不正アクセスとは?
不正アクセスとはコンピュータあるいはサーバに、正規以外または管理者が想定していない方法でアクセスすることを指します。一般的な手口としては、
・ID/パスワードを不正に搾取してログインを試みる
・対象周辺にあるソフトウェアのセキュリティホールを利用してアクセスを試みる
という2つがあります。
その目的は主に、データの取得、侵入したサーバを不安定にして業務を妨害する、侵入先を踏み台にして不正行為を働く、などがあります。実際にこういった目的が遂行されなくても、悪意を持ってアクセスを試みたら不正アクセスとみなされます。
逆に故意ではなく過失で管理者画面にアクセスする、悪意を持って管理者画面まで行ったもののそこでやめた場合は、不正アクセスを問われることはありません。
判例からみる不正アクセスの定義とは?
何が不正アクセスなのかを定義づけた裁判として、ACCS裁判というものがあります。これはホームページのアドレスを書き換えることのみによって、内部の情報を不正に入手し公開した事件の裁判です。
この裁判で焦点になったのは、不正に入手したID/パスワードを利用したわけでもなく、サイトのアドレスを命令文に書き換えたのみで不正アクセスになるのか、というところです。最終的にこれは、ソフトウェアのセキュリティホールを利用した不正アクセスだ、との判決が下りました。この裁判においてID/パスワードを不正利用せずとも管理者が想定していない方法でアクセスすれば不正アクセスになる、ということが周知されました。
不正アクセスを禁じている法律
この不正アクセスを禁じている「不正アクセス行為の禁止等に関する法律」によれば、不正アクセスは電気回線を使用した場合と記されています。例えば携帯電話の中にあるデータを盗み見ようと本体のパスワード認証を解く行為は「不正アクセス」とは言いません。もっともプライバシーの侵害等、別の問題にはなりますが。
最後に
ちなみにこの「不正アクセス行為の禁止等に関する法律」の8条には、管理者は不正アクセスが行われないような措置をしっかりとらなければならないとも記されています。罰則はありませんが、システムを管理する側が対策しておくことも必要です。そのためにもID/パスワードの管理やシステムの脆弱性には細心の注意を払い、こまめなアップデートを心がけましょう。