情報セキュリティ トピックス

総合研究部 上席研究員 佐藤栄俊

タイトルイメージ図

【もくじ】

1.相次ぐ不正決済・送金の問題点とこれから

概要

1.ドコモ口座と口座振替サービス不正利用問題

2.ドコモ口座以外の被害

3.犯行のプロセスは?

4.盗まれた情報のその先

5.電子決済サービスにおける今後

6.どこかで断ち切る対策を

7.事故時の対応体制もあらためて見直しを

2.最近のトピックス

3.最近の個人情報漏えい事故(2020年9月、10月)

1.相次ぐ不正決済・送金の問題点とこれから

概要

2020年9月、株式会社NTTドコモ(以下、NTTドコモ)が提供する電子決済サービス「ドコモ口座」を利用し、提携銀行の口座から不正出金が行われる被害が相次いで発生しました。本件は、同サービスやNTTドコモ回線の利用者以外に被害が生じうることが明らかになるとともに、NTTドコモの本人確認や連携先銀行の認証手続きに甘さがあったことも指摘されています。今回の情報セキュリティトピックスでは「ドコモ口座」問題に絡む概要や論点について整理・考察するとともに、今後のキャッシュレス決済の普及へ向けた環境整備の展望や対策ついて検討していきます。

1.ドコモ口座と口座振替サービス不正利用問題

まず、「ドコモ口座」とは、前払式支払手段のサービスである「口座(プリペイド)」と資金移動のアカウントである「口座」の2種類がある点に留意が必要です。ドコモ口座を開設した時点では、前払式支払手段のサービス「口座(プリペイド)」であるため、d払い加盟店での支払いや送金の受取りができるに留まり、現金を出金することはできません。ドコモ口座と銀行口座を銀行の本人確認済み情報をもとに紐付けることで、資金移動のアカウントである「口座」が開設され、銀行口座からの資金のチャージや現金の出金が可能となります。「ドコモ口座」はメールアドレスのみでアカウントが作成できるなど、その仕組みの不備などが指摘されています 。

これは、NTTドコモ自身が認めているとおり、「ドコモ口座」を開設するにあたっての本人確認が不十分であったことが挙げられます。本件は、犯人が被害者の氏名、口座番号、4桁の暗証番号、生年月日等を不正に入手し、被害者になりすまして「ドコモ口座」を開設したうえ、不正に入手した銀行口座情報をつかって「ドコモ口座」と銀行口座を連携して不正出金を行ったものと考えられています。

NTTドコモによれば、「ドコモ口座」を保有している利用者には2種類おり、ドコモ回線を契約している利用者については、「ドコモ口座」を開設するときに「回線認証」と「ネットワーク暗証番号」による強固な認証が実施されていました。これに対して、今回の不正利用の対象となったのは、ドコモ回線を契約していない利用者で、メールアドレスさえあれば誰でも「ドコモ口座」を開設できることとなっていました。資金移動のアカウント開設時にSMS認証などの多要素認証を取り入れている他事業者と比較すると、本人確認が脆弱であったことは否めません。

また、電子決済サービス等の提供企業(出納企業)と地方銀行との間での預金口座振替の仕組みを提供していた地銀ネットワークサービスや、提携銀行等における、セキュリティ・チェック体制の不足を指摘されているとおり、同サービスに関わる他事業者のサービス設計や対応も問題視されています。ドコモ口座と接続している一部の銀行側にも落ち度はあり、銀行口座とドコモ口座を紐付ける際の本人確認(身元確認)が十分でなかったことも問題だといえます。

2. ドコモ口座以外の被害

今回被害に遭った銀行のなかには、カナ氏名、口座番号とキャッシュカードの暗証番号だけで口座振替登録が可能であり、ワンタイムパスワード等による多要素認証を実施していない銀行がありました。この場合、銀行口座を保有している本人の関与なしに銀行口座から資金移動のアカウントであるドコモ口座へ資金をチャージすることが可能であり、不正利用のリスクが高まったものといえます。

NTTドコモは、資金決済法上の資金移動業者として、利用者が資金移動のアカウントであるドコモ口座を開設するにあたり、犯罪による収益の移転防止に関する法律(以下、「犯罪収益移転防止法」といいます)上の取引時確認が義務づけられています(犯罪収益移転防止法4条1項、2条2項30号)。

取引時確認においては、利用者の本人特定事項(氏名、住居、生年月日)等を運転免許証などの本人確認書類の提示を受ける方法で確認する必要があります。ただし、口座振替の取引においては、銀行が実施した取引時確認の結果に依拠する形で本人特定事項の確認を行うことが認められています(犯罪収益移転防止法4条1項、同施行規則13条1項1号)。資金移動業者がこの方法を実施する場合、下記3点を満たすことが必要となります。

  1. 振替の対象となる預貯金口座の契約締結時に銀行が顧客に係る取引時確認を行い、その確認記録を保存していること
  2. (1)の確認記録を保存していることを確認すること
  3. 資金移動業者が、銀行の取引時確認に依拠することについて銀行と資金移動業者との間で合意していること

NTTドコモは、犯罪収益移転防止法に則り、銀行の取引時確認の結果に依拠して取引時確認を行っていました。ただ、利用者の氏名や生年月日を確認せず、SMS認証による「緩い本人確認」も実施せず、当人認証のセキュリティ強度が低い口座振替登録に本人確認を頼り切っていました。このようなドコモ口座のサービス設計は、法律への形式的な対応に捉われ、現実に起こり得る不正のリスクを見誤ったものといえます。

決済事業者は、口座振替の登録手続きで利用者が離脱しないよう、「手続きはシンプルな方がいい」との心理が働きますが、その結果、本人確認の信頼度が犠牲になるようでは本末転倒だといえます。利用者の利便性を優先した(その結果として、セキュリティの厳重さが犠牲になった)ということは、今となっては利便性とセキュリティのトレードオフは言い訳となってしまいます。利便性のために、許容できるリスクを検討するといった考え方が必要であり、特に金銭の絡むシステムにおいて、省略していいセキュリティ対策が存在するとは思えません。ドコモ口座に限らず、企業が「利用者のために」というということで必要な対策を打たないケースもあります。セキュリティを厳しくすればするほど、使い勝手が悪くなるという側面は否めませんが、これが”セキュリティ対策をしない口実”にはならないということです。

このような問題に対処する上では、スマートフォン決済側と銀行が個々に対策を進めるだけでは不十分であり、双方が連携してセキュリティを高め、なおかつ消費者に不満や不安を与えないよう、円滑に連携していち早く問題を発見・対処するための体制作りが求められます。

3. 犯行のプロセスは?

