<前の日記(2012年05月08日) 次の日記(2012年06月08日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 206   昨日: 2605

2012年05月27日

流出パスワードの紹介は改正不正アクセス禁止法第5条に注意

20日ほど前のこと、Twitterのものらしきパスワードが5万5千件ほど流出したそうだということで、「自分のものが含まれていないか確認しよう」という呼びかけが、Twitterやまとめサイトで展開されていた。この呼びかけは、「自分のメールアドレスとIDを調べることで、流出リストに自分が含まれているかどうか確認できます」として、晒されたID・パスワードのリストを紹介し、見てみることを奨めるものであった。このような行為は、5月1日に施行された改正不正アクセス禁止法の第5条に違反する虞れがあるので注意が必要である。

不正アクセス禁止法は、今年3月に国会で改正案が成立し、5月1日から改正法が施行されている*1。他人の識別符号を提供する行為は、「不正アクセス行為を助長する行為の禁止」として改正前では4条に規定されていたが、これが5条に移されて、内容が以下のように変更された。

改正前:

(不正アクセス行為を助長する行為の禁止)
第四条 何人も、アクセス制御機能に係る他人の識別符号を、その識別符号がどの特定電子計算機の特定利用に係るものであるかを明らかにして、又はこれを知っている者の求めに応じて、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。ただし、当該アクセス管理者がする場合又は当該アクセス管理者若しくは当該利用権者の承諾を得てする場合は、この限りでない。

改正後:

(不正アクセス行為を助長する行為の禁止)
第五条 何人も、業務その他正当な理由による場合を除いては、アクセス制御機能に係る他人の識別符号を、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。

変更点は以下の3つである。

  • 「その識別符号がどの特定電子計算機の特定利用に係るものであるかを明らかにして、又はこれを知っている者の求めに応じて」との要件が削除され、禁止行為の範囲が大幅に拡張された。
  • 「業務その他正当な理由による場合を除いては」との要件が加えられた。
  • 「当該アクセス管理者がする場合又は当該アクセス管理者若しくは当該利用権者の承諾を得てする場合は、この限りでない」との但し書きが削除された。

改正前では、どこのアクセス制御機能で使えるID・パスワードなのか不明な場合は禁止対象でなかったのが、改正後では、どこかのアクセス制御機能で使える(行為者の認識においてもそうだろうという)ID・パスワードであれば禁止対象となった。これは大幅な変更であり、すべての人が注意を要する。

パスワードの流出事件はこれまでにも何度もあり、その都度セキュリティ関係者の間で、流出したID・パスワードのリストのURLが紹介されるという事態は起きていた。その場合でも改正前4条に違反する虞れはあったが、当該アクセス管理者が対策処置(当該パスワードの変更やアカウントの削除)をとった後であれば、それはもはや当該アクセス制御機能における識別符号ではなくなる*2ので、そのような場合には、流出したパスワードを誰かに紹介する行為は合法であり、正当なものとしては、主に、パスワードにはどんなものが多く設定されているかその実態の分析と周知のためなどに、そうした情報共有が行われることがあった。

今回のケースでも、Twitterのアクセス管理者が即座に対応をし、以下のようなツイートをしていたことから、「既に対策はとられている」という理由をもって改正前4条ならば違反にならないという考え方も可能であった。

  • 昨日の「パスワード流出」というニュースについて, Twitter Blog, 2012年5月10日

    流失したとされているアカウントには、Twitterからパスワードのリセットのリクエストをかけました。大半はスパムアカウントとして停止されているもので、普通にTwitterを使われている方々のアカウントはこのリストには含まれていません。

しかし、今回は、改正法施行後に起きた。改正後5条では、その識別符号がどこかのアクセス制御機能で使えるもの(行為者の認識においても)であれば、提供行為は禁止される。

今回晒されたID・パスワードには、Twitterだけでしか使われていないとは言えないものも含まれていた。つまり、Twitter公式ブログでは「大半はスパムアカウント」とされ、多くのID・パスワードが乱数で機械的に生成されたもののようだとする説もあったが、実際のリストを確認してみたところ、そのようなものばかりではなく、実在しそうなメールアドレスと人が使いそうな普通のパスワードの組のものもかなりの量が含まれていた(図1)。

画面キャプチャ
図1: 晒されたID・パスワードのリストに普通のものも含まれていた様子

このようなID・パスワードは、Twitter以外の様々なWebサイトその他で、アクセス制御機能の識別符号として使われている可能性がある。これらが実際にそのようなもので、そのような認識でこれらを提供すれば、不正アクセス禁止法第5条違反ということになる。

