不正アクセスの手口で増えるフィッシング、対策の方向性、警察庁が報告書

　警察庁は、総合セキュリティ対策会議の2010年度報告書「安全・安心で責任あるサイバー市民社会の実現に向けた対策について」を同庁のウェブサイトで公開した。PDFでダウンロードできる。

　2010年度の同会議では、不正アクセスやインターネット上の違法・有害情報への今後の対策のあり方と、サイバー防犯ボランティアの育成をテーマに検討が行われた。

　報告書によると、不正アクセス禁止法が施行されてからの10年間で、ブロードバンドや携帯電話によるインターネットの利用拡大を背景に、不正アクセスに関する相談・検知・検挙数もおおむね増加傾向にあるという。

　その動機もかつての不正アクセス行為そのものや好奇心によるものなどから、金品の不正取得目的へと変わってきたと指摘。また、同法の施行後に新たな手口が出現し問題になっているとし、その1つであるフィッシングは、最近では不正アクセス行為の手口として多数を占めるようになったとの統計も紹介している。

　このほかにも、ID・パスワードを不正入手したり、不正アクセスを行うための新たな手口として、ドライブバイダウンロード攻撃、SQLインジェクション、ブルートフォース攻撃といったものを挙げている。

　ところが不正アクセス禁止法では、不正アクセス行為が成功しない限り処罰できないことを説明。報告書によれば、同法の制定時、フィッシングによるID・パスワード収集は想定していなかった手口であり、収集行為そのものを直接取り締まることができない（他人のID・パスワードを無断で第三者に提供する行為は、不正アクセスを助長する行為として現行法でも禁止されている）。現在、フィッシング行為の立件には苦慮しており、フィッシングサイトのデザインによっては著作権法違反など別の法律を適用している状況だ。

　一方で、実際に企業が不正アクセス行為を受けると、不正アクセス禁止法で対処できるものの、摘発までの間にも個人情報が流出してしまうなど甚大な被害につながる。

　そこで報告書では不正アクセス対策の今後のあり方について、不正アクセス行為に対して「電気通信に関する他の犯罪との均衡も勘案しつつ、法の罰則の法定刑の引き上げについて検討する必要がある」としている。また、フィッシングなどによって他人のID・パスワードを不正に取得する行為を防止する方策も必要だとして、アクセス管理者による防御措置の強化も求めている。