本事案に関する疑問・不明点はまだ数多くありますが、そもそも、犯人はどうやって被害者の銀行口座情報を入手したのかはまだ定かになっていません。銀行を装った偽メールを送り、銀行の偽サイトに誘導、口座番号や暗証番号を入力させて口座情報を盗み取るという手口の「フィッシング詐欺」の可能性があります。また、口座番号や暗証番号は、固定の暗証番号を使ってログインできる銀行口座を探す「リバースブルートフォース攻撃」などで取得したとみられます。固定の口座番号に対して暗証番号を総当たりで調べる「ブルートフォース攻撃」は金融機関側も「3回ログインに失敗したらログイン機能をロックする」など対策をとっていますが、リバースブルートフォースはこの抜け穴を狙ったものです。リバースブルートフォース攻撃で口座番号や暗証番号、かんたん残高照会で口座名義や最終預金残高などを取得し、なりすましに成功したのではないかとも推測できます。

さらに、検索エンジンに引っかからない「ディープウェブ」「ダークウェブ」と呼ばれるネットワークで入手できる、過去にスキミング被害にあったアカウントや流出した情報からターゲットを絞り込んでいる可能性も考えられますが、現段階では推測の域を出ません。

いずれにせよ、これらの犯行に共通する傾向として、ログインに関するシステムの弱点を突かれたことや、各サービスの仕様などを熟知した人物による攻撃だと考えられることを挙げられます。いずれもそれぞれのWebサイトの仕様を熟知していないと難しいことから、海外の人物からすれば攻撃はしにくく、国籍は分かりませんが、日本に拠点があり、サービスのことをかなりよく調べた人がやっている可能性があります。

警察庁の発表では、令和元年のネットバンキングに係る不正送金の被害件数は1872件と過去最多で、被害額も前年度の4億円台から、一気に25億2100万円と大きく跳ね上がっています。こうした不正送金では、送金する先の口座は別人のものです。それに、今は銀行での口座開設は、身分証による本人確認が徹底されており簡単にはできませんので、犯罪者らは銀行口座を買うなどして、送金先を手に入れます。ドコモ側のセキュリティの穴を見つけるのが巧みなだけでなく、不正出金するときには、1000円、1万円、10万円単位と、小刻みに金銭を引き出し、総額を数十万円にするなど、不正出金がすぐにバレない工作もしています。

最近多発している一連の不正ログインなどの問題は、犯罪組織が関与した疑いが持たれています。何よりも一つ確かなことは、サイバー犯罪者(グループ)は、利用者や企業よりもITサービスの現状を研究しているという点です。サービス開始からわずか数日で実際の攻撃活動を行っているわけです。それを考えると、金銭が絡むにもかかわらずセキュリティ面に脆弱性を有するサービスは、今回の事件のようなスピードで食い物にされると考えるべきです。ドコモ口座に関していうと認証基盤の脆弱性を認知した上で利益が最大になるタイミングを犯罪者が虎視眈々と狙っていたことが窺えます。

4. 盗まれた情報のその先

参考までに、ダークウェブとは、URLがオープンにされておらず標準的なブラウザではたどり着けない領域です。必ずしも犯罪者のためのウェブというわけではありませんが、専用ブラウザで特殊な経路(ルーティング)をたどらないとアクセスできません。アクセス元をたどりにくく匿名性が非常に高いウェブとなっており、これが犯罪者のかっこうの隠れ蓑になります。そのため、ドラッグやカード情報などを扱う違法商品のマーケットプレイスが多く、ハッカーや犯罪者のコミュニティが多数運営されているのも事実です。そのような「闇」のECサイトでは、ランサムウェアや攻撃ツールのパッケージや麻薬・ドラッグが簡単に手に入ります。フィッシングや標的型攻撃メールで収集したクレジットカード情報や不正アクセスによって入手した大量のアカウント情報も、多くはここで売買されています。カード情報は、データだけでなく、入手した番号で複製された偽造カードとしても売られています。ダークウェブのマーケットプレイスでは「Silk Road」というサイトが有名です。2011年から存在していたこの闇サイトは、2013年にFBIによって摘発・閉鎖されられましたが、すぐに「Silk Road 2.0」が立ち上がり、「3.1」「Reloaded」と摘発されるたびに類似マーケットが立ち上がっています。

ダークウェブでの取引は、暗号資産(ビットコイン)が一般的です。では、個人情報は、どれくらいの値段で売られているのでしょうか。

  • メールアドレス・パスワード:1~15ドル
  • クレジットカード番号:1~45ドル
  • オンライン口座番号:1~100ドル
  • パスポート情報:1~35ドル
  • 個人情報パック:30~100ドル

上記はあくまで一例ですが、個人情報は大量に出回る時代になっているので、安いものだと1件1ドルくらいでカード番号やアカウント情報が手に入ります。住所氏名や電話番号、SSN(納税者番号・国民ID)、銀行口座番号などがセットになった個人情報パックでも1件3000円ちょっとで売られています。同じカード番号でも医師や弁護士、経営者など高額所得者の属性であれば値段は高くなるようです。そういった属性情報がなく売られているものは単価が安くなります。中には、雑多なソースから得たものを単にまとめただけのようなデータ、過去の大規模な漏えい事件のものとみられるデータが、タダでアップロードサイトに上がっていることもあります。

5. 電子決済サービスにおける今後

NTTドコモは、今後ドコモ回線を契約していない利用者のドコモ口座開設にあたり、「SMSによる二段階認証」に加えて「eKYC」による本人確認を実施するとしています。eKYCとは、利用者の身元確認をオンライン上で実現する本人確認方法で、利用者自身の撮影画像および写真付き本人確認書類をアップロードし、撮影画像の人物と本人確認書類上の人物の同一性を確認するものです 。

