「「IT嫌い」「IT初心者」(!?)のための サイバーセキュリティ入門 ~14のQ&A~」の版間の差分
>チー二ョ (→概要) |
>チー二ョ (→概要) |
||
4行目: | 4行目: | ||
[[ファイル:長野業務妨害だより.jpg|right|200px|「ICHIBEN Bulletin 2022.6月号より」サイバーセキュリティマニュアルQ&Aが2022年7月より掲載されることが明らかとなった|thumb]] | [[ファイル:長野業務妨害だより.jpg|right|200px|「ICHIBEN Bulletin 2022.6月号より」サイバーセキュリティマニュアルQ&Aが2022年7月より掲載されることが明らかとなった|thumb]] | ||
{{wpl|第一東京弁護士会}}、{{wpl|第二東京弁護士会}}、{{wpl|東京弁護士会}}が共同で2021年9月「サイバーセキュリティマニュアルマニュアル<ref>各弁護士会の会員サイトか日弁連の会員サイトからダウンロード化</ref>」を作成<ref>{{Archive|https://niben.jp/niben/pdf/NF202204_42.pdf|https://web.archive.org/web/20220815040624/https://niben.jp/niben/pdf/NF202204_42.pdf|インターネット弁護士業務妨害に関する2つのマニュアルを是非ご利用ください!}} - 二弁フロンティア</ref>。本記事はマニュアル作成メンバーが中心となってまとめたQ&Aである。 | {{wpl|第一東京弁護士会}}、{{wpl|第二東京弁護士会}}、{{wpl|東京弁護士会}}が共同で2021年9月「サイバーセキュリティマニュアルマニュアル<ref>各弁護士会の会員サイトか日弁連の会員サイトからダウンロード化</ref>」を作成<ref>{{Archive|https://niben.jp/niben/pdf/NF202204_42.pdf|https://web.archive.org/web/20220815040624/https://niben.jp/niben/pdf/NF202204_42.pdf|インターネット弁護士業務妨害に関する2つのマニュアルを是非ご利用ください!}} - 二弁フロンティア</ref>。本記事はマニュアル作成メンバーが中心となってまとめたQ&Aである。 | ||
2022年1月17日、執筆陣を講師とした会員向けウェブ研修会が行われた<ref>講師は{{Archive|https://www.mhmjapan.com/ja/seminars/year/2022/104.html|https://archive.ph/1CBZN|蔦 大輔弁護士}} - 森濱田法律事務所</ref>。 | |||
第一東京弁護士会の広報誌「[[ICHIBEN Bulletin]]」2022年7月号、第二東京弁護士会の広報誌「NIBEN Frontier」には2022年6月号に掲載されている。「NIBEN Frontier」はウェブページでも公開されており、誰でも閲覧することが可能である。 | 第一東京弁護士会の広報誌「[[ICHIBEN Bulletin]]」2022年7月号、第二東京弁護士会の広報誌「NIBEN Frontier」には2022年6月号に掲載されている。「NIBEN Frontier」はウェブページでも公開されており、誰でも閲覧することが可能である。 |
2022年10月10日 (月) 07:03時点における版
「IT嫌い」「IT初心者」(!?)のための サイバーセキュリティ入門 ~14のQ&A~(ーぎらい ーしょしんしゃのための ーにゅうもん)とは、山岡裕明らがICHIBEN Bulletin2022年7月号に投稿した特集記事である。
概要
第一東京弁護士会、第二東京弁護士会、東京弁護士会が共同で2021年9月「サイバーセキュリティマニュアルマニュアル[1]」を作成[2]。本記事はマニュアル作成メンバーが中心となってまとめたQ&Aである。 2022年1月17日、執筆陣を講師とした会員向けウェブ研修会が行われた[3]。
第一東京弁護士会の広報誌「ICHIBEN Bulletin」2022年7月号、第二東京弁護士会の広報誌「NIBEN Frontier」には2022年6月号に掲載されている。「NIBEN Frontier」はウェブページでも公開されており、誰でも閲覧することが可能である。
質問回答者
- 北條孝佳(東京弁護士会) - 山岡、蔦弁護士と共に経済産業省「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」のメンバーであり、デジタルフォレンジック研究会や、情報ネットワーク法学会と度々一緒に講演している。一般社団法人弁護士デジタル化推進協会理事、自由と正義にインターネット業務妨害の現状と対策を寄稿。
