日本経済新聞

 通販大手アマゾンジャパン（東京・目黒）のサイトに投稿された書評によって社会的評価が低下したとして、本の著者側が同社に投稿者情報の開示を求めた訴訟の判決があり、東京地裁が投稿者の氏名や住所、メールアドレスの開示を命じていたことが11日までに分かった。裁判所がプロバイダー（接続業者）以外に利用者情報の開示を命じるのは異例。

判決は3月25日付で、同社が控訴しなかったため11日までに確定した。

アマゾン側は訴訟で日本法人のアマゾンジャパンがサイトを運営していることを認めた。海外に本拠を置くネットサービス企業が本国法人以外がサイトを運営していると認めるのは珍しく、国内で訴訟を起こしやすくなる。

判決によると、投稿者は2013年に複数回、アマゾンのサイトの書評に著者らについて「人を欺くかのような活動をしている」などと投稿したが、同地裁は「真実ではない」と認定。そのうえで社会的信用を低下させたとし、運営するアマゾンジャパンに対し投稿者情報の開示を命じた。

アマゾンは氏名やメールアドレスなどを登録してアカウントを作成しなければ書評を投稿できない仕組み。著者側がアマゾン側に投稿者情報の開示を求めていた。

これまで投稿者情報を知るためには、サイトの管理者に投稿者のIPアドレス（ネット上の住所）の開示を求め、そのIPアドレスの契約者についてプロバイダーに氏名などの開示を求めるという2段階が必要だった。

著者側代理人の山岡裕明弁護士は「ネット上で誹謗（ひぼう）中傷された被害者にとっては訴訟期間や費用が大幅に軽減される。非常に意義のある判決」と話している。投稿はすでに削除されている。今後、開示された投稿者情報に基づき、対応を検討するという。

アマゾンジャパンは「個別の事件についてコメントできない」としている。

ウェブサイトへのアクセスを効率化するサービス「コンテンツ配信ネットワーク（CDN）」大手の米クラウドフレアに、東京地裁が肖像権などを侵害する記事のデータ削除などの仮処分命令を出したことが10日分かった。多くの海賊版サイトはCDNを利用しており、サイト運営者の特定につながる手段の一つとなりそうだ。

CDNは、原本となるサイトの内容をコピーしてネットワーク上に複数設置し、アクセスを分散させるサービス。特定のサーバーにアクセスが集中し通信速度が低下することを避けられるため、データ量が膨大な動画配信などに欠かせないサービスだが、海賊版サイトなどが"隠れみの"として悪用すると、違法なコンテンツの原本の保管場所が分かりにくくなる。

申立代理人の山岡裕明弁護士によると、ある日本語サイトに掲載された無断撮影の人物写真と記事が、肖像権など人格権を侵害していると主張。サイトにCDNのサービスを提供していたクラウドフレアに対し、記事コピーの削除と、原本保管元サーバーの情報開示を求め、7月に同地裁に仮処分を申し立てた。

10月9日付の地裁決定はこの主張を認め、記事コピーを保管し、アクセスさせたCDNサービスも権利侵害に当たると判断した。山岡弁護士はクラウドフレアが仮処分命令に従い情報を開示すれば、原本の保管元に改めて記事削除などを請求する。

クラウドフレアは漫画違法ダウンロードサイト「漫画村」が利用していたことでも知られる。

山岡弁護士は「著作権侵害でもCDNに同様の仮処分命令が出る可能性がある」と指摘。CDNを利用する海賊版サイトの運営者を割り出しやすくなり、海賊版対策につながる可能性がある。

海賊版対策の一つとして議論されているサイトのブロッキング（接続遮断）を巡っては、「通信の秘密を侵害する」との懸念から慎重論が強い。ブロッキング以外の解決策として、今回の地裁の判断がこの議論に影響する可能性もある。

イラストの著作権者の男性が情報サイトに無断投稿された画像の削除などを求めた仮処分申し立てに対し、東京地裁は28日、情報サイトを複製して配信を中継する米IT（情報技術）大手クラウドフレアに画像削除とサイト管理者情報の開示を命じた。同社サービスは海賊版サイトも利用している。弁護士は「海賊版被害の解決や運営者特定がしやすくなる」と話している。

クラウド社は米カリフォルニア州に拠点を置く「コンテンツ配信ネットワーク（CDN）」の大手。CDNは大規模なサイト配信に不可欠で、海賊版サイトも大量のアクセスを集めて広告料などで利益を得るため、CDNを利用することが多いとされる。

仮処分の申し立てを担当した山岡裕明弁護士によると、イラストを情報サイトに無断投稿された著作権者の男性が2018年12月11日に同地裁に仮処分を申し立てた。情報サイトの管理者は配信のためにクラウド社のサービスを利用していた。

仮処分の申立書では、「氏名不詳のサイト運営者が著作権を侵害した」とした上で、「クラウド社にも侵害を理由とする『条理上』の削除義務がある」と主張していた。　同地裁の決定では、クラウド社に削除義務があることを認め、さらに情報サイトの管理者のログイン時のIPアドレス開示などを命じた。著作権法の趣旨などを踏まえた判断とみられる。

同社を巡っては、山岡弁護士が担当した別のケースで18年10月、著作権ではなく肖像権侵害を理由に同地裁が同社にデータ削除などを命じる仮処分命令を出した。著作権侵害は侵害行為の主体などの要件が肖像権侵害よりも厳格とされるが、同地裁は著作権侵害の場合でも画像削除などの仮処分を認めた。

クラウド社に対する司法手続きとしては、これまで国内で裁判を起こした上で同社から訴訟外で一部情報の開示を受けたケースや、米連邦地裁の司法手続きで情報の開示に応じさせたケースもある。一方で同社への司法手続きには一定の費用や期間が必要なことが課題だった。

仮処分の申し立てが認められたことについて、担当した山岡弁護士は「約1カ月半で今回の決定が出た。費用も数十万円で済み、より簡単な手続きで著作権侵害サイトに対応できるようになる」と話している。

クラウド社を巡っては、欧州連合（EU）がインターネット上の知的財産侵害についてまとめた「偽造品・海賊版監視リスト」に含まれるなど、海賊版対策で国際的に問題視されている。

違法コピーした漫画を掲載する海賊版サイト「漫画村」 を巡る著作権法違反事件で、 主導役とされる星野路実被告（２７） の初公判が１２月１６日に福岡地裁で開かれる。同被告が別の海賊版サイトの運営など複数の事業に関与していた疑いも浮上しており、 収益の使途などの解明は法廷に舞台を移す。 同事件では海賊版サイトの運営自体を罰する法律がないことなどの課題も明らかになっている。

関係者によると、 星野被告はアダルト動画を無料で公開する海賊版サイトの一種を運営していた疑いがある。 同被告は漫画村の閲覧者が増えても通信速度が落ちないよう複数のサーバーを使ってアクセスを分散させるサービスを米企業と契約していたが、 この契約のアカウントがアダルト動画の海賊版サイトにも使われていたという。

これまでに開かれた漫画村メンバーの公判では、 星野被告が事業を幅広く手がけていたことが判明した。 同事件で起訴された画像投稿役の男は、 星野被告について 「友人とゲームなどの動画配信サイトを開設する際の事業パートナーとして知り合った」 と説明した。

星野被告はメイドバーやメイド喫茶なども経営。 画像投稿役の男は、 メイドバーの店長だった漫画村ナンバー２の安達亘被告 （３８） と合流し、 漫画村に関わったという。

漫画村は２０１６年に開設、１８年４月に閉鎖した。 一般社団法人 「コンテンツ海外流通促進機構」 によると、１８年２月までの半年間で延べ約６億２千万回のアクセスがあり、 著作権被害は約３千億円に上るとみられる。

捜査関係者によると、 画像投稿役は全国に点在し総勢１０人を超える。 ネット広告などで億単位の収入があった可能性もある。 星野被告は漫画村の閉鎖後に渡ったフィリピンでも新事業を手がけようとしていたとされ、 今後始まる公判では漫画村で得た収益の規模や使途も焦点となる。

過去の著作権法違反事件では、 漫画などを無断で投稿した人物や海賊版サイトに誘導する 「リーチサイト」 の運営者が立件されたことはあったが、 大規模な海賊版サイトの運営者が摘発されたのは漫画村事件が初めてだった。

著作権法違反罪の法定刑は 「１０年以下の懲役」 か 「１０００万円以下の罰金」、 またはその両方。 ただ、 星野被告が今回起訴されたのは 「ワンピース」 と 「キングダム」 の２話分の漫画画像を違法に公開したとされる著作権法違反罪で、 起訴内容は画像投稿役の男らと同じだ。 画像投稿役の男について福岡地裁は１１月７日、 懲役１年６月、 執行猶予３年、 罰金５０万円を言い渡した。

著作権法に詳しい福岡大の谷川和幸准教授は 「海賊版サイトの運営自体を罰する法律はなく、 今回問われたのはあくまで漫画画像を違法に公開して著作権を侵害したかどうかだ」 と指摘。 「２話だけの侵害では量刑は重くならないとみられ 『海賊版サイトの運営は罪が軽い』 と受け止められかねない。 現行法には限界があり、 海賊版サイトの運営自体を罰する法律が必要だ」 と話す。

■刑事裁判後、 民事責任の追及も

著作権を侵害された出版社などは今後、 海賊版サイト「漫画村」 の主導役とされる星野路実被告らに損害賠償を請求する可能性がある。 海賊版サイト対策に詳しい山岡裕明弁護士は 「刑事裁判が進んだ後の方が民事訴訟も有利に進められる。 刑事判決の確定後に訴訟が本格化するだろう」 とみる。

ネット上での著作権侵害を巡っては、 民事手続きで収集できるＩＰアドレスなどの証拠だけでは、 本当にその人物が侵害行為を行ったと立証できない可能性が残る。 作品ごとのアクセス数などが分からなければ、 損害額の算出方法も争点となる。

だが、 刑事事件の判決が確定すれば捜査資料や供述調書などを民事事件の証拠として活用できる。 銀行口座の残高などが明らかになれば、 資産の差し押さえがスムーズに進む可能性があるという。

インターネット上で後を絶たない個人・企業への中傷や著作権侵害の対策に、 米国の裁判所を通じて発信者情報の開示を求める司法制度の活用が日本国内で広がり始めた。投稿先のＳＮＳ（交流サイト） の多くを米国企業が運営することもあり、 国内制度より迅速に情報が開示され、 その内容も幅広い。 弁護士からは 「普及すれば不正投稿の抑止につながる」 との声も上がる。 （岩沢明信）
総務省によると、 ネット上での匿名による不正な投稿について発信者を特定する場合、 国内では 「プ□バイダー責任制限法」 に基づく手続きを取る。 ブ□グやＳＮＳ、 動画投稿サービスなどを運営する事業者に対し、 国内の裁判所で発信者情報の開示請求を行い、請求が認められれば事業者に登録されている情報が開示される。
ただ、 同法に基づく手続きではＩＰアドレスのみの開示となるため、 発信者の特定には追加情報が必要になる。 被害者は１回目の手続きで入手したＩＰア ドレスに基づき、 ＮＴＴ ドコモ、 ＫＤＤ１といったネッ ト接続の事業者に対し、 開示請求や裁判をしなければならない。ＳＮＳや検索サービスを運営する事業者がツイッター、 グーグル、 フェイスブックなどの米国企業だった場合は「日本の裁判所への申し立てから、 実際に開示されるまでに１カ月半～２カ月半かかる」 （同分野に詳しい弁護士）。 ただ、 中傷を含めた投稿の履歴は一定期間がたつと自動的に消えてしまうことが多いため、 手続きに時間がかかると開示ができないこともある。

