お問い合せ(メールフォーム24時間対応)
TEL:03-6435-9560(平日休日問わず9時から21時まで対応)
このボタンで電話
初回相談は無料です実績豊富な弁護士が今すぐあなたのお力になります
i@atlaw.jp 直接メールでのお問い合せも承ります

不正アクセスとは

まずは,事実上の不正アクセスについて解説します。事実上というのは,規制法として「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」があり,これに,法律上つまり刑罰の科される不正アクセス行為が定義されいるからです。

ここでは,不正アクセスとは,あるコンピューターに対して不正な命令を送るなどの方法で,本来そのコンピューターやその管理者が意図しない動作をさせる,とおおまかに定義します。

なお,ハッキングという言葉を不正アクセスという意味で,ハッカーをそれをする人,という意味で用いる事がありますが,本来はコンピューターに関する高度の開発・研究行為と,それをする人という意味です。ですから,これらについては,それぞれ,クラッキング・クラッカーという言葉をあてるべきであるという言説があります。

不正アクセスと法規制

不正アクセスの概念について,あるコンピューターに対して不正な命令を送るなどの方法で,本来そのコンピューターやその管理者が意図しない動作をさせる,と定義すると,不正アクセスには,不正アクセス禁止法の他,刑法の適用もあるということになります。

適用の可能性があるのは,

  • 不正アクセス及びその助長行為等(不正アクセス禁止法3条・11条,4条ないし7条・12条)
  • 電子計算機損壊等業務妨害(刑法234条の2)

となります。後者は,いわゆる業務妨害の特則で,コンピューターを使って行う業務について,特に刑罰を加重したものです。

ここでは,前者について解説します。というのも,後者については「結果」つまり業務妨害の危険が生じる(現実に業務が妨害される必要まではありません。)ことが要件となっています。ここでの問題は,不正アクセスという手段ではなくて結果であり,もっぱらコンピューターを対象にした「業務妨害」を問題にしているからに過ぎないからです。

逆に,不正アクセス禁止法は,不正アクセス行為という手段そのものを禁止しており,何らのデータ損壊がなくても,アクセス時点で犯罪が成立します。ここに,電子計算機損壊等業務妨害との大きな違いがあります。

法律上の不正アクセスとは何か

不正アクセス禁止法は,「不正アクセス行為」を禁止し(3条),その定義について,2条4項各号で以下のとおり定めています。

  • 1号:アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
  • 2号:アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
  • 3号:電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為

これだけでは分からないと思いますので,概略を説明します。

まず,前提ですが,不正アクセス禁止法は,ネットワーク上で利用されるコンピューター(の機能)に対する,ネットワークを介した行為のみを対象としています(2条)。

最初に1号についてですが,これは,要するに,パスワードがかかっている(パスワードにより保護されている。)コンピュータに,正当な権限がないのにパスワードを入力してするアクセスが不正アクセス行為であると定めています。また,ネットワークを介した行為のみが問題にされていますので,たとえば,Windowsのロック画面にパスワード入れてロック解除をしたりするだけでは,この問題にはなりません。

次に第2号について,これも概ね1号と同じく,パスワードがかかっているコンピューターに,権限無くアクセスする行為は不正アクセス行為になるとしています。しかし,1号と異なり,パスワードを入力するという方法ではなく,パスワード以外の情報や指令の入力により行うことを想定しています。たとえば,バッファーオーバーランなどで誤作動させる,ファイルサーバーが利用するディレクトリに,ウェブサーバーを利用してアクセスする行為などが該当することになります。

最後に第3号は,第2号と同じくパスワード以外の方法でアクセスする行為を禁じていますが,他のコンピューターにより保護されているコンピューターに対する不正アクセスを定めています。具体的には,あるサービスについてAコンピューターの認証を通過したコンピューターだけがBコンピューターと接続してサービスを利用できる場合において,Aではなく,直接にBにアクセスする方法で,Aの認証無くして不正アクセスを行う場合を想定しています。

どのような行為が不正アクセスになるのか

典型的には,パスワードを入力しないと入れないページに,パスワードを入力してアクセスする行為は,これに該当するでしょう。

なお,パスワードという言葉を使っていますが,法律上は,「特定符合」とされており,その定義は,「当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号(2条2項1号)」となっています(他にもありますが省略します。)。

そうなると,IDのみの入力が要求される場面では,原則としてこれにあたりません。たとえば,メールアドレスとIDが共通である場合には「みだりに第三者に知らせてはならないもの」とはいえませんので,これにあたりません。

逆に,そのIDが,一般に知らされないものである場合,たとえば,そこにアクセスするものが一定の組織の一定のメンバーに限られているというような場合には,IDだけであっても,それを入力してアクセスする行為は,不正アクセス行為になる可能性があります。

不正アクセスを試みる行為は処罰されるのか

これについては,不正アクセス禁止法は未遂処罰規定がありませんので,処罰されないこととなります。

ただ,不正アクセス禁止法は,不正アクセス行為そのものを処罰しているので,たとえば,不正アクセスをして秘密のデータにアクセスできる「状態」になれば,現実にそのデータをダウンロードしたりしなくても,不正アクセス行為は成立します。

また,これは,あくまで刑事上の問題,しかも不正アクセス禁止法だけの問題ですので,たとえば,バッファーオーバーランを起こさせたが,アクセスに失敗したり,パスワードリセットを要請してメールを送信させたりする行為は,電子計算機損壊等業務妨害の既遂ないし未遂になる可能性は十分にあります。また,民事上の賠償責任の生じる余地もあります。

