特集2016年12月20日更新

個人や企業を脅かす不正アクセス特集

ここ数年、報道を目にすることが増えた「不正アクセス」のニュース。その規模は個人や企業レベルにとどまらず、時として国家レベルにまで広がっています。最近の不正アクセスの事例や、犯行パターン、また不正アクセスを防ぐにはどうすればいいか?などをまとめてみました。

最新ニュース

放送大迷惑メール、不正アクセスされ14万回超

読売新聞 / 2017年12月14日 11時27分

 放送大学(本部・千葉市)は13日、同大のウェブシステムを運用するためのアカウントが第三者に不正利用され、今年10月27日~11月8日、大学のメールサーバー経由で計14万3000回、迷惑メールが送信されていたと発表した。  同大のアカウントが不正利用されるのは、今年2度目で、「ご迷惑をおかけし申し訳ない」と謝罪している。 [全文を読む]

最近の主な不正アクセス事例

米ヤフー、不正アクセスで過去最大10億人の情報流出

米検索大手ヤフーは14日、10億人を超える利用者のアカウントに関連する個人情報が流出したと発表した。同社では今年9月にも5億人分の利用者の情報流出が表面化したが、今回は別件とみられる。米メディアによると、個人情報流出では過去最大規模となる。

 同社によると、2013年8月に「権限のない第三者」が不正に侵入し、氏名、メールアドレス、電話番号、誕生日、パスワード、本人確認に使う質問など、利用者の個人情報を盗んだという。クレジットカードや銀行口座の流出は確認されていない。

今年9月にも5億人分の情報流出を発表

米インターネット大手のヤフーは、2014年にサイバー攻撃を受け、少なくとも5億人分の個人情報が流出したと、2016年9月22日(現地時間)に発表した。米メディアによると、個人情報の流出では過去最大級になるという。

Yahoo!JAPANは「基本的には影響なし」

 米Yahoo!が12月14日(現地時間)、過去に受けたサイバー攻撃で10億人以上のユーザーの個人情報が盗まれていたと発表した件について、「Yahoo!JAPAN」を運営する日本のヤフーは、「現時点では影響はない」とコメントした。

 米Yahoo!とYahoo!JAPANはシステムやサービスが異なるため、米Yahoo!の流出は、Yahoo!JAPANには「基本的には影響しない」という。

資生堂子会社イプサ、42万人分流出の可能性

 資生堂は12月2日、同社の子会社で、化粧品を販売するイプサの公式オンラインショップがシステム上の脆弱性を突かれて不正アクセスを受け、約42万人分の個人情報が流出した可能性があると発表した。最大5万6000件のクレジットカード情報が漏れた恐れもあるという。

JTB、約793万人分の個人情報流出か

株式会社ジェイティービーは2016年6月14日、グループ会社である株式会社i.JTBのサーバーに、外部からの不正アクセスがあり、個人情報が一部流出した可能性があることを明らかにした。

巧妙な「偽メール」でウイルスに

 今回のJTBの事故でも、巧妙な標的型攻撃メールがJTB社員に送られていた。メールの内容を再現してみよう。以下は、JTB広報室の発表に基づき筆者が再現したもの。

・タイトル:航空券控え 添付のご連絡
・送信元:●●航空 aaaaaa@●●●.co.jp
・本文:お世話になっております。eチケットを送付しますのでご確認下さい。●●航空 担当者名
・添付ファイル:E-TKT控え.pdf

 とても巧妙な偽メールである。航空券のeチケット(オンライン発行での航空券)を確認のために送る、という内容で、JTBの社員は信じて添付ファイルを開いてしまった。旅行会社なのだから、航空券の確認が航空会社の関連会社から来たら、開いてしまっても不思議ではない。

ハイアットホテル、客のクレジットカード番号などが盗まれた可能性

 世界的な高級ホテルチェーン・ハイアットで、レジ決済時にクレジットカード情報を抜き取るマルウェア(コンピュータウイルス)が発見された。日本のハイアットリージェンシー箱根リゾート&スパ、ハイアットリージェンシー京都、パークハイアット東京、アンダーズ東京の4拠点も被害に遭っており、クレジットカード番号・セキュリティコードなどが盗み取られた可能性が高い。