'■開示請求で身元を特定
一方、 米国の民事訴訟の 「ディスカバリー」 と呼ばれる証拠開示制度を使うと、 氏名や住所、 工Ｐアドレスだけでなく、 電話番号、 メールアドレスなど、 サービスに登録された情報の全てが開示対象となる。
有料サービスの場合はクレジットカード情報が登録されていることもあり、 発信者の特定につながる手掛かりとなる。 裁判所の命令も１～２日で出ることもあり、 申し立てから１カ月以内に開示に至ることも多い。
「誤った情報が繰り返し書き込まれ、 客数も減ってしまった。 どうすればいいか」。 ３月、 国内のある民間医院の代表者が法律事務所に相談に訪れた。 グーグルの地図サービス 「グーグルマップ」 上に表示される医院のレビューに、 実際とは異なる料金と共に 「高額な請求をされた。 ぼったくりだ」 といった中傷投稿が複数回あった。
弁護士がグーグル本社のあるカリフォルニア州の連邦地裁に請求をしたところ、 開示が認められた。 グーグルから送られてきた書類には、 複数のメールアドレスや携帯電話など発信者の特定につながる情報がずらり。 アドレスには被害医院の近隣にある競合医院と同じ名前の文字列が記載されており、 その後の調査で発信者が競合医院関係者と特定できた。 業務妨害として損害賠償請求を検討しているという。中傷や業務妨害に限らず、 著作権侵害でも活用が進む。 大手海賊版サイト「漫画村」 （２０１８年４月に閉鎖） を巡り、 カリフオルニア州弁護士の資格を持つ山口貴士氏は、 運営者の身元を特定しようと同年６月に米国で司法手続きを取った。
漫画村が配信に利用していた米クラウドフレアに登録のあった、 漫画村運営者の情報の開示に成功。 氏名や住所、メールアドレス、 携帯電話番号、 ＩＰアドレスといった幅広い情報を入手できたという。
１９年９月には、 集英社など日本の大手出版社４社も漫画村の後継サイトについて、 ニューヨーク州の裁判所で運営者情報の開示を求めて提訴した。 後継サイトもクラウドフレアを使っており、 訴訟に携わった担当者は 「日本にはない制度で、 サイト運営者の特定が見込まれるため利用した」 としている。

■司法手続き、 州弁護士資格が必要
ただ、 ディスカバリーが使えるのはＳＮＳなどの事業者が米国に主要拠点がある場合に限られるうえ、 米国で司法手続きを行うには、 その州の弁護士資格が必要だ。 資格を持っていない場合、 米国の弁護士に代行を依頼するしかなし、。
同制度に詳しい山岡裕明弁護士によると、 米国のサービスを対象とする場合は効果的な一方で、 米国の弁護士に資料の作成も含めて依頼する場合には 「数百万円の費用がかかる可能性もある」 という。山岡弁護士は 「ディスカバリーは従前から活用できた制度だが、 近年はＳＮＳなどの海外サービスを使った不正投稿が日本国内で増えていることから、 有力な手段として注目されている」 と指摘。
「開示の事例が増えれば、 不正なネット投稿の抑止にもつながるのではないか」 と話している。

■国内でも制度見直し検討
インターネット上の投稿を巡り、 総務省は７月、 プ□バイダー責任制限法に基づく発信者情報の開示対象に電話番号を加えることを柱とする見直し案をまとめた。 
迅速に開示されるよう、 被害者が訴訟を起こさなくても、 申し立てに基づき裁判所が開示の適否を判断する仕組みも検討されている。
見直しが進む背景には、 ネットの不正投稿が多い状況が続いていることがある。 法務省によると、 ネット上の誹講（ひぼう） 中傷やプライバシー侵害などの人権侵害は２０１９年に１９８５件にのぼり、 最多だった１７年 （２２１７件） に次いで多かった。
今年５月にはフジテレビのリアリティー番組 「テラスハウス」 に出演し、 ネットで中傷を受けていたプ□レスラーの木村花さんが２２歳で死去、検討の動きが加速した。
著作権被害もいまだに多い。出版９団体でつくる「出版広報センター」の調査では、７月時点で漫画の海賊版サイトが国内外で５００件以上確認された。上位１０サイトには、日本から月に１億回以上のアクセスがあったという。
担当者は「刑事告訴や民事の損害賠償請求など、今後も国内外で必要な法的手続きを取っていく」と話している。

サイバー保険を提供する損保保険大手が、企業に対する法務面の支援を相次ぎ拡充している。東京T海上日動火災保険は法律系コンサルティング会社と共に、年内にも新商品を開発。三井住友海上火災保険は法律事務所と連携し、弁護士と初動対応を支えるサービスを始めた。背景には改正個人情報保護法など、規制の強まりがある。

「取引先から不審なメールが届いたので調べてほしいとの連絡があった」。7月、東京都内の中小企業の社長が弁護士に相談に訪れた。会社の端末を調べると、情報窃取するコンピューターウィルスの「Emotet（エモテット）」が見つかった。メールソフトから取引先企業のアドレスが流出した可能性が浮上した。

弁護士はアドレスが会社名や氏名の一部を含み特定の個人を識別できるため、個人情報にあたると指摘。社長に「（政府の）個人情報保護委員会に報告すべきだ」と助言し、報告書をまとめた。

こうしたサイバー被害に対し、MS＆ADインシュアランスグループホールディングス傘下の三井住友海上は３月、法律事務所と連携し、加入企業の被害時にITに詳しい弁護士と初動対応を支えるサービスを始めた。被害や原因を調べる手法や範囲を助言し、顧客や取引先、個人情報保護委への報告を支援する。 東京海上日動も7月にTMI綜合法律事務所系コンサルと提携。年内にも新商品を開発する方針だ。損害保険ジャパンも、監督機関への通知や弁護士事務所の紹介などを実施している。 東京商工リサーチによると、２０１９年に上場企業とその子会社で発生した個人情報漏洩・紛失事故は８６件で、このうちウィルス感染や不正アクセスによるものは４１件と過去最多だった。

表面化する事案は氷山の一角だ。現在の国内法規制では、個人情報保護委や影響を受ける可能性のある本人への通知は必ずしも義務付けられていない。そのため「特に中小企業の危機意識が薄く放置することもある」とサイバー被害に詳しい山岡裕明弁護士は話す。

この状況を大きく変えるのが、６月に成立した改正個人情報保護法だ。政府はサイバー攻撃で個人情報を漏洩させた企業に対し、被害を受けた全員への通知を義務付ける方針だ。２２年春にも運用が始まり、違反には最高で１億円の罰金を科す。 個人情報保護に詳しい情報セキュリティ大学院の湯浅墾道教授は「欧州の一般データ保護規則（GDPR）など、情報漏洩の報告を義務化する法規則は各国に広がっている」と話す。対策を怠ると、政府や取引企業から巨額の罰金や行政処分、損害賠償を求められることもある。

SNS（交流サイト）上などで匿名のユーザーから誹謗（ひぼう）中傷を受けた場合、投稿者を特定して損害賠償などを求める対策が考えられるが、被害者側の手続きは煩雑で泣き寝入りするケースが多い。

一般的に被害者が賠償を求めるためには、SNS事業者に対して投稿者のインターネット上の住所にあたるIPアドレスの開示を請求し、開示されたIPアドレスに基づき、投稿者情報の開示をプロバイダーに求める必要がある。賠償請求に移るまでに複数回の手続きが求められるので、費用や時間がかかる。

木村花さんなどの問題を受け、総務省は8月に省令を改正し、被害者がSNS事業者などに求める開示情報の対象に投稿者の電話番号を加えた。しかし複数回の裁判が必要な状況は変わらず、同省の有識者会議は11月、迅速な救済に向け、投稿者の情報を1回の裁判手続きで開示できる新制度の創設などを盛り込んだ最終報告書案をまとめた。

武田良太総務相は報告書案を受け、11月の記者会見で「幅広い意見をうかがった上で最終とりまとめを行い、早期に法改正を含めた対応をとりたい」と述べた。

ネット中傷などの問題に詳しい山岡裕明弁護士は、木村さんへの中傷を巡る今回の警視庁の摘発方針を受け「匿名での発信であっても、重い責任が伴うことへの理解が社会に広がるきっかけとなってほしい」と指摘。「被害者にとって投稿者を特定するハードルは依然高く、救済を重視したスムーズな制度と運用が必要だ」と話した。

インターネット広告が転機を迎えている。プライバシー重視の方針をいち早く示した米アップルに続き、米グーグルも個人のネットを通じた行動を追跡する技術の使用や開発を制限する方針だ。 消費者のプライバシー意識の高まりに応える効果が見込める一方、技術力が高い大手による寡占が強まる懸念もある。

「世界の消費者の８１％が企業の個人情報の取扱いに対する懸念を強め。４８％はプライバシーへの不安から商品やサービスの購入・利用を中止している」。グーグル幹部は調査結果を引用してこう説明する。ネット企業にとって対策が急務との考えを示した。

グーグルはネット閲覧サービス（ブラウザー）に加え、企業に提供している広告関連サービスでも行動追跡技術の使用を制限する方針だ。同社の制限強化により、過去の行動に基づいて配信対象を細かく絞り込むターゲティング広告の運用が難しくなる。

「欧州連合（EU）を中心に個人情報の取得を制限する流れが強まり、プラットフォーム企業は法律を超える規制を迫られるようになった」。ウェブ技術に詳しい山岡裕明弁護士はこう指摘し、日本を含む各地でネット広告の事業モデルの見直しが加速するとの見方を示す。

日本のある広告会社幹部は「自社で顧客の譲歩を取ってマーケティングに生かす手法が加速するだろう」と予測する。ただ、こうした取り組みで先行するのはIT（情報技術）大手だ。幅広いサービスと多数の利用者を抱えるため自社の情報だけで広告を効率的に配信する仕組みを構築しやすく、企業間の格差が広がり固定する恐れもある。

代替技術の開発でもIT大手は先行する。グーグルは開発成果をオープンソースとして公開するなど透明性の向上に努めているが、ある広告技術会社の幹部は「開発した技術を他社よりも先に使い、先行者利得を得られる」と警戒。ネット広告で世界の過半を握るグーグルや米フェイスブックなどがさらにシェアを拡大する可能性を指摘する。

英国ではグーグルがサードパーティークッキーの代替技術で市場支配力を強めるとの懸念が高まり、競争・市場庁が１月に同社の調査に乗り出している。各国で独占・寡占問題に関する監視が厳しさを増しており、自社優遇を避け事業の透明性を高めることがネットの健全な成長のためにも不可欠になっている。