ここで、「提供しているのはPastebinに貼付けた奴で、自分はそこにリンクしただけだ」という釈明が通るかという論点がある。ここには2つの論点があり、1点目は、リンクで閲覧を誘導する行為が提供に当たるのかという点、2点目は、公開状態のものをさらに提供する行為も禁止されているのかという点である。

2点目について、逐条解説書(改正前に書かれたもの)に、第2条第2項の識別符号の定義の解説において次の記述がある。

識別符号であるID・パスワードがハッカーによりホームページで公開されて第三者に知られてしまっている場合など、利用権者等でない第三者が当該識別符号の入力による特定利用ができる状態があったとしても、アクセス制御機能により特定利用が制限されていることに変わりはない(略)。ただし、ID・パスワードが広く知られてしまっている状態をアクセス管理者があえて放置していて、誰でもそのID・パスワードを用いて特定利用することができるようになっている場合は、当該特定利用については、アクセス制御機能による制限がないと言わざるを得ないと解されよう。

逐条 不正アクセス行為の禁止等に関する法律〔補訂〕, p.61, 立花書房, 2001年

つまり、例えば今回のケースで言えば、Twitter運営者があえて放置している場合には、もはやその識別符号による「アクセス制御機能による制限」はないということで、公開状態になっているID・パスワードを(TwitterのID・パスワードであることを明らかにして)さらに誰かに提供しても、それは(改正前では)違法とならないという考え方が有り得た。

しかし、「アクセス管理者があえて放置していて」というのは、当該アクセス管理者がその状況を認識していることが前提であって、今回のTwitterのケースであれば、「TwitterのID・パスワードだぞ」と名指しされたからこそ認識できるわけであって、Twitter以外の他のサイトで、同一のID・パスワードが利用されている場合に、それら他のサイトの全てのアクセス管理者が、この流出の事態に気付くということは考えにくい。したがって、改正後5条の観点からは、当該識別符号が使われている全てのアクセス管理者について「アクセス管理者があえて放置していて」という状況は考えにくい。

この点でも、「流出パスワードの提供」という行為のうち改正前では合法であった場合が、改正により合法でなくなっている。

このように、今回の改正で、他人の識別符号の提供行為の禁止は大幅に拡張されている。そのようなものまで処罰対象とするのは過剰な規制ではないかという意見もあるかもしれない。

しかし、今回の法改正の趣旨は、法の制定から12年以上が経過した今日では、ID・パスワードを登録するサービスの数が大幅に増え、人々は同じID・パスワードを複数のアクセス制御機能に使い回して登録せざるを得ない状況になったという情勢変化に対応したものである。

実際、3年ほど前から、不正アクセス事件の原因として、他のサイトで流出したID・パスワードが入力されているのではないかとの疑いがもたれるようになっていた。

このような疑いはこれまで憶測でしか語ることができず、検証が行われたこともなかったが、今回の法改正に際して警察庁が調査を開始しており*3、ひとまず以下の結果が出ている。

  • 侵入、100回に4回成功 不正アクセス「ログイン攻撃」 警察庁調査, 朝日新聞2012年3月10日夕刊

    大量のIDとパスワード(PW)の組み合わせを次々に自動入力してシステムへの侵入を試みる「ログイン攻撃」の実態を、警察庁が調べたところ、100回に4回もの頻度で侵入されていたことがわかった。同庁は、他人になりすました取引やメールの盗み見などに悪用されている恐れもあると見て、不正アクセスの実態把握に乗り出す。

    調査は昨年、ゲームやショッピングなどのサイト運営企業14社に実施した。うち8社が、1カ月間に約265万回の攻撃を受け、約10万回不正侵入されていた。

    (略)警察庁幹部は「有効だとわかったIDとPWは、売買され、悪用される」と見るが、実態はわかっていない。(略)同庁幹部は(略)「同じPWなどを使い回す人は多く、1社が黙っていれば被害は広がる。情報は攻撃対象や手口を分析し対策にいかす」と説明している。

今後この調査が進めば、どこかで流出したID・パスワードのリストが「ログイン攻撃」(「大量のIDとパスワードの組み合わせを次々に自動入力してシステムへの侵入を試みる」)に使われている事実が立証されるかもしれない。

