FE EXAM

不正アクセス(許可なく侵入する行為)

権限のない者がシステムやデータに許可なく侵入する行為。

DIAGRAM
攻撃者
防御
正規システム
不正アクセス = 権限なしに侵入する行為攻撃者権限を持たない第三者盗んだIDで侵入を試みる侵入防御認証ファイアウォールアクセス制御監視・ログ🛡システム・データ本来は権限者だけが使えるはずの資源主な手口・なりすまし・総当たり攻撃・セキュリティホールの悪用日本では「不正アクセス禁止法」で禁止されている行為
解説

📌
不正アクセスとは

権限のない者が許可なく侵入攻撃者権限なしシステム本来は守られる不正侵入

不正アクセスとは、本来そのシステムやデータを使う権限を持たない者が、許可なく侵入する行為のことです。「アクセス」とはコンピュータやデータに接続して利用することを指します。

たとえば他人のIDとパスワードを使って勝手にログインしたり、本来は外部から入れないはずのサーバに無理やり接続したりするのが不正アクセスです。「許可されていないのに入る」という点が共通しています。

身近な例で考えると、他人の家に勝手に入る不法侵入に似ています。鍵を拾って入っても、窓をこじ開けて入っても、許可なく入れば不法侵入です。上の図解で、攻撃者がさまざまな手口でシステムに侵入しようとする様子を確認してください。

📌
主な手口

不正アクセスにはさまざまな手口があります。代表的なものを整理してみましょう。

手口内容
なりすまし盗んだ他人のID・パスワードでログインする
総当たり攻撃パスワードを片端から試す(ブルートフォース)
セキュリティホールの悪用ソフトウェアの欠陥(弱点)を突いて侵入する
フィッシング偽サイトに誘導してID・パスワードを盗む

これらの手口に対しては、それぞれ対策があります。
なりすまし対策:多要素認証で本人確認を強化する
総当たり対策:失敗が続いたらロックする・複雑なパスワードにする
セキュリティホール対策:ソフトを最新版に更新する
フィッシング対策:URLを確認し、不審なリンクを開かない

とくにセキュリティホール(ソフトウェアの安全上の欠陥)は、見つかったらすぐ修正プログラムが配布されます。更新を放置すると、その穴を狙われて侵入されてしまうため、こまめな更新がとても重要です。

📌
法的措置

不正アクセス禁止法で禁止不正アクセス違法行為罰則懲役・罰金

不正アクセスは犯罪です。日本では「不正アクセス禁止法」(正式名称:不正アクセス行為の禁止等に関する法律)によって禁止されており、違反すると懲役や罰金などの罰則が科されます。

この法律で禁止されている主な行為は次の通りです。
不正アクセス行為:他人のID・パスワードを使った無断ログインや、セキュリティホールを突いた侵入
ID・パスワードの不正取得:他人のログイン情報を盗む行為
不正取得した情報の保管・提供:盗んだ情報を持っていたり他人に渡したりする行為

重要なのは、たとえデータを盗んだり壊したりしなくても、許可なく侵入しただけで違法になるという点です。「ちょっと入ってみただけ」では済まされません。安易な気持ちで他人のアカウントにログインすることも処罰の対象になります。

練習問題

🎯
基本情報技術者 練習問題

Q1.「不正アクセス」の説明として最も適切なものはどれか。
A.権限のない者がシステムやデータに許可なく侵入する行為
B.正規の利用者が自分のアカウントでログインする行為
C.システムを安全に運用するための監視作業
D.データを定期的にバックアップする作業
Q2.不正アクセスの手口として適切でないものはどれか。
A.盗んだIDとパスワードでログインする
B.ソフトウェアのセキュリティホールを突く
C.パスワードを総当たりで試す
D.自分のパスワードを定期的に変更する
Q3.日本において不正アクセス行為を禁止している法律はどれか。
A.不正アクセス禁止法
B.個人情報保護法
C.製造物責任法(PL法)
D.労働基準法

関連コンテンツ