- 山岡裕明(第一東京弁護士会)
- 阿部克臣(第二東京弁護士会) - 自由と正義にインターネット業務妨害の現状と対策を寄稿、小林麻央親戚成りすまし事件の原告側代理人、紀藤正樹、山口貴士と同じくリンク総合法律事務所所属。
- 西郷新(第一東京弁護士会) - 58期、林法律事務所所属、関東財務局に出向経験あり[4]。
- 加藤滋隆(東京弁護士会)
- 斎藤悠貴(東京弁護士会) - 自由と正義にインターネット業務妨害の現状と対策を寄稿。
- 仲田隆介(第二東京弁護士会)
- 服部毅(東京弁護士会) - 阿部弁護士と同じく小林麻央親戚成りすまし事件の原告側代理人
- 蔦大輔(東京弁護士会) - 山岡、北條弁護士と共に共に経済産業省「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」のメンバーであり、デジタルフォレンジック研究会や、情報ネットワーク法学会と度々一緒に講演している。自由と正義にインターネット業務妨害の現状と対策を寄稿。
当ページの記載は肩書等「ICHIBEN Bulletin」掲載に準じた内容とする。
全文
東京三会の弁護士業務妨害対策委員会では、昨年9月、弁護士・法律事務所向けの「サイバーセキュリティマニュアル」を作成しました(当会・日弁連の会員サービスサイトからダウンロード可能)。 同マニュアルは、サイバーセキュリティに関する初めての実践的なマニュアルとして高い評価を受けている反面、ボリュームが多い、難しい部分がある、との声も寄せられています。 そこで、特に「IT嫌い」「IT初心者」「ITが苦手」の会員向けに、同マニュアルの作成メンバーが執筆者となって、同マニュアルのエッセンスを、難しい部分は省略し、できるだけ分かりやすく14のQ&Aにまとめました。サイバーセキュリティの入門編として是非ご活用ください。
※なお、本特集は、東京三会の弁護士業務妨害対策委員会の調査・研究成果をまとめたものであり、弁護士会の公式な見解を示すものではありませんので、この点ご留意ください。
Q1
うちの事務所では大量の個人情報とか、機微な企業秘密などは持っていないので、攻撃者らに狙われるような情報はありません。 それでもセキュリティ対策なんて必要なのでしょうか? そもそもサイバーセキュリティって何でしょう?
A1
結論から述べますと、弁護士業務にもセキュリティ対策は必要です。
デジタル化の波が到来し、これまで取り扱ってきた情報の「紙の文化」から「データの文化」に移行しています。弁護士業務も例外ではなく、依頼者とのやり取りに電子文書や電子メール等のデータを扱わない業務はほぼ皆無でしょう。今後は、民事裁判手続のIT 化のみならず刑事手続のIT 化についても検討されており、裁判所や検察庁等とやり取りする情報もデータに置き換わろうとしています。
データは皆さんも知ってのとおり、コピーや変更、削除等が容易という特性を持っています。また、国内のみならず、世界中と接続が可能なインターネットは非常に便利になった反面、新たなリスク(危険性、脅威)が増大しています。インターネットは、国境を容易に超えることができ、年齢や職業等に関係なく誰でも接続することができるため、インターネットに接続された状態のデータが存在するということは、24時間365日、サイバー攻撃に晒されているといっても過言ではないのです。さらに、サイバー攻撃を行う者は、データだけを狙うわけではなく、弁護士の業務用パソコンを経由して他人にサイバー攻撃を仕掛けることもあります。
弁護士が重要な情報であるデータを保有しているかどうかは関係がなく、データやパソコンの価値は攻撃者が決めるということを覚えておいてください。
「サイバーセキュリティ」とは、①データの安全管理措置、②情報システムや情報通信ネットワークの安全性及び信頼性の確保のための措置が講じられ、その状態が適切に維持管理されていることをいいます。
弁護士にとっては、特に①データの安全管理措置が重要になります。これは、㋐ID やパスワードが第三者に知られてデータにアクセスされないようにすることなどを意味する機密性、㋑データが消去、改ざん等されないようにする完全性、㋒データへのアクセスを認められた者が必要な時にアクセスすることができる可用性の3つを維持することを意味します。
機密性を維持できず、データが漏えいする被害が注目されますが、完全性や可用性も重要な特性です。サイバーセキュリティを確保するための措置を講じる場合には、これら3つの特性に配慮した対策をする必要があります。
[北條孝佳(東京弁護士会会員)
Q2
セキュリティ対策を何もしないと、どんなことが起こりますか? 周りの弁護士や事務所がサイバー攻撃に遭ったという話は聞いたことがないんですが、被害事例はありますか?
