoryzowane zakupy w sklepach internetowych” (93 przypadki) oraz „nieautoryzowane działania w grach online i na stronach społecznościowych” (83 przypadki).
W 2023 roku (Reiwa 5) liczba aresztowań za naruszenie japońskiej ustawy o zakazie nieautoryzowanego dostępu wyniosła 521, a liczba aresztowanych osób to 259, co oznacza spadek o 1 aresztowanie i wzrost o 2 osoby w porównaniu z rokiem poprzednim, utrzymując się na podobnym poziomie.
Wśród podejrzanych najwięcej osób stanowią osoby w wieku „20–29 lat” (103 osoby), następnie „14–19 lat” (73 osoby) i „30–39 lat” (53 osoby). Ponadto, 9 chłopców poniżej 14 roku życia zostało zatrzymanych za naruszenie japońskiej ustawy o zakazie nieautoryzowanego dostępu, ale ze względu na ich wiek, nie są oni wliczani do liczby aresztowań i aresztowanych osób.
Najmłodsza zatrzymana osoba miała 11 lat, a najstarsza 61 lat.
Źródło: Ministerstwo Spraw Wewnętrznych i Komunikacji|Sytuacja dotycząca nieautoryzowanego dostępu i rozwój technologii kontroli dostępu
Statystyki zatrzymań za naruszenie japońskiej Ustawy o zakazie nieautoryzowanego dostępu
Zabronione i karane na mocy japońskiej Ustawy o zakazie nieautoryzowanego dostępu są:
- Zakaz działania polegającego na nieautoryzowanym dostępie (art. 3)
- Zakaz nielegalnego pozyskiwania cudzych kodów identyfikacyjnych (art. 4)
- Zakaz działań wspierających nieautoryzowany dostęp (art. 5)
- Zakaz nielegalnego przechowywania cudzych kodów identyfikacyjnych (art. 6)
- Zakaz nielegalnego żądania wprowadzenia cudzych kodów identyfikacyjnych (art. 7)
Przykładami kodów identyfikacyjnych mogą być „ID i hasło”.
W 2023 roku, patrząc na statystyki zatrzymań za naruszenie japońskiej Ustawy o zakazie nieautoryzowanego dostępu, podzielone według rodzaju naruszenia, „nieautoryzowany dostęp” stanowił 487 przypadków i 248 osób, co stanowi ponad 90% wszystkich przypadków. „Nielegalne pozyskiwanie kodów identyfikacyjnych” to 11 przypadków i 8 osób, „działania wspierające (udzielanie) kodów identyfikacyjnych” to 13 przypadków i 10 osób, „nielegalne przechowywanie kodów identyfikacyjnych” to 7 przypadków i 6 osób, a „nielegalne żądanie kodów identyfikacyjnych” to 3 przypadki i 2 osoby.
Wśród nich, nieautoryzowany dostęp, który stanowi największą liczbę przypadków, jest zdefiniowany w artykule 2, punkt 4 japońskiej Ustawy o zakazie nieautoryzowanego dostępu jako:
- Typ wykorzystujący kradzież kodów identyfikacyjnych (typ podszywający się)
- Typ ataku na luki w zabezpieczeniach
Patrząc na szczegółowe statystyki zatrzymań za nieautoryzowany dostęp w 2023 roku, „typ wykorzystujący kradzież kodów identyfikacyjnych” stanowił 475 przypadków, co stanowi ponad 90% wszystkich przypadków.
Analizując szczegółowo metody działania w przypadku „typu wykorzystującego kradzież kodów identyfikacyjnych”, najczęściej (203 przypadki) dochodziło do niego przez wykorzystanie słabego zarządzania i ustawień haseł przez użytkowników, następnie przez byłe osoby zatrudnione lub znajome, które miały możliwość pozyskania kodów identyfikacyjnych (68 przypadków), przez wydobywanie informacji od użytkowników lub podglądanie (40 przypadków), pozyskanie od innych osób (36 przypadków) oraz przez strony phishingowe (10 przypadków).
Ponadto, analizując usługi, które były nielegalnie wykorzystywane przy użyciu cudzych kodów identyfikacyjnych w przypadku „typu wykorzystującego kradzież kodów identyfikacyjnych”, najczęściej były to „gry online i strony społecznościowe” (234 przypadki), następnie „strony dedykowane dla pracowników i członków” (82 przypadki), „zakupy internetowe” (35 przypadków), „bankowość internetowa” (29 przypadków) oraz „e-mail” (3 przypadki).
Powiązany artykuł: Działania i przypadki zabronione przez japońską Ustawę o zakazie nieautoryzowanego dostępu wyjaśnione przez prawnika[ja]
Przykłady zatrzymań w roku Reiwa 5 (2023)
W raporcie o “Sytuacji występowania nielegalnego dostępu” co roku przedstawiane są przykłady zatrzymań jako materiały referencyjne.
Student szkoły zawodowej (21 lat) w październiku i grudniu 2022 roku stworzył i opublikował w Internecie fałszywą stronę phishingową, udającą legalną usługę SNS, i nielegalnie uzyskał identyfikatory oraz hasła od wielu prawowitych użytkowników. Następnie, używając tych danych, dokonał nielegalnego dostępu do wspomnianej usługi SNS. Został zatrzymany w kwietniu 2023 roku za naruszenie japońskiej Ustawy o zakazie nieautoryzowanego dostępu (nielegalne działania dostępowe, nielegalne żądanie kodów identyfikacyjnych oraz ich pozyskanie) oraz za tworzenie i używanie fałszywych zapisów elektronicznych.
