2023セキュリティ十大ニュース

【第１位】 9月20日　マイナンバー相次ぐ紐付けトラブル、デジタル庁に行政指導も

---

【第２位】10月17日 元派遣社員の顧客情報持ち出し10年間、ずさんな内部不正対策

---

【第３位】 10月10日 全銀ネットでシステム障害　三菱UFJやりそななど10の銀行で振込できず

---

【第４位】11月4日　報道番組を装った総理大臣の偽動画拡散、AIのセキュリティリスク

---

【第５位】8月4日　内閣サイバーセキュリティセンターが不正侵入被害

---

【第６位】7月4日　ランサムウェア感染により名古屋港の全ターミナルが機能停止

---

【第７位】6月30日　富士通への行政指導、サイバー攻撃対策とシステム品質にダメ出し

---

【第８位】10月26日　ハマス・イスラエル戦争のサイバー攻撃余波、日本にも

---

【第９位】2月23日　偽セキュリティ警告(サポート詐欺)の月間相談件数が過去最高に

---

【第１０位】9月21日　ニンテンドーアカウントがパスキー対応　パスワード不要でログイン可能に

---

＜2023セキュリティ十大ニュース＞選定委員・解説
委員長・大木榮二郎／織茂昌之／唐沢勇輔／小屋晋吾／小山　覚／
下村正洋／杉浦　昌／須永知之／西尾秀一／竹内和弘／丸山司郎／持田啓司

---

【第１位】 9月20日　マイナンバー相次ぐ紐付けトラブル、デジタル庁に行政指導も
　　　〜紐づけミス、ルールの未整備とミスを誘発する運用設計に問題？〜

本年９月に発足２年目を迎えたデジタル庁。今年の春ごろから、マイナンバーに他人の健康保険証情報や口座情報が紐づけられてしまうなど、マイナンバー関係のトラブルが相次いだ。これを受けデジタル庁は、６月2日にマイナンバー情報総点検本部を設置し、マイナンバーに関する手続きの総点検を実施してきたが、９月20日には、個人情報が漏洩したという事実を重要視した個人情報保護委員会から行政指導を受けるという異例の事態にまで発展した。

12月12日には、総点検本部から点検結果が公表され、点検対象となった約8,200万件のうち、紐づけが間違っていた件数が約8,400件と全体の約0.01％であったとした。その主な原因は、�@目視と手作業による入力の際のミス、�A各種申請時にマイナンバーの提出が義務化されておらず、提出がなかった場合の紐づけを氏名と性別だけで行っていた、�B申請書に誤ったマイナンバーが記載されていた、�C本人と家族のマイナンバーを取り違えた、と結論付けている。

これを聞いて、正直驚いている。手作業時のミスはある程度予想はできたものの、申請時におけるマイナンバーの紐づけルールが明確でなかったということが浮き彫りになったのだ。申請を受け付ける自治体などの個別事情に配慮したのかもしれないが、それがかえって混乱を招いたことは明白だろう。また、目視と手作業という現場の運用の困難さは容易に想像できたはずで、その運用設計が適切であったのかについても疑問が残る。来年秋に予定されているマイナンバーカード健康保険証への移行という目標ありきで、紐づけルールの明確化や現場を想定した運用設計が疎かになっていたという感は否めない。ちなみに今回の報告では、マイナンバーと紐づけられた健康保険証と住民基本台帳の氏名などが一致しないケースが139万件もあったとされている。

デジタル庁は既に、紐づけルールの明確化や手作業に頼らないツールの開発といった対策を打ち出しているが、12月に実施された世論調査ではマイナンバー制度を信頼していないという国民が過半数に達しており、一度失われた国民からの信頼を取り戻すことは容易ではない。非常に大きな制度改革には、ある程度の痛みを伴うのは常であるが、国民に対する丁寧な説明により、安全かつ安心な制度となるよう期待したい。

---

【第２位】 10月17日 元派遣社員の顧客情報持ち出し10年間、ずさんな内部不正対策
　　　〜2014年の第1位だった内部不正による情報漏洩事件がまた上位にランクイン〜

