情報セキュリティ トピックス
総合研究部 上席研究員 佐藤栄俊
みなさま、こんにちは。今週の『コラム&レポート』は、「情報セキュリティトピックス」です。
忘れたくても、忘れられないこと(2)
リベンジポルノ
リベンジポルノを防ぐための「私事性的画像記録の提供等による被害の防止に関する法律」が、平成26年11月19日に成立しました。
この法律は、第三者が撮影対象者を特定できる方法で、個人的に撮影した性交又は性交類似行為や性器等が写っている画像記録などを、インターネットに掲載したり、不特定多数に提供するなどした場合に、3年以下の懲役、または50万円以下の罰金に処することなどを内容にしています。
しかし、このような法律ができたからといって、リベンジポルノがなくなるというわけではありません。被害に遭わないためには、撮影をしない・させないということが重要です。また、リベンジポルノにつながるような写真を投稿、提供しないことなど、被害の発生を未然に防ぐための教育・啓蒙が求められます。
リベンジポルノとは、恋人や配偶者と別離するなどした場合に、その意趣返しに裸体や性的な写真・動画をインターネットで公開する行為です。多くの端末にカメラが搭載されるようになった今、夫婦や恋人たちの間で撮影される性的な写真は多数にのぼる可能性があります。それを示す一つの根拠としてマカフィー株式会社の調査資料を参考にしてみましょう。
マカフィーは、「バレンタインをソーシャルメディアで祝う計画はありますか?」「Eメール、メッセージまたはソーシャルメディアページを通じてバレンタインデーにセクシーな画像またはロマンチックな画像を送りますか? 」とのソーシャル・バレンタインに関する調査結果を発表しました。
日本人は、動画や画像を送る割合は低いという結果が出ている一方、祝福に際しては、写真の公開を好む側面もあるということが指摘されています。
写真の公開に抵抗がないということに対し、マカフィーでは、”ソーシャル・バレンタイン”における安易なプライベート情報の公開や行動は避けるよう呼びかけています。
絶対に人に知られたくないような情報、過去におこなった逸脱行為や見られたくない写真などが万一流出してしまった場合、現状ではそれを回収、消去する手段がありません。
法的な手段に訴えることは可能ですが、1つの情報をおさえたところでコピー(複製)のコストが現状ゼロに近い状況では「魚拓」と呼ばれる類の複写をすべて消すことは不可能に近いといえます。
IPAからの注意喚起
独立行政法人情報処理推進機構(IPA)は、12月1日、「2014年12月の呼びかけ」を公開し、「性的脅迫」について注意を呼びかけています。「性的脅迫」は「セクストーション」とも呼ばれ、「sex(=性的な)」「extortion(=脅迫)」が組み合わされた造語で、被害者のプライベートな写真や動画を入手して、それをネタに脅迫する行為を指します。
※「リベンジポルノ」が、元恋人・配偶者などによる嫌がらせ行為なのに対して、「セクストーション」は、最初から脅迫の意図を持って、SNSやアプリを悪用しているのが特徴です。
【IPAに寄せられた相談内容】
「SNSを通じて知り合った異性から、プライベートな動画を見せ合おうとビデオチャット機能を持つアプリをスマートフォンにインストールするよう持ちかけられた。その後、アプリをインストールしてビデオチャットの最中に服を脱ぐなどしてしまった。後日、見知らぬ番号から着信があり、『あなたの電話帳の情報と動画を入手している。この動画をばらまかれたくなければ、指定の金額を払うように』という脅迫電話がかかってきた」。
▼ 独立行政法人情報処理推進機構「個人間でやりとりする写真や動画もネットに公開しているという認識を!」~スマートフォンの不正アプリによる性的脅迫被害に注意~
こうした性的脅迫の手口は、以下のような特徴があります。まず、攻撃者はSNSなどを使って、ターゲットとコンタクトを取り、信用させ、ビデオチャット用のアプリをインストールするよう持ちかけてきます。このアプリは実際には電話帳データを窃取する機能がある不正アプリで、アプリをインストールさせてから、プライベートな動画のやりとりを持ちかけてきます。ターゲットは、不正アプリを通じて電話帳の情報を窃取され、さらに、プライベートな動画のやりとりを行ったときの動画データを攻撃者に保存されてしまう。そして、窃取した電話帳の登録者にプライベートな動画をばらまくと脅され、金銭を要求されるというものです。