佐賀県の教育情報システム、17歳少年に21万件のデータを不正取得される

佐賀県教育委員会の教育情報システム「SEI-Net」等に不正アクセスしたとして、17歳の少年が逮捕されました。
少年は生徒の個人情報や成績表など、21万件のデータファイルを不正に取得して自分のPCに保存していました。
今年1月に警視庁が別件の容疑で少年のPCを押収したところ、生徒の個人情報や成績表など約21万件のデータファイルを発見し、事件が発覚しました。

防衛省、サイバー攻撃で自衛隊内部情報流出か

 防衛省と自衛隊の情報基盤がサイバー攻撃を受け、陸上自衛隊のシステムに侵入されていたことが分かった――共同通信が配信したこんな記事が、11月28日付けの中日新聞などに掲載された。陸自の内部情報が流出した可能性が高いという。

アダルトサイトで4億件の会員情報が漏えい

アダルトサイトを運営するAdultFriendFinderのサーバが10月、ハッキング被害に遭い、合計で4億1,200万件以上のアカウントからメールアドレスやパスワード、その他の情報が流出している。
情報サイトLeakedSourceによると、そのうち3億4,000万件の個人情報はセックスの相手探しに用いられるAdultFriendFinder のもの。

米海軍の兵士情報13万人分が流出

 発表によると、HPESから海軍に対して10月27日に、HPESの従業員が海軍との契約のために使っている同社のノートPCが不正侵入されたという連絡があった。
 HPESと海軍の犯罪捜査部門が調べたところ、海軍兵および元兵士13万4386人の氏名や社会保障番号などの個人情報が何者かに不正アクセスされていたことが分かったという。

狙われる芸能人の個人情報

日経社員が押切もえら芸能人の個人情報のぞき見

逮捕容疑は14年12月に、押切もえさんのスマートフォンに、入手した携帯電話番号と、SNSから得た情報や個人情報からパスワードを類推し不正にアクセス。メールや写真などを盗み見たという。また15年10月~16年4月には、元NMB48の渡辺美優紀さん(23)ら3人にも同様の行為をした疑いがあると報じられている。

被害にあった元NMB渡辺は以前、twitterへの不正アクセス被害を訴えていた

 渡辺はツイッターで「ツイッター乗っ取ろうとしてる人やめてください笑」とツイート。依頼していないのに、パスワードのリセット依頼があった際の確認メールが何度も届くことを明かした。本人に心当たりがない場合、アカウントを乗っ取ろうとしている人がいることは確実で、渡辺も「犯罪はやめましょうね」と、乗っ取り犯に警告を促した。また「パスワードめっちゃ難しくしとかなきゃ」「ニュースとかでも乗っ取りについてやってたから怖いね」と呟いた。

長澤まさみ、武井咲、北川景子らのFB、iCloudをのぞき見

 5月18日、警視庁サイバー犯罪対策課が不正アクセス禁止法違反容疑で長崎県大村市の男を逮捕。警察の捜査によれば、男はパソコンを使ったハッキングにより、女性芸能人たちのプライベート写真を盗み見していたのだという。

 ハッキングの被害者には、長澤、武井のほか、北川景子、紗栄子といった有名女性芸能人の名前がズラリ。犯人はパスワードを類推して、彼女たちのフェイスブックや写真保存サービスにログインし、本人しか閲覧できない写真にアクセスしていたのである。

男には懲役2年6カ月、執行猶予4年の有罪判決

平手健太郎裁判官は、女性芸能人の性的な写真が見られるかもしれないと考えた被告人の動機について、「酌量の余地はない」と指摘。一方で画像の流出が確認できなかったことなどから、執行猶予つきの判決がふさわしいと判断した。

判決によると、金子被告人は2014年8月から2015年11月にかけて、女性芸能人や一般女性など計7人のフェイスブックやアップルのクラウドサービス「iCloud」‎に、合計238回の不正ログインした。

岐阜県庁職員が女性アイドルらのSNSをのぞき見

岐阜県庁職員で40代の男が不正アクセス禁止法違反などの疑いで、神奈川県警に逮捕された事件が報道された。男は女性アイドルの生年月日などからメールやSNSのIDやパスワードをつきとめて、不正にアクセスして覗き見した疑いがあり、被害にあった女性は100人以上と見られている。

海外でも芸能人・セレブの被害が多発

2014年にセレブたちがiCloudに保存していたプライベート写真をハッカーが不正アクセスしてインターネットに流出させた事件はジェニファー・ローレンス、ケイト・アプトン、ヴァネッサ・ハジェンス、キルステン・ダンストなど多くのセレブたちを震撼させた。特にオスカー女優となっていたジェニファーは、自分のあられもない姿ばかりか、明らかに行為中のかなりきわどい写真が多数あり、それらがすべて衆人の目にさらされることに。

「不正アクセス」になるのは、どんな行為?