10月17日、NTTマーケティングアクトProCX（以下、CX社）とCX社が利用するコールセンタシステムの運用保守を担うNTTビジネスソリューションズ（以下、BS社）は、BS社の元派遣社員による約900万件の顧客情報流出について共同発表を行った。この元派遣社員は2013年7月頃より、コールセンタシステムから情報を不正にダウンロードして持ち出し第三者に流通させていたとのことである。流出した情報は、CX社のテレマーケティングサービスを利用していた自治体や企業など59組織の顧客情報であり、これら利用組織では被害状況の公表など対応に追われ、影響がCX社、BS社のみでなく広範囲に及んだ。

上記発表の別添説明資料では、このような事態が発生した原因として、�@保守作業端末にダウンロードが可能だった、�A保守作業端末に外部記録媒体を接続しデータを持ち出すことが可能だった、�Bセキュリティリスクが大きいと想定される振る舞いをタイムリーに検知できなかった、�C各種ログ等の定期的なチェックが不十分だった、という4点を挙げている。これら原因を見ると、内部不正対策がずさんであったと言わざるを得ない。自サービスを利用する多くの組織の顧客情報を扱う企業として、内部不正リスクをもっと慎重にとらえるべきではなかったか。

過去発生した同様な事件としては、2014年のベネッセ情報流出事件があげられる。同年に調査報告書も公表された。業務委託先社員により約3,500万件の顧客情報が不正に持ち出された事件であり、その年の本セキュリティ十大ニュースでも第1位となった。
　今回の事件では元派遣社員は、ベネッセ事件の前年7月から不正持ち出しを行っていたとのことである。冒頭2社がベネッセ事件の調査報告書内容を自分事としてとらえ自組織の対策を確認し見直していれば、不正行為を早期に検出し10年近くも持ち出され続けるような事態は防げたのではないか。世の中で発生するセキュリティ事件を、自社は大丈夫と過信せず謙虚に自社状況の確認や見直しに活かすという姿勢が求められる。

また7月には、顧客情報約596万件が業務委託先の元派遣社員により不正に持ち出されたとNTTドコモが発表しており、内部不正リスクを改めて認識させられた年であったと言えよう。
　内部不正に関しては情報処理推進機構（IPA）より「組織における内部不正防止ガイドライン」が公開されている。昨年4月に改訂され第5版となっており、改定ポイントの1番目に、内部不正による情報漏えいが事業経営に及ぼすリスクについての経営者に向けたメッセージの強化があげられている。各企業においては、自社における内部不正リスクを改めて確認した上で、上記ガイドラインも参照し必要な対応の実施を経営者リーダーシップのもと進めていただきたい。

---

【第３位】 10月10日 全銀ネットでシステム障害　三菱UFJやりそななど10の銀行で振込できず
　　　〜50年間続いた安定稼働を過信しガバナンスおろそかになったか〜

10月10日、三菱UFJ銀行やりそな銀行など10の金融機関で他行宛ての振り込みができなくなるという事態が発生し、計255万件の送金が滞って復旧は12日までかかり、関連した金融機関やその先の多くの顧客に送金遅延などで多大な影響を与えた。障害が起きたのは一般社団法人全国銀行資金決済ネットワーク（全銀ネット）が運用する全国銀行データ通信システム（全銀システム）で、千を超える金融機関が参加し、金融インフラ基盤の一角を占める重要システムである。
　稼動開始から50年間、安定稼動を継続してきた全銀システムの突然の障害に驚いた方も多かったに違いない。

全銀ネットの事故報告書によると、障害の直接的原因は、中継コンピュータの更新に伴うプログラムの64bitOSへの移行に関連してロードファイルを展開する作業領域が不足し、一部のインデックステーブルが破損したことにあるとのこと。このような技術的な不具合が、なぜ見つけられず手を打たれないままに大規模障害を引き起こしてしまったのか、同報告書には全銀ネットと開発委託先のNTTデータとに分けて、次のような課題が列挙されている。
　委託元の全銀ネットの課題として、�@委託者としてのマネジメント不十分、�A加盟金融機関も含めたBCP の実効性不足、�B大規模障害を想定した危機管理体制の脆弱性、�Cシステム人材の不足と組織の脆弱性、の４項目、委託先のNTTデータの課題として、�@設計・製造工程プロセスの課題、�A試験工程プロセスの課題、�B復旧対応プロセスの課題の3項目、計7項目がまとめられている。

