情報セキュリティ トピックス
総合研究部 上席研究員 佐藤栄俊
ドローンと危機管理
7月14日、政府は小型無人飛行機(以下、ドローンという)の夜間飛行禁止などの内容を盛り込んだ航空法改正案を閣議決定しました。
同改正案では、ドローンが空港周辺および家屋密集地上空を飛行する際、国土交通大臣(国交相)の許可を受けなければならないとしており、夜間やドローンを目で確認できない状況では、原則飛行が禁止されることになります。ドローンの禁止区域での飛行は、国交相の許可を得る必要があり、機体の性能や操縦者の技術、地上からの監視体制など安全対策の徹底を義務付けています。
日本でのドローンに対する規制強化の背景には、今年4月22日に首相官邸の屋上でドローンが発見された事件が一つの契機としてあり、さらに、来年のサミットや2020年東京五輪・パラリンピック開催に向けた、原子力発電所(原発)をはじめとする国の中枢機能などの重要施設に対する新たなテロ行為への備えがあります。
その他にも各国の動きとして、数多くの原発の上空でドローンが発見され、テロやそのための潜入・偵察、あるいは原発への抗議・示威活動などの疑いがもたれたことから、規制の在り方や有無について各国(例えば米国では州レベル)で盛んに議論が行われています。
各国・地域のドローンに関する法規制の整備状況として、米国と欧州では、ビジネス利用のドローンに関する法規則案(日中の飛行に限定、目視できる範囲での飛行、高度の限定、特定地域での飛行禁止、操縦者は連邦航空局(Federal Aviation Administration)の試験に合格したものとする等)を提示しています。
ドローンの機体にはGPS(全地球測位システム)やカメラ、地磁気センサー、超音波センサー、姿勢制御装置などが搭載され、ドローン自身が飛んでいる位置や方向を確認、周囲の状況判断が可能であり、商用ドローンはすでに噴火災害や土砂災害における被災地確認に使われています。また、それだけでなく、橋梁やトンネルの点検、配送、測量、警備、農作物の生育状況確認など、幅広い分野で実用化に向けた様々な場面での活用が期待されています(一部は既に実用化されています)。日本でも警視庁や長野県警等が捜査活動やテロ、災害対策等のためにドローンを既に導入済みですが、飛行面での安全性とともに、「侵入」、「密輸」、「盗撮」などの犯罪やテロなどに悪用されてしまう可能性があることから、防犯や安全保障上のリスクも問われています。現時点で考えられる主なリスクを整理すると以下の通りです。
- 施設等へのテロリスク(例:原発・バイオ研究施設や政府関係施設等の重要施設に対する空域からのテロ攻撃、あるいはテロ攻撃を前提とした情報収集・偵察・監視等も含まれる)
- 事故のリスク(例:航空機の墜落、ならびにそれに誘発される電線、地上の人や車両等との接触)
- プライバシー侵害のリスク(例:空撮による個人のプライバシー侵害)
- 輸出入上のリスク(例:武器等の輸出に関する各種規制への抵触)
今後、自動制御による飛行が可能なドローンは、個人を中心に普及しつつあり、ロジスティクスの現場でもさらなる活用が模索、期待されていますが、ドローン機に用いられるコンピュータ上のセキュリティも今後法制化だけでは片付けられない重要な課題だといえます。セキュリティ面からみると、基本的にドローンは「空を飛ぶコンピュータ機器」であり、ネットワークを介したハッキングやマルウェア感染の対象となり得ます。
マルウェアに感染したドローンが、攻撃者によって操作され、内部のデータ(GPSデータなど)も改ざんされる可能性があり、ドローンそのものの乗っ取りとともに、他のスマホやPC、無線LANアクセスポイントをターゲットとした不正アクセスの中継点や踏み台となり得るということも大きな脅威だと言えます。
現状では、ドローンに対する外部からサイバー攻撃を受ける危険性についてはあまり考慮されていない(あまり議論の対象となっていない)と思いますが、意図せずに物理的な凶器にもなり得るだけに、普及を推進する販売者側(あるいは利用者側)のセキュリティ機能強化にも早急な対策・対応が求められます。ドローンを安全・安心に運用するためには、各種の規制の動向に留意し、さまざまなリスクを想定外にしない備え、柔軟かつ迅速な対応が不可欠であると言えます。
【ドローン:drone】