また、銀行側においても、資金移動業者のアカウントと銀行口座を連携して口座振替を行うプロセスにおいて、多要素認証を実施していない場合には当該認証を導入するなどのセキュリティの強化が必要と考えられます。

また、今回のドコモ口座の問題に限らず、過去Webサイトやスマホアプリなどのサービスが不正ログインを許した結果、生じる事件やリスクをあらためて確認しておきたいところです。「アカウント権限を直接悪用する不正行為」から代表的なものとしては、今、国内で頻発している商品の不正購入などが挙げられます。ECサイトのアカウントに紐づいているクレジットカードなどのペイメント情報を基に、転売可能な商品を購入します。正規の利用者にアカウントを奪還されるのを防ぐため、パスワードを変更したり、住所や電話番号などを書き換えたりすることも多いので注意が必要です。また、普段着払いなどを利用していて、クレジットカード情報とひも付けていないアカウントも安全ではありません。不正に入手した他人のクレジットカード情報やギフトカードの情報と組み合わせてアカウントを悪用されるケースもあります。2018年8月には、ドコモオンラインショップでiPhone Xが不正購入される被害(約1000件)が報じられましたが、不正購入されるのはこのような高額商品だけではありません。その他事例としては、Amazon.co.jpでスマホ用のガラスフィルムを、ギフトカードを使って中国名の業者から、不正購入されていたようなケースもあります。これは、正規の利用者に気付かれるのを避けたいという犯罪者側の意図が感じられます。

ECサイトのアカウントにひも付く「ポイント」も不正ログインの標的になります。現金やクレジットカードの入出金には気を付けていても、ポイント残高にまで日々気を配っている人はそう多くないでしょう。

また、ポイントを使って直接、商品を不正購入されることもありますが、ポイントを別の共通ポイントに移行し、追跡を難しくした上で現金化する”ポイントロンダリング”の手法も用いられています。一昨年9月に報じられた「smartWAON ウェブサイト」の不正ログイン被害では、この手法が使われています。国内で普及してきた共通ポイントの仕組みが悪用されているということです。共通ポイントの中にはバーコード方式のものがあります。この方式はポイントカードの番号さえ分かれば、コンビニなどの買い物で使えるバーコードを生成できます。番号を入れてコードを表示するスマホアプリも存在します。2018年9月の「dポイントカード」の不正利用は、この弱点を突いたものだといわれています。

その他、アカウントのペイメント情報を悪用する直接的な犯罪行為だけでなく、登録されている住所、電話番号、購買履歴などの個人情報を、特殊詐欺などの犯罪に二次利用されるリスクも正しく理解しておく必要があります。普段利用しているECサイトからメールアドレスや購買頻度などの個人情報が流出していれば、購買履歴、視聴履歴などの行動情報を含む個人情報は、不在通知などを装う詐欺だけでなく、増加している「架空請求詐欺」にも利用される恐れがあります。

このような二次被害を抑えるためにも、個人情報を預かるサイト側は、これまでより能動的に不正ログイン対策を打つ必要があります。「発覚後にアカウントロックやパスワードを変更」するだけの事後処置では、それ以上の不正購買は抑止できても、いったん流出した個人情報は元に戻らないということをあらためて認識する必要があります。

このような脅威に対して現状取り得る最善の対策が何かを検討する必要がありますが、主要なSNSやクラウドサービスで、「二段階認証」と呼ばれる仕組みを利用することも一つの安全策となります。IDとパスワードによる認証に、もう1段階、携帯電話やスマートフォンを使った認証を加える方法です。

通常は、IDとパスワードが盗まれれば不正アクセスが可能になりますが、二段階認証では、IDとパスワードだけではログインできません。通常のIDとパスワードを入力後にあらかじめ登録しておいた携帯電話やスマホ宛にSMS(ショートメッセージサービス:電話番号を宛先に指定し、短いテキストメッセージを送受信できるサービス)が来ます。その中に記載されているセキュリティキーを入力しないとログインできない仕組みになっています。つまり、登録済みの機器が手元になければログインできないというものです。そのため、万が一IDやパスワードが第三者に知られたとしても、セキュリティキーがわからないためログイン出来ない、もしくはロックがかかり不正アクセスできないようになっています。

また、スマートフォンには、指紋認証や顔認証、虹彩認証といった生体認証機能を搭載する機種も多く、多要素認証を実現できる機器になります。生体認証機能があれば、たとえ紛失や盗難に遭った際でも、第三者による悪用を防げます。企業向けの資産管理製品においても、スマートフォンへの対応が進んでいるため、スマートフォンを認証機器として活用するケースは増えそうです。

6. どこかで断ち切る対策を

ドコモ口座の不正送金問題は、個々のサービス設計や不正アクセス監視体制の不備が指摘され、二要素認証の導入をはじめとする対策の必要性が叫ばれました。ただ、より根本的な対策を考えるならばもう一歩引いて、組織化が進むサイバー攻撃全体の動向を俯瞰する必要があります。一般的に、企業・組織においても、ビジネスの下流から上流まですべてを一社で完結させられるケースは稀です。製造プロセスがサプライチェーンに依存しているだけでなく、流通、販売についてもさまざまなパートナーの力を借りて行っています。

こうした通常のビジネスと同じように、むしろそれ以上にサイバー犯罪の世界は分業化、専門化が進んでいると認識しておいたほうがよさそうです。このように、攻撃の分業化と専門化は、日々窃取されている個人情報の断片がダークウェブを介して蓄積され、流通していることからも見て取れます。通常の企業におけるマーケティング活動でも、利用者に同意を得たうえで、どのような属性の人がどんな行動を取っているかを収集し、ビッグデータとして解析することが焦点となっています。サイバー攻撃者はもっと大規模に、またグローバルに(そしてもちろん不正に)、個人情報の“断片”を収集・集約しつつあることが、ドコモ口座を介した不正出金の問題で推測できます。不正出金の際に必要とされた個人情報は、口座名義、メールアドレス、生年月日、口座番号、暗証番号という5つの組み合わせです。ただしそれぞれの断片は、過去から今日に至るまで何らかの方法で漏えいし、すでにダークウェブに蓄積されているということをあらためて認識する必要があります。