企業にサイバー攻撃を加えて身代金を要求するランサムウエア （３面きょうのことば） 被害が世界で拡大するなか、 被害を受けた企業の過半が身代金の支払いに応じていることが分かった。 取引先に被害が及ぶなど攻撃の悪質性が高まっていることが要因の一つだ。 米ではサイバー保険による支払いが攻撃を助長しているとの指摘もある。

身代金を払うか、 払わないかー。 首都圏の中小ＩＴ （情報技術） 企業の男性社長は悩んだ。 ランサムウエア感染で端末が停止し、 業務が続けられなくなった。 パソコンには 「機密１青報を奪った。 支払わなければ外部に公開する」とのメッセージが浮かんだ。 結局、 弁護士に相談したうえで数百万円相当を払い、 半日以内に復旧したという。

米パイプライン運営会社コロニアル．パイプラインは５月に受けた攻撃で犯行グループに身代金を払ったことを認めた。 「苦渋の選択だった」 （ジヨセフ・ブラウント最高経営責任者）。 ブラジルの食肉大手ＪＢＳも攻撃で５月に食肉処理場の操業が止まり、 「データ流出を食い止めるため支払いを決めた」 という。 米セキュリティー大手プルーフポイントが主要７カ国の３６００の企業・団体 （従業員２００人以上） に実施した調査によると、 ２０２０年に約２４００団体がランサム被害を受けたと回答。 うち５２％ （約１２００団体） が身代金を払ったと答えた。 国別では米国が８７％ （約４１０団体） と最も多く、 英国５９％ （約２６０団体）、 ドイツ５４％ （約２２０団体） と続いた。 日本も３３％ （約５０団体） あった。

身代金を払ったことを公表した日本企業はまだない。 ＥＹ新日本監査法人の加藤信彦パートナーは 「経営に重要な影響を及ぼす金額なら開示義務が生じるが、 少額なら営業外費用などとして処理され、 外部からは分からない」 と話す。 「非上場の中小・零細企業の支払いも多いのではないか」 （日本サイバーセキュリティ・イノベーション委員会の上杉謙二主任研究員） との指摘もある。

ランサムウエア事案を多く手がける弁護士によると、 被害企業はまずセキュリティー会社や弁護士に相談し、 自力復旧に加え脅迫元との接触を探る。 「相手の素性調査、 支払いによる復旧の見通し、 身代金額の交渉など複数のプロセスを踏む。 そのうえで企業は支払うかどうか判断する」 という。 多くは警察にも捜査を求めるが、 中小・零細企業の中には最初から届け出ない企業もある。

身代金の支払額は年々増えている。 米サイバー大手のパロアルトネットワークスによると、 世界の企業１社あたりの支払額は２０年に３１・２万 ドル （約３４００万円） と１９年比３倍に急増。 ２１年１～６月 は約５７万ドルと拡大が続く。 標的がインフラや生活産業、 大手サプライチェーンなどに広がり、 個人情報や機密データを奪うなど悪質な攻撃が急増している。 急ぎ対応しなければ顧客や取引先にも被害が及びかねない。 企業は自社の信用低下を避けようと被害隠蔽を図り、 支払いに応じてしまう。

サイバー犯罪者がサイバー保険に加入する米国企業を調べて狙っている可能性があるとの指摘も聞かれる。 英ソフオスが２６カ国の企業・官公庁のＩＴ管理者５０００人を対象に実施した２０年調査では、 ランサムウエアに対応したサイバー保険への加入割合は米国が７５％と世界平均 （６４％） を上回る。

増える身代金を問題視し、 米政府は支払いに制限をかけ始めた。 米財務省の外国資産管理局 （ＯＦＡＣ） は２０年１０月、 ロシアや北朝鮮、 シリアなどとの関係が疑われる組織への支払いが制裁対象になり得ると表明した。 とりわけロシアやその周辺国とみられる集団による攻撃が急増しており、 何らかの追加措置が取られる可能性がある。

日本も経済産業省が２０年１２月に発行した経営者向けの文書で、 ランサムウエアについて 「金銭の支払いは厳に慎むべきだ」 とした。 サイバー犯罪者の脅迫行為は違法となる一方、 被害企業側の支払いを禁じる法律はない。 企業の身代金支払いをすべて禁じるのは容易ではない。 米連邦捜査局 （ＦＢＩ） は 「ビジネスが機能障害に陥った場合、 経営陣があらゆる選ま矧支を評価することは理解する」 と指摘する。そのなかで、 企業は専門家に相談するなど慎重な判断が必要となる。 サイバー法制に詳しい山岡格明弁護士は 「被害規模や支払わずに復旧できる可能性を確認しないまま払えば、経営陣が善管注意義務違反を問われる可能性もある」 と話す。

安易な支払いは脅迫行為を勢いづかせ、 サイバーテロの温床となりかねない。 自社のサイバー防衛を最新の状態にしたうえで、 被害を受けたらいち早く捜査機関に通報したり、 業界団体と情報共有したりする適切な対応が求められる。

（サイバーセキュリティーエディター 岩沢明信、 渡辺直樹、 島津忠承）

ロシアの情報セキュリティー会社力スペルスキー研究所は同社製品の情報を開示する専門組織を５月にも日本国内に新設する。 同社製品の利用には安全保障上の懸念から各国政府が警告を発し、ＮＴＴも中止する方針だ。 透明性を高める新組織で国内の顧客の信頼性を高める。

力スペルスキーが新設するのは、 自社ソフトの設計図にあたる 「ソースコード」 やコンピューターウイルスの検知ルールなどを開示する 「トランスペアレンシーセンター」 と呼ばれる施設だ。

現時点で世界５カ所に設置しており、 同社日本法人は日本経済新聞の取材に 「事業運営や製品、 サービスの透明性を高める取り組みとして、 日本国内に５月に開設予定だ」 と明かした。

力スペルスキー製品を巡っては、 米連邦通信委員会 （ＦＣＣ） が３月２５日、 スパイ活動への懸念から安全保障上の脅威とみなす企業リストに同社を追加したと発表した。

またドイツ政府も３月１５日、 同社製品の利用にセキュリティー上の問題があり 「企業や当局、 重要なインフラの運営者は特にリスクにさらされている」 と警告を発した。 イタリア当局も同社製品の利用を制限する検討を始めている。

力スペルスキーは２０１７年１２月に米トランプ大統領 （当時） が米政府機関に対し同社製品の利用を禁止する法案に署名したことから、 日本でも大手より中小で普及しているとされる。

調査会社ＢＣＮ（東京・千代田） によると、 国内の２１年のセキュリティーソフト販売では力スペルスキーのシェアは４．８％で５番目に高い。

経済産業省は国内の利用規制については 「個別の製品についてコメントできない」 としている。 サイバー法制に詳しい山岡裕明弁護士は 「ＦＣＣの措置は日本企業には直接の法的拘束力はない」 と説明しながらも、 「米国の取引先が日本企業に利用停止を要請する可能性もある」 と指摘する。

（サイバーセキュリティーエディター 岩沢明信）

政府が米グーグルやメタ （旧フェイスブック）、 ツイツターなど複数の海外ＩＴ（情報技術） 大手に、 海外にある本社を日本で登記するよう一斉に要請したことがわかった。

末登記の現状は、 外国本社の登記を義務付ける会社法に違反すると判断し、 順守を求める。 利用者保護の観点でプラツトフオーム大手への圧力は強まる。欧州が先行する規制や監視強化で日本も一歩踏み込む。

各国政府は巨大プラットフォーム企業への対応に苦慮してきた。 物理的な拠点がなくてもインターネットを通じて世界中にサービスを提供するため、 事業実態や本来支払われるべき税金の規模などが把握しにくい。

ＩＴ大手は収集する大量のデータを強みにサービスを展開する。 社会インフラとしての重要性が増す一方、 トラブル対応の手薄さなどに消費者や取引先の中小企業の不満が高まってきた。 欧州連合 （ＥＵ） が規制強化で先行する中、 日本政府も２０２１年２月施行のデジタルプラットフォーム取引透明化法で取引条件の開示などを義務化した。 国内の携帯電話料金の引き下げ策も米アップルのｉｐｈｏｎｅなどの取引慣行を是正することに狙いがあった。

段階的な規制強化で２１年に改正電気通信事業法で海外のＳＮＳ（交流サイト） 大手などに事業の届け出を義務付けたことが今回の登記要請の契機となった。 会社法は日本で継続的にビジネスする外国企業に外国にある本社の登記の義務を課す。ＩＴ企業の多くはこのルールを知りつつ日本法人だけを登記していた可能性がある。 法務省は事業届け出がこの根拠になるとして、 届け出た企業に会社法違反の可能性を指摘した。

法務省と総務省は３月末までにメタなどに外国本社の登記を求め、 登記しない場合は４月中旬までにその理由を説明するよう要請した。メタは日経新聞の取材に 「日本国内で継続的なビジネスをしていない」 と答え、 違反はないとの認識を示した。この問題に詳しい板倉陽一郎弁護士は 「日本向けにサービスをし、 膨大な利用者もいるの｛こ無理がある。 法務省の判断は当然だろう」 と話す。 グーグルはコメントは控え、 ツイツターからは１５日時点でコメントを得られなかった。

未登記になっている背景には、 罰則が１００万円以下の過料などと少額なことがある。 登記すれば決算の公告義務を負うなど負担感もある。専門家は訴訟対応の差も一因とみる。 海外の企業が本社を日本に登記すると、 トラブルの際の消費者らによる訴訟手続きが進めやすくなる。 現状はＳＮＳ上の中傷の書き込み者の特定などの訴訟手続きに必要な書類のやりとりに数カ月かかる。

海外ＩＴ大手との訴訟に詳しい山岡裕明弁護士は 「提訴から最初の裁判の期日まで１年以上かかる場合もあるが、 時間と負担が大幅に短縮されるだろう」 と話す。 外国企業の未登記問題は以前から一部弁護士らが指摘していたが、 政府は特に対応してこなかった。 未登記による会社法違反で罰則が科された例もなかったとみられる。 未登記の状態では企業の代表者や所在地などの基礎的な情報を得られない。 日本で実質的にビジネスを展開している企業のうち、 どの程度が外国本社を登記しているかも明らかになっておらず、 政府が実態を把握できていないとの見方がある。 政府は今後、ＩＴ以外の業種にも登記の順守の要請を拡大する可能性がある。

（デジタル政策エディター 八十島綾平、 伊藤仁土）

ネット上の自動プログラム 「ボット」が暗躍している。１分で人気商品を買い占め偽情報を大量拡散する 「悪いボット」 は世界の通信の４分の１を占める。 米ツイッターの買収を決めた起業家のイーロン・マスク氏はボット排除を宣言した。 米アカマイ．テクノロジーズは検知ソフトを開発し米アマゾン・ドット・ゴムやヤフーもネット通販や広告で規制を強める。

「ツイツターを買収したら、 スパムボットを滅ぼす」。 マスク氏が買収合意前の４月２１日にツイツターに投稿した。 スパムボットは決まった内容をランダムに投稿したり、 機械的に投稿を拡散したりするアカウントを指すとみられる。 マスク氏は本人確認による認証アカウントを増やし、 匿名性を排除する考えを表明している。 実はマスク氏自身もツイッターでボットへの対応に苦慮していた。 「イーロンジエツト」 などと名のる複数のアカウントが、 マスク氏のプライベートジェット機の発着地を日々投稿しているからだ。 衛星データなどを解析し、 飛行記録を自動投稿しているとみられる。 マスク氏は１月に 「追跡されたくない」 と管理者にアカウントの削除を求めたが、１０日時点で投稿は続いている。

