| 他人の ID やパスワードの使用などを規制する不正アクセス禁止法について、「なりすまし」等の不正な手段を用いて ID やパスワードなどの情報を取得する行為を罰する改正案が 2012年3月30日に可決、成立しました。 |
「phishing(フィッシング)」は実在する組織のメールや Webサイトなどに偽装してユーザをだまし、ID やパスワードなどのアカウント情報、暗証番号など個人を識別できる情報を盗みとる攻撃と定義されています。日本の法規制においてフィッシング行為を取り締まる「不正アクセス禁止法」では、不正に入手した ID やパスワードなどの情報を使用して本人になりすます行為を処罰対象としていたものの、情報の入手や、情報を第三者に提供する行為は規制の対象とされていませんでした。
2009年以降、日本国内においてフィッシングによる金銭詐取や情報流出の被害が顕在化しています。フィッシングを含むサイバー犯罪においては、犯罪用の Webサイトやメールを作成する人間と、それらを使って情報を不正に入手する人間、得た情報を使って犯罪行為を行う人間が分かれるなど、攻撃者側の分業化・組織化が行われている現状があります。これらを背景に、今回の法改正においては実在する企業・組織・サービスを装った「なりすまし」Webサイトの設置行為などを規制するとともに、それらの行為を通じて不正に ID やパスワードなどのアカウント情報、暗証番号など個人を識別できる情報を入手・提供することを取り締まりの対象に加えています。
過去のフィッシング関連の摘発においては、実在するポータルサイトを模倣したWebサイトを開設した大阪府の男性を著作権法違反などの疑いで逮捕した事例(2005年6月)や、大手オークションサイトの偽サイトを開設してユーザからだまし取った ID やパスワードによって詐欺行為を行った千葉県の男性を不正アクセス禁止法違反及び詐欺の容疑で逮捕した事例がありました(2006年2月)。
今回改正となった不正アクセス禁止法が施行されることにより、不正なアクセスの前段階にあたる、偽サイトの開設という行為から規制することが可能になります。
トレンドマイクロは今回の法改正が被害発生の抑止に貢献できるという点において評価しています。
しかし、法改正がされたことによってフィッシング犯罪が根絶されるわけではないため、ユーザは継続して注意し、ID やパスワードの使い回しをしない、定期的な変更を行うなどの対策の必要があります。
フィッシングメールの受信を防止する「E-mailレピュテーション」やメールコンテンツ検索技術、またフィッシングサイトへのアクセスを防止する「Webレピュテーション」など、トレンドマイクロでは様々な技術をユーザに対して既に提供していますが、今後攻撃手法の進化に合わせて継続して最新の対策を随時提供してまいります。
・「これで忘れない、盗ませない! 安心のパスワード管理術」
http://is702.jp/special/882/
・「セキュリティ教本 パスワード」
http://is702.jp/column/542/
・「最新スマートフォン特集」
http://is702.jp/special/991/partner/155_m/