なお、万が一、性的脅迫と思われる被害に遭い、プライベートな動画をばらまくと金銭を要求された場合には、相手に対してうかつに連絡することは避け、警察へ相談することなどを検討する必要があります。
繰り返しになりますが、一度、相手の手に渡ってしまった情報は削除することも、取り返すことも、ばらまかれてしまうことを抑止することも困難です。今や、特定の相手に写真や動画を渡すことは、インターネットに公開することと同じという認識を持つ必要があります。会ったことのない相手はもちろんのこと、友人や恋人であっても、第三者に見られたら困る写真・動画を撮影させたりデータを送ったりしないことを肝に銘じなければなりません。また、年配者や上長者はそのことを若者に厳しく教育・指導しなければなりません。
青少年の保護
児童や青少年がSNSで知り合った見ず知らずの人に性的な画像を送信し、トラブルに発展する事例も多発しています。言葉巧みに送信させられたり、脅迫によるもの、あるいは金銭目的で児童・生徒の側からもちかけるケースがあります。
▼ 警察庁「コミュニティサイトに起因する児童被害の事犯に係る調査結果(2014年上半期)」
社会環境の変化にともない、教育事業者や保護者は、青少年の保護・育成の観点から必要な対策と教育を実施する必要があります。
SNSや出会い系サイトのみならず、インターネットを安全に利用できるようになるためには、うかつに自身の画像をSNSに晒すことの危険性を警告し、トラブルに巻き込まれないための相応の知識と判断力を身につけることが求められています。
いま自分がおかれている状況が安全なのか危険なのか、その判断はインターネットの世界では大人でも困難ではあります。それでも、人生経験がまだ少ない子どもには、なおのこと丁寧で十分な教育とフォローが必要です。
関連するトピックス
■ 警察庁 「ストーカー行為等の規制等の在り方に関する有識者検討会」」
ストーカー規制対象行為の拡大として「SNSを用いたメッセージ送信をつきまとい等として法の規制対象とするべき」「将来を見据えて意思の伝達手段を包括的に規制する方向で検討すべき」としています。
■ 総務省「インターネットリテラシー・マナー等向上事例集」の公表
総務省では、青少年や保護者等を対象にインターネット上のリテラシー等の向上のための取組を行っています。各地の学校や自治体、企業、NPO等が自主的に活動をしている様々な事例を総合通信局等から収集し、「インターネットリテラシー・マナー等向上事例集」として取りまとめています。
■ 総務省「平成26年度 青少年のインターネット・リテラシー指標等」について
1日当たりの使用時間(平日)をみると、スマホは「1~2時間未満」が最も多い(29.1%)が、スマホ以外の機器は「1時間未満」が最も多いという結果が得られています。また、スマホやSNSを使う際、家庭のルールがある青少年は、家庭のルールがない青少年よりフィルタリング等(有害なサイトやアプリの閲覧を制限し、安心にインターネットを使うことを可能にしてくれるもの)への理解に対する正答率が高く、リテラシーが高いという結果が得られています。
最近の個人情報漏えい事故(11月)
下記の表は、先月11月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
| 業種 | 発生原因 | 対象 | 備考 | |
|---|---|---|---|---|
| 1 | 市 | 書類誤送付 | 1名 | 源泉徴収票を誤って別人に送付 |
| 2 | 市立小学校 | 書類紛失 | 児童349名分の氏名、学年、クラス | 遠足の際に班編成表を紛失 |
| 3 | 大学病院 | メール誤送信 | 患者の個人情報53名分 | |
| 4 | 労働局 | 書類紛失 | 労災対象者38名分 | 保管書類の内部定期観察で発覚 |
| 5 | 市 | 書類誤廃棄 | 生活保護受給世帯71件分 | シュレッダーで誤って断裁処理 |
| 6 | 市立小学校 | USBメモリ紛失 | 児童36名分の通知表の所見や写真など | 運動会で目を離したすきに鞄ごと盗難 |
| 7 | 放送局 | 帳票紛失 | 顧客情報1件 | 誤って廃棄した可能性 |
| 8 | 放送局 | 帳票紛失 | 顧客情報7名分 | |
| 9 | 銀行 | 印鑑届紛失 | 印鑑届8000枚 | 誤って誤廃棄した可能性 |
| 10 | 県立高校 | 書類紛失 | 生徒や看護師337名分の氏名、電話番号等 | 修学旅行中にマニュアルの紛失 |