サイバー犯罪はある意味、グローバルなビジネスとして成立しています。分業化も進んでおり、マルウェアを開発する人、マルウェア攻撃の指示を出す人、実際にマルウェアをばらまく人、そのためのサーバを提供する人、不正送金を要求する人、不正口座を用意する人、現金を引き出す“出し子”など、多くの犯罪者が国境をまたぎながら有機的につながっています。こうした犯罪を防ぐには、攻撃者の行動プロセスをどこかで断ち切るという視点が重要になります。

サイバー空間の標的型攻撃における攻撃者の行動を分解した考え方を「Cyber Kill Chain」と呼びます。いずれかの階層で脅威を断ち切るという多層防御の考え方を理解、設計するのに役立ちます。キルチェーン(Kill Chain)は元々軍事用語であり、敵を攻撃する際に踏む一連の段階 (フェーズ) をモデル化したものです。2011年、米ロッキード・マーチンがコンピュータネットワークにおける先進的な標的型攻撃をモデル化したものを「サイバーキルチェーン」と呼び、民間でも使われ始めました。そのモデルは、Reconnaissance (偵察)、Weaponisation (武器化)、Delivery (配送)、Exploitation (攻撃)、Installation (インストール)、Command & Control(遠隔操作)そして Action (目的の実行)から構成されます。

サービスを提供する企業、組織において守るべき資産とは、何もデータベース上の顧客の個人情報だけに限りません。紙やその他記憶媒体に保存された機密扱いの情報も含まれますし、事業活動を継続する上で不可欠なシステムや組織が正常に稼働し続けるようにすることも、資産を守ることに該当します。例えば、(極端な例を挙げれば)「標的型メールが組織内の端末に届いてしまうこと」がリスクなら、何としても入口で防御しなければなりませんが、「顧客の個人情報が流出してしまう」ことがリスクなら、入口の防御だけでなく、内部で感染しないようにしたり、情報が格納されたサーバを隔離したり、出口で外部との通信をブロックする、といった具合に対策を絞り込んでいくことができます。また、「情報が流出した場合に被害状況が把握できないこと」をリスクとして考えるなら、外部との通信を保全することも検討すべきでしょう。

7. 事故時の対応体制もあらためて見直しを

これまでは、サイバー攻撃の「入口・出口」における防御対策、つまり「いかに侵入を防ぐか」「いかに流出を食い止めるか」に重きを置くのが、主なセキュリティ対策でした。しかし、標的型攻撃をはじめ、これだけ攻撃側の手口が高度化・巧妙化してくると、侵入を100%防ぐのはもはや不可能です。そこで重要視されるようになってきたのが、「インシデントレスポンス(事故対応)」の取り組みです。侵入を受け、何らかのセキュリティインシデントが発生することをはじめから前提として、その後の対応を迅速かつ適切に行うことで攻撃を無効化したり、ダメージを極小化しようというものです。こうした考え方が重視されるようになってきた背景の1つには、過去に発生したセキュリティ事故の反省があります。日本年金機構やJTBの個人情報漏えい事故では、いずれも最初の不審な挙動の検知から原因の解明・対策の実施までに数日の時間がかかっていました。もしこの対応時間をもっと短縮でき、事後の段取りを取り決めていたら、ここまで被害は大きくならなかったかもしれません。このケースに限らず多くのインシデント事例では、強固なセキュリティ対策を講じていたにもかかわらず、そして実際に侵入や感染を検知できていたにもかかわらず、適切な対応がとられなかったがためにいたずらに被害が拡大してしまったケースが実に多く見られます。

一言でインシデントレスポンス(事故対応)といっても、その活動範囲は実に広範に及びます。いざインシデントが発生した際にやるべきこと、そしてそれに備えて平時から備えておくべきタスクの数や量は膨大に上ります。セキュリティ対策に無尽蔵に予算や人員をつぎ込めるのであれば良いですが、限りがあるリソースの中で最大の効果を得るためには、専門性の高い作業はある程度、社外の専門機関やベンダーに任せるべきでしょう。

また、いざインシデントが発生した際の調査や対策の中には、極めて高度で専門的なスキルを要するものもあります。そのすべてを自社でまかなうのは、現実的にはほぼ不可能です。どうしても、社外のセキュリティ機関や関係各所との連携が不可欠になってきます。インシデントが発覚するきっかけは、そのほとんどは外部の専門機関や第三者からの通報です。しかし、通報をきちんと受け付けて社内のセキュリティ担当者につなぐ窓口が設けられていないと、どうしても対策に乗り出すタイミングが遅れてしまいます。

こうした課題を解決するために、現在企業や官公庁で設置が進められているのが「CSIRT(Computer Security Incident Response Team) 」と呼ばれる、インシデントハンドリングに特化した組織です。平時における社内外との情報共有や、いざというときに備えるためのさまざまな対策、そして実際にインシデントが発生した際の事後対応などを中心となって担うためのセキュリティ専任組織と位置付けられています。

こうした組織・プロセスの面での整備を進めるとともに、技術面での取り組みも強化することが、迅速かつ適正なインシデントレスポンスには欠かせません。特に鍵を握るのが、「マルウェアの侵入や活動を、どれだけ早期に検知できるか」です。検知のタイミングが遅れれば遅れるほど、潜在的な被害は拡大していきます。そのため、これまでのような「絶対に侵入を許さない」というセキュリティ対策の方針から、「ある程度、侵入されるのはやむを得ない」「侵入をいち早く検知して対処する仕組みにしっかり投資する」という考え方に転換することが、結果的にサイバーセキュリティのリスクを最も効果的に抑えられると考えられます。

2.最近のトピックス

■フィッシング対策協議会「2020/10 フィッシング報告状況」

フィッシング対策協議会は11月4日、2020年10月の「フィッシング報告状況」を発表しました。これによると、10月に同協議会へ寄せられたフィッシング報告件数(海外含む)は28,727件で、前月の28,575件から152件増加しています。同月のフィッシングサイトのURL件数(重複無し)は、前月より1,132件減少の5,554件となっています。