A2
法律事務所にとって最も深刻な被害は、機密性の高い依頼者の情報が記録された事件記録、電子メール、依頼者から受領したファイルが漏えいすることです。
こうした情報をデータで管理している場合、適切にセキュリティ対策を実施していないとサイバー攻撃により漏えいする危険があります。
例えば、電子メールにウイルス(マルウェア)を添付したサイバー攻撃によって、以前に送受信した電子メールが漏えいすることもありますし、その電子メールを開いてウイルスに感染したパソコンに保存されている電子メール以外のデータが漏えいすることもあります。
また、法律事務所内にNAS(Network AttachedStorage)と呼ばれるファイル共有サーバを置き、依頼者に関するデータを保存している場合、インターネット経由で不正アクセスがなされて、当該サーバに保存されていたデータが漏えいすることもあります。
セキュリティ対策をしていないために、サイバー攻撃を受けてこうした情報が漏えいした場合、依頼者との信頼関係に深刻な影響を及ぼしますし、依頼者から安全管理措置の義務違反に基づく責任追及を受ける可能性もあります。情報漏えいを招いた場合には、自主的に公表したり、報道されたりすることも珍しくありませんが、その結果、潜在的な依頼者からの信用も失墜し、集客や売上げに深刻な影響が及ぶことも懸念されます。
サイバー攻撃者にとって、企業の機密情報を狙う場合、当該企業を直接攻撃するのと、当該企業と日々メールで機密情報をやり取りしている法律事務所を攻撃するのとでは、セキュリティレベルが相対的に低い傾向にあるといわれる法律事務所を攻撃する方が手間や費用の観点から効率的といえます。その結果、法律事務所は、サイバー攻撃者にとって格好のターゲットとなっており、海外ではM&Aに関する機密情報が盗まれてインサイダー取引に利用されたり、盗んだ情報を返してほしければ金員を支払うよう法律事務所が脅迫されたりする事例も発生しています。
そして、国内の法律事務所においても、サイバー攻撃被害は実際に発生しています。コロナ禍でのテレワークの普及により事務所外で執務をする機会が増えたり、裁判のIT 化により事件記録をデータで管理する機会が増えたりすると、更なる被害が増えることはあれ、減ることはないのは明らかです。
[山岡裕明(当会会員)]
Q3
一人事務所なので、セキュリティ対策にお金をかけられません。お金のかからないセキュリティ対策はありませんか? とりあえずセキュリティ対策ソフトを入れておけば大丈夫ですか? 逆に、お金をかければ100%防げるものでしょうか?
A3
サイバーセキュリティ対策としては、①システムを最新の状態に保つこと、②適切なパスワードの作成・管理、③多要素認証の活用、④定期的なバックアップ、の4つの基本を押さえておけば、とりあえずは安心でしょう。これらの対策にはお金もそれほどかかりません。
①システムを最新の状態に保つことは、サイバー攻撃を防ぐための第一歩です。具体的には、❶パソコン機器固有のソフトウェア(ファームウェア)のアップデート、❷オペレーティングシステム(Windows、Android、iOS等)のアップデート、❸ソフトウェアやアプリのアップデート、❹セキュリティ対策ソフトの導入とアップデート、をきちんと行うことです。システムを最新の状態に保つことで、ほとんどの攻撃を防ぐことが可能になります。アップデートを促す通知が来たら、忘れずに行いましょう。
セキュリティ対策ソフトは、以前は、あらかじめ検出したいウイルスの特徴を対策ソフト会社からそれぞれのパソコンなどに送信しておき、一致したものを駆除する「手配書」方式によっていたので、特徴が異なる新たな未知のウイルスには対応できませんでした。しかし、最新のセキュリティ対策ソフトには、「手配書」方式に加え、ウイルスがパソコン等に感染する際又は感染した後の不審な挙動を検出し隔離・駆除する「ふるまい検知」や機能的に怪しい部分を検出する「ヒューリスティック分析」機能を持つものが登場してきており、未知のウイルスにもある程度は対応できます。
システムの脆弱性が修正される前に攻撃する「ゼロデイ攻撃」など、対処しきれない攻撃もありますが、多くのメリットがあるので、まずは、セキュリティ対策ソフトを導入して守りを固めましょう。
サイバーセキュリティ対策は、" 一つこれをしておけば安心! "" セキュリティ対策ソフトを入れておけば大丈夫!"というものではありません。
逆に、お金をかければ100%防げるというものでもありません。導入のためのコストや効果を踏まえ、現実的に取り得る対策をできるだけ取っておくことが大事です。
[阿部克臣(第二東京弁護士会会員)]
Q4
パスワードは面倒なので同じものを使い回していますが、大丈夫ですか? 全部変えると多くなって覚えきれません。パスワードは、忘れないように付箋に書いてパソコンの隣に貼っていますが、大丈夫ですか?
A4
サイバー攻撃を防ぐために必要不可欠なのは、適切なパスワードの作成・管理です。
ログイン用パスワードとしては、「英大文字小文字+数字+記号で10桁以上」を推奨します。
名前、生年月日、電話番号、簡単な英単語など安易な数字や推測可能な文字列をパスワードに設定することは絶対に避けるべきです。
パスワードの作成・管理に重要なことは、他人にパスワードを漏らさないことという点もありますが、特にパスワードを使い回してはならないことです。
パスワードの使い回しとは、あるウェブサービスA(例えば、銀行、メールアカウントなど)で使用しているパスワードを、別のウェブサービスB(例えば、弁護士会など)等で使用するパスワードとしても使うことです。仮にウェブサービスB でパスワードが漏えいした場合、このパスワードを入手した攻撃者は、ウェブサービスAにもログインが可能になってしまいます。特に銀行などお金関係のパスワードやメールアカウントに使用しているパスワードは非常に重要度が高いため、それ以外のパスワードとは、必ず分けるべきです。
なお、パスワードが漏れたり、その兆候がなければ、基本的にパスワードを定期的に変更する必要はありません。むしろ、定期的に変更することで、パスワードが単純化したり、使い回ししたりすることの方が問題となります。
多くのウェブサービスを利用しているため、パスワードを全て覚えることは現実的ではありません。
そこで、パスワードの管理は、「パスワード管理アプリ」(1Password等)か「物理的な紙のノート」の利用を推奨します。
手帳にパスワードを書くことは手帳の紛失などにより、パスワードが漏れるおそれがあるので望ましくありません。手帳に書くのであれば、パスワードの半分のみを書き、残りの半分は記憶するなどが望ましいです。
いずれにせよパスワードの適切な管理が重要であり、付箋に書いてパソコンに貼っておいたり、共通のパスワードでウェブサービスを利用したり、配布や送付された初期パスワードのままにしておいたりするのは厳禁です。
[西郷新(当会会員)]
Q5
最近、「二段階認証」とか「多要素認証」とか聞きますが、それって何でしょうか? また、バックアップを取ることが大事だとのことですが、どのように取ればよいですか?
