ここでは、「サイバー犯罪」の種類と関連する法規制について見ていきます。
サイバー犯罪
まずはじめに、サイバー犯罪には以下の特徴があるとされています。
・匿名性が高い
ネットワークだけのやり取りであれば,相手の名前はもちろん,年齢も性別も分からない事が多いかと思います。
・痕跡が残りにくい
ネットワーク上で活動した痕跡は,システムの使用履歴(ログ)等の電子データのみであり,紙や指紋のような物理的証拠は残りません。
・不特定多数が被害を受ける
ネットワーク上のサーバなどがサイバー犯罪の目標になると,広域の不特定多数の人が被害を受けることになります。
・時間と空間の制約がない
ネットワークを用いると,地球の裏側にも瞬時にデータを届けることができますよね。
また、平成30 年の警察白書によれば,「サイバー犯罪」は次の3つの類型に区別されています。
・不正アクセス禁止法違反
「不正アクセス」とは、他人のID( Identification )やパスワードを勝手に使用したり、Webページを改竄(かいざん)するなど、アクセス権限のないコンピュータへアクセスを行うことです。これは「不正アクセス禁止法」という法律で禁止されています。また、「不正アクセス」の手口としては、「ソーシャルエンジニアリング」、「コンピュータウィルス」などの「マルウェア」に感染させる、「フィッシングサイト」で 「ID、パスワード」を盗む等が挙げられます。「ソーシャルエンジニアリング」と「マルウェア」については後でより詳細にみていきます。
・コンピュータ・電磁的記録対象犯罪等
これは、オンライン端末を不正に操作・改ざんしたコンピュータや電磁的記録を利用した犯罪です。
例えば、他人から不正に取得した個人の口座から自分の口座に金銭を移し替える「電子計算機使用詐欺罪」や、コンピュータに保存されているデータを無断で書き換える「電子計算機損壊等業務妨害罪」があります。
・ネットワーク利用犯罪
これは、ネットワークを利用して行う犯罪です。例えば、インターネット上の掲示板を利用して、覚せい剤などの違法な物品を売買する、またはわいせつ画像をアップするなどの行為があげられます。
「不正アクセス」について、その手口を以下により詳しくみていきます。
ソーシャルエンジニアリング
「不正アクセス」の手口の一つである「ソーシャルエンジニアリング」とは、人の心理的な隙や行動のミスにつけ込んだ手口で、情報通信技術を使わずにパスワードなどの重要な情報を盗み出す手口です。
「情報通信技術を使わずに盗みだす手口」とはどのようなことかと言うと、割と古典的とも言える手口で、例えば、誰かがスマホやパソコンを操作している様子を背後から盗み見ることでパスワード等を盗む(ショルダーハッキング)やゴミ箱に捨てられた書類やCDなどの記録媒体をあさりパスワード等を盗みだす(トラッシング)行為です。後ろから見られている可能性を考慮していないという行動のミスや、ゴミ箱に捨てたから大丈夫などと思う心理的な隙につけ込んでいる訳ですね。
マルウェア
悪意のあるソフトウェアの総称が「マルウェア」で、「悪意がある」という意味の「malicious」と、「software」を組み合わせた造語です。
以下に、「マルウェア」の例を挙げていきます。
・コンピュータウィルス(Virus):第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラム
・バックドア(Backdoor):悪意のある第三者がシステム内部に侵入し、いつでもシステム内部に侵入できる裏口(バックドア)を作るマルウェア
・スパイウェア(Spyware):個人情報やID・パスワード等の情報収集をして外部へ送信することが目的のマルウェアです。。ウイルスとは異なり、本来のプログラムが正常に動作しているように見せかけながら動作するため、発見がしにくいことが特徴です。
・ランサムウェア(Ransomware):暗号化などによってファイルを利用不可能な状態にした上で、そのファイルを元に戻すことと引き換えに金銭(身代金)を要求するマルウェアです。企業などがこの攻撃を受け巨額の身代金を要求される事例があります。