Urzędnik państwowy (30 lat) w grudniu 2022 roku bez zgody właściciela ustawiła PIN karty osobistej innej osoby i używając tego PINu, dokonała nielegalnego dostępu, a następnie przyznała punkty usłudze płatności bezgotówkowej, z której korzystała. Została zatrzymana w kwietniu 2023 roku za tworzenie i używanie fałszywych zapisów elektronicznych, naruszenie japońskiej Ustawy o zakazie nieautoryzowanego dostępu (nielegalne działania dostępowe) oraz za oszustwo z użyciem komputera.
Student szkoły zawodowej (18 lat) w marcu 2023 roku zaproponował kupno konta do gry użytkownikom strony zajmującej się handlem kontami do gier, a po uzyskaniu kodów identyfikacyjnych związanych z tą stroną, dokonał nielegalnego dostępu i nielegalnie uzyskał punkty należące do osób chcących dokonać zakupu. Został zatrzymany w lipcu 2023 roku za naruszenie japońskiej Ustawy o zakazie nieautoryzowanego dostępu (nielegalne działania dostępowe) oraz za oszustwo z użyciem komputera.
Pracownik firmy (25 lat) od sierpnia do listopada 2022 roku dokonywał nielegalnego dostępu do wielu kont SNS, zgadując hasła, a następnie wysyłał wiadomości z groźbami, podszywając się pod prawowitych użytkowników. Został zatrzymany w sierpniu 2023 roku za naruszenie japońskiej Ustawy o zakazie nieautoryzowanego dostępu (nielegalne działania dostępowe) oraz za groźby karalne.
Pracownik firmy (43 lata) w czerwcu 2023 roku udostępnił kolegom z nowego miejsca pracy kody identyfikacyjne przypisane pracownikom w poprzedniej firmie, a następnie sam dokonał nielegalnego dostępu do systemu zarządzania wizytówkami tej firmy. Został zatrzymany w wrześniu 2023 roku za naruszenie japońskiej Ustawy o ochronie danych osobowych oraz Ustawy o zakazie nieautoryzowanego dostępu (nielegalne działania dostępowe).
Bezrobotny mężczyzna (20 lat) wraz z dwoma innymi wspólnikami w styczniu 2023 roku umieścili na serwerze zagranicznym stronę internetową, która była przeznaczona do wprowadzenia w błąd, sugerując, że jest to strona prowadzona przez operatora SNS, i zachęcali nieokreśloną liczbę osób do wprowadzenia swoich haseł. Zostali zatrzymani we wrześniu 2023 roku za naruszenie japońskiej Ustawy o zakazie nieautoryzowanego dostępu (nielegalne żądanie kodów identyfikacyjnych).
Powiązane artykuły: Szczegółowe informacje o japońskiej Ustawie o zakazie nieautoryzowanego dostępu i przykłady naruszeń[ja]
Podsumowanie: Niezbędne są środki zaradcze przeciwko nieautoryzowanemu dostępowi, konsultacja ze specjalistami jest kluczowa
W kontekście “Sytuacji występowania nieautoryzowanego dostępu”, w obliczu rosnącej tendencji aktów nieautoryzowanego dostępu, jako środki zapobiegawcze, które powinni podjąć użytkownicy, wymienione są:
- Odpowiednie ustawienie i zarządzanie hasłami
- Środki przeciwdziałania phishingowi
- Środki przeciwdziałania złośliwemu oprogramowaniu
Z kolei jako środki, które powinni podjąć administratorzy dostępu, wymienione są:
- Budowa systemu operacyjnego itp.
- Odpowiednie ustawienie haseł
- Odpowiednie zarządzanie ID i hasłami
- Środki przeciwdziałania atakom na luki w zabezpieczeniach
- Środki przeciwdziałania phishingowi itp.
Przestępstwa związane z nieautoryzowanym dostępem mogą dotknąć każdego, kto korzysta z Internetu – zarówno firmy, jak i osoby prywatne, a szkody mogą być znaczne. Dlatego niezbędne jest zwrócenie uwagi na te środki.
W przypadku doznania szkód w wyniku nieautoryzowanego dostępu, możliwe jest wniesienie skargi karnej, jednak termin przedawnienia wynosi 3 lata. Jeśli odkryjesz, że padłeś ofiarą nieautoryzowanego dostępu, jak najszybciej skonsultuj się z adwokatem specjalizującym się w japońskiej ustawie o zakazie nieautoryzowanego dostępu.
Informacje o środkach zaradczych w naszej kancelarii
Kancelaria Prawna Monolith specjalizuje się w IT, a w szczególności w połączeniu Internetu i prawa, posiadając bogate doświadczenie w obu tych dziedzinach. W ostatnim czasie wyciek danych osobowych stał się poważnym problemem. W przypadku wycieku danych osobowych, działalność przedsiębiorstwa może zostać poważnie zagrożona. Nasza firma posiada specjalistyczną wiedzę w zakresie zapobiegania wyciekom informacji i reagowania na nie. Szczegóły znajdują się w poniższym artykule.
Zakres usług Kancelarii Prawnej Monolith: Prawo ochrony danych osobowych i pokrewne usługi prawne[ja]
Category: IT
Tag: CybercrimeIT