委託先側の再発防止策の内容を確認すると、サイロ化した開発・テスト体制の中で個々の範囲内で評価、判断、製造されていたことがうかがえ、反省材料としなければならない。
なによりも、それを管理できなかった委託元の問題はさらに大きいと言える。マネジメント不十分やBCP・危機管理体制の脆弱さ、人材不足などは、金融決済のインフラを担う企業としてのガバナンスが有効には機能していなかったことに他ならない。事故報告書の最後に『今回発生した障害の発生原因の根底にある問題として、この安定稼動してきたことに依拠し、「大規模障害は起きない」という潜在意識があったと考えています。』とあり、実績に胡坐をかいてガバナンスのゆるみにつながってきたことに忸怩たる思いがあるのであろう。

１２月１日の記者向けオンライン会見のビデオに、記者の質問に「CIOはいない」、理事は銀行の社長・頭取クラスであり、ここに参加できるCIOをこれから検討するという趣旨の説明があった。金融決済のインフラを担うという組織の最高意思決定機関が、上述の課題にかかわるような意思決定を行い、それを実行部隊に徹底させるというガバナンス機能を果たせる体制でなかったこともあきらかであろう。
　事故は起こりうるものとの前提に立って、ガバナンス体制を確立し、マネジメントの効いたシステム運営に努めていただきたい。

---

【第４位】11月4日　報道番組を装った総理大臣の偽動画拡散、AIのセキュリティリスク
　　　〜生成AIでディープフェイクが劇的に簡単化、対抗策に画像のワクチン〜

今年の臨時国会会期中の11月、生成AIを使って岸田総理大臣の声を再現したとみられる偽の動画がSNSで広まった。昨年末から広く使われ始めた生成AIであり、いつかはこのような偽動画が出てくるだろうとは思っていたが、ディープフェイクが劇的に簡単化しており、わずかの知識と時間があれば誰でもこれほど簡単に偽動画が作れるとは驚きである。
　このようなことを防ぐため、公開する画像に「サイバーワクチン」を組み込む対応策なども検討されているようだが、ニュース性のある動画などすべての公開画像に施すことは時間的コスト的に現実的ではあるまい。

人間には認知バイアスがあり、信条や主義主張、重ねてきた経験や先入観などによって、ある事実を目撃しても、受け取る感情や判断が全く異なることが多い。特にインターネットでは利用者の思想や行動特性に合わせた情報を作為的に表示するフィルターバブルという現象が起こってしまう。総理大臣の偽動画のように社会的に影響のある情報を操作し、偏った方向に利用者の思想を向かわせることとなれば、国家間の分断など世界を揺るがすことになりかねない。

現在、生成AIについては、それ自体の活用方法や、その活用の背景にある課題が整理されていないのも事実である。使いながら課題を整理し、その問題点や適切な使い方を社会全体で学んでいる状況であり、情報漏えいだけでなく、ファクトチェックや倫理の問題など、課題は多いものの、だからといって使わない選択肢はなくなってきているのも現実ではないだろうか。
　総務省の情報通信白書令和4年版によると、我が国の生産年齢人口（15〜64歳）は1995年のピークから、2050年には5,275万人（2021年から29.2％減）に減少すると見込まれている。人手頼みの時代はすでに過ぎ去り、生産年齢人口の減少をAIが補うことでの業務の効率化や生産性向上への寄与が見込めるだろう。
　さらにはサイバー攻撃にもAIが使われるといわれている。それに対抗する防御にもAIを使っていくなど、AIの活用に対する影響の大きさは更に膨らみ続けるだろう。

AIとの共存社会がやってくる中で、我々の周りには正しい情報と偽情報が混在して多くの情報が駆け巡る。私たちは「情報収集力」を高めて、「自ら考える力」により、流れてくる情報の真偽を適切に判断していく力が求められていくだろう。生成AIの活用を推進する企業としても、使う側としても、多くの課題を一つ一つ解決し続け、理想形を目指しながら安心で安全に使えるものにスパイラルアップしていくことが重要なのではないだろうかと感じたニュースであった。

---

【第５位】8月4日　内閣サイバーセキュリティセンターが不正侵入被害
　　　〜情報公開巡りJPCERT/CCがNISCに苦言？〜

8月4日、内閣サイバーセキュリティセンター（NISC）は、電子メール関連システムからのメールデータ漏えいの可能性について発表した。NISCは、令和4年10月から令和5年6月にかけてインターネット経由で送受信された個人情報を含むメールデータの一部が外部に漏えいした可能性があると発表した。政府各省庁や独立行政法人など関連団体のセキュリティ確保や政府のセキュリティ戦略策定を担う機関における被害発表は、本来あってはならないことだが、現代のサイバー攻撃の巧妙さと脅威の前では、どのような組織も攻撃を完全に回避することは難しいことも示している。