A5
「多要素認証」とは、ID とパスワードでのログイン認証に、さらにチェック機能を追加するものです。要素は3種類あり、①知っているもの(パスワード・秘密の質問など)、②持っているもの(カード・スマートフォンを使ったアプリによる認証・USBトークンなど)、③本人自身に関するもの(指紋・顔など)です。これらの要素のうち、違った種類の要素を2つ以上組み合わせてセキュリティを高めます。例えば、多要素認証の例として、スマートフォンアプリを使った認証コードによる「アプリ認証」が挙げられます。アプリ認証では、ⅰ「ID /パスワード」でサービスにログインする(①)、ⅱスマートフォンのアプリに1回だけ使える「ワンタイムパスワード」が表示される(②)、ⅲワンタイムパスワードをウェブサービスの該当画面に入力する、ⅳ正しければログイン、という流れになります。最近のウェブサービスでは多要素認証を提供しているものが多いので、この機能を是非活用しましょう。
なお、「二段階認証」は、構成する要素に関係なく、チェック機能が二段階の方式を指します。違った種類の要素でチェックする多要素認証の方が安全性は高まります。
対策を取っても万が一ウイルスに感染してしまったときに、業務を滞らせないようにするためには、定期的なバックアップも必要です。
バックアップは、「3-2-1ルール」といって、少なくとも3個以上の複製、2種類以上の記録メディア、1個は遠い場所に保管することが推奨されています。例えば、パソコン+バックアップ用ハードディスク+クラウドサーバ、といった形です。また、少なくとも半年から1年に一度はバックアップすることが必要でしょう。バックアップを取っておけば、パソコン内のファイルを暗号化してしまう「ランサムウェア(ウイルス)」に感染したときでも、完全に業務が中断するという最悪の事態は避けられます。
[阿部克臣(第二東京弁護士会会員)]
Q6
事務所の外で仕事をする場合、無料のWi-Fi につないだり、その場にあるUSBポートから充電して仕事をしたりすることが多いですが、無闇につなぐと危ないってホントですか? Wi-FiやUSBポートを使う場合の注意点はありますか? 対策も併せて教えてください。
A6
空港・カフェ・ホテル・公共交通機関の公衆無線LAN(Wi-Fi)については、できる限り使用しないことを推奨します。
こうしたWi-Fi は、通信が暗号化されていないか、暗号化されていても安全な暗号ではない場合が多いので、通信内容が傍受(盗聴)されてしまう危険があります。電話の盗聴と同様に、例えばメールのやり取りを悪意のある者に傍受されて閲覧されてしまう危険があります。執務に関するメールには、依頼者の個人情報や機密情報が含まれていることが多いので、こうした情報が第三者に傍受される危険があることに留意が必要です。
また、Wi-Fiに接続したパソコンの設定次第では、第三者が当該Wi-Fi経由でパソコン内のファイルにアクセスできてしまう危険もあります。
業務に関して外出先等で通信をしなければならない場合、自身のスマートフォンでテザリング機能(パソコンなどをスマートフォン経由でインターネットに接続する方法)を利用するのが安全です。 次に、USBポートについて、昨今では外出中にスマートフォンやパソコンを充電せざるを得ない場合が増えていますが、セキュリティの観点からは、公衆のUSBポートからは充電しないことを推奨します。
パソコンにUSB 機器を差し込む利用方法から分かるとおり、USBポートには充電機能に加えてデータの転送機能があります。この機能を悪用して、悪意のある者が公衆の充電用USBポートにウイルスを仕込んでおくことにより、当該USBポートに接続したスマートフォンやパソコンにウイルスを送り込み、当該ウイルスに感染させる事例が報告されています。感染の結果、データの漏えいや遠隔操作といった被害が引き起こされます。
外出先等でどうしても充電せざるを得ない場合は、電源コンセントを利用したり、携帯用バッテリーを利用したりするのが安全です。
[山岡裕明(当会会員)]
Q7
サイバーセキュリティに関して、事務所内で何か気を付けておくべきことはあるでしょうか? 私と事務員二人の事務所ですが、サイバーセキュリティのことは、正直言って誰もよく分かりません。
A7
以下のような対策を取り情報セキュリティ体制を構築しましょう。
-①共有設定の見直し
第三者が事務所のウェブサービスや機器を使うことができるような共有設定になっていないか、確認しましょう。
-②電子メール取扱いの注意点
身に覚えのない電子メールの添付ファイルは開かず、記載されたURL はクリックしないようにしましょう。
-③宛先送信ミスの防止