ツイッターを含むＳＮＳでは近年、 ボットによる負の側面が目立つ。 大量に生成されたボットアカウントによってフオロワーの数を水増ししたり、情報を意図的に拡散したりする手法が多い。 ロシアのウクライナ侵攻や新型コロナウイルスのワクチンを巡って世論の誘導を狙った偽情報の拡散も問題視されてきた。

「１０万以上の偽アカウントを持つボット工場を無力化した」。 ウクライナ政府の治安当局は３月下旬、ＳＮＳ上でロシア側の偽情報の拡散を手助けしていた５つの運用拠点を摘発したと発表した。 各拠点には、 ボットアカウントを生成．運用するため、 ノートパソコンや携帯電話のＳＩＭカードが大量に保管されていたという。

セキュリティー企業の米インパーバの調査では、２０２０年にネット上で行われた通信のうち、 「悪いボット」 の割合が２６％と５年前から７ポイント増えた。 許可のないサイト内の情報収集や他人のアカウントへの不正ログインなども含まれる。

ボットの標的の一つが電子商取引 （ＥＣ） サイトだ。 ボットに任せればサイト接続から配達先や決済情報入力、 支払いなどの処理が瞬時に終わる。 人の手による入力では対抗できず、 人気商品の買い占めに悪用される。

ＥＣサイトでは楽天市場とメルカリは、 サイト内の情報収集や自動出品を規約で禁じている。 メルカリは 「大量のアクセスにより負荷がかかるため、 サービスに悪影響を及ぼす可能性がある」 としており、 該当者には利用制限などの措置をとっている。

ヤフーは、 実在する人ではなくボットがウェブ広告をクリックすることで広告費を詐取する 「アドフラウド」 の対策を強化している。

２１年末には米ダブルベリファイと連携し、 ページにアクセスがあるたびに瞬時に解析して不正の場合は広告を非表示にする手法を取り入れた。 事前のポット排除によって、 広告で無効と判断したクリックの割合は、２１年４～９月に４％と前年同期比で１１ポイント低下した。

アカマイはポット対策のソフトも提供する。 人工知能 （ＡＩ） を用いて発信元のデータやマウスの動き、 入力の癖などから、 人かポットかを判別する。 ポットと判断すると、 通信を遮断したり偽サイトに誘導したりして攻撃を無力化させる仕組みを取り入れている。 中西一博プロダクト・マーケティング・マネージャーは 「人のような複雑な行動を装うポットが増え、 対策も高度化する必要がある」 と話す。

ＳＮＳでもフェイスブックやインスタグラムでは、 機械的な自動データ収集やボットアカウントを禁止している。 ボットに寛容だったツイッターも２月からは機械的に投稿する場合には 「自動アカウント」 という説明を加えてユーザーからわかりやすくしている。

■ 買い占め、ＥＣの８割も 価格高騰や商品不足の原因に

「完売が明らかに早すぎる」 －－。 フィギュアやプラモデルなどの通販サイト「あみあみ」 では月に１度は人気アニメ原作の新製品が発売から１分以内に売り切れる。 転売目的の買い占めとみられ、 オークションやフリマアプリで定価の数倍もの値段で出品される。

データを解析すると、 同一の発信元から短時間に数千回もアクセスが集中したり、 発売とほぼ同時に決済が完了したりしていた。 運営する大綱 （東京・文京） の担当者は 「適正価格で本当に買いたい人に渡らないと、 結局ファンは離れていく」 と嘆く。 アカマイによると、 ＥＣサイトではアクセスの８割以上がボットになることもある。

米国では２１年１１月、 民主党議員がＥＣサイトでボットによる買い占めを禁止する法案を提出した。 最近ではソニーグループのゲーム機 「プレイステーション５」 やスニーカーの高額転売も問題になった。 ボット転売は不必要に商品不足と価格上昇を助長しかねない。

ソーシャルメディアラボの重枝義樹氏は 「プログラムに詳しくない人でも簡単にボットが使えるようになった」 と指摘する。 個人が仕事を依頼できるクラウドソーシングでボットのソフト開発を外注するケースもある。

ただ、ＩＴ（情報技術） 関連の法務に詳しい山岡裕明弁護士は 「安易にボットを使えばリスクもある」 と警鐘を鳴らす。 ボットの利用を禁じたＥＣサイトがユーザーのアカウント削除した事例があり、 出品者の売り上げの預かり金やポイントを没収する可能性もあるという。．

「ボット」 は 「ロボット」 に語源があり、 サイト内で質問を入力すると自動的に応答する 「チャットボット」 や、 反復作業を自動化するＲＰＡ（ロボットなどによる効率化） など生産性向上ももたらしてきた。 米グーグルはボットを使い大量のサイト情報を自動的に収集し、 検索サービスの精度を高めている。

デジタル化の弊害とも言える 「悪いボット」 だが、 人の手による排除は難しく、 その対策も、ＡＩなどのプログラムが担うことになりそうだ。

（伴正春、 松元則雄、 寺岡篤志）

政府は17日、電力や通信といった重要インフラ事業者向けのサイバーセキュリティー対策の行動計画を改定した。対策の不備が原因で情報漏洩などの損害が生じた場合に経営陣が「賠償責任を問われ得る」と明記するなど経営責任に触れた。

行動計画は官民連携で対策強化を進める指針で改定は５年ぶり。政府が１７日に開いたサイバーセキュリティ戦略本部（本部長・松野博一官房長官）の会合で決めた。

松野氏は同日の記者会見で「サイバーの脅威は年々高度化、巧妙化している。システム担当者だけでなく経営層を含め、組織全体での多鉅鹿必要不可欠だ」と強調した。

新たな行動計画は会社法で経営陣に義務づける社内体制の整備について「適切なサイバーセキュリティを講じる義務が含まれ得る」と記述した。

２０１７年につくった行動計画は経営陣に対策実施への期待を示すにとどまっていた。

サイバー法制に詳しい山岡裕明弁護士は「法的責任が生じると明示したことで、対策の不備があれば経営陣が賠償責任を負うリスクが高まる」と指摘する。

「セキュリティー担当部門の設置や事務継続計画（BCP）の策定、サイバー保険への加入と言った対策が急務だ」とも話す。

行動計画は新たにサプライチェーン（供給網）の視点も取り入れた。関連会社や取引先を含めたリスク管理を経営陣に求めた。「組織の壁を越えた供給網全体」でサイバー攻撃への備えを向上するよう促した。

米ツイッター社に投稿削除を命じた24日の最高裁判決を受け、原告の代理人を務める田中一哉弁護士は判決言い渡し後に都内で取材に応じ、「我々の主張を完全に認めてくれた。（ネット上に残る投稿に）悩む人の救済にも役立つ」と評価した。

ツイッター上では、原告の男性が約10年前に逮捕された事実に言及した投稿が閲覧できる状態にある。田中弁護士は「生活への影響は甚大なものがあった」として、ネット利用者に向けて「軽はずみな投稿は控えるべきだ」とも呼びかけた。

法務省によると、2019年1月～21年10月、同省が人権侵害にあたるとしてSNS（交流サイト）事業者などに削除を要請したインターネット上の投稿や記事は1173件に上る。内訳はプライバシー侵害が541件で最多で、名誉毀損が237件だった。

1173件のうち3割にあたる355件は、事業者が削除に応じなかった。法務省の担当者は「発信者の表現の自由の侵害に当たるとの批判を受けるリスクもあり、事業者側が慎重になっていることが一因」とみる。

「Amebaブログ」などを運営するサイバーエージェントは通信業界団体のガイドラインに沿って対応しているという。同社は「権利侵害に当たるとの判決が出た場合はそれに沿った対応変更も検討していく」としている。

SNS投稿の削除などに詳しい山岡裕明弁護士は「事業者がどのような基準で削除要請に対応するかはなお曖昧さが残っている。今後も判例を積み重ね、明確な救済基準を確立させていく必要がある」と話した。

メールを通じ拡散するマルウエア（悪意のあるプログラム）「エモテット」が復活し猛威をふるっている。世界200カ国超で拡大し「最恐」と言われたコンピューターウイルスで、2021年初頭に欧州刑事警察機構（ユーロポール）が摘発したが、再び現れ22年6月は20年比3倍に増えた。パソコンからクレジットカード情報を盗む「変異型」も出現している。

　「感染を狙う偽メールが多い日は1千通以上届いた」。エモテットに感染したワコールの担当者は攻撃の執拗さを振り返る。今春以降に積水ハウスやライオンなど大手が相次ぎ被害を受けた。取引先などになりすますメールに添付されたファイルを開いてしまったのが原因だ。

　エモテットは感染するとメールシステムが乗っ取られ、自らがコンピューターウイルスの拡散元になってしまう。アドレス帳を使って次々にメールを拡散するため、例えば企業で社員一人が感染すると、社内や取引先など近しいアドレスに送信して膨大なメールに悩まされることになる。

　サイバー攻撃対策を手掛ける民間団体JPCERTコーディネーションセンター（東京・中央）の調べでは、エモテットに感染し、自らのパソコンがメール転送に悪用される可能性のある日本のメールアドレス数は3月には約9千件に上り、2020年のピーク（2千件弱）の5倍超に増えた。4月にいったん落ち込んだものの、5月は5022件、6月は5808件と再び増加・高止まり傾向にある。

　従来のエモテットはメールソフト内のアドレスの窃取が主な機能だったが、今夏に入りより高度な情報を盗む「変異型」の流行が確認された。

　サイバー情勢に詳しい山岡裕明弁護士によると、端末内のウェブブラウザー（閲覧ソフト）に保存されたIDとパスワードを丸ごと抜き出すフリーソフトを内蔵したエモテットが確認された。ソフト自体は利用者がパスワードを思い出すためのものだが、エモテットで強制的に実行されればブラウザー内の膨大な認証情報が外部に漏洩しかねない。山岡氏は「ネットバンクの不正送金など重大な被害をもたらす」と警告する。

さらに警察庁によれば、米グーグルのブラウザー「クローム」内のクレジットカード番号や名義人氏名、カード有効期限を盗む機能も6月までに確認された。同庁によるとクロームは情報を暗号化して安全に保存されているが、暗号データを元に戻すための鍵を同時に盗み出す機能も持つため、感染でカード情報が第三者に知られるおそれがあるという。

　ファイルを開封させるためのなりすましの手段も巧妙化が進む。エモテットは従来、メールの添付ファイルから端末に感染すると、感染端末のメールアドレスになりすまして別のアドレスにエモテットを送信して感染を広げる手口だった。

　だが今春以降、感染端末の送受信データから別の第三者のアドレスと名前を盗みだし、そのアドレスを装う手口が多く観測されるようになった。攻撃メールの送信元と実際の感染端末が一致しないため、経路の追跡が難しい。

　さらには、なりすます相手のメールの署名や企業ホームページ上のロゴ画像を自動で盗み取り、メールの添付ファイルや本文中に掲載して相手を信じ込ませる巧妙な偽装方法も拡大している。

