次がソーシャル・エンジニアリング対策である。セキュリティが非常に強固で技術的に侵入する事が困難な場合、不正アクセス者は上述ソーシャル・エンジニアリング手法を用いて、ID/パスワードの入手を謀る。システム管理者とか、上司、ISPと偽って聞き出される事に注意しなければならない。更に加えて外部とのやりとり、例えばメールの送受信、データ・ライブラリやホームページからのプログラム・ダウンロードには注意が必要である。前述の如くを始めとする不正プログラムに汚染されている可能性がある。
7 不正アクセス行為の禁止等に関する法律
平成12年2月13日より「不正アクセス行為の禁止等に関する法律」が施行された。本法律の概要は以下のとおりである。
(1)目的
電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与すること。
(2)内容
1]不正アクセス行為の禁止、処罰
2]不正アクセス行為を助長する行為の禁止、処罰
3]アクセス管理者による防御措置
4]都道府県公安委員会による援助等
・都道府県公安委員会による援助等
・国による援助
不正アクセス行為とは、アクセス制御機能(ID/パスワード等)を回避するような操作(他人のID/パスワード使用、セキュリティ・ホールを突いた攻撃)を指す。また助長する行為とはいわゆるID屋行為等の事を指し、これも処罰の対象としている。
本法律により前述狭義の不正アクセスにおける、権限取得行為が処罰の対象となる。なお旧来の法律によっても、データの改ざんや、不正コピー、あるいはコピー後の密売等は処罰の対象であった。今回の法律の趣旨は不正行為の準備段階である侵入行為にも法の網をかぶせた事に意味があり、本法律によって盗み見のみで、コピーなど行わなくても、何らかの方法により(アクセス制御機能を回避して)侵入た場合は処罰される事になる。
ただし侵入準備行為であるポートスキャン、DoSは本法律の適用外であると思われるので注意されたい。