2015年に発生した日本年金機構の個人情報流出事案では、NISCのネットワーク監視により事態が発覚し、原因究明や対策のレポートを取りまとめ公表したことは、広く評価された。
　ところが、今回のメールデータ漏えいに関しては、漏えいした情報の詳細や侵害方法などについては公表されておらず、”NISCは「セキュリティー保安上の理由から答えられない」として明らかにしていない”との報道もある。NISCのパートナーであるJPCERT/CCもこの公表内容に対し苦言ともとれるコメントを出している。

本年3月、NISCが事務局を務める「サイバーセキュリティ協議会」は「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を発出した。このガイダンスでは、サイバー攻撃被害の情報共有及び公表がどうあるべきかを150ページにわたって詳細に説明している。特に70ページには、「被害が未知のものであっても、説明責任を果たすために積極的に情報を開示すべきであり、これによりインシデント対応の評価を得ることができ、広く脅威に関する情報を社会全体と共有する意義がある」と記されている。このガイダンスに従えば、NISCはメールデータ漏えいに関し、より詳細な情報を公開し積極的な注意喚起と情報発信を行うべきであった。

2009年の「第2次情報セキュリティ基本計画」に示された重要なメッセージ「事故前提社会」が十余年の歳月がたった現在においても、事故が起こり得ることを前提とし、対応策を講じる必要があることを改めて示している。事後対策のさらなる強化と、対策基盤の強靭化が求められており、効果的な情報共有や公表のメカニズムの必要性も明らかになった。これらは今後の対策の在り方に大きな影響を及ぼすと考えられるであろう。

---

【第６位】7月4日　ランサムウェア感染により名古屋港の全ターミナルが機能停止
　　　〜続出するランサム被害、多くがリモート接続用のVPN機器から侵入〜

7月4日朝、名古屋港の名古屋港統一ターミナルシステム（NUTS: Nagoya United Terminal System）が停止して、輸送コンテナの積み下ろしが出来なくなった。名古屋港は日本を代表する国際貿易港で、2023年の総取り扱い貨物量は1億6,357万トンと21年間連続で日本一である。このため停止直後からネットなどで大きな話題となり、翌5日には、システムを管理する名古屋港運協会から、ランサムウェアに感染してNUTSの全サーバが暗号化され停止したことが公式発表された。バックアップデータからもランサムウェアが検出されたためそれを駆除した上で復旧作業を進め、6日18時15分、全ターミナルの作業が再開された。
　7月26日に協会から経緯が公式発表され、リモート接続用のVPN機器から侵入されウイルス感染したことが報告された。この脆弱性は既知のもので、一部の報道によると修正プログラムとともに製造メーカーから6月に公表されたものであるという。また、VPN機器の脆弱性を突いた攻撃は過去にも数多く行われているため、重要インフラ事業者に対しては関係省庁を通じて内閣サイバーセキュリティセンター（NISC：National center of Incident readiness and Strategy for Cybersecurity）から注意喚起がなされていたが、本協会はその対象外だったという。

リモート接続用のVPN機器から侵入されランサムウェアを植え付けられた事例は数多い。3月28日、大阪府立病院機構大阪急性期・総合医療センターから、2022年10月31日に発生したセキュリティインシデントの詳細な報告書が公表された。このサイバー攻撃では二か月以上にわたって電子カルテ等の総合情報システムが利用できなくなり、地域医療における病院の役割のかなりの部分が果たせなくなった。金銭的にも、調査・復旧に数億円以上、診療制限に伴う逸失利益として十数億円以上の損害が生じたとされる。本報告書によれば、病院システムへの侵入は、まず病院のサプライチェーンである給食事業者のリモート接続用のVPN機器に内在していた既知の脆弱性を突いて行われた。そして給食事業者のコンピュータに侵入して情報を収集した後、閉域接続されていたネットワークを通して病院内のネットワークに侵入し、病院内の複数のサーバに侵入していった。多くのサーバを調べた後、最後にウイルス対策ソフトを停止した上でランサムウェアを実行し、サーバ内のデータを暗号化して脅迫を行った。

