一ヶ月前の話題だが改めて。
東京ワクチン大規模摂取センターでシステム障害が発生した件について、管理者の事前承諾を得ずに、実運用システムにテスト用の虚偽データを登録して検証したという事象が情報機関で多々見られた。
この際に、不正アクセス禁止法に抵触するのではないかという意見がいくつか出てみて、自分自身も復習してみた。
結論をいうと不正アクセス禁止法となるのは、大きくいうと他人のパスワードなどの識別符号(アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号≒パスワード)を使用して情報を閲覧した場合になるため、今回のような事案は不正アクセス禁止法には当たらないとされる。
不正アクセス禁止法について
参考:https://news.mynavi.jp/kikaku/20200221-security_frontline_v43/
不正アクセス禁止法が禁止する不正行為は以下の4つがある。
- 不正アクセス行為
- 他人のIDとパスワードを不正に取得し、保管する行為(不正取得罪、不正保管罪)
- 他人のIDとパスワードを無断で取得し、無断で第三者に提供する行為(助長罪)
- フィッシング行為(フィッシング罪)
不正アクセス行為
不正アクセス行為は、第1号から第3号の3つに分類される。
・第1号
他人のID、パスワードを使って、アクセス権限のないシステムに不正にログインする行為。いわゆるなりすまし行為はここに分類される。
・第2号
OSやアプリケーションにあるセキュリティホールなどを利用して、アクセス権限のないシステムに不正に侵入する行為のこと。
・第3号
セキュリティホールなどから侵入したパソコンを利用し、アクセス権限のないシステムに不正にアクセスすること。踏み台を経由したアクセスも含まれる。
他人のIDとパスワードを不正に取得し、保管する行為(不正取得罪、不正保管罪)
不正アクセス行為を目的に、他人のIDとパスワードを取得したり、保管したりする行為。
2013年の改正法で規定された。
不正保管罪により、たとえ不正アクセス行為に及んでいなくても、IDとパスワードを不正に取得して保管するだけで罪に問われる可能性がある。
他人のIDとパスワードを無断で取得し、無断で第三者に提供する行為(助長罪)
こちらも2013年の改正法で新たに規定された。
業務などの正当な理由による場合を除いて、他人のIDとパスワードを提供する行為はすべて禁止される。
フィッシング行為(フィッシング罪)
こちらも2013年の改正法で新たに規定された。
正規のWebサイトと誤認させる偽のサイトを公開し、正規のWebサイトにログインするためのIDとパスワード、クレジットカード番号などを窃取する行為。
フィッシングサイトを用いずとも、正規の管理者になりすましたメールを送信し、IDとパスワードを窃取 しようとする行為も、フィッシング行為に分類される。
またSQLインジェクションを仕掛けたという報道機関も見られるが、この場合についても試すだけであれば、パスワードなどで保護された情報が含まれている場合は不正アクセス禁止法に抵触する。
しかし、今回のように虚偽内容で登録するのは、人の事務処理を誤らせる目的となれば、電磁的記録不正作出及び供用の罪、あるいは偽計業務妨害となりうる。
電磁的記録不正作出及び供用の罪
人の事務処理を誤らせる目的で、その事務処理の用に供する権利、義務又は事実証明に関する電磁的記録を不正に作った者は、五年以下の懲役又は五十万円以下の罰金に処する。
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/legal/02.html
先ほどにもあったように、事務処理を誤らせるために虚偽データを用意したのであれば、罪になりうる。
偽計業務妨害
虚偽の風説を流布し,または偽計を用いて人の業務を妨害する罪
https://kotobank.jp/word/%E5%81%BD%E8%A8%88%E6%A5%AD%E5%8B%99%E5%A6%A8%E5%AE%B3%E7%BD%AA-50227#:~:text=%E5%81%BD%E8%A8%88%E6%A5%AD%E5%8B%99%E5%A6%A8%E5%AE%B3%E7%BD%AA%E3%81%8E%E3%81%91%E3%81%84,%E9%81%95%E6%B3%95%E3%81%AA%E6%89%8B%E6%AE%B5%E3%82%92%E3%81%84%E3%81%86%E3%80%82
業務妨害に値する行為についてももちろん罪になる。
いずれにしても、実稼働システムで知った知識を使用してちょっとしたクラッキングに値する行為を行うような承認欲求は捨てるべきである。