電子メールやFAX は、送り先を十分確認するようにしましょう。電子メールの場合は、TOやCCに相手先を入力すると、そのメールを受信した全員が名前やメールアドレスを見ることができてしまいます。受信する全員が互いのメールアドレスを知らないような関係性の場合は、BCCに入力しましょう。
-④重要情報送信時の注意点
重要情報を電子メールで送る場合は、電子メールの本文に書き込まず、文書ファイルなどに記載してパスワードで保護した後、電子メールに添付しましょう。パスワードはその電子メールや次に送信する電子メールには書き込まず、電子メール以外の手段(電話やFAX など)で通知しましょう(A8も参照)。
-⑤インターネットを介したトラブルを防ぐ
インターネットを介したトラブル(ウイルス感染や秘密情報の掲載など)を防ぐため、業務でのインターネット利用を制限する仕組みやルールを作りましょう。
-⑥重要情報を安全に持ち出す方法の設定
ノートパソコンやスマートフォンの利用にあたってパスワードの入力を求めるように設定したり、ファイルにパスワードをかけたりする等の対策を事前に行うことで、盗難や紛失の際に情報を簡単に読み取られることができないようにしましょう。
-⑦機器を守るための対策
退社時にパソコンをシャットダウンするなど、他人が不正にパソコンを使うことを防ぐための対策を行いましょう。
-⑧機器・備品の盗難防止対策
ノートパソコンやタブレット端末、USB メモリなどは、利用しない場合は施錠可能な引き出し等に保管するなどの対策を講じましょう。
-⑨重要情報の安全な処分
重要情報を廃棄する場合は、シュレッダーや消去用ソフトウェアを利用するなど、媒体ごとに適切な処分をしましょう。
-⑩私物機器の利用のルールの設定
セキュリティを確保するため個人所有端末の業務利用の可否や業務利用のルールを定めましょう。
-⑪信頼できる外部サービスの利用
外部サービスを利用する場合は、性能や信頼性、補償内容など十分に吟味しましょう。
[加藤滋隆(東京弁護士会会員)]
Q8
メールで安全にファイルを送りたいのですが、どうすればよいですか? ファイルにパスワードをかけて2通目のメールでパスワードを送ればよいのでしょうか?
A8
ファイルにパスワードをかけて2通目のメールでパスワードを送る方法は安全ではなく、ほとんど意味がないと考えられています。メールを乗っ取られた場合や盗み見られていた場合には、パスワードをかけたファイルとパスワードを記載したメールの両方が見られていることになるからです。
そのため、メールでパスワードをかけたファイルを送る場合には、パスワードを別の方法で伝えた方が安全です。例えば、直接会ったときにあらかじめパスワードを決めておく、電話やショートメッセージなどメール以外の方法でパスワードを伝えるといった方法が考えられます。この場合でも、簡単なパスワードではパスワード解析ツールを使用して短時間でパスワードを特定されてしまうので、英語の大文字・小文字や数字、記号などを織り交ぜた長いパスワードにするといった対策も併せて行うとよいでしょう。
できるだけ安全にデータを送る他の方法として、インターネットを通じてデータを保管できるサービス(クラウドサービス)に渡したいデータを保管し、相手にクラウドサービスにアクセスして受領してもらう方法が考えられます。最近のクラウドサービスでは、特定のメールアドレスからのみアクセスを許可するものや、ダウンロード可能な期間やダウンロード回数を設定できるものなどもありますので、これらの機能も活用するとよいでしょう。クラウドサービスは、間違ったファイルを保存しても相手がアクセスする前ならクラウド上から削除することで対応できますし、相手がダウンロードした後にすぐ削除してデータを残さないという対応もでき、データ共有後もデータを一定のコントロール下に置けるという利点もあります。
また、これまでに多く利用されており、今でもたびたび見かけるのが、パスワード付きのZIPファイルをメールで送り、2通目のメールでパスワードを送るという方法です。
この方法は、2020年11月に行われたデジタル改革担当大臣(当時)の記者会見において内閣府・内閣官房で廃止する方向で検討を進めているとされており、その後、民間の企業でも「暗号化ZIPファイル」の廃止が進められてきています。
事務所内や顧問先企業などで、ファイルを添付したメールの本文や2通目のメールにパスワードを記載している場合のほか、「暗号化ZIP ファイル」を使用している場合には、この機会に、データを安全にやりとりする方法について再検討しておくとよいでしょう。
[斎藤悠貴(東京弁護士会会員)]
Q9
金融機関からのメールだと思って、メールに記載されたリンク(URL)をクリックしたら、本物の金融機関そっくりのウェブサイトに飛ばされて、そこで私の銀行口座の情報やID・パスワード等を入力してしまいました。
どうすればよいのでしょうか? また、こうした怪しいメールは、どうやって見分けたらよいのでしょうか?