　エモテットのメールを調査するJPCERTの佐條研マルウェアアナリストは「以前は巧妙ななりすましによるメールはごく少数だったが、今やこちらの方が多数を占める」と話す。

　エモテットが初めて観測されたのは14年ころ。その後19～20年には世界200カ国超に拡散し、欧米の金融機関などに25億ドル（約3400億円）相当の損害を与えたとされる。日本でも京セラなどが個人情報流出の被害を受けた。

　攻撃グループの拠点があったのは欧州だ。21年1月にはユーロポールがウクライナや米国、ドイツなど8カ国の捜査当局との国際捜査で各国の拠点を制圧した。ウクライナ警察が投稿した動画では、使っていたパソコンやハードディスクドライブ（HDD）に加え、大量の紙幣や地金、金融機関のカードが押収される様子が映る。

　当局は4月には指令サーバーを通じてプログラムを書き換え、世界に拡散されたエモテットの活動を停止させたとみられていた。だが、11月に別の指令サーバーが活動を再開させた。摘発を逃れたグループの残党がいたとみられる。

復活後は特に日本での被害が目立つ。トレンドマイクロの調べでは今年1～3月に全世界で検知したエモテットは約5万3千件で、うち日本が4万2千件（81%）を占める。米マイクロソフトが公表する過去30日間で同社端末に届いたマルウエアの分析も、7月上旬時点で日本はトップがエモテットとなったが、米英仏や中韓では5位以内にも入っていない。

　原因について、日本マイクロソフトの河野省二チーフセキュリティオフィサーは「日本は添付ファイルのマクロ機能を安易に実行するため、海外より感染しやすくなっている」と指摘する。そのまま開かずに「サンドボックス」と呼ばれるシステムと隔離した環境で開けば感染を防げる。 　また海外ではファイルはメール添付で送らず、クラウド型の共有サービスを使うのが一般的になってきた。メールに偏ったIT慣習の見直しも必要になる。

■攻撃、ロシアとのつながり指摘も

今春からの急速な感染拡大に、ロシアによるウクライナ侵攻の影響を指摘する声も専門家からは上がる。ランサムウエア（身代金脅迫型ウイルス）の攻撃で猛威を振るうロシア系サイバー犯罪集団「コンティ」から3月に漏洩した内部チャットからは、エモテットの残党メンバーとのやりとりが見つかった。

セキュリティー大手日本プルーフポイントの増田幸美氏は「具体的な攻撃計画についての内容は検出されていないが、コンティとエモテットが互いの活動で連携している可能性がある」と話す。コンティは今回の侵攻でロシア政府の支持を表明しているためだ。

ロシアのサイバー攻撃に詳しい防衛省防衛研究所の山添博史主任研究官も、「年明け以降の急速な攻撃拡大はさらなる脅威をあおる狙いでは」と推測する。ロシア政府と民間サイバー集団との関係は以前から疑われており「政府の直接の指揮下ではなくとも、集団の活動を黙認することで他国に被害を与える間接的な協力体制が組まれている可能性もある」と警鐘を鳴らしている。

（サイバーセキュリティーエディター　岩沢明信）

政府の「デジタル市場競争会議」が4月に公表した「モバイル・エコシステムに関する競争評価中間報告」が波紋を広げている。 とりわけ注目されるのは、米アップルや米グーグルが正規のアプリストア以外からアプリを配信する「サイドローディング」を禁止または抑制していることの弊害を列挙し、対応策の1っとしてサイドローディングを許容する義務を挙げたことだ。

一般社団法人の日本スマートフォンセキュリティ協会の技術部会は7月1日、「スマートフォン・サイバー攻撃対策ガイド『サイドローディングの危険性』」というタイトルの文書を同協会のウェフ、サイトで公開した。

ここでは「サイドローディングを認める場合、いかなるアプリも無審査で配信することが可能となり、利用者の安全性を担保することは極めて難しくなる。また、有料アプリの海賊版が出回ることも予想され、開発者のイノべーションを削ぐ(そぐ)ことにもつながるだろう」と懸念を表明した。

iPhoneなどアップル製の端末であれば「App store (アップストア)」、グークルの基本ソフト(OS) Android (アンドロイド)を搭載した端末であれば「Google Play (グーグルプレイ)」が正規のアプリストアである。ここでアプリを配信するには審査を通過しなくてはならない。

iPhoneではサイドローディングが一切認められていない。Android端末の場合、初期設定でサイドローディングは無効にされている。ユーザーが設定を変更すれば有効にできるが、警告や通知が端末に表示される。

中間報告で表明されているのは、アップルとグーグルがOSに加えてアプリストアを独占することにより、ユーザーやサービス事業者を含むスマホの上に形成されたエコシステムにおける競争環境を阻害しているのではないかという懸念だ 。

現状、ユーザーがApp storeで有料アプリを購入すると、購入価格の15～30%がアップルに支払われる。同中間報告はiPhoneのアプリ配信市場をアップルが独占し競争圧力が働いていないと指摘。デベロッパーがアプリを販売するためにアップル側に支払う手数料が高止まりしているなどの懸念を示した。競争を生み出す選択肢の1つが「サイドローディングを許容する義務」というわけだ。

サイドローディンク可能なAndroid端末についても、警告の表示方法や内容がユ-ザーにリスクを過大評価させている恐れがあるとし、結果的にGoogle playが専ら利用されていると指摘する。従って「サイドローディングによるアプリの配信を制限することを禁止する規律を導入することが考えられるのではないか」としている

アップルは「攻撃リスクが高まる」と反論

一方、アップルはサイドローディングを許容すると「アップルのエコシステムが持つプライバシー保護とセキュリティーという利点がたちまち損なわれ、マルウェア(悪意のあるプログラム)攻撃リスクが高まる」(同中間報告)と反論している。

iPhoneでサードパーティーのアプリストアからサイドローディングをできるようにするには、iPhoneおよびOS である「iOS」に組み込まれた基本的なセキュリティー保護機能の設計やり直しなどが必要になると説明している。

仮にサイドローディングに関して許容義務や制限禁止といったルールが導入されれは、「iPhoneがiOSを中心に重層的に実現しているセキュリティーを大きく後退させる。ユーザーを深刻なセキュリティーリスクにさらすことになる。反対だ」(サイバーセキュリティーに詳しい山岡裕明弁護士)

一律に禁止することでユーザーから選択肢を奪うことも問題だと山岡弁護士は指摘する。「現状でもユーザー自身の自己責任でサイドロ-ディングも可能なAndroid端末か、よりセキュリティーの厳しいiPhoneかをユーザーは選べる。双方ともにサイドローディングを可能にすると、逆にユーザーの選択肢を狭めることになりかねない」わけだ。

ただしこの規制は決定したわけではない。「中間報告は2021年夏以降、モバイル・エコシステムに関係する事業者や有識者からヒアリングを実施するなどして集めた事実関係を整理し、現時点における評価を実施したものだ。サイドローディングに関する規制を導入するかしないかも含めて何も決まっていない。セキュリティーに関する論点は非常に重要だと認識している」と内閣官房デジタル市場競争本部事務局の亀井明紀内閣参事官は話す。

各国でも規制導人を議論

サイドローディング許容義務をはじめ、スマホのプラットフォーマーに対する規制は世界各国で取り組みが始まっている。欧州連合(EL))が22年3月に合意した「デジタル市場法(DMA)」はスマホのアプリ配信や決済などについて市場の外部開放を義務付けている。

米国議会には超党派の議員が「オープンアプリ市場法案」を提出した。ここにはOSのユーザーが第三者のアプリストアなどをデフォルトとして選択可能にすることなどを容易に実行できる手段を提供することを義務付けるという条項がある。

英国の競争市場庁(CMA)は、アップルに対してiOSでサードバーティーのアプリストアを認めることやアプリのサイドローディングを認めることを義務付ける介入を提案している。

韓国では21年8月、「インアプリ決済強制禁止法(電気通信事業法改正案)」が成立。アップルやグーグルがアプリ事業者側に自社の決済システムの利用を強制できなくなるというものだ。

デジタル市場競争会議ワーキンググループの委員を務める伊永大輔東京都立大学教授は「アプリストアの大きな問題は、アプリ事業者が負担しなければならない決済料率が高過きることだ。これは競争が足りないことが理由で、サイドローディングを認めれば一定のけん制力となる」と指摘する。

「セキュリティーなどの理由でサイドローディングが認められないなら、アプリ内決済の拘束を外してもらう必要がある」(伊永教授)加えて「諸外国で設けている規制への対応が日本でも実現されるように積極的なルール設定に取り組むべきだ」と語る。

(日経クロステック/日経コンピュータ外薗祐理子)

[日経クロステック2022年7月22日付の記事を再構成]

日本の主要企業の社員が設定するバスワードの多くが脆弱であることがわかった。漏洩したパスワード約2万5000件について日本経済新聞が調査したところ、64 %が推測されやすい設定だった。「12345」や「password」といった文字列や名前を使ったもの多い。社員個人が複雑なパスワードを多数管理することには限界もあり、企業の対策が求められそうだ。

セキュリティ-企業のGMOサイバーセキュリティbyイエラエ(東示・渋谷)の協力を得て、ドメイン情報などをもとに連結売上局上位100社についてダークウェブ(闇サイト群)などに2008年から22年ころにかけて流出した社員のバスワード約2万5000件を収集した。パスワード管理ツールの米サイバーシステムズが提供するサ-ビスを使い、パスワードの強度を4段階で判定した。

強度は文字数や文字の種類が少なかったり、良く知られた言葉や既に流出しているパスワードと同じ言葉を利用していたりすると低くなる仕組み。64 %にあたる1万6275件はほぼ確実に攻撃者に推測されてしまう「不可」と判定された。攻撃の成功確率が5割未満の「可」は4393件、成功確率4分の1未満の「良」は4405件。攻撃が原則不可能な「優」は173件しかなかった。

脆弱なパスワードの問題は繰り返し指摘されているが、状況は改善していない。サイバー攻撃対策を手掛ける一般社団法人JPCERTコーディネ-ションセンター (東京・中央)がパスワ-ドについて、12文字以上で大小のアルファベットや数字、記号を組み合わせるよう推奨し始めたのは18年。流出時期が判明している6549件のうち、18 年以降に流出した3698件に絞って調べると、「不可」は90の3332件。「可」が320件、「良」は45件で、「優」は1件しかなかった。

今回調査したパスワートて判明している漏洩元はSNS (交流サイト)やチケット予約サイトなどのサービスだ。 独立行政法人の情報処理推進機構(IPA)の調査によると、パソコン利用者の44.6 %はパスワードを使いまわしている。

7割の漏洩バスワードが「不可」だったあるIT (情報技術)企業のセキュリティー担当者は「個人が利用するネットサービスが増えるにつれて、バスワードの単純化や使いまわしが進んでいる」と危惧する。社内のシステムで強力なバスワードを強制することも可能だが「複雑なパスワードを嫌う社員も多い」という。

日経の調査で収集したパスワードの内、最も多く利用されたのは「12345」の289件で「password」の138件が続いた。パスワードが解読されてしまう時間を調べるサーピス「ハウ・セキュアー・イズ・マイ・パスワード?」によると、「瞬時」に解析可能だという。社名や名前を使ったパスワードも1時間以内で解析できるものが多い。

