IT & Information security Journal
蔦 大輔
森・濱田松本法律事務所外国法共同事業 弁護士
舘 貴也
森・濱田松本法律事務所外国法共同事業 弁護士
当社では、ウェブサイトに登録したユーザーにサービスを提供しています。先日、何者かが正規のユーザーになりすまし、ウェブサイトに不正ログインしたことがわかりました。このような場合には、個人情報の保護に関する法律(個人情報保護法)に基づく対応が必要ですか。
また、不正ログインをした者にはどのような刑罰が科されますか。
不正ログインされたサービスの管理者は、個人情報保護法に基づいて、①漏えい等報告義務と、②本人通知義務を負う可能性があります。
また、不正ログインをした者には、個別の事情によりますが、不正アクセス禁止法違反、割賦販売法違反、電子計算機使用等詐欺罪、不正指令電磁的記録作出・供用罪などが成立する可能性があります。
なりすましとは、一般に、他の利用者のふりをして不正行為を行うことをいいます。特にウェブサービスにおける「なりすまし」というと、第三者が特定のユーザーの認証に必要な要素(たとえば、IDやパスワード)を入手し、あたかも正規のユーザーであるかのようにウェブサービスを利用する行為を指すことが多く、たとえば、ECサイトの正規ユーザーになりすまして商品を購入したり、その他金銭を扱うオンラインサービス(インターネットバンキングなど)の正規ユーザーになりすまして別の口座に不正に送金したりするといった被害が出ています。
なりすましの手法には、ID・パスワードを推測して不正ログインを行うケースもありますが、典型的には、フィッシングやリスト型攻撃によるものがあげられます。
フィッシングとは、攻撃者が正規のサイトとよく似た偽のサイトを用意し、それを正規のサイトと勘違いしたユーザーにIDやパスワードなどの情報を入力させて、これらの情報を入手する手法です。
典型的には、クレジットカード会社や銀行からの連絡を装ったメールを送り、メールに添付されたリンクをクリックさせるなどして、偽サイトに誘導し、ユーザーにIDやパスワード、口座番号やクレジットカード番号等を偽サイトに入力させて、これらの情報を窃取するケースがあります。攻撃者は、窃取したログイン情報等を正規のサイトに入力することで、本人になりすまし、商品を購入したり、自分の口座に不正に送金させたり、登録された情報を改ざんしたりします。
近年、フィッシングの被害やそれに起因すると思われる不正送金被害が急増しています。2023年12月25日に警察庁・金融庁から発せられた注意喚起 1 によると、2022年に1,136件だった被害件数は、2023年は12月8日時点で5,147件と過去最多に上っています。
リスト型攻撃とは、ユーザーが同じID・パスワードなどの組合せを複数のサイトで使いまわしていることを利用して、あるサービスから漏えい等して流通してしまっているログイン情報の組み合わせのリストを用いて、他の様々なサービスでの不正ログインを試みる手法です。
個人情報取扱事業者は、不正の目的をもって行われたおそれがある個人データの漏えい、滅失、毀損(漏えい等)またはそのおそれが生じたときには、個人情報保護委員会への報告および本人に対する通知の義務を負います 2。典型的には、管理するサーバに保存されている個人データがサイバー攻撃により漏えいしたようなケースです。
一方、フィッシング等によって攻撃者が不正にログイン情報等 3 を取得した場合は、サービス提供者のサーバに保存されている情報ではなく、ユーザーが入力した情報等が攻撃者に窃取されているため、問題状況が異なります。
フィッシングにより攻撃者がユーザーの個人情報を取得した場合、ユーザーは、サービス提供者が保有する個人データと同じ内容の情報を偽サイトで入力し、その情報が攻撃者に窃取されてしまっているものの、サービス提供者から個人データが漏えいしたわけではないとされています。
もっとも、その後、攻撃者が本人になりすまして正規サイトに不正ログインした場合は、一般的には、攻撃者が正規サイトでログイン後に個人データ(たとえば「マイページ」に登録している住所など)を閲覧することが可能となるため、不正ログインした時点でサービス提供者から個人データの漏えい等またはそのおそれが発生したとして、サービス提供者は報告等の義務を負います 4。
ウェブスキミングとは、典型的には、脆弱性を利用したり管理画面に不正侵入することで正規サイトを改ざんし、ユーザーが正規サイトに入力した情報を直接攻撃者に送信させる手法です。2023年11月には、初の摘発事例があった旨が報道されています 5。ウェブスキミングにおいては、ユーザーの目線では、自分のログイン情報等を正規サイトに入力しているだけであるため、ログイン情報等が不正に送信されていることに気付くことが困難です。
ウェブスキミングにより攻撃者がユーザーの個人情報を窃取する場合、フィッシングと同様、ユーザーが入力した情報は、事業者が取得することなく攻撃者に送信されてしまいます。そのため、従来は、事業者から個人データが漏えいしたとは整理できませんでした。
しかし、このたび、ウェブスキミングを念頭に置いた個人情報保護法施行規則と「個人情報保護法ガイドライン(通則編)」の改正(2023年12月27日公表)(以下、「改正個人情報保護法ガイドライン(通則編)」)が2024年4月1日に施行され、同規則7条3号が以下のとおり改められました。
「不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態」
※注:下線部が改正により追記