フィッシングに悪用されたブランド件数(海外含む)は、前月より8件増加し57件で、Amazon、三井住友カード、楽天、MyJCB、総務省(特別定額給付金)を騙るフィッシングメールが繰り返し大量に配信されており、これら上位の5ブランドだけで報告数全体の約90.9%を占めています。また、これら大量配信メールの4割近くが、差出人メールアドレスに正規サービスのドメインをかたる「なりすまし」メールです。

その他では、Apple、クレジットカードブランドをかたるフィッシングの報告が多く、ショートメッセージ(SMS)から誘導されるフィッシングも少数ながら報告が増えており、発信元情報をなりすましたSMSは正規のメッセージと誤認する可能性が高く注意が必要としています。

また、ここ最近、警察庁や自治体、動画サービスのNetflix等などを模倣した偽サイトが大量に確認されています。偽サイトはGoogleやBingなどの検索サービスの結果に、正規のサイトに混じって表示されることが多くあります。今後これらの偽サイトがメールやSMSを利用したフィッシング詐欺に転用されることで、認証情報(IDやパスワード)を窃取される危険性が高くなります。これまで受け取ったことがない機関や知らない送信者からメールやSMSが、何のきっかけもなく突然来た場合は疑った方が良いでしょう。また、ドメインが「.jp」や「.co.jp」なら安心というわけではなく、これらを使う偽サイトも非常に多いので注意が必要です。メールやSMS本文に記載されたURLの表記のみで真偽を判別するのは難しいですが、極力アクセスしないという対策を徹底することと、詐欺の手口や危険性を知っておくことで注意力を高めておきたいところです。

■HENNGE株式会社「企業のパスワード管理に関する調査結果」

HENNGE株式会社は11月9日、10月に実施した企業におけるパスワード管理に関する調査結果を公表しました。「パスワード管理に関する企業調査」は、10月22日から10月23日に従業員数100名以上の企業に勤務する会社員を対象にインターネット調査が実施され、500件の有効回答がありました。同調査によると、勤務先で利用するシステムにおけるログイン方法は「ID・パスワードのみ」が88.4%を占め、次いで「ワンタイムパスワード」が15.4%という結果になっています。プライベートで利用するシステムでは「ID・パスワードのみ」の割合が90.2%だが、一方で「ワンタイムパスワード」を利用しているという回答も39.4%と勤務先での利用と比較して2倍以上に上昇しています。

同じパスワードの使い回しについて「ある」と回答した割合は54.9%と半数以上となり、その理由として「パスワードを管理する手間」が67.0%を占めています。勤務先の規則等でパスワード変更を定期的に実施する必要性がある会社員の割合は65.7%で、その頻度は3ヶ月が最も多く51.7%となっています。

実際に流出したパスワードをもとに、セキュリティが脆弱なパスワードのランキングを公表している企業がありますが、このランキングの内容は毎年変わっていません。「123456」や「qwerty」など、漏えいの上位は簡単に推測できるパスワードが常連です。何よりも問題なのは、危険性を指摘されていながらも、安易なパスワードを使い続けたり、使い回す人たちがあまりにも多いという現実です。

安易に推測できるパスワードを使っていると、犯罪の被害者になるだけでなく、加害者になってしまう可能性もあります。たとえば、電子メールのパスワードが盗まれれば「犯人」は自分になりすまして友だちにメールを送り、コンピューターウィルスや詐欺サイトのリンクをばらまくことができます。知り合いからだと思うと安心して添付ファイルを開きがちで、危険が大きいといえます。

利用するサービスや機器が増えるにつれ、管理すべきパスワードも増えていくことになります。サービスによって約束ごとはまちまちですが、メモしてはいけないなどと言われれば、考えるのも煩わしく、つい簡単な文字列を使い回しがちです。ただ、パスワードは大切な「鍵」であることは確かです。

安全なパスワード管理を検討するうえで留意すべきことは、問題点が問題のまま放置されている現状に目を向ける必要があります。企業にある特定の情報を狙う「標的型攻撃」はもちろん、不特定多数の利用者を狙う方法も多種多様で巧妙になっているということもありますが、古くからある単純な攻撃が未だに多く利用されています。脆弱なパスワードが多く存在し続けているため、ハッカーからすれば、わざわざレベルの高い手口を使わなくてもいいわけです。

複数のオンラインサービスで同じIDやパスワードを使い回したり、単純な文字配列でパスワードを設定することは、強盗の目の前に家のカギをぶらさげて首を差し出すのと同じ行為だといえましょう。

サービスを利用開始するとき、業務で大事なファイルに「パスワード」を設定することが基本的なルールとなっています。これはサービスの利用者を特定するため、その人しか知らない言葉をよりどころに、その人がその人であるという判断をするための仕組みです。パスワード管理にしっかりとした危機意識を持つことはもっとも身近なセキュリティ対策であり、かつもっとも重要な対策ともいえるでしょう。

■個人情報保護委員会「第157回 個人情報保護委員会」

個人情報保護委員会は、10月30日に開催した「第156回 個人情報保護委員会」ならびに11月4日に開催した「第157回 個人情報保護委員会」の議事次第や配布資料を公開しました。「第156回 個人情報保護委員会」では、個人情報の保護に関する法律(平成15年法律第57号)に対する「改正法に関連する政令・規則等の整備に向けた論点について(漏えい等報告及び本人通知)」を議題として取り上げて、同議題に関する資料を公開しています。

改正法の概要として、漏えい等が発生し個人の権利利益を害するおそれが大きい場合に、委員会への報告・本人への通知を義務化(改正法第22条の2)を定め、対象となる事態や委員会への報告・本人への通知の方法等については委員会規則で定めることとしています。漏えい等報告の趣旨は、「委員会が事態を早急に把握し必要な措置を講じることができるようにすること」で、本人通知の趣旨は、「通知を受けた本人が漏えい等の事態を認識することで、その権利利益を保護するための措置を講じられるようにすること」とし、検討すべき論点として以下の5点を挙げています。

(1)漏えい等報告・本人通知の対象となる事態

事業者が委員会への報告及び本人通知の要否を判断できるよう、基準として明確かつ簡便である必要があり、まずは個人の権利利益に対する影響が大きいと考えられる、漏えい等した個人データの性質・内容、漏えい等の態様、漏えい等の事態の規模等を考慮した上で、対象となる事態を定めることを検討。

