公開資料・報告書をお探しの方

【第１位】 6月27日　JR東日本のSuica履歴情報提供に疑問符！
　　　〜ビッグデータの利活用には疑問・不安の解消が不可欠？〜

6月27日、JR東日本からSuicaの履歴情報の提供を受け、その履歴情報を利活用したマーケティング情報提供サービスを開始すると、日立製作所(以下日立)が発表した。[＊1] 発行枚数4千万枚以上のSuicaの情報を「ビッグデータ」として分析し、駅周辺に展開する事業者に提供するという。

これに対し「行動が監視されている感じが嫌だ」「気持ち悪い。何だか嫌だ」「個人情報の第三者への提供ではないのか？」といった声があがった。発表の中では「個人情報は含まない」とあったものの、提供情報の詳細は説明されておらず、利用者の反応も当然なものであろう。上記は日立の単独発表であり、JR東日本からは、ようやく7月25日になってどのようなデータをどのように提供するかの説明があった [＊2]。 住所・氏名等は提供せず、SuicaのIDを復元できない形に変換し長期間の追跡もできないようにした上で、乗降情報のみを提供するという。また、提供データから個人を特定する行為は契約で禁止しているとのこと。

上記のような批判的な反応は予想できたはずだが、日立の発表内容に対して上がった声に対してJR東日本の説明があったのは、日立の発表から1ヶ月も後になってのことだ。情報を提供するJR東日本も、提供をうけ活用する日立も、Suica利用者に対する十分な説明を果たすべきであった。しかし、そもそもの説明の準備自体をJR東日本はしていなかったようだ。「個人情報を含まない」と言うが、何をもって「個人情報」といっているのか。そもそも、利用者の興味は「(狭義の)個人情報」というよりも「プライバシーに関わる情報」がどのように扱われるか、という点であろう。
　また、ビッグデータの解析の結果として、予想外な形で個人を特定することができてしまう懸念はないのか？「個人を特定することができない」「長期間の追跡ができない」とはどのような技術的な裏付けがあるのか？これらの疑問に的確な答えを用意しておく必要がある。

メディアでの取り上げ方もありSuica（交通系ICカード）の情報が注目されたが、電子マネーや各種ポイントカードの利用は広く普及し、数多の利用履歴がまさにビッグデータとして事業者に蓄積されている。ブログやSNSなどの浸透により公の場であるインターネット上にもネット・リアルの行動履歴が蓄えられてきた。官の分野にも大きなデータの蓄積がある。

これらのビッグデータを新たな知の源泉として利活用することで、新サービス・新産業の創造、さらには経済の生産性向上や社会課題の解決につながると、大きな期待をかけられてもいる。このようなビッグデータを利活用するにあたっては、今回のような疑問・不安の声に真摯に耳を傾けなければならない。そして、ビッグデータ活用者が尊守すべき規範の策定や法整備などに早急に取り組む必要がある。

---

【第２位】　3月20日　韓国へのサイバーテロ攻撃
　　　〜コリア大変だ！日常生活に迫る脅威〜

3月20日14時、韓国の銀行や放送局をねらった同時多発の大規模なサイバー攻撃が発生した。
　この攻撃は、被害のあった企業へ影響をあたえただけではなく、銀行のATM、インターネットバンキング等の取引が同時に停止し、多くの国民にも影響がでた ことからサイバーテロといえる。この事件により、サイバーテロ攻撃は一般の人からは遠い世界と思われていたが身近にも発生するかもしれないと認識を改める機会となった。