典型的には、ウェブスキミングによって攻撃者がユーザーの個人情報を窃取した場合に個人データの漏えい等として、また、ウェブページに入力された情報を窃取する改ざんがなされた痕跡が確認された場合に、漏えい等の「おそれ」がある(改正個人情報保護法ガイドライン(通則編)3-5-3-1)ものとして、報告義務・本人通知義務が生じることとなります6。
攻撃者が、フィッシング等によりユーザーのログイン情報を不正に取得し、そのユーザーになりすまして銀行のサイト等にログインして不正送金するケースでは、主に不正アクセス禁止法違反や電子計算機使用等詐欺罪などが成立すると考えられます。
不正アクセス禁止法は、ユーザー認証機能を保護する法律であり、典型的には、IDとパスワードによるユーザー認証機能を有するシステムに、他人のIDとパスワードを入力して不正にログインする行為などが不正アクセス行為として禁止されています。
同法には、フィッシングに関する規定もあり、識別符号(IDやパスワードなどが典型例です)の入力を不正に要求する行為として、次の2つをそれぞれ禁止しています 7。
電子計算機使用等詐欺罪 8 は、たとえば、攻撃者が、不正に取得したログイン情報等で、ネットバンキングの他人のアカウントに不正にアクセスし、攻撃者の口座を含む別の口座に送金させた場合に成立します。この罪は、詐欺罪 9 を補完する位置づけのものであり、詐欺罪は、「人」を騙して財物や財産上の利益を得る場合(たとえば、銀行の窓口で、他人になりすまして銀行員をだまし、不正送金させるケース)に適用されますが、「機械」については「騙す」ことが観念できないため、人を介さずに機械的に行われる行為の処罰を可能とするために設けられた規定です。
攻撃者は、フィッシングなどによって、他人のログイン情報等を不正に取得したうえで、取得した情報を正規サイトに入力して他人になりすましてログインし、不正送金や商品の購入、データの改ざんなどを行います。これらの行為については、上記で論じたものを含め、主として、以下のような刑事罰が成立する可能性があります。警察に相談する場合などに参考にしてください。
| 罪名 | 概要 | 法定刑 | 根拠条文 |
|---|---|---|---|
| 不正アクセス禁止法違反(不正アクセス) | 識別符号(ID・パスワードなど)を入力することによる不正ログイン行為 | 3年以下の懲役または100万円以下の罰金 | 不正アクセス禁止法3条、11条 |
| 不正アクセス禁止法違反(不正アクセスの準備行為) | 不正アクセス目的での識別符号(ID・パスワードなど)の不正取得・保管、正当な理由のない提供 | 1年以下の懲役または50万円以下の罰金 | 不正アクセス禁止法4条、5条、6条、12条1号・2号・3号 |
| 不正アクセス禁止法違反(フィッシング) | 識別符号の入力を不正に要求する偽サイトの構築、偽メールの送信 | 1年以下の懲役または50万円以下の罰金 | 不正アクセス禁止法7条、12条4号 |
| 割賦販売法違反 | クレジットカード番号等を不正に取得・提供する行為 | 3年以下の懲役または50万円以下の罰金 | 割賦販売法49条の2 |
| 不正指令電磁的記録作成等罪 | マルウェアの作成・提供・供用といった行為(サイト改ざん時に不正なプログラムを実行する場合などにも適用されうる) | 作成・提供・供用について3年以下の懲役または50万円以下の罰金 取得・保管について2年以下の懲役または30万円以下の罰金 |
刑法168条の2、168条の3 |
| 著作権法違反 | 正規のサイトに酷似した偽サイトを作成する行為 | 10年以下の懲役もしくは1000万円以下の罰金またはその両方 | 著作権法119条 |
| 電子計算機使用詐欺罪 | ネットバンキングに不正にアクセスし、別の口座に送金させる行為や、不正に得たログイン情報などを利用してオンラインで電子マネー等を取得する行為 | 10年以下の懲役 | 刑法246条の2 |
| 窃盗罪 | 不正に得たログイン情報などを利用してオンラインで物品を購入して入手する行為 | 10年以下の懲役または50万円以下の罰金 | 刑法235条 |
| 電磁的記録不正作出罪 | 不正に取得したIDとパスワードでオンラインサービスのアカウントにアクセスし、登録情報などを改ざんする行為 | 5年以下の懲役または50万円以下の罰金 | 刑法161条の2 |
この記事は会員限定です。
登録すると続きをお読みいただけます。
このサイトはreCAPTCHAによって保護されており、
Googleの
プライバシーポリシー
と
利用規約
が適用されます。
蔦 大輔
森・濱田松本法律事務所外国法共同事業 弁護士
サイバーセキュリティ、個人情報保護・プライバシー、IT・ICTを主たる取扱分野とする。サイバー攻撃対策として、事前の体制整備等の取組、攻撃を受けてしまった後の被害拡大防止のための事後対応について豊富な知見を有する。元内閣官房内閣サイバーセキュリティセンター(NISC)上席サイバーセキュリティ分析官。慶應義塾大学大学院政策・メディア研究科特任准教授。サイバーセキュリティ法制学会理事。総務省、警察庁、経済産業省などで有識者委員を歴任。近時の著書として、「クロスセクター・サイバーセキュリティ法」(商事法務NBL連載)、『情報刑法I サイバーセキュリティ関連犯罪」(弘文堂、2022年)、『60分でわかる!改正個人情報保護法超入門』(共著、技術評論社、2022年)ほか多数。
舘 貴也
森・濱田松本法律事務所外国法共同事業 弁護士
入所以来、個人情報・セキュリティ・知財・IT分野に取り組む。
UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。
この記事をシェアする
最新情報をフォローする
