ITパスポート 2014年 秋期 問23
問題文
インターネット上の脅威となる行為のうち、不正アクセス禁止法で禁止されているものはどれか。
選択肢
ア:セキュリティホールを利用してWebサイトに侵入する。(正解)
イ:不正なデータ送信や大量のトラフィックなどで、ターゲットのコンピュータやネットワーク機器に負荷をかけ、サービス不能にする。
ウ:傍受した無線LANの電波を解析して、競合他社の技術情報を読み取る。
エ:利用者の意図とは無関係な画像を表示するウイルス付きのメールを特定の相手に故意に送付する。
🔒 解説は解答すると表示されます
不正アクセス禁止法で禁止される行為はどれか【ITパスポート 解説】
正解の理由
選択肢の中で、不正アクセス禁止法(Unauthorized Computer Access Law:コンピュータやネットワークへの不正なアクセスを規制する法律)で直接禁止されているのは、セキュリティホールを利用してWebサイトに侵入する行為です。つまり、認証(パスワードなど)をすり抜けてシステムに入る行為が対象になります。したがって、選択肢アが該当します。
ポイントを噛み砕くと:
- 「セキュリティホールを利用してWebサイトに侵入する」= 認可されていない方法でシステム内部に入ること。
- 不正アクセス禁止法は「許可なく他人のID・パスワードを使う」「アクセス制御を回避してシステムに入る」ことを禁止しています。
これらがまさに選択肢アの行為に当たります。
解法ステップ
- 問題文で「不正アクセス禁止法」を対象にしていることを確認する(法律の対象は「アクセスの不正」)。
- 各選択肢を「アクセスの不正(ログイン・侵入)」か、それ以外のサイバー犯罪(妨害・傍受・ウイルス配布など)かに分類する。
- 「認証を回避して中に入る」「権限のない操作をする」と直結するものが不正アクセス禁止法の対象。
- 対象外の場合は、どの別の法律や罪に該当するかを判断する(例:業務妨害や通信の秘密の侵害、ウイルス作成・配布の罪など)。
選択肢別の誤答解説
-
ア: セキュリティホールを利用してWebサイトに侵入する。
→ これが不正アクセス禁止法の典型例です。許可なくシステムに侵入する行為は直接禁止されています。 -
イ: 不正なデータ送信や大量のトラフィックなどで、ターゲットのコンピュータやネットワーク機器に負荷をかけ、サービス不能にする(DDoS攻撃)。
→ DDoSなどのサービス妨害は重大な違法行為ですが、これは「不正アクセス禁止法」そのものの主対象ではありません。多くの場合、刑法の「業務妨害」や通信の妨害、その他の規定で処罰されます。つまり別の法律で違法になりますが、問題で問われている法律(不正アクセス禁止法)とは範囲が異なります。 -
ウ: 傍受した無線LANの電波を解析して、競合他社の技術情報を読み取る。
→ 盗聴や傍受は通信の秘密を侵害する行為で、電気通信に関する法律や刑法上の別の規定に抵触します。解析して情報を読み取る行為は不正アクセスかもしれませんが、問題文のように「電波を傍受して内容を読む」点は主に傍受・盗聴の問題であり、不正アクセス禁止法の典型的条項とは異なります。 -
エ: 利用者の意図とは無関係な画像を表示するウイルス付きのメールを特定の相手に故意に送付する。
→ ウイルス(マルウェア)の作成・配布や、他人の業務を妨害する行為は、不正指令電磁的記録に関する罪や刑法(業務妨害など)で処罰されます。これも不正アクセス禁止法の主な対象外です。ただし、ウイルスで他人の端末に侵入して操作するなど、状況によっては不正アクセスと重なることもあります。
よくある誤解
-
「悪いことは全部『不正アクセス禁止法』で罰せられる」
→ 実際はサイバー犯罪は行為の種類ごとに別の法律で規制されています。侵入は不正アクセス、妨害は業務妨害や電子的妨害、ウイルス配布は不正指令電磁的記録に関する罪、傍受は通信の秘密関連の規定、という具合です。 -
「セキュリティホールを見つけて触るだけなら問題ない」
→ 無断でアクセスしたり情報を取得したりすると違法になる可能性があります。脆弱性(セキュリティホール)の発見でも、許可なく試すと不正アクセスに該当することがあります。 -
「DDoSは単なる技術的なトラブルで法律問題にはならない」
→ 被害を与えれば刑事責任や民事責任が問われます。法律で処罰される可能性が高い行為です。
補足コラム
不正アクセス禁止法のイメージをつかみやすくまとめます。
- 対象:他人のID・パスワード等を使って、許可なくシステムやアカウントに入る行為。アクセス制御を回避する行為も含む。
- 例:他人のアカウントでログインする、脆弱性を突いて管理画面に入る、アクセス制限を迂回するツールを使う、など。
- 予防:パスワード管理を徹底する、二要素認証を使う、ソフトウェアを最新に保つ(脆弱性の修正)、アクセスログの監視など。
なお、ある行為が複数の法律に当たる場合もあります(例:侵入後にデータを壊すと、不正アクセスと業務妨害の両方)。問題を解く際は「設問で指定された法律の範囲」をまず確認する習慣をつけましょう。
FAQ
Q1: 脆弱性診断(スキャン)を行うときはいつ違法になりますか?
A1: 許可を得ずに診断対象のシステムにスキャンや侵入試行を行い、アクセス制御を突破したりサービスに影響を出した場合は違法となるリスクがあります。事前に明確な許可を得ることが重要です。
A1: 許可を得ずに診断対象のシステムにスキャンや侵入試行を行い、アクセス制御を突破したりサービスに影響を出した場合は違法となるリスクがあります。事前に明確な許可を得ることが重要です。
Q2: 他人にパスワードを貸すと違法ですか?
A2: 他人のアカウントを無断で使わせる・貸す行為は不正アクセスに関連する問題を引き起こします。状況により不正アクセス禁止法や会社規則で問題になります。
A2: 他人のアカウントを無断で使わせる・貸す行為は不正アクセスに関連する問題を引き起こします。状況により不正アクセス禁止法や会社規則で問題になります。
Q3: DDoS攻撃はどの法律で罰せられますか?
A3: DDoS自体はサービス妨害の行為で、刑法上の業務妨害やその他の電磁的記録に関する罪など、別の法律で処罰されることが一般的です(詳しい適用はケースによります)。
A3: DDoS自体はサービス妨害の行為で、刑法上の業務妨害やその他の電磁的記録に関する罪など、別の法律で処罰されることが一般的です(詳しい適用はケースによります)。
関連キーワード: 不正アクセス禁止法、脆弱性、DDoS、傍受、ウイルス、業務妨害、通信の秘密、サイバーセキュリティ

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