本攻撃の特徴を３つ上げると次のようになる。
　１つ目は、国家間規模のサイバーテロが行われた点である。従来のサイバー攻撃は、攻撃対象およびその周りの組織への被害の影響でとどまっていたが、今回は直接の攻撃対象ではない国民の生活に大きな影響がでており、それが攻撃目的であった可能性が高い。また、今後、このような攻撃が日本を対象に 起こされる可能性は否定できない。
　２つ目は、これほどまでに同時且つ大規模にできたのは、皮肉にも資産を守りプログラムを最新にする資産管理サーバを通じて、データを破壊するマルウェアが配布されたことにある。本来、システムを守る機能を逆手に利用されたといえるが、これらは狙われる傾向が高くなっており、 運用に細心の注意が必要となっている。
　３つ目は、多くのサイバー攻撃の被害は、情報漏えい、サイト改ざんや サービスの一時停止などとしてあらわれるが、今回は多くのコンピュータの ハードディスクなどのデータ破壊（サボタージュ）が行われた点である。データを破壊されることは、ITに依存する企業の事業継続にとっては大きな 痛手となる。いざという時に備え重要なデータのバックアップは必須である。

これら強力な攻撃に対しては、標的型攻撃と同様に、内部に侵入された場合 でも大きな被害に発展しないように多重防御を進めることと、広範囲の被害を 前提にしてＢＣＰ（事業継続計画）を見直す必要がある。

---

【第３位】　11月22日　Windows XPサポート終了への対応に遅れ
　　　〜試されるセキュリティマネジメント〜

11月22日に行われた政府の閣議後の記者会見で、新藤総務大臣から、 WindowsXPのサポート期間の終了に関する発言があった。 地方公共団体が所有する203万台のパソコンのうち13.1%にあたる 26万6千台が、XPのサポート終了期限である2014年4月までに更新が 完了しないことが判明したため、改めて更新を進めるよう要請を行ったとの内容である。
12月12日には、内閣官房副長官が議長を務める情報セキュリティ対策推進会議に おいて「ウィンドウズXP、複合機等の使用・対策状況に関する全府省庁への調査結果について」が報告された。98%以上のWindows XP機は対応の目途が立っているものの、5千台がまだ取り残されていることが報告された。

これらは地方公共団体や官公庁だけの話ではない。一般の法人においても状況はよくない。調査により差はあるが、サポートが切れた後の2014年6月末時点で300万台以上がXPのまま残るという予想や、さらにその１年後の 2015年においても現在の三分の一程度のXP機が稼働しているという予想、 製造加工業の組込系システムでの対処が特に遅れるという予想などもある。

サポートが終了したOSを使い続けるのが危険な行為であることは言う までもない。苦肉の策で、インターネットや組織内LANと接続せず使い続けることを考えている組織もあると聞く。しかし、それがうまくいく可能性は低い。外部と接続しないからという理由でセキュリティ対策を取らなかった業務用システムがウイルスに感染して機能停止した例は過去に数多くある。外界から遮断され軍事施設の設備として厳重に守られていたはずのイランの核燃料システムでさえStuxnetに感染して大きな 被害を受けた。急場しのぎの泥縄的な対応が通用するほどセキュリティの世界は甘くない。

PCの更新や業務アプリケーションの新OSへの対応などは、 確かにそれなりの負担となる。しかし、WindowsXPのサポート終了の時期は以前からわかっていたことである。費用の捻出や工数の確保、 組織内の教育などを含め、対応を計画的に進めることが出来ずして、組織のセキュリティマネジメントが正しく行われているとは言い難い。

---

【第４位】　9月19日　日本を狙いとした高度な標的型攻撃による被害を確認
　　　〜高度化する標的型攻撃、日本でも求められる不断の対策〜

9月19日、ラック社は、9月18日にマイクロソフト社が公表したInternetExplorerの脆弱性の悪用を含む高度な標的型攻撃により、国内で実際に被害が発生したことを確認したと発表した[＊1]。しかも、その後伝えられたところによると、この攻撃は日本のみを狙ったものである可能性が高いという[＊2]。