A9
実在の金融機関やクレジットカード会社等を装った電子メールを送付し、これらのウェブサイトとそっくりの偽のウェブサイトに誘導して、銀行口座の情報や個人情報等の重要な情報を入力させてだまし取る行為を、「フィッシング」といいます。
フィッシング被害に遭った場合、そのままにしておくと、情報をだまし取った者によって、あなたが入力した口座情報やID・パスワード等を利用して、預金を引き出されたり、不正にカードを利用されたりする等の被害が生じることになります。
フィッシング被害に遭ったことに気付いたら、まずは、銀行やクレジットカード会社等に連絡して、フィッシング被害に遭ったこと(情報をだまし取られたこと)を連絡して、対応を求めましょう。連絡を受けた銀行やクレジットカード会社において、預金の引き出しやカードの利用を停止してくれるほか、ID やパスワードの変更等、適切な対応を取ってくれるでしょう。
また、既に被害が発生してしまった場合には、詐欺として警察に通報することももちろん考えられます。
なお、フィッシングに関する情報収集・提供を行っている「フィッシング対策協議会」というウェブサイトがあります。
次に、怪しいメールの見分け方ですが、「これ!」という決定的な方法があるものではありません。
もっとも、怪しいメールかどうかを判断するために注目すべき点がいくつかあります。
まず、送信元メールアドレスが本物かどうかの確認です。本物のメールアドレスから1文字変えたものが使われていたという事例が報告されています。もっとも、送信元メールアドレスは偽装できるので、これが正しいからと言って、油断はできません。
また、メールで個人情報やID・パスワード等の入力が求められている場合には、要注意です。
このような場合は、本物のメールかどうか、十分確認してください。
メールのリンクから接続したウェブサイトについても、同様のことがいえます。本物のウェブサイトかどうか、個人情報等の入力が求められている場合には特に気を付けて確認してください。
[仲田隆介(第二東京弁護士会会員)]
Q10
クラウド(Googleドライブ、One Drive、Dropbox 等)は、サーバが海外にある場合があるということを聞き、不安を感じています。
クラウドにいろいろな情報を上げても大丈夫なのでしょうか? 何かあった場合、弁護士の責任を問われませんか?
A10
クラウドサーバにあるデータは所在地の国の法律が適用される可能性があります。そのため、サーバの所在地の法律に従って、その内容が検閲され、情報が流出する可能性があるといえます。
そこで、クラウドサービスを利用するにあたっては、利用規約等を確認して、クラウドサーバの所在地が国内であるか否かを確認しておくことが肝要です。
次に、クラウドサービスを利用することは、情報を第三者に預けることを意味し、セキュリティについても第三者に委ねることになります。
そのため、「政府情報システムのためのセキュリティ評価制度」(ISMAP)による認定を受けているクラウドサービスであるか否かを確認し、セキュリティ面で信頼できるクラウドサービスを選別して利用することが重要です。クラウドサービスを適切に選別できなければ、クラウドサービスに重要情報をアップロードしないことも検討すべきでしょう。
それだけでなく、クラウドサービス提供事業者において、セキュリティ対策に万全を期したとしても、攻撃者にクラウドにアクセスされてしまい、情報が流出する可能性も否定できません。そこで、クラウドサービスにアップロードする情報について、たとえその情報が含まれたファイルが流出しても、その内容を閲覧できないようにファイルごとにパスワードをかけておくことが考えられます。
また、サイバーセキュリティ対策に完璧というものはありません。クラウドで保管していた情報が流出する等の事態が生じてしまうと、弁護士が損害賠償責任を負うことも起こり得ます。
そのため、情報漏えい等の事態が起きたときに、クラウドサービス提供事業者において、どのような対応が行われるかについて利用規約等で確認しておく必要があります。具体的には、そのような事態が発生した場合の報告義務、報告の方法、損害賠償の責任範囲、データのバックアップ設定の有無等を確認しておきましょう。情報漏えい等の事態が発生した際に、クラウド上でなされた情報のやり取りに関する記録(これをログといいます)が保存されていれば、どの情報が流出したのか等を究明することができますので、利用するクラウドサービスにおいてログを保存できているか確認しましょう。
最後に、クラウドサービスを利用する際には、情報が流出することがないよう、ID・パスワードによる認証だけではなく多要素認証を活用することが重要といえます。
[服部毅(東京弁護士会会員)]
Q11
最近Twitter やFacebook を始めてみたのですが、これだけは気を付けるべきということがあったら教えてください。
A11
Twitter やFacebook などのいわゆるSNS(Social Networking Service)の利用の際には、①外部への情報発信と②メッセージ機能を使用した情報のやり取りの両面から注意しておく必要があります。