そもそも、「不正アクセス」とは?

「まず、他人のIDとパスワードを使って、サーバなどにログインする行為は『不正アクセス行為の禁止等に関する法律』(不正アクセス禁止法)における『不正アクセス』にあたります。これは3年以下の懲役または100万円以下の罰金となります。

不正アクセスというと、ハッキングなど大げさな犯罪を想像されるかも知れませんが、たとえば友人のIDとパスワードを勝手に使って、不正にサーバにアクセスしてメールを盗み見る等の行為もこれにあたります」

不正アクセスでネットのポイントを盗んだらどんな罪に?

不正アクセスをしたうえで、他人のネット上の『ポイント』を盗んだらどうか?

「他人のポイントを不正に『盗む』行為は、刑法の『電子計算機使用詐欺罪』にあたります。この場合の法定刑は、10年以下の懲役になります。

実は、似たケースでは、他人のクレジットカード情報を使って電子マネーを取得した行為がこの電子計算機使用詐欺罪にあたるか、ということが裁判で最高裁まで争われたことがあります」

不正アクセスでゲームのアイテムを盗まれたら?

不正アクセスでゲームのアイテムを盗まれた場合、その損害の賠償を求めることが可能かどうかを清水陽平弁護士に伺った。

「パスワードがあるにもかかわらず、勝手にアクセスすれば不正アクセスとなります。不正アクセス禁止法はあくまで不正アクセスをしてはいけないということを定めているだけであり、個人の権利として認めているわけではありません。そのため、不正アクセスをされたということが、直接損害賠償請求の根拠となるわけではありません」
不正アクセスされたことによる損害については、泣き寝入りとなるのだろうか。

「不正にアクセスされることで精神的なショックや、アイテムを盗まれる等があればそれに関する精神的負担等があり得るので、それについての損害賠償(慰謝料)を求めることができる余地があります」

彼氏のスマホをのぞき見するのは罪になる?!

浮気を疑ったとき、彼のスマホをこっそりチェックしたことがあるという女性も多いのでは? しかしこれは

<不正アクセス行為の禁止等に関する法律 3年以下の懲役または100万円以下の罰金>

となる可能性があるそう。
「不正アクセス禁止法というと、なんだかコンピュータをいくつも駆使してハッキングをするようなイメージですが、SNSやクラウドメールなど、通常パスワードやIDを入力しなければ見られないようなものを勝手に閲覧した場合も、この法律に違反する可能性が高いのです」

では、パスワードを設定していないうっかり彼氏さんの場合はどうですか?

「データにアクセスするのにパスワードを必要としない、写真や電話帳などは不正アクセス禁止法違反とはなりません。ただし、プライバシーの侵害として慰謝料請求される可能性もあります。いくら彼の浮気を疑っていても、勝手にスマホを見るのはやめておくべきです」

夫のLINEを勝手に見たら?

夫婦であれ他人であれ、相手のログインIDやパスワードを勝手に使ってネットワークに接続してメールやSNSを見ると、不正アクセス行為にあたります。この場合、「不正アクセス行為の禁止等に関する法律」により3年以下の懲役または100万円以下の罰金に処せられる可能性があるので、注意してください。

「スマホメールの盗み見」どんな場合に罪になる?

電子メールを盗み見ることが、犯罪になることもあります。例えば、「配偶者のIDとパスワードを何らかの方法で取得してメールサービスにログインし、電子メールを盗み見る」といった行為は、「不正アクセス禁止法」に違反する場合があります。

ただし、パソコン自体にかかっているロックを外して、パソコン内のメールボックスに保存されたメールを見たような場合は、同法の対象とはなりません。携帯電話やスマホのロックを外してメールを見た場合も同様です。

他人のPC閲覧、アウトなのは?