この攻撃の特徴は、2つの攻撃手法を組み合わせている点にある。 第1に、悪用されたInternetExplorerの脆弱性はその時点では未公表であり、ゼロデイ攻撃であった。第2に、最近の標的型攻撃の代表である、いわゆる「水飲み場型攻撃」であった。すなわち、攻撃対象としている業界、企業などを主な利用者とする、相対的にアクセス数の少ないwebサイトを改ざんし、 攻撃対象者の端末をマルウェアに感染させる手法である。しかも、今回確認された攻撃では、攻撃対象に合致するIPアドレスまたはドメインからの アクセスに対してのみ不正なコードを返すように改ざんされていたという。

標的型攻撃という用語が登場して久しいが、進化した複数の手法が 組み合わされて高度化しており、しかも日本を明確な目標とした攻撃が実在することが、この事案により明らかになった。さらに、標的型攻撃の性質上、今も気づかれないまま国内で幾つもの攻撃が進行中である可能性も否定できない。日本語や日本独自のアプリケーションなど、日本の特殊性により日本のネット利用者が守られていた時代は、 完全に過去のものになった。

今回のような被害を防ぐには、webサイト管理者、利用者の双方に よる防御が必要である。webサイト管理者は、自分のサイトが比較的小規模であったとしても、攻撃を受ける可能性が十分あることを再度認識し、脆弱性を排除する取り組みを継続することが求められる 。利用者にとっては、今回の攻撃はゼロデイで防ぎようがなかったが、だからといって何もしなくてもよいわけではない。OSやアプリ ケーション、ウイルス定義ファイルの最新化など、基本動作の徹底だけでも攻撃者から身を守る効果を十分に高めることが可能である。

---

【第５位】8月1日 アカウントリスト型ハッキング
　　　〜パスワード　守れぬあなたの　明日はどう？〜

8月1日、独立行政法人情報処理推進機構は「全てのインターネット サービスで異なるパスワードを！」と呼びかける文書を発信した 。本年４月以降複数の国内インターネットサービス事業者がアカウントリスト型ハッキングにより不正なログイン被害を受けている。
　この攻撃は事前に他のサービスで利用されるIDとパスワードの リストを入手しておき、プログラムなどを利用して攻撃対象とするサービスに入力することでログインを試みる方法である。 実際に使用されているIDとパスワードの組み合わせは、これまでの総当たり攻撃や、辞書を元にした攻撃よりもはるかに高い成功率でログインできるという。
　この攻撃はユーザが色々なサービスで同一のIDや パスワードを利用していることから成立する攻撃である。 これまでも様々な場面でパスワードの使い回しや脆弱なパスワードの設定に対する危険性が叫ばれていたが、 この攻撃はそれが顕現したものであるといえる。
　今やIDとパスワードでアクセスコントロールされるサービスは多岐にわたり、各人の使用数も増えている。 あるセキュリティベンダーが過去に行った調査によれば、一人あたり平均１４のサービスを利用しているという。 しかしその１４のサービスに対し１〜３個の パスワードしか使用していない人が大多数であるようだ。
　当然非難されるべきはそのリストを漏らしてしまった事業者であるが、水も安全もただではない世界の 住人として、被害を受ける利用者にもやはり自衛を促したい。 残念ながらこれもいつまで安全でいられるかわからないが、 現在のところは最低限、以下のことを守って パスワード運用を行うのはどうだろうか。

○パスワードは英数記号を混ぜて８文字以上で設定する。
○サービスごとにパスワードは違うものを設定。最低限金銭に係るサービスのパスワードはそれぞれ別のものを設定。
○三ヶ月、あるいは半年程度でパスワードを変更する。

攻撃者は今日もどこからかリストを入手して攻撃の チャンスを狙っているかもしれない。この年末年始の間が、見直しをしてみる良い機会ではないだろうか。

---

【第６位】5月24日　Webサイト改ざんの多発
　　　〜Webサイト管理の徹底が叫ばれ続けた1年〜

今年はWebサイトの改ざんが多発し、その注意喚起がセキュリティ機関から立て続けに出された年であった。 5月24日に警察庁＠policeから、6月4日にIPA（独立行政法人情報処理推進機構）から、6月7日にはJPCERT（Japan Computer Emergency Response Team）コーディネーションセンターから相次いでWebサイト 改ざんに関する注意喚起が出された[＊1][＊2][＊3]。
　また、これら注意喚起にも関わらずWebサイト改ざんの被害は止まらず、9月に入ってIPAから再び注意喚起がなされた[＊4]。