①外部への情報発信の際には、自宅等の特定につながる情報を掲載しないように気を付けなければなりません。
最近では、SNSで発信された断片的な情報から自宅等が特定されるケースも増えています。自宅等の近くで撮影した写真から場所を特定されることもあれば、写真のデータに位置情報が含まれていることにより場所が特定されることもありますので、写真を撮影する際に位置情報が記録される設定になっているかどうかを確認しておくべきでしょう。写真だけでなく、利用している駅や店の情報を発信することで居住範囲が特定されるリスクもあります。弁護士が業務妨害を受ける場合、自宅等が特定され弁護士やその家族にも被害が及ぶことが考えられますので、安易な個人情報の発信は控えるべきでしょう。
②メッセージ機能を使用した情報のやり取りでは、SNSが乗っ取られるケースが増えていることを踏まえて対応を検討する必要があります。
SNSが乗っ取られると、SNSに保存されている情報が悪用されるだけでなく、SNSのアカウント自体を悪用されることで、SNSでつながっている相手に不正なメッセージを送信されたり、偽の販売サイトへ誘導する広告が発信されたりするなどの被害が生じることもあります。
これらの対策としては、まず、SNSのメッセージでやり取りする情報を限定しておくことで、リスクを小さくすることができます。
そして、乗っ取り被害に遭わないためには、SNS以外のサービスと同じように、第三者に推測されにくいパスワードをSNSごとに設定し、多要素認証を活用するなどの対策を行うことが重要です。第三者によりSNSのアカウントに勝手にログインされた場合や登録メールアドレスが勝手に変更された場合、アカウントに登録された変更前のメールアドレスに対し、通知メールが届く機能がある場合もありますので、それらを活用してみるのもよいでしょう。
また、SNSで複数の知らない人と友達登録したことで、パスワード再発行機能を悪用されアカウントが乗っ取られた事例もあります。SNSは気軽に利用できる便利なツールですが、多くの知らない人とつながることにはリスクがあることもよく認識しておく必要があります。
[斎藤悠貴(東京弁護士会会員)]
Q12
コロナ禍でオンライン(Zoom、Skype等)の打合せ・会議が増え、自分も何とか操作を覚えて使っています。センシティブな内容を扱う場合もあるので、できるだけ安全に会議を進めたいのですが、どの辺りに気を付けたらいいでしょう?
A12
まず、オンラインでの打合せや会議で使用するウェブ会議ツールのソフトウェアやアプリは、常に最新版を使うようにしましょう。その上で、ウェブ会議ツールを利用する際には、ID・パスワードの漏えいによるなりすまし等の被害に遭わないようにするため、多要素認証の機能を有効化したり、ログインした際に登録したメールアドレスに通知が届くように設定したりすることが重要です。
次に、ウェブ会議を設定する際に利用するIDは毎回変更しましょう。同じID を使い回してしまうと、開催する会議に無関係の者が入ってきてしまう事態が起こり得ます。
弁護士業務に関する打合せ等をウェブ会議の方法により行う場合には、隣や背後からパソコンの画面を覗かれたり、会議内容を聞かれたりすることで業務上の秘密が漏えいするおそれがありますので、公共の場所やウェブ会議出席者以外が出入りする場所で参加しないようにしましょう。
また、ウェブ会議を行う際には、公衆無線LAN(Wi-Fi)等のセキュリティの脆弱な通信手段を使わないようにすることも重要です。
ウェブ会議を行う場合、出席者はスクリーンショットを撮ったり、会議の内容を録音したりすることが容易にできます。そのため、ウェブ会議中に機密性の高い情報を扱うか否かについては、録音・録画がなされるリスクを念頭に置いて決定するようにします。
さらに、ウェブ会議では、機密性の高い情報の映り込みの危険にも注意が必要です。具体的には、ウェブ会議にウェブカメラ付きで参加する際に、自身の背景に事件関係のファイル等が映り込んでしまうことがあり得ます。そこで、事件関係のファイル等が映り込むことがないよう、いわゆる「バーチャル背景」を利用したり、事件関係のファイル等のない会議室でウェブ会議に参加したりするようにします。また、ウェブ会議において、画面共有機能を利用して、パソコンの画面をウェブ会議参加者に共有するための操作中に、共有することを予定していない受任事件に関するファイルやフォルダ等が開かれた状態にあると、操作を誤って自己のパソコンの画面がそのまま映り込んでしまい、受任事件に関するファイル等がウェブ会議出席者の目に触れてしまう事態も起こり得ます。そこで、ウェブ会議において、画面共有を行う際には、共有することを予定していないファイルを閉じているか事前に確認するよう注意しましょう。
[服部毅(東京弁護士会会員)]
Q13
パソコンの挙動が変で、もしかしたらウイルスに感染したかもしれません。ウイルスに感染したかを確認する方法はありますか?
また、パソコンがウイルスに感染した場合、どうしたらいいでしょうか? とりあえず電源を切ればいいですか?