 隣の席の部下が席にいない時に、こっそり入手したパスワードを入力し、部下のPCのメールを盗み見たら、犯罪になるのだろうか。

「不正アクセス禁止法では、インターネットやLANなど『電気通信回線』を通じて、認証を回避するなどの行為を禁止しているので、直接PCや携帯を操作して情報入手する行為には適用されません。ただし、アクセスするために『他人の識別符号(パスワード等)を入手する行為』が処罰の対象になり、法定刑は1年以下の懲役、又は50万円以下の罰金です」

 情報を盗み見ることではなく、パスワードをこっそり入手する行為のほうが犯罪になるのだ。

会社のPCでウィルス感染、情報流出したら…

会社のPCでポルノサイトを閲覧していてウイルスに感染し、会社の機密情報を漏らしてしまった。

 業務と関係のない行為が原因で会社の重大情報を漏らしてしまった場合、処罰されるのか。

「そういった行為を直接処罰する法律はありませんが、民事上の問題にはなりえます。本人の過失が認められれば、会社から損害賠償を求められますし、取引先と秘密保持契約を結んでいる情報が漏れれば、取引先から訴えられることもあります」

週刊文春に流出したベッキーのLINEは「不正アクセス」では?

LINE流出の原因については、様々な説が唱えられている。中でも有力なのは、「iPhoneのクローンを作った」という説だ。簡単に言うと、川谷のiPhoneをパソコンにつないでバックアップを取り、別のiPhoneで復元する。すると当事者に気づかれずに第三者がリアルタイムで本人のLINEをチェックできるという方法だ。

しかし、iPhone所有者の同意を得ていなければ、当然、これは違法。

少なくともプライバシーの侵害の可能性は高い

「人には基本的に、私生活上の秘密にしておきたい事柄をみだりに公開されない権利があります。ベッキーの場合、男女間のやり取りという知られたくないことを雑誌で公開されたので、プライバシーを侵害されたことになる。特に今回は、公開を予定していない『私信』であるLINEの文面が画像としてそのまま公開されました。過去には私信の手紙が勝手に書籍や雑誌に掲載されたことが、裁判所によってプライバシー侵害と判断されたことがあり、今回も同様と考えられます。

芸能人はつねに注目される存在であり、路上で抱き合ったとかホテルから一緒に出てきたというように、公道上でやっている場合はプライバシー権を放棄しているという見解もありますが、LINEは公開していないものなのでプライバシー侵害である可能性が高い」(前出・伊倉弁護士)

推測されている「別のスマホでログイン」方法は…

「ます、『他のスマートフォン端末によるアクセス』ですが、この方法はiPhoneをiTunesでバックアップし、別のiPhoneにバックアップデータを展開した後、元のiPhoneのLINEアカウントでログインすることによるという方法のようです。

この方法については、別のiPhoneに元のiPhoneのLINEアカウントでログインすることになるので、不正アクセス禁止法に抵触しないかどうかが問題になります。

不正アクセス禁止法は、簡単に言うと、第三者のID、パスワード等を利用してログイン等をすることを禁止しています。そうすると、これに抵触するように見えます。

しかし、不正アクセス禁止法が禁止するのは単なるアクセスではなく、あくまで電気通信回線に接続し、その電気通信回線を通じて行われるものに限られるとされています。

別のiPhoneに元のiPhoneのLINEアカウントでログインするのは、バックアップされた情報を読み込むために必要なだけで、電気通信回線に接続している必要はないと思われます。

したがって、この行為は不正アクセス禁止法に抵触するものではないといえそうです」
不正アクセス禁止法に抵触するためには、勝手にログイン情報等を利用してログインすることが必要です。
しかし、LINEはログインなどのステップを経ずにアクセスできてしまう仕様になっています。そうすると、不正アクセス行為とは言えないのではないかと考えることができます。

しかし、一方で、自動で認証がされているに過ぎず、不正アクセス行為にあたるという考え方もあります。ログイン情報を手入力することが必ずしも必要とされるものではないため、法的には不正アクセス禁止法に抵触する可能性があると思います。

もっとも、これで実際に摘発されたという例は聞きません。

一方で「不正アクセスに当たる」という声も

不正アクセス禁止法に抵触するためには、勝手にログイン情報等を利用してログインすることが必要ですが、実態として、LINEは最初に認証すると、あとはログインなどのステップを経ずにアクセスできてしまいます。そのため、不正アクセス行為には当たらないという考え方があります。

しかし、一方で、自動で認証がされているだけであるから、不正アクセス行為にあたるという考え方もあります。

これで実際に摘発されたという例は聞きませんが、法的には一応問題になり得る点です

不正アクセスを防ぐには

パスワードにひと工夫を

では被害を防ぐためには、どうすれば良いのだろうか?