小型無人飛行機の総称。ドローンとは、無人航空機(Unmanned Aerial Vehicle)とも言われ、遠隔操作で操縦したり、プログラミングで一定程度自律飛行したりする無人の航空機である。英語の「雄バチ」や「ぶんぶん飛ぶ音」が語源とされる。第二次世界大戦後、米国などで開発が進んだ無人飛行機が始まりとされ、当初は偵察や空爆といった軍事目的だったが、民間での研究も進み、最近は数万円で購入できるものもある。機種の多くはプロペラを回転させるヘリコプター型。自動制御装置を利用し自動的に飛行するステルスタイプや鳥型・昆虫型、監視目的や迎撃用など最先端技術を駆使した開発・研究も進んでいる。ただ、現代では戦場における無人殺人機と恐れられている。
~ドローンの活用が期待されるシーン~
- 農業(例:農作物の生育状況のモニタリング)
- エネルギーインフラ(例:太陽光発電施設のモニタリング)
- セキュリティ(例:施設の防犯、監視)
- 環境(例:環境調査・モニタリング)
- メディア・エンターテイメント(例:スポーツイベントの撮影、映画の撮影)
- 調査・研究(例:気象観測、野生動物保護・調査、密猟監視)
- 災害対策・防災(例:災害現場の調査・モニタリング)
- ロジスティクス(例:倉庫内輸送、緊急時の物資輸送)
ドローンとプライバシーの問題
ドローンの法規制については現在世界各国においても検討がなされているところですが、飛行規制に関する議論と合わせて、ドローンによるプライバシー侵害についての懸念も指摘されています。ドローンによって「空からの撮影」が容易に可能となることから、「通常予期しない視点から戸建て住宅やマンションの部屋の中などを居住者の同意なしに撮影することも可能」となるといったプライバシー侵害(さらには、個人情報保護法上の「不正な手段による取得」として違反行為になるおそれ)の問題が提起されています。
総務省は6月29日、「『ドローン』による撮影映像等のインターネット上での取扱いに係るガイドライン(案)」を公表し、パブリックコメントをふまえ、ガイドラインを取りまとめる予定としています。
▼総務省「ドローン」による撮影映像等のインターネット上での取扱いに係るガイドライン(案)
▼総務省「小型無人機「ドローン」による撮影映像等のインターネット上での取扱に係る注意喚起」
この総務省の案では、とりわけ、ドローンによる撮影映像等をインターネット上で閲覧可能とすることについて、「当該映像等にプライバシーや肖像権などの権利を侵害する情報が含まれていたときは、インターネットによる情報の拡散により、権利を侵害された者への影響が極めて大きく、当該映像等が人格権に基づく『送信を防止する措置』及び損害賠償請求の対象となる」としたうえで、このような行為を行う者が注意すべき事項をガイドラインとして整理されています。そのうち、ここでは、「具体的に注意すべき事項」について、以下にご紹介します。
- 住宅地にカメラを向けないようにするなど撮影態様に配慮すること。
- プライバシー侵害の可能性がある撮影映像等にぼかしを入れるなどの配慮をすること。
- 撮影映像等をインターネット上で公開するサービスを提供する電気通信事業者においては、削除依頼への対応を適切に行うこと。
また、本案においては、ドローンを用いて撮影した画像や映像をインターネット上で公開する際、そこに写っている人のプライバシーや肖像権、個人情報の保護への配慮とともに、以下のような「警告」の要素を強く示していることに注意する必要があります。
【注意点①】
ドローンを用いて画像・映像を撮影し、さらに被撮影者の同意なくインターネット上で公開した場合、以下のリスクを負うことになる。
- 民事上、撮影者は被撮影者に対して、不法行為に基づく損害賠償の責を負うこととなる
- 浴場、更衣場、便所など人が通常衣服をつけないでいるような場所を撮影した場合には、刑事上、軽犯罪法の対象となるおそれがある
- 個人情報取扱事業者による撮影の場合には、無断での撮影行為は不正の手段による個人情報の収集に当たり、個人情報保護法の違反行為となるおそれがある
【注意点②】
表札、住居の外観、洗濯物その他生活状況を推測できるような私物もプライバシーとして法的保護の対象になることがある。
個人情報の取得と利用に対する感度がこれだけ敏感な今、当然とも思える内容ですが、上記のような問題に配慮しないままうっかり、画像・映像を公開してしまい、それが法的なトラブルに発展するケースが増えるのは大いに予想できるところです。また、個人だけでなく、市街地などを俯瞰して撮影している事業者にとっても、どこまでプライバシーや個人情報をどこまで配慮すればよいのかは今後の大きな課題と言えます。さらに言えば、「報道の自由」との兼ね合いもあり、日本民間放送連盟(民放連)は、「非常時における国民の情報アクセスの妨げになるおそれがある」と指摘しています。その上で、民放各社でドローンの運用ルールの策定を急いでおり、民放連としても安全運航に向けた業界全体のルール策定について必要な対応をおこなうとの説明がなされています。
