【Snabbrapport】Antalet kända fall av obehörig åtkomst under Reiwa 5 (2023) har tredubblats på ett år
Polismyndigheten, Ministeriet för Inre Angelegenheterna och Kommunikation samt Ministeriet för Ekonomi, Handel och Industri publicerade den 14 mars 2024 (Reiwa 6), information om situationen för obehöriga åtkomstförsök från den 1 januari 2023 (Reiwa 5) till den 31 december samma år, baserat på “Situationen för obehöriga åtkomstförsök”[ja].
Detta baseras på lagen om förbud mot obehörig åtkomst (Lagen om förbud mot obehörig åtkomst), som stipulerar att “Nationella offentliga säkerhetskommittén, ministern för inre angelegenheterna och kommunikation samt ministern för ekonomi, handel och industri ska, för att bidra till skyddet mot obehörig åtkomst till specifika datorsystem med åtkomstkontrollfunktioner, åtminstone en gång om året offentliggöra information om förekomsten av obehörig åtkomst och statusen för forskning och utveckling av teknik relaterad till åtkomstkontrollfunktioner” (Artikel 10, stycke 1). Detta är information som årligen offentliggörs i mars av de tre ministerierna.
Här förklarar vi situationen för obehörig åtkomst under år 2023 (Reiwa 5), baserat på pressmeddelandet “Situationen för obehöriga åtkomstförsök och statusen för forskning och utveckling av teknik relaterad till åtkomstkontrollfunktioner”.
Antalet fall av obehörig åtkomst
Antalet rapporterade fall av obehörig åtkomst till Japans nationella polismyndighet under 2023 var 6312, vilket är en ökning med 4112 fall (ungefär 186,9 %) från 2200 fall under 2022 och det högsta antalet under de senaste fem åren.
Denna ökning beror på att “olagliga överföringar och liknande inom internetbank” sköt i höjden från 1096 till 5598 fall.
När man ser på den totala fördelningen av de rapporterade fallen av obehörig åtkomst, efter typ av handling som utförts efteråt, var “olagliga överföringar och liknande inom internetbank” de mest förekommande (5598 fall), följt av “olaglig åtkomst till e-post och liknande informationsintrång” (204 fall), “olagliga köp inom internetshopping” (93 fall) och “olagliga manipulationer inom online-spel och community-webbplatser” (83 fall) i ordning.
I detta sammanhang var antalet gripna för brott mot lagen om förbud mot obehörig åtkomst under 2023 521 fall och 259 personer, vilket nästan var oförändrat jämfört med föregående år med en minskning av ett fall och en ökning av två personer.
Åldern på de misstänkta var mestadels “20–29 år” (103 personer), följt av “14–19 år” (73 personer) och “30–39 år” (53 personer). Dessutom greps 9 pojkar under 14 år för brott mot lagen om förbud mot obehörig åtkomst, men eftersom de är under 14 år räknas de inte in i antalet gripna fall eller personer.
Bland de gripna eller anhållna var den yngsta 11 år och den äldsta 61 år.
Källa: Ministeriet för inrikesfrågor och kommunikationer | Situationen för obehörig åtkomst och utvecklingen av teknik för åtkomstkontroll
Situationen för gripanden relaterade till brott mot lagen om förbud mot obehörig åtkomst
Handlingar som förbjuds och bestraffas enligt lagen om förbud mot obehörig åtkomst inkluderar:
- Förbud mot obehörig åtkomst (artikel 3)
- Förbud mot att obehörigt skaffa sig tillgång till någon annans identifieringskod (artikel 4)
- Förbud mot handlingar som främjar obehörig åtkomst (artikel 5)
- Förbud mot att obehörigt inneha någon annans identifieringskod (artikel 6)
- Förbud mot att obehörigt efterfråga någon annans identifieringskod (artikel 7)
Exempel på identifieringskoder inkluderar “ID och lösenord”.
Gällande antalet gripanden för brott mot lagen om förbud mot obehörig åtkomst under 2023, när vi ser på uppdelningen efter typ av brott, utgör “obehörig åtkomst” 487 fall och 248 personer, vilket är över 90% av det totala antalet. “Obehörig skaffande av identifieringskoder” står för 11 fall och 8 personer, “tillhandahållande (främjande) av identifieringskoder” för 13 fall och 10 personer, “innehav av identifieringskoder” för 7 fall och 6 personer, och “obehörig efterfrågan av identifieringskoder” för 3 fall och 2 personer.
Bland dessa är obehörig åtkomst, som utgör det största antalet fall, definierat i artikel 2, stycke 4 i lagen om förbud mot obehörig åtkomst som:
- Identifieringskodstöldtyp (förfalskningstyp)
- Säkerhetshålsattacktyp
När vi ser på uppdelningen av gripanden för obehörig åtkomst under 2023, utgör “identifieringskodstöldtyp” 475 fall, vilket är över 90% av det totala antalet.
När vi ser på uppdelningen av metoder för “identifieringskodstöldtyp” av obehörig åtkomst, är “utnyttjande av bristfällig hantering och inställning av lösenord av rättighetsinnehavaren” det vanligaste (203 fall), följt av “brott begångna av tidigare anställda eller bekanta som hade möjlighet att känna till identifieringskoden” (68 fall), “utfrågning eller tjuvkikning av rättighetsinnehavaren” (40 fall), “erhållande från andra personer” (36 fall), och “erhållande genom phishing-webbplatser” (10 fall) i ordning.