イエラエ社のルスラン・サイフィエフ執行役員は「社内のネットワ-ク管理者が『Password』の一部を改変しただけの設定をしている企業も多い。社内システムをあっさり掌握され、ランサムウェア(身代金要求型ウイルス)などの攻撃を受けやすいリスクがある」と警鐘を鳴らす。

メールで送られてくるワンタイムバスワ-ドなども利用する2要素認証を導入する企業も多い。しかし、2要素認証も鉄壁ではない。米政府は21年、通信会社をだましてワンタイムバスワードを盗み出す事件を1611件覚知した。18 ～ 20年の年平均の約15倍だ。企業のサイバー防衛に詳しい山岡裕明弁護士は「2要素認証に頼りきって、パスワードを単純にする社員もいる」と弊害も指摘する。

期待がかかるのが生体認証だ。米グークルや米アップルなど世界のIT大手各社は生体認証を利用した認証システムの標準規格「FIDO (ファイド)」の普及を推進する。推進団体には約250社が加盟し、日本でも楽天グループやLINE、NTTドコモ、ヤフーなとが加わった。ただし、企業には現状でFIDOに対応できない独自のシステムも多い。利便性と安全性を確保するための対策を企業は模索していく必要がある。(寺岡篤志)

ネット上の誹謗（ひぼう）中傷に対応する法規制が整い始めた。刑法改正で中傷投稿でも懲役刑が科せられる可能性が出てきたうえ、10月に施行する法改正などで問題投稿の発信者を特定する手続きも迅速になる見込みだ。今後は被害者からの要求に企業側がどこまで対応するかなど、実効性が課題になりそうだ。

　「被害者の泣き寝入りが減る可能性がある」。ネット上のトラブルに詳しい深沢諭史弁護士は、10月に施行される改正プロバイダー責任制限法（プロ責法）に期待を込める。法改正は中傷投稿などについて、発信者を特定する手続きを簡素化することが柱だ。

　SNS（交流サイト）などで中傷された被害者が損害賠償などを求める裁判を起こす場合、従来は煩雑な手続きが必要だった。

　まず①サイト運営企業に投稿の発信者のIPアドレスなど通信記録の開示を請求する仮処分を裁判所に申し立て、②その結果をもとに、プロバイダーに対し発信者の氏名や住所などの開示を求める裁判を提訴。②の裁判で勝って発信者が特定され、③損害賠償などを求める裁判を起こす、ことができる。

　2度の裁判手続きを経てようやく発信者の特定ができ、本来の裁判のスタートラインに立つことができる。だが一般的にはサイト運営者などの企業は情報開示に慎重で、情報開示まで半年以上かかることも珍しくない。コストも弁護士費用などで数十万円から100万円が見込まれる。

　割に合わない訴訟

　海外企業が運営するサイトの場合、企業の登記書類を本国から取り寄せて翻訳する必要があるなど手間やコストはさらにかさむ。弁護士らは「勝訴しても賠償額はせいぜい数十万円のため割に合わず、諦める人も多い」と話す。

　これに対し改正法では、被害者からのサイト運営企業とプロバイダーへの2段階の開示手続きを一本化した。山岡裕明弁護士は「費用やコストが半減する可能性がある」とみる。

　さらに法務省は3月、海外IT企業に会社法に基づいて日本での登記を要請。これまで米グーグルや米マイクロソフトなどが登記した。開示手続きを日本国内で進められるようになり、ハードルが下がった。

　ネット中傷に対する罰則も強化された。ネット中傷は侮辱罪に該当する例が多いとみられるが、7月施行の刑法改正で侮辱罪の法定刑が引き上げられて「1年以下の懲役もしくは禁錮または30万円以下の罰金」が追加され、時効が3年になった。従来の罰則は「30日未満の拘留か1万円未満の科料」で、時効も1年。抑止力が疑問視されていた。

　ネット中傷の被害は増加が続く。総務省が運営する「違法・有害情報相談センター」によせられたネット中傷の相談は2021年度に6329件と10年前の約4倍。人気テレビ番組の出演者が集中的に中傷され、死亡するなどの例も出た。

　開示に消極的なＩＴ大手

　ただ一連のルール整備が問題解決に直結するのか不安視する声もある。赤堀順一郎弁護士は「開示手続きの改善は前進だが、そもそもサイト運営者やプロバイダーが情報開示に消極的な問題もある」と指摘する。

　改正プロ責法で導入される新たな手続きでは、被害者側から開示請求を受けたサイト運営者がまず、投稿の発信元のIPアドレスや投稿日時を示す「タイムスタンプ」などの情報を特定。サイト運営者がプロバイダー側にそれらの情報を伝え、プロバイダーが該当する契約者の氏名や住所などを特定する流れとなる。

　山岡弁護士は「現状でもプロバイダーにIPアドレスなどを示しても『それだけでは特定できない』と断られ、被害者側が独自にサーバー所在地などを追加調査して何度も交渉し、やっと氏名や住所が特定される例が多い」と話す。赤堀弁護士も「サイト運営者がねばり強く交渉してくれるかは疑問。『特定できなかった』という結論が多発する恐れがある」と指摘する。

　開示請求のハードルが下がり、企業や団体による「都合の悪い書き込みをしたユーザーへの圧力」が加速すると懸念する声もある。深沢弁護士は「現在も、ネット上で自社商品やサービスに厳しい批判投稿などをしたユーザーを企業側が特定し、訴訟などをちらつかせて削除を求めたり、高額の和解金を請求したりする例もある」と話す。

　一連の法改正やルール整備が実際にネット中傷の被害者の救済につながるのか。手続きの運用や被害状況などを注意深く見守る必要がある。 　（渋谷江里子）

投稿の削除基準、有識者検討会が提示

法務省などが参加する有識者検討会はこのほど、サイト運営者がネット投稿を削除する基準を示した。投稿が削除されれば中傷被害が抑えられるが、サイト運営者は被害者からの削除請求に応じにくいのが現状だ。投稿の違法性の判断が難しく、安易な削除は「表現の自由の侵害」と指摘される恐れもあった。

「インターネット上の誹謗中傷をめぐる法的問題に関する有識者検討会」では、法務省が公益社団法人「商事法務研究会」に依頼して2021年4月に発足。法学者や弁護士ら6人と、法務省などが参加している。５月に公開した報告書で、ネット上の中傷コメントなどについて、どのような場合に削除する必要があるのかなどの基準を示した。

報告書は、削除は法的に「差し止め請求」にあたると整理。さらに「○○はバカだ」など個別には違法とまではいえない内容でも、大量に投稿すれば「場合によっては法的に削除対象となる」と指摘した。著名人に対する“炎上”などでよくみられる現象だ。

法務省は19年から21年秋までに、1173件のネット投稿を「人権侵犯事件」としてサイト運営企業に削除を要請した。だがそのうち一部または全てが削除されたのは69%にとどまった。ツイッター（削除率34%）、ユーチューブ（同24%）など海外企業が運営するネットサービスで慎重な対応が目立った。同省の担当者は「法律の専門家が『権利侵害がある』と判断した投稿でさえ、なかなか削除されないという問題がある」と話している。

国内でマルウエアの「Emotet（エモテット）」に感染したという事例が2022年2月から爆発的に増えている。セキュリティー企業のトレンドマイクロの調査によると、Emotetの国内検出台数は、2021年11月は524台だったが、2021年12月に検出数が増加。2022年2月には1万8785台と急拡大した。 Emotetは遠隔操作が可能なボット型マルウエアである。攻撃者はEmotetに感染した多数のコンピューターでネットワーク（ボットネット）をつくり、一斉に操作する。Emotetに感染すれば情報が漏洩したり、スパムメール送信の踏み台にされたり、他のマルウエアに感染したりといった被害に遭う恐れがある。 ただEmotetのボットネットは1度「消滅」したはずだった。2019年から2020年に国内外で猛威を振るったEmotetに対し、欧米8カ国の法執行機関や司法当局などが協力して対抗。オランダやドイツ、ウクライナなどにあったEmotetを送信するサーバーなどを押収し、2021年1月27日に「テークダウン」を発表していた。 ここで言うテークダウンとは、サイバー犯罪者がマルウエアを遠隔操作するために設けた「C＆Cサーバー」を停止させることを指す。加えて、パソコンなどに入り込んだEmotetの接続先サーバーを、C＆Cサーバーから当局が用意したサーバーに変更し、Emotetを無害化するよう自動更新する取り組みも行われた。 だが、2021年11月中旬、トレンドマイクロなどの各セキュリティー組織がEmotetの活動再開を確認した。2021年1月にウクライナ警察がEmotetのC＆Cサーバーの管理者を2人逮捕した。だが、「逮捕された人物は（Emotetに関する活動の）中心人物ではないともいわれ、Emotetを作成するツールを使える人物は捕まっていない可能性が高い」。トレンドマイクロの岡本勝之セキュリティエバンジェリストはこうみる。 ロシア政府への全面支持を公式表明したサイバー犯罪グループ Emotetの活動再開の裏には、別のランサムウエアグループの動きが関わっている。「Wizard Spider（ウィザードスパイダー）がEmotetを再構築する工作をしたことが分かっている」と米サイバー対策企業のCrowdStrike（クラウドストライク）のアダム・マイヤーズ・インテリジェンス担当シニアバイスプレジデントは語る。 ウィザードスパイダーとは、ロシアやウクライナに拠点を置き、ネットバンキングの認証情報を盗んだりボットネットを構成したりするマルウエア「Trickbot（トリックボット）」を開発しているサイバー犯罪グループを指す、同社独自の呼び名だ。Emotetのボットネットを中心的に開発・運営しているとされるサイバー犯罪集団Mummy Spider（マミースパイダー）とウィザードスパイダーが連携し、Trickbotのインフラを利用してEmotetをばらまいたことでEmotetが復活したとみられる。 増加するサイバー攻撃の背景には、ロシアによるウクライナ侵攻の影響も見え隠れする。ウィザードスパイダーは、Conti（コンティ）というランサムウエアを開発していることから「Conti」とも呼ばれる。Contiは、ロシアがウクライナに侵攻した後の2022年2月25日、ロシア政府に対する全面支持を表明した。 クラウドストライクのマイヤーズ氏は「他にも2つのサイバー犯罪グループがウクライナに対するDDoS（分散型のサービス妨害）攻撃を仕掛けていることも確認している」と明かす。反ロシアを掲げる犯罪集団をサイバー犯罪のプラットフォームから締め出す動きもあるという。 一部のサイバー犯罪集団でナショナリズムが高まる一方で、お金もうけが目的だとはっきり宣言しているロシア系のサイバー犯罪集団もある。ただし「ロシアに対する経済制裁が続くことで、お金を稼ぐことが目的のサイバー犯罪も増えるだろう」とマイヤーズ氏は警鐘を鳴らす。 「活動を再開したEmotetによる感染被害はグローバルでも広がっているが、特に日本でその脅威が高まっている。なぜなら過去数年間、Emotetは日本をターゲットに日本語でのキャンペーンを継続的に実施してきたからだ」（マイヤーズ氏）。 マミースパイダーは組織化された犯罪集団であり、「アフィリエイト（サイバー攻撃の実行犯）に日本語ができる人が加わっていることも考えられる」（同）。日本を対象とした攻撃は進化しているというわけだ。 （続きは有料会員限定のため非掲載）