もっともこうした注意点は、インターネット上に写真や映像をアップする行為全般にも該当することであり、ドローンの利用者のみならず、いつでも撮影し投稿できるスマホやタブレットなどの利用においても、その法的リスクを十分認識しておきたいところです。
その他のトピックス
◆情報処理推進機構(IPA) 「その秘密の質問の答えは第三者に推測されてしまうかもしれません」
7月1日、情報処理推進機構(IPA)は、「2015年7月の呼びかけ」を公開し、「秘密の質問」を利用する際の注意点を呼びかけています。「秘密の質問」は、インターネットの各種サービスにおいて、パスワードを忘れたときや、ネットバンキングなどの本人確認の際に用いられる機能で、「質問」とそれに対応する本人しか知らない「答え」を設定するものです。
しかし、「秘密の質問」の答えが第三者から推測されることにより、アカウントを乗っ取られる可能性があり、パスワードと同様に第三者に推察されにくいものを「答え」に設定する必要があります。
そもそも、「秘密の質問」の問題点として、多くの場合選択式となっており、自分で質問を設定できません。そのため、第三者が知り得る情報が「秘密の質問」に指定されることが多く、本人確認を行う手段として適切ではなく、アカウント復旧の仕組みとして使用するには、安全性も信頼性も十分ではないと認識する必要があります。
サービス利用者側の対策として、「答え」を第三者に推測されにくいものにするという基本的なことと、「自分なりの文字列」や「共通フレーズ」を追加することで、文字数や文字種を増やすことができ、第三者から推測される可能性を減らすことができます。(ただし、異なるサービスで同じ「質問」を選択した場合、推測されにくいとは言え「答え」が同じになります。)
※SNS上で公開している情報(生年月日や電話番号、趣味、交流関係、ペット、家族等)は、悪用する側からすれば「秘密の答え」を推測するヒントになる可能性があるので注意が必要です。
また、サービスを提供する事業者側の留意点として、「秘密の質問」だけで本人確認が完了とならないように、ワンタイムパスワードによる二段階認証、複数の本人確認方法を用意し、利用者が選択や変更あるいは併用できるようして、利用者が「秘密の質問」を安全に利用できるための配慮が求められます。
◆ 金融庁「金融分野におけるサイバーセキュリティ強化に向けた取組方針」の公表について
▼金融分野におけるサイバーセキュリティ強化に向けた取組方針(概要)
7月2日、金融庁は、金融分野におけるサイバーセキュリティ強化に向けた取り組み方針を公表しました。サイバー攻撃の脅威に備えて金融機関との対話を進めるほか、近く庁内に専門部署を立ち上げるとしています。方針の項目は以下の5つを掲げており、同庁の総括審議官のもと、総務企画局政策課に部署を新設し、外部専門家も活用しつつ、情報の収集や分析、施策の企画、検討などを組織横断的に実施や自己点検などを促しています。
- サイバーセキュリティに係る金融機関との建設的な対話と一斉把握
- 金融機関同士の情報共有の枠組みの実効性向上
- 業界横断的演習の継続的な実施
- 金融分野のサイバーセキュリティ強化に向けた人材育成
- 金融庁としての態勢構築
3.の「業界横断的演習の継続的な実施」では、「サイバー攻撃への対応能力の向上には、演習を通じて実戦能力を涵養しつつ、対応態勢等の確認を行い、PDCAサイクルを回すことが有効」としています。
本事項は金融分野以外でも参考になる内容であり、実際にサイバー攻撃が行なわれインシデントが発生するタイミングや攻撃の種類は攻撃者が選択するため、システムの管理者側では予測することが困難です。管理者側の知識や技術が不足している場合や、チーム編成の不備、準備や訓練が十分に行なわれていない、見積りが甘い、などの理由により攻撃を防ぎきることができない可能性があります。演習を繰り返すことで問題点を抽出しそれを改善するとともに、インシデントの処理になれておくことで、組織全体でのサイバー攻撃への対応力を向上させ、被害の拡大を未然に防ぐ意味でも重要だと言えます。