これら改ざんを引き起こす攻撃の代表的な例として次のものがあげられる。

(1)サーバの脆弱性の悪用によるもの
　サーバ上で動作する古いバージョンのプログラムに含まれる脆弱性を悪用した改ざん。特に、Webコンテンツを体系的に管 理するためのソフトウェアであるコンテンツマネジメントシステム（CMS）の脆弱性が狙われる事例が多く、9月にIPAから、 旧バージョンのCMSを利用するWebサイトの脆弱性対策を要請する注意喚起が出されている[＊5]。

(2)Webサイト管理用パソコンのFTPアカウント情報漏洩によるもの
　セキュリティ対策が不十分なWebサイト管理用パソコンから窃取された認証情報を悪用した改ざん。

このような改ざんを防ぐためには、サーバの脆弱性対策の確実な実施、また、アカウント管理の見直しやWebサイト更新場所の限定、Webサイト更新専用パソコンの検討などWebサイト運用の再確認が必要である。

今年多発した改ざんインシデントはWebサイトを提供する側での管理の不徹底に対し警鐘をならすものと捉えることができるのではないか。提供者の責任として、確実な管理の徹 底を望みたい。なお、ユーザ側においても自己防衛のために、常日頃から言われている基本的なセキュリティ対策の確実な実施が求められるのは言うまでもない。

---

【第７位】4月19日 改善が求められるネット選挙
　　　〜選挙活動普及前に求められる送信者の成りすまし対策〜

2013年の新しいインターネット利用例として選挙活動への利用があげられる。ネット選挙解禁の背景には、 選挙活動のインターネット利用に伴う情報配信・伝達の 効率化と選挙活動費用の削減などがある。これらを目的として、4月19日に「インターネットを使った選挙運動を解禁する改正公職選挙法」が成立し、いわゆるネット選挙が解禁となった。

一部には特定政党や候補者に対するネガティブキャン ペーンが行われたなど、ニュースサイトや紙面を賑わしたわりには、選挙活動のインターネット利用は実際には進まなかった感がある。

ネット選挙に関する規制や禁止事項は、総務省から事前に公表[＊1]されていたものの、何が許可され、何が禁止なのかを十分に説明できたかというと疑問が残るところである。例えば、「他人の選挙運動メッセージをSNSでリ ツイートすること（未成年者は公職選挙法によって選挙運動自体が禁止）」、「送られてきた選挙運動用電子メールを他人に転 送すること」等が禁止されている。しかし、これらの禁止事項は、あくまで例示であり、選挙運動にあたるかどうかは、個別具体的な事実関係に即して判断されると但し書きされているため、 詳細な判断は、一般的なインターネット利用者にもわかりにくいものである。

インターネットの安全な利用という基本に立ち戻った場合、新しい情報配信にインターネットを利用する場合に求められる最も初歩的な対策は、送信者の成りすましや成りすましに伴うフィッシング対策である。JNSAでは 「ネット選挙の不審なメール受付サイト[＊2]」と集計結果 の分析[＊3]等の活動を行ってきた。集計結果の分析では、「ネット選挙の不審なメール」の大半が選挙活動に関係のないスパムメールやフィッシングなどであった。
　このような状況が今後も続くようであれば、ネット選挙が普 及するに連れ、電子メールの成りすましが増加することとなり、 ひいては安全なインターネット利用が阻害されるおそれもある。 次の国レベル及び地方レベル等でネット選挙が利用される前に、 少なくとも正当な送信者を確認し、電子署名を付加した電子メール送信を義務付けるなど、送信者の成りすまし対策が実施され、ネット選挙の政党、候補者、有権者等が安心して利用できる環境を構築することを強く望むところである。