一般公開されていないページを表示する行為は不正アクセスとなるのか

たとえば,あるウェブサイトにおいて一般公開されていないページがあったとします。

このページのURLを管理者から知らされているのは特定の人だけで,管理者は他の人にはURLを教えないようにと指示されており,一般にURLは公開されていないとします。

これは,条文からは明らかではないので解釈問題となりますが,不正アクセス行為となる可能性はあるがかなり微妙なところだとおもいます。

法律上,おおざっぱに言えば「①識別符合を入力して②機能制限を解除する」行為が,不正アクセス行為となります。

ウェブサーバーに接続してページを閲覧する際,サーバーにはURLが送信され,それ二対してサーバーがページのデータを返信するという一連の動作が行われます。そうすると,一般公開されていないURLはいわば一種の識別符合にあたるものと解釈できる余地はあります。ですから,アクセス自体はURLという識別符合を送信している,とも解釈できます。

しかしながら,ウェブサーバー自体は一般公衆に向けてアクセスを許しているものである以上は,機能制限があると直ちに考えることは困難です。たしかに,URLを入力しないとデータを得ることはできないわけですから,そういう意味で機能制限はあるとみることもできます。ただ,そもそもURLを指定されてアクセスされた場合,そのデータを送るというのがウェブサーバーの本来の動作なのですから,ここに機能制限を見いだすことはなかなか難しい面もあると思います。

同様の問題は,ディレクトリに対してアクセスをし,内部の「現にリンクされたり,使用されていないファイルないしその一覧」を取得する行為にもあると思われます。

脆弱あるいは設定にミスのあるコンピューターに対して
その問題に乗じてアクセスする行為は
不正アクセスとなるのか

セキュリティ設定がしっかりしていないコンピューターはいくらでもありますし,しっかりしていたとしても全く何らの問題のない完全無欠な設定というのは存在しません。

それでは,設定に問題があるコンピューターに対して,それに乗じてするアクセスは不正アクセス行為にあたるのでしょうか。

まず,法律上,不正アクセス禁止法は,対象となるコンピューターをアクセス制御機能つまり一定のユーザー限定で公開している機能があるコンピューターとしています(2条3項等)。

ですから,セキュリティの設定が脆弱であってもアクセス制御機能がある限りは,不正アクセス禁止法の保護を受けますし,不正アクセス行為が処罰されるのが原則となります。

これは,いうなれば,簡単にピッキングで開けられるドアであっても,それを外して侵入する行為は犯罪になる,というものです。

アクセス制御されているサービスを避けて
いわば裏口からアクセスをする行為であっても不正アクセス行為になるのか

たとえば,実際にあった例(ここでは簡略化します。)ですが,秘密のデータがあり,そのデータにアクセスするためにはFTP経由でアクセスするしかないのですが,HTTP経由で,一定の操作をするとアクセスできてしまう,という場合を想定します。

これに関する裁判例によれば,あくまで,個別事例について判断をしたに過ぎませんが,

プログラムの瑕疵や設定上の不備があるため,識別符号を入力する以外の方法によってもこれを入力したときと同じ特定利用ができることをもって,直ちに識別符号の入力により特定利用の制限を解除する機能がアクセス制御機能に該当しなくなるわけではない

という判断が為されています(平成17年3月25日東京地裁判決判例タイムズ1213号314頁)。

これは,どういう意味かというと,簡単に言えば「設定のミスのせいで(HTTPでは)パスワードなしでもアクセスができる場合であっても,(FTPについてはパスワードがないとアクセスできない以上は)アクセス制御されたコンピューターである。(だから,不正アクセス行為になる。)」という意味です(括弧書きは事例の事情を補充しました。)。

 

不正アクセスをして問題を指摘する行為は犯罪か

先ほどの裁判例で問題にされた行為です。

問題とされた問題指摘行為は,公の場で,問題のサーバーの管理者に知らせずに行われたものです

これについて同裁判例は,

事前に**会等に脆弱性の報告をせず,修正の機会を与えないまま,これを公表したことは,被告人の手法をまねて攻撃するという危険性を高めるものであったというほかなく,被告人の本件各アクセス行為はそのような形で公表することを目的としてなされたものであって,正常な問題指摘活動の限界をはるかに超えるものであり,正常な活動の一環であったとは到底認めらない

と判断しており,犯罪の成立は妨げられないとしています。

これについて,サイバーノーガード戦法などと揶揄する向きもありますが,そもそも戸締まりがちゃんとしていないからといって,その家に上がり込み,しかも,上がり込んだ後で,侵入の仕方を公表するようなものですから,正当化できないといわれても仕方が無いと思われます。

まとめ

不正アクセス禁止法は,不正アクセス行為について,ある程度の限定は付していますが,セキュリティホール攻撃一般を処罰していること,また,上記の裁判例がアクセス制御の概念について,広めの解釈をとっているため,適用範囲が非常に広くなっています。

事業活動との関係では,セキュリティに気をつけましょう,ということ以上の問題はありませんが,興味本位や,誤った法解釈や身勝手な倫理観で違法な行動をとると,思わぬ責任追及を為されることもありますので,注意が必要でしょう。

なお,当然のことですが,取り上げた裁判例の事例についての記述は,公刊された判例雑誌登載の判決文すなわち裁判所が判決で認定した事実を基にしており,筆者の事実認定に関する見解を明らかにするものではありません。

IT法務.jpでは,不正アクセスに関する紛争について,民事刑事の両面について,行為者・被害者の双方からご相談を承っています。まずはお問い合わせ下さい

(平成24年12月8日 弁護士 深澤諭史-なお,免責事項もお読み下さい