消滅したはすのマルウェア「Emotet」の国内感染が急拡大している。 背景には、ロシアによるウクライナ侵攻の影響も見え隠れする。 改正個人情報保護法の施行により、情報漏洩を起こせば新たな作業が生じる。

国内でマルウェア「Emotet (工モテット)」に感染したという事例が2022 年2月から爆発的に増えている。セキュリティー企業のトレンドマイクロの調査によると、Emo te tの国内検出台数は、2021年11月は524台だったが、 2021年12月に検出台数が増加。2022 年2月には1万8785台と急拡大した Emotetは遠隔操作が可能なポット型マルウェアである。攻撃者は Emotetに感染した多数のコンビューターでネットワーク(ポットネット) をつくり、一斉に操作する。Emotet に感染すれば情報が漏洩したり、スパムメール送信の踏み台にされたり、他のマルウェアに感染したりといった被」に遭う恐れがある

ただEmotetのホットネットは1度「消滅」したはすだった。2019年から 2020年に国内外で猛威を振るったEmotetに対し、欧米8カ国の法執行機関や司法当局などが協力して対抗。オランダやドイツ、ウクライナなどにあったEmotetを送信するサーバーなどを押収し、2021年1月27日に「テークダウン」を発表していた。

ここで言うテークダウンとは、サイバー犯罪者がマルウェアを遠隔操作するために設けた「C&Cサーバー」を停止させることを指す。加えて、パソコンなどに入り込んだEmotetの接続先サーバーを、C&Cサーバーから当局が用意したサーバーに変更し、 Emotetを無化するよう自動更新する取り組みも行われた だが、2021年11月中旬、トレンドマイクロなどの各セキュリティー組織がEmotetの活動再開を確認した 2021年1月にウクライナ警察が EmotetのC&Cサーバーの管理者を2 人逮捕した。だが、「逮捕された人物は( Emotetに関する活動の)中心人物ではないともいわれ、Emotetを作成するツールを使える人物は捕まっていない可能性が高い。」トレンドマイクロの岡本勝之セキュリティエバンジェリストはこうみる。

ウィサードスパイダーが関与か

Emotetの活動再開の裏には、別のランサムウェアグループの動きが関わっている。「ウイザードスパイダーが Emotetを再構築する工作をしたことが分かっている」と米サイバー対策企業のクラウドストライクのアダム・マイヤーズ・インテリジェンス担当シニアバイスプレジデントは語る。 ウイザードスパイダーとは、ロシアやウクライナに拠点を置き、ネットバンキングの認証情報を盗んだりボットネットを構成したりするマルウェア「Trickbot (トリックボット)」を開発しているサイバー犯罪グループを指す、同社独目の呼び名だ。Emotetのポットネットを中心的に開発・運営しているとされるサイバー犯罪集団マースパイダーとウイザードスパイダーが連携し、Trickbotのインフラを利用してEmotetをばらまいたことで Emotetが復活したとみられる。 増加するサイバー攻撃の背景には、ロシアによるウクライナ侵攻の影響も見え隠れする。ウイザードスパイダーは、Conti (コンティ)というランサムウェアを開発していることから「Conti」とも呼ばれる。Contiは、ロシアがウクライナに侵攻した後の2022年2月25ロ、ロシア政府に対する全面支持を表明した。

クラウドストライクのマイヤーズ氏は「他にも2つのサイバー犯罪グループがウクライナに対するDDOS (分散型のサービス妨害)攻撃を仕掛けていることも確認している」と明かす。反ロシアを掲げる犯罪集団をサイバー犯罪のプラットフォームから締め出す動きもあるという。 一部のサイバー犯罪集団でナショナリズムが高まる一方で、お金もうけが目的だとはっきり宣言しているロシア系のサイバー犯罪集団もある。ただし「ロシアに対する経済制裁が続くことで、お金を稼ぐことが目的のサイバー犯罪も増えるだろう」とマイヤーズ氏は警鐘を鳴らす。 「活動を再開したEmotetによる感染被害はグローバルでも広がっているが、特に日本でその脅威が高まっている。なぜなら過去数年間、Emotetは日本をターゲットに日本語でのキキャンペーンを継続的に実施してきたからだ」(マイヤーズ氏)。 マミースパイダーは組織化された犯罪集団であり、「アフィリエイト(サイバー攻撃の実行犯)に日本語ができる人が加わっていることも考えられる」 (同)。日本を対象とした攻撃は進化しているというわけだ。

本人への通知が義務化

クラウドストライクのマイヤーズ氏は「首謀者全員が捕まらない限り、 Emotetが消滅することはないだろう」と話す。企業はEmotetなどマルウ工ア感染の対策に一層の強化が欠かせないが、2022年4月1日からは対策を考えるうえでの留意点が1つ増えた。

それは同日に施行された改正個人情報保護法に関係するものだ。改正法は、個人情報を取り扱う事業者に対し、サイバー攻撃などの不正アクセスによって個人データの漏洩やその恐れが生じた場合、個人情報保護委員会に概要や件数、原因、再発防止策などを報告するよう義務付けた。

さらに、漏洩した個人情報について本人にその旨を通知する義務も新たに追加した。八雲法律事務所の山岡裕明弁護上は「自社端末がEmotetに感染していると判明した時点で、被害企業には個人情報保護法に基づいた報告や通知の義務が生じる可能怦が高い」と話す。 山岡弁護士は「自社が原因で取引先企業をEmotetに感染させてしまった場合、自社に過失が認められる場合には損害賠償責任を負う可能性がある点に留意する必要がある」とも指摘する。 損害とは具休的に、感染経路や被害範囲を特定するために実施するデジタルフォレンジックの費用が想定されるという。ただし「感染した企業に感染対策に一定の落ち度があったと認められる場合には、感染させた企業の責任は限定される可能生があるだろう」(山岡弁護士)。 本人に対する通知義務も企業にとって負担だ。メールアドレスが分からない場合、書面を郵送する必要があるためだ。「漏洩したときのリスクも考えて、保有が必要な個人情報の項目を改めて見直す必要がある」と森・浜田松本法律務所の蔦大輔弁護士は言う。

PPAPが感染を助長

一般に「PPAP」と呼ばれる、パスワード付きのZIPファイルをメールに添付して解凍パスワードをメールで追送するファイル共有手法は、Emotetなどのマルウェア感染を助長している側面がある。そのためPPAPでファイル共有させないようにする仕組みを導入する企業や組織が増えている。 文部科学省は2022年1月4日から、送受信メールの添付ファイルを米ボックスのクラウドストレージ「Box」に自動で移し、受信者が添付ファイルをクラウドストレージからダウンロードする仕組みを導人した。2022年3月1日、日本郵政もPPAP対策としてBoxを活用すると発表した。Box Japanによれば、同社への間い合わせ件数は2021年11月のEmotet活動再開から増え、 2022年3月に急増したという Emotet復活やランサムウェア攻撃の増加、ウクライナ情勢などを踏まえ、日本政府は2022年2～3月、立て続けにサイバーセキュリティー対策の強化に関する注意を企業に喚起した。2月23日、3月1日に続いて3月24日にも経済産業省や総務省などが連名で注意喚起の文書を出した 増人するサイバー攻撃リスクに対して企業は自社のセキュリティー対策を再確認することが求められる。改正個人情報保護法で加わった新たな義務を考慮に入れつつ、サイバー攻撃を受けた場合のサイバーBCP (事業継続計画)の策定など、事後対策を講じることも必要だ 。(外薗祐理子)

政府の「デジタル市場競争会議」が2022年4月26日に公表した「モバイル・エコシステムに関する競争評価　中間報告」が波紋を広げている。とりわけ注目されるのは、米Apple（アップル）や米Google（グーグル）が「サイドローディング」を禁止または抑制していることの弊害を列挙し、対応策の1つとしてサイドローディングを許容する義務を挙げたことだ。 サイドローディングとは正規のアプリストア以外からのアプリ配信のことだ。正規のアプリストア以外から配信されるアプリは「野良アプリ」とも言われる。一般社団法人「日本スマートフォンセキュリティ協会」の技術部会は2022年7月1日、「スマートフォン・サイバー攻撃対策ガイド『サイドローディングの危険性』」というタイトルの文書を同協会のWebサイトで公開した。ここでは「サイドローディングを認める場合、いかなるアプリも無審査で配信することが可能となり、利用者の安全性を担保することは極めて難しくなる。また、有料アプリの海賊版が出回ることも予想され、開発者のイノベーションを削ぐ（そぐ）ことにもつながるだろう」と懸念を表明した。 iPhoneなどアップル製の端末であれば「App Store」、グーグルの基本ソフト（OS）Androidを搭載した端末であれば「Google Play」が正規のアプリストアである。ここでアプリを配信するには審査を通過しなくてはならない。iPhoneではサイドローディングが一切認められていない。Android端末の場合、初期設定でサイドローディングは無効にされている。ユーザーが設定を変更すれば有効にできるが、警告や通知が端末に表示される。 中間報告で表明されているのは、アップルとグーグルがOSに加えてアプリストアを独占することにより、ユーザーやサービス事業者を含むスマホの上に形成されたエコシステムにおける競争環境を阻害しているのではないかという懸念だ。 現状、ユーザーがApp Storeで有料アプリを購入すると、購入価格の15～30％がアップルに支払われる。同中間報告はiPhoneのアプリ配信市場をアップルが独占し競争圧⼒が働いていないと指摘。デベロッパーがアプリを販売するためにアップル側に支払う⼿数料が高止まりしているなどの懸念を示した。競争を生み出す選択肢の1つが「サイドローディングを許容する義務」というわけだ。 サイドローディング可能なAndroid端末についても、警告の表示方法や内容がユーザーにリスクを過大評価させている恐れがあるとし、結果的にGoogle Playが専ら利用されていると指摘する。従って「サイドローディングによるアプリの配信を制限することを禁止する規律を導入することが考えられるのではないか」としている。 （続きは有料会員限定のため非掲載）

「ハッカーの情報交換の場をつくりたい」。2014年暮れ、川崎市に住む17歳の少年がダークウェブ内に、ある掲示板サイトを開設した。名称は「恒心教サイバー部」。少年自身もハッカーで、企業サイトを改ざんする行為を繰り返していた。すでに海外ではダークウェブが広がっていた。

通常のネットユーザーが入れない掲示板で、高い技術を競い合う――。周囲の人によると、狙いは同じような仲間を呼び込むことだったようだ。少年が繰り返していたハッキングも違法行為。ただ興味半分だった本人の意図を超え、掲示板には様々な悪意を持つ人が集うようになる。

「ネットバンキングの口座情報求む」「犯罪の手口を教えてほしい」。ハッカーからの投稿は減り、犯罪による金稼ぎや児童ポルノの取引を目的にした投稿であふれた。暴力団関係者やIT（情報技術）の知識に乏しい人物の投稿も目立つようになった。