---

【第８位】6月5日　スノーデンによる米NSA盗聴活動の暴露
　　　〜暴露・訪露・そして放浪するサイバー空間ガバナンス〜

6月5日、英ガーディアン紙は、米国家安全保障局（NSA）が 一日数百万件の電話記録を盗聴していると報道。翌6日には米ワシントンポスト紙が、NSAとFBIが「PRISM」と呼ばれる 諜報プログラムを用いて大手IT企業9社のサーバから直接、 電子メールを含む各種データを取得・分析していると報じた。 更に9日、香港滞在中のコンサル会社職員エドワード・スノー デンが「自分は元NSA/CIA局員であり、一連の告発者は自分である」と名乗り出た。上記報道を受け、米政府は同22日 にスノーデンに対する逮捕状を発行。スノーデンはモスクワ へと逃亡した後、1年間の滞在許可を得てロシアに入国した。
　スノーデンによるNSA盗聴に関する暴露内容はおおよそ以下の通りである。

　○諜報プログラム「Boundless Informant」を開発、 米国内で30億件/月、全世界で970億件/月の電子メールおよび通話記録を盗聴
　○50億件/日に達する携帯電話の位置情報を取得
　○過去に6万件を超えるクラッキングを実行
　○ドイツ、フランス、イタリア、日本など同盟国政府や大使館も盗聴対象に

スノーデンによる告発の動機が何であったにしろ、本事件はサイバー空間における国家の関与について激しい議論を巻き起こしている。米政府は従来より「サイバー空間における人権、特にプライバシーと言論の自由を尊重すべき」と主張し、強力な情報統制を行う中国政府を度々批判してきた。しかし、スノーデン事件を通じて米国の建前と本音が露呈したことで、サイバー空間における「自由と規制のバランス」「安全保障とプライバシーのバランス」という困難な問題が浮き彫りになった。10月に開催された「サイバー空間に関するソウル会議」においても、「自由と安定の両立」を主張する米英陣営と「政府主導による統制強化」を主張する中露陣営との意見対立が明らかになっており、サイバー空間のガバナンス構造が今後どのように変化していくのか、要注目である。（スノーデンの亡命希望先が、政府の統制強化を主張するロシアであることは皮肉である）

---

【第９位】　11月20日 流行語大賞の候補に「バカッター」がノミネート
　　　〜迷惑行為を自慢する若者に倍返し！ バカ発見機は今年もフル活動？〜

2013年11月20日ユーキャン新語・流行語大賞の候補語50語に「バカッター」がノミネートされた。[＊1]Twitterなどのソーシャルメディアに、自分の悪ふざけ写真を投稿するアレである。今年の特徴はコンビニ店員が冷蔵庫に入った写真をTwitterに投稿するなど、迷惑行為や犯罪行為を自慢する若者が続出したことである。

投稿されたお店は「じぇじぇじぇ！」と驚くだけでは済まされない。閉店に追い込まれた店まで出ており、顧客情報を扱う企業だけでなく、飲食や小売店鋪に至るまで、従業員教育の重要性が再認識された事件である。

一方で、軽い気持ちで投稿した本人も単なる「バカだった」では済まされない。相応の損害賠償請求を受けることは当然としても、氏名や住所などの個人情報をネット上に晒され、匿名の第三者から陰湿で執拗な誹謗を受け続ける。
　ネット上に流通した写真や記事を回収することはできないが、反省する気持ちがあれば若気の至りとして世間は暖かく迎えてくれると思いたい。

この手の事件の類型は、個人ホームページに始まり掲示板やブログ、そして今回のSNSなど新しいメディアの普及とともに繰り返し発生している。ならば予防措置も可能なはずだが、ITリテラシの向上を叫ぶには幼稚過ぎるこの事件、利用者に優しい技術の進歩が、問題を複雑にしているように思えてならない。で、いつやるの？今でしょ！