「同じパスワードの使い回しをする奴が悪い」という考えの人もいるだろうが、私はそれに同調しない。自己防衛策として「パスワードを使い回ししないようにすると良いですよ」とするアドバイスは結構だが、「パスワードの使い回しをしてはならない」ことを前提とした社会になるべきではない。同じパスワードを使い回す自由がある。

このような状況に鑑みて、今回の法改正は、当初の目玉であったフィッシング行為の禁止(7条)の他に、識別符号の不正な流通を防止する禁止規定も設けたのである。このことについて、警察庁の「不正アクセス禁止法改正Q&A」は次のように説明している。*4

  • 不正アクセス禁止法改正Q&A, 警察庁, 2012年4月

    Q5 改正法により禁止・処罰範囲が拡張される助長罪(第5条)について教えてください。

    A 改正前は、他人のID・パスワードを、そのID・パスワードがどのウェブサイト(のサービス) に対するID・パスワードであるかを明らかにして、又はこれを知っている者の求めに応じて、無断で第三者に提供する行為を禁止・処罰の対象としていました。

    しかし、近年、一人の人間が利用するコンピュータのサービスの数が増加しており、同一のID・パスワードを多数のサイトで使い回す例が一般化しています。その結果、提供されたID・パスワードがどのウェブサイト(のサービス)に対するものかが明らかでなくとも、多数のID・パスワードを入力すれば一定程度の割合で不正ログインに成功する場合があることから、今回の改正により(略)他人のID・パスワードを提供する行為が全て禁止され、違反者は(略)こととなりました。

今回の改正では、識別符号の不正な流通を防止するため、提供の他に、取得と保管も禁じている。

(他人の識別符号を不正に取得する行為の禁止)
第四条 何人も、不正アクセス行為(第二条第四項第一号に該当するものに限る。第六条及び第十二条第二号において同じ。)の用に供する目的で、アクセス制御機能に係る他人の識別符号を取得してはならない。

(不正アクセス行為を助長する行為の禁止)
第五条 何人も、業務その他正当な理由による場合を除いては、アクセス制御機能に係る他人の識別符号を、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。

(他人の識別符号を不正に保管する行為の禁止)
第六条 何人も、不正アクセス行為の用に供する目的で不正に取得されたアクセス制御機能に係る他人の識別符号を保管してはならない。

不正アクセス行為の禁止等に関する法律 最終改正:平成二十四年三月三十一日法律第十二号

このように、他人の識別符号を取得する行為(第4条)や保管する行為(第6条)も禁止されているが、これらはいわゆる「目的犯」であり、不正アクセス行為の用に供する目的がなければ違法でない。「不正アクセス行為の用に供する目的」とは、自分自身が不正アクセス行為に及ぶ際に使うつもりがある場合や、自分以外の誰かが不正アクセス行為に及ぶ際に使われるであろうことを期待している場合など、そのような目的がある場合を指す。

したがって、今回Pastebinに晒されたリストを閲覧したとしても、(閲覧しただけで取得には当たる*5が)それだけでは(不正アクセス行為の用に供する目的がなければ)4条違反でないし、閲覧したリストをハードディスクに保存したとしても、それだけでは(不正アクセス行為の用に供する目的がなければ)6条違反ではない。(加えて、6条では、保管が違法となるのは「不正に取得された」他人の識別符号に限られている*6。)

単純所持罪ができたわけではないので、不正アクセス目的取得罪とか、不正アクセス目的保管罪と言うべきものだろう。*7

今回の騒動で、Pastebinに貼られた識別符号を閲覧した人、保存した人はかなりの人数にのぼると思われるが、不正アクセス行為の用に供する目的がなければ違法でないので、そこを心配することはない。

しかし、提供(第5条)は違う。第5条は目的犯ではない。不正アクセス行為の用に供する目的がなくても、単純に他人の識別符号を(利用権者やアクセス管理者以外の者に)提供したら、それだけで違法である。

このことは、改正前4条でも同様で、「不正アクセス行為を助長する行為」として禁止されている。不正アクセスを助長する行為は慎むべきとして単純に禁止されているのである。「悪気はなかった」は通用しないのであるが、罰則は軽めで、懲役刑や禁固刑はなく、30万円以下の罰金とされている。

5条違反であっても、12条1項2号に規定されている通り、「相手方に不正アクセス行為の用に供する目的があることの情を知って識別符号を提供した」場合の罰則は、1年以下の懲役又は50万円以下の罰金となっており、目的犯である4条、6条と同じ重さに規定されている(そうでない単純提供の場合は第13条の規定が適用される)ように、不正アクセス目的の有無で罪の重さが差別化されている。