これらの事例から多くの教訓が得られるだろう。ここでは以下の三点をあげる。

一つはランサムウェアによるインシデントの実態である。ランサムウェアというマルウェアによる被害なので、ともすれば、送りつけられたウイルス付のメールを誤って開いて感染してしまった、というような単純な状況を想像しがちである。しかし現実は大きく異なる。攻撃者は用意周到に準備し、下調べを行って攻撃対象を探し、侵入後もシステムの調査を行っている。ランサムウェアの発症は最後の仕上げであって、脅迫するための手段でしかない。ウイルス感染というよりサイバー攻撃であると認識するべきである。

二つ目に、既知の脆弱性の問題である。未知の脆弱性を探し出して攻撃に用いるのはプロの攻撃者であっても荷が重い。効率的に金銭を奪い取ることを目的としている金銭目的の攻撃者は、既知の脆弱性が放置されているシステムを優先的に狙う。残念ながらそのようなシステムは世間に数多いのが現状である。地味な作業ではあるが、セキュリティ管理部門は日々のセキュリティ情報のチェックと対応を継続的に行わなければならない。

三つ目に、セキュリティマネジメントの問題である。とりあげた名古屋港統一ターミナルシステムや大阪急性期・総合医療センターのVPN装置の脆弱性についても、この装置の日々の運用や管理責任はどこにあるのか、責任分界点はどこか、契約においてSLAの一部としてセキュリティも正しく規定されていたのかが問題となる。この二つの組織はインシデント発生後速やかに対応がなされており、それなりのセキュリティマネジメント体制が構築され運用されていたことがわかるが、それでも大きな被害を受けた。これを教訓として、我々はさらなるセキュリティ対策とセキュリティマネジメントに努力せねばならないだろう。 。

---

【第７位】 6月30日　富士通への行政指導、サイバー攻撃対策とシステム品質にダメ出し
　　　〜通信の秘密が外部に流出、コンビニ交付の証明書誤発行も、がんばれ富士通！〜

富士通は6月30日に総務省から「通信の秘密の保護及びサイバーセキュリティの確保に係る措置（指導）」を、9月20日には富士通Japanが個人情報保護委員会から「コンビニ交付サービスにおける住民票等誤交付事案に対する個人情報保護法に基づく指導」を受けた。

6月30日の行政指導が出される以前にも、デジタル庁が富士通に対して「コンビニ交付のシステムの運用停止と総点検」を求めたことが、5月9日に行われた河野大臣の記者会見で明らかになっている。事実上の行政指導と受け取れる。これに対して富士通は、5月19日公式サイトで、「情報セキュリティ対策の強化とシステム品質改善に向けた当社の取り組み」を公表した。2021年から繰り返し被害を出したサイバー攻撃等への対策について、抜本的な対策を打ち出したことで、事態の沈静化に向け進み出したように見えた。

しかし、残念なことに「コンビニ交付サービス」のトラブルは再発を続け、6月29日にはシステムの再停止に追い込まれた。そして総務省は6月30日に頃合いを見計らったように行政指導を出している。抜本的な改善策を公表後もトラブルを再発する富士通に総務省が「ダメ出し」した形となった行政指導だが、その内容を裏返して読むと、いまなお再発防止策の対応が収束せず、足元の混乱が続いていることを指摘しており、富士通に改善を迫る内容となっている。

そして、2回目の行政指導が9月20日に個人情報保護委員会から出されてから3ヶ月が経過した。富士通のグループ会社で起きた事案に対して、ガバナンスは有効に機能しているのか、発災会社以外への危機感の浸透はできているのか・・・国内IT企業の雄と呼ばれた富士通が、総務省と個人情報保護委員から連続して行政指導を受けることなど、同社を知る者からは想像できない事態だった。一体何が起きているのか？誰しもそう心配したに違いない。