金融分野での大規模な被害としては、今年2月に米国で、大手医療保険会社のAnthemが不正にアクセスされて保険の加入者や従業員の氏名、社会保障番号の個人情報約8000万件が流出したと発表しています。また、今月、米連邦政府は人事管理局から2150万人の政府機関職員や契約業者らの経歴情報が盗まれたと発表しました。機密性の高い社会保障番号のほか、110万人分の指紋情報、学歴・職歴・犯歴、個人資産、家族や交友者の情報、パスワードも漏れた可能性がある。他人になりすましてクレジットカードを作るなど、深刻な影響が出ると懸念されています。
本件だけではなく、サイバー攻撃は日本や米国、そしてオランダやスイスといった欧州の金融機関の被害も多いのが現状です。こうした金融機関から数百万ドル(数億円)が不正送金されており、インターポールやユーロポールはロシアやウクライナ、中国のハッカー集団による犯行の可能性が高いとみています。
日本においても、昨年サイバーセキュリティ基本法が成立したとはいえ、官民ともに、まだまだ外的脅威や(内通者の存在を含む)内部犯行に対する危機意識や事態想定への具体的な対策が十分とはいえません(むしろ、遅れていると自覚すべき状況です)。
最近の個人情報漏えい事故(2015年6月)
下記の表は、先月6月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
| 業種 | 発生原因 | 対象 | 備考 | |
|---|---|---|---|---|
| 1 | 市立中学校 | 鞄盗難 | 生徒99人分のアンケートやテストの回答用紙 | 飲食店駐車場に車を止めて食事をして戻ったところ、車の窓ガラスが割られ、車内に放置していたリュックサックごと盗難に遭う。 |
| 2 | 市 | メール誤送信 | 513人分のメールアドレス | 誤って宛先に設定。 |
| 3 | 労働局 | 書類紛失 | 氏名や生年月日、離職理由などが記載された離職票1名分 | 誤廃棄の可能性 |
| 4 | 市 | 書類紛失 | 世帯主名や世帯員数などが記載された国民生活基礎調査書類22名分 | 業務終了後に自転車で帰宅したところ、途中で転倒し前カゴに入れていた調査関係書類を道路に散乱し紛失。 |
| 5 | 不動産業 | 盗難 | 分譲マンションの顧客86件の氏名や年齢、勤務先名などが記載された書類 | 従業員が車両を一時的に離れた際、窓ガラスが割られ車内に置いていた鞄が盗難。 |
| 6 | 製造業 | 紛失 | イベントで不特定多数の顧客が記入した申込書およそ30枚 | 紛失経緯不明 |
| 7 | 区立幼稚園 | USBメモリ紛失 | 園児13人分の指導計画や、18人分の写真 | 職員が帰宅中に紛失 |
| 8 | 労働局 | 書類紛失 | 労働団体や企業を代表する委員18人の氏名や勤務先、自宅住所、銀行口座などを記載した書類 | 国立公文書館への書類移管の際に紛失に気が付く。 |
| 9 | 航空会社 | 鞄置き引き | 件数、対象は不明。個人情報含む緊急連絡網やテロ発生時の対応資料。 | 電車で帰宅中に鞄を網棚に乗せていたところ置引きに遭う。タブレットにはパスワードを設定。 |
| 10 | 介護業 | 書類紛失 | 介護利用者110人分の氏名や住所、サービスの内容。 | 帰宅途中に紛失。 |
| 11 | 市 | 書類紛失 | 高齢者の氏名や住所、電話番号など89件が含まれたひとり暮らし高齢者基礎調査に関する名簿と調査票。 | 民生委員が自宅クローゼットに保管していたものを紛失 |
| 12 | 市立中学校 | USBメモリ、SDカード紛失 | 生徒161人分の氏名や電話番号、学校行事の写真 | 教諭が同僚と飲酒して帰宅する途中、自宅近くのバス停付近で寝込み、翌朝、USBメモリやSDカードなどを入れた鞄がなくなっていた。 |
| 13 | 国立大学 | 書類紛失 | 学生の住所届183枚で、当該書類には、学生の氏名や住所、本籍地、メールアドレスのほか、保護者の氏名や住所、勤務先。 | 学内便を利用して送付した書類を紛失。 |
| 14 | 県立高校 | 書類紛失 | 生徒の名簿 | 教諭が清掃ボランティアに付き添うため、参加者の名簿を持ち出したところ、駅近くの公衆トイレ内に名簿を置き忘れた。その後発見、回収。 |
| 15 | 市 | 書類紛失 | 消防署の職員が封筒で保管していた普通救命講習の修了証89人分の氏名や生年月日など。 | 事務室での業務過程で紛失 |
| 16 | エネルギー | 携帯端末紛失 | 顧客の氏名や住所 | 同社では端末には2重のパスワードが設定されており、情報の外部流失はないとしている。 |
| 17 | 県 | ハードディスク紛失 | 畜産農家の住所や電話番号の他、関係団体の連絡先など約1万件 | 職員が仙台市内で酒を飲んで帰宅したところ、自宅近くの屋外で寝込み、翌朝、私物ハードディスクを入れた鞄がなくなっていた。 |