そのことからも改めて認識させられるように、相手方に不正アクセス行為の用に供する目的があることの情を知っていなくても、他人の識別符号を提供するのは、罰金刑のある違法行為なのである。

このことに気付かずに、ついつい、晒されているID・パスワードをさらに広めてしまう過ちを犯してしまいがちな予感がするので注意したい。

なお、これが禁止されてしまうと、従来行われてきたような、パスワード流出の事実を通報したり、注意喚起することができなくなってしまうのではないかとの懸念が出てくるわけだが、5条では、(改正前4条にはなかった)「業務その他正当な理由による場合を除いては」との要件を設けて、違法となる範囲を狭めている。

「業務その他正当な理由」とは何なのかだが、刑法改正のときの「正当な理由がないのに」の要件は何ら限定するものにならないという刑法学者の見解とは違って、このような法定犯(行政犯)の「業務その他正当な理由による場合を除いては」という条文はちゃんと意味を持つのだそうだ。警察庁の「不正アクセス禁止法改正Q&A」は次のように説明している。

  • 不正アクセス禁止法改正Q&A, 警察庁, 2012年4月

    Q6 改正により「業務その他正当な理由による場合」を除いて他人のID・パスワードを提供する行為が全て禁止された(第5条)ということですが、「業務その他正当な理由による場合」とはどのような場合を言うのですか。

    A 「業務その他正当な理由による場合」とは、社会通念上、正当と認められるような場合をいいます。例えば、

    • 情報セキュリティ事業者が、インターネット上に流出しているID・パスワードのリストを契約している企業に提供する行為
    • インターネット上に流出している他人のID・パスワードを発見した者が、これを情報セキュリティ事業者や公的機関に届け出る行為
    • ID・パスワードとしてよく用いられている単純な文字列を、ID・パスワードとして設定すべきでないものとして示す行為

    等は、不正アクセス行為を防止する目的で行われるものであり、「業務その他正当な理由による場合」に該当します。

    また、

    • 情報セキュリティに関するセミナーの資料等において、ID・パスワードのインターネット上への流出実態を示すために実際に流出したID・パスワードのリストを掲載する行為

    等も、流出実態の危険性を訴えることや対応策を検討することを目的に行われるものであるので「業務その他正当な理由による場合」に該当します。

この手の解説に出てくる例示は、確実なものだけが書かれているものなので、これらに該当しないケースはどうなのかという疑問はいっぱいあることだろう。

たとえば、流出しているパスワードを発見した者が、「情報セキュリティ事業者や公的機関」以外(たとえば報道機関に)に通報するのはどうなのかとか、不正アクセス行為を防止する目的で、知り合いのアクセス管理者に(そのアカウントをロックしたりパスワードリセットした方がいいと奨めるために)流出パスワードのことを個人が(情報セキュリティ事業者でない者が、契約なしに)親切で教えてあげるといった行為はどうなのか。

少なくとも、いくら不正アクセス行為を防止する目的を標榜していても、「自分のID・パスワードが流出していないか確認しよう!」と不特定多数に流出パスワードを広める行為は、除外されにくいのではないか。そのような目的では、パスワードまで知らせる必要はなく、IDだけを知らせるとか、IDを隠したまま該当の有無を知らせるだけで足りる。

*1 未だにググっても改正前の条文しか出てこない(e-govの掲載も、IPAの掲載も古いまま)ので、以下に掲載しておく。

不正アクセス行為の禁止等に関する法律
(平成十一年八月十三日法律第百二十八号)最終改正:平成二十四年三月三十一日法律第十二号

(目的)
第一条 この法律は、不正アクセス行為を禁止するとともに、これについての罰則及びその再発防止のための都道府県公安委員会による援助措置等を定めることにより、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することを目的とする。

(定義)
第二条 この法律において「アクセス管理者」とは、電気通信回線に接続している電子計算機(以下「特定電子計算機」という。)の利用(当該電気通信回線を通じて行うものに限る。以下「特定利用」という。)につき当該特定電子計算機の動作を管理する者をいう。

2 この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(以下「利用権者」という。)及び当該アクセス管理者(以下この項において「利用権者等」という。)に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものをいう。