この行政指導が、富士通に不退転の決意を迫る「楔」となることを願ってやまない。
　がんばれ富士通！

---

【第８位】10月26日　ハマス・イスラエル戦争のサイバー攻撃余波、日本にも
　　　〜サイバー空間も戦場になっていく中で、日本のサイバー戦略は大丈夫なのか〜

本年10月7日にハマスのイスラエルへの攻撃で始まったハマス・イスラエル戦争（以下、本戦争）だが、12月時点で双方合わせ2万人を超える死者が出ており、未だに先行きが見通せない暗澹たる状況である。
　近年の紛争や戦争ではサイバー攻撃もその主要な手段の一つであり、本戦争における具体的なサイバー攻撃の例としては、イスラエルのウェブサイトが改竄やDDoS攻撃を受けたり、利用者に「核爆弾が来る」などの偽警報を送り付けられたり、医療機関へのサイバー攻撃が行われたなどが報告されている。
　これらの攻撃は、あまり直接的な攻撃とはとれないが、ロシアのウクライナ侵攻におけるサイバー攻撃の実例を見てみると、重要データの消去攻撃や、高圧変電所、物流関連機関、国営報道機関などへの破壊や混乱を目的とした攻撃が行われており、本戦争においても裏では破壊的なサイバー攻撃が行われていることが想像される。イスラエルではこれらのサイバー攻撃に対抗するため、生成AIを使った「サイバードーム防衛作戦」を早期に構築すると発表している。

一方、本戦争に関連し、日本に対する攻撃も行われたとレポートされているが、これらの攻撃は直接的な破壊活動というよりも、政治的な意思表示を目的とした民間人によるハッカー集団（ハクティビスト）によるものと言われている。
　世界的に見て、民間人が国際紛争に巻き込まれる割合が増え、「憂慮すべき傾向」にあるとして、赤十字国際委員会（ICRC）が、他国に対するサイバー攻撃における民間人の関与を阻止する目的で、「ハクティビスト向けのサイバー交戦ルール」が定められたところである。

日本におけるサイバー戦略の基本原則は、2015年に決定された「情報の自由な流通の確保、法の支配、開放性、自律性、多様な主体の連携」のまま堅持されている。この原則は、サイバー空間を「国境を意識することなく自由にアイディアを議論でき、そこで生まれた知的創造物やイノベーションにより、無限の価値を産むフロンティア」と定義としたもので、戦場としてのサイバー空間が意識されていないと考えられる。現実のサイバー空間は、各国の法の支配が及ばない世界であり、多様な主体の自律性に任せたままで、日本のサイバー戦略は大丈夫なのだろうか？

---

【第９位】2月23日　偽セキュリティ警告(サポート詐欺)の月間相談件数が過去最高に
　　　〜個人狙い詐欺多発、QRコードから不正サイトへ誘導も〜

2月23日IPA情報セキュリティ安心相談窓口における、パソコンのブラウザ画面に表示される「偽セキュリティ警告(別名：サポート詐欺)」に関する月間相談件数が、2023年1月は過去最高の401件となり、被害拡大防止のために注意喚起が出された。サポート詐欺の警告は8月31日に政府広報オンラインからも出されており、詐欺多発がうかがわれる。
　サポート詐欺では、サポートサービスやソフトウェアの費用を請求されるのみならず、深刻な二次被害に広がることもある。不安に感じて偽のサポート窓口に連絡した一般消費者が言葉巧みに誘導されて遠隔操作ソフトを知らずにインストールしてしまい、パソコンが悪意ある第三者にコントロールされることもあるのだ。警察庁のサポート詐欺対策のページなどを参考に対処していただきたい。

個人狙いの詐欺では、QRコードを巡り、不正サイトの広告表示やクレジットカード情報の入力を求められるなどの詐欺が相次いでいるのも今年の特徴だ。
　スーパーマーケットチェーンのいなげやでは、11月9日まで掲載していたポスターや配布したチラシのQRコードでトラブルが発生した。当該のQRコードを読み込むと詐欺サイトに誘導されクレジットカード情報を入力してしまったケースも発生した。自動車用品のオートバックスセブンにおいても、ダイレクトメールに掲載したQRコードによる同様のトラブルが発生している。いずれも「短縮URLサービス」が悪用されたらしく、利用する企業側には再確認と注意がもとめられる。
　ほかにもQRコードを偽造する詐欺行為がいくつも報告されており、利用者側も注意が必要である。広告や街中にQRコードは今やどこにでもあり、あらゆるものに利用されているため、攻撃者がQRコードを詐欺の手段として使用していることを理解し安易にスキャンしない習慣化が大切であろう。

12月9日に開催されたG7安全担当相会合でもフィッシングの被害防止に向けた官民連携の取組が取り上げられ、成果文書としてまとめられた。これはフィッシングが世界的にも大きな課題になっていることでもある。被害防止に向けた対応を着実に進め、来年の十大ニュースのテーマとならぬように努めていかねばならない。