| 11 | 証券会社 | 書類紛失 | 顧客180名分の住所や預かり資産額など | 支店内で誤廃棄した可能性 |
| 12 | 大学 | 設定ミス | 不明 | ネットワークHDが閲覧可能な状態にあった |
| 13 | イベント主催事務局 | メール誤送信 | 450名分のメールアドレス | 誤って宛先に記載 |
| 14 | サイト運営 | 内部不正 | 約1万7000件の求人登録情報 | 私電磁的記録不正作出、同供用の疑いで警視庁に再逮捕 |
| 15 | 信用組合 | 書類紛失 | 顧客情報含む3586件の伝票 | 誤って廃棄した可能性 |
| 16 | 区役所 | 書類紛失 | 訪問先で落として、その後ゴミとして廃棄された | |
| 17 | 県 | 業務委託先によるメール誤送信 | 135名分のメールアドレスや顔写真付き履歴書 | メーリングリストの設定ミス |
| 18 | 県立高校 | 誤送付 | 生徒48名分の氏名や住所 | 誤ってリストを添付 |
| 19 | 市立小学校 | 所在不明 | 生徒33名分の氏名、健康診断結果 | 施錠保管されておらず |
| 20 | 商工会館 | メール誤送信 | 87名分の氏名とメールアドレス | 誤って宛先に記載 |
| 21 | 県 | ウェブで公開 | 1401人分の住所や電話番号 | 設定ミス |
| 22 | 出版 | ウェブで公開 | 2,103名分の氏名、住所、電話番号 | 設定ミス |
| 23 | 広告 | 不正アクセス | 2,821名分の氏名、住所、電話番号 | 外部からのシステムへの不正ログイン |
| 24 | 運輸局 | 口頭 | 3件分の車体番号 | 職員が、外部から車台番号を教えるよう強要され、3台の車台番号を口頭にて伝えたことにより流出した。 |
| 25 | Webサービス | ウェブで公開 | 125名分の氏名、住所、口座情報など | 設定ミス |
(1) 意図的な情報の持ち出しについて
14番は、先月の「情報セキュリティトピックス10月号」でも取り上げた事案です。医師向けの求人情報サイト運営会社元従業員が勤務先から医師や看護師の情報を大量に持ち出したとして不正競争防止法違反(営業秘密の複製)の疑いで逮捕されたものです。
2012年5月にシステム管理の担当者であった元従業員が、新会社設立のためにデータベースにアクセスし営業秘密に当たる登録医師などの約1万7000件の個人情報(氏名、住所、生年月日、学歴、勤務先)を不正に複製し入手したとされています。
その後、元従業員は私電磁的記録不正作出、同供用の疑いで警視庁に再逮捕されています。同社の発表によると、元従業員は同社の社長や役員に送られたメールを、自分のメールアドレスに自動転送されるようにサーバを設定し、メールを不正に受信し、盗み見た疑いが持たれているとのことです。
システム管理者による不正な設定変更(特に上記のようなメール転送等)は検知が特に困難であるといえます。重要データへのアクセス以外にも、システム変更、業務手続変更等で現状の設定が相応しいかどうかという所も、相互に監視する用意と仕組みが必要になると言えます。
(2)口頭での情報漏えい
24番の事案は、口頭での情報漏えいです。本事案は職員が強要され、外部の人間に車体番号を伝えたことによる情報漏えいです。車台番号から車の所有者の住所や氏名などが記載された登録事項等証明書が交付され、個人情報が入手可能になったということです。
口頭での情報漏えいに関する報告件数は少ないものの、家族や友人、職場の仲間内でうかつに重要情報を発言してしまい、漏えい事故に発展するケースは以前からあります。
また、申出者が本人であるかの確認を十分におこなわないまま、本人以外の第三者に個人情報を伝えてしまった等の事故もあります。更に、業務上知り得た個人情報を、「ウワサ話」のような軽い気持ちで誰かに伝えたことによって、苦情に発展するような場合もあります。どこで、誰が、会話を見聞きしているかはわかりません。また、それを相手が、どこでその情報を拡散しているかもしれません。特に、移動中の電車内や休憩所、喫煙所、居酒屋などでの会話が重要情報の漏えいになる可能性があるので、注意が必要です。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究室
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