| 18 | 国立大学 | ノートPC盗難 | 学生と教職員271人分の氏名やメールアドレス、成績 | 教員が海外出張先でかばんごと盗難 |
| 19 | 大学付属病院 | 不正アクセス | 患者250人分の名前や病名、病状の進行具合 | 標的型攻撃メールによるウィルス感染 |
| 20 | 区役所 | 盗難 | 私立保育園1か所の園児84人分の個人情報が書かれた名簿 | 受付から持ち去られる。 |
| 21 | 県 | 誤発送 | 難病患者に医療保険に関する文書を通知する際、41人分の住所を一部間違えて発送 | |
| 22 | 農業関連 | 不正アクセス | 取引先担当者約250人の氏名、会社情報、メールアドレス | |
| 23 | 厚生労働省 | 誤送付 | 労働保険関係の書類58件のあて先を誤って送付 | 委託先事業者による事故 |
| 24 | 国立大学 | 書類紛失 | 学生の名前や現住所、電話番号の保護者の名前、住所366人分 | |
| 25 | 私立大学 | 不正アクセス | 学生や教職員など延べ約3300人分の氏名やメールアドレス | 標的型攻撃メール |
| 26 | 厚生労働省 | 誤送付 | 58件分の事業所の名称や住所、事業主の氏名、労働保険番号、申告済みの概算保険料額、保険料率 | 委託先事業者による事故 |
| 27 | イベント | メール誤送信 | 166件のメールアドレス | 誤ってCcに設定 |
| 28 | 通販 | 不正アクセス | クレジットカード情報2万8212件 | 3月16日にバックドアが設置され、プログラムの改ざん |
| 29 | 農協 | 書類紛失 | 14件の長期共済契約申込書 | 誤廃棄の可能性 |
| 30 | 県 | 誤記載 | 128人分の氏名や居住地、生年月日、受給者番号、指定医療機関の名称と所在地など記載された案内書。 | |
| 31 | 市立小学校 | USBメモリ紛失 | 児童245人分の名前や顔写真 | 私物のUSBメモリ1個を校内で紛失「5年ほど前から、忙しい時に自宅で作業するため持ち帰っていた。認識が甘かった」とのこと。 |
「19」「22」「25」「28」の事案通り、6月から7月にかけてECサイトや大学・研究機関、病院への不正アクセスやWebサイト改ざんによる事故や被害が多発しています。その多くが被害を受けていること、または加害していることに自発的には気が付かないこと(クレジットカード会社や決済代行会社、消費者や特定団体等の第三者からの通報で発覚)が問題として挙げられます。特にWebサイト改ざんによる被害は、事業規模やサービス内容にかかわらず、自社においても対岸の火事として放置しておくことができません。自社におけるシステム管理上の不備や脆弱性をあらためてチェックし、手当てを施す必要がありますので、情報処理推進機構が紹介している以下の点検を是非ご参照ください。
◆ 情報処理推進機構(IPA) 「ウェブサイトへのサイバー攻撃に備えた定期的な点検を」
7月14日、情報処理推進機構(IPA)は、Webサイトへのサイバー攻撃が後を絶たない状況を踏まえ、ウェブサイト運営者および管理者に対し、システム上点検と基本的対策の実施を呼びかけています。
【重点的に点検するポイント】
(1) 利用製品(プラグイン等追加の拡張機能も含む)の最新バージョンの確認
- 目的:脆弱性が解消された最新バージョンの公開を確認するため
- 対象:ウェブサーバー等のウェブシステム、ウェブサイト運用管理用PC
- 頻度:数週間~1ヶ月に1回程度
(2) ウェブサイト上のファイルの確認
- 目的:改ざん等されていないか確認するため
- 内容:ファイルのリスト(ファイル名、サイズ、更新日時、ハッシュ値(※)取得と比較
- 頻度:1週間に1回程度
(3) ウェブアプリケーションのセキュリティ診断
- 目的:自社のウェブアプリケーションに脆弱性が存在しないか確認するため
- 対象:ウェブサーバー
- 頻度:1年に1回程度、および機能追加等の変更が行われた時
【基本的対策】
▼IPA「安全なウェブサイトの構築と運用管理に向けての16ヶ条~セキュリティ対策のチェックポイント~」
▼IPA「ウェブサイト改ざん対策に関するよくある相談と回答(FAQ)」
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究室
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