---

【第１０位】 ９月２１日　ニンテンドーアカウントがパスキー対応　パスワード不要でログイン可能に
　　　〜パスキー普及で、2023年が「パスワードレス元年」となるか？〜

任天堂は9月21日に同社アカウントにパスキーが利用できるようになったと発表した。パスキー自体は2022年に登場した技術だが、任天堂に限らず多くの企業が2023年に自社サービスへの認証にパスキーを採用した。FIDO Allianceの言を借りれば、2023年は「パスキーの年」になったと言えるかもしれない。

パスキーとは、パスワードレス認証の仕様であるFIDO2に加えて、複数の端末で同期できるようにした仕組みである。これにより従来のパスワードレス認証で大きな課題となっていた端末買い換えなどに伴うアカウントリカバリーの問題が解決し、導入へのハードルが一気に下がり導入するサービスが増えてきている。

FIDO2認証のステップを簡単に説明すると以下のような形になる。
1. Webサービスなどの初回登録時
�@ サービス側に一意の公開鍵を生成してサーバ側に登録する
�A 端末側には対応する秘密鍵を保管（秘密鍵は端末のセキュアな領域に格納される）
2. Webサービスへのログイン時
�@ サービス側から公開鍵によって端末に認証要求がなされる
�A ユーザーは生体認証やPINなどで端末内の秘密鍵を取り出して応答し、ログイン

ここで端末内に保管された秘密鍵はその端末にしか保管されないため端末を廃棄する際の移行が問題になるが、これをGoogle、Apple (iCloud)、Microsoft等のOSベンダーが提供するアカウントによって安全に同期できるようにしたことで解決した。なお、パスキーの仕組みについては文字だけで説明が難しい部分もあり、ご興味のある方はFIDO Allianceが提供する下記デモ動画もご覧いただきたい。

Passkeys in Action パスキーデモ（日本語字幕版） (youtube.com)

「パスワードが覚えられない（覚えるのが面倒）」「（覚えられないから）パスワードを使いまわす、そしてリスト型攻撃の被害にあう」「フィッシング詐欺などでID・パスワードを抜き取られると不正ログインの被害に遭う」などとパスワードに関する問題は数多あるが、パスキーはこのすべてを解決してくれるものであり、利便性と安全性を双方向上させるものである。デメリットがあるとすると、パスキーを管理するアカウント（Googleアカウントなど）が侵害された場合の悪影響が大きいことだが、多要素認証等でしっかり保護することで、全体としてセキュリティ・利便性の向上に大きく資することが期待できる。

数年後には、2023年がパスワードレス元年として思い出されることを祈りたい。

編集後記　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　JNSA事務局長　下村正洋

今年も十大ニュースを発表できました。これもひとえに、大木委員長をはじめとする選考委員の皆様の努力のおかげと感謝いたします。

今年は３年ぶりにリアルな開催ができました。さらに、委員の皆様が待望していた懇親会も開催されました。そのためか分かりませんが、委員会は予定時刻の５分前に終了しました。誰がタイムキーピングしたわけでもなく、自然と収まったことが、なんとも不思議です。加えて、リモート会議が当たり前の世の中となった昨今、選考会議もハイブリッド開催でした。

さて、投票の模様ですが、委員からノミネートされたニュースの総数は126件でした。委員一人あたりノミネートできる数は10件で、委員数が12人ですから、10件以上ノミネートした委員がいたことになります。10件に絞り切れなかったのでしょう。限られた数に抑えるのは結構難しいものです。そのノミネートされた中で、全員がノミネートしたのがランサムウェア感染と不正持ち出しで、それに続くのが全銀ネットの障害でした。これら以外にマイナンバーやAI・フェイクニュースなどを含めて合計13件の候補が挙がり、委員の投票と議論を経て、選出と順位が決定されました。

選外になった中には各種ガイドラインの公開、クラウド設定ミス等がありました。選考の中で話題となったのは、我が国のサイバーセキュリティを牽引している機関に関する問題でした。考えていることとそれを実行に移すことの難しさを思い出させるようなニュースが二つほどありました。

新型コロナが5類になり、町の賑わいも戻り、ビクビクしない日常が戻りつつありますが、リアルな世界を見ると、ますます不穏になっています。加えて、それを加速するかのようにサイバー空間が重なり合っているように思われます。サイバー技術がリアルな世界を平和にすることを願って、今年の編集後記を終わります。

それでは、良いお年をお迎えください。

---