【速報】令和5年(2023年)不正存取認知件數年增三倍
警察廳、總務省及經濟產業省於2024年3月14日公布了2023年1月1日至同年12月31日間「不正訪問行為的發生狀況」[ja]。
這是基於「不正訪問行為禁止等相關法律」(日本不正訪問禁止法)中「國家公安委員會、總務大臣及經濟產業大臣應為了防禦具有訪問控制功能的特定電子計算機的不正訪問行為,每年至少公布一次不正訪問行為的發生狀況及訪問控制功能相關技術的研究開發狀況」(第10條第1項)的規定,每年3月由警察廳、總務省及經濟產業省三個部門聯合發布。
以下將根據報道資料「不正訪問行為的發生狀況及訪問控制功能相關技術的研究開發狀況」,解說令和5年(2023年)的不正訪問狀況。
不正訪問行為案件數
2023年(令和5年),向警察廳報告的不正訪問行為認知案件數達到6312件,較2022年的2200件增加了4112件(約186.9%增加),是過去五年中的最高數。
這主要是因為「網路銀行的不正轉賬等」案件從1096件激增至5598件所致。
觀察不正訪問行為認知案件數中,根據行為類別的分類,「網路銀行的不正轉賬等」案件最多(5598件),其次是「竊看郵件等信息的不正獲取」(204件)、「網路購物的不正購買」(93件)、以及「線上遊戲・社群網站的不正操作」(83件)。
關於此點,2023年(令和5年)檢挙的違反日本不正訪問禁止法案件數及檢挙人數為521件・259人,與前年相比,案件數減少1件、人數增加2人,基本持平。
被疑犯的年齡層中,「20~29歲」最多(103人),其次是「14~19歲」(73人)、「30~39歲」(53人)。此外,有9名14歲以下的少年因違反不正訪問禁止法被補導,但由於是14歲以下的少年,因此不在檢挙案件數及檢挙人數中計算。
值得一提的是,被補導或檢挙的人中,年齡最小的是11歲,最大的是61歲。
資料來源:総務省|不正訪問行為的發生狀況及訪問控制功能相關技術的研究開發狀況
不正訪問禁止法違反事件的檢挙狀況
不正訪問禁止法禁止並處罰的行為包括:
- 禁止不正訪問行為(第3條)
- 禁止不正取得他人識別符號的行為(第4條)
- 禁止促進不正訪問行為的行為(第5條)
- 禁止不正保管他人識別符號的行為(第6條)
- 禁止不正要求輸入他人識別符號的行為(第7條)
識別符號的具體例子,「ID・密碼」可能是最容易理解的。
在2023年,不正訪問禁止法違反事件的檢挙件數及檢挙人員,按違反行為類別來看,「不正訪問行為」有487件・248人,佔全部90%以上;「識別符號取得行為」有11件・8人;「識別符號提供(促進)行為」有13件・10人;「識別符號保管行為」有7件・6人;「識別符號不正要求行為」有3件・2人。
其中,不正訪問行為的最大數量,在不正訪問禁止法第2條第4項中,被規定為:
- 識別符號竊用型(假冒型)
- 安全漏洞攻擊型
但在2023年,不正訪問行為的檢挙件數中,「識別符號竊用型」有475件,佔全部90%以上。
這種「識別符號竊用型」不正訪問行為的手法分類來看,「利用權者的密碼設定・管理不嚴」最多(203件),其次是「由曾處於可知識別符號位置的前員工或熟人等實施的犯罪」(68件),「從利用權者那裡聽取或偷看」(40件),「從他人處獲得」(36件),「通過釣魚網站獲得」(10件)依此類推。
另外,針對「識別符號竊用型」,被不正使用他人識別符號的服務類別分類來看,「線上遊戲・社群網站」最多(234件),其次是「員工・會員專用等網站」(82件),「網路購物」(35件),「網路銀行」(29件),「電子郵件」(3件)依此類推。
令和5年(2023年)的檢控事例
「不正訪問行為的發生狀況」每年都會列出一些檢控事例作為參考資料。
一名專門學校的男學生(21歲),於2022年10月及同年12月,創建了偽裝成正規社交網站的釣魚網站並在網上公開,從多名正規使用者那裡非法獲取了ID和密碼,並利用這些ID和密碼非法訪問了該社交網站。該男子於2023年4月,因違反《日本不正訪問禁止法》(不正訪問行為、識別符號不正要求行為及識別符號獲取行為)及私電磁記錄不正作出・同供用罪被檢控。
一名公務員女性(30歲),於2022年12月,未經名義人許可,為他人的個人號碼卡設置了暗証號碼,並利用設置的暗証號碼進行了不正訪問,之後為自己使用的無現金支付服務賺取了積分點數。該女性於2023年4月,因違反《公電磁記錄不正作出・同供用罪》、《日本不正訪問禁止法》(不正訪問行為)及電子計算機使用詐欺罪被檢控。
一名專門學校的男學生(18歲),於2023年3月,向遊戲帳號買賣網站的用戶提出購買遊戲帳號,獲得了購買者相關的識別符號後,非法訪問了該網站,並非法獲取了購買者擁有的積分點數。該男子於7月,因違反《日本不正訪問禁止法》(不正訪問行為)及電子計算機使用詐欺罪被檢控。
一名公司員工男性(25歲),於2022年8月至同年11月期間,對多個社交網站帳號進行了密碼猜測並進行不正訪問,並冒充正規使用者發送了加害信息。該男子於2023年8月,因違反《日本不正訪問禁止法》(不正訪問行為)及脅迫罪被檢控。
一名公司員工男性(43歲),於2023年6月,將其前工作地點的名片管理系統分配給員工的識別符號,提供給轉職後的同事,並自己也進行了不正訪問。該男子於2023年9月,因違反《個人信息保護法》、《日本不正訪問禁止法》(不正訪問行為)被檢控。
一名無業男性(20歲)與其他兩人共謀,於2023年1月,在海外服務器上記錄存放了一個偽裝成SNS業者運營的網站,使不特定多數的人能夠查看要求輸入密碼等信息的狀態。這些人於2023年9月,因違反《日本不正訪問禁止法》(識別符號不正要求行為)被檢控。
總結:迫切需要對不正訪問採取措施,請諮詢專家
在「不正訪問行為的發生狀況」中,持續增加的不正訪問行為的防禦注意事項包括「使用權者應採取的措施」:
- 密碼的適當設定與管理
- 對抗網絡釣魚的措施
- 對抗惡意軟件的措施
此外,作為「訪問管理者應採取的措施」:
- 建立運營體制等
- 密碼的適當設定
- ID與密碼的適當管理
- 對抗安全漏洞攻擊的措施
- 對抗網絡釣魚等的措施
以上措施被提出。
由於不正訪問行為導致的犯罪可能影響到使用互聯網的企業和個人,任何人都有可能遭受損失,而這些損失往往是巨大的,因此必須注意這些措施。
如果遭受不正訪問行為的損害,可以進行刑事告訴,但其時效為3年。一旦發現不正訪問行為造成的損害,應盡快諮詢熟悉日本不正訪問禁止法的律師。
本所提供的對策介紹
Monolith法律事務所是一家在IT領域,特別是互聯網和法律方面擁有豐富經驗的法律事務所。近來,個人資訊的洩露已成為一個重大問題。萬一個人資訊洩露,可能對企業活動造成致命影響。本所擁有專業知識,專門處理資訊洩露預防和應對措施。詳細內容請參閱下列文章。
Monolith法律事務所的業務範圍:個人資訊保護法相關法務[ja]
Category: IT
Tag: CybercrimeIT