(2)報告の時間的制限・報告事項

漏えい等が発生した際の委員会への報告について、速やかに行う必要がある一方で、原因や再発防止策等、把握に時間を要する内容も報告に含める必要があるが、これらの要請を満たす報告を一度に行うことは困難なため、漏えい等の報告の期限については、速報と確報の二段階とした上で、それぞれ定めることを検討。

(3)本人通知の時間的制限・通知事項

本人への通知の趣旨は、「通知を受けた本人が漏えい等の事態を認識することで、その権利利益を保護するための措置を講じられるようにすること」で、本人が必要とする内容を、本人にとって必要なタイミングで通知することが重要で、委員会への報告と区別して検討すべき。

(4)委託先から委託元への通知方法

漏えい等の事態が発生した場合、委託元と委託先の双方が個人データを取り扱っているときは、原則として双方が報告義務を負うことになるが、他方、委託先が委託元である個人情報取扱事業者に当該事態が発生した旨を通知したときは、委託先から委員会への報告義務を免除し、委託元から委員会に報告を行うことになり、どちらが主として漏えい報告や本人への通知を行うかは、個人情報の取扱状況や委託の状況等に応じて、あらかじめ業者間で決めておくことが適切。

(5)その他
改正法において漏えい等報告の対象とならない事案の取扱いについて
認定個人情報保護団体の関与について
漏えい等事案に関する国際的な情報共有への貢献

また、11月4日開催の「第157回 個人情報保護委員会」では、改正法における個人データの越境移転に係る制限を議題とし、資料を公開しています。

■独立行政法人情報処理推進機構(IPA)「情報セキュリティ安心相談窓口の相談状況[2020年第3四半期(7月~9月)]」

独立行政法人情報処理推進機構(IPA)は10月21日、「情報セキュリティ安心相談窓口の相談状況[2020年第3四半期(7月~9月)]」を発表しました。このレポートは、同四半期の間にセキュリティセンターで対応した「相談」の統計についてまとめたものです。同四半期に寄せられた相談件数は3,245件で、前四半期から約83.3%増加した。このうち85%にあたる2,747件を相談員が電話対応しています。

相談のうち、ウイルスを検出したという偽警告で不安を煽り、電話をかけさせてサポート契約やソフトウェア購入に誘導する「ウイルス検出の偽警告」に関する相談件数は677件で、前四半期から約71. 8%増加しています。「ワンクリック請求」に関する相談は65件で、前四半期から約41.3%の増加しており、「不正ログイン」に関する相談は、前四半期から約59.4%増加の102件となっています。

また、「宅配便業者をかたる偽SMS」に関する相談は479件と前四半期から約27.7%増加、「仮想通貨で金銭を要求する迷惑メール」に関する相談は65件で前四半期から約58.5%と増加、「iPhoneに突然表示される不審なカレンダー通知」に関する相談は133件と前四半期(19件)の約7倍と大幅に増加、「Facebookのメッセンジャーに届く動画」に関する相談も125件と前四半期(7件)から約17.9倍と大幅に増加しています。

さらに今四半期は「Emotet関連」に関する相談が前四半期の1件に対して308件と激増しています。

Emotetは昨年から国内外の組織で被害が度々確認されています。添付のWord文書のマクロを利用して端末へ侵入し、Outlookのメール情報が窃取されます。やり取りされたメールに「RE:」をつけて実際の返信を装い、元のメールに割り込む形でEmotetのダウンロードへ誘導し、また、「請求書」「賞与支払届」といった日本語のファイル名が使われた事例も確認されています。社内における注意喚起と、メールや添付ファイルを開いた場合のネットワークからの遮断、しかるべき部門への報告・連絡体制を確認しておく必要があります。また、Emotetの活動は“種まき”の段階という場合もあり、今後他のマルウェアへの連鎖や真の攻撃が開始される可能性があります。単発の対策で終わらせず、感染経路と拡散手法の確認、自社の状況の継続した監視が求められます

3.最近の個人情報漏えい事故(2020年9月、10月)

下記の表は、今年9月と10月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。

※情報セキュリティに特化したニュースサイトであるSecurity Next(http://www.security-next.com/)、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。