一 当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号

二 当該利用権者等の身体の全部若しくは一部の影像又は音声を用いて当該アクセス管理者が定める方法により作成される符号

三 当該利用権者等の署名を用いて当該アクセス管理者が定める方法により作成される符号

3 この法律において「アクセス制御機能」とは、特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている機能であって、当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号(識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。次項第一号及び第二号において同じ。)であることを確認して、当該特定利用の制限の全部又は一部を解除するものをいう。

4 この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。

一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)

二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)

三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為

(不正アクセス行為の禁止)
第三条 何人も、不正アクセス行為をしてはならない。

(他人の識別符号を不正に取得する行為の禁止)
第四条 何人も、不正アクセス行為(第二条第四項第一号に該当するものに限る。第六条及び第十二条第二号において同じ。)の用に供する目的で、アクセス制御機能に係る他人の識別符号を取得してはならない。

(不正アクセス行為を助長する行為の禁止)
第五条 何人も、業務その他正当な理由による場合を除いては、アクセス制御機能に係る他人の識別符号を当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない

(他人の識別符号を不正に保管する行為の禁止)
第六条 何人も、不正アクセス行為の用に供する目的で、不正に取得されたアクセス制御機能に係る他人の識別符号を保管してはならない。

(識別符号の入力を不正に要求する行為の禁止)
第七条 何人も、アクセス制御機能を特定電子計算機に付加したアクセス管理者になりすまし、その他当該アクセス管理者であると誤認させて、次に掲げる行為をしてはならない。ただし、当該アクセス管理者の承諾を得てする場合は、この限りでない。

一 当該アクセス管理者が当該アクセス制御機能に係る識別符号を付された利用権者に対し当該識別符号を特定電子計算機に入力することを求める旨の情報を、電気通信回線に接続して行う自動公衆送信(公衆によって直接受信されることを目的として公衆からの求めに応じ自動的に送信を行うことをいい、放送又は有線放送に該当するものを除く。)を利用して公衆が閲覧することができる状態に置く行為

二 当該アクセス管理者が当該アクセス制御機能に係る識別符号を付された利用権者に対し当該識別符号を特定電子計算機に入力することを求める旨の情報を、電子メール(特定電子メールの送信の適正化等に関する法律(平成十四年法律第二十六号)第二条第一号に規定する電子メールをいう。)により当該利用権者に送信する行為

(アクセス管理者による防御措置)
第八条 アクセス制御機能を特定電子計算機に付加したアクセス管理者は、当該アクセス制御機能に係る識別符号又はこれを当該アクセス制御機能により確認するために用いる符号の適正な管理に努めるとともに、常に当該アクセス制御機能の有効性を検証し、必要があると認めるときは速やかにその機能の高度化その他当該特定電子計算機を不正アクセス行為から防御するため必要な措置を講ずるよう努めるものとする。

(都道府県公安委員会による援助等)
第九条 都道府県公安委員会(道警察本部の所在地を包括する方面(警察法(昭和二十九年法律第百六十二号)第五十一条第一項本文に規定する方面をいう。以下この項において同じ。)を除く方面にあっては、方面公安委員会。以下この条において同じ。)は、不正アクセス行為が行われたと認められる場合において、当該不正アクセス行為に係る特定電子計算機に係るアクセス管理者から、その再発を防止するため、当該不正アクセス行為が行われた際の当該特定電子計算機の作動状況及び管理状況その他の参考となるべき事項に関する書類その他の物件を添えて、援助を受けたい旨の申出があり、その申出を相当と認めるときは、当該アクセス管理者に対し、当該不正アクセス行為の手口又はこれが行われた原因に応じ当該特定電子計算機を不正アクセス行為から防御するため必要な応急の措置が的確に講じられるよう、必要な資料の提供、助言、指導その他の援助を行うものとする。

2 都道府県公安委員会は、前項の規定による援助を行うため必要な事例分析(当該援助に係る不正アクセス行為の手口、それが行われた原因等に関する技術的な調査及び分析を行うことをいう。次項において同じ。)の実施の事務の全部又は一部を国家公安委員会規則で定める者に委託することができる。

3 前項の規定により都道府県公安委員会が委託した事例分析の実施の事務に従事した者は、その実施に関して知り得た秘密を漏らしてはならない。

4 前三項に定めるもののほか、第一項の規定による援助に関し必要な事項は、国家公安委員会規則で定める。

5 第一項に定めるもののほか、都道府県公安委員会は、アクセス制御機能を有する特定電子計算機の不正アクセス行為からの防御に関する啓発及び知識の普及に努めなければならない。