「まずIDやパスワードを長いもの、推測されづらいものにすることです。ひと工夫も大事で、例えばニックネームが あきちゃん だったとしたら、《akichan》ではなく、ひっくり返して《nahcika》にするだけでも、かなり推測が難しくなります」
「実は不正アクセスの痕跡があるにも関わらず、見落としてしまっているケースも多いようです。例えばフェイスブックですと、いつもと違うスマホやパソコンからログインされると、その旨がメールされてきます。実は他人がアクセスしている可能性もあるので注意が必要です」

複数サービスで「同じIDとパスワード」は危険

単純すぎるパスワード、使い回しのパスワード等、他のサービスから流出したリスト等によって不正アクセスを可能とさせてしまっているとのことだが、対策は難しいことではない。
それはパスワードの強化と使い回しをやめることである。具体的には「IDと似たようなパスワードを使用しない」や「推測できてしまう程度のパスワードを控える」などがある。

自分のメアドが流出していないかわかるサービス

自分のメールアドレスが漏洩していないかチェックできるWebサイト「Have I Been Pwned?」が話題になっています。このサイトでは過去にメールアドレス流出を起こしたオンラインサービスのデータが登録されていて、自分のメールアドレスを入力することで漏えいの有無をチェックすることができます。

「安全なパスワード」を作るポイント

同社では、安全なパスワードを作るポイントとして、次のことを挙げる。

・8桁以上にすること
・大文字、小文字、記号、数字を組み合わせること
・「123456」「password」「qwerty」「111111」などよく使われる文字列や数列を使わないこと
・使い回しせず、アカウントごとに定期的に変更すること
・誕生日や名前、家族やペットの名前など、自分に関連付けられる数字や言葉を使わないこと
・「パスワードジェネレーター」のようなパスワード作成サービスを使用すること。

「自分のメールは流出している」と思ったほうがいい

あちこちの大手サービスが大規模な情報漏えいを起こしているので、普通にネットを使っている人であれば、メアドとそのパスワードは漏えいしていると考えていい。そのため、パスワードのきちんとした運用が重要になる。耳にタコができるかもしれないが、すべてのサービスでパスワードは変えることを肝に銘じてほしい。
 現金の被害が発生しても被害者だからなんとかなる、と思わないこと。多くのケースで泣き寝入りするしかないので、自分のアカウントは自分で守ること。

実はリスク大きい?「秘密の質問」

 実は、この「秘密の質問」はセキュリティとしてはリスクが大きい。パスワードがわからなくても、その人のメールアドレスと「秘密の質問」の回答がわかれば、誰でも不正アクセスできてしまうからだ。「好きな食べ物は?」や「お母さんの旧姓は?」といった項目を登録したことがある人は多いだろう。SNSや各種のコミュニケーションツールに登録していると、母親の旧姓がバレる可能性が出てくる。
 もし「秘密の質問」を登録しているウェブサービスがあるなら、チェックすることをお勧めする。可能であれば、「秘密の質問」は削除してしまおう。携帯電話番号やSMS、メールアドレスで認証する方法を選んだほうがいい。「秘密の質問」が必須の場合は、絶対に推測されない回答にしよう。好きな食べ物なら今までで一番まずかったものとか、母親の旧姓なら初恋の人の名字とか、SNSで公開していない情報にしておくといいだろう。

安全な「秘密の質問」は…

もっと簡単で安全な方法を情報処理推進機構(IPA)が提案している。

 ここで紹介されているのは、回答の後ろに自分の好きなフレーズを付け加えるという方法だ。例えば、「好きなくだもの」という質問に対する「みかん」との回答を「みかんカモしれない」とするものだ。この「カモしれない」のように、自分だけの秘密の鍵をつくることで、他サービスで「母の旧姓」に対し「前田カモしれない」などと応用できる。このように、質問には正確に答えつつ、自分なりにアレンジした言葉を付け加えることで見破られにくい方法を編み出してほしい。

警察庁の調べによると、昨年の不正アクセスに関する検挙された件数、人数ともに平成12年以来、最多の数字になっているのだそうです。個人レベルで気をつけるとしたら、最後の項目で触れたとおり、パスワードを使いまわしたり、安易なものにしないようにしたり、まめに変更する、のが一番でしょうか。ちなみに昨年一番多かったパスワードは「123456」だそうで…一番ダメですね。
もし、仮に不正アクセスについて相談したいことがあったら…警視庁の「生活安全部サイバー犯罪対策課」などに相談するのがいいようです。