業種 発生原因 対象 備考
1 研究機構 メール誤送信 245名分のメールアドレス 「Bcc」で送信すべきところを誤って「Cc」で送信したため
2 書類紛失 交付前のマイナンバーカード3枚 誤廃棄の可能性
3 メール誤送信 48名分のメールアドレス 「Bcc」で送信すべきところを誤って「Cc」で送信したため
4 人権啓発センター メール誤送信 588名分のメールアドレス 「Bcc」で送信すべきところを誤って「Cc」で送信したため
5 財団 メール誤送信 101名分のメールアドレス 「Bcc」で送信すべきところを誤って「To」で送信したため
6 書類紛失 交付前のマイナンバーカード1枚 誤廃棄の可能性
7 振興機構 メール誤送信 863名分のメールアドレス 「Bcc」で送信すべきところを誤って「To」で送信したため
8 書類紛失 高齢者や障害者など60名分の氏名、住所などが記載された名簿2冊
9 Webプラットフォーム メール誤送信 118名分のメールアドレス 「Bcc」で送信すべきところを誤って「To」で送信したため
10 福祉センター 書類紛失 1名分の氏名、住所などが記載された療育手帳交付のための申請書等
11 書類紛失 立中学3年生1クラス35名の氏名、性別、食物アレルギーなどが記載された書類
12 私立大学 書類紛失 103名分のメールアドレス 「Bcc」で送信すべきところを誤って「To」で送信したため
13 書類紛失 34世帯分の世帯主の氏名、住所等が記載された資料4枚
14 電力 メール誤送信 244名分のメールアドレス 「Bcc」で送信すべきところを誤って「To」で送信したため
15 メール誤送信 1名分の氏名およびメールアドレス メールを転用して作成したため、誤って別の求職者の氏名およびメールアドレスが表示されたままの状態になった
16 放送 USBメモリ紛失 番組の視聴者プレゼントの応募者2,491名の氏名、住所、電話番号など 定期的に実施しているUSBメモリーの所在確認中に紛失が判明
17 医学研究所 メール誤送信 310名分のメールアドレス 「Bcc」で送信すべきところを誤って「To」で送信したため
18 府立高校 メール誤送信 35名分のメールアドレス 「Bcc」で送信すべきところを誤って「To」で送信したため
19 裁判所 書類、USBメモリ紛失 個人情報を記載した民事裁判の文書や複数の訴訟の情報 飲酒を含めた会食を行い、同文書等を入れたリュックをベンチに置き忘れ、盗まれた
20 書類紛失 記入済の調査票1枚、約25世帯分の世帯主名等が記載された書類等 調査員が調査票の配布作業を終えて駐車していた車に戻ったところ、車内に置いたままの当該書類を入れた手さげが無くなっていた
21 総務省 メール誤送信 2名分の氏名が記載された別の届出のファイル 誤って添付
22 USBメモリ紛失 受診者147名の氏名、生年月日、測定結果など 医療器材を載せた車の屋根の上にUSBメモリーを入れた収納袋を置いたまま発車し、紛失
23 イベント事務局 メール誤送信 都道府県担当者74名および同事務局関係者7名分のメールアドレス 「Bcc」で送信すべきところを誤って「To」で送信したため
24 書類誤送付 宅地建物取引士2名の氏名、住所、顔写真等が記載された宅地建物取引士証
25 書類紛失 交付前のマイナンバーカード2枚 誤廃棄の可能性
26 物販 メール誤送信 取引先2,750社の担当者の氏名、メールアドレス、口座番号等を記載したエクセルシート 誤添付
27 私立大学 メール誤送信 233名分のメールアドレス 「Bcc」で送信すべきところを誤って「To」で送信したため
28 ヘルスケア メール誤送信 64名分のメールアドレス 「Bcc」で送信すべきところを誤って「Cc」で送信したため
29 動物園協会 メール誤送信 26名分のメールアドレス 「Bcc」で送信すべきところを誤って「Cc」で送信したため
30 不動産 メール誤送信 不動産取引を行った顧客18名の氏名、住所、生年月日、物件所在地等 誤添付
31 USBメモリ紛失 護保険被保険者に関する46名の氏名、住所、生年月日、被保険者番号等 誤廃棄の可能性
32 通販 メール誤送信 顧客の氏名とメールアドレス86件
33 支援施設 誤掲載 入所者12人の氏名、性別、年齢、入所していた寮の名称、症状と病名、入院先の医療機関名、入退院日と入院日数など
34 通販 不正アクセス 顧客57件のクレジットカード情報で名義や番号、有効期限、セキュリティコード
35 流通公社 不正アクセス 会員の氏名、電話番号、メールアドレス、平文のパスワードなど
36 健康管理センター 廃棄 33事業所の1351人分の氏名や性別、年齢、事業所名、健診主コースなど
37 通販 不正アクセス 顧客3272人分のクレジットカード情報で、クレジットカードの番号、有効期限、セキュリティコード
38 通販 不正アクセス 顧客のクレジットカード情報1181人分でクレジットカードの名義、番号、有効期限、セキュリティコード システムの脆弱性を突かれ、決済時に偽の情報入力画面が表示される状態となっていた
39 教育センター USBメモリ紛失 生徒の成績などが含まれていた可能性 職員の記憶によるもので、保存されていた情報を特定できない状況
40 通販 メール誤送信 305名分のメールアドレス システムの不具合
41 証券 不正アクセス 氏名や生年月日、住所、電子メールアドレスなど3万8026人分の顧客情報で、運転免許証、パスポート、マイナンバーカードといった本人確認書類の画像データ750名分など 外部委託先が不正アクセス
財務省関東財務局は同社に対して業務改善命令の行政処分
42 書類紛失 世帯25件の世帯主氏名、住所、世帯員の数など
43 通販 不正アクセス クレジットカードの名義、番号、有効期限、セキュリティコード含む顧客337人分のクレジットカード情報
44 通信 不正アクセス 個人263件や法人839件など不動産の貸主に関する情報を含み、貸主の氏名または法人名、住所、電話番号、担当者、メールアドレス、振込口座情報、賃貸物件の名称や賃料など クラウドで運営する社内向けシステムがサイバー攻撃を受け、システム内部のデータが暗号化され、外部に流出した可能性
45 通販 不正アクセス 顧客651人分のクレジットカード情報708件で、名義、番号、有効期限、セキュリティコード
46 放送 記憶媒体紛失 未放送だったリポート3件や、必要な加工が施される前の映像が含まれたリポートや番組が少なくとも7件保存されている可能性
47 放送 USBメモリ紛失 2491人分の氏名、住所、電話番号
48 信用金庫 書類紛失 法人顧客149件、個人顧客24件など、あわせて173件の顧客情報 誤廃棄の可能性
49 通販 不正アクセス 顧客525人のクレジットカード情報で、名義、番号、有効期限、セキュリティコードなど
50 地域政策研究所 メール誤送信 114名分のメールアドレス 「Bcc」で送信すべきところを誤って「Cc」で送信したため
51 通販 不正アクセス 最大1万21人分のクレジットカード情報1万395件で、名義、番号、有効期限、セキュリティコード
52 ペット用品 誤掲載 顧客113人分の氏名、住所、メールアドレスなど
53 書類紛失 約25世帯分の世帯主名と世帯人数が記載された調査世帯一覧6枚と、調査区内の住宅や建物の概略が記載された調査区要図2枚、記入済みの調査票1枚など 車上荒らし
54 公益財団法人 メール誤送信 メールアドレス360件
55 メール誤送信 94名分のメールアドレス 「Bcc」で送信すべきところを誤って「Cc」で送信したため
56 保健センター USBメモリ紛失 147人分のカタカナ表記の氏名、生年月日、性別、測定結果など
57 ガス メール誤送信 518件のメールアドレス 「Bcc」で送信すべきところを誤って「Cc」で送信したため
58 書類紛失 2世帯分の世帯主氏名、所在地や建物の名称、世帯員の人数など
59 メール誤送信 メールアドレス79件 「Bcc」で送信すべきところを誤って「Cc」で送信したため
60 通販 不正アクセス 顧客最大519人に関するクレジットカードの名義、番号、有効期限、セキュリティコードなど 偽の決済フォームに入力されたクレジットカード情報が流出
61 銀行 MOディスク紛失 顧客1万4561人の氏名、および2019年12月時点での住所
62 誤送付 申出書には、申出者の氏名、住所、連絡先電話番号、生年月日など ドメスティックバイオレンス(DV)の被害者に関する個人情報が記載された書類を、誤って加害者へ送付
63 通販 不正アクセス クレジットカードの名義、番号、有効期限、セキュリティコードなど1128件の個人情報
64 書類紛失 21世帯分の代表者氏名、住所、世帯員の人数など
65 電力 書類紛失 顧客に関する個人情報16件で氏名、住所、電話番号、電気とガスの契約管理番号、電気とガスの契約メニューなど
66 信用保証協会 メール誤送信 法人114件、個人事業主52件の信用保証情報を含むファイルで、顧客の名称、業種、保証金額、保証期間、金融機関名、保証制度名など
67 銀行 CD-R紛失 取引情報2万4147件、顧客情報3977件で、ATMを利用した顧客の氏名、金融機関コード、支店番号、口座番号、入出金金額、取引後の残高など 誤廃棄の可能性
68 清掃 不正アクセス 顧客の登録情報9480件で、氏名、住所、電話番号、メールアドレス、予約情報、事業者とのやり取り、口コミ投稿した顧客の性別と誕生日、プロフィール画像など
69 書類紛失 交付前のマイナンバーカード2枚 誤廃棄の可能性
70 私立大学 メール誤送信 233名分のメールアドレス 「Bcc」で送信すべきところを誤って「Cc」で送信したため
71 書類紛失 25世帯分の世帯主名、住所、建物の名称、世帯員の人数など
72 書類紛失 対象世帯10世帯分の世帯主氏名、住所、世帯員の人数、回答方法、回答日など
73 スーパーマーケット 書類紛失 顧客の申込書179件で氏名や住所、電話番号、性別、メールアドレスなど 誤廃棄の可能性