第十条 国家公安委員会、総務大臣及び経済産業大臣は、アクセス制御機能を有する特定電子計算機の不正アクセス行為からの防御に資するため、毎年少なくとも一回、不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況を公表するものとする。

2 国家公安委員会、総務大臣及び経済産業大臣は、アクセス制御機能を有する特定電子計算機の不正アクセス行為からの防御に資するため、アクセス制御機能を特定電子計算機に付加したアクセス管理者が第八条の規定により講ずる措置を支援することを目的としてアクセス制御機能の高度化に係る事業を行う者が組織する団体であって、当該支援を適正かつ効果的に行うことができると認められるものに対し、必要な情報の提供その他の援助を行うよう努めなければならない。

3 前二項に定めるもののほか、国は、アクセス制御機能を有する特定電子計算機の不正アクセス行為からの防御に関する啓発及び知識の普及に努めなければならない。

(罰則)
第十一条 第三条の規定に違反した者は、三年以下の懲役又は百万円以下の罰金に処する。

第十二条 次の各号のいずれかに該当する者は、一年以下の懲役又は五十万円以下の罰金に処する。

一 第四条の規定に違反した者

二 第五条の規定に違反して、相手方に不正アクセス行為の用に供する目的があることの情を知ってアクセス制御機能に係る他人の識別符号を提供した者

三 第六条の規定に違反した者

四 第七条の規定に違反した者

五 第九条第三項の規定に違反した者

第十三条 第五条の規定に違反した者(前条第二号に該当する者を除く。)は、三十万円以下の罰金に処する。

第十四条 第十一条及び第十二条第一号から第三号までの罪は、刑法(明治四十年法律第四十五号)第四条の二の例に従う。(※未施行:情報処理の高度化等に対処するための刑法等の一部を改正する法律附則第1条第1項第2号「サイバー犯罪に関する条約が日本国について効力を生ずる日」から施行)

附則
(略)

*2 逐条解説書(改正前に書かれたもの)に次のように書かれている。「なお、利用権者が他人にID・パスワードを探知されたことに気付き、パスワードを変更した後に、当該他人がIDと変更前のパスワードを提供した場合には、当該IDと変更後のパスワードの組合わせが識別符号に該当するものであることから、本条には違反しない(略)。」(逐条 不正アクセス行為の禁止等に関する法律〔補訂〕, p.92, 立花書房, 2001年)

*3 「不正アクセス防止対策に関する官民意見集約委員会」の「不正アクセス防止対策に関する行動計画」(平成23年12月22日決定)に基づくもの。

*4 「多数のID・パスワードを入力すれば一定程度の割合で不正ログインに成功する場合があることから」とあるように、識別符号がどのアクセス制御機能に係るものか不明な場合において提供行為の危険が具体化するのは、多数の識別符号が提供された場合に限られるのではないか。そうであれば、禁止対象は今回の改正後5条ほどまで広く拡張する必要はなく、どのアクセス制御機能に係るものか不明な場合は多数の識別符号を提供した場合に限定し、どのアクセス制御機能に係るものか明らかな場合の1個以上の識別符号の提供(改正前4条)も残しておけばよかったのではないか。私としてはそのような意見を直接伝える機会もあったが、そうはならなかった。(「多数の」の線引きが難しいかもしれない。)

*5 警察庁の「不正アクセス禁止法改正Q&A」には「「取得」とは、ID・パスワードを自己の支配下に移す行為をいい、具体的には(略)自らが使用する通信端末機器の映像面にID・パスワードを表示させる行為、ID・パスワードを知得する行為(再現可能な状態で記憶する行為)等がこれに該当します。」とある。

*6 今回の晒されたID・パスワードが本物であれば、「不正に取得された」ものであることは想像に難くない。

*7 警察庁の「不正アクセス禁止法改正Q&A」では「不正取得罪」「不正保管罪」という言葉が使われている。

本日のTrackBacks(全7件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20120527]

[流出パスワードの紹介は改正不正アクセス禁止法第5条に注意] より [Twitterのものらしきパスワードが5万5千件ほど流出] これはひどい数 「今回晒されたID・パスワードには、Twitterだけでしか使われていないとは言えないものも含まれていた」 紹介・さらし よりも …

検索

<前の日記(2012年05月08日) 次の日記(2012年06月08日)> 最新 編集

最近のタイトル

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|
<前の日記(2012年05月08日) 次の日記(2012年06月08日)> 最新 編集