「恒心教」の名は国内の闇の世界で広まった。情報セキュリティー会社、ネットエージェント（東京）の杉浦隆幸会長は参加者について「ダークウェブを使う日本唯一の犯罪者集団」とみる。投稿内容から、多い時で約100人が参加していたと分析している。

少年は15年、企業に対する不正アクセス禁止法違反容疑で警視庁に逮捕された。ただ生みの親がいなくなったにもかかわらず、掲示板が閉鎖されることはなかった。何者かが管理用サーバーを乗っ取り、運営するようになったとみられる。

事件として摘発された事例もある。16年2月、掲示板でのやり取りを通じてコンピューターウイルスを入手するなどした高校1年の男子生徒が摘発された。同年の7月には他人のカード情報を売る広告を書き込んだ男が逮捕された。

摘発が相次いだためか、昨年から投稿は下火になった。今春の時点ではすでに閉鎖されたとみられている。しかし最近でも大手眼鏡店チェーンがサイバー攻撃を受けた事件で「恒心教」の名が使われるなど、余波は続いている。

当時、掲示板を頻繁に閲覧していた20代の男子大学生は振り返る。「犯罪の舞台になったのは残念だが、ハッカーが技術を競い合える場ができた意義は大きかった」。幼い頃からネットに慣れ親しんできたデジタルネーティブ世代の言葉からは、自分たちの行為に潜む危うさを深く考えた様子はうかがえない。

偽サイトなどで個人情報を盗む 「フィッシング詐欺」 の深刻化が止まらない。２０２１年は確認件数が５２万件と最多になり、 標的となるクレジットカードの不正利用被害も過去最悪を更新した。 背景に、 日本人の個人情報から詐欺の技術までを手軽な金額で売買している中国語のＳＮＳ（交流サイト） がある。 「今からアカウントに侵入してみせます」。 匿名性の高い対話アプリ 「テレグラム」 のあるチャットグループに投稿された動画をパソコンで再生すると、 中国語で解説が始まった。

画面には日本のクレジットカード会社のログインページが表示され、 フィッシングで盗まれたとみられる日本人大学生の名前やログインＩＤ、 パスワードも映る。 投稿者は、 発信元となるＩＰアドレスを偽装するソフトの使い方を紹介した後、 大学生のアカウントに不正ログイン。 「本人に利用通知が届かないように」 などと説明しながら、 メールアドレスや電話番号といった登録情報を瞬く間に変更した。

最後にカードの利用上限額を勝手に引き上げたうえで、 ショッピングサイトでボールペン１本 （９９０円） を購入してみせた。

ネットバンキングの偽サイトを作る方法、 不正の発覚の逃れ方－－。 テレグラムではこうしたフィッシングに関わるチャットが乱立している。 調査するＫｅｓａ９ａｔａＭｅ氏 （八ンドルネーム） によると、 １００以上の中国語のチャットグループが確認でき 「手軽に情報や盗む技術を入手できるマーケットが形成されている」。

通常、 チャット内に金額の記載はない。 セキュリティー事業を手がけるマクニカの協力を得てチャット管理者のひとりに聞くと、 フィッシングに使うＳＭＳ（ショートメッセージサービス） を不特定多数に送る技術は 「２４時間あたり５０元（約９７０円） で提供する」 と中国語で回答があった。

偽サイトを作るためのソースコード（プログラム） は 「１０００元 （約２万円）」 程度とみられる。匿名性の高い闇サイト群 「ダークウェブ」 などと異なり、 誰でも参加できるＳＮＳで、 手軽な金額で技術や知識が手に入る。 閲覧者が３万人規模のグループもあり、 ターゲットの日本人のクレジットカードや銀行口座の情報が飛び交う。

国内の被害は拡大の一途だ。 監視団体のフィッシング対策協議会 （東京・中央） によると、２１年の国内の報告件数は５２万６５０４件と、 過去最多だった２０年 （２２万４６７６件） の２倍を超えた。

日本クレジット協会 （同） によると、 ２１年のクレジットカー ドの不正利用被害額は３３０億円。 ２０年比で３割増え、調査を始めた１９９７年以降で最悪となった。 フイッシングの深刻化が被害額を押し上げている。

なぜ日本が狙われるのか。 捜査関係者は発信元などから中国を拠点とする犯罪グループが関与しているとみる。

「日本は地理的に近く、 盗んだ情報で不正に買い物をする場合、 受け取り役も募集しやすい」 という。

被害の根絶が難しい中、 マクニカの鈴木－実氏は 「まずは自衛策が欠かせない」 と訴える。

▽スマホに届いたＳＭＳのサイトに安易にアクセスしない

▽サイト運営者は不正ログインの検知精度を高める

▽通信事業者はＳＭＳの悪用を防ぐ技術や対策の導入を進める

－－など多方面で危機意識を共有する必要があると話す。 （柏木凌真、 大倉寛人）

犯罪組織、 進む分業 「受け子」 リスト化し共有か

中国語のＳＮＳでは、 盗んだ情報をもとにネットで不正購入された商品を受け取り、 転送する 「受け子」 の名前や住所もやり取りされている。

あるチャットグループには日本全国の住所リストが掲載され、 受け子とみられる日本人や中国人の名前が並んでいた。 ホワイトハッカーのＣｈｅｅｎａ氏 （八ンドルネーム） は 「更新頻度が高く、 日本国内に受け取り役を準備するブローカーや換金を担う業者がいる可能性が高い」 と分析する。

警視庁が３月、 詐欺の疑いで逮捕した中国人留学生２人は、 何者かがフィッシングで購入したゲーム機などを受け取り、 指示されたマンションに転送していた。 調べに 「中国の対話アプリ上の受け子バイトを募る広告がきっかけだった」 と供述した。

犯罪グループはこうして集めた受け子をリスト化し共有しているとみられる。

こうした犯罪は指示役などグループの上位者が特定されることはほとんどない。 捜査関係者は 「指示役や換金役、 受け子など犯罪組織は何層にも折り重なる複雑な構造で、 全容解明は至難の業だ」 と漏らす。 犯罪の分業化が進み、 捜査が追いついていない。

ウクライナ侵攻への経済制裁で海外コンテンツが制限されたロシアで、海賊版の視聴が横行している。映画館では米ディズニーや米パラマウントなどの海外作品が不正上映され、ロシア政府がかって閉鎖した大手海賊版サイトも突如復活した。非友好国のソフトの不正使用を合法化する動きもあり、「コンテンツ侵略」が始まっている。

ディズニーの「私ときどきレッサーパンタ」、パラマウントの「ソニック・ザ・ヘッジホック2」 中央部の工カテリンブルクにある映画館のウェブサイトに海外の人気作品の上映予定がずらりと並ぶ。 いずれも今春以降に配給会社によってロシア国内での公開が取りやめられたはずの作品だが、上映は続いている。このほかにも複数の映画館のサイトで同様の海外作品の予告の掲載がみられ、映画のみならず米ネットフリックスの作品の上映予告もあった。 予告のページには「映画館のホールを借りたイベントの主催者によって投稿された」との記載があり、ホールのレンタル料と引き換えに借り主による海賊版の放映を黙認しているとみられる。日本の著作権団体幹部は「映画館を貸し出し、海賊版映像を流す手口はかって中国でもみられた。海外作品の配給が止まったロシアで行われてもおかしくない」と語る。

配給会社ロ重く

ロシアでの不正視聴の実態は見えづらいが、取り締まるべき企業のロは重い。ディズ二一は日本経済新聞の取材に日本法人を通じ「お答えできる情報はない」と回答した。ただ、「ソ二ック」のキャラクターを管理するセガは「違法な公開が一部なされているとの間接的な情報も入っている」と明かす。 日本の映像業界団体のコンテンツ海外流通促進機構(CODA)によると、ロシアの動画投稿サイト「RUTUBE(ルーチューブ)」へのアクセス数は長らく100万件前後だったが、2月下旬以降に急激に増加し4月には600万件を突破した。担当者は「海外サイトが見られなくなった視聴者が流れた」と制裁が契機となったとみる。

ロシア政府がかってブロックした海賊版サイト「RuTracker(ルートラッカー)」も突如"復活"を遂げた。国内外の映画やスポーツ映像、ゲーム、書籍など幅広いコンテンツが投稿されている。同サイトは2016年ごろに政府機関の命令によって地元のネット業者から事実上の閉鎖に追い込まれていた。 海賊版サイトに詳しいホワイトハッカーのCheena氏によると、「3月ごろに突如ブロックが解除され閲覧できるようになった」という。政府が制裁への対抗措置として、国民が不正視聴できるように解除した可能性がある。運営者はサイトを一時的にウクライナカラーに変更するなど政府側に反発しており、現在はロシアからできなくして閲覧できなくしているという。

世界6位の市場

米国の映像業界団体モーション・ピクチャー・アソシェーション(MPA)の調べでは、21年の世界の映画興行収入213億ドル(約2兆9千億円)のうち、 ロシアは6億ドルで世界6位の市場だ。海賊版の視聴がロシアで根付けば巨大な需要が正規版から離れてしまう。

標的となるのはエンタメのみではない。ロシア政府は3月、非友好国の企業が持つ特許や意匠について、同意なしに無償で使用できると決定した。米マイクロソフトや米IBMなど世界のIT(情報技術)大手が新規販売や事業の縮小を打ち出すなか、ソフトウェアなどの海賊版を合法化し影響を避ける狙いだ。 エネルギーや金融分野における制裁回避に国際的な関心が高まるが、コンテンツは回避の影響や実態が見えづらい。知的財産に詳しい小山紘一弁護士は「他国における海賊版の根絶は難しいが、国や企業が不正利用の実態の公表や国際訴訟などの対抗措置を積極的に示すことが抑止につながる」と指摘している。

(サイバ-セキュリティーエデイタ-岩沢明信)

今回は3件のシステムトラブルを取り上げる。アットキャドの個人情報流出、全日本空輸（ANA）のWebサイト障害、物語コーポレーションの顧客情報の誤削除である。

流出データを使って「代引き商品を注文するぞ」と脅す 人材派遣サービスを運営するアットキャドは2022年9月6日、2022年8月17日に明らかにした派遣サービス利用者の個人情報流出に関する対応の進捗状況と、情報の削除不備について発表した。

個人情報流出は不正アクセスによって発生。利用者が2007年9月2日から2022年8月13日までに入力しサーバーに保管されていた2万1751人の個人情報が対象で、名前や住所、電話番号、メールアドレス、学歴、職務経歴など。不正アクセスの詳細は調査中であるとしている。

今回の発表では、利用者が事件前に同社に対して情報の削除申請をしていても、同社の事情により削除が完了していなかったと謝罪している。このため、削除申請していた利用者も被害者に含まれていたとみられる。

流出データの悪用も確認された。脅迫メールなどの不審なメールが利用者に届いている。不審なメールの内容は、「あなたの個人情報を取得したから、悪用されたくなければ～～しろ」「代引き注文で嫌がらせするぞ」といったもので、同社は金銭を支払わず、身に覚えのない代引き商品を受け取らないよう呼びかけている。

同社は発表と合わせて、不審なメールの見分け方を示した。不審なメールの送信元メールアドレスの例や、文面にあるURLに同社のドメイン「at-cad.co.jp」が記載されていてもリンク先のドメインは異なるといった特徴を挙げている。 （続きは会員限定）