A13
ウイルスの感染とは、不正なプログラムがパソコン等に侵入することです。なかなかパソコンが立ち上がらなかったり、動作が遅かったり、ファイルが消えていたりするなど、挙動が普段と比べておかしい場合、パソコンがウイルスに感染したおそれがあります。
パソコンがウイルスに感染したかどうかは、多くの場合は、セキュリティ対策ソフトによる診断等で判断することが可能です。
もっとも、セキュリティ対策ソフトが把握していないウイルスもあり、セキュリティ対策ソフトの診断でウイルスが検出されなくても、パソコンがウイルスに感染している場合もあります。パソコンの挙動がおかしい状態が続く場合、セキュリティの専門家にパソコンを確認してもらうことも検討してください。
なお、上記のとおり、パソコンがウイルスに感染したことに気付く端緒は、多くの場合、普段と比べてパソコンの挙動がおかしいということです。
普段から、パソコンの挙動に注意を払うようにしてください。
パソコンがウイルスに感染した場合、最も重要なことは、事務所内・事務所外の第三者にウイルスを感染させないことです。
ウイルスに感染したパソコンを社内ネットワークやインターネットに接続したままにしてしまうと、その感染したパソコンから、他のパソコンにウイルスが感染するおそれがあります。
ウイルスに感染したことに気付いたら、まず、LANケーブルを抜く、Wi-Fi(無線LAN)を無効にする等して、社内ネットワークやインターネットに接続しない状態にしてください。くれぐれも、ウイルスに感染した状態のまま、パソコンを利用して電子メールを送受信する等をしないよう、注意してください。
パソコンの電源を切る(シャットダウンする)ことも、第三者にウイルスを感染させないという意味では、有効な方法の一つと考えられています。
第三者にウイルスを感染させない状況にした後、感染したパソコンをどうするかという問題が残ります。これについては、セキュリティの専門家に相談して、対応を委ねることが適当だと思います。
事務所のシステム管理会社に相談することや、サイバー保険に加入しているのであれば、保険会社に相談することでもよいでしょう。
なお、パソコンの電源を切った場合、パソコンからログ(記録)が消去される等して、ウイルスの特定や被害内容の特定に困難を来たすことがあります。そのため、パソコンの電源を切るかどうかは、セキュリティの専門家に相談してからの方がよいでしょう。
[仲田隆介(第二東京弁護士会会員)]
Q14
サイバーセキュリティのことを易しく学べるオススメの本やサイトはありますか? ITとか苦手でさっぱり分からない私でも分かるものを教えてください。
A14
-(1)「サイバーセキュリティのひみつ」(学研キッズネット まんがひみつ文庫) 小学生が対象ですが、大人向けの入門書としても使用できます。電子版が無料公開されています。
https://www.ipa.go.jp/security/keihatsu/security-himitsu/(魚拓)
-(2)「インターネットの安全・安心ハンドブック」(内閣官房内閣サイバーセキュリティセンター(NISC))
身近な話題からサイバーセキュリティに関する基本的な知識を紹介しています。無料公開されています。
https://www.nisc.go.jp/security-site/handbook/index.html(魚拓)
-(3)国民のための情報セキュリティサイト(総務省) インターネットとセキュリティに関する基本情報が公開されています。
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/(魚拓)
-(4)「小さな中小企業とNPO 向け情報セキュリティハンドブック」(NISC)
小規模事業者向けにサイバーセキュリティを分かりやすく解説したものです。無料公開されています。
https://www.nisc.go.jp/security-site/blue_handbook/index.html(魚拓)
-(5)「中小企業の情報セキュリティ対策ガイドライン」(情報処理推進機構)
セキュリティ対策に取り組む際の経営者が認識すべきこと、社内における対策の手順や手法がまとめられています。
https://www.ipa.go.jp/security/keihatsu/sme/guideline/(魚拓)
-(6)「鷹の爪団のサイバー犯罪撲滅大作戦」(警察庁)
サイバー犯罪の被害を防止するための広報啓発用の動画(フィッシング編、IoT機器編、チケット詐欺編)が公益財団法人警察協会のウェブサイトで公開されています。
https://www.keisatukyoukai.or.jp/pages/35/(魚拓)
-(7)「サイバー空間における脅威の概況2022」(公安調査庁)
インテリジェンス機関である公安調査庁により、直近のサイバー攻撃の動向、サイバー攻撃の目的・主体がまとめられています。
https://www.moj.go.jp/content/001371280.pdf(魚拓)
[蔦大輔(東京弁護士会会員)]
スキャン画像
脚注
リンク
- 「IT嫌い」「IT初心者」(!?)のための サイバーセキュリティ入門 ~14のQ&A~(魚拓) - NIBEN Frontier
関連項目
- インターネット上の誹謗中傷と業務妨害
- インターネットを利用した業務妨害の現状
- インターネットを利用した業務妨害
- インターネット業務妨害の現状と対策 - 山岡をはじめ、北條弁護士、阿部弁護士、斎藤弁護士、蔦弁護士も寄稿している
- ファイル:「IT嫌い」「IT初心者」(!?)のための サイバーセキュリティ入門 ~14のQ&A~.pdf