---

【第10位】12月12日 インターネットバンキング不正送金被害過去最大
　　　〜便利の裏にセキュリティあり、金融資産もセキュリティで守る〜

『こんにちは！　これはXXXX銀行によって行っているユーザ番号の調査です。あなたのユーザ番号は使用停止になっているかどうかをチェックしています。・・・』
　こんなメールを受け取った読者はいないだろうか。

12月12日、警察庁はインターネットバンキング（以降ネットバンキング）の口座から預貯金が不正に送金される被害が、11月末までに1125件、約11億8400万円となったことを公表した。これは過去最悪だった2011年（年間約3億800万円）の件数で6.8倍、金額で４倍近くに上っている。6月以降被害が急増しており、10月だけで、2011年の金額に近い被害がでている。また、海外送金被害額も増えているという(冒頭のメールも中国のサイトに誘導されていた)。

これらのネットバンキング不正送金は、利用者個人のID、パスワードが第三者に渡り使われた結果である。その漏洩経路については様々であるが、冒頭のメールのように、さもありそうな内容で金融機関とは別のサイトに誘導して、IDとパスワードを本人に入力させて盗む方法(フィッシング)が相変わらず多いようだが、最近は、ID、パスワードを盗聴するウイルスによる被害も拡大している。この古くて新しい脅威に今更ながら立ち向かわなければならない。

政府、警察庁、金融機関は危機感を強めて機会あるごとに利用者に対し注意喚起してきた。金融機関においては、ワンタイムパスワード、リスクベース認証の導入等によって今まで以上に不正利用を防ごうとしている。ネットバンキング向けのウイルス対策ソフトの無償配布を行う金融機関も出てきた。それでも、今年の被害は過去最高を記録してしまった。やはり、最終的にはネットバンキング利用者一人ひとりが注意し対応しなければならないのである。

筆者は日本人がセキュリティやリスクというものに関する感覚が疎い民族ではないかとずっと仮説を持ってきた。しかし、今すでに、セキュリティに疎いから、知らないからといって済まされない時代に突入している。
　ただ、このような時代になったことを憂うるのではなく、むしろ積極的に新たな道具を利用していく姿勢も必要であろう。個人のセキュリティ意識とレベルをあげることで、より安全により安価に便利なインターネットサービスを享受できるのであるから。

編集後記　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　JNSA事務局長　下村正洋

選考会議が始まって、どなたと言えないが開口一番、「大したこと思い浮かばないなぁ」でしたが、参加者から候補が出てくると、「あれはどうした！」「これはどうした！」「あそこは何をやっているのだ！」「何でそんなことするのだ！」「その後はどうした！」「責任者は誰なんだ！」「今でしょ！」等々、十大ニュースの選考ではなく、ともすると、出来事そのものの追求に陥りそうになりながら、侃々諤々の議論が行われました。そして、議論した甲斐あってか、それとも疲れ果てたのか、参加者一同の意見がまとまったのが、この今年の十大ニュースです。
　昨年の編集後記で来年は喜ばしいニュースが入ればいいと申し上げましたが、願いは叶いませんでしたので、せめて選外になったものから事件・事故ではないものをいくつか紹介いたします。
　賛否議論が分かれるところの「特定秘密保護法成立」、セキュリティ人材の発掘に繋がればいい「全国セキュリティコンテストの開始」、制御系システムのセキュリティ本格化「制御システムセキュリティテストベッド施設オープン」、対応を検討すべき「ISO27001改訂」などがありました。
　さてさて、今年もそろそろ終わります。今年はねじれ国会の解消、国際情勢の不安定化、アベノミクス、消費税増税決定などこれから始まる変化の出発点だったのかもしれません。来年はこれらのことが良き結末になることを願いつつ、編集後記を終わります。

---