【速报】令和5年(2023年)不正访问认知案件数量在一年内增加了3倍
警察局、总务省和经济产业省于2024年3月14日公布了2023年1月1日至同年12月31日期间的「非法访问行为的发生状况」[ja]。
这是基于「关于禁止非法访问行为等的法律」(非法访问禁止法)中的规定:“国家公安委员会、总务大臣及经济产业大臣应为了防御具有访问控制功能的特定电子计算机的非法访问行为,每年至少公布一次非法访问行为的发生状况及访问控制功能相关技术的研究开发状况”(第10条第1款),每年3月由警察局、总务省和经济产业省三个部门联合发布。
本文将基于报告资料「非法访问行为的发生状况及访问控制功能相关技术的研究开发状况」,解析令和5年(2023年)的非法访问状况。
不正访问行为的案件数量
2023年,向警察厅报告的不正访问行为的认知案件数量为6312件,较2022年的2200件增加了4112件(约186.9%增加),增至约3倍,为过去5年中的最高数。
这是因为“互联网银行的不正转账等”案件从1096件急增至5598件所致。
观察不正访问行为的认知案件数量,按照不正访问后进行的行为分类,发现“互联网银行的不正转账等”案件最多(5598件),其次是“窃取邮件等信息的不正获取”(204件)、“互联网购物的不正购买”(93件)、“在线游戏·社区网站的不正操作”(83件)。
关于这一点,2023年侦破的违反日本不正访问禁止法的案件数量和人数分别为521件和259人,与上一年相比,案件数量减少1件,人数增加2人,基本持平。
嫌疑人的年龄以“20~29岁”最多(103人),其次是“14~19岁”(73人)、“30~39岁”(53人)。此外,违反不正访问禁止法的14岁以下少年有9人被作为触法少年处理,但由于是14岁以下的少年,所以不在侦破案件数量和人数中计算。
值得一提的是,被拘捕或侦破的人中,年龄最小的是11岁,最大的是61岁。
来源:総務省|不正访问行为的发生状况及访问控制功能相关技术的研究开发状况
不正访问禁止法违反事件的搜捕情况
不正访问禁止法禁止并处罚的行为包括:
- 禁止不正访问行为(第3条)
- 禁止非法获取他人的识别代码行为(第4条)
- 禁止促进不正访问行为的行为(第5条)
- 禁止非法保存他人的识别代码行为(第6条)
- 禁止非法请求输入他人的识别代码行为(第7条)
识别代码的具体例子可以想象为“ID·密码”。
在2023年,违反不正访问禁止法的事件搜捕数量和人数,按违反行为类型来看,「不正访问行为」有487件·248人,占全部的90%以上;「识别代码获取行为」有11件·8人;「识别代码提供(促进)行为」有13件·10人;「识别代码保存行为」有7件·6人;「识别代码非法请求行为」有3件·2人。
其中,数量最多的不正访问行为,在不正访问禁止法第2条第4款中规定为:
- 识别代码盗用型(冒充型)
- 安全漏洞攻击型
但在2023年,不正访问行为的搜捕数量内部分布来看,“识别代码盗用型”有475件,占全部的90%以上。
查看“识别代码盗用型”不正访问行为的手法分布,「利用权者的密码设置·管理不严导致的获取」最多(203件),其次是「由曾处于可知悉识别代码位置的前雇员或熟人等实施的犯罪」(68件),「从利用权者那里直接询问或偷看」(40件),「从他人处获取」(36件),「通过钓鱼网站获取」(10件)依次排列。
另外,关于“识别代码盗用型”,根据被非法使用他人识别代码的服务类型来看,「在线游戏·社区网站」最多(234件),其次是「员工·会员等专用网站」(82件),「互联网购物」(35件),「互联网银行」(29件),「电子邮件」(3件)依次排列。
令和5年(2023年)的検挙事例
在“不正アクセス行为的发生状况”中,每年都会引用一些検挙事例作为参考资料。
一名专门学校的男学生(21岁),于2022年10月及同年12月,创建了伪装成正规SNS的钓鱼网站并在互联网上公开,非法获取了多名正规用户的ID和密码,随后使用这些ID和密码非法访问了该SNS。该男子于2023年4月,因违反不正アクセス禁止法(不正アクセス行为、识别符号非法要求行为及识别符号获取行为)及私电磁记录非法制作・供应罪被検挙。
一名公务员女性(30岁),于2022年12月,未经名义人同意,为他人的个人编号卡设置了暗码,并使用该暗码进行了不正アクセス,之后为自己使用的无现金支付服务添加了积分。该女性于2023年4月,因违反公电磁记录非法制作・供应罪、不正アクセス禁止法(不正アクセス行为)及电子计算机使用诈骗罪被検挙。
一名专门学校的男学生(18岁),于2023年3月,向游戏账户买卖网站的用户提出购买游戏账户,获取了购买者相关的识别符号后,非法访问了该网站,非法获取了购买者拥有的积分。该男子于7月,因违反不正アクセス禁止法(不正アクセス行为)及电子计算机使用诈骗罪被検挙。
一名公司职员男性(25岁),从2022年8月到同年11月期间,通过猜测密码非法访问了多个SNS账户,并冒充正规用户发送了加害信息。该男子于2023年8月,因违反不正アクセス禁止法(不正アクセス行为)及威胁罪被検挙。
一名公司职员男性(43岁),于2023年6月,向转职地的同事提供了原工作地名片管理系统分配给员工的识别符号,并自己也非法访问了该系统。该男子于2023年9月,因违反个人信息保护法、不正アクセス禁止法(不正アクセス行为)被検挙。
一名无业男性(20岁)与其他两人共谋,于2023年1月,在海外服务器上存储了伪装成SNS运营商网站的网站,并使大量不特定用户输入密码等信息的请求可被浏览。这些人于2023年9月,因违反不正アクセス禁止法(识别符号非法要求行为)被検挙。
相关文章:关于不正アクセス禁止法的详细内容及违反事例[ja]
总结:迫切需要采取措施应对非法访问,建议咨询专家
在“非法访问行为的发生状况”中,随着非法访问行为的增加趋势,作为防御措施的注意事项,作为“使用权者应采取的措施”包括:
- 密码的适当设置与管理
- 针对网络钓鱼的对策
- 针对恶意软件的对策
此外,作为“访问管理者应采取的措施”包括:
- 构建运营体系等
- 密码的适当设置
- ID与密码的适当管理
- 针对安全漏洞攻击的对策
- 针对网络钓鱼等的对策
以上措施被提出。
由于非法访问行为导致的犯罪可能影响到使用互联网的企业和个人,任何人都有可能遭受损害,而这些损害可能会带来巨大的损失,因此必须注意这些措施。
如果遭受了非法访问行为的损害,可以进行刑事告诉,但其时效为3年。一旦发现非法访问行为导致的损害,应尽快咨询熟悉《日本非法访问禁止法》的律师。
我所采取的措施介绍
Monolith法律事务所是一家在IT领域,尤其是互联网和法律方面拥有丰富经验的法律事务所。近来,个人信息泄露已成为一个重大问题。一旦发生个人信息泄露,可能会对企业活动造成致命影响。我们事务所拥有专业的知识,能够提供信息泄露预防和应对措施。详细内容请参阅下文。
Monolith法律事务所的业务范围:个人信息保护法相关法务[ja]
Category: IT
Tag: CybercrimeIT