9月と10月は、メールの誤送信だけで26件確認されています。

改めて語るまでもなく、電子メールは、あらゆる企業・組織におけるコミュニケーン手段の主流となっています。顧客や取引先とのさまざまなやり取りをはじめ、メールは業務遂行に欠かせない存在です。しかしここで注意すべきは、これだけメールが業務上のコミュニケーション手段として定着しているということは、そこでやり取りされる情報にも機密情報が数多く含まれているという点です。そしてメールの仕組み上、宛先を誤るなどの誤送信によって、そうした機密情報がまったく関係のない相手へと漏えいしてしまうリスクが常につきまとっています。機密情報の漏えいと聞くと、高度なサイバー攻撃やウイルスなどによるものを連想しがちですが、そうした悪意ある攻撃者の手によらずとも、従業員のちょっとしたミスが深刻な機密情報の漏えいにつながってしまう──これがメール誤送信ならではの特徴と言えます。

とはいえ企業側からしてみれば、メール誤送信があったとしても「ついうっかりやってしまい・・・」「ちょっとしたミスならば、次からは気を付けなさい」という社内のやり取りで済ませてしまい、深く問題視しないケースも多いようです。しかしながら、メール誤送信というのは、そのちょっとしたミスが取り返しのつかない事故につながる可能性があります。そして人間はどうしてもミスをしてしまうものであり、メール誤送信は常に起こり得るものだという認識を持つことが重要です 。

メール誤送信の類型要因としては、システムの不具合によるものもあれば、ToとCc、Bccの誤認識、打ち間違え等によるうっかりミスや不注意等の多様な形態があります。その他よくありがちなパターンとしては、メールの転送と返信を間違えてしまったり、オートコンプリート(候補表示)で宛先を間違えてしまうこともあります。また、電子メール送信時は、誤送信しても送信者自身がその事態に気づかないことが多いことも大きな特徴です。

メールアドレス一つだけでも、それは個人情報に該当しますし、誤送信事故が発生すれば企業として管理体制や対応の質が問われることになります。さらに、メールアドレスだけではなく、社外秘の内容や機密情報といった営業秘密や機微な情報が添付もしくは記載されていれば、それだけで企業にとって極めて重大な事故に発展しかねません。

電子メールの誤送信対策としては、システム的な施策(送信前の承認や自動暗号化等)以外にも、人的な脆弱性を克服していくためにも、各自が電子メールを送信する際に宛先、送信内容、同報送信の種類、添付ファイルを十分確認するプロセスについて、あらためて(何度でも)注意喚起し続ける必要があります。

また、日々のメール業務がルーティン化すると、流れ作業のようになってしまい、集中力がなくなったり、緊張感を持って取り組めなくなったりすることもあります。特にほかの業務で忙しいときや、疲労が溜まっているときほど、集中力も緊張感も続かなくなりがちで、メール誤送信のリスクも高くなってしまいます。

メール誤送信の発生原因としては、メールシステムとしては正しく機能しているため、担当者の不注意によるものとして処理され、企業側は謝罪など後始末に追われ、その後は時間と共に忘れ去るという流れも実際にはあるのではないでしょうか。

過去発生した事故を「メールの誤送信だから仕方がない」と放置せず、発生原因の深堀りをその時点で実施すべきです。誤送信の内容、起こした時間帯、その時の担当者の状況、健康状態などを確認して、不注意を起こしてしまう環境になかったのかという点まで遡り、本当の原因を突き止め、再発防止策を考える必要があります。

  • 顧客にせかされて焦っていた
  • 夜10時を回っていて疲弊していた
  • 風邪気味で発熱していた
  • 納期間際で長時間の就業が続いていた

こういった状況があると、幾ら頑張っても「不注意」の事故は発生します。そうならないためにも、こういった場合の運用ルールを事前に取り決めするといったことも再発防止の対策に必要です。特に環境等の外的要因は無かったと判れば、担当者の教育やメール運用ルールの見直しが必要な対策になります。

このように、要因を一つずつ解決していくことが大切であり、事故が発生した際にどのような状態になっているのかを把握し、問題点に応じて解決策を考えていくことが重要です。また、取り組みが一過性のものにならないよう、継続して行える仕組みや運用を検討する必要があります。

セミナーや研修について

当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究部
Mail:souken@sp-network.co.jp
TEL:03-6891-5556

Back to Top