Ytterligare, när vi ser på uppdelningen av tjänster som obehörigt använts med någon annans identifieringskod för “identifieringskodstöldtyp”, är “online-spel och community-webbplatser” de vanligaste (234 fall), följt av “webbplatser för anställda och medlemmar etc.” (82 fall), “internetshopping” (35 fall), “internetbank” (29 fall), och “e-post” (3 fall) i ordning.
Relaterad artikel: Handlingar och exempel som förbjuds enligt lagen om förbud mot obehörig åtkomst förklaras av en advokat[ja]
Exempel på gripanden under Reiwa 5 (2023)
I “Situationen för otillåten åtkomst” refereras varje år till flera exempel på gripanden som referensmaterial.
En manlig yrkesskolestuderande (21 år) skapade och publicerade på internet en phishing-webbplats som utgav sig för att vara en legitim social nätverkstjänst (SNS) i oktober och december 2022, och erhöll olagligt ID och lösenord från flera legitima användare. Därefter använde han de erhållna ID:n och lösenorden för att olovligen få tillgång till nämnda SNS. Han greps i april 2023 för brott mot lagen om förbud mot obehörig åtkomst (otillåten åtkomst, olaglig begäran om identifieringskoder och erhållande av identifieringskoder) samt brott mot skapande och användning av falska elektroniska poster.
En kvinnlig offentlig tjänsteman (30 år) ställde in en PIN-kod på någon annans personnummerkort utan innehavarens tillstånd i december 2022 och använde sedan den inställda PIN-koden för att olovligen få tillgång och tilldela poäng till den kontantlösa betalningstjänst hon använde. Hon greps i april 2023 för brott mot skapande och användning av falska elektroniska poster, brott mot lagen om förbud mot obehörig åtkomst (otillåten åtkomst) och bedrägeri genom användning av dator.
En manlig yrkesskolestuderande (18 år) föreslog i mars 2023 att sälja ett spelkonto till användare av en webbplats för köp och försäljning av spelkonton, erhöll identifieringskoder relaterade till webbplatsen från köpare som var intresserade och fick olovligen tillgång till webbplatsen för att olagligt erhålla poäng som tillhörde köparen. Han greps i juli för brott mot lagen om förbud mot obehörig åtkomst (otillåten åtkomst) och bedrägeri genom användning av dator.
En manlig företagsanställd (25 år) gissade lösenord för att olovligen få tillgång till flera SNS-konton från augusti till november 2022 och skickade meddelanden om att orsaka skada, utger sig för att vara den legitima användaren. Han greps i augusti 2023 för brott mot lagen om förbud mot obehörig åtkomst (otillåten åtkomst) och hotbrott.
En manlig företagsanställd (43 år) tillhandahöll i juni 2023 identifieringskoder som tilldelats anställda för ett tidigare arbetsställes visitkortshanteringssystem till en kollega på sitt nya jobb och fick själv olovligen tillgång till systemet. Han greps i september för brott mot personuppgiftslagen och lagen om förbud mot obehörig åtkomst (otillåten åtkomst).
En arbetslös man (20 år) och två andra konspirerade för att i januari 2023 placera en webbplats på en utländsk server som felaktigt skulle kunna uppfattas som en webbplats som drivs av en SNS-operatör, och gjorde information som uppmanade legitima användare att ange sina lösenord tillgänglig för allmänheten. De greps i september för brott mot lagen om förbud mot obehörig åtkomst (olaglig begäran om identifieringskoder).
Relaterade artiklar: Detaljer om lagen mot obehörig åtkomst och exempel på överträdelser[ja]
Sammanfattning: Åtgärder mot obehörig åtkomst är brådskande, konsultera en expert
I “Situationen för obehöriga åtkomster” fortsätter trenden med en ökning av obehöriga åtkomster, och som försvarsåtgärder bör användare vidta följande åtgärder:
- Korrekt inställning och hantering av lösenord
- Åtgärder mot phishing
- Åtgärder mot skadliga program
Åtgärder som bör vidtas av åtkomsthanterare inkluderar:
- Uppbyggnad av en driftsorganisation
- Korrekt inställning av lösenord
- Korrekt hantering av ID och lösenord
- Åtgärder mot säkerhetshål
- Åtgärder mot phishing och liknande
Detta är de rekommenderade åtgärderna.
Varje företag och individ som använder internet kan bli offer för brott genom obehörig åtkomst, vilket kan leda till betydande förluster. Det är därför viktigt att vara uppmärksam på dessa åtgärder.
Om du drabbas av skada till följd av obehörig åtkomst kan du göra en brottsanmälan, men preskriptionstiden är tre år. Om du upptäcker att du har blivit utsatt för obehörig åtkomst, bör du så snart som möjligt konsultera en advokat som är kunnig i den japanska lagen om förbud mot obehörig åtkomst.
Vår byrås åtgärder
Monoliths juridiska byrå har omfattande erfarenhet inom IT, särskilt internet och juridik. På senare tid har läckage av personuppgifter blivit ett stort problem. Om personuppgifter skulle läcka ut kan det i vissa fall ha en förödande effekt på företagsverksamheten. Vår byrå besitter expertkunskaper om förebyggande åtgärder och hantering av informationläckage. Mer information finns i artikeln nedan.
Monoliths juridiska byrås expertisområden: Lagar relaterade till skydd av personuppgifter[ja]
Category: IT
Tag: CybercrimeIT
